“Los servidores públicos deben rendir cuenta de su
gestión a la sociedad. En este sentido, los servidores públicos, los legisladores
y los ciudadanos en general desean y necesitan saber, no sólo si los recursos
públicos han sido administrados correctamente y de conformidad con el
ordenamiento jurídico administrativo y otras normas legales aplicables, sino
también de la forma y resultado de su aplicación, en términos de eficacia,
eficiencia, economía y efectividad”.
Es el examen objetivo, crítico, metodológico y selectivo
de evidencia relacionada con políticas, prácticas, procesos y procedimientos en
materia de tecnologías de la información y la comunicación, para expresar una
opinión independiente respecto:
- A la confidencialidad, integridad, disponibilidad y confiabilidad de la información.
- Al uso eficaz de los recursos tecnológicos.
- A la eficacia del control interno asociado a los procesos de las Tecnologías de la Información y la Comunicación.
Los incisos señalados, podrán ser considerados en
forma individual o en conjunto.
La auditoría de tecnologías de la información y la
comunicación está definida principalmente por sus objetivos y puede ser
orientada hacia uno o varios de los siguientes enfoques:
a)
Enfoque a las
seguridades:
b)
Enfoque a la
información:
c)
Enfoque a la
infraestructura tecnológica:
d)
Enfoque al
software de aplicación:
e)
Enfoque a las
comunicaciones y redes:
Definiciones
Datos: Son objetos de información, los cuales pueden ser externos
o internos, estructurados y no estructurados del tipo gráfico, sonido,
imágenes, números, palabras y de otra índole, etc.
Información: Datos que han sido organizados, sistematizados y
presentados de manera que los patrones subyacentes resulten claros.
Tecnología: Es un conjunto ordenado de instrumentos, conocimientos,
procedimientos y métodos aplicados a las áreas.
Tecnologías de la
Información y la Comunicación (TIC):
Comprende al conjunto de recursos, herramientas, equipos, programas
informáticos, aplicaciones, redes y medios, que permiten la compilación,
procesamiento, almacenamiento, transmisión y recepción de información, voz,
datos, texto, video e imágenes. Se consideran como sus componentes el hardware,
el software y los servicios.
Sistema de
Información (SI): Se refiere a un
conjunto de procesos y recursos de información organizados con el objetivo de
proveer la información necesaria (pasada, presente, futura) en forma precisa y oportuna
para apoyar la toma de decisiones en una entidad.
Software de
aplicación: Se refiere a un elemento
de los Sistemas de Información, es un conjunto de programas de computador
diseñados y escritos para realizar tareas específicas del negocio y que permiten
la interacción entre el usuario y el computador.
Sistemas de
comunicación: Se refiere a la
tecnología que se emplea para el intercambio de información.
Confidencialidad
de la información: Se refiere a la
protección de la información crítica contra su divulgación no autorizada.
Integridad de la
información: Se vincula con la
exactitud y la totalidad de la información así como también con su validez de
acuerdo con los valores y las expectativas de la entidad.
Confiabilidad de
la información: Se vincula con la
provisión oportuna e íntegra de la información para coadyuvar a la consecución
de los objetivos de la entidad.
Disponibilidad de
la información: Se vincula con el
hecho de que la información se encuentre disponible cuando el proceso la
requiera. También se asocia con la protección de los recursos necesarios y las
capacidades asociadas.
Técnicas de
Auditoría Asistidas por Computador (TAAC):
Se refiere a las técnicas de auditoría que contemplan herramientas informáticas
con el objetivo de realizar más eficazmente, eficientemente y en menor tiempo
pruebas de auditoría.
Ejercicio de la
auditoría interna
La auditoría interna es una función de control interno
posterior de la organización, que se realiza a través de una unidad
especializada, cuyos integrantes no participan en las operaciones y actividades
administrativas. Su propósito es contribuir al logro de los objetivos de la
entidad mediante la evaluación periódica del control interno.
Las Normas de Auditoría Gubernamental deben ser aplicadas
por el auditor interno gubernamental.
Normas de
auditoría de Tecnologías de la Información y la Comunicación
1.
Planificación
La auditoría de tecnologías de la información y la
comunicación se debe planificar en forma metodológica, para alcanzar
eficientemente los objetivos de la misma.
2.
Supervisión
Personal competente debe supervisar sistemática y
oportunamente el trabajo realizado por los profesionales que conformen el
equipo de auditoría.
3.
Control interno
Debe obtenerse una comprensión del control interno
relacionado con el objeto del examen.
4.
Evidencia
Debe obtenerse evidencia competente y suficiente como
base razonable para sustentar los hallazgos y conclusiones del auditor
gubernamental.
5.
Comunicación de resultados
El informe de auditoría de tecnologías de la
información y la comunicación debe ser oportuno, objetivo, claro, convincente,
conciso y será el medio para comunicar los resultados obtenidos durante la
misma.
ANÁLISIS CRÍTICO
SOBRE SU CUMPLIMIENTO
La auditoría de las Tecnologías de la Información y
las Comunicaciones está adquiriendo cada vez mayor importancia debido a la
necesidad de garantizar la, seguridad continuidad y disponibilidad, pero ello
no se cumple debido a la falta de importancia que le dan las entidades públicas
al área de las TIC, en mi caso en particular la “Red de Salud Municipal de
Yacuiba” el trabajo de un ingeniero informático se ve reducido a un trabajo técnico,
de mantenimiento y soporte tanto a la red como al hardware y software.
En la institución se perciben serios problemas de
seguridad como por ejemplo el uso indiscriminado del internet que lleva muchas
veces al robo de información y a la instalación de malware, no existe políticas
de seguridad, no existe áreas restringidas, y tampoco un plan de contingencia.
En nuestro país (Bolivia) el tema de la auditoria TIC
se encuentra aún en pañales aunque en los últimos años se ha avanzado mucho.
Parte de la responsabilidad de que esto ocurra, recae sobre nuestras
universidades, que ofrecen formación mínima en el área, una o dos materias
dentro de la malla curricular de las carreras de ingeniería de sistemas e
Informática. Debido a este fenómeno, los profesionales de sistemas tienen poco
o nada de conciencia sobre la auditoria de las TIC y sobre el valor de proteger
la información, que es el activo más valioso dentro de una empresa. Las
universidades no tienen toda la "culpa", también los gerentes y
dueños de empresas e instituciones públicas y privadas, tienen su
responsabilidad de que esto suceda, debido a que casi nunca facilitan los
recursos necesarios requeridos al departamento de sistemas para una
administración segura y eficiente y mucho menos para capacitar y concientizar. A
excepción por supuesto de las entidades financieras (Bancos sobre todo),
Empresas Petroleras y Empresas de Telecomunicaciones que cumplen con estándares y normas como el
COBIT, la ISO 17799, la ITIL.
Se está tratando de dar grandes pasos dentro de la
industria informática, todos y cada uno de los informáticos somos responsables
de aportar con nuestro grano de arena, si bien ahora no hay mucho mercado para
los expertos en seguridad informática, el futuro se torna prometedor a medida
que las empresas e instituciones vayan creciendo y se vaya tomando conciencia
del valor de la información.