www.adacsi.org.ar/files/es/content/146/Standards.doc Estndares Internacionales de Auditora de Sistemas.

La tecnologa ha sido percibida en la actualidad en forma global como disparador de cambios permanentes del ambiente de negocios. Sin embargo, existe una idea primordial que aparece inmvil contra esta fuerza tecnolgica que implica que las organizaciones que sobreviven, son aquellas que entregan mas valor verdadero a sus clientes. La funcin de auditora contina proporcionando servicios de aseguramiento tanto a clientes internos como externos. Dado que la tecnologa impacta la forma de hacer negocios, deben haber formas efectivas y sencillas para llevar a cabo la evaluacin de los controles que deben existir para garantizar dicho servicio. Bajo la premisa anterior, existe un gran inters en el medio por identificar los estndares internacionales que son utilizados comnmente por empresas tanto pblicas como privadas. Las dos preguntas ms comunes que habra que resolver, Cmo podran asegurar las organizaciones, que construyen proyectos de tecnologa de informacin, cubriendo adecuadamente las necesidades del cliente, en forma eficiente y oportuna y dentro del presupuesto contemplado? y Cules son los estndares que ofrece la industria? En ambos sectores, se hacen uso de una serie de estndares que guan el desarrollo de proyectos de TI, entre ellos se pueden mencionar: Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA) The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA) Administracin de la inversin de tecnologa de Inversin: un marco para la evaluacin y mejora del proceso de madurez, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO) Los estndares de administracin de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organizacin Internacional de Estndares (ISO). SysTrust Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociacin de Contadores Pblicos (AICPA) y el CICA El Modelo de Evolucin de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniera de Software (SEI) Administracin de sistemas de informacin: Una herramienta de evaluacin prctica, desarrollado por la Directiva de Recursos de Tecnologa de Informacin. 1

113148790.doc

Gua para el cuerpo de conocimientos de administracin de proyectos, desarrollado por el comit de estndares del instituto de administracin de proyectos. Ingeniera de seguridad de sistemas Modelo de madurez de capacidades (SSE CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon. Administracin de seguridad de informacin: Aprendiendo de organizaciones lderes, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO)

Alcance de los Estndares. Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA): Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prcticas de auditora y control de sistemas de informacin. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnologa de informacin y establezca el enlace entre los procesos de administracin, aspectos tcnicos, la necesidad de controles y los riesgos asociados.

The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA): Este modelo est basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles estn clasificados con base en siete grupos: administracin general, gerentes de sistemas, dueos, agentes, usuarios de sistemas de informacin, as como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas. Adems, hace distincin entre los conceptos de autoridad, responsabilidad y responsabilidad respecto a control y riesgo previo al establecimiento del control, en trminos de objetivos, estndares y tcnicas mnimas a considerar.

Administracin de la inversin de tecnologa de Inversin: un marco para la evaluacin y mejora del proceso de madurez, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO): Este modelo identifica los procesos crticos, asegurando el xito de las inversiones en tecnologa de informacin y comunicacin electrnicas. Adems los organiza en cinco niveles de madurez, similar al modelo CMM.

113148790.doc

Estndares de administracin de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organizacin Internacional de Estndares (ISO): La coleccin ISO 9000 es un conjunto de estndares y directrices que apoyan a las organizaciones a implementar sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan.

SysTrust Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociacin de Contadores Pblicos (AICPA) y el CICA: Este servicio pretende incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad en particular. Este modelo incluye elementos como: infraestructura, software de cualquier naturaleza, personal especializado y usuarios, procesos manuales y automatizados, y datos. El modelo persigue determinar si un sistema de informacin es confiable, (i.e. si un sistema funciona sin errores significativos, o fallas durante un periodo de tiempo determinado bajo un ambiente dado).

Modelo de Evolucin de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniera de Software (SEI): Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organizacin, con respecto al desarrollo y mantenimiento de sistemas de informacin. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que CMM es la base de los principios de evaluacin recomendados por COBIT, as como para algunos de los procesos de administracin de COBIT.

Administracin de sistemas de informacin: Una herramienta de evaluacin prctica, desarrollado por la Directiva de Recursos de Tecnologa de Informacin (ITRB): Este es una herramienta de evaluacin que permite a entidades gubernamentales, comprender la implementacin estratgica de tecnologa de informacin y comunicacin electrnica que puede apoyar su misin e incrementar sus productos y servicios.

Gua para el cuerpo de conocimientos de administracin de proyectos, desarrollado por el comit de estndares del instituto de administracin de proyectos: Esta gua esta enfocada en las mejores prcticas sobre administracin de proyectos. Se refiere a aspectos sobre los diferentes elementos necesarios para una administracin exitosa de proyectos de

113148790.doc

cualquier naturaleza. En forma precisa, este documento identifica y describe las prcticas generalmente aceptadas de administracin de proyectos que pueden ser implementadas en las organizaciones. Ingeniera de seguridad de sistemas Modelo de madurez de capacidades (SSE CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon: Este modelo describe las caractersticas esenciales de una arquitectura de seguridad organizacional para tecnologa de informacin y comunicacin electrnica, de acuerdo con las prcticas generalmente aceptadas observadas en las organizaciones.

Administracin de seguridad de informacin: Aprendiendo de organizaciones lderes, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO): Este modelo considera ocho organizaciones privadas reconocidas como lderes respecto a seguridad en cmputo. Este trabajo hace posible la identificacin de 16 prcticas necesarias para asegurar una adecuada administracin de la seguridad de cmputo, las cules deben ser suficientes para incrementar significativamente el nivel de administracin de seguridad en tecnologa de informacin y comunicacin electrnica.

Tendencias de los estndares y de las mejores prcticas. Es importante considerar la forma en que los estndares y las mejores prcticas van evolucionando, adems de conocer qu tanto ha cambiado su uso por parte de las organizaciones. Se ha visto que existen procesos de evolucin como a continuacin se menciona: Evolucin en los estndares y marcos referenciales de la madurez de procesos. Evolucin de estndares de administracin de proyectos y de desarrollo de software comercial. Evolucin de estndares de software militar.

De igual manera se han visto tendencias en el uso de estndares y mejores prcticas en el sector gubernamental, los cules se dan en funcin de las nuevas legislaciones, adems de los requerimientos de proyectos como los que se gestaron durante la dcada pasada referentes a la conversin para el ao 2000.

113148790.doc

Conclusin. Las tendencias de estndares que van surgiendo, van paralelas con lo que ha sucedido aceleradamente en el sector privado, esto es, dado que se han gestado numerosos proyectos de sistemas de informacin que han fracasado, y la dura realidad del incumplimiento de los mismos con las necesidades propias de los clientes y del negocio en s, ha habido un incremento dramtico en el nmero de organizaciones en el sector privado que estn persiguiendo agresivamente el uso de estndares y mejores prcticas, como su estrategia primordial de supervivencia Los puntos de vista y opiniones son de los autores y no necesariamente representan los puntos de vista de las organizaciones a las cuales pertenecen. La informacin provista aqu es de naturaleza general y de carcter informativo. Marcelo Hctor Gonzlez, ASS, CISA. mhgonzalez@movi.com.ar Vice Presidente Asociacin de Auditora y Control de Sistemas de Informacin. ADACSI ISACA Chapter Buenos Aires. Inspector General de Auditora Externa de Sistemas de Entidades Financieras. Superintendencia de Entidades Financieras y Cambiarias. Banco Central de la Repblica Argentina.

113148790.doc

113148790.doc