Dentro de este artículo:
Ya es común decir que las tecnologías de la información (TI) son habilitadoras y han cambiado la forma de realizar los negocios. Es sabido también que además de los muchos beneficios, las TI han expuesto a nuestras organizaciones a nuevos riesgos y supuesto retos que antes no existían.
Lo anterior fue el preámbulo para proponer en la sesión mensual de la comisión de auditoría interna dos cosas:
- Cambiar el formato de la sesión a uno que llamamos charla de café, donde de manera más interactiva, a partir de un caso modelo, exponer elementos de un diagnóstico de control.
- El enfoque del caso sería sobre el área de tecnologías de la información (TI). El resultado fue una sesión que se enriqueció con experiencias y referencias sobre la vivencia de los participantes a propósito del tema revisado (TI).
Criterios de análisis del área de TI
Los criterios de análisis del área de TI que se establecieron en el caso modelo fueron:
- Centro de datos con elementos de: seguridad, manejo de crisis y metodología de recuperación de desastres.
- Servicios de voz con elementos de: impacto al negocio y seguridad.
- Correo electrónico con elementos de: impacto al negocio, seguridad, metodología de respaldo, hardware y software, plan de recuperación de desastre (DRP), plan de pruebas y mejora del DRP, capacidad y rendimiento.
- Infraestructura con elementos de: impacto al negocio, metodología de respaldo, hardware y software, plan de recuperación de desastre, plan de pruebas y mejora del DRP, capacidad y rendimiento.
- Aplicaciones – elementos de: impacto al negocio, metodología de respaldo, hardware y software, plan de recuperación de desastre, plan de pruebas y mejora del DRP, capacidad y rendimiento.
Evaluación de los criterios
Para la evaluación de los criterios antes mencionados se revisó el nivel de preparación y habilitación de servicios o aplicaciones, según aplicó:
- Seguridad Física (Centro de Datos – su protección/prevención) considerando aspectos como: control acceso, aire acondicionado, suministro de energía eléctrica.
- Manejo/Administración de la Crisis (Centro de Datos – esquema de respuesta/reacción) considerando aspectos como: listado de contactos TI (CALL TREE), procedimiento TI de respuesta inmediata, roles y responsabilidades TI.
- Metodología de Respaldo (Servidores y aplicativos – protección/prevención) considerando aspectos como: periodicidad, verificar funcionalidad de los respaldos periódicamente.
- Evaluación HW y SW (servicios y aplicativos) considerando aspectos como: utilizan hardware (HW) y software (SW) actualizados (no obsoletos), Cuenta HW y SW con contrato de mantenimiento, existencia de documentación formal de configuración de HW y SW.
- Recuperación de desastre (DRP) con aspectos como: persona de TI formalmente designada en caso de desastre, integrados en DRP aspectos de telecomunicaciones, documentación formal de TI para probar DRP.
- Pruebas y Mejora del Plan de Recuperación de Desastre con aspectos como: se han completado pruebas de DRP este año, los resultados fueron documentados, fueron los resultados validados por el negocio.
- Capacidad y Rendimiento con aspectos como: se registran todos los incidentes, se monitorea y pone a punto la capacidad del servidor, aplicación y base de datos, la medición de la satisfacción del negocio con el servicio / aplicación.
Para la representación de cumplimiento de los criterios seleccionados a partir de los elementos revisado pudo mostrarse lo siguiente:

Metodología de respaldo del sistema integral de la empresa
El patrocinador de negocio no ha validado la periodicidad y retención de la información. No hay procesos formales de restauración y tampoco se resguarda esta información fuera de las instalaciones. La periodicidad de los respaldos no es diaria. Esto puede exponer a la falta de disponibilidad de información para operar el aplicativo institucional en caso de presentarse una contingencia con el mismo. Lo anterior representa potencialmente un alto impacto operativo y financiero por la interrupción de los servicios.
Con este tipo de diagnósticos también es viable integrar información para hacer una determinación del nivel de madurez de los servicios de TI; algunos elementos para este fin son el grado de implementación de los procesos, la gestión de la información de servicios prestados, las herramientas tecnológicas utilizadas internamente, la alineación de las TI con la estrategia organizacional, el desarrollo del personal de TI, entre otros.
Los elementos antes mencionados permiten ponderar, por ejemplo, que un servicio es principalmente reactivo, con algunos procesos documentados, pero sin una formalización objetiva.
En conjunto los hallazgos de la infraestructura y aplicaciones con el nivel de madurez ponderado ayudarán a concluir una serie de recomendaciones para la mejora de los puntos de control y niveles de servicios de TI.
Esperamos que los elementos expuestos sobre el caso, presentados como ya se dijo en formato charla de café, despierten el interés de promover la generalización de las revisiones regulares de los puntos de control de TI en las organizaciones.
Contenido relacionado