Procedimientos de TI
Los Procedimientos definen específicamente cómo las políticas, estándares, mejores prácticas y guías serán implementados en una situación dada. Los procedimientos son dependientes de la tecnología o de los procesos y se refieren a plataformas, aplicaciones o procesos específicos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada a dicho proceso específico. Generalmente los procedimientos son desarrollados, implementados y supervisados por el dueño del proceso o del sistema. Los procedimientos segurán las políticas de la organización, los estándares, las mejores prácticas y las guías tan cerca como les sea posible, y a la vez se ajustarán a los requerimientos procedimentales o técnicos establecidos dentro de la dependencia donde ellos se aplican.
Acorde a ISACA, los procedimiendos son documentos detallados. Deben derivarse de la política madre e implementar el espíritu (la intención) de la aseveración de la política. Los procedimientos deben ser escritos en una forma clara y concisa, de modo que sean comprendidos fácil y correcta% por todos los que se deben regir por ellos. Los procedimientos documentan procesos de negocio (administrativos y operacionales) y los controles integrados en los mismos. Los procedimientos son formulados por la gerencia media como una traducción efectiva de las políticas.
Los Procedimientos desde la óptica de la Auditoria:
Generalmente, los procedimientos son más dinámicos que sus políticas madres. Ellos deben reflejar los continuos cambios en el enfoque del negocio y su ambiente. Por lo tanto, es esencial revisar y actualizar frecuentemente los procedimientos, si ellos han de ser relevantes. Los auditores revisan los procedimientos para identificar, evaluar y despúes de ello probar los controles sobre los procesos del negocio. Los controles integrados en los procedimientos son evaluados para asegurar que cumplan los objetivos de control necesarios, mientas hacen el proceso tan eficiente y práctico como sea posible. Cuando las prácticas operativas no coinciden con los procedimientos documentados o cuando los procedimientos documentados no existen, es sumamente complicado identificar los controles y asegurar que estén en operación continua.
Uno de los aspectos más críticos relacionados con los procedimientos es que ellos deben ser bien conocidos por las personas a los que estos gobiernan. Un procedimiento que no es conocido completamente por el personal que lo tiene que usar, es esencialmente inefectivo. Por lo tanto, se debe prestar especial atención a los métodos de despliegue y automatización de mecanismos para almacenar, distribuir y administrar los procedimientos de TI.
Una revisión independiente es necesaria para asegurar que las políticas y los procedimientos hayan sido debidamente documentados, comprendidos e implementados. El revisor debe mantener su independencia en todo momento y no debe ser influenciado por nadie del grupo que está siendo inspeccionado. La evidencia del trabajo realizado debe ser adecuada y debe proveer a quien revisa un nivel de confianza de que el trabajo fue efectuado en cumplimiento de las políticas y procedimientos establecidos. Se pueden realizar revisiones como parte de una función de TI implementando el Modelo de Madurez de Capacidad del Instituto de Ingeniería de Software o estándares ISO.
Acorde a ISACA, los procedimiendos son documentos detallados. Deben derivarse de la política madre e implementar el espíritu (la intención) de la aseveración de la política. Los procedimientos deben ser escritos en una forma clara y concisa, de modo que sean comprendidos fácil y correcta% por todos los que se deben regir por ellos. Los procedimientos documentan procesos de negocio (administrativos y operacionales) y los controles integrados en los mismos. Los procedimientos son formulados por la gerencia media como una traducción efectiva de las políticas.
Los Procedimientos desde la óptica de la Auditoria:
Generalmente, los procedimientos son más dinámicos que sus políticas madres. Ellos deben reflejar los continuos cambios en el enfoque del negocio y su ambiente. Por lo tanto, es esencial revisar y actualizar frecuentemente los procedimientos, si ellos han de ser relevantes. Los auditores revisan los procedimientos para identificar, evaluar y despúes de ello probar los controles sobre los procesos del negocio. Los controles integrados en los procedimientos son evaluados para asegurar que cumplan los objetivos de control necesarios, mientas hacen el proceso tan eficiente y práctico como sea posible. Cuando las prácticas operativas no coinciden con los procedimientos documentados o cuando los procedimientos documentados no existen, es sumamente complicado identificar los controles y asegurar que estén en operación continua.
Uno de los aspectos más críticos relacionados con los procedimientos es que ellos deben ser bien conocidos por las personas a los que estos gobiernan. Un procedimiento que no es conocido completamente por el personal que lo tiene que usar, es esencialmente inefectivo. Por lo tanto, se debe prestar especial atención a los métodos de despliegue y automatización de mecanismos para almacenar, distribuir y administrar los procedimientos de TI.
Una revisión independiente es necesaria para asegurar que las políticas y los procedimientos hayan sido debidamente documentados, comprendidos e implementados. El revisor debe mantener su independencia en todo momento y no debe ser influenciado por nadie del grupo que está siendo inspeccionado. La evidencia del trabajo realizado debe ser adecuada y debe proveer a quien revisa un nivel de confianza de que el trabajo fue efectuado en cumplimiento de las políticas y procedimientos establecidos. Se pueden realizar revisiones como parte de una función de TI implementando el Modelo de Madurez de Capacidad del Instituto de Ingeniería de Software o estándares ISO.
Comentarios