La Fortaleza, San Juan, P. R.

(Directores de ISACA: Ms. Balbina Vilar, Directora de Educación; Manuel Marín, Presidente y Ms. Lourdes Ortíz, Directora de Membresía)

Information Sytems
Audit and Control
Association
Office of the President               Puerto Rico Chapter   www.isacapuertorico.com

12 de marzo de 2001

Lcda. Karolee García
Directora Area de Finanzas
Los Pabellones
La Fortaleza
Estado Libre Asociado de Puerto Rico
San Juan, Puerto Rico 00900

Estimada Licenciada:

Gracias por ofrecernos la oportunidad para reunirnos el día 21 del corriente y poder dialogar con usted en referencia a la carta que le enviáramos a la gobernadora Hon. Sila M. Calderón, el 31 de enero de 2001, sobre nuestra disponibilidad para ayudar en el establecimiento de un programa de Auditoría, Control y Seguridad para los Sistemas de Información del gobierno.

Como es de su conocimiento, la tecnología y el uso del Internet continúan creciendo  a paso acelerado esparciéndose geográficamente a todas las dependencias del Estado Libre Asociado de Puerto Rico. Las redes de telecomunicaciones internas, como PRStarNet, y el desarrollo de comunicaciones inalámbricas continúan ofreciendo el puente a la prestación de una gran variedad de  servicios a la comunidad. Una vez estos servicios están disponibles, el consumidor comienza, en gran demanda, la comunicación interactiva  para accesar los sistemas financieros, de salud, adiestramiento a distancia, comercio, requisición de licencias, pagos mensuales y muchos más.

Mientras la tecnología para el bien común crece, el mal acecha. Las amenazas  a la seguridad de estos servicios se demuestra con todo tipo de ataques tales como el virus por medio del correo electrónico, fraude financiero, sabotaje a las redes de comunicaciones, daños internos, activistas y piratas cibernéticos. El efecto ha resultado en el robo de propiedad intelectual, sistemas fuera de servicio y  el gran impacto en la  productividad generando pérdidas financieras de billones de dólares a nivel mundial.  Este gran problema ha propiciado el desarrollo de  métodos y estándares de seguridad y control con el fin de intervenir eficientemente contra estas amenazas. Nuestra Asociación puede ayudar en esto.

Durante los últimos varios años hemos visto que el enfoque de auditoría de sistemas ha ido cambiando hacia uno de más alto nivel en la empresa. Nuestro esfuerzo conlleva la necesidad de continuar expandiendo este concepto concurrentemente con los métodos tradicionales de auditorías internas para ayudar a proteger la empresa de daños potenciales y minimizando el estar expuesto a este tipo de debacles. Por lo tanto, se necesita de nuevos estándares y política publica a través de todos los segmentos de la empresa. Nuestra Asociación se dedica al desarrollo de estos estándares basados en una cooperación mundial de expertos en la informática. Por lo tanto, no hay que reinventar la rueda, ya los tenemos.

En el ámbito federal ya se aprobó la ley de la firma digital concediendo el que un acuerdo entre varias partes, firmado electrónicamente tenga el mismo efecto que una firma en un documento en papel. Eventualmente todos tendremos una firma digital. Igual a este ejemplo, necesitamos llevar a legislación medidas adicionales.

Todos estos conceptos aquí presentados nos llevan a proponer un plan de acción con miras a:

1.      Desarrollar y/o seleccionar las tecnologías y protocolos adecuados para el funcionamiento integrado de las agencias;

2.      Definir la política publica para cada uno de los segmentos de servicio;

3.      Definir los estándares, procedimientos y normas para la implementación de niveles de control y seguridad;

4.      Crear la plaza y ofrecer adiestramientos y certificación de personal gubernamental en Auditor de Sistemas de Información;

5.      Establecer los programas de monitoreo continuo de sistemas y redes de comunicaciones;

6.      Promover un programa para la auditoria de sistemas de información anuales como forma preventiva y curativa para asegurar el buen funcionamiento de los sistemas;

7.      Ser un ente facilitador para llevar a legislación nuevas medidas de informática;

8.      Formalizar un programa u Oficina de Seguridad de Informática (OSI) adscrita a una de las agencias gubernamentales.

En el nivel organizacional, la Oficina del Oficial de Seguridad de Informática añade un aliado potencial a la comunidad existente de auditores internos. Consecuentemente, la estrategia de auditoría de sistemas de información debe ser expandida para incluir al oficial  de Seguridad de Informática concientizando a la alta gerencia a entender: 

  1. El significado de la protección y seguridad de la información relevante a los servicios de comercio electrónico y los riesgos que podrían afectarlos;
  2. El entendimiento de que el público en general no va a aceptar el argumento de que las presentes soluciones tecnológicas en cuanto a la seguridad de la información son satisfactorios;
  3. La interpretación de que la seguridad de información debe verse como una necesidad estratégica de un gobierno a largo plazo y no solamente como un concepto de  auditoría o tecnología.

En resumen, estamos en una etapa de globalización cibernética hacia el comercio electrónico la cual coincide en estrategia de plan de trabajo con el modelo desarrollado para  combatir el problema del Y2K. Mientras el Internet se hace más popular, la infraestructura fundamental de una red de telecomunicaciones transparente deja de existir y no garantiza un servicio óptimo, seguro y disponible.

Entendiendo el concepto aquí expresado y poniéndolo en marcha, significa el comienzo de un nuevo progreso para el desarrollo económico de nuestro país sobre estructuras auditadas y monitoreadas contínuamente.

Estamos dispuestos a participar activamente para materializar estas sugerencias.

Atentamente;

Manuel Marín
Presidente

 

Cc;       Hon. Sila M. Calderón, Gobernadora
Francis Ruiz, Asesor Auxiliar en Finanzas, La Fortaleza
Lcda. Melba Acosta, Directora Ejecutiva, Oficina de Gerencia y Presupuesto

 

Back to Main Page