18/01/2010
I+S 43
Esta es la versión html del archivo http://www.conganat.org/SEIS/is/is43/IS43_15.pdf. G o o g l e genera automáticamente versiones html de los documentos mientras explora la Web.
Page 1
Especial: Auditoría Informática
Auditoría Bioinformática Autores: Coltell, Óscar y Chalmeta, Ricardo. Grupo de Integración y Re-Ingeniería de Sistemas (IRIS). Departamento de Lenguajes y Sistemas Informáticos. Universitat Jaume I. Castellón RESUMEN Se ha partido de COBIT (http://www.isaca.org), que establece cuatro dominios para los sistemas de información. Por otra parte, se han estudiado las características particulares de la investigación genómica, las implicaciones éticas y las tendencias futuras. Además, se han identificado en la Bioinformática, las técnicas, las herramientas y el contexto científico en el que se aplican y si se aplican correctamente. Entonces, se presenta una adaptación del COBIT para la Bioinformática
que incorpora un dominio para la ética y buenas prácticas y otro para la aplicación y difusión de todos los sistemas, técnicas y herramientas. Cada uno de los dominios se divide en procesos que tienen unos objetivos de control generales. Y a cada uno de estos le corresponde un conjunto de objetivos detallados y guía de auditoría. La aplicación de este marco daría lugar a la Auditoría Bioinformática. Esta propuesta corresponde a un trabajo en curso que está en su primera fase, el planteamiento de dominios y procesos.
PALABRAS CLAVE Auditoría de Sistemas Bioinformáticos, BioAuditoría Informática, Tecnologías de la Información, COBIT, Bioinformática, Bioética, Protección de Datos Genéticos.
1. AUDITORÍA SOBRE LA BIOINFORMÁTICA Dado el carácter multidisciplinario de la Bioinformática y en función de la agrupación de problemas que se ha mostrado en la Tabla 1, en la auditoría de esta disciplina concurren distintos aspectos clásicos a estudiar: organización y planificación, diseño y desarrollo de sistemas de información, adquisición de recursos, seguridad física y lógica, protección de datos, calidad de servicio, rendimiento y eficiencia, etc. Pero también hay otros que normalmente no se tratan: bioética, metodología científica, protocolos experimentales, estructuración y análisis de datos, etc. 1.1. Planteamiento inicial de la auditoría
en el que se enmarca, no se describen exhaustivamente todos los pasos y aspectos del proceso, sino los más destacables. El contexto del problema es la aplicación de una auditoría de sistemas de información global a la propia disciplina de Bioinformática en la forma que se ha caracterizado en la sección primera, teniendo en cuenta que ha surgido como la concurrencia de diversas disciplinas científicas y tecnológicas. Sin embargo, dado que su contribución es mayor que el resto, se restringe el contexto a las disciplinas Biología Molecular y Genética, Ciencia de la Computación e Ingeniería Informática. La auditoría global se desglosa en auditorías sobre áreas y en auditorías tecnológicas . El alcance del estudio consiste en la auditoría sobre la aplicación de teorías y metodologías científicas, técnicas y protocolos experimentales, metodologías y técnicas de ingeniería, tecnologías y políticas e instrumentos de investigación y gestión. Todo ello restringido a la Bioinformática relacionada con el estudio de individuos de la especie humana, que se podría denominar Bioinformática Humana. Por tanto, el objetivo de la auditoría es la caracterización de un proceso de auditoría arquetípico sobre la Bioinformática Humana para descubrir si el marco metodológico es o no adecuado. Una vez establecidos el contexto del problema el alcance del estudio y el objetivo de la auditoría, la identificación 1,8
Para establecer el punto de partida de la auditoría sobre la Bioinformática, es necesario determinar el contexto del problema y el alcance del estudio. Esto ayuda a eliminar los aspectos irrelevantes para el estudio. A continuación, se deben identificar y caracterizar los elementos del problema a auditar, que se agrupan en el Espacio del Problema de Auditoría. A partir de este espacio, se debe determinar si todos los elementos son elementos de riesgo o no y los riesgos asociados a los mismos. Esto se hace mediante un análisis preliminar de riesgos. Finalmente, aplicando un análisis de riesgos más detallado, se deben obtener las posibles soluciones de control y objetivos de auditoría. La realización de este proceso debe mostrar si
http://74.125.155.132/scholar?q=cac…
1/10
18/01/2010
I+S 43 de los elementos del Espacio del Problema de Auditoría ha dado como resultado lo que se muestra en la Tabla 3. Dado que este trabajo está en curso, no se puede afirmar
los instrumentos de ASI son adecuados o no para el problema establecido. Dado que este documento debe respetar una extensión establecida por el contexto científico
15
Page 2
Especial: Auditoría Informática que estos elementos son los únicos que existen, sino que están sometidos a continua revisión a medida que va avanzando el proyecto. La Tabla 1 establece la relación entre elementos del Espacio y las categorías o subcategorías de problemas que se incluyen en la Tabla 1 del artículo “La disciplina de
Bioinformática: definición y caracterización”. A cada uno de los elementos se le ha asignado un código que lo representará en los siguientes pasos. El sistema de codificación aplicado toma las iniciales “EAB”, acrónimo de “Espacio de Auditoría Bioinformática”, y añade un número secuencial de dos cifras.
Tabla 1. Elementos del Espacio del Problema de Auditoría y su relación con las Áreas y Problemas de Bioinformática
Áreas y Problemas de Bioinformática datos
Elemento del Espacio del Problema de Auditoría
Código
Nuevas gestión funciones secuencias estructuras Análisis de Análisis de Análisis de Gestión del tecnologías conocimiento Simulación de Adquisición en Organización y Análisis e interde computación de Seguridad tección ydeprodatos Nuevos Almacenamiento enfoques y gestión de datos intercambio pretación de datos procesos biológicos
EAB01
•
•
•
•
•
•
Teoría científica informática EAB02
•
•
•
•
•
•
•
Metodología informática
EAB03
•
•
•
•
•
•
Técnica experimental
EAB04
•
•
•
•
Protocolo experimental
EAB05
•
•
•
Formalización de datos
EAB06
•
•
•
•
Interpretación de datos
EAB07
•
•
•
•
Datos sensibles
EAB08
•
•
•
•
•
Uso de los datos
EAB09
•
•
•
•
•
Bioética
EAB10
•
•
•
•
•
•
Seguridad
EAB11
•
•
•
•
•
•
•
Eficiencia
EAB12
•
•
•
•
•
•
•
•
•
•
•
Calidad
EAB13
•
•
•
•
•
•
•
•
•
•
Sistemas SW
EAB14
•
•
•
•
•
•
•
•
•
•
Sistemas HW
EAB15
•
•
•
•
•
•
•
•
•
•
Sistemas instrumentales
EAB16
•
•
•
•
Políticas de Investigación
EAB17
Sistemas de Investigación
EAB18
Políticas de gestión
EAB19
Sistemas de gestión
EAB20
Tecnologías biológicas
EAB21
•
•
•
•
Tecnologías de la información EAB22
•
•
•
•
•
•
•
•
•
•
Capacidad profesional
EAB23
•
•
•
•
•
•
•
•
•
•
•
•
Formación específica
EAB24
•
•
•
•
•
•
•
•
•
•
•
•
Teoría científica biológica
http://74.125.155.132/scholar?q=cac…
•
•
•
•
•
•
•
• •
•
•
•
•
•
•
•
•
•
• •
•
•
•
•
•
•
•
•
•
•
•
• • •
2/10
18/01/2010
I+S 43 EAB25
Capacidad de coordinación
•
•
•
•
•
•
•
•
•
•
•
•
16
Page 3
Especial: Auditoría Informática proyecto. Las áreas de auditoría se distinguen mediante la inicial “A” delante del término correspondiente. Las auditorías tecnológicas se distinguen mediante la inicial “T” delante del término correspondiente. La lista de tipos de auditorías está compuesta por 18 variantes, pero no es exhaustiva, de forma que se pueden incorporar o eliminar las variantes que no sean interesantes para el estudio.
1.2. Análisis de riesgos El análisis preliminar de riesgos se inicia con un análisis de correspondencia entre las áreas de auditoría y auditorías tecnológicas y los elementos del Espacio del Problema de Auditoría (EEPA) identificados en la Tabla 1. Así, se puede ver qué elementos son auditables por qué tipo de auditoría. La Tabla 2 establece la relación obtenida en el desarrollo del
Tabla 2. Áreas de Auditoría y Auditorías Tecnologías que se relacionan con los elementos del Espacio del Problema de Auditoría identificados
Áreas de Auditoría y Auditoriías
T. EDI T. Redes T. EIS / DSS T. Ofimática T. Aplicaciones T. Entornos CASE A. Jurídica y Legal T. Bases de Datos A. Seguridad Física Lógica Núm.Expertos Elem. / Audit. A.plotac. Seguridad T. Microordenadores T. Sistemas A. Organiz. y gestión T. Proceso distribuido A. Produc. y ex T. Sistemas operativos T. Desarrollo proyectos A. Calidad
Tecnológicas
EAB01
•
1
EAB02
•
1
EAB03
•
EAB04
•
•
2 1
EAB05
0
EAB06
•
•
•
•
4
EAB07
0
EAB08
•
•
•
EAB09
•
•
•
EAB10
•
•
•
•
•
7
•
•
•
•
8
•
EAB11
•
•
•
•
•
•
•
•
•
•
•
•
•
15
•
•
•
•
•
•
•
•
•
•
•
•
12
•
•
•
•
•
•
•
•
•
•
•
•
•
13
•
•
•
•
•
•
•
•
•
•
•
14
•
•
•
•
•
•
•
•
EAB15
•
•
•
•
•
•
•
EAB17
•
EAB18
•
EAB19
•
EAB20
•
EAB21
3
•
EAB14
EAB16
•
•
•
EAB12 EAB13
•
•
10 •
5 •
•
•
•
2
•
5 •
•
•
•
• •
EAB22
•
•
EAB23
•
•
EAB24
•
•
EAB25
•
•
http://74.125.155.132/scholar?q=cac…
•
•
•
•
2
•
8
• •
•
•
•
•
• •
•
3 •
•
11 • •
•
4 •
5 3
3/10
18/01/2010
I+S 43 Núm. Audit./ Elem. 10
10
5
4
14
5
7
6
8
8
8
6
16
11
6
4
6
17
5
Page 4
Especial: Auditoría Informática Una vez efectuado el análisis para la identificación de riesgos, según los criterios de información e investigación para Bioinformática, el resultado es la asociación de riesgos a los elementos del Espacio del Problema de Auditoría (EEPA) y
que se resume en la Tabla 3. Las intersecciones en la fila que ocupa cada uno de los EEPA indican los riesgos directos sobre dichos elementos. Por ejemplo, el elemento EAB01 tiene riesgos directos sobre la adecuación teórica y profesional.
Tabla 3. Identificación de riesgos asociados a los elementos del Espacio del Problema de Auditoría
Elementos del Espacio del problema de Auditoría
18
Código
teórica técnica Fiabilidad Privacidad profesional Eficiencia efectividad yIntegridad Adecuación Adecuación Adecuación Adecuación metodológica Cumplimiento Disponibilidad Ética Científica Confidencialidad
Teoría científica biológica
EAB01
•
•
Teoría científica informática
EAB02
•
•
Metodología informática
EAB03
•
•
Técnica experimental
EAB04
•
•
•
Protocolo ex perimental
EAB05
•
Formalización de datos
EAB06
Interpretación de datos
EAB07
Datos sensibles
EAB08
Uso de los datos
EAB09
Bioética
EAB10
Seguridad
EAB11
Eficiencia
EAB12
Calidad
EAB13
Sistemas SW
EAB14
•
•
•
•
•
Sistemas HW
EAB15
•
•
•
•
•
Sistemas instrumentales
EAB16
•
•
•
•
Políticas de investigación
EAB17
Sistemas de investigación
EAB18
•
Políticas de gestión
EAB19
•
Sistemas de gestión
EAB20
•
•
Tecnologías biológicas
EAB21
•
•
•
Tecnologías de la información
EAB22
•
•
•
Capacidad profesional
EAB23
Formación específica
EAB24
Capacidad de coordinación
EAB25
•
• •
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
• •
•
• •
•
•
•
•
•
•
•
•
•
• •
•
•
• •
•
•
•
• •
•
•
Los criterios de información son los establecidos en el COBIT. Sin embargo, los criterios de investigación se han tenido que fijar específicamente para este contexto según las buenas prácticas de investigación científica. Estos criterios son los siguientes: 1. Adecuación teórica: Los enfoques teóricos científicos
http://74.125.155.132/scholar?q=cac…
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
con mayor grado el problema. 2. Adecuación metodológica: Las metodologías científicas seleccionadas son las más adecuadas según el marco teórico y tecnológico . 3. Adecuación técnica: Las técnicas aplicadas son las más adecuadas según el marco teórico y metodológico . 10
1,3,1
4/10
18/01/2010 18
I+S 43 aplicados son los que realmente explican y predicen
4. Adecuación profesional: El científico y el técnico, que
Page 5
Especial: Auditoría Informática intervienen en la investigación, tienen la formación científica, técnica y tecnológica adecuada. 5. Ética científica: El científico y el técnico, que intervienen en la investigación, procuran usar la información adquirida, los recursos de investigación y los resultados obtenidos conforme a las normas éticas vigentes . El siguiente paso consiste en la aplicación del proceso metodológico del COBIT para construir un modelo de desarrollo de auditoría para la Bioinformática. El modelo consiste en un subconjunto de objetivos de control y de guías de auditoría para auditar dichos objetivos. En primer lugar, se construye el modelo en función de los dominios y los procesos de cada dominio. En este modelo se busca la adscripción a un dominio y un proceso determinado de cada una de los EEPA . El proceso concreto es el siguiente: 1. Asignación de los elementos del Espacio del Problema de Auditoría a los Dominios de COBIT correspondientes , según los factores de riesgo identificados en la Tabla 5. Hay cuatro dominios distintos. 2. Asignación de los elementos del Espacio del Problema de Auditoría a los Procesos de TI de COBIT correspondientes , según los factores de riesgo identificados en la Tabla 5. Hay 34 procesos distintos. 3. Asignación de los elementos del Espacio del Problema de Auditoría a Objetivos de Control de Alto Nivel de COBIT correspondientes , según los factores de riesgo identificados en la Tabla 5. Hay 34 objetivos distintos, uno por cada proceso. 10
3
1
1
5
4. Asignación de los elementos del Espacio del Problema de Auditoría a Objetivos de Control Detallados de COBIT correspondientes , según los resultados del paso anterior. Hay 302 objetivos detallados distintos, con más de uno por cada objetivo de alto nivel. 5. Selección de las Guías de Auditoría de COBIT, según los Objetivos de Control de Bajo Nivel asignados, y adaptación de las mismas al contexto y alcance previamente fijados . 6. Elaboración de la guía de auditoría específica para la Bioinformática. 7. Aplicación de la guía de auditoría redactada en el paso anterior. Dado que el proyecto en que se desarrolla esta auditoría está en curso, hasta la actualidad se han cubierto completamente los pasos 1 a 3. El paso 4 se ha realizado parcialmente porque solamente se han revisado los objetivos de control detallados con respecto al desarrollo y gestión de proyectos de investigación. También se dispone de un borrador que es la Guía de Auditoría para la parte estudiada en el paso 4. El resultado de la aplicación de los Pasos 1 y 2 está presentado de forma resumida en la Tabla 4 (no se muestra la Tabla correspondiente a la asignación de objetivos de control de alto nivel). Se puede apreciar que los elementos que no son exclusivamente de TI, como las teorías, protocolos, bioética, etc., tienen poca intersección con los dominios (1 o 2 como máximo). Esto empieza a dar idea de las carencias del marco metodológico cuando se pretende realizar una auditoría científico-tecnológica. 5
3
Tabla 4. Asignación de Dominios de COBIT a elementos del Espacio del Problema de Auditoría
Elemento del Espacio del Problema de Auditoría
Código
P. Planificación y Organización
A. Adquisición e Implementación
D. Distribución
M.
Número de
y soporte
Monitorizción
Asignaciones
Teoría científica biológica
EAB01
•
1
Teoría científica informática
EAB02
•
1
Metodología informática
EAB03
•
Técnica experimental
EAB04
•
Protocolo experimental
EAB05
Formalización de datos
EAB06
Interpretación de datos
EAB07
Datos sensibles
EAB08
Uso de los datos
EAB09
Bioética
EAB10
•
Seguridad
EAB11
•
•
•
•
4
Eficiencia
EAB12
•
•
•
•
4
Calidad
EAB13
•
•
•
•
4
Sistemas SW
EAB14
•
•
•
3
Sistemas HW
EAB15
•
•
Sistemas instrumentales
EAB16
•
Políticas de investigación
EAB17
http://74.125.155.132/scholar?q=cac…
•
•
2
•
3 0
•
•
2
•
3
•
2
0 •
•
•
•
1
2 •
2 1
19
5/10
18/01/2010
I+S 43
Page 6
Especial: Auditoría Informática Tabla 4 (continuación). Asignación de Dominios de COBIT a elementos del Espacio del Problema de Auditoría
Elemento del Espacio del
Código
Problema de Auditoría
A. Adquisición e Implementación
D. Distribución
M.
Número de
y soporte
Monitorizción
Asignaciones
Sistemas de investigación
EAB18
•
Políticas de gestión
EAB19
•
Sistemas de gestión
EAB20
•
•
Tecnologías biológicas
EAB21
Tecnologías de la información
EAB22
•
•
Capacidad profesional
EAB23
•
1
Formación específica
EAB24
•
1
Capacidad de coordinación
EAB25
•
1
1.3. El modelo de auditoría bioinformática El modelo de desarrollo de auditoría para la Bioinformática basado en el COBIT se completa con la caracterización de las funciones principales de la Bioinformática (FPB) a partir de los EEPA, estableciendo una correspondencia en el modelo, M: EAB --> FPBj. Estas funciones sirven para racionalizar los esfuerzos en la aplicación de la auditoría en los pasos de asignación de dominios, procesos y objetivos de control de COBIT y son las siguientes: 1. FPB01. Función de Investigación Teórica: Corresponde a las actividades de investigación básica, tanto biológica como informática, para la búsqueda de teorías y selección de las más adecuadas en función de la naturaleza del problema, y la elección de líneas de investigación que contribuyan positivamente a la comunidad. Comprende los elementos siguientes: EAB01, EAB02 y EAB10. 2. FPB02. Función de Gestión de la Investigación: Corresponde a las actividades relacionadas con la organización y gestión de la investigación en todos los aspectos. Comprende los elementos siguientes: EAB12, EAB13, EAB17, EAB19, EAB20 y EAB25. 3. FPB03. Función de Aplicación de la Investigación: Corresponde al desarrollo de la investigación en todos los aspectos a partir de las teorías seleccionadas. Comprende los elementos siguientes: EAB03, EAB04, EAB05, EAB06, EAB08, EAB12. EAB13, EAB14, EAB15, EAB16 y EAB18. 4. FPB04. Función de Desarrollo Tecnológico: Corresponde a las actividades de búsqueda, adaptación y desarrollo de las tecnologías necesarias para la disciplina. Comprende los elementos siguientes: EAB21 y EAB22. 5. FPB05. Función de Formación: Corresponde a las actividades de formación y preparación de los investigadores y técnicos que van a trabajar en la investigación y el desarrollo en esta disciplina. Comprende los elementos siguientes: EAB23 y EAB24. i
20
P. Planificación y Organización
http://74.125.155.132/scholar?q=cac…
2
•
1 •
3 1
• •
•
4
6. FPB06. Función de Seguridad y Protección de la Información: Corresponde a las actividades de seguridad en general y de uso adecuado de la información, tanto la aportada externamente a la investigación, como la que generan los propios experimentos. Comprende los elementos siguientes: EAB07, EAB08, EAB09, EAB11 y EAB13. Hay algunos EEPA que son comunes en más de una función, como por ejemplo, la Calidad y la Seguridad, ya que las funciones no son absolutamente excluyentes. De la misma forma que se ha hecho en la subsección anterior, se procede a la adscripción a un dominio y un proceso determinado de cada una de las funciones identificadas. Para cada función se determina el grado de cumplimiento de los objetivos de gestión: P, Primario; y S, Secundario (3). En la Tabla 7 se puede ver el resultado respecto de los dominios y procesos de IT. A continuación, para cada uno de los procesos que se relacionan con las funciones identificadas, con un grado de cumplimiento P o S, se obtienen los Objetivos de Control de Alto Nivel (5), uno por cada proceso, y los Objetivos de Control Detallados, que suelen ser más de uno por proceso. Por ejemplo, para el proceso P01, Definir un plan estratégico de sistema, que consta de seis objetivos detallados, la función de Investigación Teórica (FPB01) debe auditarse con los siguientes objetivos de control detallados para cada uno de los aspectos de este proceso: 1. P01.1. Tecnología de Información como parte del Plan de la Organización a corto y largo plazo: La gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas de la organización. 2. ...... 3. P01.6. Evaluación de Sistemas Existentes: La Gerencia de servicios informáticos debe evaluar los sistemas existentes en términos de nivel de automatización de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades.
6/10
18/01/2010
I+S 43
Page 7
Especial: Auditoría Informática Dadas las características de la función FBP01, se ha apreciado que la misma tiene un grado de cumplimiento secundario con los objetivos de control de este proceso y con otros del mismo dominio. Y ninguna relación con el resto de dominios, según se muestra en la Tabla 5. Por lo tanto, las relaciones entre la FPB01 y los dominios, procesos y objetivos de COBIT son bastante indirectas o débiles. Este es un caso singular si se compara con el resto de funciones, donde sí hay relaciones más fuertes con la estructura de COBIT. Seguidamente, el modelo desglosado por los Objetivos
de Control Detallados se sigue extendiendo mediante la aplicación de las pautas y procedimientos de Auditoría que se detallan en el COBIT Audit Guidelines . Por supuesto, este modelo no es sencillo sino bastante complejo y debe estar apoyado por la utilización de distintas herramientas informáticas que proporciona el mismo COBIT , o que proporcionan otros proveedores. De forma alternativa, el modelo se puede aplicar por medio de un conjunto de hojas de cálculo relacionadas entre sí para poder desglosar los Procesos, Objetivos Generales, Objetivos Concretos y Procedimientos de Auditoría. 3
7
Tabla 5. Dominios y Procesos de COBIT que intervienen sobre las funciones principales de la Bioinformática PROCESOS
FUNCIONES PRINCIPALES
DOMINIO Nº Planeación y Organización
DENOMINACIÓN
PO1 Definir un plan estratégico de sistema PO2 Definir la arquitectura de información PO3 Determinar la dirección tecnológica PO4 Definir la organización y sus relaciones PO5 Administrar las inversiones (en TI) PO6 Comunicar la dirección y objetivos de gerencia PO7 Administrar los recursos humanos PO8 Asegurar el apego a disposiciones externas PO9 Evaluar riesgo PO10 Administrar proyecto
FPB01 FPB02 FPB03 FPB04 FPB05 FPB06
S S S
S
P P P S P S P P P
P P P
P P
S P S P P
P
S
S
P
P P
PO11 Administrar calidad
P
P
P
AI1 Identificar soluciones de automatización AI2 Adquirir y mantener software de aplicación AI3 Adquirir y mantener la arquitectura tecnológica
P P P
P S S
P
S S
AI4 Desarrollar y mantener procedimiento AI5 Instalar y acreditar sistemas de información AI6 Administrar cambios
S P S
P S P
S S P
P
Entrega
DS1 Definir niveles de servicio
P
P
P
de Servicios
DS2 Administrar servicios de terceros DS3 Administrar desempeño y capacidad DS4 Asegurar continuidad de servicio DS5 Garantizar la seguridad de sistema DS6 Identificar y asignar costo
P P P
P P S
S P P P
P P
P
P
P
P
P P P
S S S
P P
S
P P
Adquisición e Implementación
y Soporte
DS7 Educar y capacitar a usuario DS8 Apoyar y orientar a clientes DS9 Administrar la configuración DS10 Administrar problemas e incidente DS11 Administrar la información DS12 Administrar las instalaciones DS13 Administrar la operación
Monitorización
S
P
S
P
P
P P
M1 M2
Monitorear el proceso Evaluar lo adecuado del control interno
P S
P
S
P P
M3 M4
Obtener aseguramiento independiente Proporcionar auditoría independiente
S
S P
P P
P P
http://74.125.155.132/scholar?q=cac…
21
7/10
18/01/2010
I+S 43
Page 8
Especial: Auditoría Informática En el proyecto en curso, las actividades que se están realizando en la actualidad están en la fase de revisión de los objetivos detallados y la elaboración de la Guía de Auditoría. 2. PROPUESTA METODOLÓGICA PARA LA AUDITORÍA BIOINFORMÁTICA En la realización de una auditoría sobre la Bioinformática, según se ha descrito en la sección anterior, se ha podido medir la capacidad de expresividad metodológica de COBIT para el contexto y el alcance especificados previamente. Esta medición ha producido buenos resultados en las FPB compuestas de EEPA relacionados directamente con las TI. Sin embargo, carece de potencia metodológica cuando se trata de aplicarlo a funciones compuestas de
EEPA relacionados directamente con los enfoques y actividades científicas. Esto confirma la hipótesis que se había formulado antes de iniciar el proyecto de auditoría: el COBIT no es adecuado para la realización de auditorías científicas o científico-tecnológicas. Por tanto, ha sido necesario formular un marco metodológico alternativo o una extensión de COBIT para el contexto científico tecnológico. La propuesta que se presenta en este trabajo es el COBSIT (Control Objectives for Bioinformatics: Science, Information and related Technology - Objetivos de Control para la Bioinformática: Ciencia, Información y Tecnologías Afines). Esta extensión consiste en la creación de dos nuevos dominios con sus respectivos procesos, objetivos de control y guías de auditoría, tal y como se puede observar en la Tabla 6.
Tabla 6. Propuesta para la extensión de COBIT en nuevos Dominios y Procesos para el contex to científico: el COBSIT PROCESOS DOMINIO Nº Investigación y Difusión (Research and Publishing)
Desarrollo y Formación Científicas (Scientific Development and Training)
22
DENOMINACIÓN
RP01
Definir un plan estratégico de investigación
RP02 RP03
Determinar la dirección científica Identificar teorías formales
RP04
Identificar soluciones teóricas
RP05 RP06
Asegurar la sumisión a disposiciones bioéticas Evaluar riesgo científico
RP07
Administrar la privacidad de la información
RP08 RP09
Administrar los recursos científicos Instalar y acreditar sistemas de investigación
RP10
Identificar soluciones bioinformáticas
RP11 RP12
Adquirir y mantener instrumental científico Adquirir y mantener software científico
RP13
Administrar la difusión de la información
RP14 RP15
Instalar y acreditar sistemas de difusión Proporcionar evaluación independiente
ST01 ST02
Definir un plan estratégico de desarrollo Identificar soluciones técnicas y procedimentales
ST03 ST04
Desarrollar técnicas y protocolos Definir un plan estratégico de formación
ST05
Formar y capacitar al investigador
ST06 ST07
Formar y capacitar al técnico Apoyar y orientar al investigador
ST08
Garantizar la ética científica
Estos nuevos dominios tienen la siguiente justificación: • Dominio RP. Investigación y Difusión (Research and Publishing): Comprende los procesos y objetivos de control relacionados con la identificación estratégica y teórico de la investigación en Bioinformática, con la formulación de planes de investigación y su desarrollo, con la
http://74.125.155.132/scholar?q=cac…
formulación y actividades de difusión de la información científica, y con las garantías éticas y de privacidad de la información y la práctica científica. • Dominio ST. Desarrollo y Formación Científicas (Scientific Development and Training): Comprende los procesos y objetivos de control relacionados con el desarro-
8/10
18/01/2010
I+S 43
Page 9
Especial: Auditoría Informática llo de técnicas y procedimientos científicos y tecnológicos, con la formación científica y técnica del personal bioinformático, y con el apoyo al investigador y la garantía de ética científica del mismo. Con esta alternativa definida, se ha procedido entonces a la adscripción de cada una de las FPB a los nuevos
dominios y procesos planteados. Para cada función también se ha determinado el grado de cumplimiento de los objetivos de gestión: P, Primario; y S, Secundario (3). En la Tabla 7 se puede ver el resultado específico (donde no se muestran los dominios y procesos de IT del COBIT).
Tabla 7. Los nuevos Dominios y Procesos de COBSIT que intervienen sobre las funciones principales de la Bioinformática ESTRUCTURA DE COBIT
bioinformática
PROCESOS
FUNCIONES PRINCIPALES
DOMINIO Nº Investigación y Difusión
DENOMINACIÓN
FPB01
RP02 Determinar la dirección científica RP03 Identificar teorías formales RP04 Identificar soluciones teóricas
P P P
RP05 Asegurar la sumisión a disposic. bioéticas RP06 Evaluar riesgo científico RP07 Administrar la privacidad de la información
P
RP11 Adquirir y mantener instrumental científico RP12 Adquirir y mantener software científico RP13 Administrar la difusión de la información
S
S
RP14 Instalar y acreditar sistemas de difusión RP15 Proporcionar evaluación independiente
Científicas
FPB03
FPB04
FPB05
FPB06
RP01 Definir un plan estratégico de investigación P
RP08 Administrar los recursos científicos S RP09 Instalar y acreditar sistemas de investigación RP10 Identificar soluciones bioinformáticas
Desarrollo y Formación
FPB02
ST01 Definir un plan estratégico de desarrollo ST02 Identificar soluc. técnicas y procedimentales
El resto de pasos puede aplicar como se ha descrito en las secciones anteriores para el COBIT. Pero, por limitaciones en la extensión, no se incluyen los resultados subsiguientes. 3. CONCLUSIONES La Bioinformática es una disciplina científico-tecnológica multidisciplinar donde concurren principalmente la Biología Molecular y Genética y la Ciencia de la Computación y la Ingeniería Informática. Dado la espectacular evolución que ha sufrido en poco tiempo y su cariz multidisciplinar, en la actualidad no existen enfoques y sistemas de evaluación e inspección global para dicha disciplina.
http://74.125.155.132/scholar?q=cac…
S P P
P
P P P
P S
P
S
S
P
P
P P S
P
P S
S
S
P P
P
ST03 Desarrollar técnicas y protocolos ST04 Definir un plan estratégico de formación ST05 Formar y capacitar al investigador ST06 Formar y capacitar al técnico ST07 Apoyar y orientar al investigador ST08 Garantizar la ética científica
P P P
S S
P P
S
P S
S
P
S P
S
P P
P S
P P P
S S S
Como alternativa, se ha pensado en aplicar los planteamientos propios de la Auditoría de Sistemas de Información. Uno de los principales es el COBIT, un marco metodológico formal ampliamente aceptado por la comunidad de auditores, y que permite elaborar modelos de auditoría específicos para los contextos y alcances previamente establecidos. La hipótesis de partida ha sido que COBIT no aportaba la potencia y expresividad metodológica necesaria para realizar auditorías de tipo científicotecnológico. Por tanto, se ha presentado el diseño general de un Modelo de Auditoría, basado en COBIT, para el contexto de la Bioinformática aplicada a la investigación sobre individuos humanos, denominada Bioinformática Humana.
23
9/10
18/01/2010
I+S 43
Page 10
Especial: Auditoría Informática Este modelo ha dado la oportunidad de descubrir las carencias de COBIT para el contexto mencionado. Aunque no se dispone de todos los datos, ya que el proyecto está en curso, los resultados parciales indican que, para las funciones que no sean específicamente de TI, los procesos y objetivos de control tienen mucha utilidad. Por lo tanto, se ha formulado una propuesta que significa una extensión al COBIT, denominado COBSIT (Control Objectives for Bioinformatics: Science, Information and related Technology - Objetivos de Control para la Bioinformática: Ciencia, Información y Tecnologías Afines), en el que incluyen dos nuevos dominios con sus procesos y objetivos de control asociados: el Dominio de Investigación y Difusión y el Dominio de Desarrollo y Formación Científicas. Esta propuesta no está completa ya que es necesario desarrollar todavía los Objetivos de Control Detallados y las Guías de Auditoría correspondientes. Y además, constituye una primera versión sujeta a crítica y revisión, tanto en el seno del proyecto en curso, como por la comunidad científica. AGRADECIMIENTOS Este trabajo ha sido financiado en parte por la red temática de investigación cooperativa en el área de Biomedicina, denominada G03/160 “INBIOMED. Plataforma de almacenamiento, integración y análisis de datos clínicos, genéticos, epidemiológicos e imágenes orientada a la investigación sobre patologías”. Su coordinador es el Dr. Fernando Martín, del Instituto de Salud Carlos III. Además, las primeras versiones de este documento se desarrollaron mientras el autor se encontraba disfrutando de una beca de movilidad del profesorado financiada por el Ministerio de Educación y Ciencia de España, con el código PR2003-0063.
BIBLIOGRAFÍA 1.2. Benal R., Coltell O. Auditoría de los Sistemas de Información (reimpresión). Servicio de Publicaciones de la Universidad Politécnica de Valencia, Valencia, 1999. 2.4. Cornell M., Paton N.W., Wu S., Goble C.A., Miller C.J., Kirby P., Eilbeck K., Brass A., Hayes A., Oliver S.G. “GIMS-A Data Warehouse for Storage and Analysis of Genome Sequence and Functional Data”. EBI, the European Bioinformatics Institute (EMBL Outstation, Hinxton, UK), http://www.ebi.ac.uk/ (accedido 6/0272002). 3.6. Ermolaeva O., Rastogi M., Pret K.D., Schuler G.D., Bittner M.L., Chen Y., Simon R., Meltzer P., Trent J.M., Boguski M.S. “Data management and analysis for gene expression arrays”. Nature genetics, 20; 1998: 19-23. 4.9. ISACAF-B. COBIT. Framework. 3rd ed. ISACA, Rolling Meadows, IL (USA), 2000. 5.11. ISACAF-D. COBIT. Control Objectives. 3rd ed. ISACA, Rolling Meadows, IL (USA), 2000. 6.12. ISACAF-E. COBIT. Audit Guidelines. 3rd ed. ISACA, Rolling Meadows, IL (USA), 2000. 7.13. ISACAF-F. COBIT. Implementation Tool Set. 3rd ed. ISACA, Rolling Meadows, IL (USA), 2000. 8.17. Piattini M., Del Peso E. (eds.) Auditoría Informática. Un enfoque práctico. Ra-Ma, Madrid, 1998. 9.20. Rondel R. K., Varley S. A., Webb C. (eds.) Clinical Data Management. John Wiley, New York, 1993. 10.21. Sackman H. Biomedical Information Technology. Global Social Responsibilities for the Democratic Age. Academic Press, San Diego, CA (USA), 1997.
24
http://74.125.155.132/scholar?q=cac…
10/10