Page 1

18/01/2010

I+S 43

Esta es la versión html del archivo http://www.conganat.org/SEIS/is/is43/IS43_15.pdf. G o o g l e genera automáticamente versiones html de los documentos mientras explora la Web.

Page 1

Especial: Auditoría Informática

Auditoría Bioinformática Autores: Coltell, Óscar y Chalmeta, Ricardo. Grupo de Integración y Re-Ingeniería de Sistemas (IRIS). Departamento de Lenguajes y Sistemas Informáticos. Universitat Jaume I. Castellón RESUMEN Se ha partido de COBIT (http://www.isaca.org), que establece cuatro dominios para los sistemas de información. Por otra parte, se han estudiado las características particulares de la investigación genómica, las implicaciones éticas y las tendencias futuras. Además, se han identificado en la Bioinformática, las técnicas, las herramientas y el contexto científico en el que se aplican y si se aplican correctamente. Entonces, se presenta una adaptación del COBIT para la Bioinformática

que incorpora un dominio para la ética y buenas prácticas y otro para la aplicación y difusión de todos los sistemas, técnicas y herramientas. Cada uno de los dominios se divide en procesos que tienen unos objetivos de control generales. Y a cada uno de estos le corresponde un conjunto de objetivos detallados y guía de auditoría. La aplicación de este marco daría lugar a la Auditoría Bioinformática. Esta propuesta corresponde a un trabajo en curso que está en su primera fase, el planteamiento de dominios y procesos.

PALABRAS CLAVE Auditoría de Sistemas Bioinformáticos, BioAuditoría Informática, Tecnologías de la Información, COBIT, Bioinformática, Bioética, Protección de Datos Genéticos.

1. AUDITORÍA SOBRE LA BIOINFORMÁTICA Dado el carácter multidisciplinario de la Bioinformática y en función de la agrupación de problemas que se ha mostrado en la Tabla 1, en la auditoría de esta disciplina concurren distintos aspectos clásicos a estudiar: organización y planificación, diseño y desarrollo de sistemas de información, adquisición de recursos, seguridad física y lógica, protección de datos, calidad de servicio, rendimiento y eficiencia, etc. Pero también hay otros que normalmente no se tratan: bioética, metodología científica, protocolos experimentales, estructuración y análisis de datos, etc. 1.1. Planteamiento inicial de la auditoría

en el que se enmarca, no se describen exhaustivamente todos los pasos y aspectos del proceso, sino los más destacables. El contexto del problema es la aplicación de una auditoría de sistemas de información global a la propia disciplina de Bioinformática en la forma que se ha caracterizado en la sección primera, teniendo en cuenta que ha surgido como la concurrencia de diversas disciplinas científicas y tecnológicas. Sin embargo, dado que su contribución es mayor que el resto, se restringe el contexto a las disciplinas Biología Molecular y Genética, Ciencia de la Computación e Ingeniería Informática. La auditoría global se desglosa en auditorías sobre áreas y en auditorías tecnológicas . El alcance del estudio consiste en la auditoría sobre la aplicación de teorías y metodologías científicas, técnicas y protocolos experimentales, metodologías y técnicas de ingeniería, tecnologías y políticas e instrumentos de investigación y gestión. Todo ello restringido a la Bioinformática relacionada con el estudio de individuos de la especie humana, que se podría denominar Bioinformática Humana. Por tanto, el objetivo de la auditoría es la caracterización de un proceso de auditoría arquetípico sobre la Bioinformática Humana para descubrir si el marco metodológico es o no adecuado. Una vez establecidos el contexto del problema el alcance del estudio y el objetivo de la auditoría, la identificación 1,8

Para establecer el punto de partida de la auditoría sobre la Bioinformática, es necesario determinar el contexto del problema y el alcance del estudio. Esto ayuda a eliminar los aspectos irrelevantes para el estudio. A continuación, se deben identificar y caracterizar los elementos del problema a auditar, que se agrupan en el Espacio del Problema de Auditoría. A partir de este espacio, se debe determinar si todos los elementos son elementos de riesgo o no y los riesgos asociados a los mismos. Esto se hace mediante un análisis preliminar de riesgos. Finalmente, aplicando un análisis de riesgos más detallado, se deben obtener las posibles soluciones de control y objetivos de auditoría. La realización de este proceso debe mostrar si

http://74.125.155.132/scholar?q=cac…

1/10


18/01/2010

I+S 43 de los elementos del Espacio del Problema de Auditoría ha dado como resultado lo que se muestra en la Tabla 3. Dado que este trabajo está en curso, no se puede afirmar

los instrumentos de ASI son adecuados o no para el problema establecido. Dado que este documento debe respetar una extensión establecida por el contexto científico

15

Page 2

Especial: Auditoría Informática que estos elementos son los únicos que existen, sino que están sometidos a continua revisión a medida que va avanzando el proyecto. La Tabla 1 establece la relación entre elementos del Espacio y las categorías o subcategorías de problemas que se incluyen en la Tabla 1 del artículo “La disciplina de

Bioinformática: definición y caracterización”. A cada uno de los elementos se le ha asignado un código que lo representará en los siguientes pasos. El sistema de codificación aplicado toma las iniciales “EAB”, acrónimo de “Espacio de Auditoría Bioinformática”, y añade un número secuencial de dos cifras.

Tabla 1. Elementos del Espacio del Problema de Auditoría y su relación con las Áreas y Problemas de Bioinformática

Áreas y Problemas de Bioinformática datos

Elemento del Espacio del Problema de Auditoría

Código

Nuevas gestión funciones secuencias estructuras Análisis de Análisis de Análisis de Gestión del tecnologías conocimiento Simulación de Adquisición en Organización y Análisis e interde computación de Seguridad tección ydeprodatos Nuevos Almacenamiento enfoques y gestión de datos intercambio pretación de datos procesos biológicos

EAB01

Teoría científica informática EAB02

Metodología informática

EAB03

Técnica experimental

EAB04

Protocolo experimental

EAB05

Formalización de datos

EAB06

Interpretación de datos

EAB07

Datos sensibles

EAB08

Uso de los datos

EAB09

Bioética

EAB10

Seguridad

EAB11

Eficiencia

EAB12

Calidad

EAB13

Sistemas SW

EAB14

Sistemas HW

EAB15

Sistemas instrumentales

EAB16

Políticas de Investigación

EAB17

Sistemas de Investigación

EAB18

Políticas de gestión

EAB19

Sistemas de gestión

EAB20

Tecnologías biológicas

EAB21

Tecnologías de la información EAB22

Capacidad profesional

EAB23

Formación específica

EAB24

Teoría científica biológica

http://74.125.155.132/scholar?q=cac…

• •

• •

• • •

2/10


18/01/2010

I+S 43 EAB25

Capacidad de coordinación

16

Page 3

Especial: Auditoría Informática proyecto. Las áreas de auditoría se distinguen mediante la inicial “A” delante del término correspondiente. Las auditorías tecnológicas se distinguen mediante la inicial “T” delante del término correspondiente. La lista de tipos de auditorías está compuesta por 18 variantes, pero no es exhaustiva, de forma que se pueden incorporar o eliminar las variantes que no sean interesantes para el estudio.

1.2. Análisis de riesgos El análisis preliminar de riesgos se inicia con un análisis de correspondencia entre las áreas de auditoría y auditorías tecnológicas y los elementos del Espacio del Problema de Auditoría (EEPA) identificados en la Tabla 1. Así, se puede ver qué elementos son auditables por qué tipo de auditoría. La Tabla 2 establece la relación obtenida en el desarrollo del

Tabla 2. Áreas de Auditoría y Auditorías Tecnologías que se relacionan con los elementos del Espacio del Problema de Auditoría identificados

Áreas de Auditoría y Auditoriías

T. EDI T. Redes T. EIS / DSS T. Ofimática T. Aplicaciones T. Entornos CASE A. Jurídica y Legal T. Bases de Datos A. Seguridad Física Lógica Núm.Expertos Elem. / Audit. A.plotac. Seguridad T. Microordenadores T. Sistemas A. Organiz. y gestión T. Proceso distribuido A. Produc. y ex T. Sistemas operativos T. Desarrollo proyectos A. Calidad

Tecnológicas

EAB01

1

EAB02

1

EAB03

EAB04

2 1

EAB05

0

EAB06

4

EAB07

0

EAB08

EAB09

EAB10

7

8

EAB11

15

12

13

14

EAB15

EAB17

EAB18

EAB19

EAB20

EAB21

3

EAB14

EAB16

EAB12 EAB13

10 •

5 •

2

5 •

• •

EAB22

EAB23

EAB24

EAB25

http://74.125.155.132/scholar?q=cac…

2

8

• •

• •

3 •

11 • •

4 •

5 3

3/10


18/01/2010

I+S 43 Núm. Audit./ Elem. 10

10

5

4

14

5

7

6

8

8

8

6

16

11

6

4

6

17

5

Page 4

Especial: Auditoría Informática Una vez efectuado el análisis para la identificación de riesgos, según los criterios de información e investigación para Bioinformática, el resultado es la asociación de riesgos a los elementos del Espacio del Problema de Auditoría (EEPA) y

que se resume en la Tabla 3. Las intersecciones en la fila que ocupa cada uno de los EEPA indican los riesgos directos sobre dichos elementos. Por ejemplo, el elemento EAB01 tiene riesgos directos sobre la adecuación teórica y profesional.

Tabla 3. Identificación de riesgos asociados a los elementos del Espacio del Problema de Auditoría

Elementos del Espacio del problema de Auditoría

18

Código

teórica técnica Fiabilidad Privacidad profesional Eficiencia efectividad yIntegridad Adecuación Adecuación Adecuación Adecuación metodológica Cumplimiento Disponibilidad Ética Científica Confidencialidad

Teoría científica biológica

EAB01

Teoría científica informática

EAB02

Metodología informática

EAB03

Técnica experimental

EAB04

Protocolo ex perimental

EAB05

Formalización de datos

EAB06

Interpretación de datos

EAB07

Datos sensibles

EAB08

Uso de los datos

EAB09

Bioética

EAB10

Seguridad

EAB11

Eficiencia

EAB12

Calidad

EAB13

Sistemas SW

EAB14

Sistemas HW

EAB15

Sistemas instrumentales

EAB16

Políticas de investigación

EAB17

Sistemas de investigación

EAB18

Políticas de gestión

EAB19

Sistemas de gestión

EAB20

Tecnologías biológicas

EAB21

Tecnologías de la información

EAB22

Capacidad profesional

EAB23

Formación específica

EAB24

Capacidad de coordinación

EAB25

• •

• •

• •

• •

• •

• •

Los criterios de información son los establecidos en el COBIT. Sin embargo, los criterios de investigación se han tenido que fijar específicamente para este contexto según las buenas prácticas de investigación científica. Estos criterios son los siguientes: 1. Adecuación teórica: Los enfoques teóricos científicos

http://74.125.155.132/scholar?q=cac…

con mayor grado el problema. 2. Adecuación metodológica: Las metodologías científicas seleccionadas son las más adecuadas según el marco teórico y tecnológico . 3. Adecuación técnica: Las técnicas aplicadas son las más adecuadas según el marco teórico y metodológico . 10

1,3,1

4/10


18/01/2010 18

I+S 43 aplicados son los que realmente explican y predicen

4. Adecuación profesional: El científico y el técnico, que

Page 5

Especial: Auditoría Informática intervienen en la investigación, tienen la formación científica, técnica y tecnológica adecuada. 5. Ética científica: El científico y el técnico, que intervienen en la investigación, procuran usar la información adquirida, los recursos de investigación y los resultados obtenidos conforme a las normas éticas vigentes . El siguiente paso consiste en la aplicación del proceso metodológico del COBIT para construir un modelo de desarrollo de auditoría para la Bioinformática. El modelo consiste en un subconjunto de objetivos de control y de guías de auditoría para auditar dichos objetivos. En primer lugar, se construye el modelo en función de los dominios y los procesos de cada dominio. En este modelo se busca la adscripción a un dominio y un proceso determinado de cada una de los EEPA . El proceso concreto es el siguiente: 1. Asignación de los elementos del Espacio del Problema de Auditoría a los Dominios de COBIT correspondientes , según los factores de riesgo identificados en la Tabla 5. Hay cuatro dominios distintos. 2. Asignación de los elementos del Espacio del Problema de Auditoría a los Procesos de TI de COBIT correspondientes , según los factores de riesgo identificados en la Tabla 5. Hay 34 procesos distintos. 3. Asignación de los elementos del Espacio del Problema de Auditoría a Objetivos de Control de Alto Nivel de COBIT correspondientes , según los factores de riesgo identificados en la Tabla 5. Hay 34 objetivos distintos, uno por cada proceso. 10

3

1

1

5

4. Asignación de los elementos del Espacio del Problema de Auditoría a Objetivos de Control Detallados de COBIT correspondientes , según los resultados del paso anterior. Hay 302 objetivos detallados distintos, con más de uno por cada objetivo de alto nivel. 5. Selección de las Guías de Auditoría de COBIT, según los Objetivos de Control de Bajo Nivel asignados, y adaptación de las mismas al contexto y alcance previamente fijados . 6. Elaboración de la guía de auditoría específica para la Bioinformática. 7. Aplicación de la guía de auditoría redactada en el paso anterior. Dado que el proyecto en que se desarrolla esta auditoría está en curso, hasta la actualidad se han cubierto completamente los pasos 1 a 3. El paso 4 se ha realizado parcialmente porque solamente se han revisado los objetivos de control detallados con respecto al desarrollo y gestión de proyectos de investigación. También se dispone de un borrador que es la Guía de Auditoría para la parte estudiada en el paso 4. El resultado de la aplicación de los Pasos 1 y 2 está presentado de forma resumida en la Tabla 4 (no se muestra la Tabla correspondiente a la asignación de objetivos de control de alto nivel). Se puede apreciar que los elementos que no son exclusivamente de TI, como las teorías, protocolos, bioética, etc., tienen poca intersección con los dominios (1 o 2 como máximo). Esto empieza a dar idea de las carencias del marco metodológico cuando se pretende realizar una auditoría científico-tecnológica. 5

3

Tabla 4. Asignación de Dominios de COBIT a elementos del Espacio del Problema de Auditoría

Elemento del Espacio del Problema de Auditoría

Código

P. Planificación y Organización

A. Adquisición e Implementación

D. Distribución

M.

Número de

y soporte

Monitorizción

Asignaciones

Teoría científica biológica

EAB01

1

Teoría científica informática

EAB02

1

Metodología informática

EAB03

Técnica experimental

EAB04

Protocolo experimental

EAB05

Formalización de datos

EAB06

Interpretación de datos

EAB07

Datos sensibles

EAB08

Uso de los datos

EAB09

Bioética

EAB10

Seguridad

EAB11

4

Eficiencia

EAB12

4

Calidad

EAB13

4

Sistemas SW

EAB14

3

Sistemas HW

EAB15

Sistemas instrumentales

EAB16

Políticas de investigación

EAB17

http://74.125.155.132/scholar?q=cac…

2

3 0

2

3

2

0 •

1

2 •

2 1

19

5/10


18/01/2010

I+S 43

Page 6

Especial: Auditoría Informática Tabla 4 (continuación). Asignación de Dominios de COBIT a elementos del Espacio del Problema de Auditoría

Elemento del Espacio del

Código

Problema de Auditoría

A. Adquisición e Implementación

D. Distribución

M.

Número de

y soporte

Monitorizción

Asignaciones

Sistemas de investigación

EAB18

Políticas de gestión

EAB19

Sistemas de gestión

EAB20

Tecnologías biológicas

EAB21

Tecnologías de la información

EAB22

Capacidad profesional

EAB23

1

Formación específica

EAB24

1

Capacidad de coordinación

EAB25

1

1.3. El modelo de auditoría bioinformática El modelo de desarrollo de auditoría para la Bioinformática basado en el COBIT se completa con la caracterización de las funciones principales de la Bioinformática (FPB) a partir de los EEPA, estableciendo una correspondencia en el modelo, M: EAB --> FPBj. Estas funciones sirven para racionalizar los esfuerzos en la aplicación de la auditoría en los pasos de asignación de dominios, procesos y objetivos de control de COBIT y son las siguientes: 1. FPB01. Función de Investigación Teórica: Corresponde a las actividades de investigación básica, tanto biológica como informática, para la búsqueda de teorías y selección de las más adecuadas en función de la naturaleza del problema, y la elección de líneas de investigación que contribuyan positivamente a la comunidad. Comprende los elementos siguientes: EAB01, EAB02 y EAB10. 2. FPB02. Función de Gestión de la Investigación: Corresponde a las actividades relacionadas con la organización y gestión de la investigación en todos los aspectos. Comprende los elementos siguientes: EAB12, EAB13, EAB17, EAB19, EAB20 y EAB25. 3. FPB03. Función de Aplicación de la Investigación: Corresponde al desarrollo de la investigación en todos los aspectos a partir de las teorías seleccionadas. Comprende los elementos siguientes: EAB03, EAB04, EAB05, EAB06, EAB08, EAB12. EAB13, EAB14, EAB15, EAB16 y EAB18. 4. FPB04. Función de Desarrollo Tecnológico: Corresponde a las actividades de búsqueda, adaptación y desarrollo de las tecnologías necesarias para la disciplina. Comprende los elementos siguientes: EAB21 y EAB22. 5. FPB05. Función de Formación: Corresponde a las actividades de formación y preparación de los investigadores y técnicos que van a trabajar en la investigación y el desarrollo en esta disciplina. Comprende los elementos siguientes: EAB23 y EAB24. i

20

P. Planificación y Organización

http://74.125.155.132/scholar?q=cac…

2

1 •

3 1

• •

4

6. FPB06. Función de Seguridad y Protección de la Información: Corresponde a las actividades de seguridad en general y de uso adecuado de la información, tanto la aportada externamente a la investigación, como la que generan los propios experimentos. Comprende los elementos siguientes: EAB07, EAB08, EAB09, EAB11 y EAB13. Hay algunos EEPA que son comunes en más de una función, como por ejemplo, la Calidad y la Seguridad, ya que las funciones no son absolutamente excluyentes. De la misma forma que se ha hecho en la subsección anterior, se procede a la adscripción a un dominio y un proceso determinado de cada una de las funciones identificadas. Para cada función se determina el grado de cumplimiento de los objetivos de gestión: P, Primario; y S, Secundario (3). En la Tabla 7 se puede ver el resultado respecto de los dominios y procesos de IT. A continuación, para cada uno de los procesos que se relacionan con las funciones identificadas, con un grado de cumplimiento P o S, se obtienen los Objetivos de Control de Alto Nivel (5), uno por cada proceso, y los Objetivos de Control Detallados, que suelen ser más de uno por proceso. Por ejemplo, para el proceso P01, Definir un plan estratégico de sistema, que consta de seis objetivos detallados, la función de Investigación Teórica (FPB01) debe auditarse con los siguientes objetivos de control detallados para cada uno de los aspectos de este proceso: 1. P01.1. Tecnología de Información como parte del Plan de la Organización a corto y largo plazo: La gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas de la organización. 2. ...... 3. P01.6. Evaluación de Sistemas Existentes: La Gerencia de servicios informáticos debe evaluar los sistemas existentes en términos de nivel de automatización de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades.

6/10


18/01/2010

I+S 43

Page 7

Especial: Auditoría Informática Dadas las características de la función FBP01, se ha apreciado que la misma tiene un grado de cumplimiento secundario con los objetivos de control de este proceso y con otros del mismo dominio. Y ninguna relación con el resto de dominios, según se muestra en la Tabla 5. Por lo tanto, las relaciones entre la FPB01 y los dominios, procesos y objetivos de COBIT son bastante indirectas o débiles. Este es un caso singular si se compara con el resto de funciones, donde sí hay relaciones más fuertes con la estructura de COBIT. Seguidamente, el modelo desglosado por los Objetivos

de Control Detallados se sigue extendiendo mediante la aplicación de las pautas y procedimientos de Auditoría que se detallan en el COBIT Audit Guidelines . Por supuesto, este modelo no es sencillo sino bastante complejo y debe estar apoyado por la utilización de distintas herramientas informáticas que proporciona el mismo COBIT , o que proporcionan otros proveedores. De forma alternativa, el modelo se puede aplicar por medio de un conjunto de hojas de cálculo relacionadas entre sí para poder desglosar los Procesos, Objetivos Generales, Objetivos Concretos y Procedimientos de Auditoría. 3

7

Tabla 5. Dominios y Procesos de COBIT que intervienen sobre las funciones principales de la Bioinformática PROCESOS

FUNCIONES PRINCIPALES

DOMINIO Nº Planeación y Organización

DENOMINACIÓN

PO1 Definir un plan estratégico de sistema PO2 Definir la arquitectura de información PO3 Determinar la dirección tecnológica PO4 Definir la organización y sus relaciones PO5 Administrar las inversiones (en TI) PO6 Comunicar la dirección y objetivos de gerencia PO7 Administrar los recursos humanos PO8 Asegurar el apego a disposiciones externas PO9 Evaluar riesgo PO10 Administrar proyecto

FPB01 FPB02 FPB03 FPB04 FPB05 FPB06

S S S

S

P P P S P S P P P

P P P

P P

S P S P P

P

S

S

P

P P

PO11 Administrar calidad

P

P

P

AI1 Identificar soluciones de automatización AI2 Adquirir y mantener software de aplicación AI3 Adquirir y mantener la arquitectura tecnológica

P P P

P S S

P

S S

AI4 Desarrollar y mantener procedimiento AI5 Instalar y acreditar sistemas de información AI6 Administrar cambios

S P S

P S P

S S P

P

Entrega

DS1 Definir niveles de servicio

P

P

P

de Servicios

DS2 Administrar servicios de terceros DS3 Administrar desempeño y capacidad DS4 Asegurar continuidad de servicio DS5 Garantizar la seguridad de sistema DS6 Identificar y asignar costo

P P P

P P S

S P P P

P P

P

P

P

P

P P P

S S S

P P

S

P P

Adquisición e Implementación

y Soporte

DS7 Educar y capacitar a usuario DS8 Apoyar y orientar a clientes DS9 Administrar la configuración DS10 Administrar problemas e incidente DS11 Administrar la información DS12 Administrar las instalaciones DS13 Administrar la operación

Monitorización

S

P

S

P

P

P P

M1 M2

Monitorear el proceso Evaluar lo adecuado del control interno

P S

P

S

P P

M3 M4

Obtener aseguramiento independiente Proporcionar auditoría independiente

S

S P

P P

P P

http://74.125.155.132/scholar?q=cac…

21

7/10


18/01/2010

I+S 43

Page 8

Especial: Auditoría Informática En el proyecto en curso, las actividades que se están realizando en la actualidad están en la fase de revisión de los objetivos detallados y la elaboración de la Guía de Auditoría. 2. PROPUESTA METODOLÓGICA PARA LA AUDITORÍA BIOINFORMÁTICA En la realización de una auditoría sobre la Bioinformática, según se ha descrito en la sección anterior, se ha podido medir la capacidad de expresividad metodológica de COBIT para el contexto y el alcance especificados previamente. Esta medición ha producido buenos resultados en las FPB compuestas de EEPA relacionados directamente con las TI. Sin embargo, carece de potencia metodológica cuando se trata de aplicarlo a funciones compuestas de

EEPA relacionados directamente con los enfoques y actividades científicas. Esto confirma la hipótesis que se había formulado antes de iniciar el proyecto de auditoría: el COBIT no es adecuado para la realización de auditorías científicas o científico-tecnológicas. Por tanto, ha sido necesario formular un marco metodológico alternativo o una extensión de COBIT para el contexto científico tecnológico. La propuesta que se presenta en este trabajo es el COBSIT (Control Objectives for Bioinformatics: Science, Information and related Technology - Objetivos de Control para la Bioinformática: Ciencia, Información y Tecnologías Afines). Esta extensión consiste en la creación de dos nuevos dominios con sus respectivos procesos, objetivos de control y guías de auditoría, tal y como se puede observar en la Tabla 6.

Tabla 6. Propuesta para la extensión de COBIT en nuevos Dominios y Procesos para el contex to científico: el COBSIT PROCESOS DOMINIO Nº Investigación y Difusión (Research and Publishing)

Desarrollo y Formación Científicas (Scientific Development and Training)

22

DENOMINACIÓN

RP01

Definir un plan estratégico de investigación

RP02 RP03

Determinar la dirección científica Identificar teorías formales

RP04

Identificar soluciones teóricas

RP05 RP06

Asegurar la sumisión a disposiciones bioéticas Evaluar riesgo científico

RP07

Administrar la privacidad de la información

RP08 RP09

Administrar los recursos científicos Instalar y acreditar sistemas de investigación

RP10

Identificar soluciones bioinformáticas

RP11 RP12

Adquirir y mantener instrumental científico Adquirir y mantener software científico

RP13

Administrar la difusión de la información

RP14 RP15

Instalar y acreditar sistemas de difusión Proporcionar evaluación independiente

ST01 ST02

Definir un plan estratégico de desarrollo Identificar soluciones técnicas y procedimentales

ST03 ST04

Desarrollar técnicas y protocolos Definir un plan estratégico de formación

ST05

Formar y capacitar al investigador

ST06 ST07

Formar y capacitar al técnico Apoyar y orientar al investigador

ST08

Garantizar la ética científica

Estos nuevos dominios tienen la siguiente justificación: • Dominio RP. Investigación y Difusión (Research and Publishing): Comprende los procesos y objetivos de control relacionados con la identificación estratégica y teórico de la investigación en Bioinformática, con la formulación de planes de investigación y su desarrollo, con la

http://74.125.155.132/scholar?q=cac…

formulación y actividades de difusión de la información científica, y con las garantías éticas y de privacidad de la información y la práctica científica. • Dominio ST. Desarrollo y Formación Científicas (Scientific Development and Training): Comprende los procesos y objetivos de control relacionados con el desarro-

8/10


18/01/2010

I+S 43

Page 9

Especial: Auditoría Informática llo de técnicas y procedimientos científicos y tecnológicos, con la formación científica y técnica del personal bioinformático, y con el apoyo al investigador y la garantía de ética científica del mismo. Con esta alternativa definida, se ha procedido entonces a la adscripción de cada una de las FPB a los nuevos

dominios y procesos planteados. Para cada función también se ha determinado el grado de cumplimiento de los objetivos de gestión: P, Primario; y S, Secundario (3). En la Tabla 7 se puede ver el resultado específico (donde no se muestran los dominios y procesos de IT del COBIT).

Tabla 7. Los nuevos Dominios y Procesos de COBSIT que intervienen sobre las funciones principales de la Bioinformática ESTRUCTURA DE COBIT

bioinformática

PROCESOS

FUNCIONES PRINCIPALES

DOMINIO Nº Investigación y Difusión

DENOMINACIÓN

FPB01

RP02 Determinar la dirección científica RP03 Identificar teorías formales RP04 Identificar soluciones teóricas

P P P

RP05 Asegurar la sumisión a disposic. bioéticas RP06 Evaluar riesgo científico RP07 Administrar la privacidad de la información

P

RP11 Adquirir y mantener instrumental científico RP12 Adquirir y mantener software científico RP13 Administrar la difusión de la información

S

S

RP14 Instalar y acreditar sistemas de difusión RP15 Proporcionar evaluación independiente

Científicas

FPB03

FPB04

FPB05

FPB06

RP01 Definir un plan estratégico de investigación P

RP08 Administrar los recursos científicos S RP09 Instalar y acreditar sistemas de investigación RP10 Identificar soluciones bioinformáticas

Desarrollo y Formación

FPB02

ST01 Definir un plan estratégico de desarrollo ST02 Identificar soluc. técnicas y procedimentales

El resto de pasos puede aplicar como se ha descrito en las secciones anteriores para el COBIT. Pero, por limitaciones en la extensión, no se incluyen los resultados subsiguientes. 3. CONCLUSIONES La Bioinformática es una disciplina científico-tecnológica multidisciplinar donde concurren principalmente la Biología Molecular y Genética y la Ciencia de la Computación y la Ingeniería Informática. Dado la espectacular evolución que ha sufrido en poco tiempo y su cariz multidisciplinar, en la actualidad no existen enfoques y sistemas de evaluación e inspección global para dicha disciplina.

http://74.125.155.132/scholar?q=cac…

S P P

P

P P P

P S

P

S

S

P

P

P P S

P

P S

S

S

P P

P

ST03 Desarrollar técnicas y protocolos ST04 Definir un plan estratégico de formación ST05 Formar y capacitar al investigador ST06 Formar y capacitar al técnico ST07 Apoyar y orientar al investigador ST08 Garantizar la ética científica

P P P

S S

P P

S

P S

S

P

S P

S

P P

P S

P P P

S S S

Como alternativa, se ha pensado en aplicar los planteamientos propios de la Auditoría de Sistemas de Información. Uno de los principales es el COBIT, un marco metodológico formal ampliamente aceptado por la comunidad de auditores, y que permite elaborar modelos de auditoría específicos para los contextos y alcances previamente establecidos. La hipótesis de partida ha sido que COBIT no aportaba la potencia y expresividad metodológica necesaria para realizar auditorías de tipo científicotecnológico. Por tanto, se ha presentado el diseño general de un Modelo de Auditoría, basado en COBIT, para el contexto de la Bioinformática aplicada a la investigación sobre individuos humanos, denominada Bioinformática Humana.

23

9/10


18/01/2010

I+S 43

Page 10

Especial: Auditoría Informática Este modelo ha dado la oportunidad de descubrir las carencias de COBIT para el contexto mencionado. Aunque no se dispone de todos los datos, ya que el proyecto está en curso, los resultados parciales indican que, para las funciones que no sean específicamente de TI, los procesos y objetivos de control tienen mucha utilidad. Por lo tanto, se ha formulado una propuesta que significa una extensión al COBIT, denominado COBSIT (Control Objectives for Bioinformatics: Science, Information and related Technology - Objetivos de Control para la Bioinformática: Ciencia, Información y Tecnologías Afines), en el que incluyen dos nuevos dominios con sus procesos y objetivos de control asociados: el Dominio de Investigación y Difusión y el Dominio de Desarrollo y Formación Científicas. Esta propuesta no está completa ya que es necesario desarrollar todavía los Objetivos de Control Detallados y las Guías de Auditoría correspondientes. Y además, constituye una primera versión sujeta a crítica y revisión, tanto en el seno del proyecto en curso, como por la comunidad científica. AGRADECIMIENTOS Este trabajo ha sido financiado en parte por la red temática de investigación cooperativa en el área de Biomedicina, denominada G03/160 “INBIOMED. Plataforma de almacenamiento, integración y análisis de datos clínicos, genéticos, epidemiológicos e imágenes orientada a la investigación sobre patologías”. Su coordinador es el Dr. Fernando Martín, del Instituto de Salud Carlos III. Además, las primeras versiones de este documento se desarrollaron mientras el autor se encontraba disfrutando de una beca de movilidad del profesorado financiada por el Ministerio de Educación y Ciencia de España, con el código PR2003-0063.

BIBLIOGRAFÍA 1.2. Benal R., Coltell O. Auditoría de los Sistemas de Información (reimpresión). Servicio de Publicaciones de la Universidad Politécnica de Valencia, Valencia, 1999. 2.4. Cornell M., Paton N.W., Wu S., Goble C.A., Miller C.J., Kirby P., Eilbeck K., Brass A., Hayes A., Oliver S.G. “GIMS-A Data Warehouse for Storage and Analysis of Genome Sequence and Functional Data”. EBI, the European Bioinformatics Institute (EMBL Outstation, Hinxton, UK), http://www.ebi.ac.uk/ (accedido 6/0272002). 3.6. Ermolaeva O., Rastogi M., Pret K.D., Schuler G.D., Bittner M.L., Chen Y., Simon R., Meltzer P., Trent J.M., Boguski M.S. “Data management and analysis for gene expression arrays”. Nature genetics, 20; 1998: 19-23. 4.9. ISACAF-B. COBIT. Framework. 3rd ed. ISACA, Rolling Meadows, IL (USA), 2000. 5.11. ISACAF-D. COBIT. Control Objectives. 3rd ed. ISACA, Rolling Meadows, IL (USA), 2000. 6.12. ISACAF-E. COBIT. Audit Guidelines. 3rd ed. ISACA, Rolling Meadows, IL (USA), 2000. 7.13. ISACAF-F. COBIT. Implementation Tool Set. 3rd ed. ISACA, Rolling Meadows, IL (USA), 2000. 8.17. Piattini M., Del Peso E. (eds.) Auditoría Informática. Un enfoque práctico. Ra-Ma, Madrid, 1998. 9.20. Rondel R. K., Varley S. A., Webb C. (eds.) Clinical Data Management. John Wiley, New York, 1993. 10.21. Sackman H. Biomedical Information Technology. Global Social Responsibilities for the Democratic Age. Academic Press, San Diego, CA (USA), 1997.

24

http://74.125.155.132/scholar?q=cac…

10/10

Auditoria Infromatica  

La auditoria informatica en la biologia

Read more
Read more
Similar to
Popular now
Just for you