DOMINIOS

Contenido PROCESOS OBJETIVOS DE CONTROL

TEMA N 01 COBIT (Objetivos de Control para la

informacin y Tecnologas relacionadas) .........................1
PO1.1 Administracin del Valor de TI
TEMA N 02 RECOLECCIN DE INFORMACIN PARA PO1.2 Alineacin de TI con el Negocio
AUDITORA INFORMTICA Y DE SISTEMAS ...............6 PO1 Definir PO1.3 Evaluacin del Desempeo y la
TEMA N 03 TCNICAS E INSTRUMENTOS PARA un Plan Capacidad Actual
Estratgico PO1.4 Plan Estratgico de TI
REALIZAR AUDITORIA INFORMTICA Y DE SISTEMAS
de TI PO1.5 Planes Tcticos de TI
.........................................................................................6
PO1.6 Administracin del Portafolio de TI
TEMA N 04 METODOLOGA PARA REALIZAR PO2.1 Modelo de Arquitectura de
AUDITORA ......................................................................6 Informacin Empresarial
PO2 Definir
PO2.2 Diccionario de Datos Empresarial
TEMA N 5 PLAN DE AUDITORIA O MEMORANDO DE la
y Reglas de Sintaxis de Datos
PLANEACIN ..................................................................7 Arquitectura
PO2.3 Esquema de Clasificacin de
de la
Datos
TEMA N 06 PROGRAMA DE AUDITORIA COBIT ......10 Informacin
PO2.4 Administracin de Integridad
TEMA N 07 PAPELES DE TRABAJO - DISEO DE PO3.1 Planeacin de la Direccin
FORMATOS PARA AUDITORA ....................................15 Tecnolgica
PO3.2 Plan de Infraestructura
PO3 Tecnolgica
Determinar la
PO3.3 Monitoreo de Tendencias y
Direccin
Regulaciones Futuras
Tecnolgica
PO3.4 Estndares Tecnolgicos
TEMA N 01 COBIT (Objetivos de Control para la informacin y PO3.5 Consejo de Arquitectura de TI
Tecnologas relacionadas) PO4.1 Marco de Trabajo de Procesos de
TI
PLANIFICAR Y ORGANIZAR

Las mejores prcticas en auditoria recomiendan Cobit como la PO4.2 Comit Estratgico de TI
herramienta estndar para tecnologas de informacin ms utilizada PO4.3 Comit Directivo de TI
en la ejecucin de auditoras; a continuacin se explica detalladamente PO4.4 Ubicacin Organizacional de la
algunos conceptos manejados por sta y los dominios, procesos y Funcin de TI
actividades que lo conforman: PO4.5 Estructura Organizacional
PO4.6 Establecimiento de Roles y
Efectividad. Responsabilidades
. PO4.7 Responsabilidad de
Confidencialidad. PO4 Definir Aseguramiento de Calidad TI
Disponibilidad. . los Procesos, PO4.8 Responsabilidad sobre el Riesgo,
Cumplimiento. Organizacin la Seguridad y el Cumplimiento
Confiabilidad de la informacin. y Relaciones PO4.9 Propiedad de Datos y de Sistema
Datos. Los elementos de datos en su ms amplio sentido, (por de TI PO4.10 Supervisin
ejemplo, externos e internos), estructurados y no estructurados,
grficos, sonido, etc. PO4.11 Segregacin de Funciones
Aplicaciones. Se entiende como sistemas de aplicacin la suma de PO4.12 Personal de TI
procedimientos manuales y programados. PO4.13 Personal Clave de TI
Tecnologa. La tecnologa cubre hardware, software, sistemas PO4.14 Polticas y Procedimientos para
operativos, sistemas de administracin de bases de datos, redes, Personal Contratado
multimedia, etc. PO4.15 Relaciones
Instalaciones. Recursos para alojar y dar soporte a los sistemas de PO5.1 Marco de Trabajo para la
informacin. Administracin Financiera
Personal. Habilidades del personal, conocimiento, conciencia y PO5 PO5.2 Prioridades Dentro del
productividad para planear, organizar, adquirir, entregar, soportar y Administrar Presupuesto de TI
monitorear servicios y sistemas de la Inversin PO5.3 Proceso Presupuestal
informacin. en TI PO5.4 Administracin de Costos de TI
PO5.5 Administracin de Beneficios
PO6.1 Ambiente de Polticas y de Control
3.1.1 Distribucin de los dominios y procesos de COBIT PO6 PO6.2 Riesgo Corporativo y Marco de
TABLA DE CLASIFICACION DE DOMINIOS, PROCESOS Y Comunicar Referencia de Control Interno de TI
OBJETIVOS DE CONTROL COBIT 4.1 las PO6.3 Administracin de Polticas para
Aspiraciones TI
y la Direccin PO6.4 Implantacin de Polticas de TI

1
 de la PO6.5 Comunicacin de los Objetivos y AI2.3 Control y Posibilidad de Auditar las
Gerencia la Direccin de TI AI2 Adquirir y Aplicaciones
PO7.1 Reclutamiento y Retencin del Mantener AI2.4 Seguridad y Disponibilidad de las
Personal Software Aplicaciones
PO7.2 Competencias del Personal Aplicativo AI2.5 Configuracin e Implementacin
PO7.3 Asignacin de Roles de Software Aplicativo Adquirido
PO7.4 Entrenamiento del Personal de TI AI2.6 Actualizaciones Importantes en
PO7 PO7.5 Dependencia Sobre los Individuos Sistemas Existentes
Administrar PO7.6 Procedimientos de Investigacin AI2.7 Desarrollo de Software Aplicativo
Recursos del Persona AI2.8 Aseguramiento de la Calidad del
Humanos de PO7.7 Evaluacin del Desempeo del Software
TI Empleado AI2.9 Administracin de los
PO7.8 Cambios y Terminacin de Requerimientos de Aplicaciones
Trabajo AI2.10 Mantenimiento de Software
PO8.1 Sistema de Administracin de Aplicativo
Calidad AI3.1 Plan de Adquisicin de
PO8.2 Estndares y Prcticas de Calidad AI3 Adquirir y Infraestructura Tecnolgica
PO8.3 Estndares de Desarrollo y de Mantener AI3.2 Proteccin y Disponibilidad del
PO8 Adquisicin Infraestructur Recurso de Infraestructura
Administrar PO8.4 Enfoque en el Cliente de TI a AI3.3 Mantenimiento de la infraestructura
la Calidad PO8.5 Mejora Continua Tecnolgica AI3.4 Ambiente de Prueba de
PO8.6 Medicin, Monitoreo y Revisin de Factibilidad
la Calidad AI4.1 Plan para Soluciones de Operacin
PO9.1 Marco de Trabajo de AI4.2 Transferencia de Conocimiento a la
Administracin de Riesgos Gerencia del Negocio
AI4 Facilitar
PO9.2 Establecimiento del Contexto del AI4.3 Transferencia de Conocimiento a
la Operacin
Riesgo Usuarios Finales
PO9 Evaluar y el Uso
PO9.3 Identificacin de Eventos AI4.4 Transferencia de Conocimiento al
y Administrar Personal de Operaciones y Soporte
PO9.4 Evaluacin de Riesgos de TI
los Riesgos
PO9.5 Respuesta a los Riesgos AI5.1 Control de Adquisicin
de TI
PO9.6 Mantenimiento y Monitoreo de un AI5 Adquirir AI5.2 Administracin de Contratos con
Plan de Accin de Riesgos Recursos de Proveedores
PO10.1 Marco de Trabajo para la TI AI5.3 Seleccin de Proveedores
Administracin de Programas AI5.4 Adquisicin de Recursos TI
PO10.2 Marco de Traba AI6.1 Estndares y Procedimientos para
PO10.3 Enfoque de Administracin de Cambios
Proyectos AI6.2 Evaluacin de Impacto,
PO10.4 Compromiso de los Interesados Priorizacin y Autorizacin
PO10.5 Declaracin de Alcance del AI6 AI6.3 Cambios de Emergencia
Proyecto Administrar AI6.4 Seguimiento y Reporte del Estatus
PO10.6 Inicio de las Fases del Proyecto Cambios de Cambio
PO10.7 Plan Integrado del Proyecto AI6.5 Cierre y Documentacin del
PO10.8 Recursos del Proyecto Cambio
PO10 PO10.9 Administracin de Riesgos del AI7.1 Entrenamiento
Administrar Proyecto AI7.2 Plan de Prueba
Proyectos PO10.10 Plan de Calidad del Proyecto AI7.3 Plan de Implementacin
PO10.11 Control de Cambios del AI7.4 Ambiente de Prueba
AI7 Instalar y
Proyecto AI7.5 Conversin de Sistemas y Datos
Acreditar
PO10.13 Medicin del Desempeo, Soluciones y AI7.6 Pruebas de Cambios
Reporte y Monitoreo del Proyecto Cambios AI7.7 Prueba de Aceptacin Final
PO10.14 Cierre del Proyecto AI7.8 Promocin a Produccin
AI1.1 Definicin y Mantenimiento de los AI7.9 Revisin Posterior a la
ADQUIRIR E IMPLEMENTAR

Requerimientos Tcnicos y Funcionales Implantacin

AI1 del Negocio DS1.1 Marco de Trabajo de la
ENTREGAR Y DAR

Identificar AI1.2 Reporte de Anlisis de Riesgos Administracin de los Niveles de Servicio

soluciones AI1.3 Estudio de Factibilidad y DS1 Definir y DS1.2 Definicin de Servicios
SOPORTE

automatizada Formulacin de Cursos de Accin administrar DS1.3 Acuerdos de Niveles de Servicio

s Alternativos los niveles de DS1.4 Acuerdos de Niveles de
AI1.4 Requerimientos, Decisin de servicio Operacin
Factibilidad y Aprobacin DS1.5 Monitoreo y Reporte del
AI2.1 Diseo de Alto Nivel Cumplimiento de los Niveles de Servicio
AI2.2 Diseo Detallado
2
 DS1.6 Revisin de los Acuerdos de DS8 DS8.1 Mesa de Servicios
Niveles de Servicio y de los Contratos Administrar DS8.2 Registro de Consultas de Clientes
DS2.1 Identificacin de Todas las la Mesa de DS8.3 Escalamiento de Incidentes
Relaciones con Proveedores Servicio y los DS8.4 Cierre de Incidentes
DS2 DS2.2 Gestin de Relaciones con Incidentes DS8.5 Anlisis de Tendencias
Administrar Proveedores DS9.1 Repositorio y Lnea Base de
los Servicios DS2.3 Administracin de Riesgos del DS9 Configuracin
de Terceros Proveedor Administrar
DS9.2 Identificacin y Mantenimiento de
DS2.4 Monitoreo del Desempeo del la
Elementos de Configuracin
Proveedor Configuraci
n DS9.3 Revisin de Integridad de la
DS3 DS3.1 Planeacin del Desempeo y la Configuracin
Administrar Capacidad DS10.1 Identificacin y Clasificacin de
el DS3.2 Capacidad y Desempeo Actual Problemas
Desempeo DS3.3 Capacidad y Desempeo Futuros DS10 DS10.2 Rastreo y Resolucin de
y la DS3.4 Disponibilidad de Recursos de TI Administraci Problemas
Capacidad DS3.5 Monitoreo y Reporte n de DS10.3 Cierre de Problemas
DS4.1 Marco de Trabajo de Continuidad Problemas DS10.4 Integracin de las
de TI Administraciones de Cambios,
DS4.2 Planes de Continuidad de TI Configuracin y Problemas
DS4.3 Recursos Crticos de TI DS11.1 Requerimientos del Negocio
DS4.4 Mantenimiento del Plan de para Administracin de Datos
Continuidad de TI DS11.2 Acuerdos de Almacenamiento y
DS4.5 Pruebas del Plan de Continuidad Conservacin
de TI DS11.3 Sistema de Administracin de
DS11
DS4 DS4.6 Entrenamiento del Plan de Libreras de medios
Administraci
Garantizar la Continuidad de TI DS11.4 Eliminacin
n de Datos
Continuidad DS4.7 Distribucin del Plan de DS11.5 Respaldo y Restauracin
del Servicio Continuidad de TI DS11.6 Requerimientos de Seguridad
DS4.8 Recuperacin y Reanudacin de para la Administracin de Datos
los Servicios de TI DS12.1 Seleccin y Diseo del Centro de
DS4.9 Almacenamiento de Respaldos Datos
Fuera de las Instalaciones DS12 DS12.2 Medidas de Seguridad Fsica
DS4.10 Revisin Post Reanudacin Administraci
DS12.3 Acceso Fsico
n del
DS5.1 Administracin de la Seguridad de DS12.4 Proteccin Contra Factores
Ambiente
TI Ambientales
Fsico
DS5.2 Plan de Seguridad de TI DS12.5 Administracin de Instalaciones
DS5.3 Administracin de Identidad Fsicas
DS5.4 Administracin de Cuentas del DS13.1 Procedimientos e Instrucciones
Usuario de Operacin
DS5.5 Pruebas, Vigilancia y Monitoreo DS13.2 Programacin de Tareas
de la Seguridad DS13
DS13.3 Monitoreo de la Infraestructura
Administraci
DS5.6 Definicin de Incidente de de TI
DS5 n de
Seguridad DS13.4 Documentos Sensitivos y
Garantizar la Operaciones
Seguridad de DS5.7 Proteccin de la Tecnologa de Dispositivos de Salida
los Sistemas Seguridad DS13.5 Mantenimiento Preventivo del
DS5.8 Administracin de Llaves Hardware
Criptogrficas ME1.1 Enfoque del Monitoreo
DS5.9 Prevencin, Deteccin y ME1 ME1.2 Definicin y Recoleccin de Datos
Correccin de Software Malicioso Monitorear y de Monitoreo
DS5.10 Seguridad de la Red Evaluar el ME1.3 Mtodo de Monitoreo
MONITOREAR Y EVALUAR

DS5.11 Intercambio de Datos Sensitivos Desempeo ME1.4 Evaluacin del Desempeo

DS6.1 Definicin de Servicios de TI ME1.5 Reportes al Consejo Directivo y a
DS6
DS6.2 Contabilizacin de TI Ejecutivos
Identificar y
DS6.3 Modelacin de Costos y Cargos ME1.6 Acciones Correctivas
Asignar
Costos DS6.4 Mantenimiento del Modelo de ME2.1 Monitoreo del Marco de Trabajo
Costos de Control Interno
DS7.1 Identificacin de Necesidades de ME2 ME2.2 Revisiones de Auditora
Entrenamiento y Educacin Monitorear y ME2.3 Excepciones de Control
DS7 Educar
DS7.2 Imparticin de Entrenamiento y Evaluar el ME2.4 Control de Auto Evaluacin
y Entrenar a
Educacin Control ME2.5 Aseguramiento del Control
los Usuarios
DS7.3 Evaluacin del Entrenamiento Interno Interno
Recibido ME2.6 Control Interno para Terceros
3
 ME2.7 Acciones Correctivas
ME3.1 Identificar los Requerimientos de
las Leyes, Regulaciones y PO7 Administracin de recursos humanos: El objetivo es
ME3 Cumplimientos Contractuales
Garantizar el ME3.2 Optimizar la Respuesta a
Cumplimient Requerimientos Externos
o con ME3.3 Evaluacin del Cumplimiento con
Requerimient Requerimientos Externos
os Externos ME3.4 Aseguramiento Positivo del
Cumplimiento
ME3.5 Reportes Integrados
ME4.1 Establecimiento de un Marco de
Gobierno de TI
ME4 ME4.2 Alineamiento Estratgico
Proporcionar ME4.3 Entrega de Valor
Gobierno de ME4.4 Administracin de Recursos
TI ME4.5 Administracin de Riesgos
ME4.6 Medicin del Desempeo
ME4.7 Aseguramiento Independiente
Fuente: Estndar de mejores prcticas COBIT 4.1
Se definen 34 objetivos de control generales, uno para cada uno de
los procesos de las TI. Estos procesos estn agrupados en cuatro
grandes dominios que se describen a continuacin junto con sus
procesos y una descripcin general de las actividades de cada uno:
Dominio: Planificacin y Organizacin
Cubre la estrategia y las tcticas, se refiere a la identificacin de la
forma en que la tecnologa informacin puede contribuir de la mejor
manera al logro de los objetivos de la organizacin..
Procesos:
PO1 Definicin de un plan Estratgico: El objetivo es lograr un
balance ptimo entre las oportunidades de tecnologa de informacin
y los requerimientos de TI de negocio, para asegurar sus logros
futuros.
PO2 Definicin de la arquitectura de Informacin: El objetivo es
satisfacer los requerimientos de la organizacin, en cuanto al manejo
y gestin de los sistemas de informacin, a travs de la creacin y
mantenimiento de un modelo de informacin de la organizacin.
PO3 Determinacin de la direccin tecnolgica: El objetivo es
aprovechar al mximo de la tecnologa disponible o tecnologa
emergente, satisfaciendo los requerimientos de la organizacin, a
travs de la creacin y mantenimiento de un plan de infraestructura
tecnolgica.
PO4 Definicin de la organizacin y de las relaciones de TI: El
objetivo es la prestacin de servicios de TI, por medio de una
organizacin conveniente en nmero y habilidades, con tareas y
responsabilidades definidas y comunicadas.
PO5 Manejo de la inversin: El objetivo es la satisfaccin de los
requerimientos de la organizacin, asegurando el financiamiento y el
control de desembolsos de recursos financieros.
PO6 Comunicacin de la direccin y aspiraciones de la
gerencia: El objetivo es asegurar el conocimiento y comprensin de
los usuarios sobre las aspiraciones de la gerencia, a travs de polticas
establecidas y transmitidas a la comunidad de usuarios, necesitndose
para esto estndares para traducir las opciones estratgicas en reglas
de usuario prcticas y utilizables.
maximizar las contribuciones del personal a los procesos de TI,
satisfaciendo as los requerimientos de negocio, a travs de tcnicas
slidas para administracin de personal.
PO8 Asegurar el cumplimiento con los requerimientos
Externos: El objetivo es cumplir con obligaciones legales, regulatorias
y contractuales, para ello se realiza una identificacin y anlisis de los
requerimientos externos en cuanto a su impacto en TI, llevando a cabo
las medidas apropiadas para cumplir con ellos.
PO9 Evaluacin de riesgos: El objetivo es asegurar el logro de los
objetivos de TI y responder a las amenazas hacia la provisin de
servicios de TI, mediante la participacin de la propia organizacin en
la identificacin de riesgos de TI y en el anlisis de impacto, tomando
medidas econmicas para mitigar los riesgos.
PO10 Administracin de proyectos: El objetivo es establecer
prioridades y entregar servicios oportunamente y de acuerdo al
presupuesto de inversin, para ello se realiza una identificacin y
priorizacin de los proyectos en lnea con el plan operacional por parte
de la misma organizacin. Adems, la organizacin deber adoptar y
aplicar slidas tcnicas de administracin de proyectos para cada
proyecto emprendido.
PO11 Administracin de calidad: El objetivo es satisfacer los
requerimientos del cliente. Mediante una planeacin, implementacin
y mantenimiento de estndares y sistemas de administracin de
calidad por parte de la organizacin.
Dominio: Adquisicin e implementacin
Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser
identificadas, desarrolladas o adquiridas, as como implementadas e
integradas dentro del proceso del negocio. Adems, este dominio
cubre los cambios y el mantenimiento realizados a sistemas
existentes.
Procesos:
AI1 Identificacin de Soluciones Automatizadas: El objetivo es
asegurar el mejor enfoque para cumplir con los requerimientos del
usuario, mediante un anlisis claro de las oportunidades alternativas
comparadas contra los requerimientos de los usuarios.
AI2 Adquisicin y mantenimiento del software aplicativo: El
objetivo es proporcionar funciones automatizadas que soporten
efectivamente la organizacin mediante declaraciones especficas
sobre requerimientos funcionales y operacionales y una
implementacin estructurada con entregables claros.
AI3 Adquisicin y mantenimiento de la infraestructura
tecnolgica: El objetivo es proporcionar las plataformas apropiadas
para soportar aplicaciones de negocios mediante la realizacin de una
evaluacin del desempeo del hardware y software, la provisin de
mantenimiento preventivo de hardware y la instalacin, seguridad y
control del software del sistema.
AI4 Desarrollo y mantenimiento de procedimientos: El objetivo es
asegurar el uso apropiado de las aplicaciones y de las soluciones
tecnolgicas establecidas, mediante la realizacin de un enfoque
estructurado del desarrollo de manuales de procedimientos de
operaciones para usuarios, requerimientos de servicio y material de
entrenamiento.
4
AI5 Instalacin y aceptacin de los sistemas: El objetivo es verificar
y confirmar que la solucin sea adecuada para el propsito deseado
mediante la realizacin de una migracin de instalacin, conversin y
plan de aceptaciones adecuadamente formalizadas.
AI6 Administracin de los cambios: El objetivo es minimizar la
probabilidad de interrupciones, alteraciones no autorizadas y errores,
mediante un sistema de administracin que permita el anlisis,
implementacin y seguimiento de todos los cambios requeridos y
llevados a cabo a la infraestructura de TI actual.
Dominio: Servicios y soporte
En este dominio se hace referencia a la entrega de los servicios
requeridos, que abarca desde las operaciones tradicionales hasta el
entrenamiento, pasando por seguridad y aspectos de continuidad. Con
el fin de proveer servicios, debern establecerse los procesos de
soporte necesarios. Este dominio incluye el procesamiento de los
datos por sistemas de aplicacin, frecuentemente clasificados como
controles de aplicacin.
Procesos
DS1 Definicin de niveles de servicio: El objetivo es establecer una
comprensin comn del nivel de servicio requerido, mediante el
establecimiento de convenios de niveles de servicio que formalicen los
criterios de desempeo contra los cuales se medir la cantidad y la
calidad del servicio.
DS2 Administracin de servicios prestados por terceros: El
objetivo es asegurar que las tareas y responsabilidades de las terceras
partes estn claramente definidas, que cumplan y continen
satisfaciendo los requerimientos, mediante el establecimiento de
medidas de control dirigidas a la revisin y monitoreo de contratos y
procedimientos existentes, en cuanto a su efectividad y suficiencia,
con respecto a las polticas de la organizacin.
DS3 Administracin de desempeo y capacidad: El objetivo es
asegurar que la capacidad adecuada est disponible y que se est
haciendo el mejor uso de ella para alcanzar el desempeo deseado,
realizando controles de manejo de capacidad y desempeo que
recopilen datos y reporten acerca del manejo de cargas de trabajo,
tamao de aplicaciones, manejo y demanda de recursos.
DS4 Asegurar el Servicio Continuo: El objetivo es mantener el
servicio disponible de acuerdo con los requerimientos y continuar su
provisin en caso de interrupciones, mediante un plan de continuidad
probado y funcional, que est alineado con el plan de continuidad del
negocio y relacionado con los requerimientos de negocio.
DS5 Garantizar la seguridad de sistemas: El objetivo es
salvaguardar la informacin contra uso no autorizados, divulgacin,
modificacin, dao o prdida, realizando controles de acceso lgico
que aseguren que el acceso a sistemas, datos y programas est
restringido a usuarios autorizados.
DS6 Educacin y entrenamiento de usuarios: El objetivo es
asegurar que los usuarios estn haciendo un uso efectivo de la
tecnologa y estn conscientes de los riesgos y responsabilidades
involucrados realizando un plan completo de entrenamiento y
desarrollo.
DS7 Identificacin y asignacin de costos: El objetivo es asegurar
un conocimiento correcto atribuido a los servicios de TI realizando un
sistema de contabilidad de costos asegure que stos sean registrados,
calculados y asignados a los niveles de detalle requeridos.
DS8 Apoyo y asistencia a los clientes de TI: El objetivo es asegurar
que cualquier problema experimentado por los usuarios sea atendido
apropiadamente realizando una mesa de ayuda que proporcione
soporte y asesora de primera lnea.
DS9 Administracin de la configuracin: El objetivo es dar cuenta
de todos los componentes de TI, prevenir alteraciones no autorizadas,
verificar la existencia fsica y proporcionar una base para el sano
manejo de cambios realizando controles que identifiquen y registren
todos los activos de TI as como su localizacin fsica y un programa
regular de verificacin que confirme su existencia.
DS10 Administracin de Problemas: El objetivo es asegurar que los
problemas e incidentes sean resueltos y que sus causas sean
investigadas para prevenir que vuelvan a suceder implementando un
sistema de manejo de problemas que registre y haga seguimiento a
todos los incidentes.
DS11 Administracin de Datos: El objetivo es asegurar que los
datos permanezcan completos, precisos y vlidos durante su entrada,
actualizacin, salida y almacenamiento, a travs de una combinacin
efectiva de controles generales y de aplicacin sobre las operaciones
de TI.
DS12 Administracin de las instalaciones: El objetivo es
proporcionar un ambiente fsico conveniente que proteja al equipo y al
personal de TI contra peligros naturales (fuego, polvo, calor excesivos)
o fallas humanas lo cual se hace posible con la instalacin de controles
fsicos y ambientales adecuados que sean revisados regularmente
para su funcionamiento apropiado definiendo procedimientos que
provean control de acceso del personal a las instalaciones y
contemplen su seguridad fsica.
DS13 Administracin de la operacin: El objetivo es asegurar que
las funciones importantes de soporte de TI estn siendo llevadas a
cabo regularmente y de una manera ordenada a travs de una
calendarizacin de actividades de soporte que sea registrada y
completada en cuanto al logro de todas las actividades.
Dominio: Monitoreo
Todos los procesos de una organizacin necesitan ser evaluados
regularmente a travs del tiempo para verificar su calidad y suficiencia
en cuanto a los requerimientos de control, integridad y
confidencialidad.
Procesos
M1 Monitoreo del Proceso: El objetivo es asegurar el logro de los
objetivos establecidos para los procesos de TI. Lo cual se logra
definiendo por parte de la gerencia reportes e indicadores de
desempeo gerenciales y la implementacin de sistemas de soporte
as como la atencin regular a los reportes emitidos.
M2 Evaluar lo adecuado del Control Interno: El objetivo es
asegurar el logro de los objetivos de control interno establecidos para
los procesos de TI.
M3 Obtencin de Aseguramiento Independiente: El objetivo es
incrementar los niveles de confianza entre la organizacin, clientes y
proveedores externos. Este proceso se lleva a cabo a intervalos
regulares de tiempo.
M4 Proveer Auditoria Independiente: El objetivo es incrementar los
niveles de confianza y beneficiarse de recomendaciones basadas en
5
mejores prcticas de su implementacin, lo que se logra con el uso de
auditoras independientes desarrolladas a intervalos regulares de
tiempo.
TEMA N 02 RECOLECCIN DE INFORMACIN PARA
AUDITORA INFORMTICA Y DE SISTEMAS
Observacin
Es una de las tcnicas ms utilizadas para examinar los diferentes
aspectos que intervienen en el funcionamiento del rea informtica
Entrevistas
Cuestionarios
Los cuestionarios son preguntas impresas en formatos o fichas en que
el auditado responde de acuerdo a su criterio
Encuestas
Las encuestas son utilizadas frecuentemente para recolectar
informacin sobre aspectos como el servicio, el comportamiento y
utilidad del equipo, la actuacin del personal y los usuarios, entre otros
juicios de la funcin informtica.
Inventarios
TEMA N 03 TCNICAS E INSTRUMENTOS PARA REALIZAR
AUDITORIA INFORMTICA Y DE SISTEMAS
Evaluacin
Consiste en analizar mediante pruebas la calidad y cumplimiento de
funciones, actividades y procedimientos que se realizan en una
organizacin o rea..
Inspeccin
, auditoria: Para realizar la planeacin formal de la auditoria
Comparacin
comparacin de los datos obtenidos en un rea o en toda la
organizacin y cotejando esa informacin con los datos similares o
iguales de otra organizacin con caractersticas semejantes.
Revisin Documental
la revisin de documentos que soportan los registros de operaciones
y actividades de una organizacin.
Matriz de Evaluacin
Es uno de los documentos de mayor utilidad para recopilar
informacin relacionada con la actividad, operacin o funcin que se
realiza en el rea informtica, as como tambin se puede observar
anticipadamente su cumplimiento. La escala de valoracin puede ir
desde la mnima con puntaje 1 (baja, deficiente) hasta la valoracin
mxima de 5(superior, muy bueno, excelente).
Matriz DOFA
Este es un mtodo de anlisis y diagnstico usado para la evaluacin
de un centro de cmputo, que permite la evaluacin del desempeo
de los sistemas software, aqu se evalan los factores internos y
externos, para que el auditor puede evaluar el cumplimiento de la
misin y objetivo general del rea de informtica de la organizacin.
TEMA N 04 METODOLOGA PARA REALIZAR AUDITORA
Etapa de Planeacin de la Auditoria
Identificar el origen de la auditoria: Este es el primer paso para
iniciar la planeacin de la auditoria, en esta se debe determinar por
qu surge la necesidad o inquietud de realizar una auditora.
Visita Preliminar al rea informtica: el propsito es el de tener un
primer contacto con el personal asignado a dicha rea, conocer la
distribucin de los sistemas y donde se localizan los servidores y
equipos terminales en el centro de cmputo, sus caractersticas, las
medidas de seguridad y otros aspectos sobre que problemticas que
se presentan en el rea auditada.
Establecer los Objetivos de la Auditoria: Los objetivos de la
planeacin de la auditoria son:
- El objetivo general que es el fin global de lo que se pretende
alcanzar con el desarrollo de la auditora informtica y de sistemas, en
el se plantean todos los aspectos que se pretende evaluar.
- Los objetivos especficos que son los fines individuales que se
pretenden para el logro del objetivo general, donde se seala
especficamente los sistemas, componentes o elementos concretos
que deben ser evaluados.
Determinar los Puntos que sern evaluados: Una vez
determinados los objetivos de la auditoria se debe relacionar
los aspectos que sern evaluados, y para esto se debe considerar
aspectos especficos del rea informtica y de los sistemas
computacionales tales como: la gestin administrativa del rea
informtica y el centro de cmputo,
Elaborar Planes, programas y Presupuestos para Realizar la
informtica y de sistemas,
Algunos de los aspectos a tener en cuenta sern: Identificar y
seleccionar los Mtodos, herramientas, Instrumentos y
Procedimientos necesarios para la Auditoria:
Asignar los Recursos y Sistemas computacionales para la
auditoria: Finalmente se debe asignar los recursos que sern
utilizados para realizar la auditoria.
Etapa de Ejecucin de la Auditoria
La siguiente etapa despus de la planeacin de la auditoria es la
ejecucin de la misma, y est determinada por las caractersticas
propias, los puntos elegidos y los requerimientos estimados en la
planeacin.
Etapa de Dictamen de la Auditoria
Que es el resultado final de la auditoria, donde se presentan los
siguientes puntos: la elaboracin del informe de las situaciones que se
han detectado, la elaboracin del dictamen final y la presentacin del
informe de auditora.
Analizar la informacin y elaborar un informe de las situaciones
detectadas: Junto con la deteccin de las oportunidades de
mejoramiento se debe realizar el anlisis de los papeles de trabajo y
la elaboracin del borrador de las oportunidades detectadas, para ser
discutidas con los auditados, despus se hacen las modificaciones
necesarias y posteriormente el informe final de las situaciones
detectadas.
Elaborar el Dictamen Final: El auditor debe terminar la elaboracin
del informe final de auditora y complementarlo con el dictamen final,
6
para despus presentarlo a los directivos del rea auditada para que
conozcan la situacin actual del rea, antes de presentarlo al
representante o gerente de la empresa.
Una vez comentadas las desviaciones con los auditados, se elabora el
informe final, lo cual es garanta de que los auditados ya aceptaron las
desviaciones encontradas y que luego se llevan a documentos
formales.
Elaborar el Dictamen Formal: El ltimo paso de esta metodologa es
presentar formalmente el informe y el dictamen de la auditoria al ms
alto de los directivos de la empresa donde se informa de los resultados
de la auditoria. El informe debe contener los siguientes puntos: la carta
de presentacin, el dictamen de la auditoria, el informe de situaciones
relevantes y los anexos y cuadros estadsticos.
.
Tabla 1: Etapas proceso de autora de sistemas
FASE ACTIVIDADES
Conocimiento 1. Identificar el origen de la auditoria.
del sistema o 2. Realizar visitas para conocer procesos,
rea auditada activos informticos, procesos y
organizacin del rea auditada.
3. Determinar las vulnerabilidades, y
amenazas informticas a que est expuesta
la organizacin.
4. Determinar el objetivo de la auditora de
acuerdo a las vulnerabilidades, y amenazas
informticas encontradas.
1. Elaborar el plan de auditora
2. Seleccionar los estndares a utilizar de
acuerdo al objetivo (CobIT, MAGERIT,
ISO/IEC 27001, ISO/IEC 27002, otro)
3. De acuerdo al estndar elegido,
seleccionar los tems que sern evaluados
que estn en relacin directa con el objetivo
y alcances definidos en el plan.
4. Seleccionar el equipo de trabajo y
Planeacin de
asignar tareas especficas
la Auditoria de
5. Determinar las actividades que se
Sistemas
llevarn a cabo y los tiempos en que sern
llevadas a cabo en cada tem evaluado.
(Programa de auditora)
6. Disear instrumentos para recoleccin
de informacin (formatos de entrevistas,
formatos de listas de chequeo, formatos de
cuestionarios)
7. Disear el plan de pruebas (formato
pruebas)
1. Aplicar los instrumentos de recoleccin
de informacin diseados
2. Ejecutar las pruebas del plan de
pruebas
3. Levantar la informacin de activos
informticos de la organizacin auditada
Ejecucin de la
4. Determinar las vulnerabilidades y
Auditoria de
amenazas informticas aplicando una
Sistemas
metodologa (MAGERIT)
5. Realizar la valoracin de las amenazas
y vulnerabilidades encontradas y probadas
6. Realizar el proceso de evaluacin de
riesgos
7. Determinar el tratamiento de los riesgos
7
1. Determinar las soluciones para los
hallazgos encontrados (controles)
2. Elaborar el Dictamen para cada uno de
los procesos evaluados.
Resultados de
3. Elaborar el informe final de auditora
la Auditoria de
para su presentacin y sustentacin
Sistemas
4. Integrar y organizar los papeles de
trabajo de la auditoria
5. Disear las polticas y procedimientos
integrando los controles definidos
Fuente: Esta investigacin
TEMA N 5 PLAN DE AUDITORIA O MEMORANDO DE
PLANEACIN
Una vez se haya seleccionado la empresa, el rea o sistema a evaluar
lo primero que se debe hacer es determinar el objetivo que se pretende
en la auditora.
El Auditor, seleccionar el objetivo, hace un reconocimiento de la
empresa, el rea o sistema mediante visitas de campo para determinar
cuales son las vulnerabilidades, amenazas y riesgos a que se enfrenta
la organizacin.
INDICACIONES PARA ELABORAR EL PLAN DE AUDITORIA
Una vez conocido el rea auditada o sistema de informacin en la fase
de conocimiento, se pueden evidenciar las vulnerabilidades y
amenazas de manera preliminar que pueden ser las fuentes de riesgos
potenciales, lo ideal es que cada miembro del equipo de trabajo haga
una lista de los problemas observados y que posteriormente en
reuniones del equipo auditor se pueda analizar lo observado por cada
integrante y hacer un listado consolidado de los problemas
observados.
El objetivo general de la auditora tendr en cuenta la fuente que
origina el proceso de auditora y los problemas que se evidencian en
la realidad, de esta manera el objetivo quedar definido en
concordancia con lo que desea quien origina el proceso y dar solucin
a los problemas que se estn presentando.
Una vez definido el objetivo de la auditora, se desglosa los tems que
sern evaluados (hardware, software, redes, sistemas de informacin,
bases de datos, seguridad fsica, seguridad lgica, otros) y de cada
uno de ellos se debe definir el alcance donde se especifica
que aspectos se tendrn en cuanta en cada tem evaluado. Una vez
est definido el objetivo general, para alcanzarlo se definen los
objetivos especficos teniendo en cuenta la metodologa de la auditora
que se descompone en tres o cuatro fases dependiendo si es una
auditora interna o es una auditora externa, para cada fase ser
necesario definir un objetivo especfico que permita cumplirlo. Como
se puede mirar en el cuadro anterior las fases de la auditora en
general son las siguientes: conocer el sistema, planear la auditora,
ejecutar la auditora, y la fase de resultados, para cada fase se define
un objetivo especfico.
Por ejemplo, si la fuente de la auditora es el gerente, el informra que
aspectos quiere que sean auditados y la intencionalidad de llevar a
cabo el proceso, una vez conocidos los aspectos que se desea sean
auditados, se procede a realizar visitas al sitio "in situ" a el rea o
sistema para hacer la observacin y entrevistas con el administrador
del rea informtica, los empleados de dicha rea, los sistemas de
informacin y ususrios para detectar posibles vulnerabilidades y
amenazas que puedan ocasionar riesgos potenciales.
Si las vulnerabilidades y amenazas se presentan en las redes,
conectividad y el servicio de internet y en la infraestructura
tecnolgica de hardware, el objetivo podra ser: Realizar la auditora
a la red de datos y la infraetructura de hardware que soportan los
sistemas de informacin en la empresa "xxxxxx" de la ciudad de
"xxxxxx".
De acuerdo a este objetivo se definen los objetivos especficos
teniendo en cuanta las etapas de la auditora, por ejemplo:
Objetivo 1: Conocer las redes de datos y la infraestructura
tecnologica que soportan los sistemas de informacin con el fin
de analizar los riesgos que puedan presentarse en la
funcionalidad de los sistemas de informacin y servicios que se
prestan mediante visitas a la empresa y entrevistas con
empleados y usuarios.
Objetivo 2: Elaborar el plan de auditora, y programa de auditora
teniendo en cuenta los estndares que sern
aplicados para hacer el diseo de los instrumentos
de recoleccin y plan de pruebas que sern aplicados en el
proceso de auditora con el fin de obtener una informacin
confiable para realizar el dictamen.
Objetivo 3: Aplicar los instrumentos de recoleccin de
informacin y pruebas que se han diseado para determinar los
riesgos existentes en la red de datos y la infraestructura
tecnolgica de acuerdo a las vulnerabilidades y amenazas que se
han evidenciado preliminarmente con el fin de hacer la valoracin
de los riesgos que permitan medir la probabilidad de ocurrencia
y el impacto que causa en la organizacin.
Objetivo 4: De acuerdo a los hallazgos comprobados mediante
pruebas, elaborar el dictamen de la auditora de acuerdo al nivel
de madurez en los procesos evaluados, determinar el tratamiento
de los riesgos y definir posibles soluciones que sern
recomendadas en el informe final para se entrega a quien origin
la auditora.
Una vez definidos los objetivos de la auditora, para cada tem se
menciona los aspectos ms relevantes que sern evaluados en cada
uno de ellos. Por ejemplo, los alcances seran:
De la red de datos se evaluar los siguientes aspectos:
- El inventario hardware de redes
- La obsolescencia del hardware y cableado estructurado
- El cumplimiento de la norma de cableado estructurado
- La seguridad en la red de datos
- Del servicio de internet se evaluar:
- El contrato con la empresa que presta el servicio de
internet
- La seguridad que brinda el operador para el servicio de
internet
- La seguridad de la red inalmbrica wifi
- La monitorizacin de la red por parte del administrador
Estos son algunos de los aspectos elegidos para ser evaluados en
cuanto a la red, lo mismo debe hacerse para el hardware de servidores
y equipos terminales que soportan los sistemas y algo importante es
la opinin de los usurios respecto a los problemas que se estn
presentando a causa de la infraestructura tecnolgica y la red que
soportan los sistemas.
La intencin es de que los integrantes del grupo de auditora se
distribuyan las actividades de acuerdo a su especialidad y se pueda
concretar los aspectos a evaluar y las pruebas que se pueden realizar
para poder evidenciar las vulnerabilidades, amenazas y riesgos
encontrados inicialmente.
8
Posteriormente se debe especificar la metodologa donde se trata de
especificar las actividades para lograr cada uno de los objetivos
escficos propuestos anteriormente, aqu cada objetivo especfico se
descompone en actividades generales que se debern realizar para
poder cumplirlos.
A continuacin se presenta un ejemplo con el primer objetivo
formulado:
Metodologa para Objetivo 1: Conocer las redes de datos que
soportan la infraestructura tecnolgica con el fin de analizar algunos
de los riesgos que puedan presentarse realizando visitas a la empresa
y entrevistas con los usuarios.
- Solicitar la documentacin de los planos de la red
- Solicitar el inventario del hardware de las redes
- Realizar una entrevista inicial con el encargado de
administrar la red
Realizar pruebas de seguridad en las redes para determinar
las vulnerabilidades
- Conocer los problemas ms frecuentes en la red por parte
de los usuarios
- Estas son las actividades para lograr el primer objetivo, de la
misma manera se hace para los otros objetivos especficos
planteados.
Posteriormente se hace una relacin de los recursos que uno necesita
para desarrollar la auditora, en este caso los recursos se dividen en
talento humano que sern los integrantes del equipo auditor, los
recursos fsicos que son el sitio o empresa donde se llevar a cabo la
auditora, los recursos tecnolgicos (el hardware, cmaras,
grabadoras digitales, memorias, celulares y el software que se
necesite para pruebas) y los recursos econmicos que se presentan
en una tabla de presupuesto.
Recursos humanos: Nombres y apellidos del grupo auditor
Recursos fsicos: La auditora se llevar a cabo en el rea
informtica de la empresa xxxxx.
Recursos tecnolgicos: grabadora digital para entrevistas, cmara
fotogrfica para pruebas que servirn de evidencia, computador
porttil, software para pruebas de auditora sobre escaneo y trfico en
la red
Recursos econmicos:
tem Cantidad Subtotal
Computador 2 2.000.000
Cmara digital 1 400.000
Grabadora digital 1 120.000
otros . .
Total 0000000000
Y finalmente se hace el cronograma de actividades, mediante un
diagrama de GANNT, para construirlo se toman las actividades que
han sido definidas para cumplir cada objetivo y se especifica el tiempo
de duracin de cada actividad en el tiempo. El tiempo se debe definir
desde ahora hasta la entrega final del informe de auditora.
A continuacin se presenta un ejemplo completo de un plan de
auditora o memorando de planeacin donde se muestralos
contenidos de cada uno de los tems:
Plan de Auditoria
Antecedentes: En las Aulas de informtica de una Institucin
educativa se realiza anualmente un plan de seguimiento a todos los
procesos tcnicos y acadmicos de la institucin, esto debido a que
las instituciones requieren la acreditacin de calidad en el manejo de
sus procesos y para ello se hace necesario realizar auditoras internas
permanentes y de tipo externo peridicamente para lograrlo.
Uno de los recursos tecnolgicos disponibles en las instituciones
educativas es el de la red de datos que opera en las diferentes sedes
y que generalmente se encuentra certificada bajo la normas de la
IEEE\EIA\TIA, las cuales se deben cumplir estrictamente.
Objetivos
Objetivo general: Realizar la revisin y verificacin del
cumplimiento de normas mediante una auditora a la infraestructura
fsica de la red de datos en una de las instituciones educativas.
2. Recolectar informacin: Diseo de formatos de entrevistas,
diseo de formatos para listas de chequeo, diseo de formatos para
cuestionarios, diseo del plan de pruebas, seleccin del estndar a
aplicar, elaboracin del programa de auditora, distribucin de
actividades para los integrantes del grupo de trabajo.
3. Aplicacin de instrumentos: Aplicar entrevistas al adminsitrador y
usuarios, aplicar listas de chequeo para verificar controles, aplicar
cuestionarios para descubrir nuevos riesgos y conformar los que han
sido detectados anteriormente.

Objetivos especficos: 4. Ejecuccin de las pruebas: ejecutar las pruebas para determinar
la obsolecencia del hardware, ejecutar pruebas sobre la red, ejecutar
Planificar la auditora que permita identificar las condiciones pruebas para comprobar la correspondencia de los inventarios con la
actuales de la red de datos de la institucin educativa. realidad.

Aplicar los procesos de auditora teniendo en cuenta el modelo
estndar de auditora COBIT como herramienta de apoyo en el
proceso inspeccin de la red de datos de la institucin educativa.
Identificar las soluciones para la construccin de los planes de
mejoramiento a la red de la institucin educativa de acuerdo a los
resultados obtenidos en la etapa de aplicacin del modelo de auditora.
5. Realizar el proceso de anlisis y evaluacin de riesgos: elaborar
el cuadro de vulnerabilidades y amenzas a que se ven enfrentados,
determinar los riesgos a que se ven expuestos, hacer la evaluacin de
riesgos, elaborar el mapa o matriz de riesgos.
6. Tratamiento de riesgos: determinar el tratamiento de los riesgos
de acuerdo a la matriz de riesgos, proponer controles de acuerdo a la
norma de buenas prctica aplicada, definir las posibles soluciones

7. Dictamen de la auditora: Determinar el grado de madurez de la

Alcance y delimitacin: La presente auditoria pretende identificar las
condiciones actuales del hardware, la red de datos y elctrica de la
institucin educativa, con el fin de verificar el cumplimiento de normas
y la prestacin del servicio de internet para optimizar el uso de los
recursos existentes para mejorar el servicio a los usuarios.
Los puntos a evaluar sern los siguientes:
De las instalaciones fsicas se evaluar:
empresa en el manejo de cada uno de los procesos evaluados, medir
el grado de madurez de acuerdo a los hallazgos detectados en cada
proceso.
8. Informe final de auditora: elaboracin del borredor del informe
tcnico de auditora para confrontarlo con los auditados, elaboracin
del informe tcnico final, elaboracin del informe ejecutivo,
organizacin de papeles de trabajo para su entrega.
Recursos:

Instalaciones elctricas Humanos: La auditora se llevar a cabo por el grupo de

Instalacin cableado de la red de datos auditores especializados en redes de datos con la asesora
Sistemas de proteccin elctrico metodolgica de un Ingeniero Auditor.
Seguridad de acceso fsico a las instalaciones
Fsicos: Instalaciones de la institucin educativa, aulas de
De equipos o hardware se evaluar: informtica y dispositivos de red.

Inventarios de hardware de redes y equipos Tecnolgicos: equipos de cmputo, software instalado para la
Mantenimiento preventivo y correctivo de equipos y redes red, cmara digital, Intranet institucin educativa
. Hojas de vida de los equipos de cmputo y redes
Los programas de mantenimiento de los equipos de computo y Presupuesto:
redes
Revisin de informes de mantenimiento Personal encargado de tem Valor
mantenimiento Obsolescencia de la tecnologa tiles y Papelera $ 20.000.oo
Equipos de Oficina como calculadoras. $ 80.000.oo
Metodologa: Para el cumplimiento de los objetivos planteados en la Medios de almacenamiento magntico $ 20.000.oo
auditora, se realizaran las siguientes actividades: como: 1 caja de CD, 1 caja Diskettes.
Gastos generales: Cafetera, imprevistos, $300.000.oo
1. Investigacin preliminar: visitas a la institucin para determinar el transporte, etc.
estado actual de la organizacin, entrevistas con administradores y
Pago de Honorarios (1 millon mensual x $4.000.000
usuarios de las redes para determinar posibles fallas, entrevistas
c/au)
con administrador y usuarios para determinar la opinin frente
al hardware existente y obsolecencia de equipos. Total presupuesto $4.420.000

Cronograma

Mes 1 Mes 2 Mes 3

Actividad
1 2 3 4 1 2 3 4 1 2 3 4
Estudio Preliminar
9
 Planificar la Determinacin de reas Crticas
auditora de Auditoria
Elaboracin de Programa de
Aplicar el Auditoria
modelo de Evaluacin de Riesgos
auditoria Ejecucin de Pruebas y
Obtencin de Evidencias
Construir los Elaboracin de Informe
planes de
mejoramiento Sustentacin de Informe
Alcances: En cuanto a los alcances de la auditora se trabajar el
mdulo de matrcula acadmica en lnea, incluyendo los procesos de
registro y control, y el sistema de control interno que maneja la
dependencia para la proteccin de los datos e informacin.

Del mdulo de matrcula acadmica se evaluar: Asignaturas a

TEMA N 06 PROGRAMA DE AUDITORIA COBIT
El programa de auditora hace referencia a la programacin de las
actividades y asignacin de los procesos a auditar a cada uno de los
miembros del equipo auditor, por lo tanto inicialmente se debe
determinar el estndar que se va a aplicar, quienes sern los miembros
del equipo auditor y la especialidad de cada uno de ellos, y
posteriormente se hace la asiganacin de las tareas para cada uno de
ellos.
matricular del Pensum, Asignaturas a matricular de formacin
humanstica, Matricular idiomas extranjeros, Cancelacin de
asignaturas del Pensum, Cancelacin de formacin humansticas,
Cancelacin idiomas extranjeros, Autorizaciones, Reporte de
Matrcula, Actualizacin de informacin, Calificaciones, Calendario
Horarios, Horarios Humanstica.
En cuanto al hardware: En cuanto al hardware se evaluar el
inventario de hardware de servidores, equipos y redes, incluyendo los
procesos mantenimiento, adquisicin y actualizacin de los mismos.

Para este caso se usar el estndar CobIT 4.1 de donde se tomar los
procesos y objetivos de control relacionados directamente con el
objetivo general y alcances que fueron determinados en el plan de
auditora.
Cabe mencionar que dentro de cada proceso existen varios objetivos
de control y que no se debe seleccionar solo un objetivo de control sino
que pueden ser todos o aquellos que ms estn relacionados con los
alcances de la auditora.
En cuanto al sistema: En cuanto al sistema se evaluar la
funcionalidad, procesamiento, seguridad perimetral del sistema,
seguridad interna del sistema, entradas y salidas generadas por el
sistema, calidad de los datos de entrada, la configuracin del sistema,
la administracin del sistema, planes de contingencias.
En cuanto a la operatividad del sistema: En cuanto a la operatividad
del sistema se evaluar los usuarios que manejan la informacin, la
administracin del sistema y el monitoreo del sistema.

Ejemplo de programa de auditora para un sistema de Teniendo en cuenta el objetivo y los alcances especificados
informacin. anteriormente, y una vez seleccionado el estndar a trabajar (CobIT
4.1), se selecciona los dominios y procesos del estndar que tengan
Inicialmente hay que tener en cuenta el plan de auditora porque all se relacin directa con el objetivo y los alcances.
tiene el objetivo que se pretende en la auditora y los alcances de cada
uno de los tem evaluados.
PROGRAMA DE AUDITORA
Plan de auditora
Para realizar el proceso de auditora al Sistema de informacin de
Objetivo general: Evaluar el sistema de informacin de usado para Registro y control acadmico, se utilizar el estndar de mejores
el sistema de matrcula para garantizar la seguridad en cuanto a prctica en el uso de Tecnologa de informacin (TI) COBIT (Objetivos
confidencialidad, integridad y disponibilidad que permitan el de Control para la Informacin y Tecnologas Relacionadas), donde se
mejoramiento del sistema de control existente. especifica el dominio, el proceso y los objetivos de control que se debe
trabaar en relacin directa con el objetivo y alcances, dentro de ellos
se elegira los siguientes:

Dominio: Planeacin Y Organizacin (PO). Este dominio cubre las

estrategias y las tcticas, tiene que ver con identificar la manera en
que las tecnologas de informacin pueden contribuir de la mejor
manera al logro de los objetivos de una entidad.

Los procesos seleccionados que se revisar y los objetivos de

control a verificar son los siguientes:

Proceso: PO1 Definir un Plan Estratgico de TI: La definicin de un

plan estratgico de tecnologa de informacin, permite la gestin y
direccin de los recursos de TI de acuerdo a las estrategias y
requerimientos de la dependencia.
10

Los objetivos de control relacionados con los alcances de la auditora
son los siguientes:
PO1.3 Ecaluacin del desempeo y la capacidad actual: La
dependencia de registro y control acadmico manteiene una
evaluacin perodica del desempeo de los planes institucionales y de
los sistemas de informacin encaminados a la contribucin del
cumplimiento de los objetivos de la dependencia.
PO2 Definir la Arquitectura de la Informacin: Permite definir un
modelo de informacin, con el fin de integrar de forma transparente las
aplicaciones dentro de los procesos de la dependencia.
Los objetivos de control que se evaluaran son los siguientes:
PO2.2 Diccionario de datos y reglas de sintaxis de datos: Es necesario
la existencia de un diccionario de datos del sistema en la dependencia
y las actualizaciones que se hayan realizado al mismo en las
actualizaciones del sistema de acuerdo a los nuevos requerimientos.
PO2.3 Esquema de clasificacin de los datos: Se debe establecer un
marco de referencia de los datos, clasificndolos por categorias, y con
la definicin de normas y polticas de acceso a dichos datos.
PO2.4 Administracin de la integridad de datos: Los desarrolladores
de la aplicacin deben garantizar la integridad y consistencia de los
datos almacenados mediante la creacin de procesos y
procedimientos.
PO4 Definir los Procesos, Organizacin y Relaciones de
TI: Dentro del rea de sistemas debe estar claro y definido el personal
de la tecnologa de la informacin, los roles, las funciones y
responsabilidades, permitiendo el buen funcionamiento de servicios
que satisfagan los objetivos de la Institucin.
Los objetivos de control que se evaluarn son los siguientes:
PO4.6 Establecer roles y responsabilidades: Evaluar el
comportameinto de los roles y las responsabilidades definidas para el
personal de TI, el el rea informtica (administradores de la red.
administrador de sistema, supervisor de los indicadores de
cumplimiento, otros)
PO4.7 Responsabilidad del aseguramiento de la calidad de TI: Se
debe asignar la responsabilidad para el desempeo de la funcin de
aseguramiento de la calidad (QA) proporcionando el grupo QA del rea
informtica los controles y la experiencia para comunicarlos. Ademas
se debe asegurar que la ubicacin organizacional, la
responsabilidades y el tamao del grupo de QA satisfacen los
requerimientos de la dependencia.
PO4.8 Responsabilidad sobre el riesgo, la seguridad y el
cumplimiento: Se debe establecer la propiedad y la responsabilidad de
los riesgos relacionados con TI a un nivel superior apropiado. Definir y
asignar roles crticos para administrar los riesgos de TI, incluyendo la
responsabilidad especfica de la seguridad de la informacin, la
seguridad fsica y el cumplimiento. Establecer responsabilidad sobre
la adminsitracin del riesgo y la seguridad a nivel de toda la
dependencia para manejar los problemas a nivel institucional. Es
necesario asignar responsabilidades adicionales de administracin de
la seguridad a nivel del sistema especfico para manejar problemas
relacionados con la seguridad.
11
PO4.9 Propiedad de datos y del sistema: Proporcionar a la
dependencia de registro y control los procedimientos y herramientas
que le permitan enfrentar sus responsabilidades de propiedad sobre
los datos y los sistemas de informacin.
PO4.13 Personal clave de TI: Definir e identificar el personal clave de
TI y minimizar la dependencia de una sola persona desempeando la
funcin de trabajo crtico.
PO8 Administrar la Calidad: Se debe elaborar y mantener un
sistema de administracin de calidad, el cual incluya procesos y
estndares probados de desarrollo y de adquisicin. Esto se facilita
por medio de la planeacin, implantacin y mantenimiento del sistema
de administracin de calidad, proporcionando requerimientos,
procedimientos y polticas claras de calidad. Los requerimientos de
calidad se deben manifestar y documentar con indicadores
cuantificables y alcanzables. La mejora continua se logra por medio
del constante monitoreo, correccin de desviaciones y la comunicacin
de los resultados a los interesados. La administracin de calidad es
esencial para garantizar que TI est dando valor a la informacin de la
dependencia, mejora continua y transparencia para los interesados.
Los objetivos de control que sern evaluados son los siguientes:
PO8.3 Estndares de desarrollo y de adquisicin: Adoptar y mantener
estndares para desarrollo y adquisicin que siga el ciclo de vida,
hasta los entregables finales incluyendo la aprobacin o no en puntos
clave con base en los criterios de aceptacin acordados. Los temas a
considerar incluyen los estndares de codificacin del software,
normas de nomenclatura, los formatos de archivos, estndares de
diseo para los esquemas y diccionarios de datos, estndares para
interfaz de ususrio, inter operatividad, eficiencia en el desempao del
sistema, escalabilidad, estndares para el desarrollo y pruebas,
validacin de los requerimientos, planes de pruebas, pruebas
unitarias, y de integracin.
PO8.5 Mejora continua: Mantener y comunicar regularmente un plan
global de calidad que promueva la mejora contnua.
PO9 Evaluar y administrar los riesgos de TI: Encargado de
identificar, analizar y comunicar los riesgos de TI y su impacto
potencial sobre los procesos y metas de la dependencia, con el
objetivo de asegurar el logro de los objetivos de TI.
PO9.1 Marco de trabajo de administracin de riesgos: Se debe
establecer un marco de referencia de evaluacin sistemtica de
riesgos que contenga una evaluacin regular de los riesgos de la parte
fsica de las comunicaciones, servidores y equipos con indicadores de
cumplimiento.
PO9.3 Identificacin de eventos: Identificar los riesgos (una amenaza
explota las vulnerabilidades existentes), clasificandolas si son
relevantes y en que medida afectan al rea informtica y la
dependencia de registro y control donde se maneja el sistema de
informacin.
PO9.4 Evaluacin de los riesgos de TI: Medir los riesgos a travs de
la evaluacin peridica de la probabilidad e impacto de los riesgos
identificados, usando mtodos cuantitativos y cualitativos, que
permitan la medicin del riesgo encontrado.
PO9.5 Respuesta a los riesgos: Definir un plan de accin contra
riesgos, el proceso de respuesta a riesgos debe identificar las
estrategias tales como evitar, reducir, compartir o aceptar los riesgos
determinando los niveles de tolerancia a los riesgos y los controles
para mitigarlos.
PO9.6 Mantenimiento y monitoreo de un plan de accin de riesgos:
Priorizar y planear las actividades de control y respuesta a la solucin
de riesgos encontrados, teniendo en cuenta tambin la parte
econmica de la solucin de esta prioridad. Monitorear la ejecuccin
de los planes y reportar cualquier desviciacin a la alta direccin.
Dominio: Adquirir e implementar (AI) Para llevar a cabo la
estrategia TI, se debe identificar las soluciones, desarrollarlas y
adquirirlas, as como implementarlas e integrarlas en la empresa, esto
para garantizar que las soluciones satisfaga los objetivos de la
empresa.
De este dominio se ha seleccionado los siguientes procesos y
objetivos de control:
AI2 Adquirir y Mantener Software Aplicativo: Las aplicaciones
deben estar disponibles de acuerdo con los requerimientos de la
dependencia. Este proceso cubre el diseo de las aplicaciones, la
inclusin apropiada de controles aplicativos y requerimientos de
seguridad, y el desarrollo y la configuracin en s de acuerdo a los
estndares. Esto permite apoyar la operatividad de la dependencia de
forma apropiada con las aplicaciones automatizadas correctas.
AI2.1 Diseo de Alto Nivel: Traducir los requerimientos a una
especificacin de diseo de alto nivel para la adquisicin de software,
teniendo en cuenta las directivas tecnolgicas y la arquitectura de
informacin dentro de la dependencia. Tener aprobadas las
especificaciones de diseo por la dependencia para garantizar que el
diseo de alto nivel responde a los requerimientos. Reevaluar cuando
sucedan discrepancias significativas tcnicas o lgicas durante el
desarrollo o mantenimiento.
AI2.2 Diseo Detallado: Preparar el diseo detallado y los
requerimientos tcnicos del software de aplicacin. Definir el criterio
de aceptacin de los requerimientos. Aprobar los requerimientos para
garantizar que corresponden al diseo de alto nivel. Realizar
reevaluaciones cuando sucedan discrepancias significativas tcnicas
o lgicas durante el desarrollo o mantenimiento.
AI2.3 Control y Posibilidad de Auditar las Aplicaciones:
Implementar controles de aplicacin automatizados tal que el
procesamiento sea exacto, completo, oportuno, autorizado y auditable.
AI2.4 Seguridad y Disponibilidad de las Aplicaciones: Abordar la
seguridad de las aplicaciones y los requerimientos de disponibilidad en
respuesta a los riesgos identificados y en lnea con la clasificacin de
datos, la arquitectura de la informacin, la arquitectura de seguridad
de la informacin y la tolerancia a riesgos de la organizacin.
AI2.5 Configuracin e Implantacin de Software Aplicativo
Adquirido: Configurar e implementar software de aplicaciones
adquiridas para conseguir los objetivos de negocio.
AI2.6 Actualizaciones Importantes en Sistemas Existentes: En
caso de cambios importantes a los sistemas existentes que resulten
en cambios significativos al diseo actual y/o funcionalidad, seguir un
proceso de desarrollo similar al empleado para el desarrollo de
sistemas nuevos.
AI2.7 Desarrollo de Software Aplicativo: Garantizar que la
funcionalidad de automatizacin se desarrolla de acuerdo con las
12
especificaciones de diseo, los estndares de desarrollo y
documentacin, los requerimientos de calidad y estndares de
aprobacin. Asegurar que todos los aspectos legales y contractuales
se identifican y direccionan para el software aplicativo desarrollado por
terceros.
AI2.9 Administracin de los Requerimientos de Aplicaciones:
Seguir el estado de los requerimientos individuales durante el diseo,
desarrollo e implementacin, y aprobar los cambios a los
requerimientos a travs de un proceso de gestin de cambios
establecido.
AI2.10 Mantenimiento de Software Aplicativo: Desarrollar una
estrategia y un plan para el mantenimiento de aplicaciones de
software.
AI3 Adquirir y Mantener Infraestructura Tecnolgica: Las
Dependencias deben contar con procesos para adquirir, Implementar
y actualizar la infraestructura tecnolgica. Esto requiere de un enfoque
planeado para adquirir, mantener y proteger la infraestructura de
acuerdo con las estrategias tecnolgicas convenidas y la disposicin
del ambiente de desarrollo y pruebas. Esto garantiza que exista un
soporte tecnolgico en la organizacin.
AI3.1 Plan de Adquisicin de Infraestructura Tecnolgica: Generar
un plan para adquirir, Implementar y mantener la infraestructura
tecnolgica que satisfaga los requerimientos establecidos funcionales
y tcnicos que est de acuerdo con la direccin tecnolgica de la
dependencia. El plan debe considerar extensiones futuras para
adiciones de capacidad, costos de transicin, riesgos tecnolgicos y
vida til de la inversin para actualizaciones de tecnologa. Evaluar los
costos de complejidad y la viabilidad del software al aadir nueva
capacidad tcnica.
AI3.2 Proteccin y Disponibilidad del Recurso de Infraestructura:
Implementar medidas de control interno, seguridad y auditabilidad
durante la configuracin, integracin y mantenimiento del hardware y
del software de la infraestructura para proteger los recursos y
garantizar su disponibilidad e integridad. Se deben definir y
comprender claramente las responsabilidades al utilizar componentes
de infraestructura sensitivos por todos aquellos que desarrollan e
integran los componentes de infraestructura. Se debe monitorear y
evaluar su uso.
AI3.3 Mantenimiento de la Infraestructura: Desarrollar una
estrategia y un plan de mantenimiento de la infraestructura y garantizar
que se controlan los cambios, de acuerdo con el procedimiento de
administracin de cambios de la dependencia. Incluir una revisin
peridica contra las necesidades, administracin de parches y
estrategias de actualizacin, riesgos, evaluacin de vulnerabilidades y
requerimientos de seguridad.
AI3.4 Ambiente de Prueba de Factibilidad: Establecer el ambiente
de desarrollo y pruebas para soportar la efectividad y eficiencia de las
pruebas de factibilidad e integracin de aplicaciones e infraestructura,
en las primeras fases del proceso de adquisicin y desarrollo. Hay que
considerar la funcionalidad, la configuracin de hardware y software,
pruebas de integracin y desempeo, migracin entre ambientes,
control de la versiones, datos y herramientas de prueba y seguridad.
AI6 Administrar cambios: Para realizar algn cambio bien sea de
software, de hardware de comunicaciones o de servidores, debe
existir un proceso que administre formalmente y controladamente
dichos cambios, cada cambio debe seguir un proceso de recepcin,
evaluacin, prioridad y autorizacin previo a la implantacin, sin obviar
la constatacin o revisin despus del cambio, esto con el fin de
reducir riesgos que impacten negativamente la estabilidad o integridad
del ambiente del buen funcionamiento de las comunicaciones y
servidores.
AI6.3 Cambios de emergencia: La Dependencia debe tener
establecido un proceso para definir, plantear, evaluar y autorizar los
cambios de emergencia que no sigan el proceso de cambio
establecido. La documentacin y pruebas se realizan, posiblemente,
despus de la implantacin del cambio de emergencia.
AI6.4 Seguimiento y reporte del estatus de cambio: Se debe hacer
un seguimiento a travs de un reporte de las solicitudes de cambio, de
solucin y autorizacin.
AI6.5 Cierre y documentacin del cambio: Establecer un proceso
de revisin para garantizar la implantacin completa de los cambios.
Dominio Entregar Y Dar Soporte (DS). Encargado de garantizar
la entrega de los servicios requeridos por la empresa, dentro de este
dominio se evaluar los siguientes procesos y objetivos de control:
DS4 Garantizar la Continuidad del Servicio: Es importante que
dentro de la dependencia se garantice la continuidad de los servicios
de TI, para ello es importante desarrollar, mantener y probar planes de
continuidad y as asegurar el mnimo impacto en caso de una
interrupcin de servicios TI, esto se logra con el desarrollo y
mantenimiento (mejorado) de los planes de contingencia de TI, con
entrenamiento y pruebas de los planes de contingencia de TI y
guardando copias de los planes de contingencia.
La metodologa de continuidad
debe ser diseado para reducir el impacto de un desastre, debe
presentar diferentes alternativas de recuperacin inmediata de los
servicios, tambin debe cubrir los lineamientos de uso, los roles y
responsabilidades, los procedimientos, los procesos de comunicacin
y el enfoque de pruebas.
Revisar si se lleva un control de los
planes de continuidad, de acuerdo al nivel de prioridad, asegurarse de
que la respuesta y la recuperacin estn alineadas con las
necesidades prioritarias de la dependencia y considerar los
requerimientos de resistencia, respuesta y recuperacin para
diferentes niveles de prioridad.
d de TI: Se debe
mantener el plan de continuidad activo, vigente y actualizado y que
refleje de manera continua los requerimientos actuales del rea
Informtica y de la dependencia de registro y control.
DS4.5 Pruebas del plan de continuidad de TI: Es importante que
dentro de la dependencia el plan de continuidad sea conocido por
todas las partes interesadas, es esencial que los cambios en los
procedimientos y las responsabilidades sean comunicados de forma
clara y oportuna. Hacer pruebas de continuidad de forma regular para
asegurar que los procesos de TI pueden ser recuperados de forma
efectiva y as probar que el plan es efectivo o sino corregir deficiencias
en el plan, y as ejecutar un plan de accin para permitir que el plan
permanezca aplicable.
DS4.6 Entrenamiento del plan de continuidad de TI: La
organizacin debe asegurarse que todos las partes involucradas
reciban capacitaciones de forma regular respecto a los procesos y sus
roles y responsabilidades en caso de incidente o desastre. Verificar e
13
incrementar el entrenamiento de acuerdo con los resultados de las
pruebas de contingencia.
DS4.9 Almacenamiento de Respaldos Fuera de las
Instalaciones: Almacenar fuera de las instalaciones todos los medios
de respaldo, documentacin y otros recursos de TI crticos, necesarios
para la recuperacin de TI y para los planes de continuidad de la
dependencia. El contenido de los respaldos a almacenar debe
determinarse en conjunto entre los responsables de los procesos de la
dependencia y el personal de TI. La administracin del sitio de
almacenamiento externo a las instalaciones, debe apegarse a la
poltica de clasificacin de datos y a las prcticas de almacenamiento
de datos de la organizacin. Las directivas de TI debe asegurar que
los acuerdos con sitios externos sean evaluados peridicamente, al
menos una vez por ao, respecto al contenido, a la proteccin
ambiental y a la seguridad. Asegurarse de la compatibilidad del
hardware y del software para poder recuperar los datos archivados y
peridicamente probar y renovar los datos archivados.
DS4.10 Revisin Post Reanudacin: Una vez lograda una exitosa
reanudacin de las funciones de TI despus de un desastre,
determinar si las directivas de TI ha establecido procedimientos para
valorar lo adecuado del plan y actualizar el plan en consecuencia.
DS5 Garantizar la seguridad de los sistemas: Garantizar la
proteccin de la informacin e infraestructura de TI con el fin de
minimizar el impacto causado por violaciones o debilidades de
seguridad de la TI.
Los objetivos de control que se evaluarn son los siguientes:
DS5.2 Plan de Seguridad de TI: Trasladar los requerimientos de la
dependencia, riesgos y cumplimiento dentro de un plan de seguridad
de TI completo, teniendo en consideracin la infraestructura de TI y la
cultura de seguridad. Asegurar que el plan esta implementado en las
polticas y procedimientos de seguridad junto con las inversiones
apropiadas en los servicios, personal, software y hardware. Comunicar
las polticas y procedimientos de seguridad a los interesados y a los
usuarios.
DS5.3 Administracin de Identidad: Asegurar que todos los
usuarios (internos, externos y temporales) y su actividad en sistemas
de TI (Entorno de TI, operacin de sistemas, desarrollo y
mantenimiento) deben ser identificables de manera nica. Permitir que
el usuario se identifique a travs de mecanismos de autenticacin.
Confirmar que los permisos de acceso del usuario al sistema y los
datos estn en lnea con las necesidades del mdulo definidas y
documentadas y que los requerimientos de trabajo estn adjuntos a
las identidades del usuario. Asegurar que los derechos de acceso del
usuario se solicitan por la gerencia del usuario, aprobados por el
responsable del sistema e implementado por la persona responsable
de la seguridad. Las identidades del usuario y los derechos de acceso
se mantienen en un repositorio central. Se despliegan tcnicas
efectivas en coste y procedimientos rentables, y se mantienen
actualizados para establecer la identificacin del usuario, realizar la
autenticacin y habilitar los derechos de acceso.
DS5.4 Administracin de Cuentas del Usuario: Garantizar que la
solicitud, establecimiento, emisin, suspensin, modificacin y cierre
de cuentas de usuario y de los privilegios relacionados, sean tomados
en cuenta por un conjunto de procedimientos. Debe incluirse un
procedimiento de aprobacin que describa al responsable de los datos
o del sistema otorgando los privilegios de acceso. Estos
procedimientos deben aplicarse a todos los usuarios, incluyendo
administradores, usuarios externos e internos, para casos normales y
de emergencia. Los derechos y obligaciones relativos al acceso a los
sistemas e informacin del mdulo deben acordarse contractualmente
para todos los tipos de usuarios. Realizar revisiones regulares de la
gestin de todas las cuentas y los privilegios asociados.
DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad: Garantizar
que la implementacin de la seguridad en TI sea probada y
monitoreada de forma pro-activa. La seguridad en TI debe ser re-
acreditada peridicamente para garantizar que se mantiene el nivel
seguridad aprobado. Una funcin de ingreso al sistema (loggin) y de
monitoreo permite la deteccin oportuna de actividades inusuales o
anormales que pueden requerir atencin.
ridad: Implementar
procedimientos para atender casos de incidentes, mediante el uso de
una plataforma centralizada con suficiente experiencia y equipada con
instalaciones de comunicacin rpidas y seguras. Igualmente
establecer las responsabilidades y procedimientos para el manejo de
incidentes.
DS5.7 Proteccin de la Tecnologa de Seguridad: Garantizar que
la tecnologa relacionada con la seguridad sea resistente al sabotaje y
no revele documentacin de seguridad innecesaria.
Asegurar que la
informacin de transacciones (datos, password, llaves criptogrficas)
es enviada y recibida por canales confiables (trustedpaths), mediante
encriptamiento de sistemas y usuarios.
Malicioso: Garantizar procedimientos para el manejo y correccin de
problemas ocasionados por software malicioso generalmente en el
caso de virus.
DS5.10 Seguridad de la Red: En la organizacin al existir conexin
a la red de internet se debe implementar el uso de tcnicas de
seguridad y procedimientos de administracin asociados como
firewalls, para proteger los recursos informticos y dispositivos de
seguridad.
DS7 Educar y Entrenar a los Usuarios: Para una educacin efectiva
de todos los usuarios de sistemas de TI, incluyendo aquellos dentro de
TI, se requieren identificar las necesidades de entrenamiento de cada
grupo de usuarios. Adems de identificar las necesidades, este
proceso incluye la definicin y ejecucin de una estrategia para llevar
a cabo un entrenamiento efectivo y para medir los resultados. Un
programa efectivo de entrenamiento incrementa el uso efectivo de la
tecnologa al disminuir los errores, incrementando la productividad y el
cumplimiento de los controles clave tales como las medidas de
seguridad de los usuarios.
Para ello se tomaran en cuenta los siguientes objetivos de control:
DS7.1 Identificacin de Necesidades de Entrenamiento y
Educacin: Establecer y actualizar de forma regular un programa de
entrenamiento para cada grupo objetivo de empleados, que incluya:
Implementar procedimientos junto con el plan de largo plazo, valores
sistmicos (valores ticos, cultura de control y seguridad, otros),
implementacin de nuevo software e infraestructura de TI (paquetes
y aplicaciones), perfiles de competencias y certificaciones actuales y/o
credenciales necesarias, metodos de impartir la capacitacin, tamao
del grupo, accesibilidad y tiempo.
DS7.3 Evaluacin del Entrenamiento Recibido: Al finalizar el
entrenamiento, evaluar el contenido del entrenamiento respecto a la
14
relevancia, calidad, efectividad, percepcin y retencin del
conocimiento, costo y valor. Los resultados de esta evaluacin deben
contribuir en la definicin futura de los planes de estudio y de las
sesiones de entrenamiento.
DS8 Administrar la Mesa de Servicio y los Incidentes: asegurar
que cualquier problema experimentado por los usuarios o estudiantes
sea atendido apropiadamente realizando una mesa de ayuda que
proporcione soporte y asesora de primera lnea.
DS8.1 Mesa de Servicios: Establecer la funcin de mesa de
servicio, la cual es la conexin del usuario con TI, para registrar,
comunicar, atender y analizar todas las llamadas, incidentes
reportados, requerimientos de servicio y solicitudes de informacin.
Deben existir procedimientos de monitoreo y escalamiento basados en
los niveles de servicio acordados en los SLAs, que permitan clasificar
y priorizar cualquier problema reportado como incidente, solicitud de
servicio o solicitud de informacin. Medir la satisfaccin del usuario
final respecto a la calidad de la mesa de servicios y de los servicios de
TI.
DS8.3 Escalamiento de Incidentes: Establecer procedimientos de
mesa de servicios de manera que los incidentes que no puedan
resolverse de forma inmediata sean escalados apropiadamente de
acuerdo con los lmites acordados en el SLA y, si es adecuado, brindar
soluciones alternas. Garantizar que la asignacin de incidentes y el
monitoreo del ciclo de vida permanecen en la mesa de servicios,
independientemente de qu grupo de TI est trabajando en las
actividades de resolucin.
DS8.4 Cierre de Incidentes: Establecer procedimientos para el
monitoreo puntual de la resolucin de consultas de los usuarios.
Cuando se resuelve el incidente la mesa de servicios debe registrar la
causa raz, si la conoce, y confirmar que la accin tomada fue
acordada con el usuario.
DS8.5 Anlisis de Tendencias: Emitir reportes de la actividad de la
mesa de servicios para permitir a la dependencia medir el desempeo
del servicio y los tiempos de respuesta, as como para identificar
tendencias de problemas recurrentes de forma que el servicio pueda
mejorarse de forma continua.
DS9 Administracin de la Configuracin: Mantener un depsito
centralizado donde se almacene la informacin de configuracin de
software y hardware, ofreciendo as mayor disponibilidad a los
usuarios y administradores del sistema, adems de mantener un
inventario actualizado de la existencia fsica de TI.
El objetivo de control que se evalua es el siguiente:
DS9.3 Revisin de Integridad de la Configuracin: El rea
Informtica debe revisar peridicamente los datos de configuracin
para verificar y confirmar la integridad de la configuracin actual y
ejecuta rutinas de revisin de software instalado para establecer
inconsistencias o desviaciones que perjudiquen los intereses de la
organizacin o que violen polticas de uso.
DS12 Administracin del Ambiente Fsico: La proteccin del
equipo de cmputo y del personal, requiere de instalaciones bien
diseadas y bien administradas. El proceso de administrar el ambiente
fsico incluye la definicin de los requerimientos fsicos del centro de
datos (site), la seleccin de instalaciones apropiadas y el diseo de
procesos efectivos para monitorear factores ambientales y administrar
el acceso fsico. La administracin efectiva del ambiente fsico reduce
las interrupciones del mdulo ocasionadas por daos al equipo de correctivas necesarias y verificar si los resultados de los controles, son
cmputo y al personal. reportados y analizados rpidamente, para evitar errores e
inconsistencias y que sean corregidos a tiempo.
DS12.1 Seleccin y Diseo del Centro de Datos: Registro y control
y el rea Informtica deben definir y seleccionar los centros de datos
fsicos para el equipo de TI para soportar la estrategia de tecnologa Finalmente se establecer las responsabilidades de cada
ligada a la estrategia del negocio. Esta seleccin y diseo del esquema integrante del grupo auditor respecto a los procesos que sern
de un centro de datos debe tomar en cuenta el riesgo asociado con evaluados y se crea un cronograma de las actividades de
desastres naturales y causados por el hombre. Tambin debe evaluacin que se realizarn en el proceso de auditora.
considerar las leyes y regulaciones correspondientes, tales como
regulaciones de seguridad y de salud en el trabajo.
TEMA N 07 PAPELES DE TRABAJO - DISEO DE FORMATOS
DS12.2 Medidas de Seguridad Fsica: Evaluar las medidas de PARA AUDITORA
seguridad fsicas alineadas con los requerimientos de la organizacin.
Las medidas deben incluir, zonas de seguridad, la ubicacin de equipo
crtico y de las reas de envo y recepcin. En particular mantenga un
DISEO DE FORMATOS PARA AUDITORA DE SISTEMAS
perfil bajo respecto a la presencia de operaciones crticas de TI. Deben
Para la planeacin del proceso de auditora es necesario el diseo de
establecerse las responsabilidades sobre el monitoreo y los
los formatos para el proceso de recoleccin de informacin y la
procedimientos de reporte y de resolucin de incidentes de seguridad
presentacin de los resultados de la auditora, estos documentos
fsica.
denominados papeles de trabajo finalmente son organizados por cada
proceso evaluado y al final se presenta el dictamen y el informe final
DS12.3 Acceso Fsico: Evaluar e implementar procedimientos
de resultados.
para otorgar, limitar y revocar el acceso a locales, edificios y reas de
emergencias. El acceso a locales, edificios y reas debe justificarse,
A continuacin se presentar algunos de los formatos que se usan en
autorizarse, registrarse y monitorearse. Esto aplica para todas las
el proceso de auditora
personas que accedan a las instalaciones, incluyendo personal,
estudiantes, visitantes o cualquier tercera persona.
FORMATO DE DEFINICION DE FUENTES DE CONOCIMIENTO
DS12.4 Proteccin Contra Factores Ambientales: Disear e
Los formatos de fuentes de conocimiento son usados para especificar
implementar medidas de proteccin contra factores ambientales.
quienes tiene la informacin o que docuemntos la poseen y las
Deben instalarse dispositivos y equipo especializado para monitorear
pruebas de anlisis o ejecucin que debern practicarse en cada
y controlar el ambiente.
proceso que sea evaluado.
DS12.5 Administracin de Instalaciones Fsicas: Se
debe administrar las instalaciones, incluyendo el equipo de
REF
comunicaciones y de suministro de energa, de acuerdo con las leyes CUADRO DE DEFINICIN DE FUENTES DE
y los reglamentos, los requerimientos tcnicos y de la institucin, las CONOCIMIENTO
especificaciones del proveedor y los lineamientos de seguridad y
salud.
ENTIDAD PAGINA
DS13 Administracin de Operaciones: Se requiere de una efectiva
AUDITADA 1 DE 1
administracin proteccin de datos de salida sensitivos, monitoreo de
infraestructura y mantenimiento preventivo de hardware en la PROCESO
organizacin. AUDITADO

RESPONSABLE
Para ello se evalua el siguiente objetivo de control:
MATERIAL DE
DS13.5 Mantenimiento Preventivo del Hardware: Evaluar los COBIT
SOPORTE
procedimientos para garantizar el mantenimiento oportuno de la DOMINIO
infraestructura para reducir la frecuencia y el impacto de las fallas o de PROCESO
la disminucin del desempeo.
REPOSITORIO DE PRUEBAS
Dominio Monitorear Y Evaluar (ME). Todos los procesos del FUENTES DE
APLICABLES
mdulo de matrcula necesitan ser evaluados regularmente a travs CONOCIMIENTO
del tiempo para verificar su calidad y suficiencia en cuanto a los DE ANALISIS DE EJECUCION
requerimientos de control, integridad y confidencialidad, por tal se
evaluara el sigueinte proceso: AUDITOR RESPONSABLE:

ME2 Monitorear y Evaluar el Control Interno: Se debe proporcionar

e incrementar los niveles de confianza entre la organizacin,
empleados y clientes con respecto a las operaciones eficientes y
En este formato se observa los siguientes campos que deben ser
efectivas dentro del mdulo.
diligenciados por el auditor para cada uno de los procesos evaluados.
ME2.3 Excepciones de Control: Identificar los incidentes, analizar
REF: Se refiere al ID del elemento.
e identificar sus causas raz subyacentes para establecer acciones

15
ENTIDAD AUDITADA: En este espacio se indicara el nombre de la
entidad a la cual se le est realizando el proceso de auditora. REF
ENTREVISTA I
PROCESO AUDITADO: En este espacio se indicara el nombre del
proceso objeto de la auditoria, para el caso ser Contratacin TI. PAGINA
ENTIDAD AUDITADA
DE
RESPONSABLE: En este espacio se indicaran los nombres del
equipo auditor que est llevando a cabo el proceso de auditora. AREA AUDITADA
SISTEMA
MATERIAL DE SOPORTE: En este espacio se indicara el nombre del OBJETIVO
material que soporta el proceso, para el caso ser COBIT. ENTREVISTA

DOMINIO: Espacio reservado para colocar el nombre del dominio de

COBIT que se est evaluando. ENTREVISTADO

PROCESO: Espacio reservado para el nombre del proceso en CARGO

especifico que se est auditando dentro de los dominios del COBIT.
TEMA1:
FUENTES DE CONOCIMIENTO: Espacio donde se indicara la fuente
de donde proviene la informacin (documento, plano, manual, 1. PREGUNTA?
entrevista con la persona, otra fuente). _____________________________________________________
_____________________________________________________
REPOSITORIO DE PRUEBAS APLICABLES: Pruebas que sern
aplicadas en cada uno de los procesos de acuerdo a los objetivos de TEMA 2:
control que pretendan evaluarse. 2. ?
_____________________________________________________
PRUEBAS DE ANLISIS: Las pruebas de anlisis hacen referencia _____________________________________________________
a las pruebas que pueden aplicarse en el proceso mediante
comparacin (benchmarking) o por revisin y anlisis documental. TEMA 3:
3. ?
PRUEBAS DE EJECUCIN: Las pruebas de ejecucin hacen _____________________________________________________
referencia a las pruebas que se pueden hacer en caliente sobre los _____________________________________________________
sistemas o software que se pretende auditar. Estas pruebas
generalmente se hacen sobre los sistemas en produccin en las
auditoras de seguridad (redes, base de datos, seguridad lgica,
sistemas operativos), auditorias a la funcionalidad del software y las
entradas y salidas del sistema.

FORMATO DE ENTREVISTA

Las entrevistas son una fuente deinformacin importante dentro de la

audtora, en ellas se refleja la opinin de los auditados acerca del tema
tratado y en muchas ocasiones las grabaciones son la fuente de
evidencia que soporta la auditora. la entrevista puede aplicarse al
inicio de la auditora para conocer los aspectos generales y durante el FECHA dd/mm/aaaa
proceso de auditora con la intencin de conocer en profundidad el AUDITORES APLICACIN
tema evaluado. La entrevista generalmente se aplica solo al personal
clave (administrador del sistema, usuarios de mayor experiencia,
administrador del rea informtica, otros).

REF:Se refiere al ID del elemento.

ENTIDAD AUDITADA:En este espacio se indicara el nombre de la

entidad a la cual se le est realizando el proceso de auditora.

REA O SISTEMA AUDITADO: En este espacio se indicara el rea

o sistema auditado.

RESPONSABLES: En este espacio se indicaran los nombres del

equipo auditor que est llevando a cabo el proceso de auditora.

16
OBJETIVO DE LA ENTREVISTA: En este espacio se hace una breve
referencia al objetivo que se pretende con la aplicacin de la entrevista
y el proceso COBIT que se est revisando.
ENTIDAD PAGINA
ENTREVISTADO: Espacio destinado al nombre de la persona AUDITADA
1 DE 1
entrevistada.
PROCESO
CARGO: Espacio destinado para el nombre del cargo de la persona AUDITADO
que ser entrevistada. RESPONSABLE
MATERIAL DE COBIT
TEMA: Los temas que sern tratados en la entrevista por parate del SOPORTE
auditor DOMINIO PROCESO

PREGUNTA: Espacio donde se indicara la descripcin de la consulta PREGUNTA SI NO NA REF FUENTE

de la cual se indagara. 1. ?

AUDITORES: Informacin de quien ser el auditor que aplica la 2. ?

entrevista.

FECHA DE APLICACIN: Fecha en que se aplica la entrevista TOTALES

TOTAL CUESTIONARIO
PORCENTAJE DE RIESGO
FORMATO DE CUESTIONARIO AUDITOR RESPONSABLE

El formato del cuestionario tiene dos objetivos, en primer lugar la

confirmacin de los riesgos ya detectados anteriormente y en
segurndo lugar descubrir nuevos riesgos que an no se haya
detectado. El cuestionario se aplica solamente al personal clave que
posee la informacin para responderlo, por eso es
necesario identificar las personas que puedan dar respuesta a los Este cuestionario cuantitativo est conformado por los siguientes
interrogantes planteados en el cuestionario. Las preguntas en el tems:
cuestionario son de dos tipos, el primer tipo son las preguntas sobre la
existencia de controles o riesgos, y el sugundo tipo son las de REF: Se refiere al ID del elemento.
completitud que tienen por objetivo saber si se esta aplicando
completamente los controles o de manera parcial. ENTIDAD AUDITADA: En este espacio se indicara el nombre de la
entidad a la cual se le est realizando el proceso de auditora.
Al responder cada una de las preguntas no solamente se debe marcar
la respuesta de SI o NO con una XX sino que se debe dar un valor PROCESO AUDITADO: En este espacio se indicara el nombre del
cuantitativo en una escala de 1 a 5, donde el valor ms bajo 1,2,3 son proceso objeto de la auditoria, para el caso ser Contratacin TI.
valores de la poca importancia de la existencia de controles y 4, 5 que
son los valores ms altos en la escala significan que tienen mayor RESPONSABLES: En este espacio se indicaran los nombres del
importancia para el auditor. Mediante estas calificaciones se trata de equipo auditor que est llevando a cabo el proceso de auditora.
medir el grado del riesgo a que se ve expuesto el proceso que esta
siendo evaluado. DESCRIPCIN DE ACTIVIDAD/PRUEBA: En este espacio se hace
una breve referencia al objetivo del proceso seleccionado dentro de
A continuacin se muestra el diseo de formatos para los los dominios del COBIT que se est revisando.
cuestionarios:
MATERIAL DE SOPORTE: En este espacio se indicara el nombre del
material que soporta el proceso, para el caso ser COBIT.

DOMINIO: Espacio reservado para colocar el nombre del dominio de

COBIT que se est evaluando.

PROCESO: Espacio reservado para el nombre del proceso en

especifico que se est auditando dentro de los dominios del COBIT.
PLAN PREGUNTA: Espacio donde se indicara la descripcin de la consulta
de la cual se indagara.

REF SI NO: Posibilidades de respuesta cuantitativa (1,2,3,4,5) para

medicipon del nivel de riesgo.

REF: referencia a la evidencia o el hallazgo que se obtuvo despus

de indagar.

17
PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de Inmediata
que el proceso se vea afectado por las acciones de las cuales se est De una a 24 horas
indagando, entre mas alto el porcentaje mayor probabilidad de riesgo De un da a 5 das
tiene el proceso de salir perjudicado. Ms de 5 das
El clculo de este porcentaje se hace de la siguiente forma: Se cuenta con servicio de 4 Semestral
mantenimiento para todos los
Porcentaje de riesgo parcial = (Total SI * 100) / Total equipos?
Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial Qu tipo de mantenimiento Correctivo
se lleva a cabo?
Las equivalencias utilizadas para la puntuacin sern de uno a cinco, Mantenimiento preventivo
siendo uno el valor mnimo considerado de poca importancia y cinco Mantenimiento correctivo
el mximo considerado de mucha importancia. Profesores y/o estudiantes 4
pueden instalar y desinstalar
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente programas en el computador?
categorizacin: Al finalizar el horario de clase 3
1% - 30% = Riesgo Bajo
en dichas aulas, se hace una
31% - 70% = Riesgo Medio
revisin de los equipos?
71% - 100% = Riesgo Alto
El personal que se encarga 4
del mantenimiento es personal
capacitado?
Se lleva un procedimiento 3
CUESTIONARIO PARA HARDWARE para la adquisicin de nuevos
equipos?
Aulas De Informtica Facultad De Ingeniera
La infraestructura 3
Cuestionario de Control: C1
tecnolgica de los equipos
Dominio Adquisicin e Implementacin soporta la instalacin de
Proceso AI3: Adquirir y mantener la arquitectura diferentes sistemas
tecnolgica operativos?
Pregunta Si No OBSERVACIONES Son compatibles software y 5
Se cuenta con un inventario 4 hardware?
de equipos de cmputo? TOTALES 19 20
Si existe inventario contiene
los siguientes tems? La escala de calificacin de cada una de las preguntas va de 1 hasta
Nmero del computador 5, la calificacin puede ir en el SI, en el NO, donde 1 significa que no
Fecha es importante tener el control para el auditor y 5 significa que es
Ubicacin importante que se tenga el control, el auditor debe tratar de dar estas
Responsable calificaciones lo ms objetivamente posible para aplicar la frmula y
Caractersticas(memoria, calcular el porcentaje de riesgo.
procesador, monitor, disco Las equivalencias utilizadas para la puntuacin sern de uno a cinco,
duro) siendo uno el valor mnimo considerado de poca importancia y cinco
Se lleva una hoja de vida por el mximo considerado de mucha importancia.
equipo
La hoja de vida del equipo 5 PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de
tiene los datos? que el proceso se vea afectado por las acciones de las cuales se est
Numero de hoja de vida indagando, entre mas alto el porcentaje mayor probabilidad de riesgo
Nmero del computador tiene el proceso de salir perjudicado.
correspondiente
Falla reportada PREGUNTA: Espacio donde se indicara la descripcin de la consulta
Diagnstico del encargado de la cual se indagara.
Solucin que se le dio
Se posee un registro de 4 SI NO: Posibilidades de respuesta, cumple, no cumple, o no aplica
fallas detectadas en los para la entidad.
equipos?
En el registro de fallas se El clculo de este porcentaje se hace de la siguiente forma:
tiene en cuenta con los
siguientes datos? Porcentaje de riesgo parcial = (Total SI * 100) / Total
Fecha Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
Hora
Nmero de registro
Nmero del computador Porcentaje de riesgo parcial = (19 * 100) / 39 = 48.71
Encargado Porcentaje de riesgo = 100 48.71 = 51.28
Al momento de presentar De 1 a 5 dias
una falla en el equipo, la
atencin que se presta es?

18
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente
categorizacin:
1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:
Porcentaje de riesgo parcial: 48.71
Porcentaje de riesgo = 51.28
Impacto segn relevancia del proceso: Riesgo Medio
FORMATO DE HALLAZGOS
Una vez los riesgos han sido conformados mediante pruebas y
evidaneias, estos riesgos parasn a denominarse hallazgos. Los
formatos de los hallazgos son de suma importancia en la auditora ya
que llevan la informacin de todo el proceso realizado y una
descripcin de como se esta presentando el riesgo y sus
consecuencias para la medicin o valoracin de los riesgos en el
proceso de evaluacin de riesgos que se lleva a cabo posteriormente.
Adems en el formato de hallazgos se puede encontrar la informacin
de las recomendaciones para determinar los posibles controles para
mitigarlos.
REF
HALLAZGO
Esta informacin ser desglosada de la siguiente manera:
REF: Se refiere al ID del elemento.
ENTIDAD AUDITADA: En este espacio se indicara el nombre de la
entidad a la cual se le est realizando el proceso de auditora.
PROCESO AUDITADO: En este espacio se indicara el nombre del
proceso objeto de la auditoria, para el caso ser Contratacin TI.
RESPONSABLES: En este espacio se indicaran los nombres del
equipo auditor que est llevando a cabo el proceso de auditora.
MATERIAL DE SOPORTE: En este espacio se indicara el nombre del
material que soporta el proceso, para el caso ser COBIT.
DOMINIO: Espacio reservado para colocar el nombre del dominio de
COBIT que se est evaluando.
PROCESO: Espacio reservado para el nombre del proceso en
especifico que se est auditando dentro de los dominios del COBIT.
HALLAZGO: Aqu se encontrara la descripcin de cada hallazgo, as
como la referencia al cuestionario cuantitativo que lo soporta.
CONSECUENCIAS Y RIESGOS: En este apartado se encuentra la
descripcin de las consecuencias del hallazgo as como la
cuantificacin del riesgo encontrado.
EVIDENCIAS: Aqu encontramos en nombre de la evidencia y el
numero del anexo donde sta se encuentra.
RECOMENDACIONES: En este ltimo apartado se hace una
descripcin de las recomendaciones que el equipo auditor ha
presentado a las entidades auditadas.
Ejemplo Hallazgos
Tabla Hallazgo 1

REF
HALLAZGO 1
HHDN_O1
PROCESO Funcionamiento de la red de PGINA
AUDITADO datos 1 DE 1
PROCESO Funcionamiento del aspecto PGINA
RESPONSABLE AUDITADO fsico de la red de datos 1 DE 1
MATERIAL DE RESPONSABLE Francisco Solarte
COBIT
SOPORTE
DOMINIO PROCESO MATERIAL DE
COBIT
SOPORTE
DESCRIPCIN: Definir un
Planear y
plan
DOMINIO Organizar PROCESO
estratgico de
(PO)
TI (PO1)
REF_PT:
DESCRIPCIN:
CONSECUENCIAS:
No existe un grupo encargado de evaluar y estudiar el
desempeo de la red de datos en su aspecto fsico.
No existen polticas ni procedimientos relacionados con la
conformacin adecuada de la arquitectura y del aspecto fsico de la
RIESGO: red de datos.

Esto es debido a la falta del manual de funciones donde se

especifique el personal a cargo de la red de datos ni los
RECOMENDACIONES: procedimientos que se realizaran por parte de los funcionarios.

REF_PT:

CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
19
E_AUDIO/A_CHDN_01

CONSECUENCIAS:

Al no existir un grupo encargado de evaluar y estudiar el

desempeo del aspecto fsico de la red de datos se pierde la
claridad para tomar decisiones pertinentes en caso de un
desempeo no aceptado de la red de datos.
Al no existir polticas ni procedimientos relacionados con
la conformacin de la arquitectura y del aspecto fsico de la red de
datos se pierde la opcin de ajustar a las condiciones adecuadas
que necesita la entidad los servicios de red de datos.

RIESGO:
Probabilidad de ocurrencia: Media
Impacto segn relevancia del proceso: Moderado

RECOMENDACIONES:

Conformar un grupo determinado de funcionarios que

evalen y estudien el desempeo de la red fsica de datos para con
ello tomen decisiones oportunas y adecuadas en la eventualidad
de no cumplir objetivos planteados.
Elaborar e implementar polticas y procedimientos
relacionados con la conformacin de la arquitectura y del aspecto
fsico de la red de datos para ajustar los servicios de red a las
necesidades propias que necesite la entidad.

20