Professional Documents
Culture Documents
Las mejores prcticas en auditoria recomiendan Cobit como la PO4.2 Comit Estratgico de TI
herramienta estndar para tecnologas de informacin ms utilizada PO4.3 Comit Directivo de TI
en la ejecucin de auditoras; a continuacin se explica detalladamente PO4.4 Ubicacin Organizacional de la
algunos conceptos manejados por sta y los dominios, procesos y Funcin de TI
actividades que lo conforman: PO4.5 Estructura Organizacional
PO4.6 Establecimiento de Roles y
Efectividad. Responsabilidades
. PO4.7 Responsabilidad de
Confidencialidad. PO4 Definir Aseguramiento de Calidad TI
Disponibilidad. . los Procesos, PO4.8 Responsabilidad sobre el Riesgo,
Cumplimiento. Organizacin la Seguridad y el Cumplimiento
Confiabilidad de la informacin. y Relaciones PO4.9 Propiedad de Datos y de Sistema
Datos. Los elementos de datos en su ms amplio sentido, (por de TI PO4.10 Supervisin
ejemplo, externos e internos), estructurados y no estructurados,
grficos, sonido, etc. PO4.11 Segregacin de Funciones
Aplicaciones. Se entiende como sistemas de aplicacin la suma de PO4.12 Personal de TI
procedimientos manuales y programados. PO4.13 Personal Clave de TI
Tecnologa. La tecnologa cubre hardware, software, sistemas PO4.14 Polticas y Procedimientos para
operativos, sistemas de administracin de bases de datos, redes, Personal Contratado
multimedia, etc. PO4.15 Relaciones
Instalaciones. Recursos para alojar y dar soporte a los sistemas de PO5.1 Marco de Trabajo para la
informacin. Administracin Financiera
Personal. Habilidades del personal, conocimiento, conciencia y PO5 PO5.2 Prioridades Dentro del
productividad para planear, organizar, adquirir, entregar, soportar y Administrar Presupuesto de TI
monitorear servicios y sistemas de la Inversin PO5.3 Proceso Presupuestal
informacin. en TI PO5.4 Administracin de Costos de TI
PO5.5 Administracin de Beneficios
PO6.1 Ambiente de Polticas y de Control
3.1.1 Distribucin de los dominios y procesos de COBIT PO6 PO6.2 Riesgo Corporativo y Marco de
TABLA DE CLASIFICACION DE DOMINIOS, PROCESOS Y Comunicar Referencia de Control Interno de TI
OBJETIVOS DE CONTROL COBIT 4.1 las PO6.3 Administracin de Polticas para
Aspiraciones TI
y la Direccin PO6.4 Implantacin de Polticas de TI
1
de la PO6.5 Comunicacin de los Objetivos y AI2.3 Control y Posibilidad de Auditar las
Gerencia la Direccin de TI AI2 Adquirir y Aplicaciones
PO7.1 Reclutamiento y Retencin del Mantener AI2.4 Seguridad y Disponibilidad de las
Personal Software Aplicaciones
PO7.2 Competencias del Personal Aplicativo AI2.5 Configuracin e Implementacin
PO7.3 Asignacin de Roles de Software Aplicativo Adquirido
PO7.4 Entrenamiento del Personal de TI AI2.6 Actualizaciones Importantes en
PO7 PO7.5 Dependencia Sobre los Individuos Sistemas Existentes
Administrar PO7.6 Procedimientos de Investigacin AI2.7 Desarrollo de Software Aplicativo
Recursos del Persona AI2.8 Aseguramiento de la Calidad del
Humanos de PO7.7 Evaluacin del Desempeo del Software
TI Empleado AI2.9 Administracin de los
PO7.8 Cambios y Terminacin de Requerimientos de Aplicaciones
Trabajo AI2.10 Mantenimiento de Software
PO8.1 Sistema de Administracin de Aplicativo
Calidad AI3.1 Plan de Adquisicin de
PO8.2 Estndares y Prcticas de Calidad AI3 Adquirir y Infraestructura Tecnolgica
PO8.3 Estndares de Desarrollo y de Mantener AI3.2 Proteccin y Disponibilidad del
PO8 Adquisicin Infraestructur Recurso de Infraestructura
Administrar PO8.4 Enfoque en el Cliente de TI a AI3.3 Mantenimiento de la infraestructura
la Calidad PO8.5 Mejora Continua Tecnolgica AI3.4 Ambiente de Prueba de
PO8.6 Medicin, Monitoreo y Revisin de Factibilidad
la Calidad AI4.1 Plan para Soluciones de Operacin
PO9.1 Marco de Trabajo de AI4.2 Transferencia de Conocimiento a la
Administracin de Riesgos Gerencia del Negocio
AI4 Facilitar
PO9.2 Establecimiento del Contexto del AI4.3 Transferencia de Conocimiento a
la Operacin
Riesgo Usuarios Finales
PO9 Evaluar y el Uso
PO9.3 Identificacin de Eventos AI4.4 Transferencia de Conocimiento al
y Administrar Personal de Operaciones y Soporte
PO9.4 Evaluacin de Riesgos de TI
los Riesgos
PO9.5 Respuesta a los Riesgos AI5.1 Control de Adquisicin
de TI
PO9.6 Mantenimiento y Monitoreo de un AI5 Adquirir AI5.2 Administracin de Contratos con
Plan de Accin de Riesgos Recursos de Proveedores
PO10.1 Marco de Trabajo para la TI AI5.3 Seleccin de Proveedores
Administracin de Programas AI5.4 Adquisicin de Recursos TI
PO10.2 Marco de Traba AI6.1 Estndares y Procedimientos para
PO10.3 Enfoque de Administracin de Cambios
Proyectos AI6.2 Evaluacin de Impacto,
PO10.4 Compromiso de los Interesados Priorizacin y Autorizacin
PO10.5 Declaracin de Alcance del AI6 AI6.3 Cambios de Emergencia
Proyecto Administrar AI6.4 Seguimiento y Reporte del Estatus
PO10.6 Inicio de las Fases del Proyecto Cambios de Cambio
PO10.7 Plan Integrado del Proyecto AI6.5 Cierre y Documentacin del
PO10.8 Recursos del Proyecto Cambio
PO10 PO10.9 Administracin de Riesgos del AI7.1 Entrenamiento
Administrar Proyecto AI7.2 Plan de Prueba
Proyectos PO10.10 Plan de Calidad del Proyecto AI7.3 Plan de Implementacin
PO10.11 Control de Cambios del AI7.4 Ambiente de Prueba
AI7 Instalar y
Proyecto AI7.5 Conversin de Sistemas y Datos
Acreditar
PO10.13 Medicin del Desempeo, Soluciones y AI7.6 Pruebas de Cambios
Reporte y Monitoreo del Proyecto Cambios AI7.7 Prueba de Aceptacin Final
PO10.14 Cierre del Proyecto AI7.8 Promocin a Produccin
AI1.1 Definicin y Mantenimiento de los AI7.9 Revisin Posterior a la
ADQUIRIR E IMPLEMENTAR
Procesos: Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser
identificadas, desarrolladas o adquiridas, as como implementadas e
PO1 Definicin de un plan Estratgico: El objetivo es lograr un integradas dentro del proceso del negocio. Adems, este dominio
balance ptimo entre las oportunidades de tecnologa de informacin cubre los cambios y el mantenimiento realizados a sistemas
y los requerimientos de TI de negocio, para asegurar sus logros existentes.
futuros.
Procesos:
PO2 Definicin de la arquitectura de Informacin: El objetivo es
satisfacer los requerimientos de la organizacin, en cuanto al manejo AI1 Identificacin de Soluciones Automatizadas: El objetivo es
y gestin de los sistemas de informacin, a travs de la creacin y asegurar el mejor enfoque para cumplir con los requerimientos del
mantenimiento de un modelo de informacin de la organizacin. usuario, mediante un anlisis claro de las oportunidades alternativas
comparadas contra los requerimientos de los usuarios.
PO3 Determinacin de la direccin tecnolgica: El objetivo es AI2 Adquisicin y mantenimiento del software aplicativo: El
aprovechar al mximo de la tecnologa disponible o tecnologa objetivo es proporcionar funciones automatizadas que soporten
emergente, satisfaciendo los requerimientos de la organizacin, a efectivamente la organizacin mediante declaraciones especficas
travs de la creacin y mantenimiento de un plan de infraestructura sobre requerimientos funcionales y operacionales y una
tecnolgica. implementacin estructurada con entregables claros.
PO4 Definicin de la organizacin y de las relaciones de TI: El AI3 Adquisicin y mantenimiento de la infraestructura
objetivo es la prestacin de servicios de TI, por medio de una tecnolgica: El objetivo es proporcionar las plataformas apropiadas
organizacin conveniente en nmero y habilidades, con tareas y para soportar aplicaciones de negocios mediante la realizacin de una
responsabilidades definidas y comunicadas. evaluacin del desempeo del hardware y software, la provisin de
mantenimiento preventivo de hardware y la instalacin, seguridad y
PO5 Manejo de la inversin: El objetivo es la satisfaccin de los control del software del sistema.
requerimientos de la organizacin, asegurando el financiamiento y el
control de desembolsos de recursos financieros. AI4 Desarrollo y mantenimiento de procedimientos: El objetivo es
asegurar el uso apropiado de las aplicaciones y de las soluciones
PO6 Comunicacin de la direccin y aspiraciones de la tecnolgicas establecidas, mediante la realizacin de un enfoque
gerencia: El objetivo es asegurar el conocimiento y comprensin de estructurado del desarrollo de manuales de procedimientos de
los usuarios sobre las aspiraciones de la gerencia, a travs de polticas operaciones para usuarios, requerimientos de servicio y material de
establecidas y transmitidas a la comunidad de usuarios, necesitndose entrenamiento.
4
AI5 Instalacin y aceptacin de los sistemas: El objetivo es verificar DS8 Apoyo y asistencia a los clientes de TI: El objetivo es asegurar
y confirmar que la solucin sea adecuada para el propsito deseado que cualquier problema experimentado por los usuarios sea atendido
mediante la realizacin de una migracin de instalacin, conversin y apropiadamente realizando una mesa de ayuda que proporcione
plan de aceptaciones adecuadamente formalizadas. soporte y asesora de primera lnea.
AI6 Administracin de los cambios: El objetivo es minimizar la DS9 Administracin de la configuracin: El objetivo es dar cuenta
probabilidad de interrupciones, alteraciones no autorizadas y errores, de todos los componentes de TI, prevenir alteraciones no autorizadas,
mediante un sistema de administracin que permita el anlisis, verificar la existencia fsica y proporcionar una base para el sano
implementacin y seguimiento de todos los cambios requeridos y manejo de cambios realizando controles que identifiquen y registren
llevados a cabo a la infraestructura de TI actual. todos los activos de TI as como su localizacin fsica y un programa
Dominio: Servicios y soporte regular de verificacin que confirme su existencia.
En este dominio se hace referencia a la entrega de los servicios DS10 Administracin de Problemas: El objetivo es asegurar que los
requeridos, que abarca desde las operaciones tradicionales hasta el problemas e incidentes sean resueltos y que sus causas sean
entrenamiento, pasando por seguridad y aspectos de continuidad. Con investigadas para prevenir que vuelvan a suceder implementando un
el fin de proveer servicios, debern establecerse los procesos de sistema de manejo de problemas que registre y haga seguimiento a
soporte necesarios. Este dominio incluye el procesamiento de los todos los incidentes.
datos por sistemas de aplicacin, frecuentemente clasificados como
controles de aplicacin. DS11 Administracin de Datos: El objetivo es asegurar que los
datos permanezcan completos, precisos y vlidos durante su entrada,
Procesos actualizacin, salida y almacenamiento, a travs de una combinacin
efectiva de controles generales y de aplicacin sobre las operaciones
DS1 Definicin de niveles de servicio: El objetivo es establecer una de TI.
comprensin comn del nivel de servicio requerido, mediante el
establecimiento de convenios de niveles de servicio que formalicen los DS12 Administracin de las instalaciones: El objetivo es
criterios de desempeo contra los cuales se medir la cantidad y la proporcionar un ambiente fsico conveniente que proteja al equipo y al
calidad del servicio. personal de TI contra peligros naturales (fuego, polvo, calor excesivos)
DS2 Administracin de servicios prestados por terceros: El o fallas humanas lo cual se hace posible con la instalacin de controles
objetivo es asegurar que las tareas y responsabilidades de las terceras fsicos y ambientales adecuados que sean revisados regularmente
partes estn claramente definidas, que cumplan y continen para su funcionamiento apropiado definiendo procedimientos que
satisfaciendo los requerimientos, mediante el establecimiento de provean control de acceso del personal a las instalaciones y
medidas de control dirigidas a la revisin y monitoreo de contratos y contemplen su seguridad fsica.
procedimientos existentes, en cuanto a su efectividad y suficiencia,
con respecto a las polticas de la organizacin. DS13 Administracin de la operacin: El objetivo es asegurar que
las funciones importantes de soporte de TI estn siendo llevadas a
DS3 Administracin de desempeo y capacidad: El objetivo es cabo regularmente y de una manera ordenada a travs de una
asegurar que la capacidad adecuada est disponible y que se est calendarizacin de actividades de soporte que sea registrada y
haciendo el mejor uso de ella para alcanzar el desempeo deseado, completada en cuanto al logro de todas las actividades.
realizando controles de manejo de capacidad y desempeo que
recopilen datos y reporten acerca del manejo de cargas de trabajo, Dominio: Monitoreo
tamao de aplicaciones, manejo y demanda de recursos.
Todos los procesos de una organizacin necesitan ser evaluados
DS4 Asegurar el Servicio Continuo: El objetivo es mantener el regularmente a travs del tiempo para verificar su calidad y suficiencia
servicio disponible de acuerdo con los requerimientos y continuar su en cuanto a los requerimientos de control, integridad y
provisin en caso de interrupciones, mediante un plan de continuidad confidencialidad.
probado y funcional, que est alineado con el plan de continuidad del
negocio y relacionado con los requerimientos de negocio. Procesos
DS5 Garantizar la seguridad de sistemas: El objetivo es M1 Monitoreo del Proceso: El objetivo es asegurar el logro de los
salvaguardar la informacin contra uso no autorizados, divulgacin, objetivos establecidos para los procesos de TI. Lo cual se logra
modificacin, dao o prdida, realizando controles de acceso lgico definiendo por parte de la gerencia reportes e indicadores de
que aseguren que el acceso a sistemas, datos y programas est desempeo gerenciales y la implementacin de sistemas de soporte
restringido a usuarios autorizados. as como la atencin regular a los reportes emitidos.
DS6 Educacin y entrenamiento de usuarios: El objetivo es M2 Evaluar lo adecuado del Control Interno: El objetivo es
asegurar que los usuarios estn haciendo un uso efectivo de la asegurar el logro de los objetivos de control interno establecidos para
tecnologa y estn conscientes de los riesgos y responsabilidades los procesos de TI.
involucrados realizando un plan completo de entrenamiento y
desarrollo. M3 Obtencin de Aseguramiento Independiente: El objetivo es
incrementar los niveles de confianza entre la organizacin, clientes y
DS7 Identificacin y asignacin de costos: El objetivo es asegurar proveedores externos. Este proceso se lleva a cabo a intervalos
un conocimiento correcto atribuido a los servicios de TI realizando un regulares de tiempo.
sistema de contabilidad de costos asegure que stos sean registrados,
calculados y asignados a los niveles de detalle requeridos. M4 Proveer Auditoria Independiente: El objetivo es incrementar los
niveles de confianza y beneficiarse de recomendaciones basadas en
5
mejores prcticas de su implementacin, lo que se logra con el uso de Identificar el origen de la auditoria: Este es el primer paso para
auditoras independientes desarrolladas a intervalos regulares de iniciar la planeacin de la auditoria, en esta se debe determinar por
tiempo. qu surge la necesidad o inquietud de realizar una auditora.
TEMA N 02 RECOLECCIN DE INFORMACIN PARA Visita Preliminar al rea informtica: el propsito es el de tener un
AUDITORA INFORMTICA Y DE SISTEMAS primer contacto con el personal asignado a dicha rea, conocer la
distribucin de los sistemas y donde se localizan los servidores y
equipos terminales en el centro de cmputo, sus caractersticas, las
medidas de seguridad y otros aspectos sobre que problemticas que
Observacin
se presentan en el rea auditada.
Es una de las tcnicas ms utilizadas para examinar los diferentes
aspectos que intervienen en el funcionamiento del rea informtica
Entrevistas
Establecer los Objetivos de la Auditoria: Los objetivos de la
planeacin de la auditoria son:
Cuestionarios
Los cuestionarios son preguntas impresas en formatos o fichas en que
- El objetivo general que es el fin global de lo que se pretende
el auditado responde de acuerdo a su criterio
alcanzar con el desarrollo de la auditora informtica y de sistemas, en
Encuestas
el se plantean todos los aspectos que se pretende evaluar.
Las encuestas son utilizadas frecuentemente para recolectar
informacin sobre aspectos como el servicio, el comportamiento y
- Los objetivos especficos que son los fines individuales que se
utilidad del equipo, la actuacin del personal y los usuarios, entre otros
pretenden para el logro del objetivo general, donde se seala
juicios de la funcin informtica.
especficamente los sistemas, componentes o elementos concretos
Inventarios
que deben ser evaluados.
TEMA N 03 TCNICAS E INSTRUMENTOS PARA REALIZAR Determinar los Puntos que sern evaluados: Una vez
AUDITORIA INFORMTICA Y DE SISTEMAS determinados los objetivos de la auditoria se debe relacionar
los aspectos que sern evaluados, y para esto se debe considerar
Evaluacin aspectos especficos del rea informtica y de los sistemas
Consiste en analizar mediante pruebas la calidad y cumplimiento de computacionales tales como: la gestin administrativa del rea
funciones, actividades y procedimientos que se realizan en una informtica y el centro de cmputo,
organizacin o rea..
Inspeccin Elaborar Planes, programas y Presupuestos para Realizar la
, auditoria: Para realizar la planeacin formal de la auditoria
Comparacin informtica y de sistemas,
comparacin de los datos obtenidos en un rea o en toda la Algunos de los aspectos a tener en cuenta sern: Identificar y
organizacin y cotejando esa informacin con los datos similares o seleccionar los Mtodos, herramientas, Instrumentos y
iguales de otra organizacin con caractersticas semejantes. Procedimientos necesarios para la Auditoria:
Asignar los Recursos y Sistemas computacionales para la
Revisin Documental auditoria: Finalmente se debe asignar los recursos que sern
la revisin de documentos que soportan los registros de operaciones utilizados para realizar la auditoria.
y actividades de una organizacin.
Etapa de Ejecucin de la Auditoria
Matriz de Evaluacin
Es uno de los documentos de mayor utilidad para recopilar La siguiente etapa despus de la planeacin de la auditoria es la
informacin relacionada con la actividad, operacin o funcin que se ejecucin de la misma, y est determinada por las caractersticas
realiza en el rea informtica, as como tambin se puede observar propias, los puntos elegidos y los requerimientos estimados en la
anticipadamente su cumplimiento. La escala de valoracin puede ir planeacin.
desde la mnima con puntaje 1 (baja, deficiente) hasta la valoracin
mxima de 5(superior, muy bueno, excelente). Etapa de Dictamen de la Auditoria
6
para despus presentarlo a los directivos del rea auditada para que 1. Determinar las soluciones para los
conozcan la situacin actual del rea, antes de presentarlo al hallazgos encontrados (controles)
representante o gerente de la empresa. 2. Elaborar el Dictamen para cada uno de
los procesos evaluados.
Una vez comentadas las desviaciones con los auditados, se elabora el Resultados de
3. Elaborar el informe final de auditora
informe final, lo cual es garanta de que los auditados ya aceptaron las la Auditoria de
para su presentacin y sustentacin
desviaciones encontradas y que luego se llevan a documentos Sistemas
4. Integrar y organizar los papeles de
formales. trabajo de la auditoria
5. Disear las polticas y procedimientos
Elaborar el Dictamen Formal: El ltimo paso de esta metodologa es integrando los controles definidos
presentar formalmente el informe y el dictamen de la auditoria al ms Fuente: Esta investigacin
alto de los directivos de la empresa donde se informa de los resultados
de la auditoria. El informe debe contener los siguientes puntos: la carta TEMA N 5 PLAN DE AUDITORIA O MEMORANDO DE
de presentacin, el dictamen de la auditoria, el informe de situaciones PLANEACIN
relevantes y los anexos y cuadros estadsticos.
.
Tabla 1: Etapas proceso de autora de sistemas Una vez se haya seleccionado la empresa, el rea o sistema a evaluar
lo primero que se debe hacer es determinar el objetivo que se pretende
en la auditora.
FASE ACTIVIDADES
El Auditor, seleccionar el objetivo, hace un reconocimiento de la
Conocimiento 1. Identificar el origen de la auditoria. empresa, el rea o sistema mediante visitas de campo para determinar
del sistema o 2. Realizar visitas para conocer procesos, cuales son las vulnerabilidades, amenazas y riesgos a que se enfrenta
rea auditada activos informticos, procesos y la organizacin.
organizacin del rea auditada. INDICACIONES PARA ELABORAR EL PLAN DE AUDITORIA
3. Determinar las vulnerabilidades, y
amenazas informticas a que est expuesta Una vez conocido el rea auditada o sistema de informacin en la fase
la organizacin. de conocimiento, se pueden evidenciar las vulnerabilidades y
4. Determinar el objetivo de la auditora de amenazas de manera preliminar que pueden ser las fuentes de riesgos
acuerdo a las vulnerabilidades, y amenazas potenciales, lo ideal es que cada miembro del equipo de trabajo haga
informticas encontradas. una lista de los problemas observados y que posteriormente en
1. Elaborar el plan de auditora reuniones del equipo auditor se pueda analizar lo observado por cada
2. Seleccionar los estndares a utilizar de integrante y hacer un listado consolidado de los problemas
acuerdo al objetivo (CobIT, MAGERIT, observados.
ISO/IEC 27001, ISO/IEC 27002, otro)
3. De acuerdo al estndar elegido, El objetivo general de la auditora tendr en cuenta la fuente que
seleccionar los tems que sern evaluados origina el proceso de auditora y los problemas que se evidencian en
que estn en relacin directa con el objetivo la realidad, de esta manera el objetivo quedar definido en
y alcances definidos en el plan. concordancia con lo que desea quien origina el proceso y dar solucin
4. Seleccionar el equipo de trabajo y a los problemas que se estn presentando.
Planeacin de
asignar tareas especficas Una vez definido el objetivo de la auditora, se desglosa los tems que
la Auditoria de
5. Determinar las actividades que se sern evaluados (hardware, software, redes, sistemas de informacin,
Sistemas
llevarn a cabo y los tiempos en que sern bases de datos, seguridad fsica, seguridad lgica, otros) y de cada
llevadas a cabo en cada tem evaluado. uno de ellos se debe definir el alcance donde se especifica
(Programa de auditora) que aspectos se tendrn en cuanta en cada tem evaluado. Una vez
6. Disear instrumentos para recoleccin est definido el objetivo general, para alcanzarlo se definen los
de informacin (formatos de entrevistas, objetivos especficos teniendo en cuenta la metodologa de la auditora
formatos de listas de chequeo, formatos de que se descompone en tres o cuatro fases dependiendo si es una
cuestionarios) auditora interna o es una auditora externa, para cada fase ser
7. Disear el plan de pruebas (formato necesario definir un objetivo especfico que permita cumplirlo. Como
pruebas) se puede mirar en el cuadro anterior las fases de la auditora en
1. Aplicar los instrumentos de recoleccin general son las siguientes: conocer el sistema, planear la auditora,
de informacin diseados ejecutar la auditora, y la fase de resultados, para cada fase se define
2. Ejecutar las pruebas del plan de un objetivo especfico.
pruebas
3. Levantar la informacin de activos Por ejemplo, si la fuente de la auditora es el gerente, el informra que
informticos de la organizacin auditada aspectos quiere que sean auditados y la intencionalidad de llevar a
Ejecucin de la
4. Determinar las vulnerabilidades y cabo el proceso, una vez conocidos los aspectos que se desea sean
Auditoria de
amenazas informticas aplicando una auditados, se procede a realizar visitas al sitio "in situ" a el rea o
Sistemas
metodologa (MAGERIT) sistema para hacer la observacin y entrevistas con el administrador
5. Realizar la valoracin de las amenazas del rea informtica, los empleados de dicha rea, los sistemas de
y vulnerabilidades encontradas y probadas informacin y ususrios para detectar posibles vulnerabilidades y
6. Realizar el proceso de evaluacin de amenazas que puedan ocasionar riesgos potenciales.
riesgos
7. Determinar el tratamiento de los riesgos Si las vulnerabilidades y amenazas se presentan en las redes,
conectividad y el servicio de internet y en la infraestructura
tecnolgica de hardware, el objetivo podra ser: Realizar la auditora
7
a la red de datos y la infraetructura de hardware que soportan los Posteriormente se debe especificar la metodologa donde se trata de
sistemas de informacin en la empresa "xxxxxx" de la ciudad de especificar las actividades para lograr cada uno de los objetivos
"xxxxxx". escficos propuestos anteriormente, aqu cada objetivo especfico se
descompone en actividades generales que se debern realizar para
De acuerdo a este objetivo se definen los objetivos especficos poder cumplirlos.
teniendo en cuanta las etapas de la auditora, por ejemplo:
A continuacin se presenta un ejemplo con el primer objetivo
Objetivo 1: Conocer las redes de datos y la infraestructura formulado:
tecnologica que soportan los sistemas de informacin con el fin Metodologa para Objetivo 1: Conocer las redes de datos que
de analizar los riesgos que puedan presentarse en la soportan la infraestructura tecnolgica con el fin de analizar algunos
funcionalidad de los sistemas de informacin y servicios que se de los riesgos que puedan presentarse realizando visitas a la empresa
prestan mediante visitas a la empresa y entrevistas con y entrevistas con los usuarios.
empleados y usuarios. - Solicitar la documentacin de los planos de la red
- Solicitar el inventario del hardware de las redes
Objetivo 2: Elaborar el plan de auditora, y programa de auditora - Realizar una entrevista inicial con el encargado de
teniendo en cuenta los estndares que sern administrar la red
aplicados para hacer el diseo de los instrumentos Realizar pruebas de seguridad en las redes para determinar
de recoleccin y plan de pruebas que sern aplicados en el las vulnerabilidades
proceso de auditora con el fin de obtener una informacin - Conocer los problemas ms frecuentes en la red por parte
confiable para realizar el dictamen. de los usuarios
Objetivo 3: Aplicar los instrumentos de recoleccin de - Estas son las actividades para lograr el primer objetivo, de la
informacin y pruebas que se han diseado para determinar los misma manera se hace para los otros objetivos especficos
riesgos existentes en la red de datos y la infraestructura planteados.
tecnolgica de acuerdo a las vulnerabilidades y amenazas que se Posteriormente se hace una relacin de los recursos que uno necesita
han evidenciado preliminarmente con el fin de hacer la valoracin para desarrollar la auditora, en este caso los recursos se dividen en
de los riesgos que permitan medir la probabilidad de ocurrencia talento humano que sern los integrantes del equipo auditor, los
y el impacto que causa en la organizacin. recursos fsicos que son el sitio o empresa donde se llevar a cabo la
auditora, los recursos tecnolgicos (el hardware, cmaras,
Objetivo 4: De acuerdo a los hallazgos comprobados mediante grabadoras digitales, memorias, celulares y el software que se
pruebas, elaborar el dictamen de la auditora de acuerdo al nivel necesite para pruebas) y los recursos econmicos que se presentan
de madurez en los procesos evaluados, determinar el tratamiento en una tabla de presupuesto.
de los riesgos y definir posibles soluciones que sern Recursos humanos: Nombres y apellidos del grupo auditor
recomendadas en el informe final para se entrega a quien origin Recursos fsicos: La auditora se llevar a cabo en el rea
la auditora. informtica de la empresa xxxxx.
Recursos tecnolgicos: grabadora digital para entrevistas, cmara
Una vez definidos los objetivos de la auditora, para cada tem se fotogrfica para pruebas que servirn de evidencia, computador
menciona los aspectos ms relevantes que sern evaluados en cada porttil, software para pruebas de auditora sobre escaneo y trfico en
uno de ellos. Por ejemplo, los alcances seran: la red
Recursos econmicos:
De la red de datos se evaluar los siguientes aspectos: tem Cantidad Subtotal
- El inventario hardware de redes Computador 2 2.000.000
- La obsolescencia del hardware y cableado estructurado Cmara digital 1 400.000
- El cumplimiento de la norma de cableado estructurado Grabadora digital 1 120.000
- La seguridad en la red de datos
otros . .
- Del servicio de internet se evaluar:
- El contrato con la empresa que presta el servicio de Total 0000000000
internet
- La seguridad que brinda el operador para el servicio de Y finalmente se hace el cronograma de actividades, mediante un
internet diagrama de GANNT, para construirlo se toman las actividades que
- La seguridad de la red inalmbrica wifi han sido definidas para cumplir cada objetivo y se especifica el tiempo
- La monitorizacin de la red por parte del administrador de duracin de cada actividad en el tiempo. El tiempo se debe definir
desde ahora hasta la entrega final del informe de auditora.
Estos son algunos de los aspectos elegidos para ser evaluados en
cuanto a la red, lo mismo debe hacerse para el hardware de servidores A continuacin se presenta un ejemplo completo de un plan de
y equipos terminales que soportan los sistemas y algo importante es auditora o memorando de planeacin donde se muestralos
la opinin de los usurios respecto a los problemas que se estn contenidos de cada uno de los tems:
presentando a causa de la infraestructura tecnolgica y la red que Plan de Auditoria
soportan los sistemas. Antecedentes: En las Aulas de informtica de una Institucin
educativa se realiza anualmente un plan de seguimiento a todos los
La intencin es de que los integrantes del grupo de auditora se procesos tcnicos y acadmicos de la institucin, esto debido a que
distribuyan las actividades de acuerdo a su especialidad y se pueda las instituciones requieren la acreditacin de calidad en el manejo de
concretar los aspectos a evaluar y las pruebas que se pueden realizar sus procesos y para ello se hace necesario realizar auditoras internas
para poder evidenciar las vulnerabilidades, amenazas y riesgos permanentes y de tipo externo peridicamente para lograrlo.
encontrados inicialmente.
8
Uno de los recursos tecnolgicos disponibles en las instituciones 2. Recolectar informacin: Diseo de formatos de entrevistas,
educativas es el de la red de datos que opera en las diferentes sedes diseo de formatos para listas de chequeo, diseo de formatos para
y que generalmente se encuentra certificada bajo la normas de la cuestionarios, diseo del plan de pruebas, seleccin del estndar a
IEEE\EIA\TIA, las cuales se deben cumplir estrictamente. aplicar, elaboracin del programa de auditora, distribucin de
actividades para los integrantes del grupo de trabajo.
Objetivos
3. Aplicacin de instrumentos: Aplicar entrevistas al adminsitrador y
Objetivo general: Realizar la revisin y verificacin del usuarios, aplicar listas de chequeo para verificar controles, aplicar
cumplimiento de normas mediante una auditora a la infraestructura cuestionarios para descubrir nuevos riesgos y conformar los que han
fsica de la red de datos en una de las instituciones educativas. sido detectados anteriormente.
Objetivos especficos: 4. Ejecuccin de las pruebas: ejecutar las pruebas para determinar
la obsolecencia del hardware, ejecutar pruebas sobre la red, ejecutar
Planificar la auditora que permita identificar las condiciones pruebas para comprobar la correspondencia de los inventarios con la
actuales de la red de datos de la institucin educativa. realidad.
Aplicar los procesos de auditora teniendo en cuenta el modelo 5. Realizar el proceso de anlisis y evaluacin de riesgos: elaborar
estndar de auditora COBIT como herramienta de apoyo en el el cuadro de vulnerabilidades y amenzas a que se ven enfrentados,
proceso inspeccin de la red de datos de la institucin educativa. determinar los riesgos a que se ven expuestos, hacer la evaluacin de
riesgos, elaborar el mapa o matriz de riesgos.
Identificar las soluciones para la construccin de los planes de
mejoramiento a la red de la institucin educativa de acuerdo a los 6. Tratamiento de riesgos: determinar el tratamiento de los riesgos
resultados obtenidos en la etapa de aplicacin del modelo de auditora. de acuerdo a la matriz de riesgos, proponer controles de acuerdo a la
norma de buenas prctica aplicada, definir las posibles soluciones
Inventarios de hardware de redes y equipos Tecnolgicos: equipos de cmputo, software instalado para la
Mantenimiento preventivo y correctivo de equipos y redes red, cmara digital, Intranet institucin educativa
. Hojas de vida de los equipos de cmputo y redes
Los programas de mantenimiento de los equipos de computo y Presupuesto:
redes
Revisin de informes de mantenimiento Personal encargado de tem Valor
mantenimiento Obsolescencia de la tecnologa tiles y Papelera $ 20.000.oo
Equipos de Oficina como calculadoras. $ 80.000.oo
Metodologa: Para el cumplimiento de los objetivos planteados en la Medios de almacenamiento magntico $ 20.000.oo
auditora, se realizaran las siguientes actividades: como: 1 caja de CD, 1 caja Diskettes.
Gastos generales: Cafetera, imprevistos, $300.000.oo
1. Investigacin preliminar: visitas a la institucin para determinar el transporte, etc.
estado actual de la organizacin, entrevistas con administradores y
Pago de Honorarios (1 millon mensual x $4.000.000
usuarios de las redes para determinar posibles fallas, entrevistas
c/au)
con administrador y usuarios para determinar la opinin frente
al hardware existente y obsolecencia de equipos. Total presupuesto $4.420.000
Cronograma
Para este caso se usar el estndar CobIT 4.1 de donde se tomar los En cuanto al sistema: En cuanto al sistema se evaluar la
procesos y objetivos de control relacionados directamente con el funcionalidad, procesamiento, seguridad perimetral del sistema,
objetivo general y alcances que fueron determinados en el plan de seguridad interna del sistema, entradas y salidas generadas por el
auditora. sistema, calidad de los datos de entrada, la configuracin del sistema,
la administracin del sistema, planes de contingencias.
Cabe mencionar que dentro de cada proceso existen varios objetivos
de control y que no se debe seleccionar solo un objetivo de control sino En cuanto a la operatividad del sistema: En cuanto a la operatividad
que pueden ser todos o aquellos que ms estn relacionados con los del sistema se evaluar los usuarios que manejan la informacin, la
alcances de la auditora. administracin del sistema y el monitoreo del sistema.
Ejemplo de programa de auditora para un sistema de Teniendo en cuenta el objetivo y los alcances especificados
informacin. anteriormente, y una vez seleccionado el estndar a trabajar (CobIT
4.1), se selecciona los dominios y procesos del estndar que tengan
Inicialmente hay que tener en cuenta el plan de auditora porque all se relacin directa con el objetivo y los alcances.
tiene el objetivo que se pretende en la auditora y los alcances de cada
uno de los tem evaluados.
PROGRAMA DE AUDITORA
Plan de auditora
Para realizar el proceso de auditora al Sistema de informacin de
Objetivo general: Evaluar el sistema de informacin de usado para Registro y control acadmico, se utilizar el estndar de mejores
el sistema de matrcula para garantizar la seguridad en cuanto a prctica en el uso de Tecnologa de informacin (TI) COBIT (Objetivos
confidencialidad, integridad y disponibilidad que permitan el de Control para la Informacin y Tecnologas Relacionadas), donde se
mejoramiento del sistema de control existente. especifica el dominio, el proceso y los objetivos de control que se debe
trabaar en relacin directa con el objetivo y alcances, dentro de ellos
se elegira los siguientes:
Los objetivos de control que se evaluarn son los siguientes: PO8.5 Mejora continua: Mantener y comunicar regularmente un plan
global de calidad que promueva la mejora contnua.
PO4.6 Establecer roles y responsabilidades: Evaluar el
comportameinto de los roles y las responsabilidades definidas para el PO9 Evaluar y administrar los riesgos de TI: Encargado de
personal de TI, el el rea informtica (administradores de la red. identificar, analizar y comunicar los riesgos de TI y su impacto
administrador de sistema, supervisor de los indicadores de potencial sobre los procesos y metas de la dependencia, con el
cumplimiento, otros) objetivo de asegurar el logro de los objetivos de TI.
PO4.7 Responsabilidad del aseguramiento de la calidad de TI: Se PO9.1 Marco de trabajo de administracin de riesgos: Se debe
debe asignar la responsabilidad para el desempeo de la funcin de establecer un marco de referencia de evaluacin sistemtica de
aseguramiento de la calidad (QA) proporcionando el grupo QA del rea riesgos que contenga una evaluacin regular de los riesgos de la parte
informtica los controles y la experiencia para comunicarlos. Ademas fsica de las comunicaciones, servidores y equipos con indicadores de
se debe asegurar que la ubicacin organizacional, la cumplimiento.
responsabilidades y el tamao del grupo de QA satisfacen los
requerimientos de la dependencia. PO9.3 Identificacin de eventos: Identificar los riesgos (una amenaza
explota las vulnerabilidades existentes), clasificandolas si son
PO4.8 Responsabilidad sobre el riesgo, la seguridad y el relevantes y en que medida afectan al rea informtica y la
cumplimiento: Se debe establecer la propiedad y la responsabilidad de dependencia de registro y control donde se maneja el sistema de
los riesgos relacionados con TI a un nivel superior apropiado. Definir y informacin.
asignar roles crticos para administrar los riesgos de TI, incluyendo la
responsabilidad especfica de la seguridad de la informacin, la PO9.4 Evaluacin de los riesgos de TI: Medir los riesgos a travs de
seguridad fsica y el cumplimiento. Establecer responsabilidad sobre la evaluacin peridica de la probabilidad e impacto de los riesgos
la adminsitracin del riesgo y la seguridad a nivel de toda la identificados, usando mtodos cuantitativos y cualitativos, que
dependencia para manejar los problemas a nivel institucional. Es permitan la medicin del riesgo encontrado.
necesario asignar responsabilidades adicionales de administracin de
la seguridad a nivel del sistema especfico para manejar problemas PO9.5 Respuesta a los riesgos: Definir un plan de accin contra
relacionados con la seguridad. riesgos, el proceso de respuesta a riesgos debe identificar las
estrategias tales como evitar, reducir, compartir o aceptar los riesgos
11
determinando los niveles de tolerancia a los riesgos y los controles especificaciones de diseo, los estndares de desarrollo y
para mitigarlos. documentacin, los requerimientos de calidad y estndares de
aprobacin. Asegurar que todos los aspectos legales y contractuales
PO9.6 Mantenimiento y monitoreo de un plan de accin de riesgos: se identifican y direccionan para el software aplicativo desarrollado por
Priorizar y planear las actividades de control y respuesta a la solucin terceros.
de riesgos encontrados, teniendo en cuenta tambin la parte
econmica de la solucin de esta prioridad. Monitorear la ejecuccin AI2.9 Administracin de los Requerimientos de Aplicaciones:
de los planes y reportar cualquier desviciacin a la alta direccin. Seguir el estado de los requerimientos individuales durante el diseo,
desarrollo e implementacin, y aprobar los cambios a los
requerimientos a travs de un proceso de gestin de cambios
Dominio: Adquirir e implementar (AI) Para llevar a cabo la establecido.
estrategia TI, se debe identificar las soluciones, desarrollarlas y
adquirirlas, as como implementarlas e integrarlas en la empresa, esto AI2.10 Mantenimiento de Software Aplicativo: Desarrollar una
para garantizar que las soluciones satisfaga los objetivos de la estrategia y un plan para el mantenimiento de aplicaciones de
empresa. software.
De este dominio se ha seleccionado los siguientes procesos y AI3 Adquirir y Mantener Infraestructura Tecnolgica: Las
objetivos de control: Dependencias deben contar con procesos para adquirir, Implementar
y actualizar la infraestructura tecnolgica. Esto requiere de un enfoque
AI2 Adquirir y Mantener Software Aplicativo: Las aplicaciones planeado para adquirir, mantener y proteger la infraestructura de
deben estar disponibles de acuerdo con los requerimientos de la acuerdo con las estrategias tecnolgicas convenidas y la disposicin
dependencia. Este proceso cubre el diseo de las aplicaciones, la del ambiente de desarrollo y pruebas. Esto garantiza que exista un
inclusin apropiada de controles aplicativos y requerimientos de soporte tecnolgico en la organizacin.
seguridad, y el desarrollo y la configuracin en s de acuerdo a los
estndares. Esto permite apoyar la operatividad de la dependencia de AI3.1 Plan de Adquisicin de Infraestructura Tecnolgica: Generar
forma apropiada con las aplicaciones automatizadas correctas. un plan para adquirir, Implementar y mantener la infraestructura
tecnolgica que satisfaga los requerimientos establecidos funcionales
AI2.1 Diseo de Alto Nivel: Traducir los requerimientos a una y tcnicos que est de acuerdo con la direccin tecnolgica de la
especificacin de diseo de alto nivel para la adquisicin de software, dependencia. El plan debe considerar extensiones futuras para
teniendo en cuenta las directivas tecnolgicas y la arquitectura de adiciones de capacidad, costos de transicin, riesgos tecnolgicos y
informacin dentro de la dependencia. Tener aprobadas las vida til de la inversin para actualizaciones de tecnologa. Evaluar los
especificaciones de diseo por la dependencia para garantizar que el costos de complejidad y la viabilidad del software al aadir nueva
diseo de alto nivel responde a los requerimientos. Reevaluar cuando capacidad tcnica.
sucedan discrepancias significativas tcnicas o lgicas durante el
desarrollo o mantenimiento. AI3.2 Proteccin y Disponibilidad del Recurso de Infraestructura:
Implementar medidas de control interno, seguridad y auditabilidad
AI2.2 Diseo Detallado: Preparar el diseo detallado y los durante la configuracin, integracin y mantenimiento del hardware y
requerimientos tcnicos del software de aplicacin. Definir el criterio del software de la infraestructura para proteger los recursos y
de aceptacin de los requerimientos. Aprobar los requerimientos para garantizar su disponibilidad e integridad. Se deben definir y
garantizar que corresponden al diseo de alto nivel. Realizar comprender claramente las responsabilidades al utilizar componentes
reevaluaciones cuando sucedan discrepancias significativas tcnicas de infraestructura sensitivos por todos aquellos que desarrollan e
o lgicas durante el desarrollo o mantenimiento. integran los componentes de infraestructura. Se debe monitorear y
evaluar su uso.
AI2.3 Control y Posibilidad de Auditar las Aplicaciones:
Implementar controles de aplicacin automatizados tal que el AI3.3 Mantenimiento de la Infraestructura: Desarrollar una
procesamiento sea exacto, completo, oportuno, autorizado y auditable. estrategia y un plan de mantenimiento de la infraestructura y garantizar
que se controlan los cambios, de acuerdo con el procedimiento de
AI2.4 Seguridad y Disponibilidad de las Aplicaciones: Abordar la administracin de cambios de la dependencia. Incluir una revisin
seguridad de las aplicaciones y los requerimientos de disponibilidad en peridica contra las necesidades, administracin de parches y
respuesta a los riesgos identificados y en lnea con la clasificacin de estrategias de actualizacin, riesgos, evaluacin de vulnerabilidades y
datos, la arquitectura de la informacin, la arquitectura de seguridad requerimientos de seguridad.
de la informacin y la tolerancia a riesgos de la organizacin.
AI3.4 Ambiente de Prueba de Factibilidad: Establecer el ambiente
AI2.5 Configuracin e Implantacin de Software Aplicativo de desarrollo y pruebas para soportar la efectividad y eficiencia de las
Adquirido: Configurar e implementar software de aplicaciones pruebas de factibilidad e integracin de aplicaciones e infraestructura,
adquiridas para conseguir los objetivos de negocio. en las primeras fases del proceso de adquisicin y desarrollo. Hay que
considerar la funcionalidad, la configuracin de hardware y software,
AI2.6 Actualizaciones Importantes en Sistemas Existentes: En pruebas de integracin y desempeo, migracin entre ambientes,
caso de cambios importantes a los sistemas existentes que resulten control de la versiones, datos y herramientas de prueba y seguridad.
en cambios significativos al diseo actual y/o funcionalidad, seguir un
proceso de desarrollo similar al empleado para el desarrollo de AI6 Administrar cambios: Para realizar algn cambio bien sea de
sistemas nuevos. software, de hardware de comunicaciones o de servidores, debe
existir un proceso que administre formalmente y controladamente
AI2.7 Desarrollo de Software Aplicativo: Garantizar que la dichos cambios, cada cambio debe seguir un proceso de recepcin,
funcionalidad de automatizacin se desarrolla de acuerdo con las evaluacin, prioridad y autorizacin previo a la implantacin, sin obviar
12
la constatacin o revisin despus del cambio, esto con el fin de incrementar el entrenamiento de acuerdo con los resultados de las
reducir riesgos que impacten negativamente la estabilidad o integridad pruebas de contingencia.
del ambiente del buen funcionamiento de las comunicaciones y
servidores. DS4.9 Almacenamiento de Respaldos Fuera de las
Instalaciones: Almacenar fuera de las instalaciones todos los medios
AI6.3 Cambios de emergencia: La Dependencia debe tener de respaldo, documentacin y otros recursos de TI crticos, necesarios
establecido un proceso para definir, plantear, evaluar y autorizar los para la recuperacin de TI y para los planes de continuidad de la
cambios de emergencia que no sigan el proceso de cambio dependencia. El contenido de los respaldos a almacenar debe
establecido. La documentacin y pruebas se realizan, posiblemente, determinarse en conjunto entre los responsables de los procesos de la
despus de la implantacin del cambio de emergencia. dependencia y el personal de TI. La administracin del sitio de
almacenamiento externo a las instalaciones, debe apegarse a la
AI6.4 Seguimiento y reporte del estatus de cambio: Se debe hacer poltica de clasificacin de datos y a las prcticas de almacenamiento
un seguimiento a travs de un reporte de las solicitudes de cambio, de de datos de la organizacin. Las directivas de TI debe asegurar que
solucin y autorizacin. los acuerdos con sitios externos sean evaluados peridicamente, al
menos una vez por ao, respecto al contenido, a la proteccin
AI6.5 Cierre y documentacin del cambio: Establecer un proceso ambiental y a la seguridad. Asegurarse de la compatibilidad del
de revisin para garantizar la implantacin completa de los cambios. hardware y del software para poder recuperar los datos archivados y
peridicamente probar y renovar los datos archivados.
Dominio Entregar Y Dar Soporte (DS). Encargado de garantizar
la entrega de los servicios requeridos por la empresa, dentro de este DS4.10 Revisin Post Reanudacin: Una vez lograda una exitosa
dominio se evaluar los siguientes procesos y objetivos de control: reanudacin de las funciones de TI despus de un desastre,
determinar si las directivas de TI ha establecido procedimientos para
DS4 Garantizar la Continuidad del Servicio: Es importante que valorar lo adecuado del plan y actualizar el plan en consecuencia.
dentro de la dependencia se garantice la continuidad de los servicios
de TI, para ello es importante desarrollar, mantener y probar planes de DS5 Garantizar la seguridad de los sistemas: Garantizar la
continuidad y as asegurar el mnimo impacto en caso de una proteccin de la informacin e infraestructura de TI con el fin de
interrupcin de servicios TI, esto se logra con el desarrollo y minimizar el impacto causado por violaciones o debilidades de
mantenimiento (mejorado) de los planes de contingencia de TI, con seguridad de la TI.
entrenamiento y pruebas de los planes de contingencia de TI y
guardando copias de los planes de contingencia. Los objetivos de control que se evaluarn son los siguientes:
13
de emergencia. Los derechos y obligaciones relativos al acceso a los relevancia, calidad, efectividad, percepcin y retencin del
sistemas e informacin del mdulo deben acordarse contractualmente conocimiento, costo y valor. Los resultados de esta evaluacin deben
para todos los tipos de usuarios. Realizar revisiones regulares de la contribuir en la definicin futura de los planes de estudio y de las
gestin de todas las cuentas y los privilegios asociados. sesiones de entrenamiento.
DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad: Garantizar DS8 Administrar la Mesa de Servicio y los Incidentes: asegurar
que la implementacin de la seguridad en TI sea probada y que cualquier problema experimentado por los usuarios o estudiantes
monitoreada de forma pro-activa. La seguridad en TI debe ser re- sea atendido apropiadamente realizando una mesa de ayuda que
acreditada peridicamente para garantizar que se mantiene el nivel proporcione soporte y asesora de primera lnea.
seguridad aprobado. Una funcin de ingreso al sistema (loggin) y de
monitoreo permite la deteccin oportuna de actividades inusuales o DS8.1 Mesa de Servicios: Establecer la funcin de mesa de
anormales que pueden requerir atencin. servicio, la cual es la conexin del usuario con TI, para registrar,
comunicar, atender y analizar todas las llamadas, incidentes
ridad: Implementar reportados, requerimientos de servicio y solicitudes de informacin.
procedimientos para atender casos de incidentes, mediante el uso de Deben existir procedimientos de monitoreo y escalamiento basados en
una plataforma centralizada con suficiente experiencia y equipada con los niveles de servicio acordados en los SLAs, que permitan clasificar
instalaciones de comunicacin rpidas y seguras. Igualmente y priorizar cualquier problema reportado como incidente, solicitud de
establecer las responsabilidades y procedimientos para el manejo de servicio o solicitud de informacin. Medir la satisfaccin del usuario
incidentes. final respecto a la calidad de la mesa de servicios y de los servicios de
TI.
DS5.7 Proteccin de la Tecnologa de Seguridad: Garantizar que
la tecnologa relacionada con la seguridad sea resistente al sabotaje y DS8.3 Escalamiento de Incidentes: Establecer procedimientos de
no revele documentacin de seguridad innecesaria. mesa de servicios de manera que los incidentes que no puedan
resolverse de forma inmediata sean escalados apropiadamente de
Asegurar que la acuerdo con los lmites acordados en el SLA y, si es adecuado, brindar
informacin de transacciones (datos, password, llaves criptogrficas) soluciones alternas. Garantizar que la asignacin de incidentes y el
es enviada y recibida por canales confiables (trustedpaths), mediante monitoreo del ciclo de vida permanecen en la mesa de servicios,
encriptamiento de sistemas y usuarios. independientemente de qu grupo de TI est trabajando en las
actividades de resolucin.
Malicioso: Garantizar procedimientos para el manejo y correccin de DS8.4 Cierre de Incidentes: Establecer procedimientos para el
problemas ocasionados por software malicioso generalmente en el monitoreo puntual de la resolucin de consultas de los usuarios.
caso de virus. Cuando se resuelve el incidente la mesa de servicios debe registrar la
causa raz, si la conoce, y confirmar que la accin tomada fue
DS5.10 Seguridad de la Red: En la organizacin al existir conexin acordada con el usuario.
a la red de internet se debe implementar el uso de tcnicas de
seguridad y procedimientos de administracin asociados como DS8.5 Anlisis de Tendencias: Emitir reportes de la actividad de la
firewalls, para proteger los recursos informticos y dispositivos de mesa de servicios para permitir a la dependencia medir el desempeo
seguridad. del servicio y los tiempos de respuesta, as como para identificar
tendencias de problemas recurrentes de forma que el servicio pueda
DS7 Educar y Entrenar a los Usuarios: Para una educacin efectiva mejorarse de forma continua.
de todos los usuarios de sistemas de TI, incluyendo aquellos dentro de
TI, se requieren identificar las necesidades de entrenamiento de cada DS9 Administracin de la Configuracin: Mantener un depsito
grupo de usuarios. Adems de identificar las necesidades, este centralizado donde se almacene la informacin de configuracin de
proceso incluye la definicin y ejecucin de una estrategia para llevar software y hardware, ofreciendo as mayor disponibilidad a los
a cabo un entrenamiento efectivo y para medir los resultados. Un usuarios y administradores del sistema, adems de mantener un
programa efectivo de entrenamiento incrementa el uso efectivo de la inventario actualizado de la existencia fsica de TI.
tecnologa al disminuir los errores, incrementando la productividad y el
cumplimiento de los controles clave tales como las medidas de El objetivo de control que se evalua es el siguiente:
seguridad de los usuarios.
DS9.3 Revisin de Integridad de la Configuracin: El rea
Para ello se tomaran en cuenta los siguientes objetivos de control: Informtica debe revisar peridicamente los datos de configuracin
para verificar y confirmar la integridad de la configuracin actual y
DS7.1 Identificacin de Necesidades de Entrenamiento y ejecuta rutinas de revisin de software instalado para establecer
Educacin: Establecer y actualizar de forma regular un programa de inconsistencias o desviaciones que perjudiquen los intereses de la
entrenamiento para cada grupo objetivo de empleados, que incluya: organizacin o que violen polticas de uso.
Implementar procedimientos junto con el plan de largo plazo, valores
sistmicos (valores ticos, cultura de control y seguridad, otros), DS12 Administracin del Ambiente Fsico: La proteccin del
implementacin de nuevo software e infraestructura de TI (paquetes equipo de cmputo y del personal, requiere de instalaciones bien
y aplicaciones), perfiles de competencias y certificaciones actuales y/o diseadas y bien administradas. El proceso de administrar el ambiente
credenciales necesarias, metodos de impartir la capacitacin, tamao fsico incluye la definicin de los requerimientos fsicos del centro de
del grupo, accesibilidad y tiempo. datos (site), la seleccin de instalaciones apropiadas y el diseo de
procesos efectivos para monitorear factores ambientales y administrar
DS7.3 Evaluacin del Entrenamiento Recibido: Al finalizar el el acceso fsico. La administracin efectiva del ambiente fsico reduce
entrenamiento, evaluar el contenido del entrenamiento respecto a la
14
las interrupciones del mdulo ocasionadas por daos al equipo de correctivas necesarias y verificar si los resultados de los controles, son
cmputo y al personal. reportados y analizados rpidamente, para evitar errores e
inconsistencias y que sean corregidos a tiempo.
DS12.1 Seleccin y Diseo del Centro de Datos: Registro y control
y el rea Informtica deben definir y seleccionar los centros de datos
fsicos para el equipo de TI para soportar la estrategia de tecnologa Finalmente se establecer las responsabilidades de cada
ligada a la estrategia del negocio. Esta seleccin y diseo del esquema integrante del grupo auditor respecto a los procesos que sern
de un centro de datos debe tomar en cuenta el riesgo asociado con evaluados y se crea un cronograma de las actividades de
desastres naturales y causados por el hombre. Tambin debe evaluacin que se realizarn en el proceso de auditora.
considerar las leyes y regulaciones correspondientes, tales como
regulaciones de seguridad y de salud en el trabajo.
TEMA N 07 PAPELES DE TRABAJO - DISEO DE FORMATOS
DS12.2 Medidas de Seguridad Fsica: Evaluar las medidas de PARA AUDITORA
seguridad fsicas alineadas con los requerimientos de la organizacin.
Las medidas deben incluir, zonas de seguridad, la ubicacin de equipo
crtico y de las reas de envo y recepcin. En particular mantenga un
DISEO DE FORMATOS PARA AUDITORA DE SISTEMAS
perfil bajo respecto a la presencia de operaciones crticas de TI. Deben
Para la planeacin del proceso de auditora es necesario el diseo de
establecerse las responsabilidades sobre el monitoreo y los
los formatos para el proceso de recoleccin de informacin y la
procedimientos de reporte y de resolucin de incidentes de seguridad
presentacin de los resultados de la auditora, estos documentos
fsica.
denominados papeles de trabajo finalmente son organizados por cada
proceso evaluado y al final se presenta el dictamen y el informe final
DS12.3 Acceso Fsico: Evaluar e implementar procedimientos
de resultados.
para otorgar, limitar y revocar el acceso a locales, edificios y reas de
emergencias. El acceso a locales, edificios y reas debe justificarse,
A continuacin se presentar algunos de los formatos que se usan en
autorizarse, registrarse y monitorearse. Esto aplica para todas las
el proceso de auditora
personas que accedan a las instalaciones, incluyendo personal,
estudiantes, visitantes o cualquier tercera persona.
FORMATO DE DEFINICION DE FUENTES DE CONOCIMIENTO
DS12.4 Proteccin Contra Factores Ambientales: Disear e
Los formatos de fuentes de conocimiento son usados para especificar
implementar medidas de proteccin contra factores ambientales.
quienes tiene la informacin o que docuemntos la poseen y las
Deben instalarse dispositivos y equipo especializado para monitorear
pruebas de anlisis o ejecucin que debern practicarse en cada
y controlar el ambiente.
proceso que sea evaluado.
DS12.5 Administracin de Instalaciones Fsicas: Se
debe administrar las instalaciones, incluyendo el equipo de
REF
comunicaciones y de suministro de energa, de acuerdo con las leyes CUADRO DE DEFINICIN DE FUENTES DE
y los reglamentos, los requerimientos tcnicos y de la institucin, las CONOCIMIENTO
especificaciones del proveedor y los lineamientos de seguridad y
salud.
ENTIDAD PAGINA
DS13 Administracin de Operaciones: Se requiere de una efectiva
AUDITADA 1 DE 1
administracin proteccin de datos de salida sensitivos, monitoreo de
infraestructura y mantenimiento preventivo de hardware en la PROCESO
organizacin. AUDITADO
RESPONSABLE
Para ello se evalua el siguiente objetivo de control:
MATERIAL DE
DS13.5 Mantenimiento Preventivo del Hardware: Evaluar los COBIT
SOPORTE
procedimientos para garantizar el mantenimiento oportuno de la DOMINIO
infraestructura para reducir la frecuencia y el impacto de las fallas o de PROCESO
la disminucin del desempeo.
REPOSITORIO DE PRUEBAS
Dominio Monitorear Y Evaluar (ME). Todos los procesos del FUENTES DE
APLICABLES
mdulo de matrcula necesitan ser evaluados regularmente a travs CONOCIMIENTO
del tiempo para verificar su calidad y suficiencia en cuanto a los DE ANALISIS DE EJECUCION
requerimientos de control, integridad y confidencialidad, por tal se
evaluara el sigueinte proceso: AUDITOR RESPONSABLE:
15
ENTIDAD AUDITADA: En este espacio se indicara el nombre de la
entidad a la cual se le est realizando el proceso de auditora. REF
ENTREVISTA I
PROCESO AUDITADO: En este espacio se indicara el nombre del
proceso objeto de la auditoria, para el caso ser Contratacin TI. PAGINA
ENTIDAD AUDITADA
DE
RESPONSABLE: En este espacio se indicaran los nombres del
equipo auditor que est llevando a cabo el proceso de auditora. AREA AUDITADA
SISTEMA
MATERIAL DE SOPORTE: En este espacio se indicara el nombre del OBJETIVO
material que soporta el proceso, para el caso ser COBIT. ENTREVISTA
FORMATO DE ENTREVISTA
16
OBJETIVO DE LA ENTREVISTA: En este espacio se hace una breve
referencia al objetivo que se pretende con la aplicacin de la entrevista
y el proceso COBIT que se est revisando.
ENTIDAD PAGINA
ENTREVISTADO: Espacio destinado al nombre de la persona AUDITADA
1 DE 1
entrevistada.
PROCESO
CARGO: Espacio destinado para el nombre del cargo de la persona AUDITADO
que ser entrevistada. RESPONSABLE
MATERIAL DE COBIT
TEMA: Los temas que sern tratados en la entrevista por parate del SOPORTE
auditor DOMINIO PROCESO
17
PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de Inmediata
que el proceso se vea afectado por las acciones de las cuales se est De una a 24 horas
indagando, entre mas alto el porcentaje mayor probabilidad de riesgo De un da a 5 das
tiene el proceso de salir perjudicado. Ms de 5 das
El clculo de este porcentaje se hace de la siguiente forma: Se cuenta con servicio de 4 Semestral
mantenimiento para todos los
Porcentaje de riesgo parcial = (Total SI * 100) / Total equipos?
Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial Qu tipo de mantenimiento Correctivo
se lleva a cabo?
Las equivalencias utilizadas para la puntuacin sern de uno a cinco, Mantenimiento preventivo
siendo uno el valor mnimo considerado de poca importancia y cinco Mantenimiento correctivo
el mximo considerado de mucha importancia. Profesores y/o estudiantes 4
pueden instalar y desinstalar
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente programas en el computador?
categorizacin: Al finalizar el horario de clase 3
1% - 30% = Riesgo Bajo
en dichas aulas, se hace una
31% - 70% = Riesgo Medio
revisin de los equipos?
71% - 100% = Riesgo Alto
El personal que se encarga 4
del mantenimiento es personal
capacitado?
Se lleva un procedimiento 3
CUESTIONARIO PARA HARDWARE para la adquisicin de nuevos
equipos?
Aulas De Informtica Facultad De Ingeniera
La infraestructura 3
Cuestionario de Control: C1
tecnolgica de los equipos
Dominio Adquisicin e Implementacin soporta la instalacin de
Proceso AI3: Adquirir y mantener la arquitectura diferentes sistemas
tecnolgica operativos?
Pregunta Si No OBSERVACIONES Son compatibles software y 5
Se cuenta con un inventario 4 hardware?
de equipos de cmputo? TOTALES 19 20
Si existe inventario contiene
los siguientes tems? La escala de calificacin de cada una de las preguntas va de 1 hasta
Nmero del computador 5, la calificacin puede ir en el SI, en el NO, donde 1 significa que no
Fecha es importante tener el control para el auditor y 5 significa que es
Ubicacin importante que se tenga el control, el auditor debe tratar de dar estas
Responsable calificaciones lo ms objetivamente posible para aplicar la frmula y
Caractersticas(memoria, calcular el porcentaje de riesgo.
procesador, monitor, disco Las equivalencias utilizadas para la puntuacin sern de uno a cinco,
duro) siendo uno el valor mnimo considerado de poca importancia y cinco
Se lleva una hoja de vida por el mximo considerado de mucha importancia.
equipo
La hoja de vida del equipo 5 PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de
tiene los datos? que el proceso se vea afectado por las acciones de las cuales se est
Numero de hoja de vida indagando, entre mas alto el porcentaje mayor probabilidad de riesgo
Nmero del computador tiene el proceso de salir perjudicado.
correspondiente
Falla reportada PREGUNTA: Espacio donde se indicara la descripcin de la consulta
Diagnstico del encargado de la cual se indagara.
Solucin que se le dio
Se posee un registro de 4 SI NO: Posibilidades de respuesta, cumple, no cumple, o no aplica
fallas detectadas en los para la entidad.
equipos?
En el registro de fallas se El clculo de este porcentaje se hace de la siguiente forma:
tiene en cuenta con los
siguientes datos? Porcentaje de riesgo parcial = (Total SI * 100) / Total
Fecha Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
Hora
Nmero de registro
Nmero del computador Porcentaje de riesgo parcial = (19 * 100) / 39 = 48.71
Encargado Porcentaje de riesgo = 100 48.71 = 51.28
Al momento de presentar De 1 a 5 dias
una falla en el equipo, la
atencin que se presta es?
18
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente Esta informacin ser desglosada de la siguiente manera:
categorizacin:
1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto REF: Se refiere al ID del elemento.
RIESGO:
Porcentaje de riesgo parcial: 48.71 ENTIDAD AUDITADA: En este espacio se indicara el nombre de la
Porcentaje de riesgo = 51.28 entidad a la cual se le est realizando el proceso de auditora.
Impacto segn relevancia del proceso: Riesgo Medio
PROCESO AUDITADO: En este espacio se indicara el nombre del
proceso objeto de la auditoria, para el caso ser Contratacin TI.
RESPONSABLES: En este espacio se indicaran los nombres del
equipo auditor que est llevando a cabo el proceso de auditora.
MATERIAL DE SOPORTE: En este espacio se indicara el nombre del
FORMATO DE HALLAZGOS material que soporta el proceso, para el caso ser COBIT.
DOMINIO: Espacio reservado para colocar el nombre del dominio de
Una vez los riesgos han sido conformados mediante pruebas y COBIT que se est evaluando.
evidaneias, estos riesgos parasn a denominarse hallazgos. Los PROCESO: Espacio reservado para el nombre del proceso en
formatos de los hallazgos son de suma importancia en la auditora ya especifico que se est auditando dentro de los dominios del COBIT.
que llevan la informacin de todo el proceso realizado y una HALLAZGO: Aqu se encontrara la descripcin de cada hallazgo, as
descripcin de como se esta presentando el riesgo y sus como la referencia al cuestionario cuantitativo que lo soporta.
consecuencias para la medicin o valoracin de los riesgos en el CONSECUENCIAS Y RIESGOS: En este apartado se encuentra la
proceso de evaluacin de riesgos que se lleva a cabo posteriormente. descripcin de las consecuencias del hallazgo as como la
Adems en el formato de hallazgos se puede encontrar la informacin cuantificacin del riesgo encontrado.
de las recomendaciones para determinar los posibles controles para EVIDENCIAS: Aqu encontramos en nombre de la evidencia y el
mitigarlos. numero del anexo donde sta se encuentra.
RECOMENDACIONES: En este ltimo apartado se hace una
descripcin de las recomendaciones que el equipo auditor ha
presentado a las entidades auditadas.
Ejemplo Hallazgos
REF
HALLAZGO Tabla Hallazgo 1
REF
HALLAZGO 1
HHDN_O1
PROCESO Funcionamiento de la red de PGINA
AUDITADO datos 1 DE 1
PROCESO Funcionamiento del aspecto PGINA
RESPONSABLE AUDITADO fsico de la red de datos 1 DE 1
MATERIAL DE RESPONSABLE Francisco Solarte
COBIT
SOPORTE
DOMINIO PROCESO MATERIAL DE
COBIT
SOPORTE
DESCRIPCIN: Definir un
Planear y
plan
DOMINIO Organizar PROCESO
estratgico de
(PO)
TI (PO1)
REF_PT:
DESCRIPCIN:
CONSECUENCIAS:
No existe un grupo encargado de evaluar y estudiar el
desempeo de la red de datos en su aspecto fsico.
No existen polticas ni procedimientos relacionados con la
conformacin adecuada de la arquitectura y del aspecto fsico de la
RIESGO: red de datos.
REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
19
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
RIESGO:
Probabilidad de ocurrencia: Media
Impacto segn relevancia del proceso: Moderado
RECOMENDACIONES:
20