Unidad 1 Fase 2: Planeación de la auditoría

Actividad Colaborativa

Gustavo Adolfo Mambuscay Cód. 1061773709

Carlos Andrés Ramirez Cód. 4615252
Natalia Isabel García Cód. 1061734071
Carlos Andrés Ordoñez. Cód. 1061738990

Auditoría de sistemas

Grupo: 90168A

Tutor
Francisco Nicolás Solarte

Universidad Nacional Abierta y a Distancia UNAD

Escuela de Ciencias Básicas, Tecnologías e Ingeniería
Ingeniería de Sistemas
Octubre 03 de 2018
 Tabla de contenido

Introducción ........................................................................................................................ 4

Objetivo general .................................................................................................................. 5

Objetivos específicos .......................................................................................................... 5

Alcance................................................................................................................................ 6

Criterios (Normas, Manuales) ......................................................................................... 7

Recursos humanos ........................................................................................................... 7

Recursos físicos ............................................................................................................... 7

Recursos tecnológicos ..................................................................................................... 7

Metodologías ....................................................................................................................... 8

Metodología Objetivo 1 .................................................................................................. 8

Metodología Objetivo 2 .................................................................................................. 8

Metodología Objetivo 3 .................................................................................................. 9

Metología Objetivo 4 ...................................................................................................... 9

Cronograma de actividades ............................................................................................... 10

Programa de auditoría ....................................................................................................... 11

Dominio: Planificar y Organizar (PO) .......................................................................... 11

PO1 Definir un Plan Estratégico de TI ......................................................................... 11

PO2 Definir la Arquitectura de la Información............................................................. 12

PO4 Definir los Procesos, Organización y Relaciones de TI........................................ 12

PO7 Administrar Recursos Humanos de TI .................................................................. 14

DS3 Administrar el Desempeño y la Capacidad ........................................................... 15

DS5 Garantizar la Seguridad de los Sistemas ............................................................... 17

DS7 Educar y Entrenar a los Usuarios .......................................................................... 19

DS11 Administración de Datos ..................................................................................... 20

 Dominio: Monitorear y Evaluar (ME) .......................................................................... 21

ME1 Monitorear y Evaluar el Desempeño de TI .......................................................... 21

Conclusiones ..................................................................................................................... 24

Bibliografía ....................................................................................................................... 25
 Introducción

El presente documento describe el objetivo general, objetivos específicos, metodología, alcance,

cronograma y programa de auditoría para ser realizado en la empresa System Plus S.A de la ciudad
de Popayán, Cauca.
 Objetivo general

Revisar y evaluar las barreras que restringen el acceso a los datos de la compañía para que
solo permita acceder a ellos al personal autorizado para tal fin. Listo,

Objetivos específicos

 Conocer las instalaciones y la red de datos que soporta la plataforma tecnológica de la

compañía System Plus con el fin de identificar los principales riesgos a los que se encuentra
expuesta mediante visitas a las instalaciones y entrevista con sus empleados quienes
identifican estos riesgos de primera mano.
 Elaborar el plan de auditoría creando el diseño de los formularios que se empleara para la
recolección de la información los cuales serán enfocados según los riesgos identificados.
 Realizar el trabajo de campo mediante la aplicación de los instrumentos creados con el
propósito de identificar las potenciales amenazas a las que se encuentra enfrentada la red
de datos de System Plus con el fin de elaborar la matriz de riesgos y medir la probabilidad
de ocurrencia y el impacto que causa.
 Crear el informe final de la auditoria con los resultados más importantes encontrados y el
veredicto sobre seguridad lógica de la compañía System Plus.
 Alcance

Revisión para determinar la seguridad de las conexiones, el cifrado, salidas Routers,

Firewalls planes y procedimientos.

 Sistemas técnicos de Seguridad y Protección.

 Organización y calificación del personal
 Normas y Procedimientos del área de informática.

En cuanto a la red, la seguridad, conexiones de datos se tiene en cuenta la siguiente

información:

En Advancing SYSTEM PLUS SAS en cuanto al área de sistemas En las 2 salas de computo
con topología estrella y entre ellas están conectada con tipología UPS por medio de dos Switch
uno de 16 puertos para la asignación de la sala hay conexión cableada wifi inalámbrica para el cual
se utiliza el Router en cada sala tiene una seguridad independiente, los equipos están conectados
vía adaptadores USB y conexión cableada.

Por la enseñanza en los cursos que son técnicos en redes, por los programas que se deben
instalar se manejan dos usuarios monitor el cual tiene habilitados los permisos de configuración e
instalación el cual es sólo para los estudiantes redes y el otro para los estudiantes en general.

Las contraseñas que se utilizan una es de fácil acceso y la otra de alta complejidad

Conexión de 30 MG para poder asignar a todos IP se debió colocar un Router adicional en

modo Brige y también para las cámaras de vigilancia que se pueden consultar vía internet, para
revisar desde los celulares.

La razón de los dos tipos de conexiones mencionadas es porque en el instituto se enseñan

redes y el proceso y la seguridad es muy vulnerable porque por políticas de la empresa hay dos
Router para el acceso al público en general y se debe estar en constante control y encriptar
información de los equipos principales de los jefes y la secretaria que es la información valiosa.

Al final de la institución hay un Access Point doble antena, rompe muros para mejorar la
conectividad de los estudiantes, pero no tiene contraseña y es una falla de seguridad.
Criterios (Normas, Manuales)
Se aplican los siguientes estándares legales:

• ISO/IEC 12207
• IEEE 1074
• IEEE 1219
• ISO/IEC 14764

Recursos humanos
La auditoría tiene los siguientes auditores:

• Gustavo Adolfo Mambuscay

• Carlos Andrés Ramirez
• Natalia Isabel García
• Carlos Andrés Ordoñez

Recursos físicos
La auditoría se llevará a cabo en la empresa Advancing SYSTEM PLUS SAS de la ciudad
de Popayán a las redes y los usuarios de los sistemas.

Recursos tecnológicos
Encuesta, videocámara, grabador de voz, papel, lápiz y computador.
 Metodologías

Metodología Objetivo 1
Conocer las instalaciones y la red de datos que soporta la plataforma tecnológica de la
compañía System Plus con el fin de identificar los principales riesgos a los que se encuentra
expuesta mediante visitas a las instalaciones y entrevista con sus empleados quienes identifican
estos riesgos de primera mano.

 Concertar una visita a las instalaciones de la compañía System Plus.

 Realizar en recorrido de reconocimiento de las instalaciones.
 Solicitar una entrevista con el encargado de la plataforma tecnológica de la compañía.
 Entrevistar al personal que se encuentra en las diferentes áreas de prestación de servicios.

Metodología Objetivo 2
Elaborar el plan de auditoría creando el diseño de los formularios que se empleara para la
recolección de la información los cuales serán enfocados según los riesgos identificados.

 Tomar 5 máquinas al azar y evaluar la dificultad de acceso a las mismas.

 Facilidad de accesos a información de confidencialidad (usuarios y claves).
 Elaborar un instrumento de recolección de información que recopile datos acerca las
principales vulnerabilidades que se presentan durante la prestación de servicios y que
pueden poner en potencial riesgo a la plataforma.
 Conocer los roles y permisos de cada uno de las personas que acceden a las oficinas y
plataforma tecnológica y así corroborar que sus funciones o competencias tecnológicas van
de la mano del cargo que desempeñan.
 Realizar entrevistas/encuestas para conocer si los usuarios del sistema reciben
capacitaciones o soporte de los aplicativos,equipos y tecnologías que usan.
 Conocer la validez e integridad de las transacciones de los sistemas
Metodología Objetivo 3
Realizar el trabajo de campo mediante la aplicación de los instrumentos creados con el
propósito de identificar las potenciales amenazas a las que se encuentra enfrentada la red de datos
de System Plus con el fin de elaborar la matriz de riesgos y medir la probabilidad de ocurrencia y
el impacto que causa.

 Realización de prueba piloto para ajustar los instrumentos de recolección de la información

creados.
 Recolección de la información con los instrumentos ajustados.
 Elaborar la matriz de riesgos a los que se encuentra expuesta la compañía System Plus.
 Medir la probabilidad de ocurrencia de los riesgos y su impacto

Metología Objetivo 4
Crear el informe final de la auditoria con los resultados más importantes encontrados y el
veredicto sobre seguridad lógica de la compañía System Plus.

 Elaboración de documento en el cual se recopila la información mas relevante encontrada

durante la auditoría, los mayores riesgos a los cuales se encuentra expuesta y el dictamen
final sobre la seguridad lógica de la compañía.
 Cronograma de actividades

Tabla 1
Cronograma de actividades del plan de auditoría

Octubre Noviembre Diciembre

Actividad
1-7 8-15 16-23 24-31 1-7 8-15 16-23 24-30 1-3 4-6 7-9 10-12
Fase de conocimiento del
sistema
Fase de planeación de auditoría
Fase de ejecución de auditoría
Fase de resultados
 Programa de auditoría

Para realizar el proceso de auditoría a la plataforma tecnológica de System Plus S.A, se

utilizará la metodología CobIT 4.1, en donde se seleccionan los procesos y algunos objetivos de
control que estén relacionados directamente con los objetivos y los alcances definidos en el plan
de auditoría.

Dominio: Planificar y Organizar (PO)

Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera
en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la
realización de la visión estratégica requiere ser planeada, comunicada y administrada desde
diferentes perspectivas.

PO1 Definir un Plan Estratégico de TI

La planeación estratégica de TI es necesaria para gestionar y dirigir todos los recursos de
TI en línea con la estrategia y prioridades del negocio. La función de TI y los interesados del
negocio son responsables de asegurar que el valor óptimo se consigue desde los proyectos y el
portafolio de servicios, los objetivos de control a evaluar son:

 PO1.2 Alineación de TI con el negocio.

Educar a los ejecutivos sobre las capacidades tecnológicas actuales y sobre el rumbo
futuro, sobre las oportunidades que ofrece TI, y sobre qué debe hacer el negocio para
capitalizar esas oportunidades. Asegurarse de que el rumbo del negocio al cual está alineado
TI está bien entendido. Las estrategias de negocio y de TI deben estar integradas, relacionando
de manera clara las metas de la empresa y las metas de TI y reconociendo las oportunidades
así como las limitaciones en la capacidad actual, y se deben comunicar de manera amplia.
Identificar las áreas en que el negocio (estrategia) depende de forma crítica de TI, y mediar
entre los imperativos del negocio y la tecnología, de tal modo que se puedan establecer
prioridades concertadas.
PO2 Definir la Arquitectura de la Información
La función de sistemas de información debe crear y actualizar de forma regular un modelo
de información del negocio y definir los sistemas apropiados para optimizar el uso de esta
información. Esto incluye el desarrollo de un diccionario corporativo de datos que contiene las
reglas de sintaxis de los datos de la organización, el esquema de clasificación de datos y los niveles
de seguridad, los objetivos de control a evaluar son:

 PO2.2 Diccionario de Datos Empresarial y Reglas de Sintáxis de Datos

Mantener un diccionario de datos empresarial que incluya las reglas de sintaxis de datos de
la organización. El diccionario facilita compartir elementos de datos entre las aplicaciones y
los sistemas, fomenta un entendimiento común de datos entre los usuarios de TI y del negocio,
y previene la creación de elementos de datos incompatibles.
 PO2.3 Esquema de Clasificación de Datos
Establecer un esquema de clasificación que aplique a toda la empresa, basado en que tan
crit́ ica y sensible es la información (esto es, pública, confidencial, secreta) de la empresa. Este
esquema incluye detalles acerca de la propiedad de datos, la definición de niveles apropiados
de seguridad y de controles de protección, y una breve descripción de los requerimientos de
retención y destrucción de datos, además de qué tan crit́ icos y sensibles son. Se usa como base
para aplicar controles como el control de acceso, archivo o cifrado.
 PO2.4 Administración de Integridad
Definir e Implementar procedimientos para garantizar la integridad y consistencia de todos
los datos almacenados en formato electrónico, tales como bases de datos, almacenes de datos
y archivos.

PO4 Definir los Procesos, Organización y Relaciones de TI

Una organización de TI se debe definir tomando en cuenta los requerimientos de personal,
funciones, rendición de cuentas, autoridad, roles, responsabilidades y supervisión. La organización
está embebida en un marco de trabajo de procesos de TI que asegure la transparencia y el control,
así como el involucramiento de los altos ejecutivos y de la gerencia del negocio, los objetivos de
control a evaluar son:
 PO4.5 Estructura Organizacional

Establecer una estructura organizacional de TI interna y externa que refleje las necesidades
del negocio. Además implementar un proceso para revisar la estructura organizacional de TI
de forma periódica para ajustar los requerimientos de personal y las estrategias internas para
satisfacer los objetivos de negocio esperados y las circunstancias cambiantes.

 PO4.6 Establecimiento de Roles y Responsabilidades

Definir y comunicar los roles y las responsabilidades para el personal de TI y los usuarios
que delimiten la autoridad entre el personal de TI y los usuarios finales y definiá n las
responsabilidades y rendición de cuentas para alcanzar las necesidades del negocio.

 PO4.9 Propiedad de Datos y Sistema

Proporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus

responsabilidades de propiedad sobre los datos y los sistemas de información. Los dueños
toman decisiones sobre la clasificación de la información y de los sistemas y sobre cómo
protegerlos de acuerdo a esta clasificación.

 PO4.10 Supervisión

Implementar prácticas adecuadas de supervisión dentro de la función de TI para garantizar

que los roles y las responsabilidades se ejerzan de forma apropiada, para evaluar si todo el
personal cuenta con la suficiente autoridad y recursos para ejecutar sus roles y
responsabilidades y para revisar en general los indicadores clave de desempeño.

 PO4.11 Segregación de Funciones

Implementar una división de roles y responsabilidades que reduzca la posibilidad de que

un solo individuo afecte negativamente un proceso crit́ ico. La gerencia también se asegura de
que el personal realice sólo las tareas autorizadas, relevantes a sus puestos y posiciones
respectivas.

 PO4.13 Personal Clave de TI

Evaluar los requerimientos de personal de forma regular o cuando existan cambios

importantes en el ambiente de negocios, operativo o de TI para garantizar que la función de TI
 cuente con un número suficiente de recursos para soportar adecuada y apropiadamente a las
metas y objetivos del negocio.

 PO4.14 Políticas y Procedimientos para Personal Contratado

Asegurar que los consultores y el personal contratado que soporta la función de TI cumplan
con las polit́ icas organizacionales de protección de los activos de información de la empresa
de tal manera que se logren los requerimientos contractuales acordados.

PO7 Administrar Recursos Humanos de TI

Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios
de TI para el negocio. Esto se logra siguiendo prácticas definidas y aprobadas que apoyan el
reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la terminación. Este
proceso es crit́ ico, ya que las personas son activos importantes, y el ambiente de gobierno y de
control interno depende fuertemente de la motivación y competencia del personal, los objetivos de
control a evaluar son:

 PO7.2 Competencias del Personal

Verificar de forma periódica que el personal tenga las habilidades para cumplir sus roles
con base en su educación, entrenamiento y/o experiencia. Definir los requerimientos esenciales
de habilidades para TI y verificar que se les dé mantenimiento, usando programas de
calificación y certificación según sea el caso.

 PO7.3 Asignación de Roles

Definir, monitorear y supervisar los marcos de trabajo para los roles, responsabilidades y
compensación del personal, incluyendo el requerimiento de adherirse a las polit́ icas y
procedimientos administrativos, así como al código de ética y prácticas profesionales. El nivel
de supervisión debe estar de acuerdo con la sensibilidad del puesto y el grado de
responsabilidades asignadas.

 PO7.4 Entrenamiento del Personal de TI

Proporcionar a los empleados de TI la orientación necesaria al momento de la contratación

y entrenamiento continuo para conservar su conocimiento, aptitudes, habilidades, controles
 internos y conciencia sobre la seguridad, al nivel requerido para alcanzar las metas
organizacionales.

 PO7.5 Dependencia Sobre los Individuos

Minimizar la exposición a dependencias críticas sobre individuos clave por medio de la

captura del conocimiento (documentación), compartir el conocimiento, planeación de la
sucesión y respaldos de personal.

Dominio: Entregar y dar Soporte (DS)

Encargado de garantizar la entrega de los servicios requeridos por la empresa y se evalúan

los siguientes:

DS3 Administrar el Desempeño y la Capacidad

La necesidad de administrar el desempeño y la capacidad de los recursos de TI requiere de
un proceso para revisar periódicamente el desempeño actual y la capacidad de los recursos de TI.
Este proceso incluye el pronóstico de las necesidades futuras, basadas en los requerimientos de
carga de trabajo, almacenamiento y contingencias. Este proceso brinda la seguridad de que los
recursos de información que soportan los requerimientos del negocio están disponibles de manera
continua, los objetivos a evaluar son:

 DS3.1 Planeación del Desempeño y la Capacidad

Establecer un proceso de planeación para la revisión del desempeño y la capacidad de los

recursos de TI, para asegurar la disponibilidad de la capacidad y del desempeño, con costos
justificables, para procesar las cargas de trabajo acordadas tal como se determina en los SLAs.
Los planes de capacidad y desempeño deben hacer uso de técnicas de modelo apropiadas para
producir un modelo de desempeño, de capacidad y de desempeño de los recursos de TI, tanto
actual como pronosticado.

 DS3.2 Capacidad y Desempeño Actual

Revisar la capacidad y desempeño actual de los recursos de TI en intervalos regulares para

determinar si existe suficiente capacidad y desempeño para prestar los servicios con base en
los niveles de servicio acordados.
 DS3.3 Capacidad y Desempeño futuros

Llevar a cabo un pronóstico de desempeño y capacidad de los recursos de TI en intervalos

regulares para minimizar el riesgo de interrupciones del servicio originadas por falta de
capacidad o degradación del desempeño. Identificar también el exceso de capacidad para una
posible redistribución. Identificar las tendencias de las cargas de trabajo y determinar los
pronósticos que serán parte de los planes de capacidad y de desempeño.

 DS3.4 Disponibilidad de Recursos de TI

Brindar la capacidad y desempeño requeridos tomando en cuenta aspectos como cargas de

trabajo normales, contingencias, requerimientos de almacenamiento y ciclos de vida de los
recursos de TI. Deben tomarse medidas cuando el desempeño y la de capacidad no están en el
nivel requerido, tales como dar prioridad a las tareas, mecanismos de tolerancia de fallas y
prácticas de asignación de recursos. La gerencia debe garantizar que los planes de contingencia
consideran de forma apropiada la disponibilidad capacidad y desempeño de los recursos
individuales de TI.

 DS3.5 Monitoreo y Reporte

Monitorear continuamente el desempeño y la capacidad de los recursos de TI. La

información reunida sirve para tres propósitos:

o Mantener y poner a punto el desempeño actual dentro de TI y atender temas como

elasticidad, contingencia, cargas de trabajo actuales y proyectadas, planes de
almacenamiento y adquisición de recursos.
o Para reportar la disponibilidad hacia el negocio del servicio prestado como se
requiere en los SLAs.
o Acompañar todos los reportes de excepción con recomendaciones para acciones
correctivas
DS5 Garantizar la Seguridad de los Sistemas
La administración del proceso de Garantizar la seguridad de los sistemas que satisfaga el
requerimiento de negocio de TI de mantener la integridad de la información y de la infraestructura
de procesamiento y minimizar el impacto de vulnerabilidades e incidentes de seguridad, los
objetivos de control a evaluar son:

 DS5.1 Administración de la Seguridad de TI

Administrar la seguridad de TI al nivel más alto apropiado dentro de la organización, de

manera que las acciones de administración de la seguridad estén en línea con los
requerimientos del negocio.

 DS5.3 Administración de Identidad

Asegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas
de TI (aplicación de negocio, entorno de TI, operación de sistemas, desarrollo y
mantenimiento) deben ser identificables de manera única. Permitir que el usuario se identifique
a través de mecanismos de autenticación. Confirmar que los permisos de acceso del usuario al
sistema y los datos están en liń ea con las necesidades del negocio definidas y documentadas y
que los requerimientos de trabajo están adjuntos a las identidades del usuario. Asegurar que
los derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el
responsable del sistema e implementado por la persona responsable de la seguridad. Las
identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se
despliegan técnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados
para establecer la identificación del usuario, realizar la autenticación y habilitar los derechos
de acceso.

 DS5.4 Administración de Cuentas del Usuario

Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de

cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por un conjunto
de procedimientos de la gerencia de cuentas de usuario. Debe incluirse un procedimiento de
aprobación que describa al responsable de los datos o del sistema otorgando los privilegios de
acceso. Estos procedimientos deben aplicarse a todos los usuarios, incluyendo administradores
(usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia.
Los derechos y obligaciones relativos al acceso a los sistemas e información de la

empresa deben acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones
regulares de la gestión de todas las cuentas y los privilegios asociados.

 DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad

Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de

forma pro-activa. La seguridad en TI debe ser reacreditada periódicamente para garantizar que
se mantiene el nivel seguridad aprobado. Una función de ingreso al sistema (logging) y de
monitoreo permite la detección oportuna de actividades inusuales o anormales que pueden
requerir atención.

 DS5.8 Administración de Llaves Criptográficas

Determinar que las políticas y procedimientos para organizar la generación, cambio,

revocación, destrucción, distribución, certificación, almacenamiento, captura, uso y archivo de
llaves criptográficas estén implantadas, para garantizar la protección de las llaves contra
modificaciones y divulgación no autorizadas.

 DS5.9 Prevención, Detección y Corrección de Software Malicioso

Poner medidas preventivas, detectivas y correctivas (en especial contar con parches de
seguridad y control de virus actualizados) en toda la organización para proteger los sistemas
de la información y a la tecnología contra malware (virus, gusanos, spyware, correo basura).

 DS5.11 Intercambio de Datos Sensitivos

Transacciones de datos sensibles se intercambian solo a través de una ruta o medio con
controles para proporcionar autenticidad de contenido, prueba de envió , prueba de recepción y
no repudio del origen.
DS7 Educar y Entrenar a los Usuarios
Para una educación efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos
dentro de TI, se requieren identificar las necesidades de entrenamiento de cada grupo de usuarios.
Además de identificar las necesidades, este proceso incluye la definición y ejecución de una
estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados. Un programa
efectivo de entrenamiento incrementa el uso efectivo de la tecnología al disminuir los errores,
incrementando la productividad y el cumplimiento de los controles clave tales como las medidas
de seguridad de los usuarios, los objetivos de control a evaluar son:

 DS7.1 Identificación de Necesidades de Entrenamiento y Educación

Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo

objetivo de empleados, que incluya:

o Estrategias y requerimientos actuales y futuros del negocio.

o Valores corporativos (valores éticos, cultura de control y seguridad, etc.)
o Implementación de nuevo software e infraestructura de TI (paquetes y aplicaciones)
o Habilidades, perfiles de competencias y certificaciones actuales y/o credenciales
necesarias.
o Métodos de impartición (por ejemplo, aula, web), tamaño del grupo objetivo,
accesibilidad y tiempo.
 DS7.2 Impartición de Entrenamiento y Educación

Con base en las necesidades de entrenamiento identificadas, identificar: a los grupos

objetivo y a sus miembros, a los mecanismos de impartición eficientes, a maestros, instructores
y consejeros. Designar instructores y organizar el entrenamiento con tiempo suficiente. Debe
tomarse nota del registro (incluyendo los prerrequisitos), la asistencia, y de las evaluaciones
de desempeño.

 DS7.3 Evaluación del Entrenamiento Recibido

Al finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la

relevancia, calidad, efectividad, percepción y retención del conocimiento, costo y valor. Los
resultados de esta evaluación deben contribuir en la definición futura de los planes de estudio
y de las sesiones de entrenamiento.
DS11 Administración de Datos
La administración del proceso de Administrar los datos que satisfaga el requerimiento de
negocio de TI de optimizar el uso de la información y garantizar la disponibilidad de la información
cuando se requiera, los objetivos a evaluar son:

 DS11.1 Requerimientos del Negocio para Administración de Datos

Verificar que todos los datos que se espera procesar se reciben y procesan completamente,
de forma precisa y a tiempo, y que todos los resultados se entregan de acuerdo a los
requerimientos de negocio. Las necesidades de reinicio y reproceso están soportadas.

 DS11.2 Acuerdos de Almacenamiento y Conservación

Definir e implementar procedimientos para el archivo, almacenamiento y retención de los

datos, de forma efectiva y eficiente para conseguir los objetivos de negocio, la polit́ ica de
seguridad de la organización y los requerimientos regulatorios.

 DS11.4 Eliminación

Definir e implementar procedimientos para asegurar que los requerimientos de negocio

para la protección de datos sensitivos y el software se consiguen cuando se eliminan o
transfieren los datos y/o el hardware.

 DS11.5 Respaldo y Restauración

Definir e implementar procedimientos de respaldo y restauración de los sistemas,

aplicaciones, datos y documentación en liń ea con los requerimientos de negocio y el plan de
continuidad.

 DS11.6 Requerimientos de Seguridad para la Administración de Datos

Definir e implementar las polit́ icas y procedimientos para identificar y aplicar los
requerimientos de seguridad aplicables al recibo, procesamiento, almacén y salida de los datos
para conseguir los objetivos de negocio, las polit́ icas de seguridad de la organización y
requerimientos regulatorios.
Dominio: Monitorear y Evaluar (ME)
Todos los procesos del módulo de matrícula necesitan ser evaluados regularmente a través
del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control,
integridad y confidencialidad.

ME1 Monitorear y Evaluar el Desempeño de TI

Una efectiva administración del desempeño de TI requiere un proceso de monitoreo. El
proceso incluye la definición de indicadores de desempeño relevantes, reportes sistemáticos y
oportunos de desempeño y tomar medidas expeditas cuando existan desviaciones. El monitoreo se
requiere para garantizar que las cosas correctas se hagan y que estén de acuerdo con el conjunto
de direcciones y polit́ icas, los objetivos de control a evaluar son:

 ME1.1 Enfoque del Monitoreo

Establecer un marco de trabajo de monitoreo general y un enfoque que definan el alcance,

la metodologiá y el proceso a seguir para medir la solución y la entrega de servicios de TI, y
Monitorear la contribución de TI al negocio. Integrar el marco de trabajo con el sistema de
administración del desempeño corporativo.

 ME1.2 Definición y Recolección de Datos de Monitoreo

Trabajar con el negocio para definir un conjunto balanceado de objetivos de desempeño y

tenerlos aprobados por el negocio y otros interesados relevantes. Definir referencias con las
que comparar los objetivos, e identificar datos disponibles a recolectar para medir los objetivos.
Se deben establecer procesos para recolectar información oportuna y precisa para reportar el
avance contra las metas.

 ME1.3 Método de Monitoreo

Garantizar que el proceso de monitoreo implante un método (Ej. Balanced Scorecard), que
brinde una visión sucinta y desde todos los ángulos del desempeño de TI y que se adapte al
sistema de monitoreo de la empresa.

 ME1.4 Evaluación del Desempeño

Comparar de forma periódica el desempeño contra las metas, realizar análisis de la causa
raiź e iniciar medidas correctivas para resolver las causas subyacentes.
  ME1.6 Acciones Correctivas

Identificar e iniciar medidas correctivas basadas en el monitoreo del desempeño,

evaluación y reportes. Esto incluye el seguimiento de todo el monitoreo, de los reportes y de
las evaluaciones con:

o Revisión, negociación y establecimiento de respuestas de administración

o Asignación de responsabilidades por la corrección
o Rastreo de los resultados de las acciones comprometidas.

Tabla 2

Roles y responsabilidades del grupo auditor

Nombre Auditor Proceso auditado

Gustavo Adolfo Mambuscay  PO1 Definir un Plan estratégico de TI

 PO2 Definir la Arquitectura de la
Información
 DS11 Administración de Datos

Carlos Andrés Ramirez  PO4 Definir los Procesos,

Organización y Relaciones de TI
 PO7 Administrar Recursos Humanos
de TI

Natalia Isabel García  DS5 Garantizar la Seguridad de los

Sistemas

Carlos Andrés Ordoñez  DS3 Administrar el Desempeño y la

Capacidad
 DS7 Educar y entrenar a los Usuarios
 ME1 Monitorear y Evaluar el
Desempeño de TI
Tabla 3

Pruebas a realizar

Prueba Descripcion prueba Tipo prueba Nombre auditor

 Conclusiones

 Se conoció la estructura del marco de referencia para IT denominado COBIT en su versión

4.1 y su aplicación en un entorno real, basándonos en sus 4 dominios y sus procesos
inherentes.
 El planeamiento como etapa inicial en el proceso de auditoría es de suma importancia para
conocer los procedimientos o procesos que se deberán aplicar para obtener conclusiones
válidas y certeras sobre la empresa o entidad auditada.
 Bibliografía

 IT Governance Institute, 2007. CobIT 4.1[archivo PDF] Recuperado de

http://campus28.unad.edu.co/ecbti41/pluginfile.php/5226/mod_forum/attachment/127800/co
biT4.1spanish.pdf