Manual COBIT 4.1

 

S

Contenido OI NI

PROCESOS 

OBJETIVOS DE CONTROL 

  PO1 Definir un Plan Estratégico de TI

PO1.1 Administración del Valor de TI PO1.2 Alineación de TI con el Negocio PO1.3 Evaluación del Desempeño y la Capacidad Actual PO1.4 Plan Estratégico de TI PO1.5 Planes Tácticos de TI PO1.6 Administración del Portafolio de TI

M

TEMA Nº 01 COBIT (Objeti (Objetivos vos de Control para la información y Tecnologí Tecnologías as relacionadas) .........................1 TEMA Nº 02 RECOLECCIÓN DE INFORMACIÓN PARA AUDITORÍA INFORMÁTICA INFORMÁTICA Y DE SISTEMAS ...............6 TEMA Nº 03 TÉCNICAS E INSTRUMENTOS PARA REALIZAR AUDITORIA INFORMÁTICA Y DE SISTEMAS  .........................................................................................6 .........................................................................................6 O D

TEMA Nº 04 METODOLOGÍA PARA REALIZAR AUDITORÍA ......................................................................6 TEMA Nº 5 PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN ..................................................................7 TEMA N 06 PROGRAMA DE AUDITORIA  – COBIT ......10 TEMA Nº 07 PAPELES DE TRABAJO - DISEÑO DE FORMATOS PARA AUDITORÍA ....................................15

PO2 Definir la Arquitectura de la Información

PO3 Determinar la Dirección Tecnológica

TEMA Nº 01 COBIT 01 COBIT (Objetivos de Control para la información y Tecnologías relacionadas) Las mejores prácticas en auditoria recomiendan Cobit como la herramienta estándar para tecnologías de información más utilizada en la ejecución de auditorías; a continuación se explica detalladamente algunos conceptos manejados por ésta y los dominios, procesos y actividades que lo conforman:

PO6 Comunicar

PO4.1 Marco de Trabajo de Procesos de TI PO4.2 Comité Estratégico de TI PO4.3 Comité Directivo de TI  TI  PO4.4 Ubicación Organizacional de la Función de TI  TI  PO4.5 Estructura Organizacional  Organizacional   PO4.6 Establecimiento de Roles y Responsabilidades   Responsabilidades PO4.7 Responsabilidad de Aseguramiento de Calidad TI  TI  PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento  Cumplimiento   PO4.9 Propiedad de Datos y de Sistema  Sistema   PO4.10 Supervisión  Supervisión  PO4.11 Segregación de Funciones  Funciones   PO4.12 Personal de TI  TI  PO4.13 Personal Clave de TI  TI   PO4.14 Políticas y Procedimientos para Personal Contratado  Contratado  PO4.15 Relaciones  Relaciones  PO5.1 Marco de Trabajo para la Administración Financiera PO5.2 Prioridades Dentro del Presupuesto de TI PO5.3 Proceso Presupuestal PO5.4 Administración de Costos de TI PO5.5 Administración de Beneficios PO6.1 Ambiente de Políticas y de Control PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI

las Aspiraciones y la Dirección

PO6.3 Administración de Políticas para TI PO6.4 Implantación de Políticas de TI

R A IZ N A G R O Y R A CI

Efectividad. . Confidencialidad.  Disponibilidad. . Cumplimiento. Confiabilidad de la información. Datos. Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, FI N A L P

gráficos, sonido,Seetc.entiende como sistemas de aplicación la suma de Aplicaciones. procedimientos manuales y programados. La tecnología cubre hardware, software, sistemas Tecnología.  operativos, sistemas de administración de bases de datos, redes, multimedia, etc. Instalaciones. Recursos para alojar y dar soporte a los sistemas de información. pe rsonal, conocimiento, con ocimiento, conciencia y Personal. Habilidades del personal, productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información.  

PO4 Definir los Procesos, Organización y Relaciones de TI

PO5 Administrar la Inversión en TI

3.1.1 Distribución de los dominios y procesos p rocesos de COBIT  TABLA DE CLASIFICACION DE DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL  COBIT 4.1   –

1

PO2.1 Modelo de Arquitectura de Información Empresarial PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos PO2.3 Esquema de Clasificación de Datos   Datos PO2.4 Administración de Integridad  Integridad  PO3.1 Planeación de la Dirección Tecnológica PO3.2 Plan de Infraestructura Tecnológica PO3.3 Monitoreo de Tendencias y Regulaciones Futuras  Futuras  PO3.4 Estándares Tecnológicos  Tecnológicos  PO3.5 Consejo de Arquitectura de TI

 

de la Gerencia

PO7 Administrar Recursos Humanos de TI

PO8 Administrar la Calidad

PO9 Evaluar y Administrar los Riesgos de TI

PO10 Administrar Proyectos

R T

A

AI1 Identificar soluciones automatizada s E

MI

P

L

E

M

E

N

PO6.5 Comunicación de los Objetivos y la Dirección de TI PO7.1 Reclutamiento y Retención del Personal PO7.2 Competencias del Personal PO7.3 Asignación de Roles PO7.4 Entrenamiento del Personal de TI PO7.5 Dependencia Sobre los Individuos PO7.6 Procedimientos de Investigación del Persona PO7.7 Evaluación del Desempeño del Empleado   Empleado PO7.8 Cambios y Terminación de Trabajo PO8.1 Sistema de Administración de Calidad PO8.2 Estándares y Prácticas de Calidad PO8.3 Estándares de Desarrollo y de Adquisición PO8.4 Enfoque en el Cliente de TI PO8.5 Mejora Continua PO8.6 Medición, Monitoreo y Revisión de la Calidad PO9.1 Marco de Trabajo de Administración de Riesgos PO9.2 Establecimiento del Contexto del Riesgo

AI2.3 Control y Posibilidad de Auditar las AI2 Adquirir y Aplicaciones Mantener AI2.4 Seguridad y Disponibilidad de las Software Aplicaciones Aplicativo AI2.5 Configuración e Implementación de Software Aplicativo Adquirido AI2.6 Actualizaciones Importantes en Sistemas Existentes AI2.7 Desarrollo de Software Aplicativo AI2.8 Aseguramiento de la Calidad del Software AI2.9 Administración de los Requerimientos de Aplicaciones AI2.10 Mantenimiento de Software Aplicativo AI3.1 Plan de Adquisición de AI3 Adquirir y Infraestructura Tecnológica AI3.2 Protección y Disponibilidad del Mantener Infraestructur  Recurso de Infraestructura a AI3.3 Mantenimiento de la infraestructura Tecnológica AI3.4 Ambiente de Prueba de Factibilidad AI4.1 Plan para Soluciones de Operación AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio AI4 Facilitar la Operación AI4.3 Transferencia de Conocimiento a Usuarios Finales  Finales  y el Uso

PO9.3 Identificacióndede Eventos PO9.4 Evaluación Riesgos de TI PO9.5 Respuesta a los Riesgos PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos PO10.1 Marco de Trabajo para la Administración de Programas PO10.2 Marco de Traba PO10.3 Enfoque de Administración de Proyectos PO10.4 Compromiso de los Interesados PO10.5 Declaración de Alcance del Proyecto PO10.6 Inicio de las Fases del Proyecto PO10.7 Plan Integrado del Proyecto PO10.8 Recursos del Proyecto PO10.9 Administración de Riesgos del Proyecto PO10.10 Plan de Calidad del Proyecto PO10.11 Control de Cambios del Proyecto PO10.13 Medición del Desempeño, Reporte y Monitoreo del Proyecto PO10.14 Cierre del Proyecto AI1.1 Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio AI1.2 Reporte de Análisis de Riesgos AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos

AI4.4 Transferencia de Conocimiento Personal de Operaciones y Soporte al AI5.1 Control de Adquisición AI5.2 Administración de Contratos con Proveedores AI5.3 Selección de Proveedores AI5.4 Adquisición de Recursos TI AI6.1 Estándares y Procedimientos para Cambios AI6.2 Evaluación de Impacto, Priorización y Autorización AI6.3 Cambios de Emergencia AI6.4 Seguimiento y Reporte del Estatus de Cambio AI6.5 Cierre y Documentación del Cambio AI7.1 Entrenamiento AI7.2 Plan de Prueba AI7.3 Plan de Implementación AI7.4 Ambiente de Prueba AI7.5 Conversión de Sistemas y Datos AI7.6 Pruebas de Cambios AI7.7 Prueba de Aceptación Final AI7.8 Promoción a Producción AI7.9 Revisión Posterior a la Implantación DS1.1 Marco de Trabajo de la Administración de los Niveles de Servicio DS1.2 Definición de Servicios DS1.3 Acuerdos de Niveles de Servicio DS1.4 Acuerdos de Niveles de

AI5 Adquirir Recursos de TI

AI6 Administrar Cambios

AI7 Instalar y Acreditar Soluciones y Cambios

R A D T R R G E O

R

A

D

Q

U

RII

servicio

O S

A P

E

DS1 Definir y administrar los niveles de

Y

AI1.4 Requerimientos, Factibilidad y Aprobación Decisión de AI2.1 Diseño de Alto Nivel AI2.2 Diseño Detallado TR N E

2

Operación DS1.5 Monitoreo y Reporte del Cumplimiento de los Niveles de Servicio

 

DS2 Administrar los Servicios de Terceros

DS3 Administrar el Desempeño y la Capacidad

DS4 Garantizar la Continuidad del Servicio

DS5 Garantizar de la Seguridad los Sistemas

DS6 Identificar y Asignar Costos DS7 Educar y Entrenar a los Usuarios

DS1.6 Revisión de los Acuerdos de Niveles de Servicio y de los Contratos DS2.1 Identificación de Todas las Relaciones con Proveedores DS2.2 Gestión de Relaciones con Proveedores DS2.3 Administración de Riesgos del Proveedor DS2.4 Monitoreo del Desempeño del Proveedor DS3.1 Planeación del Desempeño y la Capacidad

DS8 Administrar la Mesa de Servicio y los Incidentes DS9 Administrar la Configuració n

DS3.2 Capacidad y Desempeño Actual DS3.3 Capacidad y Desempeño Futuros DS3.4 Disponibilidad de Recursos de TI DS3.5 Monitoreo y Reporte DS4.1 Marco de Trabajo de Continuidad de TI DS4.2 Planes de Continuidad de TI DS4.3 Recursos Críticos de TI DS4.4 Mantenimiento del Plan de Continuidad de TI DS4.5 Pruebas del Plan de Continuidad de TI DS4.6 Entrenamiento del Plan de Continuidad de TI DS4.7 Distribución del Plan de

DS10 Administració n de Problemas

DS11 Administració n de Datos

Continuidad de TI y Reanudación de DS4.8 Recuperación los Servicios de TI DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones DS4.10 Revisión Post Reanudación DS5.1 Administración de la Seguridad de TI DS5.2 Plan de Seguridad de TI DS5.3 Administración de Identidad DS5.4 Administración de Cuentas del Usuario DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad DS5.6 Definición de Incidente de Seguridad DS5.7 Protección de la Tecnología de Seguridad DS5.8 Administración de Llaves Criptográficas DS5.9 Prevención, Detección y Corrección de Software Malicioso DS5.10 Seguridad de la Red DS5.11 Intercambio de Datos Sensitivos DS6.1 Definición de Servicios DS6.2 Contabilización de TI DS6.3 Modelación de Costos y Cargos DS6.4 Mantenimiento del Modelo de Costos   Costos DS7.1 Identificación de Necesidades de Entrenamiento y Educación

DS12 Administració n del Ambiente Físico

DS13 Administració n de Operaciones

R

ME1 Monitorear y Evaluar el Desempeño de TI  TI  A U L A V E Y R A E R O TI N O M

DS7.2 Impartición de Entrenamiento y Educación DS7.3 Evaluación del Entrenamiento Recibido

ME2 Monitorear y Evaluar Controlel Interno

3

DS8.1 Mesa de Servicios DS8.2 Registro de Consultas de Clientes DS8.3 Escalamiento de Incidentes DS8.4 Cierre de Incidentes DS8.5 Análisis de Tendencias DS9.1 Repositorio y Línea Base de Configuración DS9.2 Identificación y Mantenimiento de Elementos de Configuración DS9.3 Revisión de Integridad de la Configuración DS10.1 Identificación y Clasificación de Problemas DS10.2 Rastreo y Resolución de Problemas DS10.3 Cierre de Problemas DS10.4 Integración de las Administraciones de Cambios, Configuración y Problemas DS11.1 Requerimientos del Negocio para Administración de Datos DS11.2 Acuerdos de Almacenamiento y Conservación DS11.3 Sistema de Administración de Librerías de medios DS11.4 Eliminación DS11.5 Respaldo y Restauración DS11.6 Requerimientos de Seguridad para la Administración de Datos DS12.1 Selección y Diseño del Centro de Datos DS12.2 Medidas de Seguridad Física DS12.3 Acceso Físico DS12.4 Protección Contra Factores Ambientales DS12.5 Administración de Instalaciones Físicas DS13.1 Procedimientos e Instrucciones de Operación DS13.2 Programación de Tareas DS13.3 Monitoreo de la Infraestructura de TI DS13.4 Documentos Sensitivos y Dispositivos de Salida DS13.5 Mantenimiento Preventivo del Hardware ME1.1 Enfoque del Monitoreo ME1.2 Definición y Recolección de Datos de Monitoreo ME1.3 Método de Monitoreo ME1.4 Evaluación del Desempeño ME1.5 Reportes al Consejo Directivo y a Ejecutivos ME1.6 Acciones Correctivas ME2.1 Monitoreo del Marco de Trabajo de Control Interno ME2.2 Revisiones de Auditoría ME2.3 Excepciones de Control ME2.4 Control de Auto Evaluación ME2.5 Aseguramiento del Control Interno ME2.6 Control Interno para Terceros

 

para esto estándares para traducir las opciones estratégicas en reglas de usuario prácticas y utilizables. PO7 Administración de recursos humanos: El objetivo es maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así los requerimientos de negocio, a través de técnicas sólidas para administración de personal. PO8 Asegurar el cumplimiento con los requerimientos Externos: El objetivo es cumplir con obligaciones legales, regulatorias y contractuales, para ello se realiza una identificación y análisis de los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos. PO9 Evaluación de riesgos:  El objetivo es asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI, mediante la participación de la propia organización en la identificación de riesgos de TI y en el análisis de impacto, tomando medidas económicas para mitigar los riesgos.

ME2.7 Acciones Correctivas ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos Contractuales ME3 Garantizar el ME3.2 Optimizar la Respuesta a Cumplimient Requerimientos Externos o con ME3.3 Evaluación del Cumplimiento con Requerimient Requerimientos Externos  Externos  os Externos ME3.4 Aseguramiento Positivo del Cumplimiento ME3.5 Reportes Integrados ME4.1 Establecimiento de un Marco de Gobierno de TI ME4.2 Alineamiento Estratégico ME4 Proporcionar ME4.3 Entrega de Valor Gobierno de ME4.4 Administración de Recursos TI ME4.5 Administración de Riesgos ME4.6 Medición del Desempeño ME4.7 Aseguramiento Independiente 4.1   Fuente: Estándar de mejores prácticas COBIT 4.1 

PO10 Administración de proyectos: El objetivo es establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversión, para ello se realiza una identificación y priorización de los proyectos en línea con el plan operacional por parte de la misma organización. Además, la organización deberá adoptar y aplicar sólidas técnicas de administración de proyectos para cada proyecto emprendido.

Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos procesos están agrupados en cuatro grandes dominios que se describen a continuación junto con sus procesos y una descripción general de las actividades de cada uno:

PO11 Administración de calidad: El objetivo es satisfacer satisfa cer los requerimientos del cliente. Mediante una planeación, implementación y mantenimiento de estándares y sistemas de administración de calidad por parte de la organización.

Dominio: Planificación y Organización Cubre la estrategia y las tácticas, se refiere a la identificación de la forma en que la tecnología información puede contribuir de la mejor manera al logro de los objetivos de la organización..

Dominio: Adquisición e implementación Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

Procesos:  PO1 Definición de un plan Estratégico: El objetivo es lograr un balance óptimo entre las oportunidades de tecnología de información y los requerimientos de TI de negocio, para asegurar sus logros futuros.

Procesos: 

PO2 Definición de la arquitectura de Información : El objetivo es satisfacer los requerimientos de la organización, en cuanto al manejo y gestión de los sistemas de información, a través de la creación y mantenimiento de un modelo de información de la organización.

AI1 Identificación de Soluciones Automatizadas:   El objetivo es asegurar el mejor enfoque para cumplir con los requerimientos del usuario, mediante un análisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios.

PO3 Determinación de la dirección tecnológica:   El objetivo es aprovechar al máximo de la tecnología disponible o tecnología emergente, satisfaciendo los requerimientos de la organización, a través de la creación y mantenimiento de un plan de infraestructura tecnológica.

El AI2 Adquisición y mantenimiento del software aplicativo: objetivo es proporcionar funciones automatizadas que soporten efectivamente la organización mediante declaraciones específicas sobre requerimientos funcionales y operacionales y una implementación estructurada con entregables claros.

PO4 Definición de la organización y de las relaciones de TI:  El objetivo es la prestación de servicios de TI, por medio de una organización conveniente en número y habilidades, con tareas y responsabilidades definidas y comunicadas.

AI3 Adquisición y mantenimiento de la infraestructura tecnológica: El objetivo es proporcionar las plataformas apropiadas para soportar aplicaciones de negocios mediante la realización de una evaluación del desempeño del hardware y software, la provisión de mantenimiento preventivo de hardware y la instalación, seguridad y control del software del sistema.

PO5 Manejo de la inversión:   El objetivo es la satisfacción de los requerimientos de la organización, asegurando el financiamiento y el control de desembolsos de recursos financieros. PO6 Comunicación de la dirección y aspiraciones de la

AI4 Desarrollo y mantenimiento de procedimientos:  El objetivo es asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas, mediante la realización de un enfoque

 Elsobre objetivo es asegurar de el conocimiento comprensión de gerencia: los usuarios las aspiraciones la gerencia, a ytravés de políticas establecidas y transmitidas a la comunidad de usuarios, necesitándose

estructurado del usuarios, desarrollorequerimientos de manualesdedeservicio procedimientos operaciones para y material de entrenamiento. 4

 

AI5 Instalación y aceptación de los sistemas: El objetivo es verificar y confirmar que la solución sea adecuada para el propósito deseado mediante la realización de una migración de instalación, conversión y plan de aceptaciones adecuadamente formalizadas.

DS8 Apoyo y asistencia a los clientes de TI: T I: El objetivo es asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente realizando una mesa de ayuda que proporcione soporte y asesoría de primera línea.

AI6 Administración de los cambios:  El objetivo es minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores, mediante un sistema de administración que permita el análisis, implementación y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual. Dominio: Servicios y soporte

DS9 Administración de la configuración: El objetivo es dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el sano manejo de cambios realizando controles que identifiquen y registren todos los activos de TI así como su localización física y un programa regular de verificación que confirme su existencia.

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.

DS10 Administración de Problemas: El objetivo es asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder implementando un sistema de manejo de problemas que registre y haga seguimiento a todos los incidentes. DS11 Administración de Datos: El objetivo es asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento, a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI.

Procesos  DS1 Definición de niveles de servicio: El objetivo es establecer una comprensión común del nivel de servicio requerido, mediante el establecimiento de convenios de niveles de servicio que formalicen los criterios de desempeño contra los cuales se medirá la cantidad y la calidad del servicio. DS2 Administración de servicios prestados por terceros: El objetivo es asegurar que las tareas y responsabilidades responsabilidad es de las terceras partes estén claramente definidas, que cumplan y continúen satisfaciendo los requerimientos, mediante el establecimiento de medidas de control dirigidas a la revisión y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las políticas de la organización.

DS12 Administración de las instalaciones: El objetivo es proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad física. DS13 Administración de la operación: El objetivo es asegurar que las funciones importantes de soporte de TI estén siendo llevadas a cabo regularmente y de una manera ordenada a través de una calendarización de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades.

DS3 Administración de desempeño y capacidad: El objetivo es asegurar   que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado, realizando controles de manejo de capacidad y desempeño que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamaño de aplicaciones, manejo y demanda de recursos.

Dominio: Monitoreo

DS4 Asegurar el Servicio Continuo: El objetivo es mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en caso de interrupciones, mediante un plan de continuidad

Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad.

probado funcional, que alineado con el de plannegocio. de continuidad del negocio yy relacionado conesté los requerimientos

Procesos 

DS5 Garantizar la seguridad de sistemas: El objetivo es salvaguardar la información contra uso no autorizados, divulgación, modificación, daño o pérdida, realizando controles de acceso lógico que aseguren que el acceso a sistemas, datos y programas está restringido a usuarios autorizados.

M1 Monitoreo del Proceso: El objetivo es asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeño gerenciales y la implementación de sistemas de soporte así como la atención regular a los reportes emitidos.

DS6 Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados realizando un plan completo de entrenamiento y desarrollo.

M2 Evaluar lo adecuado del Control Interno: El objetivo es asegurar el logro de los objetivos de control interno establecidos para los procesos de TI. M3 Obtención de Aseguramiento Independiente: El objetivo es incrementar los niveles de confianza entre la organización, clientes y proveedores externos. Este proceso se lleva a cabo a intervalos

DS7 Identificación y asignación de costos: El objetivo es asegurar un conocimiento correctodeatribuido a los servicios desean TI realizando un sistema de contabilidad costos asegure que éstos registrados, calculados y asignados a los niveles de detalle requeridos.

regulares de tiempo. M4 Proveer Auditoria Independiente: El objetivo es incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en 5

 

mejores prácticas de su implementación, lo que se logra con el uso de auditorías independientes desarrolladas a intervalos regulares de tiempo.

Identificar el origen de la auditoria: Este es el primer paso para iniciar la planeación de la auditoria, en esta se debe determinar por qué surge la necesidad o inquietud de realizar una auditoría.

TEMA Nº 02 RECOLECCIÓN 02 RECOLECCIÓN DE INFORMACIÓN PARA AUDITORÍA INFORMÁTICA Y DE SISTEMAS

Visita Preliminar al Área informática: el propósito es el de tener un primer contacto con el personal asignado a dicha área, conocer la distribución de los sistemas y donde se localizan los servidores y equipos terminales en el centro de cómputo, sus características, las medidas de seguridad seguridad y otros aspectos sobre que problemáticas que se presentan en el área auditada.

Observación  Es una de las técnicas más utilizadas para examinar los diferentes aspectos que intervienen en el funcionamiento del área informática Entrevistas 

Establecer los Objetivos de la Auditoria: Los objetivos de la planeación de la auditoria son:

Cuestionarios  Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado responde de acuerdo a su criterio Encuestas  Las encuestas son utilizadas frecuentemente para recolectar información sobre aspectos como el servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, entre otros  juicios de la función informática. in formática. Inventarios 

- El objetivo general que es el fin global de lo que se pretende alcanzar con el desarrollo de la auditoría informática y de sistemas, en el se plantean todos los aspectos que se pretende evaluar. - Los objetivos específicos  que son los fines individuales que se pretenden para el logro del objetivo general, donde se señala específicamente los sistemas, componentes o elementos concretos que deben ser evaluados.

TEMA Nº 03 TÉCNICAS 03 TÉCNICAS E INSTRUMENTOS PARA REALIZAR AUDITORIA INFORMÁTICA Y DE SISTEMAS

Determinar los Puntos que serán evaluados: Una vez determinados los objetivos de la auditoria se debe relacionar los aspectos que serán evaluados, y para esto se debe considerar aspectos específicos del área informática y de los sistemas computacionales tales como: la gestión administrativa del área informática y el centro de cómputo,

Evaluación  Consiste en analizar mediante pruebas la calidad y cumplimiento de funciones, actividades y procedimientos que se realizan en una organización o área.. Inspección  , Comparación  comparación de los datos obtenidos en un área o en toda la organización y cotejando esa información con los datos similares o iguales de otra organización con características semejantes.

Elaborar Planes, programas y Presupuestos para Realizar la auditoria: Para realizar la planeación formal de la auditoria informática y de sistemas, Algunos de los aspectos a tener en cuenta serán: Identificar y seleccionar los Métodos, herramientas, Instrumentos y Procedimientos necesarios para la Auditoria: Asignar los Recursos y Sistemas computacionales para la auditoria: Finalmente se debe asignar los recursos que serán utilizados para realizar la auditoria.

Revisión Documental  la revisión de documentos que soportan los registros de operaciones y actividades de una organización.

Etapa de Ejecución de la Auditoria  

Matriz de Evaluación  Es uno de los documentos de mayor utilidad para recopilar información relacionada con la actividad, operación o función que se

La siguiente etapa después de la planeación de la auditoria es la ejecución de la misma, misma, y está determinada por las características

realiza en el áreasuinformática, así como también se puede observar anticipadamente cumplimiento. La escala de valoración puede ir desde la mínima con puntaje 1 (baja, deficiente) hasta la valoración máxima de 5(superior, muy bueno, excelente).

propias, los puntos elegidos y los requerimientos estimados en la planeación.

Matriz DOFA 

Que es el resultado final de la auditoria, donde se presentan los siguientes puntos: puntos: la elaboración del informe de las situaciones que se han detectado, detectado, la elaboración del dictamen final y la presentación del informe de auditoría.

Etapa de Dictamen de la Auditoria  

Este es un método de análisis y diagnóstico usado para la evaluación de un centro de cómputo, que permite la evaluación del desempeño de los sistemas software, aquí se evalúan los factores internos y externos, para que el auditor puede evaluar el cumplimiento de la misión y objetivo general del área de informática de la organización.

Analizar la información y elaborar un informe de las situaciones detectadas: Junto con la detección de las oportunidades de mejoramiento se debe realizar el análisis de los papeles de trabajo y la elaboración del borrador de las oportunidades detectadas, para detectadas,  para ser discutidas con los auditados, después se hacen las modificaciones necesarias y posteriormente el informe final de las situaciones

TEMA Nº 04 METODOLOGÍA 04 METODOLOGÍA PARA REALIZAR AUDITORÍA Etapa de Planeación de la Auditoria  

detectadas. Elaborar el Dictamen Final: El auditor debe terminar la elaboración del informe final de auditoría y complementarlo con el dictamen final, 6

 

auditada para  para que para después presentarlo a los directivos del área auditada conozcan la situación actual del área, antes de presentarlo al representante o gerente de la empresa.

1. Determinar las soluciones para los hallazgos encontrados (controles) encontrados (controles) 2. Elaborar el Dictamen para cada uno de los procesos evaluados. Resultados de 3. Elaborar el informe final de auditoría la Auditoria de para su presentación y sustentación Sistemas  4. Integrar y organizar los papeles de papeles de trabajo de la auditoria 5. Diseñar las políticas y procedimientos integrando los controles definidos  definidos   Fuente: Esta investigación

Una vez comentadas las desviaciones con los auditados, se elabora el informe final, lo cual es garantía de que los auditados ya aceptaron las desviaciones encontradas  encontradas  y que luego se llevan a documentos formales.

Elaborar el Dictamen Formal: El último paso de esta metodología es presentar formalmente el informe y el dictamen de la auditoria al más alto de los directivos de la empresa donde se informa de los resultados de la auditoria. El auditoria. El informe debe contener los siguientes puntos: la carta de presentación, el dictamen de la auditoria, el informe de situaciones relevantes y los anexos y cuadros estadísticos. . Tabla 1: Etapas proceso de autoría de sistemas FASE  Conocimiento del sistema o área auditada 

Planeación de la Auditoria de Sistemas 

Ejecución de la Auditoria de Sistemas 

TEMA Nº 5 PLAN 5 PLAN DEPLANEACIÓN AUDITORIA O MEMORANDO DE Una vez  se haya seleccionado la empresa, el área o sistema a evaluar   lo primero que se debe hacer es determinar el objetivo que se pretende en la auditoría. El Auditor, seleccionar el objetivo, hace un reconocimiento de la empresa, el área o sistema mediante visitas de campo para determinar cuales son las vulnerabilidades, amenazas y riesgos a que se enfrenta la organización. INDICACIONES PARA ELABORAR EL PLAN DE AUDITORIA

ACTIVIDADES  1. Identificar el origen de la auditoria. auditoria . 2. Realizar visitas para conocer procesos, activos informáticos, procesos y organización del área auditada. auditada . 3. Determinar las vulnerabilidades, y amenazas informáticas a que está expuesta la organización. organización. 4. Determinar el objetivo de la auditoría de auditoría  de acuerdo a las vulnerabilidades, y amenazas informáticas encontradas. 1. Elaborar el plan de auditoría auditoría   2. Seleccionar los estándares a utilizar de acuerdo al objetivo (CobIT (CobIT,, MAGERIT, ISO/IEC 27001, ISO/IEC 27002, otro) 3. De acuerdo al estándar elegido, evaluados  seleccionar los ítems que serán evaluados  que estén en relación directa con el objetivo y alcances definidos en el plan. 4. Seleccionar el equipo de trabajo  trabajo   y asignar tareas específicas 5. Determinar las actividades que se llevarán   a cabo y los tiempos en que serán llevarán llevadas a cabo en cada ítem evaluado. (Programa de auditoría) 6. Diseñar instrumentos para recolección  recolección   de información (formatos de entrevistas, formatos de listas de chequeo, formatos de cuestionarios) 7. Diseñar el plan de pruebas (formato pruebas) 1. Aplicar los instrumentos de recolección de información diseñados 2. Ejecutar las pruebas del plan de pruebas   pruebas 3. Levantar la información de activos informáticos de informáticos  de la organización auditada 4. Determinar las vulnerabilidades y amenazas informáticas aplicando una metodología (MAGERIT) amenazas   5. Realizar la valoración de las amenazas y vulnerabilidades encontradas y probadas 6. Realizar el proceso de evaluación de riesgos 7. Determinar el tratamiento de los riesgos

Una vez conocido el área auditada o sistema de información en la fase de conocimiento, conocimient o, se pueden evidenciar las vulnerabilidades vulne rabilidades y amenazas de manera preliminar que pueden ser las fuentes de riesgos potenciales, lo potenciales,  lo ideal es que cada miembro del equipo de trabajo haga una lista de los problemas y que posteriormente en reuniones del equipo auditor seobservados pueda analizar lo observado por cada integrante y hacer un listado consolidado de los problemas observados. El objetivo general de la auditoría tendrá en cuenta la fuente que origina el proceso de auditoría y los problemas que se evidencian en la realidad, de esta manera el objetivo quedará definido  definido   en concordancia con lo que desea quien origina el proceso proce so y dará solución a los problemas que se están presentando. Una vez definido el objetivo de la auditoría, se desglosa los ítems que serán evaluados (hardware, software, redes, sistemas de información, bases de datos, seguridad física, seguridad lógica, otros) y de cada uno de ellos se debe de be definir el alcance donde se especifica que aspectos se tendrán en cuanta en cada ítem evaluado. Una vez está definido el objetivo general, para alcanzarlo se definen los objetivos específicos teniendo cuentafases la metodología de lasiauditoría que se descompone en tres oencuatro dependiendo es una auditoría interna o es una auditoría externa, para cada fase será necesario definir un objetivo específico que permita cumplirlo. Como se puede mirar en el cuadro anterior las fases de la auditoría en general son las siguientes: conocer el sistema, planear la auditoría, ejecutar la auditoría, y la fase de resultados, para cada fase se define un objetivo específico. Por ejemplo, si la fuente de la auditoría es el gerente, el informára que aspectos quiere que sean auditados y la intencionalidad de llevar a cabo el proceso, una vez conocidos los aspectos que se desea sean auditados, se procede a realizar visitas al sitio "in situ" a el área o sistema para hacer la observación y entrevistas con el administrador del área informática, los empleados de dicha área, los sistemas de información y ususrios para detectar posibles vulnerabilidades y amenazas que puedan ocasionar riesgos potenciales. Si las vulnerabilidades y amenazas se presentan en las redes, conectividad y el servicio de internet y en la infraestructura tecnológica de hardware, el objetivo podría ser: Realizar la auditoría 7

 

Posteriormente se debe especificar la metodología donde se trata de especificar las actividades para lograr cada uno de los objetivos esécíficos propuestos anteriormente, aquí cada objetivo específico se descompone en actividades generales que se deberán realizar para poder cumplirlos.

lo s a la red de datos y la infraetructura de hardware que soportan los sistemas de información en la empresa "xxxxxx" de la ciudad de "xxxxxx".  De acuerdo a este objetivo se definen los objetivos específicos teniendo en cuanta las etapas de la auditoría, por ejemplo:

Objetivo 1: Conocer las redes de datos y la infraestructura tecnologica que soportan los sistemas de información con el fin de analizar los riesgos que puedan presentarse en la funcionalidad de los sistemas de información y servicios que se prestan mediante visitas a la empresa y entrevistas con

A continuación se presenta un ejemplo con el primer objetivo formulado: Metodología para Objetivo 1: Conocer las redes de datos que soportan la infraestructura tecnológica con el fin de analizar algunos de los riesgos que puedan presentarse realizando visitas a la empresa y entrevistas con los usuarios.

empleados y usuarios.  Objetivo 2: Elaborar el plan de auditoría, y programa de auditoría teniendo en cuenta los estándares que serán aplicados para hacer el diseño de los instrumentos de recolección y plan de pruebas que serán aplicados  aplicados   en el proceso de auditoría con el fin de obtener una información confiable para realizar el dictamen.  

la inventario documentación de los planos la red     Solicitar el del hardware de lasde redes Realizar una entrevista inicial con el encargado de administrar la red  Realizar pruebas de seguridad en las redes para determinar las vulnerabilidades Conocer los problemas más frecuentes en la red por parte de los usuarios 

Objetivo 3: Aplicar los instrumentos de recolección de información y pruebas que se han diseñado para diseñado  para determinar los riesgos existentes en la red de datos y la infraestructura tecnológica de acuerdo a las vulnerabilidades y amenazas que se han evidenciado preliminarmente con el fin de hacer la valoración de los riesgos que permitan medir la probabilidad de ocurrencia y el impacto que causa en la organización.  

- Estas son las actividades para lograr el primer objetivo, de la misma manera se hace para los otros objetivos específicos planteados. Posteriormente se hace una relación de los recursos que uno necesita para desarrollar la auditoría, en este caso los recursos se dividen en talento humano que serán los integrantes del equipo auditor, los recursos físicos que son el sitio o empresa donde se llevará a cabo la auditoría, los recursos tecnológicos (el hardware, cámaras, grabadoras digitales, memorias, celulares y el software que se necesite para pruebas) y los recursos económicos que se presentan en una tabla de presupuesto. Recursos humanos: Nombres y apellidos del grupo auditor Recursos físicos: La auditoría se llevará a cabo en el área informática de la empresa xxxxx. Recursos tecnológicos: grabadora digital para entrevistas, cámara fotográfica para pruebas que servirán de evidencia, computador portátil, software para pruebas de auditoría sobre escaneo y tráfico en la red Recursos económicos:  tem  Cantidad  Subtotal  Computador   2  2.000.000  Cámara digital  1  400.000  Grabadora digital  1  120.000  otros      Total  0000000000 

Objetivo 4: De acuerdo a los hallazgos comprobados mediante pruebas, elaborar el dictamen de la auditoría auditoría de acuerdo al nivel de madurez en los procesos evaluados, evaluados , determinar determinar el tratamiento tratamiento de los riesgos y definir posibles soluciones que serán recomendadas en el informe final para se entrega a quien originó la auditoría.  Una vez definidos los objetivos de la auditoría, para cada ítem se menciona los aspectos más relevantes que serán evaluados en cada uno de ellos. Por ejemplo, los alcances serían:

De la red de datos se evaluará los siguientes aspectos:   El inventario hardware de redes   La obsolescencia del hardware y cableado estructurado  El cumplimiento de la norma n orma de cableado estructurado  La seguridad en la red de datos  

….

-Del servicio de intelarnet se evaluará: evaluará: El contrato coninternet empresa que  presta el servicio de internet  La seguridad que brinda el operador para el servicio de internet  La seguridad de la red inalámbrica wifi   La monitorización de la red por parte del administrador  

….

Y finalmente se hace el cronograma de actividades, mediante un diagrama de GANNT,  GANNT,  para construirlo se toman las actividades que han sido definidas para cumplir cada objetivo y se especifica el tiempo de duración de cada actividad en el tiempo. El tiempo se debe definir desde ahora hasta la entrega final del informe de auditoría.

Estos son algunos de los aspectos elegidos para ser evaluados en cuanto a la red, lo mismo debe hacerse para el hardware de servidores y equipos terminales que soportan los sistemas y algo importante es la opinión de los usurios respecto a los problemas que se están presentando a causa de la infraestructura tecnológica y la red que soportan los sistemas.

A continuación se presenta un ejemplo completo de un plan de auditoría o memorando de planeación donde se muestralos contenidos de cada uno de los ítems: Plan de Auditoria Antecedentes:   En las Aulas de informática de una Institución Antecedentes: educativa se realiza anualmente un plan de seguimiento a todos los procesos técnicos y académicos de la institución, esto debido a que las instituciones requieren la acreditación de calidad en el manejo de sus procesos y para ello se hace necesario realizar auditorías internas permanentes y de tipo externo periódicamente para lograrlo.

La intención es de que los integrantes del grupo de auditoría se distribuyanloslasaspectos actividades de acuerdo a su especialidad y serealizar pueda concretar a evaluar y las pruebas que se pueden para poder pod er evidenciar las vulnerabilidades, amenazas y riesgos encontrados inicialmente. 8

 

Uno de los recursos tecnológicos disponibles en las instituciones educativas es el de la red de datos que opera en las diferentes sedes y que generalmente se encuentra certificada bajo la normas de la IEEE\EIA\TIA, las cuales se deben cumplir estrictamente.

d e formatos format os de entrevistas, 2. Recolectar información: Diseño de diseño de formatos para listas de chequeo, diseño de formatos para cuestionarios, diseño del plan de pruebas, selección del estándar a aplicar, elaboración del programa de auditoría, distribución de actividades para los integrantes del grupo de trabajo.

Objetivos  3. Aplicación de instrumentos:  Aplicar entrevistas al adminsitrador y usuarios, aplicar listas de chequeo para verificar controles, aplicar cuestionarios para descubrir nuevos riesgos y conformar los que han sido detectados anteriormente.

Objetivo general: general: Realizar la revisión y verificación del cumplimiento de normas mediante una auditoría a la infraestructura física de la red de datos en una de las instituciones educativas. Objetivos específicos: específicos: 

4. Ejecucción de las pruebas: pruebas: ejecutar las pruebas para determinar

Planificar la auditoría que permita identificar las condiciones actuales de la red de datos de la institución educativa.

la obsolecencia del hardware, ejecutar pruebas la red, ejecutar pruebas para comprobar la correspondencia de sobre los inventarios con la realidad.

Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de auditoría COBIT como herramienta de apoyo en el proceso inspección de la red de datos de la institución educativa.

5. Realizar el proceso de análisis y evaluación de riesgos: riesgos : elaborar el cuadro de vulnerabilidades y amenzas a que se ven enfrentados, determinar los riesgos a que se ven expuestos, hacer la evaluación de riesgos, elaborar el mapa o matriz de riesgos.

Identificar las soluciones para la construcción de los planes de mejoramiento a la red de la institución educativa de acuerdo a los resultados obtenidos en la etapa de aplicación del modelo de auditoría. aud itoría.

6. Tratamiento de riesgos: riesgos: determinar el tratamiento de los riesgos de acuerdo a la matriz de riesgos, proponer controles de acuerdo a la norma de buenas práctica aplicada, definir las posibles soluciones 7. Dictamen de la auditoría: auditoría: Determinar el grado de madurez de la empresa en el manejo de cada uno de los procesos evaluados, medir el grado de madurez de acuerdo a los hallazgos detectados en cada proceso.

Alcance y delimitación: delimitación: La presente auditoria pretende identificar las condiciones actuales del hardware, la red de datos y eléctrica de la institución educativa, con el fin de verificar el cumplimiento de normas y la prestación del servicio de internet para optimizar el uso de los recursos existentes para mejorar el servicio a los usuarios.

8. Informe final de auditoría:   elaboración del borredor del informe técnico de auditoría para confrontarlo con los auditados, elaboración del informe técnico final, elaboración del informe ejecutivo, organización de papeles de trabajo para su entrega. Recursos: 

Los puntos a evaluar serán los siguientes: De las instalaciones físicas se evaluará:

Humanos: La  auditoría se  llevará a cabo por el grupo de Humanos: auditores especializados en redes de datos con la asesoría metodológica de un Ingeniero Auditor.

Instalaciones eléctricas Instalación cableado de la red de datos Sistemas de protección eléctrico Seguridad de acceso físico a las instalaciones

Físicos: Instalaciones de la institución educativa,   aulas de Físicos: informática y dispositivos de red.

De equipos o hardware se evaluará: Inventarios de hardware de redes y equipos Mantenimiento preventivo y correctivo de equipos y redes

red,

.

Hojas de vida de los equipos de cómputo y redes Los programas de mantenimiento de los equipos de computo y redes Revisión de informes de mantenimiento Personal encargado de mantenimiento Obsolescencia de la tecnología

Tecnológicos: equipos de cómputo, software instalado para la Tecnológicos: cámara digital, Intranet institución educativa

Presupuesto::  Presupuesto Ítem  tiles y Papelería Equipos de Oficina como calculadoras. Medios de almacenamiento magnético como: 1 caja de CD, 1 caja Diskettes. Gastos generales: Cafetería, imprevistos, transporte, etc. Pago de Honorarios (1 millon mensual x c/au) Total presupuesto

Metodología: Para el cumplimiento de los objetivos planteados en la auditoría, se realizaran las siguientes actividades: 1. Investigación preliminar: visitas a la institución para determinar el estado actual de la organización, entrevistas con administradores y usuarios de las la s redes para determinar posibles p osibles fallas, entrevistas entre vistas con administrador y usuarios para pa ra determinar la opinión frente al hardware existente y obsolecencia de equipos.

Valor   $ 20.000.oo $ 80.000.oo $ 20.000.oo $300.000.oo $4.000.000 $4.420.000

Cronograma Actividad

1

Mes 1 2 3

Estudio Preliminar 9

4

1

Mes 2 2 3

4

1

Mes 3 2 3

4

 

Planificar la auditoría Aplicar el modelo de auditoria Construir los planes de mejoramiento

Determinación de reas Críticas de Auditoria Elaboración de Programa de Auditoria Evaluación de Riesgos Ejecución de Pruebas y Obtención de Evidencias Elaboración de Informe Sustentación de Informe

Alcances:  En cuanto a los alcances de la auditoría se trabajará el módulo de matrícula académica en línea, incluyendo los procesos de registro y control, y el sistema de control interno que maneja la dependencia para la protección de los datos e información. Del módulo de matrícula académica se evaluará:  evaluará:   Asignaturas a matricular del Pensum, Asignaturas a matricular de formación humanística, Matricular idiomas extranjeros, Cancelación de asignaturas del Pensum, Cancelación de formación humanísticas, Cancelación idiomas extranjeros, Autorizaciones, Reporte de Matrícula, Actualización de información, Calificaciones, Calendario Horarios, Horarios Humanística.

TEMA N 06 PROGRAMA 06 PROGRAMA DE AUDITORIA  COBIT  –

El programa de auditoría hace referencia a la programación de las actividades y asignación de los procesos a auditar a cada uno de los miembros del equipo auditor,  auditor,  por lo tanto inicialmente se debe determinar el estándar que se va a aplicar, quienes quiene s serán los miembros del equipo auditor y la especialidad de cada uno de ellos, y posteriormente se hace la asiganación de las tareas para cada uno de ellos.

En cuanto al hardware: hardware: En cuanto al hardware se evaluará el inventario de hardware de servidores, equipos y redes, incluyendo los procesos mantenimiento, adquisición y actualización de los mismos.

Para este caso se usará el estándar CobIT 4.1  de donde se tomará los

En cuanto al sistema: sistema: En cuanto cuan to al sistema se evaluará la

procesos y objetivos de control relacionados directamente con de el objetivo general y alcances que fueron determinados en el plan auditoría.

funcionalidad, procesamiento, seguridady salidas perimetral del sistema, seguridad interna del sistema, entradas generadas por el sistema, calidad de los datos de entrada, la configuración del sistema, la administración del sistema, planes de contingencias.

Cabe mencionar que dentro de cada proceso existen varios objetivos de control y que no se debe seleccionar solo un objetivo de control con trol sino que pueden ser todos o aquellos que más estén relacionados con los alcances de la auditoría.

En cuanto a la operatividad del sistema: sistema : En cuanto a la operatividad del sistema se evaluará los usuarios que manejan la información, la administración del sistema y el monitoreo del sistema.

Ejemplo de programa de auditoría para un sistema de información..  información

Teniendo en cuenta el objetivo y los alcances especificados anteriormente, y una vez seleccionado el estándar a trabajar (CobIT 4.1), se selecciona los dominios y procesos del estándar que tengan relación directa con el objetivo y los alcances.

Inicialmente hay que tener en cuenta el plan de auditoría porque allí se tiene el objetivo que se pretende en la auditoría y los alcances de cada uno de los ítem evaluados.

PROGRAMA DE AUDITORÍA 

Plan de auditoría 

Para realizar el proceso de auditoría al Sistema de información de Registro y control académico, se utilizará el estándar de mejores práctica en el uso de Tecnología de información (TI) COBIT (Objetivos COBIT (Objetivos de Control para la Información y Tecnologías Relacionadas), donde se especifica el dominio, el proceso y los objetivos de control que se debe trabaar en relación directa con el objetivo y alcances, dentro de ellos se elegiría los siguientes:

Objetivo general: general: Evaluar el sistema de información de usado para el sistema de matrícula para garantizar la seguridad en cuanto a confidencialidad, integridad y disponibilidad que permitan el mejoramiento del sistema de control existente.

Dominio: Planeación Y Organización (PO). Este dominio cubre las estrategias y las tácticas, tiene que ver con identificar la manera en que las tecnologías de información pueden contribuir de la mejor manera al logro de los objetivos de una entidad. Los procesos seleccionados que se revisará y los objetivos de control a verificar son los siguientes:

Proceso: PO1 Definir un Plan Estratégico E stratégico de TI: La definición de un plan estratégico de tecnología de información, permite la gestión y dirección de los recursos de TI de acuerdo a las estrategias y requerimientos de la dependencia. 10

 

Los objetivos de control relacionados con los alcances de la auditoría son los siguientes:

PO4.9 Propiedad de datos y del sistema: Proporcionar a la dependencia de registro y control los procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad sobre los datos y los sistemas de información.

PO1.3 Ecaluación del desempeño y la capacidad actual: La dependencia de registro y control académico manteiene una evaluación períodica del desempeño de los planes institucionales y de los sistemas de información encaminados a la contribución del cumplimiento de los objetivos de la dependencia.

PO4.13 Personal clave de TI: Definir e identificar el personal clave de TI y minimizar la dependencia de una sola persona desempeñando la función de trabajo crítico.

PO8 Administrar la Calidad: Se debe elaborar y mantener un sistema de administración de calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. Esto se facilita

PO2 Definir la Arquitectura de la Información : Permite definir un modelo de información, con el fin de integrar de forma transparente las aplicaciones dentro de los procesos de la dependencia. Los objetivos de control que se evaluaran son los siguientes:

por de la planeación, implantación y mantenimiento del sistema de medio administración de calidad, proporcionando requerimientos, procedimientos y políticas claras de calidad. Los requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables. La mejora continua se logra por medio del constante monitoreo, corrección de desviaciones y la comunicación de los resultados a los interesados. La administración de calidad es esencial para garantizar que TI está dando valor a la información de la dependencia, mejora continua y transparencia para los interesados.

PO2.2 Diccionario de datos y reglas de sintaxis de datos: Es necesario la existencia de un diccionario de datos del sistema en la dependencia y las actualizaciones que se hayan realizado al mismo en las actualizaciones del sistema de acuerdo a los nuevos requerimientos. PO2.3 Esquema de clasificación de los datos: Se debe establecer un marco de referencia de los datos, clasificándolos por categorias, y con la definición de normas y políticas de acceso a dichos datos.

Los objetivos de control que serán evaluados son los siguientes: PO8.3 Estándares de desarrollo y de adquisición: Adoptar y mantener estándares para desarrollo y adquisición que siga el ciclo de vida, hasta los entregables finales incluyendo la aprobación o no en puntos clave con base en los criterios de aceptación acordados. Los temas a considerar incluyen los estándares de codificación del software, normas de nomenclatura, los formatos de archivos, estándares de diseño para los esquemas y diccionarios de datos, estándares para interfaz de ususrio, inter operatividad, eficiencia en el desempaño del sistema, escalabilidad, estándares para el desarrollo y pruebas, validación de los requerimientos, planes de pruebas, pruebas unitarias, y de integración.

PO2.4 Administración de la integridad de datos: Los desarrolladores de la aplicación deben garantizar la integridad y consistencia de los datos almacenados mediante la creación de procesos y procedimientos.

PO4 Definir los Procesos, Organización y Relaciones de TI: Dentro del área de sistemas debe estar claro y definido el personal de la tecnología de la información, los roles, las funciones y responsabilidades, permitiendo el buen funcionamiento de servicios que satisfagan los objetivos de la Institución. Los objetivos de control que se evaluarán son los siguientes:

PO8.5 Mejora continua: Mantener y comunicar regularmente un plan global de calidad que promueva la mejora contínua.

PO4.6 Establecer roles y responsabilidades: Evaluar el comportameinto de los roles y las responsabilidades definidas para el personal de TI, el el área informática (administradores de la red. administrador de sistema, supervisor de los indicadores de cumplimiento, otros)

PO9 Evaluar y administrar los riesgos de TI: Encargado de identificar, analizar y comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de la dependencia, con el objetivo de asegurar el logro de los objetivos de TI.

PO4.7 Responsabilidad del aseguramiento de la calidad de TI: Se

PO9.1 Marco de trabajo de administración de riesgos: Se debe

debe asignar la responsabilidad para el desempñeo de la función de aseguramiento de la calidad (QA) proporcionando el grupo QA del área informática los controles y la experiencia para comunicarlos. Ademas se debe asegurar que la ubicación organizacional, la responsabilidades y el tamaño del grupo de QA satisfacen los requerimientos de la dependencia.

establecer un marco de referencia de evaluación sistemática de riesgos que contenga una evaluación regular de los riesgos de la parte física de las comunicaciones, servidores y equipos con indicadores de cumplimiento. PO9.3 Identificación de eventos: Identificar los riesgos (una amenaza explota las vulnerabilidades existentes), clasificandolas si son relevantes y en que medida afectan al área informática y la dependencia de registro y control donde se maneja el sistema de información.

PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento: Se debe establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel superior apropiado. Definir y asignar roles críticos para administrar los riesgos de TI, incluyendo la responsabilidad específica de la seguridad de la información, la seguridad física y el cumplimiento. Establecer responsabilidad sobre la adminsitración del riesgo y la seguridad a nivel de toda la dependencia para manejar los problemas a nivel institucional. Es necesario asignar responsabilidades adicionales de administración de

PO9.4 Evaluación de los riesgos de TI: Medir los riesgos a través de la evaluación periódica de la probabilidad e impacto de los riesgos identificados, usando métodos cuantitativos y cualitativos, que permitan la medición del riesgo encontrado.

la seguridad con a nivel del sistema específico para manejar problemas relacionados la seguridad.

PO9.5 un plan de identificar acción contra riesgos,Respuesta el procesoa los de riesgos: respuestaDefinir a riesgos debe las estrategias tales como evitar, reducir, compartir o aceptar los riesgos 11

 

determinando los niveles de tolerancia a los riesgos y los controles para mitigarlos.

especificaciones de diseño, los estándares de desarrollo y documentación, los requerimientos de calidad y estándares de aprobación. Asegurar que todos los aspectos legales y contractuales se identifican y direccionan para el software aplicativo desarrollado por terceros.

PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos: Priorizar y planear las actividades de control y respuesta a la solución de riesgos encontrados, teniendo en cuenta también la parte económica de la solución de esta prioridad. Monitorear la ejecucción de los planes y reportar cualquier desviciación a la alta dirección.

AI2.9 Administración de los Requerimientos de Aplicaciones: Seguir el estado de los requerimientos individuales durante el diseño, desarrollo e implementación, y aprobar los cambios a los requerimientos a través de un proceso de gestión de cambios establecido.

Dominio: Adquirir e implementar (AI) Para llevar a cabo la estrategia TI, se debe identificar las soluciones, desarrollarlas y

 

adquirirlas, así como integrarlaslos en laobjetivos empresa,deesto para garantizar que implementarlas las solucionese satisfaga la empresa.

AI2.10 yMantenimiento Aplicativo: Desarrollar una estrategia un plan paradeel Software mantenimiento de aplicaciones de software.

De este dominio se ha seleccionado los siguientes procesos y objetivos de control:

AI3 Adquirir y Mantener Infraestructura Tecnológica: Las Dependencias deben contar con procesos para adquirir, Implementar y actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico en la organización.

AI2 Adquirir y Mantener Software Aplicativo: Las aplicaciones deben estar disponibles de acuerdo con los requerimientos de la dependencia. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares. Esto permite apoyar la operatividad de la dependencia de forma apropiada con las aplicaciones automatizadas correctas.

AI3.1 Plan de Adquisición de Infraestructura Tecnológica:  Generar un plan para adquirir, Implementar y mantener la infraestructura tecnológica que satisfaga los requerimientos establecidos funcionales y técnicos que esté de acuerdo con la dirección tecnológica de la dependencia. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología. Evaluar los costos de complejidad y la viabilidad del software al añadir nueva capacidad técnica.

AI2.1 Diseño de Alto Nivel: Traducir los requerimientos a una especificación de diseño de alto nivel para la adquisición de software, teniendo en cuenta las directivas tecnológicas y la arquitectura de información dentro de la dependencia. Tener aprobadas las especificaciones de diseño por la dependencia para garantizar que el diseño de alto nivel responde a los requerimientos. Reevaluar cuando sucedan discrepancias significativas técnicas o lógicas durante el desarrollo o mantenimiento.

AI3.2 Protección y Disponibilidad del Recurso de Infraestructura: Implementar medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento del hardware y del software de la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender claramente las responsabilidades al utilizar componentes de infraestructura sensitivos por todos aquellos que desarrollan e integran los componentes de infraestructura. Se debe monitorear y evaluar su uso.

AI2.2 Diseño Detallado: Preparar el diseño detallado y los requerimientos técnicos del software de aplicación. Definir el criterio de aceptación de los requerimientos. Aprobar los requerimientos para garantizar que corresponden al diseño de alto nivel. Realizar reevaluaciones cuando sucedan discrepancias significativas técnicas o lógicas durante el desarrollo o mantenimiento. AI2.3 Control y Posibilidad de Auditar las Aplicaciones: Implementar controles de aplicación automatizados tal que el

AI3.3 Mantenimiento de la Infraestructura: Desarrollar una

procesamiento sea exacto, completo, oportuno, autorizado y auditable.

estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo con el procedimiento de administración de cambios de la dependencia. Incluir una revisión periódica contra las necesidades, administración de parches y estrategias de actualización, riesgos, evaluación de vulnerabilidades y requerimientos de seguridad.

AI2.4 Seguridad y Disponibilidad de las Aplicaciones: Abordar la seguridad de las aplicaciones y los requerimientos de disponibilidad dispo nibilidad en respuesta a los riesgos identificados y en línea con la clasificación de datos, la arquitectura de la información, la arquitectura de seguridad de la información y la tolerancia a riesgos de la organización.

AI3.4 Ambiente de Prueba de Factibilidad: Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e integración de aplicaciones e infraestructura, en las primeras fases del proceso de adquisición y desarrollo. Hay que considerar la funcionalidad, la configuración de hardware y software, pruebas de integración y desempeño, migración entre ambientes, control de la versiones, datos y herramientas de prueba y seguridad.

AI2.5 Configuración e Implantación de Software Aplicativo Adquirido: Configurar e implementar software de aplicaciones adquiridas para conseguir los objetivos de negocio. AI2.6 Actualizaciones Importantes en Sistemas Existentes: En caso de cambios importantes a los sistemas existentes que resulten en cambios significativos al diseño actual y/o funcionalidad, seguir un proceso de desarrollo similar al empleado para el desarrollo de

AI6 Administrar cambios:  Para realizar algún cambio bien sea de

sistemas nuevos. AI2.7 Desarrollo de Software Aplicativo: Garantizar que la funcionalidad de automatización se desarrolla de acuerdo con las

software, hardware comunicaciones o dey servidores, debe existir un de proceso que de administre formalmente controladamente dichos cambios, cada cambio debe seguir un proceso de recepción, evaluación, prioridad y autorización previo a la implantación, sin obviar 12

 

la constatación o revisión después del cambio, esto con el fin de reducir riesgos que impacten negativamente la estabilidad o integridad del ambiente del buen funcionamiento de las comunicaciones y servidores.

incrementar el entrenamiento de acuerdo con los resultados de las pruebas de contingencia. DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones:  Almacenar fuera de las instalaciones todos los medios de respaldo, documentación y otros recursos de TI críticos, necesarios para la recuperación de TI y para los planes de continuidad de la dependencia. El contenido de los respaldos a almacenar debe determinarse en conjunto entre los responsables de los procesos de la dependencia y el personal de TI. La administración del sitio de almacenamiento externo a las instalaciones, debe apegarse a la política de clasificación de datos y a las prácticas de almacenamiento

AI6.3 Cambios de emergencia: La Dependencia debe tener establecido un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio establecido. La documentación y pruebas se realizan, posiblemente, después de la implantación del cambio de emergencia. AI6.4 Seguimiento y reporte del estatus de cambio: Se debe hacer un seguimiento a través de un reporte de las solicitudes de cambio, de solución y autorización.

de datos de lacon organización. Las directivas de TI debe asegurar que los acuerdos sitios externos sean evaluados periódicamente, al menos una vez por año, respecto al contenido, a la protección ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del software para poder recuperar los datos archivados y periódicamente probar y renovar los datos archivados.

AI6.5 Cierre y documentación del cambio: Establecer un proceso de revisión para garantizar la implantación completa de los cambios.

Dominio Entregar Y Dar Soporte (DS). Encargado de garantizar la entrega de los servicios requeridos por la empresa, dentro de este dominio se evaluará los siguientes procesos y objetivos de control:

DS4.10 Revisión Post Reanudación:  Una vez lograda una exitosa reanudación de las funciones de TI después de un desastre, determinar si las directivas de TI ha establecido procedimientos para valorar lo adecuado del plan y actualizar el plan en consecuencia.

DS4 Garantizar la Continuidad del Servicio: Es importante que dentro de la dependencia se garantice la continuidad de los servicios de TI, para ello es importante desarrollar, mantener y probar planes de continuidad y así asegurar el mínimo impacto en caso de una interrupción de servicios TI, esto se logra con el desarrollo y mantenimiento (mejorado) de los planes de contingencia de TI, con entrenamiento y pruebas de los planes de contingencia de TI y guardando copias de los planes de contingencia.

DS5 Garantizar la seguridad de los sistemas: Garantizar la protección de la información e infraestructura de TI con el fin de minimizar el impacto causado por violaciones o debilidades de seguridad de la TI. Los objetivos de control que se evaluarán son los siguientes:

La metodología de continuidad debe ser diseñado para reducir el impacto de un desastre, debe presentar diferentes alternativas de recuperación inmediata de los servicios, también debe cubrir los lineamientos de uso, los roles y responsabilidades, los procedimientos, los procesos de comunicación y el enfoque de pruebas.

DS5.2 Plan de Seguridad de TI:  Trasladar los requerimientos de la dependencia, riesgos y cumplimiento dentro de un plan de seguridad de TI completo, teniendo en consideración la infraestructura de TI y la cultura de seguridad. Asegurar que el plan esta implementado en las políticas y procedimientos de seguridad junto con las inversiones apropiadas en los servicios, personal, software softwa re y hardware. Comunicar las políticas y procedimientos de seguridad a los interesados y a los usuarios.

Revisar si se lleva un control de los planes de continuidad, de acuerdo al nivel de prioridad, asegurarse de que la respuesta y la recuperación están alineadas con las necesidades prioritarias de la dependencia y considerar los requerimientos de resistencia, respuesta y recuperación para diferentes niveles de prioridad.

DS5.3 Administración de Identidad: Asegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (Entorno de TI, operación de sistemas, desarrollo y mantenimiento) deben ser identificables de manera única. Permitir que el usuario se identifique a través de mecanismos de autenticación.

d de TI: Se debe mantener el plan de continuidad activo, vigente y actualizado y que refleje de manera continua los requerimientos actuales del Área Informática y de la dependencia de registro y control.

Confirmar que los permisos de acceso del usuario al sistema y los datos están en línea con las necesidades del módulo definidas y documentadas y que los requerimientos de trabajo están adjuntos a las identidades del usuario. Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se despliegan técnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer la identificación del usuario, realizar la autenticación y habilitar los derechos de acceso.

DS4.5 Pruebas del plan de continuidad de TI: Es importante que dentro de la dependencia el plan de continuidad sea conocido por todas las partes interesadas, es esencial que los cambios en los procedimientos y las responsabilidades sean comunicados de forma clara y oportuna. Hacer pruebas de continuidad de forma regular para asegurar que los procesos de TI pueden ser recuperados de forma efectiva y así probar que el plan es efectivo o sino corregir deficiencias en el plan, y así ejecutar un plan de acción para permitir que el plan permanezca aplicable.

DS5.4 Administración de Cuentas del Usuario:  Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por un conjunto de procedimientos. Debe incluirse un

DS4.6 Entrenamiento En trenamiento del plan de continuidad de TI: La organización debe asegurarse que todos las partes involucradas reciban capacitaciones de forma regular respecto a los procesos y sus roles y responsabilidades en caso de incidente o desastre. Verificar e

procedimiento de aprobación al responsable de los Estos datos o del sistema otorgando quelosdescriba privilegios de acceso. procedimientos deben aplicarse a todos los usuarios, incluyendo administradores, usuarios externos e internos, para casos normales y 13

 

de emergencia. Los derechos y obligaciones relativos al acceso a los sistemas e información del módulo deben acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones regulares de la gestión de todas las cuentas y los privilegios asociados.

relevancia, calidad, efectividad, percepción y retención del conocimiento, costo y valor. Los resultados de esta evaluación deben contribuir en la definición futura de los planes de estudio y de las sesiones de entrenamiento.

DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad:  Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma pro-activa. La seguridad en TI debe ser reacreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado. Una función de ingreso al sistema (loggin) y de monitoreo permite la detección oportuna de actividades inusuales o anormales que pueden requerir atención.

DS8 Administrar la Mesa de Servicio y los Incidentes: asegurar que cualquier problema experimentado por los usuarios o estudiantes sea atendido apropiadamente realizando una mesa de ayuda que proporcione soporte y asesoría de primera línea.

ridad: Implementar procedimientos para atender casos de incidentes, mediante el uso de una plataforma centralizada con suficiente experiencia y equipada con instalaciones de comunicación rápidas y seguras. Igualmente establecer las responsabilidades y procedimientos para el manejo de incidentes.

comunicar, requerimientos atender y analizar todasy solicitudes las llamadas, incidentes reportados, de servicio de información. Deben existir procedimientos de monitoreo y escalamiento basados en los niveles de servicio acordados en los SLAs, que permitan clasificar y priorizar cualquier problema reportado como incidente, solicitud de servicio o solicitud de información. Medir la satisfacción del usuario final respecto a la calidad de la mesa de servicios y de los servicios de TI.

DS8.1 Mesa de Servicios: Establecer la función de mesa de servicio, la cual es la conexión del usuario con TI, para registrar,

DS5.7 Protección de la Tecnología de Seguridad:  Garantizar que la tecnología relacionada con la seguridad sea resistente al sabotaje y no revele documentación de seguridad innecesaria.

DS8.3 Escalamiento de Incidentes: Establecer procedimientos de mesa de servicios de manera que los incidentes que no puedan resolverse de forma inmediata sean escalados apropiadamente de acuerdo con los límites acordados en el SLA y, si es adecuado, brindar soluciones alternas. Garantizar que la asignación de incidentes y el monitoreo del ciclo de vida permanecen en la mesa de servicios, independientemente de qué grupo de TI esté trabajando en las actividades de resolución.

Asegurar que la información de transacciones (datos, password, llaves criptográficas) es enviada y recibida por canales confiables (trustedpaths), mediante encriptamiento de sistemas y usuarios. Malicioso: Garantizar procedimientos para el manejo y corrección de problemas ocasionados por software malicioso generalmente en el caso de virus.

DS8.4 Cierre de Incidentes: Establecer procedimientos para el monitoreo puntual de la resolución de consultas de los usuarios. Cuando se resuelve el incidente la mesa de servicios debe registrar la causa raíz, si la conoce, y confirmar que la acción tomada fue acordada con el usuario.

DS5.10 Seguridad de la Red: En la organización al existir conexión a la red de internet se debe implementar el uso de técnicas de seguridad y procedimientos de administración asociados como firewalls, para proteger los recursos informáticos y dispositivos de seguridad.

DS8.5 Análisis de Tendencias:  Emitir reportes de la actividad de la mesa de servicios para permitir a la dependencia medir el desempeño del servicio y los tiempos de respuesta, así como para identificar tendencias de problemas recurrentes de forma que el servicio pueda mejorarse de forma continua.

DS7 Educar y Entrenar a los Usuarios: Para una educación efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar las necesidades de entrenamiento de cada grupo de usuarios. Además de identificar las necesidades, este proceso incluye la definición y ejecución de una estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados. Un programa efectivo de entrenamiento incrementa el uso efectivo de la tecnología al disminuir los errores, incrementando la productividad y el cumplimiento de los controles clave tales como las medidas de seguridad de los usuarios.

DS9 Administración de la Configuración: Mantener un depósito centralizado donde se almacene la información de configuración de software y hardware, ofreciendo así mayor disponibilidad a los usuarios y administradores del sistema, además de mantener un inventario actualizado de la existencia física de TI. El objetivo de control que se evalua es el siguiente: DS9.3 Revisión de Integridad Integ ridad de la Configuración: El Área Informática debe revisar periódicamente los datos de configuración para verificar y confirmar la integridad de la configuración actual y ejecuta rutinas de revisión de software instalado para establecer inconsistencias o desviaciones que perjudiquen los intereses de la organización o que violen políticas de uso.

Para ello se tomaran en cuenta los siguientes objetivos de control: DS7.1 Identificación de Necesidades de Entrenamiento y Educación: Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo objetivo de empleados, que incluya: Implementar procedimientos junto con el plan de largo plazo, valores sistémicos (valores éticos, cultura de control y seguridad, otros), implementación de nuevo software e infraestructura de TI (paquetes y aplicaciones), perfiles de competencias y certificaciones actuales y/o credenciales necesarias, metodos de impartir la capacitación, tamaño

DS12 Administración del Ambiente Físico: La protección del equipo de cómputo y del personal, requiere de instalaciones bien diseñadas y bien administradas. El proceso de administrar el ambiente físico incluye la definición de los requerimientos físicos del centro de

del grupo, accesibilidad y tiempo. DS7.3 Evaluación Evalua ción del Entrenamiento Recibido: Al finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la

datos (site), la selección de instalaciones diseño de procesos efectivos para monitorear factoresapropiadas ambientalesy el y administrar el acceso físico. La administración efectiva del ambiente físico reduce 14

 

las interrupciones del módulo ocasionadas por daños al equipo de cómputo y al personal.

correctivas necesarias y verificar si los resultados de los controles, son reportados y analizados rápidamente, para evitar errores e inconsistencias y que sean corregidos a tiempo.

DS12.1 Selección y Diseño del Centro de Datos:  Registro y control y el Área Informática deben definir y seleccionar los centros de datos físicos para el equipo de TI para soportar la estrategia de tecnología ligada a la estrategia del negocio. Esta selección y diseño del esquema de un centro de datos debe tomar en cuenta el riesgo asociado con desastres naturales y causados por el hombre. También debe considerar las leyes y regulaciones correspondientes, tales como regulaciones de seguridad y de salud en el trabajo.

Finalmente se establecerá las responsabilidades de cada integrante del grupo auditor respecto a los procesos que serán evaluados y se crea un cronograma de las actividades de evaluación que se realizarán en el proceso de auditoría.   TEMA Nº 07  07 PAPELES DE TRABAJO - DISEÑO DE FORMATOS

 

DS12.2físicas Medidas de Seguridad Física: Evaluarde las medidas de seguridad alineadas con los requerimientos la organización. Las medidas deben incluir, zonas de seguridad, la ubicación de equipo crítico y de las áreas de envío y recepción. En particular mantenga un perfil bajo respecto a la presencia de operaciones críticas de TI. Deben Deb en establecerse las responsabilidades sobre el monitoreo y los procedimientos de reporte y de resolución de incidentes de seguridad física.

PARA AUDITORÍA DISEÑO DE FORMATOS PARA AUDITORÍA DE SISTEMAS   Para la planeación del proceso de auditoría es necesario el diseño de los formatos para el proceso de recolección de información y la presentación de los resultados de la auditoría, estos documentos denominados papeles de trabajo finalmente son organizados por cada proceso evaluado y al final se presenta el dictamen y el informe final de resultados.  resultados. 

DS12.3 Acceso Físico: E valuar valuar e implementar procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y áreas de emergencias. El acceso a locales, edificios y áreas debe justificarse, autorizarse, registrarse y monitorearse. Esto aplica para todas las personas que accedan a las instalaciones, incluyendo personal, estudiantes, visitantes o cualquier tercera persona.

A continuación se presentará algunos de los formatos que se usan en el proceso de auditoría

FORMATO DE DEFINICION DE FUENTES DE CONOCIMIENTO  

DS12.4 Protección Contra Factores Ambientales: Diseñar e implementar medidas de protección contra factores ambientales. Deben instalarse dispositivos y equipo especializado para monitorear y controlar el ambiente.

Los formatos de conocimiento son usadoslapara especificar quienes tienedelafuentes información o que docuemntos poseen y las pruebas de análisis o ejecución que deberán practicarse en cada proceso que sea evaluado.

DS12.5 Administración de Instalaciones Físicas: Se debe administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energía, de acuerdo con las leyes y los reglamentos, los requerimientos técnicos y de la institución, las especificaciones del proveedor y los lineamientos de seguridad y salud.

CUADRO DE DEFINICIÓN DE FUENTES DE CONOCIMIENTO 

REF 

PAGINA  1 DE 1

ENTIDAD AUDITADA  PROCESO AUDITADO 

DS13 Administración de Operaciones: Se requiere de una efectiva administración protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware en la organización.

RESPONSABLE  Para ello se evalua el siguiente objetivo de control:

MATERIAL DE SOPORTE  DOMINIO  PROCESO 

DS13.5 Mantenimiento Preventivo del Hardware: Evaluar los procedimientos para garantizar el mantenimiento oportuno de la infraestructura para reducir la frecuencia y el impacto de las fallas o de la disminución del desempeño.

Dominio Monitorear Y Evaluar (ME). Todos los procesos del módulo de matrícula necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad, por tal se evaluara el sigueinte proceso:

COBIT

FUENTES DE CONOCIMIENTO 

REPOSITORIO DE PRUEBAS APLICABLES  DE ANALISIS  DE EJECUCION  AUDITOR RESPONSABLE:

ME2 Monitorear y Evaluar el Control Interno: Se debe proporcionar e incrementar los niveles de confianza entre la organización, empleados y clientes con respecto a las operaciones eficientes y

En este formato se observa los siguientes campos que deben ser diligenciados por el auditor para cada uno de los procesos evaluados.  evaluados. 

efectivas dentro del módulo. ME2.3 Excepciones de Control: Identificar los incidentes, analizar e identificar sus causas raíz subyacentes para establecer acciones

REF: Se refiere al ID del elemento. 15

 

AUDITADA:: En este espacio se indicara el nombre de la ENTIDAD AUDITADA entidad a la cual se le está realizando el proceso de auditoría.

REF  ENTREVISTA I 

PROCESO AUDITADO: AUDITADO: En este espacio se indicara el nombre del proceso objeto de la auditoria, para el caso será Contratación TI.

PAGINA  DE 

ENTIDAD AUDITADA  RESPONSABLE: En este espacio se indicaran los nombres del RESPONSABLE: equipo auditor que está llevando a cabo el proceso de auditoría.

AREA AUDITADA 

MATERIAL DE SOPORTE: SOPORTE: En este espacio se indicara el nombre del material que soporta el proceso, para el caso será COBIT.

OBJETIVO ENTREVISTA 

reservado para colocar el nombre del dominio de DOMINIO: DOMINIO COBIT que: Espacio se está evaluando.

ENTREVISTADO 

PROCESO: Espacio reservado para el nombre del proceso en PROCESO: especifico que se está auditando dentro de los dominios del COBIT.

CARGO 

SISTEMA 

TEMA1:

FUENTES DE CONOCIMIENTO: CONOCIMIENTO: Espacio donde se indicara la fuente de donde proviene la información (documento, plano, manual, entrevista con la persona, otra fuente).

1. ¿PREGUNTA?  _____________________  ___________ _____________________ ______________________ _____________________ __________  _____________________  ___________ _____________________ ______________________ _____________________ __________

REPOSITORIO DE PRUEBAS APLICABLES: APLICABLES: Pruebas que serán aplicadas en cada uno de los procesos de acuerdo a los objetivos de control que pretendan evaluarse.

TEMA 2: 2. ¿ ?  _____________________  ___________ _____________________ _____________________ _____________________ ___________  _____________________  ___________ _____________________ ______________________ _____________________ __________

PRUEBAS DE ANÁLISIS: ANÁLISIS: Las pruebas de análisis hacen referencia a las pruebas que pueden aplicarse en el proceso mediante comparación (benchmarking) o por revisión y análisis documental.

TEMA 3: 3. ¿ ?  _____________________  ___________ _____________________ ______________________ _____________________ __________  _____________________  ___________ _____________________ ______________________ _____________________ __________

PRUEBAS DE EJECUCIÓN: EJECUCIÓN: Las pruebas de ejecución hacen referencia a las pruebas que se pueden hacer en caliente sobre los sistemas o software que se pretende auditar. Estas pruebas generalmente se hacen sobre los sistemas en producción en las auditorías de seguridad (redes, base de datos, seguridad lógica, sistemas operativos), auditorias a la funcionalidad del software y las entradas y salidas del sistema. FORMATO DE ENTREVISTA  Las entrevistas son una fuente deinformación importante dentro de la audtoría, en ellas se refleja la opinión de los auditados acerca del tema tratado y en muchas ocasiones las grabaciones son la fuente de evidencia que soporta la auditoría. la entrevista puede aplicarse al inicio de la auditoría para conocer los aspectos generales y durante el proceso de auditoría con la intención de conocer en profundidad el tema evaluado. La entrevista generalmente se aplica solo al personal clave (administrador del sistema, usuarios de mayor experiencia, administrador del área informática, otros).

FECHA AUDITORES 

dd/mm/aaaa

APLICACIÓN 

REF:Se refiere al ID del elemento. ENTIDAD AUDITADA: AUDITADA:En este espacio se indicara el nombre de la entidad a la cual se le está realizando el proceso de auditoría. ÁREA O SISTEMA AUDITADO: En este espacio se indicara el área o sistema auditado. RESPONSABLES: En este espacio se indicaran los nombres del RESPONSABLES: equipo auditor que está llevando a cabo el proceso de auditoría.

16

 

ENTREVISTA:: En este espacio se hace una breve OBJETIVO DE LA ENTREVISTA referencia al objetivo que se pretende con la aplicación de la entrevista y el proceso COBIT que se está revisando. PAGINA  1 DE 1

ENTIDAD AUDITADA 

ENTREVISTADO: Espacio  destinado al nombre de la persona ENTREVISTADO: entrevistada.

PROCESO AUDITADO  RESPONSABLE  MATERIAL DE SOPORTE  DOMINIO 

CARGO:  Espacio destinado para el nombre del cargo de la persona CARGO:  que será entrevistada. TEMA: Los temas que serán tratados en la entrevista por parate del auditor PREGUNTA:  Espacio donde se indicara la descripción de la consulta PREGUNTA:  de la cual se indagara. AUDITORES: Información de quien será el auditor que aplica la entrevista. FECHA DE APLICACIÓN: Fecha en que se aplica la entrevista

COBIT

PROCESO 

1.

PREGUNTA  ¿ ?

2.

¿

SI  NO  NA 

REF 

FUENTE 

?

TOTALES  TOTAL CUESTIONARIO  PORCENTAJE DE RIESGO  AUDITOR RESPONSABLE 

FORMATO DE CUESTIONARIO   El formato del cuestionario tiene dos objetivos, en primer lugar la confirmación de los riesgos ya detectados anteriormente y en segurndo lugar descubrir nuevos riesgos que aún no se haya detectado. El cuestionario se aplica solamente al personal clave que posee la información para responderlo, por eso es necesario identificar las personas que puedan dar respuesta a los interrogantes planteados en el cuestionario. Las preguntas en el cuestionario son de dos tipos, el primer tipo son las preguntas sobre la existencia de controles o riesgos, riesg os, y el sugundo sugun do tipo son las de completitud que tienen por objetivo saber si se esta aplicando completamente los controles o de manera parcial.

Este cuestionario cuantitativo está conformado por los siguientes ítems:

REF: Se refiere al ID del elemento. ENTIDAD AUDITADA: AUDITADA: En este espacio se indicara el nombre de la entidad a la cual se le está realizando el proceso de auditoría.

Al responder cada una de las preguntas no solamente se debe marcar la respuesta de SI o NO con una XX sino que se debe dar un valor cuantitativo en una escala de 1 a 5, donde el valor más bajo 1,2,3 son valores de la poca importancia de la existencia de controles y 4, 5 que son los valores más altos en la escala significan que tienen mayor importancia para el auditor. Mediante estas calificaciones se trata de medir el grado del riesgo a que se ve expuesto el proceso que esta siendo evaluado.

PROCESO AUDITADO: AUDITADO: En este espacio se indicara el nombre del proceso objeto de la auditoria, para el caso será Contratación TI. RESPONSABLES: En este espacio se indicaran los nombres del RESPONSABLES: equipo auditor que está llevando a cabo el proceso de auditoría. DESCRIPCIÓN DE ACTIVIDAD/PRUEBA: ACTIVIDAD/PRUEBA: En este espacio se hace una breve referencia al que objetivo del revisando. proceso seleccionado dentro de los dominios del COBIT se está

A continuación se muestra el diseño de formatos para los cuestionarios:

MATERIAL DE SOPORTE: SOPORTE: En este espacio se indicara el nombre del material que soporta el proceso, para el caso será COBIT. DOMINIO: Espacio Espacio reservado  reservado para colocar el nombre del dominio de COBIT que se está evaluando. PROCESO: Espacio reservado para el nombre del proceso en PROCESO: especifico que se está auditando dentro de los dominios del COBIT.

PLAN 

PREGUNTA: Espacio donde se indicara la descripción de la consulta PREGUNTA: de la cual se indagara. SI   NO: Posibilidades de respuesta cuantitativa (1,2,3,4,5) para

REF 

 –

medicipon del nivel de riesgo. REF: referencia a la evidencia o el hallazgo que se obtuvo después de indagar. 17

 

RIESGO:: Hace referencia a la probabilidad de PORCENTAJE DE RIESGO que el proceso se vea afectado por las acciones de las cuales se está indagando, entre mas alto el porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado. El cálculo de este porcentaje se hace de la siguiente forma:

Inmediata   Inmediata De una a 24 horas horas   días  De un día a 5 días  Más de 5 días días   ¿Se cuenta con servicio de 4  mantenimiento para todos los equipos?   equipos? ¿Qué tipo de mantenimiento se lleva a cabo?  cabo?   preventivo   Mantenimiento preventivo correctivo  Mantenimiento correctivo  ¿Profesores y/o estudiantes 4 

Porcentaje de riesgo parcial = (Total SI * 100) / Total Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo considerado de poca importancia y cinco el máximo considerado de mucha importancia.

pueden instalar y desinstalar programas en el computador?  computador?   ¿Al finalizar el horario de clase en dichas aulas, se hace una revisión de los equipos?  equipos?   ¿El personal que se encarga del mantenimiento es personal capacitado?   capacitado? ¿Se lleva un procedimiento para la adquisición de nuevos equipos?   equipos? ¿La infraestructura tecnológica de los equipos soporta la instalación de diferentes sistemas operativos?   operativos? ¿Son compatibles software y hardware?   hardware? TOTALES   TOTALES

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto

CUESTIONARIO PARA HARDWARE  Aulas De Informática Facultad De Ingeniería  Ingeniería  C1   Cuestionario de Control: C1  Dominio  Dominio  Adquisición e Implementación  Proceso   Proceso AI3: Adquirir y mantener la arquitectura tecnológica   tecnológica Pregunta  ¿Se cuenta con un inventario de equipos de cómputo?  cómputo?   ¿Si existe inventario contiene los siguientes ítems?  ítems?   Número del computador   Fecha  Fecha  Ubicación   Ubicación Responsable   Responsable  Características(memoria, procesador, monitor, disco duro)   duro) Se lleva una hoja de vida por equipo   equipo ¿La hoja de vida del equipo tiene los datos?  datos?  Numero de hoja vida  vida   Número del decomputador correspondiente   correspondiente reportada   Falla reportada encargado   Diagnóstico del encargado Solución que se le dio  dio   ¿Se posee un registro de fallas detectadas en los equipos?   equipos? ¿En el registro de fallas se tiene en cuenta con los siguientes datos?  datos?  Fecha  Fecha  Hora Hora   Número de registro  registro  Número del computador   Encargado  Encargado   ¿Al momento de presentar una falla en el equipo, la atención que se presta es?  es? 

Si  No  4 

OBSERVACIONES  

Semestral  Semestral  Correctivo  Correctivo 

3  4  3  3 

5  19  19  20  20 

La escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación puede ir en el SI, en el NO, donde 1 significa que no es importante tener el control para el auditor y 5 significa que es importante que se tenga el control, el auditor debe tratar de dar estas calificaciones lo más objetivamente posible para aplicar la fórmula y calcular el porcentaje de riesgo.  riesgo.   Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo considerado de poca importancia y cinco el máximo considerado de mucha importancia.  importancia.  5 

PORCENTAJE DE RIESGO: RIESGO: Hace referencia a la probabilidad de que el proceso se vea afectado por las acciones de las cuales se está indagando, entre mas alto el porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado.  perjudicado.   PREGUNTA: Espacio donde se indicara la descripción de la consulta de la cual se indagara.  indagara.   SI  NO:  Posibilidades de respuesta, cumple, no cumple, o no aplica para la entidad.  entidad. 

4 

 –

El cálculo de este porcentaje se hace de la siguiente forma:  

Porcentaje de riesgo parcial = (Total SI * 100) / Total  Total  parcial  Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial  48.71  Porcentaje de riesgo parcial = (19 * 100) / 39 = 48.71  51.28  Porcentaje de riesgo = 100 – 48.71 = 51.28 

De 1 a 5 dias dias  

18

 

Esta información será desglosada de la siguiente manera:

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización:   categorización: 1% - 30% = Riesgo Bajo Bajo   31% - 70% = Riesgo Medio  Medio   71% - 100% = Riesgo Alto  Alto  RIESGO:  Porcentaje de riesgo parcial: 48.71  1.28   Porcentaje de riesgo = 5 1.28 Impacto según relevancia del proceso: Riesgo Medio  Medio 

REF: Se refiere al ID del elemento. ENTIDAD AUDITADA: AUDITADA: En este espacio se indicara el nombre de la entidad a la cual se le está realizando el proceso de auditoría. PROCESO AUDITADO: AUDITADO: En este espacio se indicara el nombre del proceso objeto de la auditoria, para el caso será Contratación TI. RESPONSABLES: En este espacio se indicaran los nombres del equipo auditor está llevando a cabo el proceso de auditoría. espacio se indicara el nombre del MATERIAL DEque SOPORTE SOPORTE: : En este material que soporta el proceso, para el caso será COBIT. DOMINIO:   Espacio reservado para colocar el nombre del dominio de DOMINIO: COBIT que se está evaluando. PROCESO:   Espacio reservado para el nombre del proceso en PROCESO: especifico que se está auditando dentro de los dominios del COBIT. HALLAZGO: Aquí se encontrara la descripción de cada hallazgo, así como la referencia al cuestionario cuantitativo que lo soporta. CONSECUENCIAS Y RIESGOS: RIESGOS: En este apartado se encuentra la descripción de las consecuencias del hallazgo así como la cuantificación del riesgo encontrado. EVIDENCIAS:: Aquí encontramos en nombre de la evidencia y el EVIDENCIAS numero del anexo donde ésta se encuentra. RECOMENDACIONES: En este último apartado se hace una descripción de las recomendaciones que el equipo auditor ha presentado a las entidades auditadas. Ejemplo Hallazgos 

FORMATO DE HALLAZGOS  Una vez los riesgos han sido conformados mediante pruebas y evidaneias, estos riesgos parasn a denominarse hallazgos. Los formatos de los hallazgos son de suma importancia en la auditoría ya que llevan la información de todo el proceso realizado y una descripción de como se esta presentando el riesgo y sus consecuencias para la medición o valoración de los riesgos en el proceso de evaluación de riesgos que se lleva a cabo posteriormente. Además en el formato de hallazgos se puede encontrar la información de las recomendaciones para determinar los posibles controles para mitigarlos.

REF 

Tabla Hallazgo 1 

HALLAZGO 

REF  HALLAZGO 1  PROCESO AUDITADO 

Funcionamiento de la red de datos

PÁGINA  1 DE 1

PROCESO AUDITADO 

RESPONSABLE  MATERIAL DE SOPORTE  DOMINIO 

Funcionamiento del aspecto físico de la red de datos

HHDN_O1  P GINA  1 DE 1

RESPONSABLE  Francisco Solarte

COBIT

MATERIAL DE SOPORTE 

PROCESO 

DESCRIPCIÓN:  DOMINIO 

COBIT Planear Organizar (PO)

y

PROCESO 

REF_PT: 

Definir un plan estratégico de TI (PO1)

DESCRIPCIÓN:  CONSECUENCIAS: 

RIESGO: 

No existe un grupo encargado de evaluar y estudiar el desempeño de la red de datos en su aspecto físico. No existen políticas ni procedimientos relacionados con la conformación adecuada de la arquitectura y del aspecto físico de la red de datos.

RECOMENDACIONES: 

Esto es debido a la falta del manual de funciones donde se especifique el personal a cargo de la red de datos ni los procedimientos que se realizaran por parte de los funcionarios.

REF_PT:  CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1) 19

 

E_AUDIO/A_CHDN_01 

CONSECUENCIAS:   

Al no existir un grupo encargado de evaluar y estudiar el desempeño del aspecto físico de la red de datos se pierde la claridad para tomar decisiones pertinentes en caso de un desempeño no aceptado de la red de datos.   Al no existir políticas ni procedimientos relacionados con la conformación de la arquitectura y del aspecto físico de la red de datos se pierde la opción de ajustar a las condiciones adecuadas que necesita la entidad los servicios de red de datos. 



RIESGO:  Probabilidad de ocurrencia: Media Impacto según relevancia del proceso: Moderado

RECOMENDACIONES:  Conformar un grupo determinado de funcionarios que evalúen y estudien el desempeño de la red física de datos para con ello tomen decisiones oportunas y adecuadas en la eventualidad de no cumplir objetivos planteados. Elaborar e implementar políticas y procedimientos relacionados con la conformación de la arquitectura y del aspecto físico de la red de datos para ajustar los servicios de red a las necesidades propias que necesite la entidad.

20