Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1 Erlugar
1 Erlugar
SEUDNIMO
6free
SUMARIO
Pgina
RESUMEN EJECUTIVO
CAPTULO I
1
1.1
1.2
1.3
OBJETIVOS DE LA INVESTIGACIN
1.4
ALCANCE DE LA INVESTIGACIN
CAPTULO II
2
2.1
METODOLOGA DE LA INVESTIGACIN
RESULTADO DE LA INVESTIGACIN
CAPTULO III
3
3.1
MARCO TERICO
3.2
10
12
13
14
3.3
COBIT 4.1
16
3.3.1 Definicin
16
3.3.2 Misin
16
3.3.3 Estructura
17
3.4
ISO/IEC 27002:2005
25
25
CAPTULO IV
EL ENFOQUE METODOLGICO PROPUESTO
4.1
METODOLOGA
26
27
29
29
30
31
32
33
34
34
35
36
4.3
41
42
43
44
45
4.3.6
45
46
47
48
50
52
53
70
70
72
4
4.4
73
73
74
76
78
78
79
79
CAPTULO V
CONCLUSIONES
80
BIBLIOGRAFA
81
RESUMEN EJECUTIVO
El proyecto Enfoque metodolgico de auditora a las tecnologas de
informacin y comunicacin sobre la base del estndar COBIT 4.1 y la
norma ISO/IEC 27002:2005, tiene como objetivo entregar un marco
referencial para desarrollar auditoras orientadas a los procesos del
negocio, los sistemas de informacin y sus actividades de control.
El Proyecto est estructurado en cinco captulos.
El Captulo I, presenta los antecedentes generales, los antecedentes de la
organizacin y el objetivo general y especficos del proyecto.
En el Captulo II, se analizan los elementos de la auditora a las
tecnologas de informacin a travs de sus aspectos generales y del
anlisis de las tecnologas de informacin y comunicaciones.
El Captulo III, se presenta el estndar COBIT y la norma ISO/IEC 27002
En el Captulo IV, se aborda el enfoque metodolgico explicando los
objetivos metodolgicos, etapas, actividades y productos.
Finalmente, en el Captulo V, se exponen las conclusiones del proyecto.
CAPTULO I
1.1
los
que
necesitan
contar
con
una
metodologa
Objetivo general
CAPTULO II
2.
LAS
TECONOLOGAS
DE
INFORMACIN
COMUNICACIONES
3.1.
MARCO TERICO
la
auditora
de
las
tecnologas
de
informacin
11
diferencia
de
la
informacin
puramente
operativa,
que
fundamentales:
personas,
actividades,
datos,
redes
tecnologa.
Las personas engloban a los propietarios del sistema (entendiendo como
tales, a aquellas personas que patrocinan y promueven el desarrollo de los
sistemas de informacin), a los usuarios (directivos, ejecutivos medios,
jefes de equipo, personal administrativo), a los diseadores y a los
desarrolladores.
Los datos constituyen la materia prima empleada para crear informacin
til.
Dentro de las actividades, se incluyen los procesos que se llevan a cabo en
la organizacin y las actividades de procesamiento de datos y generacin
13
el
componente
redes,
se
analizan
la
descentralizacin
de
la
tambin
sistemas
que
permiten
el
manejo
de
15
tradicionales.
Por ltimo, los sistemas de informacin para ejecutivos, combinan buena
parte de las caractersticas de los sistemas anteriores, para servir de
ayuda a los directivos en el proceso de toma de decisin y seguimiento de
acciones.
3.3
COBIT 4.1
3.3.1 Definicin
COBIT es un acrnimo formado por las siglas derivadas de Control
Objetives for Information and Related Technology (Objetivos de Control
para la Informacin y Tecnologas Relacionadas).
Este conjunto de objetivos representa el producto de un proyecto de
investigacin desarrollado por la Information System Audit and Control
Fundation (ISACF) que fue publicado inicialmente en el ao de 1996.
Como su nombre lo indica, COBIT es un conjunto de objetivos de control
aplicables a un ambiente de tecnologas de informacin que lograron
definirse gracias a un trabajo de investigacin y bsqueda de consenso
entre la normatividad de distintos cuerpos colegiados, estndares tcnicos,
cdigos de conducta, prcticas y requerimientos de la industria y
requerimientos emergentes para industrias especficas (desde la banca
hasta la manufactura). Este extenso trabajo de investigacin realizado por
equipos de expertos de Amrica, Europa y Oceana, dio como resultado un
grupo estructurado de objetivos de control que al ser compatibles con las
principales normas a nivel internacional, cuenta con una aceptacin
implcita como un estndar global en trminos de control interno en
tecnologas de informacin.
3.3.2 Misin
La misin de COBIT es: investigar, desarrollar, publicar y promover un
17
Recursos
de TI
Procesos de
trabajo
Requerimientos
de negocio
Datos
Planeacin y Organizacin
Efectividad
Sistemas de Informacin
Adquisicin e Implementacin
Eficiencia
Tecnologa
Instalaciones
Recursos Humanos
Confidencialidad
Integridad y Disponibilidad
Confiabilidad de la Informacin
Cumplimiento Leyes y Regulacin
18
a) Recursos de TI
La clasificacin que propone COBIT sobre los recursos de tecnologa de
informacin es la siguiente:
informacin
interna
externa,
estructurada
no
de
informacin
(aplicaciones)
que
integran
tanto
de
base
de
datos,
equipos
de
redes
soporte
monitorear
los
sistemas
servicios
de
informacin.
b) Procesos de Trabajo
COBIT clasifica los procesos de trabajo en tres niveles jerrquicos,
dominios, procesos y actividades o tareas.
Los cuatro dominios definidos se estructuran de acuerdo con el esquema
que se utiliza para representar el ciclo de vida de administracin de
recursos:
19
2)
(dominio)
DS2.
(proceso)
2.3.
Objetivo de control: La
Gerencia
(actividad o tarea)
debe
definir
procedimientos
Requerimientos de calidad:
o Calidad.
21
o Costo.
o Prestacin de servicio.
Requerimientos de confianza:
o Efectividad y eficiencia de operaciones.
o Confiabilidad de la informacin.
o Cumplimiento de leyes y regulaciones.
contractuales
los
cuales
est
comprometida
la
REQUISITOS DE NEGOCIO
sistemas
Obtener
un
balance
oportunidades
en
ptimo
de
tecnologa
de
Definir
la
arquitectura
de
informacin
de informacin.
PO3.
Obtener
beneficio
de
la
tecnologa
relaciones
informacin.
PO5.
Asegurar
la
obtencin
de
fondos
Comunicar la direccin de la
gerencia
Asegurar
la
concientizacin
usuarios y su
de
los
entendimiento de las
aspiraciones de la direccin.
PO7.
Maximizar
las
contribuciones
del
externas
Observar
el
obligaciones
cumplimiento
legales,
regulatorias
de
y
contractuales.
PO9.
Evaluar riesgos
Asegurar
el
cumplimiento
objetivos
de
TI
la
de
respuesta
los
a
Establecer
prioridades
cumplir
23
Satisfacer
los
requerimientos
de
los
clientes de TI.
Identificar
soluciones
de
Asegurar
el
mejor
enfoque
para
automatizacin
aplicacin
tecnolgica
Asegurar
el
procedimientos
aplicaciones
uso
y
apropiado
de
las
de
las
soluciones
de
tecnologa existentes.
AI5. Instalar y acreditar sistemas de
informacin
Minimizar
la
probabilidad
interrupciones,
de
alteraciones
no
autorizadas y errores.
Asegurar
que
los
responsabilidades
de
roles
terceros
y
estn
satisfaciendo
los
requerimientos.
DS3. Administrar desempeo y capacidad
ptimo
uso
satisfacer
de
los
la
misma
para
requerimientos
de
desempeo.
DS4. Asegurar continuidad de servicio
Contar
acuerdo
con
servicios
con
los
disponibles
requerimientos
de
y
24
Asegurar
que
los
usuarios
estn
conscientes
de
los
riesgos
responsabilidades involucradas.
DS8. Apoyar y orientar a clientes
Asegurar
que
cualquier
experimentado
por
los
problema
usuarios
es
manejado apropiadamente.
DS9. Administrar la configuracin
alteraciones
no
autorizadas,
incidentes
resueltos
investigadas
que
para
las
causas
prevenir
son
cualquier
ocurrencia futura.
DS11. Administrar la informacin
actualizacin
almacenamiento.
DS12. Administrar las instalaciones
Proporcionar
una
ubicacin
fsica
contra
riesgos
naturales
MONITOREO (M)
M1.
Monitorear el proceso
Asegurar
el
objetivos
de
cumplimiento
desempeo
de
los
establecidos
interno
interno
establecidos
para
los
procesos de TI.
M3.
Obtener aseguramiento
independiente
M4.
25
entre
la
organizacin,
clientes
proveedores.
3.4
ISO/IEC 27002:2005
La poltica de seguridad
Organizacin para la seguridad de la informacin
Gestin de activos de informacin
Seguridad del personal
Seguridad fsica y ambiental
Gestin de comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de sistemas
Gestin de incidentes de la seguridad de la informacin
Gestin de la continuidad del negocio
Cumplimiento
26
CAPTULO IV
ENFOQUE METODOLGICO
El enfoque metodolgico propuesto integra el conocimiento aportado por
las organizaciones que lideran el desarrollo de los estndares y mejores
prcticas en el mbito de las tecnologas de la informacin reconocidas a
nivel
internacional,
entregando
un
marco
referencial
para
realizar
METODOLOGA
27
ACTIVIDADES QUE SE
METODOLOGA
N
DESCRIPCION
Plan de auditora
preliminar
PRODUCTOS DE LA ETAPA
EJECUTAN
generales.
Conformar
el
grupo
de
trabajo
que
realizar la auditora.
auditora.
Comprensin de
la organizacin,
procesos de
negocio y
sistemas
actual
organizacin,
caractersticas
infraestructura,
de
la
recursos
sistemas
de
informacin
que
los
soportan.
con
de
definicin
negocio
de
los
diagramas
descriptivos.
Ficha
tcnica
de
los
sistemas
de
de negocio.
negocio.
Realizar ficha tcnica de los sistemas de
informacin que soportan los procesos de
negocio.
Definicin del
programa y
alcance de la
auditora
Seleccionar
control
los
objetivos
de
sistemas de informacin.
Elaborar
el
programa
auditora
detallado.
28
Evaluacin del
sistema de
control interno
Identificar
controles
documentar
los
sistemas de informacin.
informacin.
documentar
los
controles
deficientes.
Definicin y
diseo de las
pruebas de
auditora
negocio
sistemas
agrupados
por
tcnicas de verificacin.
para
de cumplimiento.
Diseo detallado de las pruebas de
cumplimiento
datos
clave
de
los
procesos y sistemas.
segn
tcnicas
de
verificacin.
Definicin del alcance de las pruebas
sustantivas.
Diseo
detallado
de
las
pruebas
sustantivas.
Ejecucin de las
pruebas de
auditora
Evaluacin de los
resultados
obtenidos en las
pruebas de
auditora
Ejecutar
pruebas
sustantivas
de
cumplimiento
tcnicas
de
asistidas
por
utilizando
verificacin
manuales
computador.
Evaluar
los
resultados
de
las
pruebas
efectuadas.
auditora
para
pruebas
de
cumplimiento y sustantivas.
Conclusiones
de
los
resultados
obtenidos.
Elaboracin del
informe con los
resultados de la
auditora
Documento
el
anlisis
de
las
generales
especficas de la auditora.
Elaborar
con
aprobar
informe
final
de
auditora.
de
auditora
observaciones
organizadas
con
y
referenciadas adecuadamente.
Seguimiento a
las
observaciones de
auditora
seguimiento
en
Listado
fechas
programadas.
Analizar
Programa de seguimiento.
con
el
resultado
del
evaluar
resultados
del
seguimiento.
Elaborar y aprobar informe de seguimiento.
Emitir informe de seguimiento.
29
4.2
Objetivos de la auditora
30
satisfacer
los
objetivos
propuestos,
es
necesario
definir
las
NIVEL DE
HORAS
RESPONSABILIDAD
ASIGNADAS
Supervisor
72
Auditor a cargo
96
Auditores en terreno
312
ETAPAS DE LA
HORAS ESTIMADAS
METODOLOGIA
1
2
3
40
80
40
120
80
31
pruebas
6
7
8
40
40
pruebas
Elaboracin informe con los
40
resultados
obtenida en
esta etapa se
organiza en un
(instalaciones
de
procesamiento,
infraestructura,
personal,
32
Estructura organizacional
Dependencias de la organizacin
trabajo
de
la
auditora, el archivo
permanente
de
auditora,
proporcionndoles
informacin
que
sirva
de
Estrategia y direccin
2.
Organizacin general
3.
4.
5.
Procedimientos de operaciones
6.
7.
8.
9.
36
ISO/IEC 27002
ISO/IEC 27002
37
ISO/IEC 27002
11.1.1 Polticas de control de acceso
ISO/IEC 27002
10.1.4 Separacin de los entornos de desarrollo,
pruebas y produccin
38
ISO/IEC 27002
10.1.1 Procedimientos operativos documentados
10.1.4 Separacin de los entornos de desarrollo,
pruebas y produccin
10.2.1 Entrega de servicios
10.2.2 Monitoreo y revisin de los servicios de terceros
10.2.3 Gestin de cambios a los servicios de terceros
10.3.1 Gestin de la Capacidad
10.5.1 Respaldo de la informacin
10.7.2 Eliminacin de medios de almacenamiento
10.10.2 Monitoreo del uso de los sistemas
10.10.4 Logs de administrador y de operador
10.10.5 Logs de errores
ISO/IEC 27002
ISO/IEC 27002
39
ISO/IEC 27002
9.-
PLANIFICACIN
DE
LA
CONTINUIDAD
DEL
NEGOCIO
RECUPERACIN DE DESASTRES
OBJETIVOS DE CONTROL APLICABLES
COBIT
DS4.1 Marco de trabajo de continuidad de TI
ISO/IEC 27002
6.1.6 Relacin con las autoridades
6.1.7 Relacin con grupos de inters especial
14.1.1 Incluir la seguridad de informacin en el
proceso de gestin de continuidad del negocio
14.1.4 Marco de planificacin de continuidad del
negocio
14.1.3
Desarrollar
e
implementar
planes
de
continuidad que incluyan la seguridad de la
informacin
14.1.2 Continuidad del negocio y evaluacin de riesgos
14.1.5 Pruebas, mantenimiento y revaluacin de los
planes de continuidad del negocio
14.1.3 Mantener o restaurar operaciones para
asegurar la disponibilidad de la informacin
10.5.1 Respaldo de la informacin
14.1.5 Pruebas, mantenimiento y revaluacin de los
planes de continuidad del negocio
40
ISO/IEC 27002
11.4.1 Polticas de uso de los servicios de red
11.4.3 identificacin de equipos en redes
de la configuracin
ISO/IEC 27002
ISO/IEC 27002
12.6.1 Control de vulnerabilidades tcnicas
13.1.1 Reporte eventos de seguridad de informacin
13.1.2 Reporte de debilidades de seguridad de
informacin
13.2.1 Responsabilidades y procedimientos
41
4.3
evaluacin
del
sistema
de
control
interno
produce
resultados
42
auditor
identifica
soporta
debilidades
oportunidades
de
de
este
levantamiento
de
controles,
generalmente
son
43
utilizando
dos
rangos
de
valoracin:
satisfactoria
insatisfactoria.
4.3.4 Evaluar la satisfaccin de los objetivos de control
Al terminar el levantamiento de los controles de los procesos de negocios y
sistemas de informacin que los soportan, se procede a evaluar la
satisfaccin de los objetivos de control identificados en la etapa anterior.
Para este fin es necesario ejecutar las siguientes actividades:
1) Consultar la lista de los controles levantados indicando sus atributos
(tipo y clase)
2) Distribuir los controles existentes entre los objetivos de control COBIT e
ISO 27002. Para este fin el auditor aplica su experiencia y criterio
profesional para determinar la aplicabilidad de los controles a cada
objetivo de control. Esto requiere del anlisis cuidadoso del auditor
3) Evaluar el grado de satisfaccin que ofrecen los controles asignados a
cada objetivo de control
4) Resumir la evaluacin de satisfaccin de los objetivos de control
45
46
como
se
previ.
Estas
se
denominan
pruebas
de
cumplimiento.
solamente
una
muestra
de
controles
seleccionados
calidad,
seguridad,
cumplimiento
con
aspectos
legales
47
controles
claves
son
aquellos
que,
juicio
del
auditor,
son
de
controles
automatizados
otra
muestra
de
controles
manuales.
4.3.8 Agrupamiento de controles por tcnica de comprobacin
Este
mtodo
consiste
en
asignar
individualmente
las
tcnicas
de
los
controles
clave
verificar
por
tcnica
de
comprobacin asignada
Realizar el agrupamiento de controles que utilicen la misma tcnica de
comprobacin.
Al agrupar globalmente los controles por tcnica de comprobacin se debe
tener presente que una misma tcnica puede ser utilizada para verificar
controles de distintos procesos de negocio o sistemas de informacin.
c) Definir el alcance de las pruebas por tcnica de comprobacin
El alcance de cada tcnica de comprobacin se puede definir globalmente
para todo el proceso de negocio y sistema de informacin que lo soporta,
el que incluye los siguientes aspectos a considerar:
diseo
detallado
implica
determinar
los
recursos
necesarios
del
negocio
objeto
de
la
auditora.
Esta
informacin
a utilizar. En este caso, debe considerarse que una misma tcnica puede
ser utilizada para verificar varios datos claves.
b) Definir
el
alcance
de
las
pruebas
por
cada
tcnica
de
comprobacin
El alcance de cada tcnica de comprobacin se define de la siguiente
forma:
diseo
detallado
implica
determinar
los
recursos
necesarios
53
4.3.12
Los auditores pueden utilizar diferentes mtodos para revisar los controles
de las aplicaciones en funcionamiento y las operaciones en el centro de
servicios informticos. A continuacin se describe en qu consiste cada
tcnica o herramienta.
a) Tcnicas para probar los controles en los sistemas
Operacin paralela
Simulacin paralela
Snapshot
Registros extendidos
54
propsito
de
evaluar
los
controles,
verificar
la
exactitud
del
ser
rechazadas
no
lo
fueron
donde
condiciones
de
55
por
el
auditor
con
resultados
esperados,
preparados
Los
datos
se
convierten
(graban)
medios
utilizables
por
el
el auditor.
Insertar
caracteres
en
campos
que
causen
condiciones
de
desbordamiento
Los archivos que se van a probar, deben ser copiados como archivos
especiales de trabajo con el fin de permitir todo tipo de pruebas.
5) Ventajas y desventajas de los datos de prueba
Ventajas:
o Su uso puede limitarse a funciones especficas del programa,
minimizando el alcance de la prueba y su complejidad
o Es una buena herramienta de aprendizaje para los auditores porque
su uso requiere mnimos conocimientos de informtica
o No se requiere que el auditor tenga grandes conocimientos tcnicos
o Tiene
buena
aplicacin
donde
son
pocas
las
variaciones
combinaciones de transacciones
o Da una evaluacin y verificacin objetiva de los controles de
programa y de otras operaciones que seran impracticables por otros
medios
o Los datos de prueba se podran correr sorpresivamente para
descubrir la posible modificacin de programas sin autorizacin e
58
Desventajas:
o Se requiere bastante cantidad de tiempo y esfuerzo para preparar y
mantener un lote de datos de prueba representativo. Cualquier
cambio en programas, diseo de registros y sistema implican
cambiar los datos de prueba
o En algunos casos el auditor puede no probar el sistema que
realmente est en produccin
o En un sistema complejo con gran variedad de transacciones es difcil
anticipar todas las condiciones significativas y las variables que
deberan probarse
o El auditor debe estar bastante relacionado con la lgica de
programacin que est probando
o La prueba en si misma no detecta todos los errores. Cuando los
programas son muy complejos, pueden existir infinidad de rutas y es
muy difcil seguirlas todas
o Hay una probabilidad muy alta que los datos de prueba no detecten
manipulaciones inadecuadas de una cuenta o cantidad especfica
Para transacciones:
o Crear transacciones para el primer registro del archivo
o Crear transacciones para el ltimo registro del archivo
o Crear transacciones para otros registros diferentes al primero y
ltimo del archivo
o Crear transacciones para un registro nuevo creado en la misma
corrida
o Crear transacciones para varios registros consecutivos
o Crear varios tipos de transacciones para un mismo registro
o Intentar crear transacciones para registros inexistentes que fueran
menores en secuencia que el menor registro existente, mayores en
secuencia
que
el
ltimo
registro
existente
entre
registros
Para fechas:
o Asegurarse que todos los campos de datos de fechas se han
actualizado correctamente.
o Crear fechas con meses 00 y 13, das 0 y 32 y un ao invlido
o Crear fechas que estn fuera de los intervalos de actualizacin.
Ejemplo en un perodo mensual, hacer intervalo de ms de 30 das
o Hacer dos corridas de actualizacin con la misma fecha
los
resultados
del
procesamiento
con
los
resultados
usada
por
transacciones
los
auditores
especficas
para
mediante
rastrear
programas
(localizar
de
el
paradero)
computador
para
ayuda
al
auditor
entender
los
pasos
de
aplicacin
asociados,
incluyendo
la
elaboracin,
aprobacin
tcnicas
son usadas
posteriormente
al procesamiento
de
la
desventajas
asociadas
con
estos
programas
son
su
limitada
esta
clasificacin.
Se
utilizan
generalmente
para
supervisar
mdulos
de
auditora
integrados
en
los
sistemas
de
razones
de
error
por
transaccin,
seleccionando
sin
requerir
modificaciones
del
software
del
sistema
de
69
todos
los
datos
significativos
que
han
afectado
el
71
2. Para
cada
control
verificado
con
resultado
insatisfactorio,
73
la
alta
direccin
los
dems
interesados,
las
de
los
informes
con
los
resultados
de
la
auditora
Los informes tienen como objetivo comunicar al servicio sobre el resultado
de la auditora, que ste conteste cada una de las observaciones con los
antecedentes pertinentes y posteriormente se elabore y enve el informe
final con las conclusiones de la auditora.
4.4.2 Estructura y contenido de los informes
El
objetivo
del
informe
preliminar
es
comunicar
al
servicio
las
9.
Tienen
sentido
los
ttulos
utilizados
para
encabezar
las
observaciones?
10. El informe cumple con las expectativas de la jefatura?
11. Existe claridad en los beneficios para los auditados que justifican la
incorporacin de las observaciones de control interno especificadas en
el informe final?
12. El informe se emite oportunamente de modo que el mximo
beneficio pueda obtenerse de l?
Las observaciones y puntos mejorables debern incluir exclusivamente
aspectos que sean importantes, de beneficio para el servicio y factibles de
76
Se escribe en infinitivo
El programa de auditora
La extensin de la documentacin
de
las
78
apropiada
retencin
de
la
documentacin
que
soporta
Observacin
Observaciones
corregidas,
pendientes
de
implementar
no
implementadas.
80
CAPTULO V
CONCLUSIONES
Las
auditoras
realizadas
las
utilizando
tecnologas
la
de
metodologa
informacin
expuesta
en
comunicaciones
este
trabajo
de
81
BIBLIOGRAFA
82