Auditora de Sistemas de Informacin

Luis Otake

Pg. 1

Cuaderno de trabajo de Auditora de Sistemas de Informacin Autor Luis Otake Chiclayo, 2012 Escuela de Ing. De Sistemas y Computacin Facultad de Ingeniera Universidad Catlica Santo Toribio de Mogrovejo

Copyright 2012, by the Contributing Authors. Esta obra se publica bajo una Creative Commons License. Cuaderno de trabajo elaborado para la Escuela de Ing. De Sistemas y Computacin. Facultad de Ingeniera. Universidad Catlica Santo Toribio de Mogrovejo - USAT is licensed under a Creative Commons Reconocimiento-NoComercialCompartir Igual 3.0 Unported License.

Pg. 2

PRESENTACIN

El presente trabajo pretende ser una gua para el desarrollo de la asignatura de Auditora de Sistemas de Informacin.

Se ha tratado de incluir los aspectos bsicos de la especialidad, a fin de que el estudiante pueda conocer y aplicar los conocimientos en el mbito de la Auditora, Control interno y Aseguramiento de las tecnologas de la informacin.

Pg. 3

NDICE

NDICE DE FIGURAS ................................................................................................... 7 NDICE DE TABLAS ..................................................................................................... 8 LISTA DE SMBOLOS Y ABREVIATURAS ................................................................... 9 INTRODUCCIN ........................................................................................................ 10 EL PROCESO DE AUDITORA DE SISTEMAS DE INFORMACIN .......................... 11 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. Conceptos previos ........................................................................................ 11 Definicin de Auditora de Sistemas de Informacin ..................................... 13 Objetivos de la Auditora de Sistemas de Informacin .................................. 13 El Proceso de Auditora ................................................................................ 13 Tiempos en el Proceso ................................................................................. 14 mbito de Actuacin ..................................................................................... 14 Chief Audit Executive (CAE) ......................................................................... 20

ESTNDARES Y DIRECTRICES DE AUDITORA DE SISTEMAS DE INFORMACIN ................................................................................................................................... 21 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. Marco general de normas de ISACA para la auditora de SI ......................... 21 Relacin entre normas, directrices y procedimientos .................................... 21 Cdigo de tica profesional (ISACA)............................................................. 21 Estndares de Auditora ............................................................................... 22 Directrices de Auditora................................................................................. 23 Herramientas y tcnicas ............................................................................... 24

ANLISIS DE RIESGOS DE TECNOLOGAS DE LA INFORMACIN ....................... 26 3.1. 3.2. 3.3. 3.4. 3.5. 3.6. Anlisis de Riesgos ...................................................................................... 26 Marco referencial del Anlisis de Riesgo ...................................................... 26 Marco de riesgos de TI ................................................................................. 27 Riesgos de TI ............................................................................................... 27 Categoras de los riesgos de TI .................................................................... 27 Apetito de riesgo ........................................................................................... 28

CONTROL INTERNO INFORMTICO ........................................................................ 29 4.1. 4.2. 4.3. Control Interno .............................................................................................. 29 Control Interno Informtico o de TI................................................................ 30 Objetivo de control interno informtico o de TI .............................................. 31

EL MARCO REFERENCIAL DE COBIT ...................................................................... 34

Pg. 4

5.1. 5.2. 5.3. 5.4. 5.5. 5.6. 5.7. 5.9.

La misin de COBIT ..................................................................................... 34 Definicin y caractersticas de COBIT ........................................................... 34 Planear y Organizar (PO) ............................................................................. 40 Adquirir e Implementar (AI) ........................................................................... 40 Entregar y Dar Soporte (DS) ......................................................................... 41 Monitorear y Evaluar (ME) ............................................................................ 41 Objetivos de control ...................................................................................... 41 Modelos de madurez .................................................................................... 46

REALIZACIN DE UNA AUDITORA DE SISTEMAS DE INFORMACIN ................. 49 6.1. 6.2. 6.3. 6.4. 6.5. 6.6. Metodologa para realizar Auditora de SI ..................................................... 49 El Proceso de Auditora ................................................................................ 52 Requerimientos del Proceso de Auditora ..................................................... 52 Directriz general de Auditora ........................................................................ 54 Pruebas de cumplimiento vs. Pruebas sustantivas ....................................... 55 Evidencia ...................................................................................................... 55

AUTOEVALUACIN DE CONTROL (CSA) ................................................................ 57 7.1. 7.2. 7.3. 7.4. 7.5. Definicin ...................................................................................................... 57 Objetivos del CSA......................................................................................... 57 Beneficios del CSA ....................................................................................... 57 Desventajas del CSA .................................................................................... 58 El rol del auditor en el CSA ........................................................................... 58

DOCUMENTACIN DE LA AUDITORA DE SISTEMAS DE INFORMACIN ............ 59 8.1. 8.2. 8.3. Contenido de la Documentacin ................................................................... 59 Propuesta para integrar los papeles de trabajo ............................................. 60 El formato de la documentacin .................................................................... 60

EL INFORME DE AUDITORA .................................................................................... 62 9.1. 9.2. 9.3. Definicin de Informe .................................................................................... 62 Estructura del Informe................................................................................... 62 Ejemplo de la estructura de un Informe de Auditora..................................... 62

GOBIERNO Y GESTIN DE TECNOLOGAS DE LA INFORMACIN....................... 66 9.1. 9.2. 9.3. 9.4. 9.5. 9.6. Gobierno Corporativo.................................................................................... 66 Gobierno de TI .............................................................................................. 66 reas de enfoque del gobierno de TI ............................................................ 68 Marcos de gobierno de TI ............................................................................. 68 El rol de la auditora en el gobierno de TI...................................................... 69 Auditora a la estructura e implementacin del Gobierno de TI ..................... 70

Pg. 5

9.7. 9.8. 9.9. 9.10. 9.11.

Revisin de compromisos contractuales ....................................................... 71 Planeacin de continuidad del negocio (BCP) .............................................. 71 Planeacin de continuidad del negocio de SI ................................................ 72 Elementos de un BCP ............................................................................... 72 Auditora al Plan de Continuidad del Negocio............................................ 72

ADQUISICIN, DESARROLLO E IMPLEMENTACIN DE SISTEMAS DE INFORMACIN .......................................................................................................... 74 11.1. 11.2. Auditora de los controles de aplicacin .................................................... 74 Auditora de desarrollo, adquisicin y mantenimiento de sistemas ............ 74

OPERACIONES, MANTENIMIENTO Y SOPORTE DE SISTEMAS DE INFORMACIN ................................................................................................................................... 82 12.1. Auditora de la Infraestructura y de las Operaciones ................................. 82

PROTECCIN DE LOS ACTIVOS DE INFORMACIN ............................................. 91 13.1. 13.2. 13.3. Auditora de acceso lgico ........................................................................ 91 Auditora a la seguridad de infraestructura de red ..................................... 91 Auditora a los controles ambientales ........................................................ 92

REFERENCIAS BIBLIOGRFICAS ............................................................................ 93

Pg. 6

NDICE DE FIGURAS

Figura 1: Marco referencial del anlisis de riesgo [8] Figura 2: Clasificacin de los riesgos de TI [9] Figura 3: La jerarqua de los controles de TI [10] Figura 4: Relacin entre recursos de TI y entrega de servicios [8] Figura 6: Relacin entre procesos de negocio, informacin y recursos de TI [8] Figura 6: Dominios, procesos y actividades [8] Figura 7: El Cubo de COBIT [11] Figura 8: Los cuatro dominios interrelacionados de COBIT [11] Figura 9: Organizacin y navegacin de los objetivos de control de TI [8] Figura 10: Fronteras de los controles de negocio, generales de TI y de aplicacin [11] Figura 11: Representacin grfica de los modelos de madurez [11] Figura 12: El proceso de control [8] Figura 13: Directriz general de Auditora [8] Figura 14: Gobierno Corporativo [8] Figura 15: Gobierno de TI [8] Figura 16: reas de enfoque del gobierno de TI [11]

27 28 31 37 38 38 39 39 44 45 46 47 55 66 67 68

Pg. 7

NDICE DE TABLAS

Tabla 1: Distribucin de tiempos en el proceso de auditora [6] ............................................... 14 Tabla 2: Clasificaciones de control [7] ..................................................................................... 29 Tabla 3: Requerimientos del proceso de auditora [8] .............................................................. 53

Pg. 8

LISTA DE SMBOLOS Y ABREVIATURAS

SI: Sistema de informacin TI: Tecnologa de la informacin ISACA: Asociacin de Auditora y Control de Sistemas de Informacin IIA: Instituto de Auditores Internos ISO: Organizacin Internacional para la Estandarizacin BIA: Anlisis del impacto del negocio BCP: Plan de continuidad del negocio DRP: Plan de recuperacin de desastres RPO: Punto de recuperacin objetivo RTO: Tiempo de recuperacin objetivo HW: Hardware SW: Software CAE: Chief Audit Executive ITIL: Biblioteca de Infraestructura de TI EAM: Mdulo integrado de auditora RFP: Solicitud de propuesta RFC: Solicitud de cambio UAT: Prueba de aceptacin de usuario UPS: Suministro ininterrumpido de alimentacin

Pg. 9

INTRODUCCIN

No cabe duda que los sistemas y tecnologas de la informacin (SI/TI) se han convertido en recursos indispensables para las organizaciones hoy en da. Muchas empresas e instituciones requieren del uso de los recursos computacionales para mejorar y optimizar sus procesos de negocio. En la medida que se incrementa el uso de dichos recursos se incrementan tambin los problemas. Una manera de disminuir los riesgos generados a partir de los problemas suscitados por el uso de SI/TI, sobre todo por su uso intensivo, es mediante la revisin tcnica y detallada de SI/TI. Esta revisin se traduce en un proceso denominado Auditora de Sistemas de Informacin o Auditora Informtica.

El presente documento pretende ser una gua para el estudiante de la asignatura de Auditora de Sistemas de Informacin o similar. Se ha recopilado informacin de fuentes importantes y destacadas en la especialidad, y se han tomado referencias de instituciones mundialmente reconocidas en el campo como ISACA (Asociacin de Auditora y Control de Sistemas de Informacin) e IIA (Instituto e Auditores Internos).

Pg. 10

CAPTULO I EL PROCESO DE AUDITORA DE SISTEMAS DE INFORMACIN

En este captulo inicial del documento se tratan los conceptos iniciales e importantes, y las caractersticas relevantes acerca del proceso de auditora de SI. Es necesario revisar este captulo primero para tener una nocin ms clara de los aspectos bsicos de la auditora de SI. 1.1. Conceptos previos

Los trminos utilizados en el mbito informtico suelen ser muy confusos inicialmente. Es por ello que en esta primera parte nos centraremos en despejar las dudas referentes a ciertos conceptos, los cuales nos permitirn aprovechar mucho mejor el presente trabajo. 1.1.1. Sistema

La Real Academia de la Lengua Espaola define Sistema como [1]: Conjunto de reglas o principios sobre una materia racionalmente enlazados entre s. Conjunto de cosas que relacionadas entre s ordenadamente

contribuyen a determinado objeto.

La definicin de Sistema es entonces muy genrica y amplia.

1.1.2. Informacin La informacin es un recurso muy importante para las personas y las organizaciones, pero no toda informacin es til [2]. Analice el siguiente relato [2]:

Dos personas que viajan en un globo aerosttico encuentran viento inesperado que los saca de su ruta. Cuando consiguen descender le preguntan a un granjero: Dnde estamos? y el granjero contesta: Sobre mi sembrado! Los viajeros se miran entre s y uno exclama: Vaya informacin, muy precisa

Pg. 11

y totalmente intil! Para ser til, la informacin debe ser relevante, completa, precisa y actual.

1.1.3. Sistema de Informacin (SI) y Sistema Informtico Un sistema de informacin est formado por todos los componentes que colaboran para procesar los datos y producir informacin [2].

En una organizacin, un sistema de informacin est formado por los datos, el hardware, el software, las telecomunicaciones, las personas y los procedimientos. Por ello, un sistema de informacin se ha vuelto un sinnimo de un sistema de informacin basado en computadoras [2] o llamado tambin sistema informtico. 1.1.4. Tecnologa de la Informacin (TI) La tecnologa de la informacin (TI) est conformada por: hardware, software y comunicaciones. 1.1.5. Informtica La Real Academia de la Lengua Espaola define Informtica como un conjunto de conocimientos cientficos y tcnicas que hacen posible el tratamiento automtico de la informacin por medio de ordenadores [1]. 1.1.6. Hardware Son los componentes fsicos de la computadora [2]. 1.1.7. Software Es una serie de instrucciones para que una computadora ejecute uno o varios procesos, como mostrar textos, manipular nmeros, copiar o eliminar documentos [2]. Son programas de computadora y la documentacin asociada y se pueden desarrollar para algn cliente en particular o para un mercado general [3].

Existen dos tipos de software [2]:

Pg. 12

Software de aplicaciones: Permite a los usuarios concretar una aplicacin o tarea especfica, como el procesamiento de textos, el anlisis de inversiones, la manipulacin de datos o la administracin de proyectos.

Software del sistema: Permite la operacin del software de aplicaciones de una computadora, y administra la interaccin entre la CPU, la memoria, el almacenamiento, los dispositivos de entrada/salida y otros componentes de la computadora.

1.2.

Definicin de Auditora de Sistemas de Informacin

La Auditora de SI o Auditora Informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos [4].

Para Muoz Razo [5]: Es la revisin tcnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e informacin utilizados en una empresa, sean individuales, compartidos y/o de redes, as como a sus instalaciones, telecomunicaciones, mobiliario, equipos perifricos y dems componentes. Dicha revisin se realiza de igual manera a la gestin informtica, el aprovechamiento de sus recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cmputo. 1.3. Objetivos de la Auditora de Sistemas de Informacin

Evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la informacin y la emisin oportuna de sus resultados en la institucin, incluyendo la evaluacin en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa. 1.4. El Proceso de Auditora

Las cinco tareas del proceso de auditora son:

Pg. 13

Desarrollar e implementar una estrategia de auditora de SI basada en los riesgos de la organizacin en cumplimiento con las normas, directrices y mejores prcticas de auditora de SI.

Planear auditoras especficas para validar que la TI y los sistemas de negocio estn protegidos y controlados. Llevar a cabo auditoras de conformidad con las normas, directrices y mejores prcticas de auditora de SI para lograr los objetivos planeados de auditora. Comunicar los problemas o situaciones que surjan, los riesgos potenciales y los resultados de la auditora a las partes interesadas clave. Asesorar sobre la implementacin de la gestin de riesgos y las prcticas de control dentro de la organizacin al tiempo que se mantiene la independencia.

1.5.

Tiempos en el Proceso

Estudiosos en el proceso de auditora proponen la siguiente estructura de tiempos en cada fase:

Tabla 1: Distribucin de tiempos en el proceso de auditora [6] Fase del proceso de auditora Planificacin Ejecucin Informacin (presentacin y documentacin) Tiempo a utilizar 1/3 1/3 1/3

1.6.

mbito de Actuacin

El papel de la auditora de SI es amplio y complejo; por lo tanto, encontramos muchos problemas asociados, los cuales pueden agruparse de la siguiente manera [6]: La funcin de anlisis de SI La funcin de diseo y construccin de SI La administracin y control de SI El entorno operativo de los SI La adaptacin e implementacin de TI La seguridad de la funcin informtica La gestin de la funcin informtica El procesamiento electrnico de los datos 1.6.1. Problemas asociados a la funcin de anlisis de SI

Pg. 14

Falta de integralidad entre las aplicaciones Informacin redundante Parque computarizado catico Rumbo indeterminado del Departamento de Informtica Aplicaciones que no soportan la misin de la empresa Ausencia de un plan estratgico de SI Identificacin de necesidades de informacin falsas Vida til de los SI cortos Necesidades de informacin insatisfechas Poca participacin de los usuarios Poca adaptabilidad a necesidades de informacin futuras Obsolescencia de la tecnologa Falta de poltica de mantenibilidad de los sistemas Improvisacin en el desarrollo de SI Presencia de desarrollos por usuarios finales Soluciones de informacin inmediatistas 1.6.2. Problemas asociados a la funcin de diseo y construccin de SI

Sistemas de difcil operacin por los usuarios Sistemas ineficaces Sistemas inseguros Sistemas de difcil mantenibilidad Sistemas que no satisfacen las necesidades de informacin de los usuarios Sistemas no confiables Sistemas no confidenciales Sistemas mal documentados Sistemas que no guardan el estndar del ndice de modificabilidad Sistemas que no guardan el estndar del ndice de comprensibilidad Sistemas que no guardan el estndar del ndice de testeabilidad Sistemas ineficientes Sistemas con la interfaz de usuario poco amigable Sistemas de vida til corta Sistemas sujetos a permanentes modificaciones

Pg. 15

Sistemas que no se alcanzan a implantar Sistemas que se dejan de utilizar una vez que se implantan Sistemas que no aprovechan la riqueza informtica de los datos por el mal empleo del procedimiento de normalizacin de entidades y rompimiento de las cardinalidades de muchos a muchos

Sistemas que no propician la integralidad con otros SI de la organizacin Sistemas que no facilitan la generacin de informacin estratgica para la organizacin Sistemas no adaptables a futuras necesidades de informacin Sistemas demasiados complejos en su modelamiento de datos Sistemas con redundancia de datos 1.6.3. Problemas asociados a la administracin y control de SI

Ausencia de polticas y objetivos corporativos Polticas de personal inadecuadas Inexistencia de un Plan Estratgico Corporativo Inexistencia de un Plan Estratgico de Sistemas y/o Tecnologa Informtica Falta de control de calidad Deficientes relaciones de los usuarios con el rea de TI Estructura organizacional y funcional demasiado jerrquica Recursos informticos obsoletos Inexistencia de un sistema de control interno Ausencia de indicadores de gestin Incoherencia entre los objetivos informticos y los objetivos corporativos Ausencia de manual de funciones y procedimientos Inexistencia de metodologas de desarrollo de SI Inexistencia de un Plan de Evaluacin de Control Interno Ausencia de un Comit de Sistemas Falta de metodologas para gerenciar proyectos de TI Compromiso gerencial escaso 1.6.4. Problemas asociados al entorno operativo de los SI

Falta de polticas, normas y procedimientos de operacin de los sistemas Falta de polticas, normas y procedimientos de mantenibilidad de los sistemas

Pg. 16

Falta de programacin y ejecucin en las tareas de operacin Inapropiada infraestructura locativa Inapropiada infraestructura elctrica Escasa infraestructura de hardware y software Obsoleta infraestructura de comunicaciones Deficiente infraestructura de respaldo de datos Ausencia de integralidad entre los sistemas Falta de registro de desempeo y trabajos realizados Ausencia de confiabilidad Inexistencia de segregacin de funciones La utilizacin incorrecta de los equipos y medios La no garanta de continuidad en el procesamiento electrnico de datos (PED) La no garanta de seguridad de los registros Falta de polticas de restricciones de acceso Inexistencia de un Plan de Contingencias Falta de polticas de backup Ausencia de convenios con otros centros de procesamiento de datos Inexistencia de programas de mantenimiento preventivo y correctivo Actualizacin del Plan de Contingencias Falta de simular el Plan de Contingencias Inexistencia de contratos con bancos o firmas de seguridad para guardar informacin procesada como de programas fuentes Falta de stock adecuado de partes y suministros de cmputo Presupuesto insuficiente 1.6.5. Problemas asociados a la adaptacin e implementacin de la TI

Inexistencia de planes de capacitacin en lnea. No tener implementado un sistema de soporte ejecutivo (SSE). No tener implementado un sistema para el soporte de decisiones (SSD). No tener recursos de software para realizar minera de datos (Data Mining). No tener implementado una bodega de datos (Data Warehouse). No poseer un sistema de control de gestin. No tener aplicativos orientados a la Web. Ausencia de polticas orientadas hacia el e-Commerce.

Pg. 17

Ausencia de polticas orientadas hacia soluciones ERP (Enterprise Resource Planning). La no implantacin de soluciones SCM (Supply Chain Management). La no implantacin de soluciones CRM (Customer Relationship Management). La no implantacin de soluciones BI (Business Intelligence). Carencia de la infraestructura de computacin y comunicacin para implantar el gobierno digital. Inexistencia del software y hardware para soportar grupos de trabajo (Groupware). Inexistencia del software y hardware para soportar el flujo de trabajo (Workflow). Inexistencia del software y hardware para soportar el sistema de atencin al cliente (SAC). Inexistencia de personal altamente capacitado. Inexistencia de equipos de trabajo de alto rendimiento. La falta de un rediseo estructural y funcional. Inexistencia de una plataforma computacional empresarial. Inexistencia de una plataforma computacional inter-empresarial. Ausencia de polticas orientadas hacia el comercio exterior. Ausencia de un gobierno integrado. Ausencia de un gobierno interconectado con otros. No tener implementado un sistema de informacin para trabajadores del conocimiento. 1.6.6. Problemas asociados a la seguridad de la funcin informtica

Ausencia de polticas de seguridad. Inexistencia de controles que eviten el acceso fsico. Inexistencia de controles que eviten el acceso lgico. Inapropiados controles de proteccin del hardware y el software. Ausencia de polticas de mantenimiento del hardware y el software. Vulnerabilidad en la transmisin de datos. Inexistencia de polticas de backup. La no existencia de planes de recuperacin. Inexistencia de polticas de generacin de passwords. La no tenencia del software para generar passwords proactivos.

Pg. 18

La no tenencia del software de encriptacin de la informacin. La ausencia del software y hardware que soporte la poltica del muro de fuego o firewall. La falta de polticas para la deteccin de intrusos. La no implementacin de registros de auditora por cada SI. La no existencia de la funcin de administrador de la base de datos. La no existencia de elementos de proteccin contra daos fsicos originados en la naturaleza como incendios, inundaciones, terremotos, u originadas por el hombre como asonadas y terrorismo.

1.6.7. Problemas asociados a la gestin de la funcin informtica

La existencia de diversas plataformas computacionales no integradas. La no existencia de un SI que soporte el nivel gerencial. La no existencia de un SI que soporte el nivel ejecutivo. La no existencia de un SI que soporte el nivel de los trabajadores del conocimiento. La falta de integralidad entre los diversos SI. La utilizacin poco eficaz de los recursos informticos. Estndares de productividad de los SI bajos. La no concordancia de los objetivos de los sistemas con los objetivos corporativos. La no aplicacin de modelos cibernticos a la funcin informtica. La no implantacin de soluciones empresariales integrales que faciliten administrar con eficiencia las operaciones de la empresa. La no implantacin de nuevas prcticas de hacer negocios. La no existencia de un sistema de control de gestin de la informacin. La no tenencia de herramientas de software y hardware para gestionar conocimiento. La no aplicacin de los paradigmas tecnolgicos de sistemas abiertos, interconexin, cliente/servidor, tiempo real, bodega de datos, modelos cibernticos, descubrimiento del conocimiento en bases de datos, momentos de la verdad1 y aplicativos Web.

El momento de la verdad es el preciso instante en que el cliente se pone en contacto con el servicio de una empresa y sobre la base de este contacto se forma una opinin acerca de la calidad del mismo.

Pg. 19

La no aplicacin de los paradigmas organizacionales de estandarizacin de procesos, emponderamiento, independencia del espacio y el tiempo, flexibilidad, reingeniera, inmediatez y/o oportunidad en la atencin al cliente, especializacin de habilidades, pertenencia, equipos de alto desempeo y novedosas relaciones exteriores. 1.6.8. Problemas asociados al procesamiento electrnico de los datos

La no estandarizacin de procedimientos de captura, entrada e introduccin de datos en el sistema. La no integralidad de los datos durante el procesamiento. La no documentacin de los errores de proceso. La falta de implementar bitcoras que registren todo el proceso. La falta de segregar funciones durante el procesamiento. La falta de pistas de auditora. La no normalizacin de la produccin y distribucin de las salidas del sistema. La falta de controlar el acceso a la base de datos. La falta de privacidad de los datos contenidos en la base de datos. La no utilizacin de una metodologa formal de desarrollo de SI. La realizacin de una deficiente modelacin conceptual durante la etapa de anlisis de sistemas. La definicin de un no buen modelo de datos durante la etapa de diseo de sistemas. La existencia de inapropiadas interfases de usuario. La no existencia de los manuales del sistema como del usuario. El no empleo de lenguajes estructurados u orientados a objetos durante la etapa de prototipado. La no realizacin de pruebas previas a la implantacin. La no normalizacin de los procedimientos de captura de datos en lnea. La no encriptacin de la informacin a transmitir. Chief Audit Executive (CAE)

1.7.

CAE es un ejecutivo independiente de alto nivel con la responsabilidad general de la Auditora Interna. Tambin es llamado Director de Auditora, Director de Auditora Interna, Auditor General, o Contralor General.

Pg. 20

CAPTULO II ESTNDARES Y DIRECTRICES DE AUDITORA DE SISTEMAS DE INFORMACIN

2.1.

Marco general de normas de ISACA para la auditora de SI

ISACA define tres conceptos importantes [7]: Normas: Definen los requisitos obligatorios para la auditora y para los reportes de auditora de SI Lineamientos (directrices): Brindan una gua para aplicar las normas. Determina cmo implementar las normas Procedimientos (herramientas y tcnicas): Ofrecen ejemplos de

procedimientos que debe seguir un auditor. Los documentos de procedimientos brindan informacin sobre la manera de cumplir con las normas cuando se est realizando un trabajo de auditora, pero no establecen requisitos 2.2. Relacin entre normas, directrices y procedimientos

Las normas o estndares deben ser cumplidas por el auditor de SI, mientras que los lineamientos proveen una gua sobre cmo puede el auditor implementar las normas en diversas tareas de auditora. Los procedimientos (herramientas y tcnicas) proveen ejemplos de pasos que puede realizar el auditor para implementar las normas en una tarea especfica de auditora.

El auditor debe hacer uso de su juicio profesional cuando use las directrices y los procedimientos. 2.3. Cdigo de tica profesional (ISACA)

El cdigo de tica profesional planteado por ISACA contiene siete aspectos importantes [7]:

1. Apoyar la implementacin y fomentar el cumplimiento de las normas, los procedimientos y los controles apropiados en los SI.

Pg. 21

2. Ejecutar sus labores con objetividad, diligencia y cuidado profesional, de conformidad con las normas y mejores prcticas profesionales. 3. Servir en el inters de las partes interesadas en una forma legal y honesta, y al mismo tiempo mantener altos estndares de conducta y de carcter, y no involucrarse en actos que puedan desacreditar la profesin. 4. Mantener la privacidad y la confidencialidad de la informacin obtenida en el curso de su funcin a menos que la autoridad legal requiera su revelacin. Dicha informacin no ser usada para beneficio personal ni ser revelada a terceros. 5. Mantener competencia en sus respectivos campos y comprometerse a emprender nicamente las actividades que se espera que puedan realizar con competencia profesional. 6. Informar a las personas adecuadas los resultados del trabajo realizado, revelando todos los hechos significativos de los que tengan conocimiento. 7. Apoyar la formacin profesional de las partes interesadas para mejorar su comprensin sobre seguridad y control de SI. 2.4. Estndares de Auditora

Los estndares aplicables a la auditora de SI son [7]: S1 Estatuto de Auditora S2 Independencia S3 tica Profesional y Estndares S4 Competencia Profesional S5 Planificacin S6 Ejecucin del Trabajo de Auditora S7 Reportes S8 Actividades de Seguimiento S9 Irregularidades y Actos Ilegales S10 Gobierno de TI S11 Uso de la Evaluacin de Riesgos en la Planificacin de Auditora S12 Materialidad de la Auditora S13 Uso del Trabajo de Otros Expertos S14 Evidencia de Auditora S15 Controles de TI S16 Comercio Electrnico

Pg. 22

2.5.

Directrices de Auditora

Las directrices de auditora son las siguientes [7]: G1 Uso del trabajo de otros auditores, con efecto a partir del 1 de marzo de 2008 G2 Requerimiento de Evidencia de Auditora, con efecto a partir del 1 de mayo de 2008 G3 Uso de Tcnicas de Auditora Asistidas por Computadora (CAATs), con efecto a partir del 1 de marzo de 2008 G4 Contratacin de servicios externos de actividades de SI para otras organizaciones, con efecto a partir del 1 de mayo de 2008 G5 Estatuto de Auditora, con efecto a partir del 1 de febrero de 2008 G6 Conceptos de materialidad para la Auditora de Sistemas de Informacin, con efecto a partir del 1 de mayo de 2008 G7 Debido Cuidado Profesional, con efecto a partir del 1 de marzo de 2008 G8 Documentacin de la Auditora, con efecto a partir del 1 de marzo de 2008 G9 Consideraciones de Auditora para Casos de Irregularidades, con efecto a partir del 1 de septiembre de 2008 G10 Muestreo de Auditora, con efecto a partir del 1 de agosto de 2008 G11 Efecto de los Controles Generales de SI, con efecto a partir del 1 de agosto de 2008 G12 Relacin organizacional e Independencia, con efecto a partir del 1 de agosto de 2008 G13 Uso de la Evaluacin de riesgos en la Planificacin de la Auditora, con efecto a partir del 1 de agosto de 2008 G14 Revisin de los Sistemas de Aplicacin, con efecto a partir del 1 de octubre de 2008 G15 Planificacin Revisada, con efecto a partir del 1 de mayo de 2010 G16 Efecto de Terceros en los Controles de TI de una Organizacin, con efecto a partir del 1 de marzo de 2009 G17 Efecto del Rol No Auditor sobre la Independencia del Auditor de SI, con efecto a partir del 1 de mayo de 2010 G18 Gobierno de TI, con efecto a partir del 1 de mayo de 2010 G19 Irregularidades y Actos Ilegales, Eliminada, 1 de septiembre de 2008 G20 Reportes, con efecto a partir del 1 de enero de 2003

Pg. 23

G21 Revisin de Sistemas de Planificacin de Recursos Empresariales (ERP), con efecto a partir del 1 de agosto de 2003 G22 Revisin del Comercio Electrnico Negocio-a-Consumidor (B2C), con efecto a partir del 1 de octubre de 2008 G23 Revisin del Ciclo de Vida de Desarrollo de Sistemas (SDLC), con efecto a partir del 1 de agosto de 2003 G24 Banca por Internet, con efecto a partir del 1 de agosto de 2003 G25 Revisin de Redes Privadas Virtuales, con efecto a partir del 1 de julio de 2004 G26 Revisin de Proyectos de Reingeniera de Procesos de Negocio (BPR), con efecto a partir del 1 de julio de 2004 G27 Computacin Mvil, con efecto a partir del 1 de septiembre de 2004 G28 Cmputo Forense, con efecto a partir del 1 de septiembre de 2004 G29 Revisin Posterior a la Implementacin, con efecto a partir del 1 de enero de 2005 G30 Competencia, con efecto a partir del 1 de junio de 2005 G31 Privacidad, con efecto a partir del 1 de junio de 2005 G32 Revisin del Plan de Continuidad del Negocio desde una perspectiva de TI, con efecto a partir del 1 de septiembre de 2005 G33 Consideraciones Generales sobre el Uso de Internet, con efecto a partir del 1 de marzo de 2006 G34 Responsabilidad, Autoridad y Rendicin de cuentas, con efecto a partir del 1 de marzo de 2006 G35 Actividades de seguimiento, con efectos a partir del 1 de marzo de 2006 G36 Controles Biomtricos, con efecto a partir del 1 de febrero de 2007 G37 Gestin de Configuracin, con efecto a partir del 1 de noviembre de 2007 G38 Control de Acceso, con efecto a partir del 1 de febrero de 2008 G39 Organizaciones de TI, con efecto a partir del 1 de mayo de 2008 G40 Revisin de Prcticas de Gestin de Seguridad, con efecto a partir del 1 de octubre de 2008 G41 Retorno sobre la inversin en seguridad (ROSI), efectiva a partir del 1 de mayo de 2010 G42 Aseguramiento continuo, efectiva a partir del 1 de mayo de 2010 Herramientas y tcnicas

2.6.

Pg. 24

Las herramientas y tcnicas son las siguientes: P1 Evaluacin de Riesgos de SI, con efecto a partir del 1 de julio de 2002 P2 Firmas Digitales, con efecto a partir del 1 de julio de 2002 P3 Deteccin de Intrusos, con efecto a partir del 1 de agosto de 2003 P4 Virus y Otros Cdigos Maliciosos, con efecto a partir del 1 de agosto de 2003 P5 Autoevaluacin de Control de Riesgos, con efecto a partir del 1 de agosto de 2003 P6 Cortafuegos (firewalls), con efecto a partir del 1 de agosto de 2003 P7 Irregularidades y Actos Ilegales, con efecto a partir del 1 de noviembre de 2003 P8 Evaluacin de la Seguridad Pruebas de Penetracin y Anlisis de

Vulnerabilidades, con efecto a partir del 1 de septiembre de 2004 P9 Evaluacin de los Controles de Gestin sobre las Metodologas de Encriptacin, con efecto a partir del 1 de enero de 2005 P10 Control de Cambios de Aplicacin del Negocio, con efecto a partir del 1 de octubre de 2006 P11 Transferencia Electrnica de Datos (EFT), con efecto a partir del 1 de mayo de 2007

Pg. 25

CAPTULO III ANLISIS DE RIESGOS DE TECNOLOGAS DE LA INFORMACIN

3.1.

Anlisis de Riesgos

Es parte de la planificacin de auditora y ayuda a identificar los riesgos y las vulnerabilidades para que el auditor de SI pueda determinar los controles necesarios para mitigar los riesgos [7].

Es importante que el auditor de SI tenga una comprensin clara de los siguientes aspectos [7]: El propsito y la naturaleza del negocio, el entorno en el que opera el negocio y los riesgos del negocio relacionados La dependencia en tecnologa y dependencias relacionadas que procesan y entregan informacin del negocio Los riesgos para el negocio que supone el uso de TI y de las dependencias relacionadas y cmo impactan en el logro de las metas y los objetivos del negocio Una buena visin general de los procesos del negocio y del impacto de TI y los riesgos relacionados en los objetivos de los procesos del negocio 3.2. Marco referencial del Anlisis de Riesgo

El modelo comienza a partir de la valoracin de los activos, que consiste en que la informacin tiene los criterios requeridos para ayudar a alcanzar los objetivos del negocio. El paso siguiente es el anlisis de vulnerabilidad, que trata acerca de la importancia de los criterios de informacin dentro del proceso bajo revisin. Luego se tratan las amenazas, es decir, aquello que puede provocar una vulnerabilidad. La probabilidad de amenaza, el grado de vulnerabilidad y la severidad del impacto se combinan para concluir acerca de la evaluacin del riesgo. Esto es seguido por la seleccin de controles (contramedidas) y una evaluacin de su eficacia, que tambin identifica el riesgo residual. La conclusin es un plan de accin [8].

Pg. 26

Figura 1: Marco referencial del anlisis de riesgo [8]

3.3.

Marco de riesgos de TI

El marco de riesgos de TI (IT Risk Framework) es un marco basado en un conjunto de principios y guas, procesos de negocio y directrices de gestin que se ajustan a estos principios [9]. Establece las mejores prcticas con el fin de establecer un marco para las organizaciones para identificar, gobernar y administrar los riesgos asociados al negocio. Este marco se complementa con COBIT.

El marco de riesgos de TI es utilizado para ayudar a implementar el gobierno de TI. 3.4. Riesgos de TI

Son un componente del universo de riesgos a los que est sometida una organizacin [9]. 3.5. Categoras de los riesgos de TI

Los riesgos de TI pueden clasificarse de diversas maneras (Figura 2):

El valor de los riesgos de TI permitidos: Asociado con las oportunidades no aprovechadas para mejorar la eficiencia o efectividad de los procesos de negocio, o la capacidad de soportar nuevas iniciativas, a travs del uso de la tecnologa.

Programas de TI y riesgos en las entregas de proyectos: Asociada a la contribucin de IT sobre nuevas soluciones de negocio, generalmente en forma de proyectos y programas.

Pg. 27

Operaciones de TI y riesgos en las entregas de servicios: Asociadas con todos los aspectos relacionados con los servicios y sistemas de TI, los cuales puede producir prdidas o reduccin del valor a la organizacin.

Figura 2: Clasificacin de los riesgos de TI [9]

3.6.

Apetito de riesgo

Es la cantidad de riesgo que una entidad est dispuesta a aceptar cuando trata de alcanzar sus objetivos. Se puede definir en la prctica en trminos de combinaciones de la frecuencia y la magnitud de un riesgo. El apetito de riesgo puede y ser diferente entre las organizaciones [9].

Pg. 28

CAPTULO IV CONTROL INTERNO INFORMTICO

El presente captulo intenta resumir y explicar uno de los conceptos ms importantes de la auditora de sistemas de informacin: el control interno informtico o de TI. Primero se explican las caractersticas del control interno y posteriormente las caractersticas del control interno de TI. 4.1. Control Interno

Control se define como las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que los eventos no deseables sern prevenidos o detectados y corregidos [8]. Esta definicin ha sido adaptada del reporte COSO (Committee of Sponsoring Organisations of the Treadway Commission. Internal Control-Integrated Framework, 1992). Los controles internos son implementados para reducir los riesgos para la organizacin, y operan en todos los niveles de dicha organizacin para mitigar su exposicin a riesgos que potencialmente podran impedirle alcanzar sus objetivos del negocio [7].

Existen dos aspectos clave que los controles deben atender [7]: qu debera lograrse y qu debera evitarse.

Los controles pueden ser: preventivos, detectivos o correctivos (Tabla 2).

Tabla 2: Clasificaciones de control [7] Clase Preventivos Funcin Detectan los problemas antes de que aparezcan. Monitorean tanto la operacin como las entradas. Intentan predecir los problemas potenciales antes de que ocurran y realizan ajustes. Evitan que ocurra un error, omisin o acto malicioso. Ejemplos Emplean slo personal calificado. Segregan funciones (factor disuasivo). Controlan el acceso a instalaciones fsicas. Utilizan documentos bien diseados (evita errores). Establecen procedimientos adecuados para la autorizacin de transacciones. Completan verificaciones de edicin programadas.

Pg. 29

Detectivos

Utilizan controles que detectan e informan la ocurrencia de un error, omisin o acto fraudulento.

Correctivos

Minimizar el impacto de una amenaza. Remediar problemas descubiertos por controles detectivos. Identificar la causa de un problema. Corregir errores que surgen de un problema. Modificar los sistemas de procesamiento para minimizar futuras ocurrencias del problema.

Utilizan software de control de acceso que permita que slo el personal autorizado tenga acceso a archivos sensibles. Utilizan software de encriptacin para evitar la divulgacin no autorizada de datos. Totales de comprobacin (hash totals). Puntos de verificacin en trabajos de produccin. Controles de eco en telecomunicaciones. Mensajes de error en etiquetas de cintas. Verificacin duplicada de clculos. Reporte de rendimiento peridico con variaciones. Informes de cuentas vencidas. Funciones de auditora interna. Revisin de registros (logs) de actividad para detectar intentos de acceso no autorizado. Planificacin de contingencia. Procedimientos de respaldo. Procedimientos de nueva ejecucin.

4.2.

Control Interno Informtico o de TI

El control interno informtico controla diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la Direccin de la Organizacin y/o Direccin de Informtica, as como los requerimientos legales [4]. Suele ser un rgano de staff o de apoyo de la Direccin del Departamento de Informtica. La misin del control de TI es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas [4].

Pg. 30

La jerarqua de los controles de TI (Figura 3) representa una lgica de arriba abajo. Los diferentes elementos de la jerarqua no son mutuamente excluyentes, sino que estn conectados y pueden entremezclarse [10]: Gobernabilidad: Polticas. Gestin: Estndares, Organizacin y Gestin, Controles Fsicos y del Entorno. Tcnico: Controles de Software de Sistemas, Controles de Desarrollo de Sistemas, Controles basados en Aplicacin.

Figura 3: La jerarqua de los controles de TI [10]

4.3.

Objetivo de control interno informtico o de TI

Es una sentencia del resultado o propsito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular [8]. Esta definicin ha sido adaptada del reporte SAC (Systems Auditability and Control Report, The Institute of Internal Auditors Research Foundation, 1991 y 1994).

Un objetivo de control se refiere a cmo debe funcionar un control interno [4].

Los objetivos de control de TI [11]: Proporcionan un conjunto completo de requerimientos de alto nivel a considerar por la gerencia para un control efectivo de cada proceso de TI.

Pg. 31

Son sentencias de acciones de gerencia para aumentar el valor o reducir el riesgo. Consisten en polticas, procedimientos, prcticas y estructuras

organizacionales. Estn diseadas para proporcionar un aseguramiento razonable de que los objetivos de negocio se conseguirn y que los eventos no deseables se prevendrn, detectarn y corregirn.

Los objetivos de control interno informtico pueden incluir [7]: La salvaguarda de activos. La informacin en los sistemas automatizados est protegida contra accesos inadecuados y se la mantiene actualizada. Asegurar la integridad de los ambientes de sistemas operativos en general, incluyendo las operaciones y gestin de la red. Asegurar la integridad de los ambientes de sistemas de aplicacin sensibles y crticos, incluyendo informacin contable/financiera y de gestin (objetivos de informacin) y de los datos del cliente a travs de: o o o Autorizacin para el ingreso de datos. Cada transaccin es autorizada e introducida una sola vez. Validacin de la entrada de datos. Cada dato ingresado es validado y no causar impacto negativo al procesamiento de las transacciones. Exactitud e integridad del procesamiento de transacciones. Todas las transacciones son registradas e ingresadas en la computadora en el perodo correcto. o o o Confiabilidad de las actividades de procesamiento de informacin en general. Exactitud, integridad y seguridad de la informacin de salida. Integridad, disponibilidad y confidencialidad de la base de datos.

Asegurar la identificacin y autenticacin apropiada de los usuarios de los recursos de SI (usuarios finales as como tambin soporte de infraestructura). Aseguramiento de la eficiencia y efectividad de las operaciones (objetivos operativos). Cumplimiento con los requerimientos de los usuarios, con las polticas y los procedimientos organizacionales, as como con las leyes y reglamentaciones aplicables (objetivos de cumplimiento).

Aseguramiento de la disponibilidad de los servicios de TI desarrollando planes de continuidad del negocio (BCP) y de recuperacin de desastres (DRP).

Pg. 32

Mejora de la proteccin de datos y sistemas desarrollando un plan de respuesta a incidentes. Aseguramiento de la integridad y confiabilidad de los sistemas implementando procedimientos efectivos de gestin de cambios.

La gerencia de la empresa necesita tomar decisiones relativas a estos objetivos de control para [11]: Seleccionar aquellos aplicables. Decidir aquellos que deben implementarse. Elegir como implementarlos (frecuencia, extensin, automatizacin, etc.) Aceptar el riesgo de no implementar aquellos que podran aplicar.

Pg. 33

CAPTULO V EL MARCO REFERENCIAL DE COBIT

COBIT es un marco de trabajo ampliamente usado para el aseguramiento de TI y para la auditora de SI. Por lo tanto, es muy importante conocer sus caractersticas ms relevantes. 5.1. La misin de COBIT

Investigar, desarrollar, hacer pblico y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopcin por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento. 5.2. Definicin y caractersticas de COBIT

COBIT proviene del ingls Control Objectives for Information and related Technology y se traduce como Objetivos de Control para la Informacin y Tecnologas Relacionadas. Es un conjunto completo de recursos que contiene toda la informacin que las organizaciones necesitan para adoptar un marco de trabajo de gobierno de TI y control [12]. Este marco de trabajo (framework) proporciona un modelo de procesos de referencia y un lenguaje comn para que todos en la empresa visualicen y administren las actividades de TI; para la medicin y monitoreo del desempeo de TI, comunicndose con los proveedores de servicios e integrando las mejores prcticas de administracin [11].

COBIT da soporte al gobierno de TI al brindar un marco de trabajo que garantiza que [11]: TI est alineada con el negocio TI habilita al negocio y maximiza los beneficios Los recursos de TI se usan de manera responsable Los riesgos de TI se administran apropiadamente

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados.

Pg. 34

COBIT contribuye a las necesidades de la empresa en [12]: Establecer una relacin mensurable entre los requerimientos del negocio y las metas de TI. Organizar las actividades de TI dentro de un modelo de procesos generalmente aceptado. Identificar los recursos principales de TI para ser aprovechados. Definir los objetivos de control de gestin a ser considerados. Proporcionar herramientas para la gestin: o o o Metas y mtricas (indicadores) de desempeo de TI permitido a ser medido. Modelos de madurez de la capacidad del proceso permitido como punto de referencia. Grficos de e responsable, informado rendicin (RACI) de para cuentas aclarar (accountable), los roles y

consultado

responsabilidades.

Los procesos de TI, requerimientos del negocio y objetivos de control de COBIT definen lo que hay que hacer para implementar una estructura de control efectiva para mejorar el rendimiento de TI y direccionar la solucin de TI y los riesgos de entrega de servicio [12]. El concepto fundamental de COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que deben ser administrados por procesos de TI [8].

Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos criterios a los que COBIT hace referencia como requerimientos de negocio para la informacin [5]: Requerimientos de calidad: Calidad Costo Entrega o Distribucin (de servicio)

Pg. 35

Requerimientos fiduciarios (COSO): Efectividad y eficiencia de las operaciones Confiabilidad de la informacin Cumplimiento de leyes y regulaciones

Requerimientos de seguridad: Confidencialidad Integridad Disponibilidad

A partir de lo anterior (requerimientos de Calidad, Fiduciarios y de Seguridad), COBIT extrae siete categoras distintas, ciertamente superpuestas [8], [11] : Efectividad: Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Eficiencia: Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. Confidencialidad: Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Integridad: Se refiere a la precisin y completitud de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad: Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que est sujeto el proceso del negocio, es decir, criterios de negocio impuestos externamente, as como polticas internas. Confiabilidad: Se refiere a proporcionar la informacin apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.

Los recursos de TI se definen de la siguiente manera [11]: Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan informacin.

Pg. 36

La informacin son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de informacin, en cualquier forma en que sean utilizados por el negocio.

La infraestructura es la tecnologa y las instalaciones (hardware, sistemas operativos, sistemas de administracin de base de datos, redes, multimedia, etc., as como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.

Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de informacin. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.

Una forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios se describe en la Figura 4:

Figura 4: Relacin entre recursos de TI y entrega de servicios [8]

Con el fin de asegurar que los requerimientos del negocio para la informacin se cumplan, es necesario definir, implementar y monitorear adecuadas medidas de control sobre esos recursos. Cmo pueden entonces las empresas estar satisfechas respecto a que la informacin obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de un sano marco referencial de Objetivos de Control para TI. La Figura 5 ilustra este concepto.

Pg. 37

Figura 5: Relacin entre procesos de negocio, informacin y recursos de TI [8]

Existen tres niveles de actividades de TI al considerar la administracin de sus recursos. En la base se encuentran las actividades y tareas necesarias para alcanzar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras que las tareas son consideradas ms discretas. Los procesos se definen como una serie de actividades o tareas conjuntas con cortes naturales (de control) [8]. En el nivel superior se encuentran los dominios, que se encargan de agrupar los procesos de manera natural.

Figura 6: Dominios, procesos y actividades [8]

Por lo tanto, COBIT puede ser enfocado desde tres puntos estratgicos (puntos de vista) diferentes: (1) requerimientos de negocio (criterios de informacin); (2) recursos

Pg. 38

de TI, y (3) procesos de TI. Los tres elementos forman el llamado Cubo de COBIT que se muestra a continuacin:

Figura 7: El Cubo de COBIT [11]

Figura 8: Los cuatro dominios interrelacionados de COBIT [11]

COBIT define las actividades de TI en un modelo genrico de procesos organizado en cuatro dominios. Estos dominios son [11]: Planear y Organizar (PO): Proporciona direccin para la entrega de soluciones (AI) y la entrega de servicio (DS). Adquirir e Implementar (AI): Proporciona las soluciones y las pasa para convertirlas en servicios.

Pg. 39

Entregar y Dar Soporte (DS): Recibe las soluciones y las hace utilizables por los usuarios finales. Monitorear y Evaluar (ME): Monitorea todos los procesos para asegurar que se sigue la direccin provista.

Los dominios se equiparan a las reas tradicionales de TI de planear, construir, ejecutar y monitorear. 5.3. Planear y Organizar (PO)

Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la realizacin de la visin estratgica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnolgica apropiada. Este dominio cubre los siguientes cuestionamientos tpicos de la gerencia: Estn alineadas las estrategias de TI y del negocio? La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio? 5.4. Adquirir e Implementar (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas as como implementadas e integradas en los procesos del negocio. Adems, el cambio y el mantenimiento de los sistemas existentes est cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia: Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto?

Pg. 40

Trabajarn

adecuadamente

los

nuevos

sistemas

una

vez

sean

implementados? Los cambios no afectarn a las operaciones actuales del negocio? Entregar y Dar Soporte (DS)

5.5.

Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operativos. Por lo general cubre las siguientes preguntas de la gerencia: Se estn entregando los servicios de TI de acuerdo con las prioridades del negocio? Estn optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Estn implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad? 5.6. Monitorear y Evaluar (ME)

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno. Por lo general abarca las siguientes preguntas de la gerencia: Se mide el desempeo de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeo de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeo? Objetivos de control

5.7.

Pg. 41

Cada uno de los procesos de TI de COBIT tiene un objetivo de control de alto nivel y varios objetivos de control detallados. Como un todo, representan las caractersticas de un proceso bien administrado.

Los objetivos de control detallados se identifican por dos caracteres que representan el dominio (PO, AI, DS y ME) ms un nmero de proceso y un nmero de objetivo de control. Adems de los objetivos de control detallados, cada proceso de TI tiene requerimientos de control genricos que se identifican con PCn, que significa Control de Proceso nmero. Se deben tomar como un todo junto con los objetivos de control del proceso para tener una visin completa de los requerimientos de control.

Los objetivos de control genrico son [11]: PC1 Metas y Objetivos del Proceso Definir y comunicar procesos, metas y objetivos especficos, medibles, accionables, reales, orientados a resultado y en tiempo (SMARRT) para la ejecucin efectiva de cada proceso de TI. Asegurando que estn enlazados a las metas de negocio y se soportan por mtricas adecuadas. PC2 Propiedad del Proceso Asignar un dueo para cada proceso de TI, y definir claramente los roles y responsabilidades del dueo del proceso. Incluye, por ejemplo, responsabilidad del diseo del proceso, interaccin con otros procesos, rendicin de cuentas de los resultados finales, medicin del desempeo del proceso y la identificacin de mejora de las oportunidades. PC3 Proceso Repetible Disear y establecer cada proceso clave de TI de tal manera que sea repetible y consecuentemente produzca los resultados esperados. Proveer una secuencia lgica pero flexible y escalable de actividades que lleve a los resultados deseados y que sea lo suficientemente gil para manejar las excepciones y emergencias. Usar procesos consistentes, cuando sea posible, y ajustarlos slo cuando no se pueda evitar. PC4 Roles y Responsabilidades Definir las actividades clave y entregables finales del proceso. Asignar y comunicar roles y responsabilidades no ambiguas para la ejecucin efectiva y eficiente de las

Pg. 42

actividades clave y su documentacin, as como la rendicin de cuentas para los entregables finales del proceso.

PC5 Polticas, Planes y Procedimientos Definir y comunicar cmo todas las polticas, planes y procedimientos que dirigen los procesos de TI estn documentados, y usados revisados, para el mantenidos, aprobados, Asignar

almacenados,

comunicados

entrenamiento.

responsabilidades para cada una de estas actividades y en momentos oportunos, revisar si se ejecutan correctamente. Asegurar que las polticas, planes y procedimientos son accesibles, correctos, entendidos y actualizados PC6 Desempeo del Proceso Identificar un conjunto de mtricas que proporcionen visin de las salidas y el desempeo del proceso. Establecer objetivos que se reflejen en las metas del proceso y los indicadores de desempeo de tal manera que permitan el logro de las metas de los procesos.

Definir como los datos son obtenidos. Comparar las medidas actuales con los objetivos y tomar las acciones sobre las desviaciones cuando sea necesario. Alinear mtricas, objetivos y mtodos con el enfoque de monitoreo global del desempeo de TI.

Cabe aclara que los objetivos de control no son necesariamente aplicables en todos los casos y en cualquier lugar; por lo tanto, se sugiere que se realice una evaluacin de riesgos de alto nivel para determinar sobre qu objetivos se necesita enfocarse especficamente y cules pueden ignorarse [8]. Asimismo, los objetivos de control de COBIT han sido definidos de forma genrica, por ejemplo, sin depender de la plataforma tcnica.

La Figura 9 muestra cmo estn organizados los objetivos de control de TI de COBIT.

Pg. 43

Figura 9: Organizacin y navegacin de los objetivos de control de TI [8]

5.8.

Controles generales de TI y Controles de Aplicacin [11]

COBIT asume que el diseo e implementacin de los controles de aplicacin automatizados son responsabilidad de TI, y estn cubiertos en el dominio de Adquirir e Implementar (AI), con base en los requerimientos de negocio definidos, usando los criterios de informacin de COBIT. La responsabilidad operativa de administrar y controlar los controles de aplicacin no es de TI, sino del dueo del proceso de negocio.

Por lo tanto, la responsabilidad de los controles de aplicacin es una responsabilidad conjunta, fin a fin, entre el negocio y TI, pero la naturaleza de la responsabilidad cambia de la siguiente manera:

La empresa es responsable de: o o Definir apropiadamente los requisitos funcionales y de control Usar adecuadamente los servicios automatizados

TI es responsable de: o Automatizar e implementar los requisitos de las funciones de negocio y de control

Pg. 44

Establecer controles para mantener la integridad de controles de aplicacin.

Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI, pero slo los aspectos de desarrollo de los controles de aplicacin; la responsabilidad de definir y el uso operativo es de la empresa.

Figura 10: Fronteras de los controles de negocio, generales de TI y de aplicacin [11]

La siguiente lista ofrece el conjunto recomendado de objetivos de control de aplicaciones. Identificados por ACn, de Control de Aplicacin nmero (por sus siglas en ingls) [11]:

AC1 Preparacin y Autorizacin de Informacin Fuente. Asegurar que los documentos fuente estn preparados por personal autorizado y calificado siguiendo los procedimientos establecidos, teniendo en cuenta una adecuada segregacin de funciones respecto al origen y aprobacin de estos documentos. Los errores y omisiones pueden ser minimizados a travs de buenos diseos de formularios de entrada. Detectar errores e irregularidades para que sean informados y corregidos. AC2 Recoleccin y Entrada de Informacin Fuente. Establecer que la entrada de datos se realice en forma oportuna por personal

calificado y autorizado. Las correcciones y reenvos de los datos que fueron errneamente ingresados se deben realizar sin comprometer los niveles de autorizacin de las transacciones originales. En donde sea apropiado para reconstruccin, retener los documentos fuente originales durante el tiempo necesario.

Pg. 45

AC3 Chequeos de Exactitud, Integridad y Autenticidad Asegurar que las transacciones son exactas, completas y vlidas. Validar los datos ingresados, y editar o devolver para corregir, tan cerca del punto de origen como sea posible. AC4 Integridad y Validez del Procesamiento Mantener la integridad y validacin de los datos a travs del ciclo de procesamiento. Deteccin de transacciones errneas no interrumpe el procesamiento de

transacciones vlidas. AC5 Revisin de Salidas, Reconciliacin y Manejo de Errores Establecer procedimientos y responsabilidades asociadas para asegurar que la salida se maneja de una forma autorizada, entregada al destinatario apropiado, y protegida durante la transmisin; que se verifica, detecta y corrige la exactitud de la salida; y que se usa la informacin proporcionada en la salida. AC6 Autenticacin e Integridad de Transacciones Antes de pasar datos de la transaccin entre aplicaciones internas y funciones de negocio/operativas (dentro o fuera de la empresa), verificar el apropiado

direccionamiento, autenticidad del origen e integridad del contenido. Mantener la autenticidad y la integridad durante la transmisin o el transporte. 5.9. Modelos de madurez

Figura 11: Representacin grfica de los modelos de madurez [11]

Pg. 46

5.10.

El proceso de control

Consiste de cuatro pasos [8]: Se especifica un estndar de desempeo deseado para un proceso. Existe un medio de saber qu est sucediendo en el proceso. La unidad de control compara la informacin con el estndar. Si lo que realmente est sucediendo no cumple con el estndar, la unidad de control dirige aquella accin correctiva a tomar, en forma de informacin para el proceso.

Figura 12: El proceso de control [8]

El proceso debe llevarse a cabo teniendo en cuenta lo siguiente: La responsabilidad en el proceso de TI debe ser claro y la responsabilidad no debe ser ambigua. Los estndares pueden ser de una amplia variedad (planes y estrategias de alto nivel, indicadores clave de desempeo o KPI, y factores crticos de xito o CSF). Los estndares deben estar claramente documentados, mantenidos y comunicados, as como la responsabilidad de la custodia. El proceso de control debe estar bien documentado en cuanto a cmo funciona y con responsabilidades claras. La oportunidad, integridad y conveniencia de la informacin de control, as como tambin otra informacin, son bsicas para el buen funcionamiento de un sistema de control.

Pg. 47

Tanto la informacin de control como la informacin de accin correctiva tendrn que cumplir los requerimientos de evidencia, con el fin de establecer la responsabilidad despus del evento.

Pg. 48

CAPTULO VI REALIZACIN DE UNA AUDITORA DE SISTEMAS DE INFORMACIN

Para llevar a cabo una auditora de SI se requiere de un conjunto ordenado de acciones y procedimientos especficos, de acuerdo a las necesidades especiales de la organizacin, as como del tipo de auditora de SI que se vaya a realizar. Una metodologa de revisin nos permitir disear correctamente los pasos a seguir, haciendo ms sencillo el seguimiento, desarrollo y aplicacin de las etapas y eventos propuestos.

Este captulo explica brevemente la metodologa propuesta por Muoz Razo [5], la cual debe tomarse como una gua para el auditor de SI. 6.1. Metodologa para realizar Auditora de SI

Primera etapa: Planeacin de la auditora de SI P.1 P.2 P.3 P.4 P.5 P.6 Identificar el origen de la auditora Realizar una visita preliminar al rea que ser evaluada Establecer los objetivos de la auditora Determinar los puntos que sern evaluados en la auditora Elaborar planes, programas y presupuestos para realizar la auditora Identificar y seleccionar los mtodos, herramientas, instrumentos y procedimientos necesarios para la auditora P.7 Asignar los recursos y sistemas computacionales para la auditora

Segunda etapa: Ejecucin de la auditora de SI E.1 E.2. E.3 E.4 E.5 Realizar las acciones programadas para la auditora Aplicar los instrumentos y herramientas para la auditora Identificar y elaborar los documentos de desviaciones encontradas Elaborar el dictamen preliminar y presentarlo a discusin Integrar el legajo de papeles de trabajo de la auditora

Tercera etapa: Dictamen de la auditora de SI D.1 Analizar la informacin y elaborar un informe de situaciones detectadas

Pg. 49

D.2 D.3

Elaborar el dictamen final Presentar el informe de auditora

A continuacin se detalla cada uno de los puntos correspondientes a la primera etapa: P.1 Identificar el origen de la auditora P.1.1 Por solicitud expresa de procedencia interna P.1.2 Por solicitud expresa de procedencia externa P.1.3 Como consecuencia de emergencias y condiciones especiales P.1.4 Por riesgos y contingencias informticas P.1.5 Como resultado de los planes de contingencia P.1.6 Por resultados obtenidos de otras auditoras P.1.7 Como parte del programa integral de auditora P.2 Realizar una vista preliminar al rea que ser evaluada P.2.1 Vista preliminar de arranque P.2.2 Contacto inicial con funcionarios y empleados del rea P.2.3 Identificacin preliminar de la problemtica del rea de sistemas P.2.4 Prever los objetivos iniciales de la auditora P.2.5 Calcular los recursos y personas necesarias para la auditora

P.3 Establecer los objetivos de la auditora P.3.1 Objetivo general P.3.2 Objetivos particulares P.3.3 Objetivos especficos de la auditora de SI P.4 Determinar los puntos que sern evaluados en la auditora P.4.1 Evaluacin de las funciones y actividades del personal del rea de sistemas P.4.2 Evaluacin de las reas y unidades administrativas del centro de cmputo P.4.3 Evaluacin de la seguridad de los SI P.4.4 Evaluacin de la informacin, documentacin y registros de los sistemas P.4.5 Evaluacin de los sistemas, equipos, instalaciones y componentes (recursos humanos, hardware, software, informacin, bases de datos, etc.) P.4.6 Elegir los tipos de auditora que sern utilizados

Pg. 50

P.4.7 Determinar los recursos que sern utilizados en la auditora (personal, equipos, dinero, etc.)

P.5 Elaborar planes, programas y presupuestos para realizar la auditora P.5.1 Elaborar el documento formal de los planes de trabajo para la auditora P.5.2 Contenido de los planes para realizar la auditora P.5.3 Elaborar el documento formal de los programas de auditora P.5.4 Elaborar los programas de actividades para realizar la auditora P.5.5 Elaborar los presupuestos para la auditora P.6 Identificar y seleccionar los mtodos, herramientas, instrumentos y procedimientos necesarios para la auditora P.6.1 Establecer la gua de ponderacin de los puntos que sern evaluados P.6.2 Elaborar la gua de la auditora P.6.3 Elaborar los documentos necesarios para la auditora P.6.4 Determinar herramientas, mtodos, y procedimientos para la auditora de SI P.6.5 Disear los sistemas, programas y mtodos de pruebas para la auditora P.7 Asignar los recursos y sistemas computacionales para la auditora P.7.1 Asignar los recursos humanos para la realizacin de la auditora P.7.2 Asignar los recursos informticos y tecnolgicos para la realizacin de la auditora P.7.3 Asignar los recursos materiales y de consumo para la realizacin de la auditora P.7.4 Asignar los dems recursos para la realizacin de la auditora

La segunda etapa es la de ejecucin, en la cual el auditor o grupo de auditores deben cumplir con lo planificado en la primera etapa.

El detalle de la tercera etapa se muestra a continuacin: D.1 Analizar la informacin y elaborar un informe de situaciones detectadas D.1.1 Analizar los papeles de trabajo D.1.2 Sealar las situaciones encontradas D.1.3 Comentar las situaciones encontradas con el personal de las reas afectadas

Pg. 51

D.1.4 Realizar las modificaciones necesarias D.1.5 Elaborar un documento de situaciones relevantes

D.2 Elaborar el dictamen final D.2.1 Analizar la informacin y elaborar un documento de desviaciones detectadas D.2.2 Elaborar el informe y el dictamen de auditora D.2.3 Comentar el informe y el dictamen con los directivos del rea D.2.4 Realizar las modificaciones necesarias D.3 Presentar el informe de auditora

D.3.1 Elaboracin del dictamen formal D.3.2 Integracin del informe de auditora D.3.3 Presentacin del informe de auditora D.3.4 Integracin de los papeles de trabajo 6.2. El Proceso de Auditora

La estructura generalmente aceptada del proceso de auditora es [8]: Identificacin y documentacin Evaluacin Pruebas de cumplimiento Pruebas sustantivas

El proceso de TI, por lo tanto, se audita mediante [8]: La obtencin de un entendimiento de los riesgos relacionados con los requerimientos del negocio y de las medidas relevantes de control. La evaluacin de la conveniencia de los controles establecidos. La valoracin del cumplimiento probando si los controles establecidos estn funcionando como se espera, de manera consistente y continua. La comprobacin que existe el riesgo de que los objetivos de control no se estn cumpliendo mediante el uso de tcnicas analticas y/o consultando fuentes alternativas. 6.3. Requerimientos del Proceso de Auditora

Pg. 52

Luego de definir qu se va a auditar tenemos que determinar el enfoque o estrategia ms apropiada para llevar a cabo el trabajo de auditora, haciendo lo siguiente [8]: Determinar el alcance correcto de la auditora. Es necesario investigar, analizar y definir: o o o o Los procesos del negocio involucrados. Las plataformas y los SI que estn apoyando el proceso del negocio, as como la interconectividad con otras plataformas o sistemas. Los roles y responsabilidades de TI definidas, incluyendo las correspondientes al outsourcing interno y/o externo. Los riesgos del negocio y las decisiones estratgica asociadas.

Identificar los requerimientos de informacin que tienen una relevancia particular con respecto a los procesos del negocio. Identificar los riesgos inherentes de TI, as como el nivel general de control que puede asociarse con el proceso del negocio. Para lograrlo identificamos: o o o o o o Los cambios recientes en el ambiente del negocio que tienen impacto sobre TI. Los cambios recientes al ambiente de TI, nuevos desarrollos, etc. Los incidentes recientes relevantes para los controles y el ambiente del negocio. Los controles de monitoreo de TI aplicados por la administracin. Los reportes recientes de auditora y/o certificacin. Los resultados recientes de auto evaluaciones.

Seleccionar los procesos relevantes de COBIT, as como tambin los recursos que se aplican a los mismos. Determinar una estrategia de auditora basndose en el plan detallado de auditora.
Tabla 3: Requerimientos del proceso de auditora [8]

Definir el alcance de la auditora

Procesos del negocio involucrados Plataformas, Roles, sistemas y su

interoperatividad, que apoyan los procesos responsabilidades y estructura

organizacional Identificar los requerimientos de Importancia para el proceso de negocio

Pg. 53

informacin relevantes para el proceso de negocio Identificar los riesgos inherentes de TI y el nivel general de control Cambios recientes e incidentes en el ambiente del negocio y de la tecnologa Resultados de auditoras,

autoevaluaciones, y certificacin Controles de monitoreo aplicados por la administracin Seleccionar procesos y plataformas a auditar Fijar una estrategia de auditora Procesos Recursos Controles vs. riesgos Pasos y tareas Puntos de decisin

6.4.

Directriz general de Auditora

A continuacin (Figura 13) se muestra los requerimientos genricos para auditar procesos de TI. Est orientado hacia la comprensin del proceso y la determinacin de la propiedad y deber ser el fundamento y el marco referencial para todas las directrices detalladas de auditora [8].

Obtencin de un entendimiento Los pasos de auditora que se deben realizar para documentar las actividades que generan inconvenientes a los objetivos de control, as como tambin identificar las medidas/procedimientos de control establecidas. Entrevistar al personal administrativo y de staff apropiado para lograr la comprensin de: Los requerimientos del negocio y los riesgos asociados La estructura organizacional Los roles y responsabilidades Polticas y procedimientos Leyes y regulaciones Las medidas de control establecidas La actividad de reporte a la administracin (estatus, desempeo, acciones) Documentar el proceso relacionado con los recursos de TI que se ven especialmente afectados por el proceso bajo revisin. Confirmar el entendimiento del proceso bajo revisin, los KPI del proceso, las implicaciones de control, por ejemplo, mediante una revisin paso a paso del proceso. Evaluacin de los Controles Los pasos de auditora a ejecutar en la evaluacin de la eficacia de las medidas de control establecidas o el grado en el que se logra el objetivo de control. Bsicamente, decidir qu se va a probar, si se va a probar y cmo se va a probar. Evaluar la conveniencia de las medidas de control para el proceso bajo revisin mediante la consideracin de los criterios identificados y las prcticas estndares de la industria, los CSF de las medidas de control y la aplicacin del juicio profesional del auditor: Existen procesos documentados

Pg. 54

Existen resultados apropiados La responsabilidad y el registro de las operaciones son claros y efectivos Existen controles compensatorios, en donde es necesario concluir el grado en que se cumple el objetivo de control. Valoracin del Cumplimiento Los pasos de auditora a realizar para asegurar que las medidas de control establecidas estn funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia del ambiente de control. Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el perodo de revisin, utilizando evidencia tanto directiva como indirecta. Realizar una revisin limitada de la suficiencia de los resultados del proceso. Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado. Justificar/Comprobar el Riesgo Los pasos de auditora a realizar para justificar el riesgo de que no se cumpla el objetivo de control mediante el uso de tcnicas analticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinin e impresionar a la administracin para que se tome accin. Los auditores tienen que ser creativos para encontrar y presentar esta informacin que con frecuencia es sensitiva y confidencial. Documentar las debilidades de control y las amenazas y vulnerabilidades resultantes. Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-efecto. Brindar informacin comparativa; por ejemplo, mediante benchmarks. Figura 13: Directriz general de Auditora [8]

Esta misma plantilla se aplica luego a los 34 procesos de COBIT. 6.5. Pruebas de cumplimiento vs. Pruebas sustantivas

Las pruebas de cumplimiento consisten en recolectar evidencia con el propsito de probar el cumplimiento de una organizacin con procedimientos de control; mientras que en las pruebas sustantivas la evidencia se recoge para evaluar la integridad de transacciones individuales, datos u otra informacin [7]. Una prueba de cumplimiento determina si los controles estn siendo aplicados de manera que cumplen con las polticas y los procedimientos de gestin. Una prueba sustantiva fundamenta la integridad de un procesamiento real [7]. 6.6. Evidencia

Es cualquier informacin usada por el auditor de SI para determinar si la entidad o los datos que estn siendo auditados cumplen con los criterios u objetivos establecidos, y soporta las conclusiones de la auditora [7].

Pg. 55

Las tcnicas para recopilacin de evidencia pueden ser [7]: Revisin de las estructuras organizacionales de SI Revisin de polticas y procedimientos de SI Revisin de los estndares de SI Revisin de la documentacin de SI Entrevistas al personal apropiado Observacin de procesos y desempeo de empleados Repeticin de ejecucin Inspeccin y verificacin

Pg. 56

CAPTULO VII AUTOEVALUACIN DE CONTROL (CSA)

7.1.

Definicin

Es una tcnica de la direccin que asegura a las partes interesadas, los clientes y otros que el sistema de control interno de la organizacin es confiable. Adems, asegura que los empleados estn conscientes de los riesgos del negocio y que realicen revisiones proactivas peridicas de los controles [7]. CSA es una serie de herramientas que abarcan desde simples cuestionarios hasta talleres de facilitacin diseados para recopilar informacin sobre la organizacin, solicitndola a los que tienen conocimientos de trabajo cotidiano de un rea as como tambin a sus gerentes [7]. 7.2. Objetivos del CSA

El objetivo primario es apalancar la funcin de auditora interna cambiando algunas de las responsabilidades de monitoreo de control a las reas funcionales [7]. 7.3. Beneficios del CSA

Algunos beneficios del CSA son [7]: Deteccin temprana de riesgos Controles internos ms efectivos y mejorados Creacin de equipos cohesivos a travs de la participacin de los empleados Desarrollo de un sentido de propiedad de los controles en los empleados y en los dueos del proceso y reduccin de su resistencia a controlar las iniciativas de mejoramiento Mayor conciencia de los empleados sobre los objetivos organizacionales y mayor conocimiento sobre riesgos y controles internos Mayor comunicacin entre los mandos operativos y la alta direccin Empleados sumamente motivados Proceso mejorado de calificacin en auditoras

Pg. 57

Reduccin en el costo del control Mayor seguridad para las partes interesadas y los clientes Seguridad mnima para la alta direccin sobre lo adecuado de los controles internos, segn requerimientos de diversas agencias regulatorias y de leyes tales como la Ley Sarbanes-Oxley de los EEUU. 7.4. Desventajas del CSA

Las posibles desventajas son [7]: Podra confundirse con un reemplazo de la funcin de auditora Se le considera como una carga de trabajo adicional (por ejemplo, un informe ms a ser presentado a la direccin) No implementar las mejoras sugeridas podra daar la moral de los empleados La falta de motivacin puede limitar la efectividad en la deteccin de controles dbiles. 7.5. El rol del auditor en el CSA

Los auditores se convierten en profesionales del control interno y facilitadores de evaluaciones, mientras que la gerencia cliente es el participante en el proceso de CSA [7].

Pg. 58

CAPTULO VIII DOCUMENTACIN DE LA AUDITORA DE SISTEMAS DE INFORMACIN

Todo lo que el auditor de SI lleva a cabo en un proceso de auditora de SI debe ser documentado, de tal forma que los procedimientos, metodologas y hallazgos encontrados queden debidamente sustentados. La documentacin cumple entonces, un rol fundamental. 8.1. Contenido de la Documentacin

La documentacin de la auditora de SI o llamado tambin papeles de trabajo, son el soporte fundamental para la auditora de SI. Le sirve de apoyo al auditor al emitir una opinin y para contar (por escrito) con las evidencias necesarias que le permitan sostener sus comentarios [5]. Los papeles de trabajo pueden ser considerados como el puente o la interfaz entre los objetivos de auditora y el informe final [7].

Existen muchas formas de elaborar y utilizar los papeles de trabajo de una auditora de SI, las cuales estarn determinadas por la experiencia, conocimientos y habilidades del auditor, as como por su necesidad de usar los documentos y medios de cmputo para concentrar la informacin [5].

La documentacin de la auditora o papeles de trabajo debe incluir, como mnimo, lo siguiente [7]: La planificacin y preparacin del alcance y de los objetivos de la auditora. La descripcin y/o recorridos en el rea de auditora vista. El programa de auditora. Los pasos de auditora realizados y la evidencia de auditora recopilada. El uso de servicios de otros auditores y expertos. Los hallazgos, conclusiones y recomendaciones de auditora. La relacin de la documentacin de auditora con la identificacin y las fechas de documentos.

Tambin se recomienda que la documentacin incluya: Una copia del informe emitido como resultado del trabajo de auditora.

Pg. 59

Evidencia de revisin supervisora de auditora.

8.2.

Propuesta para integrar los papeles de trabajo

Muoz Razo [5] propone el siguiente esquema para elaborar el legajo de los papeles de trabajo de la auditora de SI:

Hoja de identificacin ndice de contenido de los papeles de trabajo Dictamen preliminar (borrador) Resumen de las desviaciones detectadas (las ms importantes) Situaciones encontradas (situaciones, causas y soluciones) Programa de trabajo de auditora Gua de auditora Inventario de software Inventario de hardware Inventario de consumibles Manual de organizacin Descripcin de puestos Reportes de pruebas y resultados Respaldos (backups) de datos, discos y programas de aplicacin de auditora Respaldos (backups) de las bases de datos y de los sistemas Guas de claves para el sealamiento de los papeles de trabajo Cuadros y estadsticas concentradores de informacin Anexos de recopilacin de informacin Diagramas de flujo, de programacin y de desarrollo de sistemas Testimoniales, actas y documentos legales de comprobacin y confirmacin Anlisis y estadsticas de resultados, datos y pruebas de comportamiento del sistema Otros documentos de apoyo para el auditor El formato de la documentacin

8.3.

El formato de la documentacin y los medios son opcionales, pero las buenas prcticas indican que los papeles de trabajo posean fecha, firmas, pginas numeradas,

Pg. 60

que sean relevantes, completos, claros, independientes y que se etiqueten y archiven debidamente y se mantengan en custodia [7].

8.4.

Claves del auditor para marcar papeles de trabajo

Son las marcas de carcter informal que utiliza exclusivamente el auditor o grupo de auditores, con el fin de facilitar la uniformidad de los papeles de trabajo y para identificarlos mejor. Tienen un significado preciso que todos los auditores conocen y se utilizan para destacar aspectos importantes de los documentos que van revisando [5].

Pg. 61

CAPTULO IX EL INFORME DE AUDITORA

9.1.

Definicin de Informe

Son el producto final del trabajo de auditora de SI y es utilizado por el auditor de SI para reportar a la gerencia los hallazgos y recomendaciones [7]. 9.2. Estructura del Informe

A pesar de que no existe un formato especfico para un informe de auditora, usualmente tendrn la estructura y contenido siguientes [7]: Una introduccin. Una buena prctica es incluir los hallazgos de la auditora en secciones

diferentes, y agruparlos por importancia y/o receptor previsto. La conclusin y la opinin generales del auditor de SI respecto a si los controles y procedimientos examinados durante la auditora son los adecuados, y los riesgos potenciales reales identificados como consecuencia de las deficiencias detectadas. Las reservas o calificaciones del auditor de SI con relacin a la auditora (si los controles y procedimientos examinados son adecuados o inadecuados). Los hallazgos detallados y las recomendaciones de la auditora. La decisin de qu incluir en los distintos niveles de los informes de auditora depende de la orientacin provista por la alta direccin. Una variedad de hallazgos, algunos de los cuales pueden ser

considerablemente importantes mientras que otros son menores en su carcter.

El auditor de SI debera tomar la decisin final acerca de qu incluir o excluir del informe de auditora, y debera preocuparse por proporcionar un informe balanceado, que describa no solamente los aspectos negativos en trminos de hallazgos, sino tambin comentarios constructivos sobre procesos y controles en perfeccionamiento o sobre controles efectivos ya existentes. 9.3. Ejemplo de la estructura de un Informe de Auditora

Pg. 62

Existen muchas maneras de elaborar un informe de auditora de SI. Una de ellas es la utilizada por la Oficina del Contralor de Puerto Rico, la cual posee un sitio Web 2 en donde es posible descargar los diferentes informes de auditora de SI que esta Oficina elabora.

A continuacin se detalla la estructura empleada por la Oficina del Contralor de Puerto Rico [13]: Cartula Contiene el ttulo del informe, la fecha de presentacin, el nombre de la organizacin y del rea auditada y el perodo auditado. Contenido Viene a ser la tabla de contenido del informe, en donde se muestran las partes del informe y las pginas correspondientes. Informacin sobre la unidad auditada Se detalla acerca de las caractersticas relevantes de la organizacin y de la unidad auditada.

Responsabilidad de la gerencia Aqu se presentan las responsabilidades y principios de la gerencia de la organizacin. Alcance y metodologa En esta parte se comenta acerca del intervalo de tiempo que cubri la auditora, las normas de auditora tomadas en cuenta, y cmo se realizaron las pruebas. Se explica tambin la metodologa a seguir, como por ejemplo:
2

Entrevistas a funcionarios, a empleados y a particulares Inspecciones fsicas Examen y anlisis de informes y de documentos generados por la unidad auditada Examen y anlisis de informes y de documentos suministrados por fuentes externas Pruebas y anlisis de procedimientos de control interno y de otros procesos

http://www.ocpr.gov.pr

Pg. 63

Confirmaciones de informacin pertinente.

Opinin Es un comentario breve del auditor, en un prrafo, el cual tiene el siguiente esquema: Las pruebas efectuadas demostraron que las operaciones de (el rea

auditada) en lo concerniente a (la revisin o evaluacin que se realiz) no se realizaron conforme a las normas generalmente aceptadas en este campo. Los hallazgos del 1 al (indicar el total de hallazgos), clasificados como principales, se comentan en la parte de este Informe titulada RELACIN DETALLADA DE HALLAZGOS. Recomendaciones En esta parte se clasifican las recomendaciones de acuerdo a las personas, reas o puestos de trabajo a los cuales va dirigido. Cartas a la gerencia Se describe aqu los detalles sobre el envo del borrador de los hallazgos del Informe a los directores o alta direccin de la organizacin. Comentarios de la gerencia Se indica si el funcionario principal y los exfuncionarios de la unidad auditada efectuaron comentarios sobre el borrador de los hallazgos del informe, que le enva el auditor. Dichos comentarios se consideran al revisar el borrador del informe; y se incluyen al final del hallazgo correspondiente, de forma objetiva y conforme a las normas establecidas.

Cuando la gerencia no provee evidencia competente, suficiente y relevante para refutar un hallazgo, este prevalece y se aade al final del mismo la siguiente aseveracin: Consideramos las alegaciones de la gerencia, pero determinamos que el hallazgo prevalece. Agradecimiento Se agradece a los auditados que participaron en la auditora. Relacin detallada de hallazgos

Pg. 64

En el informe de auditora se incluyen solamente los hallazgos significativos determinados por las pruebas realizadas. Estos se clasifican como principales o secundarios: Los hallazgos principales incluyen las desviaciones de disposiciones sobre las operaciones de la unidad auditada que tienen un efecto material, tanto en el aspecto cuantitativo como en el cualitativo. Los hallazgos secundarios son los que consisten en faltas o errores que no han tenido consecuencias graves.

Los hallazgos poseen los siguientes atributos: Situacin: Los hechos encontrados en la auditora indicativos de que no se cumpli con uno o ms criterios. Criterio: El marco de referencia para evaluar la situacin. Es principalmente una ley, un reglamento, una carta circular, un memorando, un procedimiento, una norma de control interno, una norma de sana administracin, un principio de contabilidad generalmente aceptado, una opinin de un experto o un juicio del auditor. Efecto: Lo que significa, real o potencialmente, no cumplir con el criterio. Causa: La razn fundamental por la cual ocurri la situacin.

Anexos Contienen informacin adicional o complementaria al informe de auditora.

Pg. 65

CAPTULO X GOBIERNO Y GESTIN DE TECNOLOGAS DE LA INFORMACIN

9.1.

Gobierno Corporativo

Las empresas son gobernadas por buenas (o mejores) prcticas generalmente aceptadas para asegurar que la empresa cumpla sus metas asegurando que lo anterior est garantizado por ciertos controles. Desde estos objetivos fluye la direccin de la organizacin, la cual dicta ciertas actividades a la empresa usando sus propios recursos. Los resultados de las actividades de la empresa son medidos y reportados proporcionando insumos para el mantenimiento y revisin constante de los controles, comenzando el ciclo de nuevo.

Figura 14: Gobierno Corporativo [8]

Gobierno corporativo se define como el sistema por el cual se dirigen y controlan las corporaciones de negocios (Sir Adrian Cadbury, International Corporate Governance Meeting, Hanoi, Vietnam3); es un conjunto de responsabilidades y prcticas usadas por la gerencia de una organizacin para proveer direccin estratgica, para garantizar de este modo, que las metas se puedan alcanzar, los riesgos sean manejados de manera adecuada y los recursos organizacionales sean utilizados apropiadamente [7]. 9.2. Gobierno de TI

(6/12/2004), p. 3, http://www.oecd.org/dataoecd/18/47/34080477.pdf

Pg. 66

Tambin TI es gobernado por buenas (o mejores) prcticas para asegurar que la informacin de la empresa y sus tecnologas relacionadas apoyan sus objetivos del negocio, estos recursos son utilizados responsablemente y sus riesgos son manejados apropiadamente. Estas prcticas conforman una base para la direccin de las actividades de TI las cuales pueden ser enmarcadas en la Planeacin y Organizacin, Adquisicin e Implementacin, Entrega de Servicios y Soporte y Monitoreo para los propsitos duales como son el manejo de riesgo (para obtener seguridad, confiabilidad y cumplimiento) y la obtencin de beneficios (incrementando la efectividad y eficiencia). Los reportes son enfocados sobre los resultados de las actividades de TI, los cuales son medidos contra diferentes prcticas y controles y el ciclo comienza otra vez.

Figura 15: Gobierno de TI [8]

El gobierno de TI es uno de los dominios del gobierno corporativo y se define como una estructura de relaciones y procesos para dirigir y controlar la empresa con el fin de lograr sus objetivos al aadir valor mientras se equilibran los riesgos contra el retorno sobre TI y sus procesos [8].

Un elemento clave del gobierno de TI es la alineacin del negocio con TI que conlleva al logro del valor de negocio [7].

Fundamentalmente, al gobierno de TI le incumben dos aspectos [7]:

Pg. 67

Que TI entregue valor al negocio, impulsado por la alineacin estratgica de TI con el negocio. Que los riesgos de TI sean gestionados, impulsado por la integracin de la responsabilidad en la empresa.

El gobierno de TI define quin toma decisiones, cmo toman esas decisiones, y cundo [14]. 9.3. reas de enfoque del gobierno de TI

COBIT4 da soporte al gobierno de TI (Figura 16) a travs de un marco de trabajo que garantiza que: TI est alineada con el negocio TI habilita al negocio y maximiza los beneficios Los recursos de TI se usan de manera responsable Los riesgos de TI se administran apropiadamente.

Figura 16: reas de enfoque del gobierno de TI [11]

9.4.

Marcos de gobierno de TI

Algunos ejemplos de los marcos de gobierno de TI son [7]:

COBIT (ver captulo V)

Objetivos de Control para la Informacin y la Tecnologa Relacionada

Pg. 68

ISO/IEC 27001 (ISO 27001): Es un conjunto de buenas prcticas que proporcionan orientacin a las organizaciones que aplican y mantienen programas de seguridad de la informacin. Originalmente se public en el Reino Unido como el estndar britnico 7799 (BS7799) y se convirti en un estndar muy conocido en la industria.

ITIL (Biblioteca de Infraestructura de TI): Fue desarrollada en el Reino Unido por la Oficina de Comercio del Gobierno del Reino Unido (OGC), en colaboracin con IT Service Management Forum y es un marco detallado con informacin prctica sobre cmo lograr el xito de gestin de servicios operacionales de TI.

Catlogos de proteccin de niveles mnimos de TI o Catlogos Grundschutz de TI: Son una recopilacin de documentos de la Oficina Federal Alemana para la seguridad en TI (FSI). Los documentos son tiles para detectar y combatir los puntos dbiles de seguridad en el entorno de TI.

ISM3 (Modelo de madurez para la gestin de la seguridad de la informacin): Es un modelo que se basa en el proceso de madurez de ISM para la seguridad.

AS8015-2005: Es el estndar australiano para el gobierno corporativo de TIC. AS8015 se adopt como estndar ISO/IEC 38500 en mayo de 2008. ISO/IEC 38500:2008: Proporciona un marco para el gobierno efectivo de TI. Ayuda a aquellos en el nivel ms alto de la organizacin a entender y cumplir con sus obligaciones legales, reglamentarias y ticas con respecto al uso de TI de su organizacin. Se aplica a todo tipo de organizaciones. Proporciona principios de orientacin para los directores de organizaciones sobre el uso efectivo, eficiente y aceptable de TI en sus organizaciones.

9.5.

El rol de la auditora en el gobierno de TI

La auditora tiene un rol significativo en una implementacin exitosa del gobierno de TI dentro de la organizacin. Provee importantes recomendaciones de prcticas a la alta direccin, para ayudar a mejorar la calidad y la efectividad de las iniciativas del gobierno de TI implementadas, y a asegurar el cumplimiento de las iniciativas del gobierno de TI [7].

El auditor de SI necesita evaluar los siguientes aspectos [7]:

Pg. 69

La alineacin de la funcin de SI con la misin, la visin, los valores, los objetivos y las estrategias de la organizacin. El logro por parte de la funcin de SI de los objetivos de desempeo establecidos por el negocio (por ejemplo, efectividad y eficiencia). Los requerimientos legales, ambientales, de calidad de la informacin, fiduciarios, de seguridad y de privacidad. El ambiente de control de la organizacin. Inversin/gasto en TI. Auditora a la estructura e implementacin del Gobierno de TI

9.6.

Algunos de los indicadores ms significativos de los problemas potenciales que le preocupan a un auditor de SI son [7]: Actitudes desfavorables del usuario final Costos excesivos Gasto por encima del presupuesto Proyectos atrasados Alta rotacin del personal Personal con poca experiencia Errores frecuentes de HW/SW Exceso de solicitudes atrasadas de usuarios Largo tiempo de respuesta de la computadora Numerosos proyectos de desarrollo interrumpidos o suspendidos Compras de HW/SW sin soporte o sin autorizacin Frecuentes ampliaciones de capacidad de HW/SW Informes de excepcin largos Reportes de excepciones a los que no se les hizo seguimiento Motivacin deficiente Ausencia de planes de reemplazo Confianza en uno o dos miembros clave del personal Falta de capacitacin adecuada.

La siguiente documentacin debe ser revisada [7]: Las estrategias, planes y presupuestos de TI Documentacin de polticas de seguridad Cuadros organizativos/funcionales

Pg. 70

Descripciones de los puestos de trabajo Reportes del comit directivo Procedimientos de desarrollo de sistemas y de cambio de programas Procedimientos de operaciones Manuales de RRHH Procedimientos de QA Revisin de compromisos contractuales

9.7.

El auditor de SI debe verificar la participacin de la gerencia en el proceso de contratacin y debe asegurar un nivel adecuado de revisin oportuna del cumplimiento del contrato. El auditor de SI podr efectuar una revisin, por separado, del cumplimiento en una muestra de dichos contratos.

Al revisar una muestra de los contratos, el auditor de SI debe evaluar la adecuacin de los siguientes trminos y condiciones: Niveles de servicio Derecho a auditar o reportar auditoras de terceros Poner el SW en custodia de un tercero Penalizaciones por incumplimiento Acatamiento de las polticas y procedimientos de seguridad Proteccin de informacin de clientes Proceso de cambio de contrato Terminacin de contrato y cualquier penalizacin apropiada. Planeacin de continuidad del negocio (BCP)

9.8.

El propsito de la continuidad del negocio/recuperacin en caso de desastre es permitir que una empresa contine ofreciendo servicios crticos en caso de que ocurra una interrupcin y que sobreviva a una interrupcin desastrosa de las actividades [7]. Para ello es necesario contar con una planificacin y un compromiso rigurosos de los recursos para prever tales eventos de forma adecuada.

El BCP es bsicamente responsabilidad de la alta gerencia y toma en consideracin [7]:

Pg. 71

Las operaciones crticas que son necesarias para la supervivencia de la organizacin Los recursos humanos/materiales que los soportan. Planeacin de continuidad del negocio de SI

9.9.

El enfoque es el mismo que en el BCP y debe estar alineado con la estrategia de la organizacin. La criticidad de las diferentes aplicaciones de la organizacin depende de la naturaleza del negocio, as como del valor de cada aplicacin para el negocio [7].

El BCP/DRP del SI es un componente principal de la estrategia general de continuidad del negocio y recuperacin en caso de desastre de una organizacin [7]. 9.10. Elementos de un BCP

Un BCP debe incluir [7]: Plan de continuidad de las operaciones DRP Plan de restablecimiento del negocio

Tambin puede incluir: Continuidad del plan de apoyo/Plan de contingencias de TI Plan de comunicaciones de crisis Plan de respuesta a incidentes Plan de transporte Plan de emergencia del ocupante Plan de evacuacin y reubicacin de emergencia Auditora al Plan de Continuidad del Negocio

9.11.

Las tareas del auditor de SI abarcan [5]: Comprender y evaluar la estrategia sobre la continuidad del negocio y su conexin con los objetivos del negocio Revisar los hallazgos de BIA5 para asegurarse de que se reflejen las prioridades actuales del negocio y los controles actuales
5

Anlisis de impacto del negocio

Pg. 72

Evaluar los BCP a fin de determinar su conveniencia y difusin, al revisar los planes y compararlos con las correspondientes estndares o reglamentos gubernamentales, incluidos RTO6, RPO7 etc., definidos por el BIA

Verificar la eficacia de los BCP mediante la revisin de los resultados de las pruebas realizadas anteriormente por SI y el personal de usuario final Evaluar el almacenamiento externo para asegurar su conveniencia al inspeccionar la instalacin y verificar sus contenidos y controles de seguridad y ambiental

Verificar los trmites para transportar los medios de respaldo a fin de asegurarse de que satisfagan los requerimientos apropiados de seguridad Evaluar la capacidad del personal para responder efectivamente en situaciones de emergencia, al revisar los procedimientos de emergencia, la capacitacin de empleados y los resultados de las pruebas y los ensayos

Velar por el establecimiento y vigencia del proceso para mantener los planes y porque ste abarque las revisiones tanto peridicas como no programadas Evaluar si los manuales sobre la continuidad del negocio y los procedimientos estn redactados de una manera sencilla y fcil de comprender. Esto puede lograrse mediante entrevistas y al determinar si todas las partes involucradas comprenden sus atribuciones y responsabilidades con respecto a las estrategias sobre la continuidad del negocio.

6 7

Tiempo de recuperacin objetivo Punto de recuperacin objetivo

Pg. 73

CAPTULO XI ADQUISICIN, DESARROLLO E IMPLEMENTACIN DE SISTEMAS DE INFORMACIN

11.1.

Auditora de los controles de aplicacin

Las tareas del auditor de SI incluyen las siguientes [7]: Identificar los componentes significativos de la aplicacin y el flujo de transacciones a travs del sistema, y lograr la comprensin detallada de la aplicacin, revisando la documentacin disponible y entrevistando el personal apropiado. Identificar las fortalezas del control de aplicacin y evaluar el impacto de las debilidades de control para desarrollar una estrategia de prueba, analizando la informacin acumulada. Revisar la documentacin del sistema de aplicacin para proporcionar una comprensin de la funcionalidad de la aplicacin. Si la aplicacin es muy grande se debe realizar una revisin selectiva.

El auditor de SI debe revisar la siguiente documentacin [7]: Documentos de metodologa de desarrollo del sistema Especificaciones de diseo funcionales Cambios del programa Manuales de usuario Documentacin de referencia tcnica

11.2.

Auditora de desarrollo, adquisicin y mantenimiento de sistemas

En este tipo de auditora, la tarea del auditor de SI puede ocurrir una vez que finaliza el proyecto o, rara vez, durante el proyecto y pueden ser las siguientes [7]: Determinar los componentes, objetivos y requerimientos principales del sistema para identificar las reas que requieran controles, reunindose con los miembros claves del rea de desarrollo de sistemas y del equipo de usuarios del proyecto. Determinar y clasificar por prioridad los riesgos principales y las exposiciones del sistema, por medio de discusiones con los miembros del equipo de

Pg. 74

desarrollo de sistemas y de equipo de usuarios del proyecto para permitir la seleccin de controles apropiados. Identificar los controles para mitigar los riesgos y las exposiciones del sistema, utilizando referencias de fuentes autorizadas y por medio de discusiones con los miembros del equipo de desarrollo de sistemas y de usuarios del proyecto. Aconsejar al equipo del proyecto respecto al diseo del sistema y a la implementacin de los controles evaluando los controles disponibles y participando en discusiones con los miembros del equipo de desarrollo de sistemas y de usuarios del proyecto. Monitorear, supervisar y controlar (realizar el seguimiento) al proceso de desarrollo de sistemas para asegurar que se hayan implementado los controles, que se cumplan los requerimientos del usuario y del negocio y que se siga la metodologa de desarrollo/adquisicin de sistemas, reunindose peridicamente con los miembros del equipo de desarrollo de sistemas y de usuarios del proyecto y revisando la documentacin y los productos a ser entregados. Participar en revisiones posteriores a la implementacin. Evaluar los estndares y procedimientos de mantenimiento del sistema para asegurar que sean adecuadas por medio de la revisin de la documentacin apropiada, la discusin con el personal clave y la observacin. Probar los procedimientos de mantenimiento de sistemas para asegurar que se estn aplicando como se describe en los estndares por medio de la discusin y del examen de los registros que los respaldan. Evaluar el proceso de mantenimiento de sistemas para determinar si se lograron los objetivos de control analizando los resultados de las pruebas y otras evidencias de auditora. Determinar si la seguridad de la biblioteca de produccin es adecuada para asegurar la integridad de los recursos de produccin identificando y probando los controles existentes. 11.2.1. Gestin de proyectos

El auditor de SI debe [7]: Analizar los riesgos y exposiciones asociados inherentes a cada etapa del SDLC y debe asegurar que estn establecidos los mecanismos apropiados de

Pg. 75

control para minimizar estos riesgos en una forma eficiente y teniendo en cuenta el costo/beneficio de los controles. Obtener documentacin de las distintas etapas y asistir a las reuniones del equipo de proyectos ofreciendo asesoramiento al equipo de proyectos durante todo el proceso de desarrollo de los sistemas. Hacer una evaluacin de la capacidad del equipo de proyectos para producir resultados claves en las fechas prometidas. Revisar si las siguientes actividades de gestin de proyectos son adecuadas: o o o o o o o o o Niveles de supervisin por parte del comit del proyecto/consejo directivo Mtodos de gestin de riesgos dentro del proyecto Manejo de problemas Gestin de costos Procesos de planificacin y gestin de las dependencias Procesos de reporte a la alta gerencia Procesos de control de cambios Participacin de la gerencia de partes interesadas Proceso de aprobacin. Como mnimo, aprobaciones con firma del responsable de desarrollo de sistemas y gestin de usuarios para el costo del proyecto y/o uso del sistema. 11.2.2. Estudio de factibilidad/viabilidad

El auditor de SI debe [7]: Revisar la documentacin producida en esta fase para verificar si es razonable. Determinar si toda la justificacin de costos/beneficios son verificables y los mismos deben ser presentados mostrando los beneficios anticipados que se van a obtener. Identificar y determinar la importancia crtica de la necesidad que se desea satisfacer. Determinar si se puede alcanzar una solucin con los sistemas ya existentes. En caso contrario, revisar la evaluacin de las soluciones alternativas para verificar si stas son razonables. Determinar si la solucin escogida es razonable. 11.2.3. Definicin de los requerimientos

Pg. 76

El auditor de SI debe [7]: Obtener el documento de definicin detallada de los requerimientos y verificar si son correctos por medio de entrevistas con los departamentos relevantes de usuario. Identificar los miembros claves en el equipo del proyecto y verificar que todos los grupos de usuarios afectados estn debidamente representados. Verificar que la iniciacin del proyecto y el costo del mismo hayan recibido la debida aprobacin de la Gerencia. Revisar las especificaciones conceptuales del diseo para asegurar que el mismo atiende a las necesidades del usuario. Revisar el diseo conceptual para asegurar que se hayan definido las especificaciones de control. Determinar si un nmero razonable de proveedores recibi la propuesta que cubra el alcance del proyecto y los requerimientos del usuario. Revisin de especificaciones de UAT8. Determinar si la aplicacin es candidata para el uso de rutina(s) integradas de auditora. En caso afirmativo, solicitar que la rutina sea incorporada en el diseo conceptual del sistema. 11.2.4. Proceso de adquisicin de software

El auditor debe [7]: Analizar la documentacin del estudio de factibilidad/viabilidad para determinar si la decisin de adquirir una solucin fue apropiada. Revisar el RFP9 para asegurar que ste cubre los puntos apropiados. Determinar si el proveedor seleccionado est respaldado por la documentacin de RFP. Asistir a las presentaciones programadas con agenda y pilotos de salas de conferencia para asegurar que el sistema coincide con la respuesta del proveedor a la RFP. Revisar el contrato del proveedor antes de su firma para asegurarse que incluye los puntos enumerados. Asegurarse de que el contrato sea revisado por el asesor legal antes de que sea firmado.

8 9

User Acceptance Testing: Prueba de aceptacin final Request for proposal: Solicitud de propuesta

Pg. 77

11.2.5. Diseo y desarrollo detallados

El auditor de SI debe [7]: Revisar los diagramas de flujo del sistema para verificar si se ajusta al diseo general. Verificar que se hayan obtenido las debidas aprobaciones para cualquier cambio y que todos los cambios hayan sido discutidos y aprobados por la Gerencia de Usuario apropiada. Revisar los controles para el ingreso de los datos, del procesamiento y de los resultados, diseados en el sistema para verificar si son apropiados. Entrevistar a los usuarios claves del sistema para determinar su comprensin de cmo operar el sistema y evaluar su nivel de participacin en el diseo de los formatos de pantalla y reportes de salida. Evaluar si las pistas de auditora son adecuadas para permitir que se rastreen y se evidencie la responsabilidad por las transacciones del sistema. Verificar la integridad de los clculos y procesos claves. Verificar que el sistema pueda identificar y procesar los datos errneos correctamente. Revisar los resultados de aseguramiento de la calidad de los programas desarrollados durante esta etapa. Verificar que se hayan efectuado todas las correcciones de los errores de programacin y que se hayan codificado las pistas de auditora o los mdulos integrados de auditora (EAMs) recomendados, en los programas apropiados. 11.2.6. Pruebas

El auditor de SI debe [7]: Revisar el plan de pruebas para verificar la integridad y con evidencia que indique la participacin del usuario como por ejemplo en la definicin de los escenarios de pruebas y/o la aprobacin de los resultados obtenidos y considerar una repeticin de la ejecucin de las pruebas crticas. Efectuar una reconciliacin de los totales de control y de los datos convertidos. Revisar los informes de errores para verificar su precisin para reconocer los datos errneos y para la resolucin de errores. Verificar el procesamiento cclico para establecer si es correcto (procesamiento de fin de mes, fin de ao, etc.).

Pg. 78

Entrevistar a los usuarios finales del sistema para verificar si entienden los nuevos mtodos, los nuevos procedimientos y las instrucciones de operacin. Revisar, durante esta fase, la documentacin del sistema y de los usuarios finales para determinar su integridad y verificar si es correcta. Revisar los resultados de las pruebas en paralelo para verificar si son exactos. Verificar que la seguridad del sistema est funcionando como se dise mediante el desarrollo y ejecucin de pruebas de acceso. Revisar los planes de las pruebas de unidad y del sistema para determinar si se planifican y realizan pruebas de los controles internos. Revisar las pruebas de aceptacin por parte de los usuarios (UAT) y asegurarse de que el software aceptado ha sido entregado al equipo de implementacin. El proveedor no debera ser capaz de reemplazar esta versin.

Revisar los procedimientos utilizados para registrar y hacer seguimiento del reporte de errores. 11.2.7. Etapa de implementacin

El auditor de SI debe [7]: Verificar que se hayan obtenido las firmas de aprobacin apropiadas antes de la implementacin. Revisar los procedimientos programados para agendar y poner en

funcionamiento el sistema junto con los parmetros del sistema usados para la ejecucin del cronograma de produccin. Revisar toda la documentacin del sistema para asegurar su integridad y para asegurarse de que la totalidad de las actualizaciones recientes, a partir de las fases de pruebas, hayan sido incorporadas. Verificar todas las conversiones de datos para asegurarse de que estn correctas y completas antes de implementar el sistema en produccin. 11.2.8. Revisin posterior a la implementacin

El auditor de SI debe [7]: Determinar si se lograron los objetivos y requerimientos del sistema, prestando atencin a la utilizacin que hace el usuario del sistema y la satisfaccin general de ste con el sistema.

Pg. 79

Determinar si se est midiendo y analizando el costo-beneficio identificado en el estudio de factibilidad/viabilidad, y si los resultados son reportados a la Gerencia con exactitud.

Revisar las solicitudes de cambio (RFC) a programas para evaluar el tipo de cambios que requiere el sistema. Revisar los controles integrados en el sistema para asegurarse que los mismos estn operando en conformidad con el diseo. Si se incluy un EAM en el sistema, usar este mdulo para probar las operaciones claves.

Revisar los registros de error de operacin para determinar si hay algn problema de recursos o de operacin inherente en el sistema. Revisar los controles de balance de entrada y salida y dems informes para verificar que el sistema est procesando los datos correctamente.

11.2.9. Procedimientos de cambios al sistema y proceso de migracin de programas

El auditor de SI debe considerar lo siguiente [7]: El uso y la existencia de una metodologa para autorizar, priorizar y rastrear los requerimientos de cambios al sistema solicitados por el usuario. Si los procedimientos de cambio de emergencia son considerados en los manuales de operacin. Si el control de cambios es un procedimiento formal tanto para el usuario como para los grupos de desarrollo. Si el registro de control de cambios asegura que todos los cambios presentados fueron resueltos. La satisfaccin del usuario con la rotacin, tiempo y costo, de las solicitudes de cambio. Qu tan adecuadas son las restricciones de seguridad de acceso sobre las fuentes y los mdulos ejecutables en produccin. Qu tan adecuados son los procedimientos de la organizacin para efectuar los cambios de urgencia en programas. Qu tan adecuadas son las restricciones de seguridad de acceso sobre el uso de los IDs de inicio de sesin.

Para una seleccin de cambios en el registro de control de cambios se debe [7]:

Pg. 80

Determinar que los cambios a los requerimientos quedaron registrados en documentos apropiados de cambio, desarrollo, tales como los documentos de programa y de operaciones.

Determinar que los cambios fueron hechos como se documentaron. Determinar que la documentacin actual refleja el ambiente cambiado. Evaluar lo adecuado de los procedimientos existentes para probar los cambios al sistema. Revisar las evidencias (probar los planes y los resultados) para asegurar que los procedimientos fueron llevados a cabo como fueron prescritos por los estndares organizacionales.

Revisar los procedimientos establecidos para asegurar la integridad del cdigo fuente y del ejecutable. Revisar los mdulos ejecutables de produccin y verificar que haya una y slo una versin correspondiente del cdigo fuente del programa.

Adems, el auditor de SI debe revisar todo el proceso de gestin de cambios para posibles mejoras en cuanto a conocimiento, tiempo de respuesta, efectividad de respuesta, y satisfaccin del usuario con el proceso.

Pg. 81

CAPTULO XII OPERACIONES, MANTENIMIENTO Y SOPORTE DE SISTEMAS DE INFORMACIN

12.1.

Auditora de la Infraestructura y de las Operaciones

A continuacin se enumeran las reas ms importantes que se deben revisar mientras se realiza este tipo de auditora. 12.1.1. Revisiones de hardware

reas que se deben revisar Plan de adquisicin de hardware

Preguntas que se deben considerar Est el plan alineado con los requerimientos del negocio? Se compara el plan peridicamente con los planes del negocio para garantizar su sincronizacin constante con los requerimientos del sistema? Est el plan sincronizado con los planes de SI? Se han desarrollado los criterios para la adquisicin de hardware? Es el entorno el adecuado para acomodar el hardware instalado actualmente y el nuevo hardware que deba ser agregado en conformidad con el plan aprobado de adquisicin de hardware? Se documentaron en forma adecuada las especificaciones de hardware y software, los requerimientos de instalacin y el probable plazo asociado con las adquisiciones planificadas? Est la adquisicin en lnea con el plan de adquisicin de hardware? La administracin de SI ha emitido por escrito las declaraciones de su poltica en relacin con la adquisicin y uso de microcomputadoras y se han comunicado estas declaraciones a los usuarios? Se han establecido procedimientos y formularios para facilitar el proceso de aprobacin de adquisicin? Se ha presentado un anlisis de costo-beneficio con las solicitudes? Se han canalizado las compras a travs del departamento de compras para optimizar el proceso, evitar duplicaciones, aprovechas los beneficios de cantidad y calidad tales como descuentos por volmenes? Los criterios usados en el plan de monitoreo del desempeo del hardware se basan en los datos histricos y en el anlisis obtenido de los registros de problemas de SI, cronogramas de procedimientos, reportes de los sistemas de contabilidad de los trabajos, cronogramas y reportes de mantenimiento preventivo? Se realiza una revisin constante del desempeo y la capacidad del hardware y software de sistema? Es adecuado el monitoreo del equipo, para el cual se ha programado el contacto con su fabricante (sin manual ni la intervencin humana) en caso de falla del mismo? Se supervisa la frecuencia de mantenimiento indicada por los respectivos vendedores de hardware? Se realiza el mantenimiento fuera de los perodos pico de trabajo? Se realiza el mantenimiento preventivo en momentos en los que el

Adquisicin hardware

de

Gestin capacidad monitoreo

de y

Programa de mantenimiento preventivo

Pg. 82

Disponibilidad de hardware e informes de utilizacin

Registros problemas Informes sistemas contabilidad los trabajos

de de de de

sistema no est ejecutando aplicaciones crticas o delicadas? Es el programa el apropiado para cumplir con la programacin de las cargas de trabajo y los requerimientos del usuario? Es el programa flexible para poder aceptar el mantenimiento preventivo de hardware requerido? Estn los recursos de SI disponibles en forma oportuna para los programas de aplicaciones crticos? Revis el personal de administracin de SI los problemas de funcionamiento de hardware, repeticin de ejecuciones, terminaciones anormales del sistema y las acciones del operador?

12.1.2. Revisiones del sistema operativo

reas que se deben revisar Procedimientos de seleccin de software de sistema Estudio viabilidad/ factibilidad Proceso seleccin de

Preguntas que se deben considerar Cumplen con los planes de SI de corto y largo alcance? Cumplen con los requerimientos de SI? Estn debidamente alineados con los objetivos del negocio? Incluyen un panorama de las capacidades del software y de las opciones de control? Son los objetivos y fines propuestos para el sistema consistentes con las solicitud/propuesta? Se aplican los mismos criterios a todas las propuestas? El anlisis de costo-beneficio de procedimientos de software del sistema ha abordado: o Costos financieros directos asociados con el producto? o Costo de mantenimiento del producto? o Requerimientos de hardware y la capacidad del producto? o Requerimientos de capacitacin y de soporte tcnico? o Impacto del producto sobre la fiabilidad del procesamiento? o Impacto sobre la seguridad de los datos? o Estabilidad financiera de las operaciones del proveedor? Se han establecido procedimientos para restringir la posibilidad de evadir los controles de acceso lgico de seguridad? Se han establecido procedimientos para limitar el acceso a la capacidad de interrupcin del sistema? Se han establecido procedimientos para administrar los parches de software y mantener actualizado el software de sistema? Son las disposiciones de seguridad fsica y lgica existentes adecuadas para restringir los accesos a las consolas principales? Se cambiaron las contraseas del software del sistema suministradas por el proveedor en el momento de la instalacin? Los controles son adecuados en: o Procedimientos de cambio? o Procedimientos de autorizacin? o Funciones de seguridad de acceso? o Requerimientos de documentacin? o Documentacin de pruebas del sistema? o Pistas de auditora? o Controles de acceso sobre el software en produccin? Se han documentado las adiciones, eliminacin o cambios a la autorizacin de acceso? Existe documentacin de intentos de violacin? De se as, ha habido seguimiento?

de

Software seguridad sistema

de del

Implementacin de software del sistema

Documentacin de autorizacin

Pg. 83

Documentacin del sistema

Actividades de mantenimiento de software del sistema Controles de cambios al software del sistema

Las siguientes reas se documentan adecuadamente: o Estados de control de instalacin? o Tablas de parmetros? o Definiciones de salida? o Registros (logs)/informes de actividad? Est disponible la documentacin de cambios realizados al software del sistema? Son las versiones actuales del software respaldadas por el proveedor? Est el acceso a las bibliotecas que contienen el software del sistema limitado a la o las personas que necesitan contar con dicho acceso? Son los cambios al software documentados de manera apropiada y probados antes de su implementacin? Es el software debidamente autorizado antes de ser trasladado del ambiente de prueba al ambiente de produccin? Se han implementado todos los nivele de software? Se han llevado a cabo actualizaciones del anterior? Estn los cambios en el software del sistema programados para los momentos en que los que stos tengan un impacto menor en el procesamiento de SI? Se ha establecido un plan escrito para aprobar los cambios al software del sistema? Son los procedimientos de prueba adecuados para ofrecer una garanta razonable de que los cambios aplicados al sistema corrigen los problemas que se conocen y que no crean nuevos problemas? Las pruebas se estn concluyendo como se planific? Los problemas encontrados durante la realizacin de las pruebas han sido resueltos y los cambios han sido sometidos a prueba nuevamente? Se han establecido los procesos de reversin o restauracin en caso de falla de produccin?

Controles sobre la instalacin del software del sistema cambiado

12.1.3. Revisiones de la base de datos

reas que se deben revisar Esquema lgico

Preguntas que se deben considerar Existen todas las entidades que contiene el diagrama de entidadrelacin como tablas o vistas? Estn todas las relaciones representadas mediante claves externas? Se especifican las limitaciones con claridad? Estn permitidos los ceros en las claves externas solamente si estn conformes con la cardinalidad expresada en el modelo entidad-relacin? Se ha realizado la asignacin de espacio (almacenamiento) inicial y de extensin para las tablas, registros, ndices y reas temporales segn los requerimientos? Estn presentes los ndices por clave primaria o claves de acceso frecuente? Si la base de datos no est regulada por estndares, se acepta la justificacin? Se usan los ndices para minimizar los tiempos de acceso? Se han construido los ndices en forma correcta? Si se utilizan bsquedas abiertas que no se basan en los ndices, stas se justifican? Se identifican dentro de la base de datos los niveles de seguridad para todos los usuarios y sus funciones, y se justifican los derechos de acceso para todos los usuarios y/o grupos de usuarios? Afectan los procedimientos de importacin y exportacin la integridad y confidencialidad de los datos?

Esquema fsico

Informes tiempo acceso

de de

Controles de seguridad de la base de datos Interfaces con otros

Pg. 84

programas/ software Procedimientos y controles de respaldo y recuperacin ante desastres Controles de SI respaldados por la base de datos

Se han establecido mecanismos y procedimientos para asegurar el manejo adecuado de la consistencia e integridad durante los accesos simultneos? Existen procedimientos de respaldo y recuperacin ante desastres para asegurar la confiabilidad y disponibilidad de la base de datos? Existen controles tcnicos para garantizar una alta disponibilidad y/o una rpida recuperacin de la base de datos? Es apropiado el acceso a los datos compartidos? Se utilizan los procedimientos de cambio adecuados para asegurar la integridad del software de administracin de la base de datos? Est la redundancia de los datos minimizada por el sistema de administracin de la base de datos? Donde existen datos redundantes, se mantiene la referencia cruzada apropiada dentro del diccionario de datos del sistema o de otra documentacin? Se mantiene la integridad del diccionario de datos del sistema de administracin de la base de datos?

12.1.4. Revisiones de infraestructura e implementacin de la red

reas que se deben revisar Controles fsicos Dispositivos de hardware de red Servidor de archivos Documentacin Registros de llave

Preguntas que se deben considerar Estn los dispositivos de hardware de red ubicados en una instalacin segura y restringidos al administrador de red? Est el alojamiento de los servidores de archivos de red bloqueado o protegido de alguna otra forma para evitar el retiro de tarjetas, chips o el computador mismo?

Armario de cableado de red y cableado de transmisin Controles ambientales Instalacin del Son los controles de humedad y temperatura adecuados? servidor Se han establecido medidas de proteccin contra la electricidad esttica? Se han colocado los protectores de picos de corriente? Se ha instalado un sistema de supresin de incendios y ha sido probado/verificado peridicamente? Se encuentran los extinguidores de incendios cerca y han sido inspeccionados regularmente? Est la red equipada con UPS10 que permita a la red operar en caso de fluctuaciones menores de la energa elctrica o ser apagado debidamente en caso de un corte prolongado de energa? Se ha instalado el aislamiento electromagntico?
10

Se controlan las llaves para acceder a las instalaciones de archivos de red a fin de evitar el riesgo de un acceso no autorizado? Estn las llaves de acceso asignadas solamente a las personas correspondientes, por ejemplo al administrador de red y al personal de soporte? Elija una muestra de llaves que tienen las personas que no tienen acceso autorizado para las instalaciones del servidor de archivos de la red y para el armario de cableado a fin de determinar que estas llaves no permitan el acceso a estas instalaciones. Estn los cables protegidos fsicamente?

Suministro ininterrumpido de alimentacin

Pg. 85

 Se supervisa el suministro de energa de los componentes de la red en forma adecuada para garantizar que cumpla con las especificaciones del fabricante? Estn los medios de almacenamiento de respaldo protegidos de daos ambientales? Se mantiene la instalacin del servidor libre de polvo, humo y de otros materiales, como alimentos? Controles de seguridad lgica Contraseas Se les asigna a los usuarios contraseas nicas? Se les solicita a los usuarios cambiar las contraseas peridicamente? Son las contraseas encriptadas y no se muestran en la pantalla de la computadora cuando se ingresan? Acceso de Se basa el acceso de usuarios a la red en una autorizacin escrita y se usuario a la red otorga sobre la base de la necesidad de saber/hacer, y sobre la base de las responsabilidades de la persona? Se desactivan automticamente las estaciones de trabajo de red despus de un corto perodo de inactividad? Est prohibido el acceso remoto al supervisor del sistema? Son todos los intentos de inicio de sesin (logon) con la cuenta de supervisor capturados en el sistema computarizado? Son las actividades realizadas mediante las cuentas de supervisor o del administrador sometidas a una verificacin independiente? Mantiene el supervisor de red actualizada la informacin con relacin a todas las lneas de comunicacin conectadas con el exterior? Solicitudes de Son las solicitudes de cambio de acceso a la red autorizadas por el cambio de gerente correspondiente? Se utilizan formularios estndar? acceso a la red Se documentan las solicitudes de inserciones, cambios y eliminaciones de acceso lgico de la red? Planes de Son apropiados los planes de prueba de implementacin, conversin y prueba aceptacin de la red distribuida de procesamiento de datos, hardware y enlaces de comunicacin, desarrollados por la organizacin? Informes de Slo ocurren accesos autorizados? seguridad Se revisan los informes de seguridad en forma apropiada y oportuna? En el caso de usuarios no autorizados, son los procedimientos de seguimiento apropiados y oportunos? Mecanismos de Se han identificado en la red todos los archivos/conjuntos de datos seguridad sensibles y se han determinado los requerimientos para su seguridad? Se controlan todos los cambios del software del sistema operativo utilizado por la red y realizados por la administracin de SI (o en los sitios de usuarios)? Puede el administrador de red o los responsables de la red detectar estos cambios en forma oportuna? Las personas slo tienen acceso a las aplicaciones, procesadores de transacciones y conjuntos de datos autorizados? Estn los comandos del sistema que afectan a ms de un sitio de la red restringidos a una terminal y a una persona autorizada con una responsabilidad de control general de la red y autorizacin de seguridad? Se usa la encriptacin de la red para codificar datos sensibles? Se establecieron los procedimientos para asegurar controles efectivos sobre el hardware y el software usados por los departamentos atendidos por la red de procesamiento distribuido? Son las polticas y procedimientos de seguridad apropiados para el entorno: o Altamente distribuido? - Est la seguridad bajo control de la administracin de usuarios individuales? o Distribuido? - Est la seguridad bajo la direccin de la administracin de usuarios, pero acata las directrices establecidas por la administracin de SI? o Mixto? - Est la seguridad bajo la direccin de la administracin de usuarios individuales pero la responsabilidad total permanece

Pg. 86

Procedimientos de operacin de red

Entrevista a la persona responsable del mantenimiento de la seguridad de la red Entrevista a los usuarios

en la administracin de SI? o Centralizado? - Est la seguridad bajo la direccin de administracin de SI, donde el personal de la administracin de SI mantiene una relacin estrecha con la administracin de usuario? o Altamente centralizado? - Est la seguridad bajo el completo control de la administracin de SI? Se aplica debidamente a todos los conjuntos de datos de la red los procedimientos para asegurar la compatibilidad de los datos y se han determinado los requerimientos para su seguridad? Se han instalado mecanismos adecuados de reinicio y recuperacin en todos los lugares de usuarios atendidos por la red de procesamiento distribuido? Se ha diseado la red distribuida de SI para asegurar que un fallo en el servidor de servicio en cualquiera de los sitios tendr un efecto mnimo sobre el servicio continuado para los dems sitios atendidos por la red? Existen disposiciones que aseguren el cumplimiento de las leyes y reglamentos que rijan la transmisin de datos? La persona est consciente de los riesgos asociados con el acceso fsico y lgico que deben minimizarse? Est consciente de la necesidad de monitorear activamente los inicios de sesin (logons) y dar cuenta de los cambios de empleado? La persona tiene la capacidad de conocer cmo mantener y monitorear el acceso? Los usuarios estn conscientes de las polticas de administracin con relacin a la seguridad de la red y la confidencialidad?

12.1.5. Revisiones de las operaciones de SI

reas que se deben revisar Observacin del personal de SI

Preguntas que se deben considerar Se han implementado controles para asegurar la eficiencia de las operaciones y la adhesin a los estndares y polticas establecidos? Existe una supervisin adecuada? Se han implementado controles con respecto a la revisin de la gestin de SI, la integridad de los datos y la seguridad? Est restringido a los operadores el acceso a los archivos y la documentacin? Se han limitado las responsabilidades por la operacin de las computadoras y los equipos perifricos relacionados? Est restringido el acceso para corregir problemas relacionados con los programas y los datos? Se debe restringir el acceso a los utilitarios que permiten hacer correcciones al software y/o los datos del sistema? Est limitado el acceso al cdigo fuente de produccin y las bibliotecas de datos (incluyendo la ejecucin de procedimientos)? Son adecuadas las instrucciones sobre: o El manejo de la computadora y sus equipos perifricos? o Los procedimientos de inicio y cierre? o Las acciones que se deben realizar en caso de que falle la mquina o el programa? o Los registros que se deben conservar? o Las funciones normales del trabajo y las actividades restringidas? Tiene prohibido el bibliotecario el acceso al hardware de computadora? Tiene el bibliotecario acceso solamente al sistema de gestin de cintas? Se proporciona acceso a las instalaciones de la biblioteca solamente al personal autorizado? Restringe el software de elaboracin de cronogramas de produccin la

Acceso a los operadores

Manuales operador

del

Acceso a biblioteca

la

Pg. 87

Contenido y ubicacin del almacenamiento fuera de lnea

Procedimientos para manejar archivos

Introduccin de datos

Operaciones lights-out

eliminacin de archivos? Debe manejar el bibliotecario el recibo y la devolucin de medios externos que entren a la biblioteca? Se mantienen registros (logs) de las actividades de inicio y fin de sesin en relacin con los archivos de datos y medios de almacenamiento? Estn claramente identificados con su contenido los medios de almacenamiento de archivos fuera de lnea que contienen los programas y datos del sistema de produccin? Estn ubicadas las instalaciones de la biblioteca lejos de la sala de computadoras? Son adecuadas las polticas y procedimientos para: o Administrar la biblioteca fuera de lnea? o Registrar la entrada y salida de los medios de almacenamiento, incluyendo los requerimientos de autorizaciones de firma? o Identificar, etiquetar, entregar y recuperar archivos de respaldo ubicados fuera de sitio? o Hacer inventario del sistema para determinar los medios de almacenamiento locales y fuera de sitio, incluyendo las ubicaciones especficas donde se almacena cada cinta? o Eliminar de forma segura los medios de almacenamiento, incluyendo los requerimientos de autorizaciones de firma? Se han establecido procedimientos para controlar la recepcin y envo de archivos y medios secundarios de almacenamiento desde y hacia otros lugares? Se utilizan etiquetas para las cintas internas a fin de asegurar que se elijan los medios de almacenamiento correctos para el procesamiento? Son adecuados estos procedimientos y concuerdan con la intencin y la autorizacin de la gerencia? Se estn aplicando estos procedimientos? Estn autorizados los documentos de introduccin de datos y contienen estos documentos las firmas apropiadas? Se ha realizado la conciliacin de los totales por lotes? Existe segregacin de funciones entre la persona que introduce los datos y la persona que verifica si los datos introducidos estn correctos y si hay errores? Se est generando los informes de control? Son exactos los informes? Se mantienen y revisan los informes? A menudo se otorga acceso remoto a la consola principal a los operadores disponibles para fines de contingencia, como por ejemplo una falla en el software automatizado. Est suficientemente limitado el acceso a las funciones de seguridad para proteger el sistema contra uso no autorizado? Permiten los planes de contingencia identificar adecuadamente un desastre en las instalaciones automatizadas? Se han documentado y probado adecuadamente el software de operacin automatizada y los procedimientos manuales de contingencia en el sitio de recuperacin? Estn presentes controles de cambios a los programas y controles de acceso? Se llevan a cabo pruebas del software peridicamente, en especial cuando se aplican cambios o actualizaciones? Existen garantas de que no hay errores ocultos por el software y que todos los errores son notificados por el operador?

12.1.6. Revisin de planificaciones (scheduling) o cronogramas

reas que se

Preguntas que se deben considerar

Pg. 88

deben revisar Aplicaciones programadas regularmente Fechas tope de entradas Tiempo de preparacin de los datos Tiempo estimado de procesamiento Fechas tope de salidas Procedimientos para recolectar, reportar y analizar los indicadores de desempeo Programa de trabajo

Se incluyen los tems en los acuerdos de nivel de servicio (SLA)= Funcionan los tems conforme a los SLA?

Programa diario de trabajos

Registro (log) de consola Registros (logs) de excepciones

Re-ejecucin de trabajos

Se han identificado las aplicaciones crticas y se les asign la prioridad ms alta? Se han establecido las prioridades de procesamiento para otras aplicaciones y se han justificado las prioridades asignadas? Coinciden los programas de trabajos urgentes/de repeticin con la prioridad asignada? Facilitan los procedimientos de elaboracin de programas la utilizacin ptima de los recursos computarizados y cumplen con los requerimientos de servicio? Registran los operadores los trabajos que se deben procesar y los archivos de datos requeridos? Los operadores programan los trabajos de procesamiento de una manera predeterminada y los ejecutan utilizando software de planificacin automatizada o planificacin manual? Es la cantidad de personal que se asigna a cada turno adecuada para procesar la carga de trabajo? Sirve el programa diario de trabajos como una pista de auditora? Especifica el programa diario de trabajos a cada turno de operadores de computadoras el trabajo que se debe realizar, la secuencia en la que se deben ejecutar los programas y cundo se puede hacer el trabajo que tiene baja prioridad? Pasa cada operador al final de un turno un estado de los trabajos realizados y los motivos por los que no se termin algn trabajo que estaba programado al planificador de trabajos o al siguiente turno de operadores? Se realizaron y completaron los trabajos de acuerdo con el programa? Si no fue as, son vlidas las razones? Obtienen los operadores aprobacin escrita o electrnica de los propietarios cuando preparan el programa de trabajos a pedido? Registran los operadores todas las solicitudes de procesamiento de excepciones? Revisan los operadores el registro (log) de procesamiento de excepciones para determinar si los procedimientos realizados son apropiados? Son debidamente autorizadas y registradas todas las re-ejecuciones de trabajos para que la gerencia de SI las revise? Se han establecido procedimientos para repetir la ejecucin de trabajos a fin de asegurar que se usen los archivos de entrada correctos y que los trabajos posteriores en la secuencia tambin se vuelvan a ejecutar si

Pg. 89

Personal

fuera apropiado? Tiene el personal capacitado para asignar o cambiar programas o prioridades de trabajos autorizacin para hacerlo?

12.1.7. Revisiones de reportes gerenciales de problemas

reas que se deben revisar Entrevista al personal de operaciones de SI Procedimientos utilizados por el departamento de SI Documentacin de las operaciones Registros de rendimiento Entradas sobresalientes del registro (log) de errores Registros (logs) de llamadas del centro de soporte (help desk)

Preguntas que se deben considerar Se han desarrollado procedimientos documentados para guiar al personal de operaciones de SI en las actividades de registro (logging), anlisis, solucin y escalamiento de problemas de manera oportuna, de acuerdo con la intencin y autorizacin de la gerencia? Son adecuados los procedimientos para registrar, evaluar y resolver o escalar los problemas de operacin o procesamiento? Son adecuados los procedimientos utilizados por el departamento de SI para recolectar estadsticas relacionadas con el rendimiento del procesamiento en lnea y es exacto y completo el anlisis? Se registran todos los problemas identificados por las operaciones de SI para su verificacin y solucin? Existen problemas durante el procesamiento? Son vlidas las razones de las demoras en el procesamiento de los programas de aplicacin? Son significativos y recurrentes los problemas identificados, y las acciones realizadas para prevenir su recurrencia? Se resolvieron los problemas de procesamiento de manera oportuna y la solucin fue completa y razonable? Hay problemas recurrentes que no se han notificado a la gerencia de SI?

Pg. 90

CAPTULO XIII PROTECCIN DE LOS ACTIVOS DE INFORMACIN

13.1.

Auditora de acceso lgico

El auditor de SI debe [7]: Obtener una comprensin general de los riesgos de seguridad que enfrenta el procesamiento de la informacin a travs de una revisin de la documentacin relevante, la consulta, la observacin, la evaluacin del riesgo y las tcnicas de evaluacin. Documentar y evaluar los controles sobre las rutas potenciales de acceso al sistema para determinar si son adecuados, eficientes y efectivos revisando las funciones apropiadas de seguridad de hardware y software e identificando cualesquiera deficiencias o redundancias. Probar los controles sobre las rutas de acceso para determinar si estn funcionando y son efectivas aplicando las tcnicas apropiadas de auditora. Evaluar el ambiente de control de acceso para determinar si se logran los objetivos de control analizando los resultados de las pruebas y otras evidencias de auditora. Evaluar el ambiente de seguridad para determinar si es adecuado revisando las polticas escritas, observando las prcticas y los procedimientos y comparndolos con los estndares o las prcticas y los procedimientos de seguridad apropiados que usan otras organizaciones. 13.2. Auditora a la seguridad de infraestructura de red

El auditor de SI debe [7]: Revisar los diagramas de red (LAN, MAN, WAN) que identifican la infraestructura interconectada de las organizaciones, la cual incluira pasarelas, cortafuegos, enrutadores, conmutadores, concentradores, servidores de acceso, mdems, etc. Identificar el diseo de red implementado, incluyendo la estrategia de IP usada, la segmentacin de enrutadores y conmutadores para el ambiente de la localidad, y configuraciones y protocolos WAN.

Pg. 91

Determine si existen las polticas de seguridad, estndares, procedimientos y orientacin aplicables sobre la administracin y el uso de la red y si stos se han dado a conocer al personal y a los administradores de la red.

Identificar quin es el responsable de la seguridad y operacin de las conexiones de Internet y evaluar si tiene suficientes conocimientos y experiencia para asumir dicho rol.

Determinar si se han considerado los problemas legales que surgen del uso de Internet. Si se externaliza el servicio, revisar los acuerdos de nivel de servicio para asegurar que incluyan disposiciones para la seguridad adems de

disponibilidad y calidad de servicio. Revisar los procedimientos del administrador de red para asegurar que los componentes de hardware y software estn actualizados en respuesta a nuevas vulnerabilidades. 13.3. Auditora a los controles ambientales

Los procedimientos de prueba son los siguientes [7]: Detectores de agua y de humo Extintores manuales de incendio Sistemas de supresin de incendios Inspeccin peridica del departamento de bomberos Paredes, pisos y techos a prueba de incendios alrededor de la sala de computadoras Protectores de voltaje Lneas de energa provenientes de dos subestaciones Plan totalmente documentado y probado de la continuidad del negocio Cableado colocado en paneles y conductos elctricos UPS/Generador Planes documentados y probados de evacuacin durante emergencias Control de humedad/temperatura

Pg. 92

REFERENCIAS BIBLIOGRFICAS
[1] Real Academia Espaola. (2012, Marzo) Real Academia Espaola. [Online]. http://buscon.rae.es [2] Effy Oz, Administracin de los sistemas de informacin, Quinta ed. Mxico: Thomson, 2008. [3] Ian Sommerville, Ingeniera de Software, Sexta ed. Mxico: Pearson Educacin, 2002. [4] Mario Piattini Velthuis, Emilio Del Peso Navarro, and Mar Del Peso Ruiz, Auditora de Tecnologas y Sistemas de Informacin, Primera edicin ed. Mxico: Alfaomega, 2008. [5] Carlos Muoz Razo, Auditora en Sistemas Computacionales. Mxico: Pearson Educacin, 2002. [6] lvaro Ivn Jimnez Alzate, Una Visin Sistmica de la Auditora Informtica. Cali, Colombia: Universidad Santiago de Cali, 2009. [7] ISACA, Manual de Preparacin al Examen CISA 2011. EEUU, 2010. [8] IT Governance Institute, Directrices de Auditora, Tercera ed. EEUU, 2000. [9] ISACA, Marco de Riesgos de TI. EEUU, 2009. [10] The Institute of Internal Auditors, Global Technology Audit Guide: Information Technology Controls. Florida, EEUU, 2005. [11] IT Governance Institute, COBIT 4.1. EEUU, 2007. [Online]. http://www.isaca.org/Pages/DocumentDownloadRegistration.aspx?file=http://ww w.isaca.org/Knowledge-Center/cobit/Documents/cobiT4.1spanish.pdf [12] IT Governance Institute, COBIT Control Practice: Guidance to Achieve Control Objectives for Successful IT Governance, Segunda ed. EEUU, 2007. [13] Oficina del Contralor de Puerto Rico. (2011, Septiembre) Informes publicados de la Oficina del Contralor de Puerto Rico. [Online]. http://www.ocpr.gov.pr/informes_en_PDF/pdf_2011_2012/ti/TI-12-04.pdf [14] John Baschab and Jon Piot, The Executive's Guide to Information Technology, Segunda ed. EEUU: John Wiley & Sons, 2007.

Pg. 93