Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Abril de 1998
2da Edicin
Emitido por el Comit Directivo de COBIT y
la Information Systems Audit and Control Foundation
La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de
empresas y auditores.
ARGENTINA
ARUBA
AUSTRALIA
AUSTRIA
BAHAMAS
BAHRAIN
BANGLEDESH
BARBADOS
BLGICA
BERMUDA
BOLIVIA
BOSTSWANA
BRASIL
BRUENI
CANAD
CHILE
CHINA
COLOMBIA
COSTA RICA
CROATA
CURAZAO
CYPRUS
REPBLICA CHECA
DINAMARCA
REPBLICA DOMINICANA
ECUADOR
EGIPTO
ESTONIA
ISLAS FAEROE
FINLANDIA
FRANCIA
ALEMANIA
GHANA
GRECIA
GUAM
GUATEMALA
HONDURAS
HONG KONG
HUNGRA
ISLANDIA
INDIA
INDONESIA
IRLANDA
ISRAEL
ITALIA
IVORY COAST
JAMAICA
JAPN
JORDN
KENYA
COREA
KUWAIT
LATVIA
LEBANON
alta calidad.
programas y servicios.
Programas y Servicios
de la Asociacin
Los Programas y Servicios de la Asociacin
han ganado prestigio al establecer los niveles ms altos de excelencia en certificacin,
estndares, educacin profesional y publicidad tcnica.
su programa de certificacin (el Auditor de Sistemas de Informacin Certificado) es la nica designacin global
en toda la comunidad de control y
auditora de la TI.
Para ms Informacin
Para recibir informacin adicional, puede
llamar al (+1.847.253.1545), enviar un email a (research@isaca.org) o visitar nuestra
pgina (www.isaca.org).
LIECHTENSTEIN
LITUANIA
LUXEMBURGO
MALASIA
MALTA
MALAWI
MXICO
PASES BAJOS
NUEVA GUINEA
NUEVA ZELANDA
NIGERIA
NORUEGA
OMN
PAKISTN
PANAM
PER
FILIPINAS
POLONIA
PORTUGAL
QATAR
RUSIA
SAIPAN
ARABIA SAUDITA
ESCOCIA
SEYCHELLES
SINGAPUR
REP. ESLOVACA
ESLOVENIA
SUDFRICA
ESPAA
SRI LANKA
ST. KITTS
ST. LUCIA
SUECIA
SUIZA
SIRIA
TAIWAN
TANZANIA
TASMANIA
TAILANDIA
TRINIDAD & TOBAGO
TURQUA
UGANDA
EMIRATOS ARAB
UNIDOS
REINO UNIDO
ESTADOS UNIDOS
URUGUAY
VENEZUELA
VIETNAM
GALES
YEMEN
ZAMBIA
ZIMBABWE
Y TECNOLOGAS AFINES
CONTENIDO
Reconocimientos
4-5
Resumen Ejecutivo
7-8
Antecedentes
9-10
21
23-27, 29-31
28
Lineamientos de Auditora
33
Planeacin y Organizacin....................................35-86
Adquisicin e Implementacin............................87-118
Entrega de Servicios y Soporte..........................119-188
Monitoreo...........................................................189-204
Apndice I
Lista de Dominios, Procesos y
Objetivos de Control..........................................205-209
Apndice II
Material de Referencia Primaria........................210-211
Apndice III
Glosario de Trminos................................................212
Apndice IV
Proceso de Auditora..........................................213-216
Apndice V
Lmite de Responsabilidad
La Information Systems Audit and Control Foundation y los patrocinadores
de COBIT: Objetivos de Control para la Informacin y Tecnologas afines,
han diseado este producto principalmente como una fuente de instruccin
para los profesionales dedicados a las actividades de control. La Information
Systems Audit and Control Foundation y los patrocinadores no declaran que
el uso de este producto asegurar un resultado exitoso. No deber considerarse que este producto incluye todos los procedimientos o pruebas apropiados o que excluye otros procedimientos y pruebas que estn razonablemente
dirigidos hacia la obtencin de los mismos resultados. Para determinar la
conveniencia de cualquier prueba o procedimiento especfico, los expertos
en control debern aplicar su propio juicio profesional a las circunstancias
de control especiales presentadas por cada entorno de sistemas en particular.
Acuerdo de Licencia (disclosure)
Copyright 1996, 1998 de la Information Systems Audit and Control Foundation (ISACF). La reproduccin para fines comerciales no est permitida
sin el previo consentimiento por escrito de la ISACF. Se otorga permiso
para reproducir el Resumen Ejecutivo, el Marco Referencial y los Objetivos
de Control para uso interno no comercial, incluyendo almacenamiento en
medios de recuperacin de datos y transmisin en cualquier medio, incluyendo electrnico, mecnico, grabado u otro medio. Todas las copias del
Resumen Ejecutivo, el Marco Referencial y los Objetivos de Control deben
incluir el siguiente reconocimiento y leyenda de derechos de autor:
Copyright 1996, 1998 Information Systems Audit and Control Foundation,
reimpreso con la autorizacin de la Information Systems Audit and Control
Foundation. Ningn otro derecho o permiso relacionado con esta obra es
otorgado.
Las Directrices de Auditora y el conjunto de herramientas de implementacin no pueden ser reproducidos, almacenados en un sistema de recuperacin de datos o transmitido en ninguna forma ni por ningn medio
electrnico, mecnico, fotocopiado, grabado u otro medio- sin la previa
autorizacin por escrito de la ISACF.
Excepto por lo indicado, no se otorga ningn otro derecho o permiso relacionado con esta obra.
Traducido al espaol de COBIT 2da Edicin: Objetivos de Control para la
Informacin y Tecnologas afines por Gustavo A. Sols Montes, CISA con
el permiso de la Information Systems Audit and Control Foundation
(ISACF). Esta traduccin no fue revisada por la ISACF, por lo tanto, no
garantiza la fidelidad y/o exactitud de la misma. Si desea obtener mayor
informacin sobre ISACF, visite su web site en www.isaca.org.
Information Systems Audit and Control Foundation
3701 Algonquin Road, Suite 1010
Rolling Meadows, Illinois 60008 USA.
Telfono:
+1.847.253.1545
Fax:
+1.847.253.1443
E-mail:
research@isaca.org
Website:
www.isaca.org
220-222
COBIT
RECONOCIMIENTOS
PRINCIPALES PATRIOCINADORES DE LA
CORPORACIN A NIVEL MUNDIAL
Norway
Toronto
New Jersey
New Mexico
North Alabama
North Texas
Northeast Ohio
Northern United Kingdom
Philadelphia
Pittsburgh
Puget Sound
Research Triangle
Sacramento
San Diego
Santiago de Chile
Seoul
South Texas
St. Louis
Sweden
Tokyo
Tulsa
Victoria
Virginia
Wellington
Winnipeg
CONTRIBUCIONES INDIVIDUALES
Bill Bartgis
John Beveridge
William Bialkowski
Alllen Bragan
Maryanne S. Canant
Michael Donahue
John Lainhart
Akira Matsuo
4
Teresa McCauley
Robert G. Parker
Daniel Ramos
Deepak Sarup
Lily Shue
Patrick Stachtchenko
Kevin Weston
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
RECONOCIMIENTOS
EL EQUIPO DEL PROYECTO
INVESTIGADORES
Vrije Universiteit Amsterdam, The Netherlands
Prof. M.E. Van Biene-Hershey
Ren Barlage, RB Consultants
California Polytechnic University, USA
Prof. Dan Manson, Lead Researcher
CALIDAD GARANTIZADA
Gary Austin, GAO
Chris Bagot, NATO
Rick Beatty, California Federal Bank
Peter De Koninck, Coopers & Lybrand
Balencia Dozier, Manufacturers Bank
Doris Gin, Arthur Andersen & Co., LLP
A.I. Heijkamp, Computercentrum VSB
Max Huijbers, Rijkscomputercentrum
Peter Maertens, NATO
Bill Pepper, Zergo, Ltd.
Mark Stanley, Santa Barbara Bank
Tjerk Terpstra, Inter Access
Mark Wheeler, Farmers Insurance
Carla Williams, Executive Consultants
AGRADECIMIENTO ESPECIAL a los miembros de la Mesa
directiva de la Information Systems Audit and Control Association, y los Fideicomisarios de la Information Systems
Audit and Control Foundation por su continuo y firme apoyo
a la familia de productos de COBIT
COBIT
DIRECTRICES DE AUDITORA
RESUMEN EJECUTIVO
dueos de procesos para que estos posean total responsabilidad de todos los
aspectos relacionados con dichos procesos de negocio. En forma particular, esto
incluye el proporcionar controles adecuados. El Marco Referencial de COBIT
proporciona herramientas al propietario de procesos de negocio que facilitan el
cumplimiento de esta responsabilidad. El Marco Referencial comienza con una
premisa simple y prctica:
Con el fin de proporcionar la informacin que la empresa necesita
para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural.
ontina con un conjunto de 34 Objetivos de Control de alto nivel, uno para
cada uno de los Procesos de TI, agrupados en cuatro dominios: planeacin
& organizacin, adquisicin & implementacin, entrega (de servicio) y monitoreo. Esta estructura cubre todos los aspectos de informacin y de la tecnologa
que la soporta. Dirigiendo estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar que se proporciona un sistema de
control adecuado para el ambiente de tecnologa de informacin. Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe
una gua de auditora o de aseguramiento que permite la revisin de los procesos
de TI contra los 302 objetivos detallados de control recomendados por COBIT
para proporcionar a la Gerencia la certeza de su cumplimiento y/o una recomendacin para su mejora. COBIT contiene un conjunto de herramientas de implementacin que proporciona lecciones aprendidas por empresas que rpida y
exitosamente aplicaron COBIT en sus ambientes de trabajo. Incluye un Resumen
Ejecutivo para el entendimiento y la sensibilizacin de la alta gerencia sobre los
principios y conceptos fundamentales de COBIT. La gua de implementacin
cuenta con dos tiles herramientas (Diagnstico de Sensibilizacin Gerencial y
Diagnstico de Control en TI ) para proporcionar asistencia en el anlisis del
ambiente de control en una organizacin.
a administracin de una empresa requiere de prcticas generalmente aplicables y aceptadas de control y gobierno en TI para medir en forma comparativa tanto su ambiente de TI existente, como su ambiente planeado.
COBIT es una herramienta que permite a los gerentes comunicarse y salvar la
brecha existente entre los requerimientos de control, aspectos tcnicos y riesgos
de negocio. COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de TI a travs de organizaciones, a nivel mundial. El objetivo de
COBIT es proporcionar estos objetivos de control, dentro del marco referencial
definido, y obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo.
Por lo tanto, COBIT esta orientado a ser la herramienta de gobierno de TI
que ayude al entendimiento y a la administracin de riesgos asociados
con tecnologa de informacin y con tecnologas relacionadas.
1
2
3
4
5
6
7
COBIT
PROCESOS DE IT DE COBIT DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS
OBJEIVOS
OBJETIVOS DE
DE NEGOCIO
NEGOCIO
PO1
OBI
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control
Interno
M3 Obtener aseguramiento
independiente
M4 Proporcionar auditora independiente
INFORMACION
MONITOREO
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
PLANEACION Y
ORGANIZACION
RECURSOS DE TI
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
ENTREGA Y
SOPORTE
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
ADQUISICION E
IMPLEMENTACION
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
ANTECEDENTES
una revisin crtica y actualizacin de las guas
el desarrollo de un marco referencial para control en TI como fundamento para los objetivos
de control en TI y como una gua para la investigacin consistente en auditora y control de TI;
una alineacin del marco referencial general y de
los objetivos de control individuales, con estndares y regulaciones internacionales existentes de
hecho y de derecho; y
una revisin crtica de las diferentes actividades
y tareas que conforman los dominios de control
en TI y, cuando fuese posible, la especificacin de
indicadores de desempeo relevantes (normas,
reglas, etc.) y
COBIT
ANTECEDENTES, contina
l
SUMARIO DE LOS
EXECUTIVOS
MACRO REFERENCIAL
objetivos de control de
alto nivel
GUIAS GERENCIALS
Factores Crticos
del xito
10
11
12
OBJETIVOS DETALLADOS
DE CONTROL
Cumplimiento de los
Principales Indicadores
Programa de la Conciencia
DIRECTRICES DE
AUDITORIA
Medidas Comparativas
Y TECNOLOGAS AFINES
la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber amenazas y la guerra de
informacin
el potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio,
crear nuevas oportunidades y reducir costos
EL AMBIENTE DE NEGOCIOS:
COMPETENCIA, CAMBIO & COSTOS
La competencia global es ya un hecho. Las organizaciones se
reestructuran con el fin de perfeccionar sus operaciones y al
mismo tiempo aprovechar los avances en tecnologa de sistemas de informacin para mejorar su posicin competitiva. La
reingeniera en los negocios, las reestructuraciones, el outsourcing, las organizaciones horizontales y el procesamiento distribuido son cambios que impactan la manera en la que operan
tanto los negocios como las entidades gubernamentales. Estos
cambios han tenido y continuarn teniendo, profundas implicaciones para la administracin y las estructuras de control
operacional dentro de las organizaciones en todo el mundo.
La especial atencin prestada a la obtencin de ventajas competitivas y a la economa implica una dependencia creciente
en la computacin como el componente ms importante en la
estrategia de la mayora de las organizaciones. La automatizacin de las funciones organizacionales, por su naturaleza, dicta
la incorporacin de mecanismos de control ms poderosos en
13
11
COBIT
Objetivo
Objetivode
de
control
control en
enTI
TI
se
sedefine
define
como
como
Y TECNOLOGAS AFINES
La clasificacin de los dominios a los que se aplican los objetivos de control de alto nivel (dominios y procesos); una indicacin de los requerimientos de negocio para la informacin
en ese dominio, as como los recursos de TI que reciben un
impacto primario por parte del objetivo del control, forman
conjuntamente el marco Referencial COBIT. El marco referencial toma como base las actividades de investigacin que
han identificado 34 objetivos de alto nivel y 302 objetivos
detallados de control. El Marco Referencial fue mostrado a la
industria de TI y a los profesionales dedicados a la auditora
para abrir la posibilidad a revisiones, dudas y comentarios.
Las ideas obtenidas fueron incorporadas en forma apropiada.
DEFINICIONES
Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La definicin de Control est adaptada del
reporte COSO [Committee of Sponsoring Organisations of the
Treadway Commission. Internal Control-Integrated Framework, 1992 y la definicin para Objetivo de Control de TI
ha sido adaptada del reporte SAC (Systems Auditability and
Control Report). The Institute of Internal Auditors Research
Foundation, 1991 y 1994.
Control
Controlse
se
define
definecomo
como
13
COBIT
LOS PRINCIPIOS DEL MARCO REFERENCIAL
Existen dos clases distintas de modelos de control disponibles actualmente, aqullos de la clase del modelo de control de negocios (por ejemplo COSO) y los modelos ms enfocados a
TI (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe
entre los dos. Debido a esto, COBIT se posiciona como una herramienta ms completa para la Administracin y para operar a un
nivel superior que los estndares de tecnologa para la administracin de sistemas de informacin.. Por lo tanto, COBIT es el modelo para el gobierno de TI.
El concepto fundamental del marco referencial COBIT se refiere a
que el enfoque del control en TI se lleva a cabo visualizando la
informacin necesaria para dar soporte a los procesos de negocio y
considerando a la informacin como el resultado de la aplicacin
combinada de recursos relacionados con la Tecnologa de Informacin que deben ser administrados por procesos de TI.
Para satisfacer los objetivos del negocio, la informacin necesita
Requerimientos
de Negocio
Procesos de TI
Recursos de TI
Calidad
Costo
Entrega (de servicio)
Requerimientos
Fiduciarios
(COSO)
Requerimientos
de Seguridad
Confidencialidad
Integridad
Disponibilidad
14
Eficiencia
Confidencialidad
Integridad
14
Disponibildad
Cumplimiento
Confiabilidad
de la
Informacin
Aplicaciones
Tecnologa
Instalaciones
Personal
Y TECNOLOGAS AFINES
definirse como la inversin en cualquiera de los recursos mencionados anteriormente y podra causar confusin con los requerimientos de auditora financiera.
El Marco referencial no menciona, en forma especfica para
todos los casos, la documentacin de todos los aspectos
materiales importantes relacionados con un proceso de TI
particular. Como parte de las buenas prcticas, la documentacin es considerada esencial para un buen control y, por lo
tanto, la falta de documentacin podra ser la causa de revisiones y anlisis futuros de controles de compensacin en cualquier rea especfica en revisin.
Otra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios se describe a continuacin:
Datos
Eventos
Informacin
Sistemas de Aplicacin
Objetivos de negocio
Oportunidades de negocio
Requerimientos externos
Regulaciones
Riesgos
mensaje
entrada
TECNOLOGIA
INSTALACIONES
GENTE
servicio
salida
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
La informacin que los procesos de negocio necesitan es proporcionada a travs del empleo de recursos de TI. Con el fin
de asegurar que los requerimientos de negocio para la informacin son satisfechos, deben definirse, implementarse y monitorearse medidas de control adecuadas para estos recursos.
Cmo pueden entonces las empresas estar satisfechas respecto a que la informacin obtenida presente las caractersticas
que necesitan? Es aqu donde se requiere de un sano marco
referencial de Objetivos de Control para TI. El diagrama mostrado a continuacin ilustra este concepto.
PROCESOS
DE NEGOCIO
Criterios
INFORMACION
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
RECURSOS DE TI
datos
sistemas de aplicacin
tecnologa
instalaciones
gente
Concuerdan ?
15
COBIT
Criterios de informa-
s
ad
rio
ad
rid
lid
cia
a
u
gu
d
e
C
i
S
F
Dominios
Procesos
Actividades
Gente
Sistemas de Aplicacin
Tecnologa
Instalaciones
Datos
Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras
que las tareas son consideradas ms discretas. El concepto
de ciclo de vida cuenta tpicamente con requerimientos de
control diferentes a los de actividades discretas. Algunos
ejemplos de esta categora son las actividades de desarrollo
de sistemas, administracin de la configuracin y manejo de
cambios. La segunda categora incluye tareas llevadas a
cabo como soporte para la planeacin estratgica de TI, evaluacin de riesgos, planeacin de la calidad, administracin
de la capacidad y el desempeo.
Procesos de TI
I
eT
sd
o
rs
cu
Re
Procesos
Actividades
Por lo tanto, el marco referencial conceptual puede ser enfocado desde tres puntos estratgicos: (1) recursos de TI, (2)
requerimientos de negocio para la informacin y (3) procesos de TI. Estos puntos de vista diferentes permiten al marco
referencial ser accedido eficientemente. Por ejemplo, los
gerentes de la empresa pueden interesarse en un enfoque de
calidad, seguridad o fiduciario (traducido por el marco referencial en siete requerimientos de informacin especficos).
16
15
Jerga (jargon)
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Planeacin y
organizacin
Adquiscin e
implementacin
Entrega
Entrega yy
soporte
soporte
Monitoreo
PO1
COBIT
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control
Interno
M3 Obtener aseguramiento
independiente
M4 Proporcionar auditora independiente
INFORMACION
MONITOREO
PO2
PO3
PO4
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
PLANEACION Y
ORGANIZACION
RECURSOS DE TI
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
ENTREGA Y
SOPORTE
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
ADQUISICION E
IMPLEMENTACION
17
COBIT
Debe tomarse en cuenta que estos procesos pueden ser aplicados a diferentes niveles dentro de una organizacin. Por ejemplo, algunos de estos procesos sern aplicados al nivel corporativo, otros al nivel de la funcin de servicios de informacin,
otros al nivel del propietario de los procesos de negocio.
Secundario
Tambin debe ser tomado en cuenta que el criterio de efectividad de los procesos que planean o entregan soluciones a los
requerimientos de negocio, cubrirn algunas veces los criterios
de disponibilidad, integridad y confidencialidad. en la prctica, se han convertido en requerimientos del negocio. Por
ejemplo, el proceso de identificar soluciones automatizadas
deber ser efectivo en el cumplimiento de requerimientos de
disponibilidad, integridad y confidencialidad.
Blanco (vaco)
podra aplicarse; sin embargo, los requerimientos son satisfechos ms apropiadamente por otro criterio en este
proceso y/o por otro proceso.
Resulta claro que las medidas de control no satisfarn necesariamente los diferentes requerimientos de informacin del
negocio en la misma medida. Se lleva a cabo una clasificacin
dentro del marco referencial COBIT basada en rigurosos informes y observaciones de procesos por parte de investigadores,
expertos y revisores con las estrictas definiciones determinadas previamente.
Primario
18
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Actividades
Tecnologa
Procesos
Gente
Procesos de TI
Dominios
Sistemas de Aplicacin
s
d
d
rio
da
a
i
da
i
uri
l
c
g
a
u
C
Se
Fid
Instalaciones
Datos
Criterios de informacin
El control de
Proceso de TI
de
os
s
r
cu
Re
Que satisface
Requerimiento Es habilitado por
de Negocio
Declaracin de
Considerando
Control
Prcticas de
Control
19
COBIT
efe
cti
vi
efi dad
c
co ien
nfi
de cia
nc
int ialid
eg ad
dis rida
po d
n
cu ibilid
m
pli ad
co mie
nfi nt
ab o
ilid
ad
AYUDAS DE NAVEGACIN
Para facilitar el empleo eficiente de los objetivos de control
como soporte a los diferentes puntos de vista, se proporcionan algunas ayudas de navegacin como parte de la presentacin de los objetivos de control de alto nivel. Se proporciona una ayuda de navegacin para cada una de las tres dimensiones del marco referencial COBIT - procesos, recursos y
criterios -
P
Planeacin &
Organizacin
Criterios de
Informacin
Dominios
De TI
Adquisicin &
Implementacin
Entrega &
Soporte
TI
Recursos
Monitoreo
ge
ap nte
lica
c
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
PP
ge
ap nte
lica
c
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
efe
cti
vi
efi dad
c
co ien
nfi
de cia
nc
int ialid
eg ad
dis rida
po d
n
cu ibilid
m
pli ad
co mie
nfi nt
ab o
ilid
ad
Monitoreo
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
TABLA RESUMEN
La siguiente tabla proporciona una indicacin, por proceso
y dominio de TI, de cules criterios de informacin tienen
impacto de los objetivos de alto nivel, as como una indicacin de cules recursos de TI son aplicables.
Recursos de TI
ef
ec
ef tivid
ici ad
e
co nc
nf ia
int iden
eg ci
dis rida alid
p d ad
cu onib
m ilid
co plim ad
nf ie
iab nt
ilid o
rerec ad
cuur
sissisrsososs
tete h
u
tecte mm
aa m
nconos ds deano
insin logloge ina s
tast a ia foprlic
mac
dada laacliac
aci
totso onion
inn
s ese
s
Criterios de Informacin
DOMINIO
Planeacin y
Organizacin
Adquisicin e
Implementacin
Entrega de servicios y
Soporte
Monitoreo
PROCESO
PO1
PO2
PO3
PO4
PO5
PO6
PO7
PO8
PO9
P010
PO11
AI1
AI2
AI3
AI4
AI5
AI6
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
M1
M2
M3
M4
P S S S S S
P S S S S S
P
S
S
P
P P S S S
P
P
P S
P
P
S
S
P P
S
P
P
P P
P P
S S
P
P
P
P
P
P
P
P
P
P
P
P
S
P
P
P
P
P
P
P
P
S
S S S
S
S
P
S
S
P
P S
S P P P S S
P
P
P
S
S
P
P
P
S
S S
S
S
S S
S S
P P
S
P
P
P
P
S
P
P
P
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
21
COBIT
22
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
3.
4.
Las Directrices de Auditora no pretenden ser una herramienta para crear el plan y cobertura general de auditora
23
COBIT
Identificacin y documentacin
Evaluacin
Pruebas de cumplimiento
Pruebas justificantes
El proceso de TI, por lo tanto, se audita mediante:
La obtencin de un entendimiento de los riesgos
relacionados con los requerimientos del negocio, y
de las medidas relevantes de control
La evaluacin de la conveniencia de los controles establecidos
La valoracin del cumplimiento
por medio de probar si los controles
establecidos estn funcionando como se espera, de manera consistente y continua
La justificacin del riesgo de que
los objetivos de control no se estn
cumpliendo mediante el uso de tcnicas analticas y/o consultando
fuentes alternativas.
Con el objetivo de brindar asistencia a la administracin en
la forma de asesora de aseguramiento, hemos desarrollado
esta estructura dentro de un marco referencial fundamentado
en los requerimientos del COBIT:
Estndares de la industria
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Condiciones Locales
Criterios especficos del sector
Estndares de la industria
Elementos especficos de la plataforma
Tcnicas detalladas de control utilizadas
Nivel 2
Directrices del proceso de auditora
Nivel 3
Puntos de atencin de auditora para
complementar los objetivos detallados
de control
El siguiente paso es identificar los requerimientos de informacin que tienen una relevancia particular con respecto a los
procesos del negocio. Luego necesitaremos identificar los
riesgos inherentes de TI, as como el nivel general de control
que puede asociarse con el proceso del negocio. Para lograrlo,
identificamos:
25
COBIT
Basndonos en la informacin obtenida, ahora podemos seleccionar los procesos relevantes de COBIT, as como tambin los recursos que aplican a los mismos. Esto pudiera
requerir que ciertos procesos de COBIT necesiten auditarse
varias veces, cada vez para una plataforma o sistema distinto.
La persona deber determinar una estrategia de auditora
basndose en el plan detallado de auditora que deber ela-
procesos
recursos
Controles de riesogo x
Pasos y tareas
Puntos de decisin
La plantilla en la pgina 28 presenta los requerimientos genricos para auditar procesos de TI para brindar el primer
nivel de lineamientos de auditora, generalmente aplicables a
todos los procesos. Est primordialmente orientado hacia la
comprensin del proceso y la determinacin de la propiedad
y deber ser el fundamento y el marco referencial para todos
los lineamientos detallados de auditora.
Esta misma plantilla luego se aplica a los 34 procesos que se
identifican en el Marco Referencial de COBIT.
Los principios generales de control tambin pueden proporcionar una gua adicional sobre cmo complementar las Directrices de Auditora. Estos principios estn primordialmente enfocados sobre el proceso y las responsabilidades del
control, los estndares de control y los flujos de la informacin de control.
El control, desde el punto de vista de la administracin, se
define como el determinar qu se est logrando; esto es, evaluar el desempeo y si es necesario aplicar medidas correctivas para que el desempeo tome lugar de acuerdo con lo
planeado.
26
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Acto
Normas
Estndares
KPI / CSF
Comparacin
Proceso
Informacin
De Control
27
COBIT
DIRECTRIZ GENERAL DE AUDITORA
OBTENCIN DE UN ENTENDIMIENTO
Los pasos de auditora a realizar para documentar las actividades subyacentes a los objetivos de control, as como tambin identificar las medidas/procedimientos de control establecidas.
Etrevistar al personal adminstrativo y de staff indicado para lograr la comprensin de:
Los requerimientos del negocio y los riesgos asociados
La estructura organizacianal
Los papels y responsabilidades
Las medidas de control establecidas
La actividad de reporte a la administracin (estatus, desempeo, acciones)
Documentar los recursos de TI relacionados con el proceso que se ven especialmente afectados por el proceso bajo revisin. Confirmar el entendimiento del proceso bajo revisin, los Indicadores Clave de Desempeo (KPI) del proceso, las implicacones de
control, por ejemplo, mediante una revisin paso a paso del proceso.
JUSTIFICAR EL RIESGO
Los pasos de auditora a realizar para justificar el riesgo de que no se cumpla el objetivo de control mendiante el uso de tcnicas
analticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinin e impresionar a la administratcin para que
tome accin. Los auditores tienen que ser creativos para encontrar y presentar esta informacin que con frecuencia es susceptible y confidencial.
Documentar las debilidades del control y las amenazas y vulnerabilidades resultantes.
Identifcar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-raz.
Brindar informacin comparativa; por ejemplo, mediante puntos de referencia.
28
DIRECTRICES DE AUDITORA
Accin
Y TECNOLOGAS AFINES
Verificacin
Estratgico
Reporte
Tctico
Reporte
Administrativo
Correccin
Los controles tambin operan en diferentes niveles dentro
del ciclo tradicional de Planear-Hacer-Verificar-Corregir con
el que la administracin se siente cmoda. Este modelo ilustra:
RESUMEN
En breve, las Directrices de Auditora detallados siempre
pueden complementarse tomando en cuenta el Lineamiento
Genrico y el proceso bajo revisin, y obteniendo tareas de
auditora adicionales para lograr el objetivo de auditora. El
desarrollo del programa de auditora en s puede beneficiarse
de tomar en consideracin los requerimientos del proceso de
auditora de TI, el Marco Referencial de COBIT y los Objetivos de Control de Alto Nivel, y las Consideraciones de Control que se muestran aqu.
RELACIN ENTRE LOS OBJETIVOS DE
RECTRICES DE AUDITORA
Los objetivos han sido desarrollados a partir de una orientacin al proceso porque la administracin est buscando asesora a proactivo sobre cmo tratar el problema de mantener
TI bajo control. Los Objetivos de Control ayudan a la administracin a establecer el control sobre el proceso, las Directrices de Auditora ayudan al auditor o asesor a asegurar que
el proceso est realmente bajo control, de tal manera que los
requerimientos de informacin necesarios para lograr los
objetivos del negocio sern satisfechos.
La relacin entre estos dos conceptos es el proceso, por lo
que las Directrices de Auditora han sido desarrollados para
29
COBIT
Marco de Referencia de Control
efec
Observaciones de Control
Adquisicin &
Implementacin
in
dis tegr
po idad
nib
cu ilidad
m
plim
co ient
nfi
abil o
idad
tiv
idad
co
nfi efici
den en
cia cia
lid
ad
Requerimientos de
Proceso de Auditoria
Acto
Planeacin &
Organizacin
Entrega &
Soporte
Normas
Estndares
KPI / CSF
Monitoreo
El control de
Comparacin
Proceso
Proceso de TI
Lo cual satisface
Requerimientos
de negocio
Informacin de
Control
es posible por
Los Estatutos
de Control
considerando las
Prcticas de
Control
ap
licac ge
ione nte
tecns
ol
facil oga
idad
es
da
tos
Lineamientos
Detallados de Auditoria
Lineamiento
General de Auditoria
identificar
evaluar
Uso en
comunicacin
probar
establecer
La utilizacin del Marco Referencial, los Objetivos de Control y las Directrices de Auditora como fundamento para la
tarea de auditora/valoracin nos presenta algunas ventajas
definitivas:
30
Como un estndar para definir las reas de TI auditables para el plan estratgico de auditora, con
el fin de asegurar
Y TECNOLOGAS AFINES
Evaluacin de
Vulnerabilidad
Evaluacin
de Riesgo
ContraMedidas
Evaluacin
del Riesgo
Plan de
Accin
Evaluacin
del Control
Riesgo
Residual
31
COBIT
32
LINEAMIENTOS DE AUDITORA
Y TECNOLOGAS AFINES
DIRECTRICES DE AUDITORA
33
COBIT
34
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
35
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO1
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi nt
ab o
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos de TI de negocio, as como para asegurar sus logros futuros.
se hace posible a travs de:
un proceso de planeacin estratgica emprendido en intervalos regulares dando lugar a planes a largo plazo. Los planes a
largo plazo debern ser traducidos peridicamente en planes
operacionales estableciendo metas claras y concretas a corto
plazo:
y toma en consideracin:
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
21
36
DIRECTRICES DE AUDITORA
PO 1
Y TECNOLOGAS AFINES
OBJETIVOS DE CONTROL
1
TANTO LOS OBJETIVOS DE CONTROL DETALLADOS COMO LOS DE ALTO NIVEL SON AUDITADOS MEDIANTE:
La obtencin de un entendimiento a travs de:
Entrevistas:
Director General
Director de Operaciones
Director de Finanzas
Director de TI
Miembros del comit planeador de la funcin de servicios de informacin.
Presidencia y personal de recursos humanos de la funcin de servicios de informacin
Obteniendo:
Polticas y procedimientos inherentes al proceso de planeacin.
Tareas y responsabilidades de planeacin de la Presidencia.
Objetivos y planes a corto y largo plazo organizacionales.
Objetivos y planes a corto y largo plazo de tecnologa de informacin.
Reportes de estatus y minutas de las reuniones del comit planeador.
Evaluar los controles::
Considerando s:
Las polticas y procedimientos de negocios de la funcin de servicios de informacin siguen un enfoque de planeacin
estructurado. Se ha establecido una metodologa para formular y modificar los planes y que cubran, como mnimo:
misin y las metas de la organizacin
iniciativas de tecnologa de informacin para soportar la misin y las metas de la organizacin
oportunidades para las iniciativas de tecnologa de informacin
estudios de factibilidad de las iniciativas de tecnologa de informacin
evaluacin de los riesgos de las iniciativas de tecnologa de informacin
inversin ptima de las inversiones en tecnologa de informacin actuales y futuras
reingeniera de las iniciativas de tecnologa de informacin para reflejar los cambios en la misin y las metas
de la organizacin.
evaluacin de las estrategias alternativas para las aplicaciones de datos, tecnologa y organizacin
AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL
37
COBIT
Los cambios organizacionales, la evolucin tecnolgica, los requerimientos regulatorios, la reingeniera de los procesos de
negocios, las fuentes externas e internas, etc. estn siendo consideradas y dirigidas adecuadamente en el proceso de
planeacin.
Existen planes de tecnologa de informacin a corto y largo plazo, si stos son actuales, estn dirigidos adecuadamente a la
empresa en general, si su misin y proyectos de tecnologa de informacin para las funciones clave de negocios estn
soportados por la documentacin apropiada segn lo definido en la metodologa de planeacin de tecnologa de informacin.
Existen puntos de revisin para asegurar que los objetivos de tecnologa de informacin y los planes a corto y largo plazo
continan satisfaciendo los objetivos y los planes a corto y largo plazo organizacionales.
Los propietarios de procesos y la Presidencia de los planes de tecnologa de informacin llevan a cabo revisiones y aprobaciones formales.
El plan de la tecnologa de informacin evala los sistemas de informacin existentes en trminos del grado de automatizacin, funcionalidad, estabilidad, complejidad, costos, fortalezas y debilidades del negocio.
Evaluar la suficiencia:
8
Probando que:
Las minutas de las reuniones del comit planeador de la funcin de servicios de informacin reflejan el proceso de planeacin.
Los elementos entregables y liberables de la metodologa de planeacin existen segn lo indicado.
Se incluyen iniciativas de tecnologa de informacin en los planes a corto y largo plazos de la funcin de servicios de
informacin (por ejemplo, cambios de hardware, planeacin de capacidad, arquitectura de informacin, desarrollo
u obtencin de nuevos sistemas, planeacin de recuperacin en caso de desastre, instalacin de plataformas para
nuevos procesamientos, etc.).
Las iniciativas de tecnologa de informacin soportan la investigacin, el entrenamiento, la asignacin de personal, las
instalaciones, el hardware y el software.
Se hayan identificado las implicaciones para las iniciativas de tecnologa de informacin
Se haya tomado en consideracin la optimizacin de inversiones de tecnologa de informacin actuales y futuras
Los planes a corto y largo plazo de tecnologa de informacin son consistentes con los planes a corto y largo plazo de
la organizacin, as como con los requerimientos de sta.
Se han modificado los planes para reflejar condiciones cambiantes.
Los planes a largo plazo de tecnologa de informacin son traducidos peridicamente en planes a corto plazo.
Existen tareas para implementar los planes.
38
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Llevando a cabo:
Mediciones ("Benchmarking") de planes estratgicos de tecnologa de informacin contra organizaciones similares o
buenas prcticas industriales reconocidas/estndares internacionales apropiados.
Una revisin detallada de los planes de TI para asegurar que las iniciativas de tecnologa de informacin reflejen la
misin y las metas de la organizacin.
Una revisin detallada de los planes de TI para determinar si, como parte de las soluciones de tecnologa de informacin contenidas en los planes, se han identificado reas de debilidad dentro de la organizacin que requieren ser
mejoradas.
Identificando:
Fallas en la tecnologa de informacin para satisfacer la misin y las metas de la organizacin.
Fallas en la tecnologa de informacin para concordar los planes a corto y largo plazo.
Fallas en la tecnologa de informacin para satisfacer planes a corto plazo.
Fallas en la tecnologa de informacin para satisfacer lineamientos de costos y tiempos.
Oportunidades de negocios no aprovechadas.
Oportunidades de tecnologa de informacin no aprovechadas.
39
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO2
efe
cti
v
efi idad
c
co ie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
documentacin
diccionario de datos
reglas de sintaxis de datos
propiedad de la informacin y clasificacin de
severidad22
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
22
40
Severidad (criticality)
DIRECTRICES DE AUDITORA
PO 2
Y TECNOLOGAS AFINES
OBJETIVOS DE CONTROL
1
2
3
4
Entrevistas:
Director de TI
Miembros del comit planeador de la funcin de servicios de informacin.
Presidencia de la funcin de servicios de informacin.
Funcionario de Seguridad
Obteniendo:
Polticas y procedimientos sobre la arquitectura de informacin.
Modelo de la arquitectura de informacin.
Documentos que soporten el modelo de la arquitectura de informacin, incluyendo el modelo de datos corporativo.
Diccionario de datos corporativo
Poltica de propiedad de datos
Funciones y responsabilidades de planeacin de la Presidencia.Objetivos y planes a corto y largo plazo de
tecnologa de informacin
Reporte de estatus y minutas de las reuniones del comit planeador
Evaluar los controles::
Considerando s:
Las polticas y procedimientos de la funcin de los servicios de informacin dirigen el desarrollo y mantenimiento del
diccionario de datos.
El proceso utilizado para actualizar el modelo de la arquitectura de informacin toma como base los planes a corto y
largo plazo, considera los costos y riesgos asociados y asegura que las aprobaciones formales de la Presidencia
sean obtenidas antes de hacer modificaciones al modelo.
Se utiliza algn proceso para mantener actualizados el diccionario de datos y las reglas de sintaxis de datos.
Se utiliza algn medio para distribuir el diccionario de datos para asegurar que ste sea accesible para las reas de desarrollo y que los cambios sean reflejados inmediatamente.
41
COBIT
Las polticas y procedimientos de la funcin de servicios de informacin dirigen la clasificacin de los datos, incluyendo categoras de seguridad y propiedad de datos, y si las reglas de acceso para las clases de datos estn claras y
apropiadamente definidas.
Los estndares definen la clasificacin "default" para los activos de datos que no contienen un identificador de clasificacin.
Las polticas y procedimientos de la funcin de servicios de informacin dirigen lo siguiente:
la existencia de un proceso de autorizacin que requiera que el propietario de los datos (tal como lo define la
poltica de propiedad de datos) autorice todos los accesos a stos datos, as como los atributos de seguridad
de los mismos.
los niveles de acceso estn definidos y sean apropiados para la clasificacin de datos.
el acceso a datos delicados requiera de niveles de acceso explcitos y que los datos sean nicamente proporcionados si existe una verdadera necesidad de acceder a ellos.
Evaluar la suficiencia:
8
Probando que:
Estn identificados los cambios realizados al modelo de arquitectura de informacin para confirmar que dichos cambios reflejan la informacin de los planes a largo y corto plazo, as como los costos y los riesgos.
La evaluacin del impacto de cualquier modificacin realizada al diccionario de datos y cualquier cambio realizado al
diccionario de datos para asegurar que stos han sido comunicados efectivamente.
Varios sistemas de aplicacin operacional y proyectos de desarrollo para confirmar que el diccionario de datos es utilizado para la definicin de datos.
La adecuacin de la documentacin del diccionario de datos para confirmar que ste define los atributos de datos y los
niveles de seguridad para cada elemento de datos.
La propiedad de la clasificacin de datos, de los niveles de seguridad, de los niveles de acceso y "defaults".
Cada clasificacin de datos defina claramente:
quin puede tener acceso
quin es responsable de determinar el nivel de acceso apropiado
la aprobacin especfica requerida para el acceso
los requerimientos especiales para el acceso (por ejemplo, acuerdo de confidencialidad)
42
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
8 Identificando:
Inconsistencias en el modelo de arquitectura de informacin y en el modelo de datos corporativo, en el diccionario
de datos corporativo, en los sistemas de informacin asociados y en los planes a largo y corto plazo de tecnologa
de informacin.
Elementos obsoletos en el diccionario de datos corporativo y reglas de sintaxis de datos en las que se haya perdido
tiempo debido a cambios realizados inadecuadamente al diccionario de datos.
Elementos de datos en los que la propiedad no haya sido claramente y/o apropiadamente determinada
Clases de datos que hayan sido definidos de manera no apropiada.
Niveles de seguridad de datos inconsistentes con la regla de "necesidad de acceso" ("need to know").
43
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO3
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
fraestructura actual
monitoreo de desarrollos tecnolgicos
contingencias
planes de adquisicin
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P
44
DIRECTRICES DE AUDITORA
PO 3
Y TECNOLOGAS AFINES
OBJETIVOS DE CONTROL
1
2
3
4
5
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
La obtencin de un entendimiento a travs de:
8
Entrevistas:
Director General
Director de Operaciones
Director de Finanzas
Director de TI
Miembros del comit planeador de la funcin de servicios de informacin
Presidencia de la funcin de servicios de informacin
Obteniendo:
Polticas y procedimientos relacionados con la planeacin y el monitoreo de la infraestructura tecnolgica.
Tareas y responsabilidades de planeacin de la Presidencia.
Objetivos y planes a largo y corto plazo de la organizacin.
Objetivos y planes a largo y corto plazo de tecnologa de informacin.
Plan de adquisicin de hardware y software de tecnologa de informacin.
Plan de infraestructura tecnolgica.
Estndares de tecnologa.
Reportes de estatus y minutas de las reuniones del comit planeador.
45
COBIT
La poltica y procedimientos de la funcin de los servicios de informacin aseguran la consideracin de la necesidad de evaluar y monitorear las tendencias y condiciones regulatorias tecnolgicas presentes y futuras, y si
stas son tomadas en consideracin durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica.
Se planean el impacto logstico y ambiental de las adquisiciones tecnolgicas.
Las polticas y procedimientos de la funcin de servicios de informacin aseguran que se considere la necesidad
de evaluar sistemticamente el plan tecnolgico para aspectos de contingencia (por ejemplo, redundancia, resistencia, adecuacin y capacidad evolutiva de la infraestructura).
La administracin de la funcin de los servicios de informacin evala tecnologas de vanguardia, e incorpora
tecnologas apropiadas a la infraestructura de servicios de informacin actual.
Los planes de adquisicin de hardware y software suelen satisfacer las necesidades identificadas en el plan de
infraestructura tecnolgica y si stos son aprobados apropiadamente.
Se encuentran establecidos los estndares de tecnologa para los componentes tecnolgicos descritos en el plan de
infraestructura tecnolgica.
Evaluar la suficiencia:
8
Probando que:
La administracin de la funcin de servicios de informacin comprende y utiliza el plan de infraestructura tecnolgica.
Se hayan realizado cambios al plan de infraestructura tecnolgica para identificar los costos y riesgos inherentes, y que
dichos cambios reflejen las modificaciones a los planes a largo y corto plazo de tecnologa de informacin.
La administracin de la funcin de servicios de informacin comprende el proceso de monitoreo y evaluacin de nuevas tecnologas, y que incorpora tecnologas apropiadas a la infraestructura de servicios de informacin actual.
La administracin de la funcin de servicios de informacin comprende el proceso de evaluar sistemticamente el plan
de tecnologa en cuanto a aspectos de contingencia (por ejemplo, redundancia, resistencia, adecuacin y capacidad
evolutiva de la infraestructura).
La existencia de un ambiente fsico de la funcin de servicios de informacin adecuado para alojar el hardware/
software actualmente instalado, as como nuevo hardware/software a ser aadido segn el plan de adquisiciones
actual aprobado.
El plan de adquisicin de hardware y software cumple con los planes a largo y corto plazo de tecnologa de informacin, reflejando las necesidades identificadas en el plan de infraestructura tecnolgica.
El plan de infraestructura tecnolgica dirige la utilizacin de tecnologa actual y futura.
Se cumpla con los estndares de tecnologa y que stos sean agregados e incorporados como parte del proceso de desarrollo.
El acceso permitido sea consistente con los niveles de seguridad definidos en las polticas y procedimientos de la funcin de servicios de informacin, y que se haya obtenido la autorizacin apropiada para el acceso.
46
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
8 Llevando a cabo:
Mediciones ("Benchmarking") de la planeacin de infraestructura tecnolgica contra organizaciones
similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas.
Una revisin detallada del diccionario de datos para verificar que es completo en lo referente a elementos clave.
Una revisin detallada de los niveles de seguridad definidos para datos delicados.
8 Identificando:
Inconsistencias en el modelo de arquitectura de informacin y en el modelo de datos corporativo, en el
diccionario de datos corporativo, en los sistemas de informacin asociados y en los planes a largo
y corto plazo de tecnologa de informacin.
Elementos de diccionario de datos y reglas de sintaxis de datos obsoletos.
Aspectos de contingencia no considerados en el plan de infraestructura tecnolgica.
Planes de adquisicin de hardware y software de tecnologa de informacin que no reflejen las necesidades de plan de infraestructura tecnolgica.
Estndares de tecnologa que no sean consistentes con el plan de infraestructura tecnolgica o con los
planes de adquisicin de hardware y software de tecnologa de informacin.
Un plan de infraestructura tecnolgica o planes de adquisicin de hardware y software de tecnologa
de informacin que no sean consistentes con los estndares de tecnologa.
Elementos clave omitidos en el diccionario de datos.
47
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO4
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
consejo
propiedad, custodia
supervisin
segregacin de funciones
roles y responsabilidades
descripcin de puestos
niveles de asignacin de personal
personal clave
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
48
DIRECTRICES DE AUDITORA
PO 4
Y TECNOLOGAS AFINES
OBJETIVOS DE CONTROL
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
La obtencin de un entendimiento a travs de:
8
Entrevistas:
Director General
Director de Operaciones
Director de Finanzas
Director de TI
Oficial de Aseguramiento de Calidad
Oficial de Seguridad de Informacin
Miembros del comit planeador de la funcin de servicios de informacin, recursos humanos y Presidencia.
Obteniendo:
Funciones y responsabilidades de planeacin de la Presidencia.
Objetivos y planes a largo y corto plazo organizacionales.
Objetivos y planes a largo y corto plazo de tecnologa de informacin.
Organigrama organizacional que muestre la relacin entre la funcin de servicios de informacin y otras funciones.
Polticas y procedimientos relacionadas con la organizacin y las relaciones de tecnologa de informacin.
Polticas y procedimientos relacionados con el aseguramiento de la calidad.
Polticas y procedimientos utilizados para determinar los requerimientos de asignacin de personal de la funcin
de servicios de informacin.Organigrama organizacional de la funcin de servicios de informacin.
49
COBIT
Funciones y responsabilidades de la funcin de servicios de informacin.
Descripcin de los puestos clave de la funcin de servicios de informacin.
Reportes de estatus y minutas de las reuniones del comit de planeacin.
Evaluar los controles::
8
Considerando s:
Las polticas y los comunicados de la Presidencia aseguran la independencia y la autoridad de la funcin de los servicios de informacin.
Se han definido e identificado la calidad de miembro, las funciones y las responsabilidades del comit de planeacin de
la funcin de servicios de informacin.
Los estatutos del comit de planeacin de la funcin de servicios de informacin alinean las metas del comit con los
objetivos y los planes a largo y corto plazo de la organizacin y con los objetivos y planes a largo y corto plazo de
tecnologa de informacin.
Se han establecido procesos para incrementar el conocimiento la conciencia, la comprensin y la habilidad para identificar y resolver problemas de administracin de la informacin.
Las polticas consideran la necesidad de evaluar y modificar la estructura organizacional para satisfacer objetivos y
circunstancias cambiantes.
Existen procesos e indicadores de desempeo para determinar la efectividad y aceptacin de la funcin de servicios de
informacin.
La Presidencia se asegura que las funciones y responsabilidades estn siendo llevadas a cabo.
Existen polticas que determinen las funciones y responsabilidades para todo el personal dentro de la organizacin con
respecto a sistemas de informacin, control y seguridad internos.
Existen campaas regulares para incrementar la conciencia y disciplina en cuanto al control y la seguridad interna.
Existen polticas y funciones de aseguramiento de la calidad.
La funcin de aseguramiento de la calidad cuenta con la independencia suficiente con respecto al personal de desarrollo de sistemas y con una asignacin de personal y experiencia adecuados para llevar a cabo sus responsabilidades.
Existen procedimientos establecidos dentro del aseguramiento de la calidad para calendarizar recursos y asegurar el
cumplimiento de las pruebas y aprobacin del aseguramiento de la calidad antes de que se implementen nuevos
sistemas o cambios a los sistemas.
La Gerencia ha asignado formalmente la responsabilidad a lo largo de toda la organizacin para la formalicen de polticas y procedimientos de control y seguridad internos (tanto lgicos como fsicos) a algn funcionario de seguridad
de la informacin.
El funcionario de seguridad de la informacin comprende adecuadamente las funciones y responsabilidades y si stas
han mostrado consistencia con respecto a la poltica de seguridad de la informacin de la organizacin.
La poltica de seguridad de la organizacin define claramente las responsabilidades sobre la seguridad de la informacin que cada propietario de activos (por ejemplo, usuarios, administracin y administradores de seguridad) debe
llevar a cabo.
Existen polticas y procedimientos que cubran datos y propiedad de sistemas para todas las fuentes de datos y sistemas
ms importantes.
Existen procedimientos para revisar y mantener cambios en la propiedad de los datos y los sistemas regularmente.
Existen polticas y procedimientos que describan las prcticas de supervisin para asegurar que las funciones y responsabilidades sean ejercidas apropiadamente y que todo el personal cuente con suficiente autoridad y recursos para
llevar a cabo sus funciones y responsabilidades.
50
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
operaciones y usuarios
Probando que:
El comit planeador de la funcin de servicios de informacin vigila a la funcin de servicios de informacin y sus actividades.
La propiedad de la jerarqua de reporte para la funcin de servicios de informacin.
La efectividad de la localizacin de la funcin de servicios de informacin dentro de la organizacin en cuanto a facilitar una relacin de sociedad con la alta Gerencia.
La Presidencia de la funcin de servicios de informacin comprenda cules son los procesos utilizados para monitorear,
medir y reportar el desempeo de la funcin de servicios de informacin.
La utilizacin de indicadores clave para evaluar el desempeo.
Los procesos para analizar los resultados reales contra los niveles meta, con el fin de determinar las acciones correctivas realizadas cuando los resultados reales no alcanzan los niveles meta.
Las acciones realizadas por la administracin en cuanto a cualquier variacin significativa con respecto a los niveles
esperados de desempeo.
La administracin de usuarios/propietarios evala la capacidad de respuesta y la habilidad de la funcin de servicios de
informacin para proporcionar soluciones de tecnologa de informacin que satisfagan las necesidades de usuarios/propietarios.
La Gerencia de la funcin de servicios de informacin conoce sus funciones y responsabilidades.
51
COBIT
Aseguramiento de la calidad se involucre en la prueba y aprobacin de los planes de proyectos de la funcin de servicios de informacin.
El personal de seguridad de la informacin revisa los sistemas operativos y los sistemas de aplicacin esenciales.
La adecuacin de los reportes o documentacin de la funcin de seguridad de la informacin al evaluar la seguridad de
la informacin (tanto lgica como fsica) ya existente o en desarrollo.
Existe suficiente conocimiento, conciencia y una aplicacin consistente de las polticas y procedimientos de seguridad
de la informacin.
El personal asiste a los entrenamientos de seguridad y control interno.
La propiedad de los datos y sistemas se encuentra definida para todos los activos de informacin.
Los propietarios de datos y sistemas hayan aprobado los cambios realizados a dichos datos y sistemas.
Todos los datos y sistemas cuentan con un propietario o custodio que sea responsable del nivel de control sobre los
datos y sistemas.
El acceso a todos los activos de datos y sistemas es aprobado por el/los propietario(s) de los activos.
La lnea directa de autoridad y supervisin asociada con el puesto est en conformidad con las responsabilidades del
beneficiado.
Las descripciones de puestos delinean claramente tanto la autoridad como la responsabilidad.
Las descripciones de puestos describen claramente las aptitudes de negocios, relaciones y tcnicas requeridas.
Las descripciones de puestos hayan sido comunicadas con precisin y hayan sido comprendidas por el personal.
Las descripciones de puestos para la funcin de servicios de informacin contienen indicadores clave de desempeo
que han sido comunicados al personal.
Las funciones y responsabilidades del personal de la funcin de servicios de informacin corresponden tanto a las descripciones de puestos publicadas como al organigrama.
Existan descripciones de puestos para las posiciones clave y que stas incluyan los mandatos de la organizacin relativos a sistemas de informacin, control y seguridad internos.
La precisin de las descripciones de puestos comparadas contra las responsabilidades actuales de los encargados de
dichas posiciones.
La naturaleza y el alcance de la suficiencia de la segregacin de funciones deseada y de las limitaciones de funciones
dentro de la funcin de servicios de informacin.
El mantenimiento de la competencia del personal de tecnologa de informacin.
La propiedad de las descripciones de puestos como base para la adecuacin y la claridad de las responsabilidades, autoridad y criterios de desempeo.
Las responsabilidades de administracin por contrato hayan sido asignadas al personal apropiado.
Los trminos de los contratos sean consistentes con los estndares normales para contratos de la organizacin y que los
trminos y condiciones contractuales estndar hayan sido revisados y evaluados por un consultor legal, cuyo
acuerdo haya sido obtenido.
Los contratos contienen clusulas apropiadas con respecto al cumplimiento de: polticas de seguridad corporativa y
control interno y estndares de tecnologa de informacin.
Existen procesos y/o estructuras que garantizan una coordinacin efectiva y eficiente para lograr relaciones exitosas.
52
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Llevando a cabo:
Mediciones ("Benchmarking") de la organizacin y de las relaciones contra organizaciones similares o estndares
internacionales/buenas prcticas reconocidas por la industria apropiadas.
Una revisin detallada para determinar el impacto sobre la organizacin causada por un comit de planeacin de
la funcin de servicios de informacin no efectivo.
Una revisin detallada para medir el progreso de la funcin de servicios de informacin al tratar con problemas de
sistemas de informacin e implementar soluciones tecnolgicas.
Una revisin detallada para evaluar la estructura organizacional, las aptitudes del personal, las funciones y responsabilidades asignadas, la propiedad de datos y sistemas, supervisin, segregacin de funciones, etc.
Una revisin detallada de la funcin de aseguramiento de la calidad para determinar su efectividad en la satisfaccin de los requerimientos de la organizacin.
Una revisin detallada de la funcin de seguridad de la informacin para determinar su efectividad para proporcionar seguridad general en la organizacin (tanto lgica como fsica) y entrenamiento de conocimiento y
conciencia de seguridad.
Una revisin detallada de una muestra de contratos para confirmar que stos hayan sido ejecutados apropiadamente por ambas partes y que cumplan con los trminos contractuales estndar de la organizacin.
Identificando:
Debilidades en la funcin de servicios de informacin y sus actividades ocasionadas por una vigilancia no efectiva
por parte del comit de planeacin de dicha funcin.
Lagunas, traslapes, etc. en la estructura organizacional que traen como resultado ineficacia e ineficiencia en la
funcin de servicios de informacin.
Estructuras organizacionales inapropiadas, funciones faltantes, personal insuficiente, deficiencias en competencia,
funciones y responsabilidades no apropiadas, confusin en la propiedad de datos y sistemas, problemas de
supervisin, falta de segregacin de funciones, etc.
Sistemas en proceso de desarrollo, modificados o implementados que cumplen con los requerimientos de aseguramiento de la calidad.
Sistemas en proceso de desarrollo, modificados o implementados que cumplen con los requerimientos de seguridad (lgica, fsica, o ambos).
Contratos que no cumplen con los requerimientos contractuales de la organizacin.
Coordinacin y comunicacin no efectivas entre la funcin de servicios de informacin y otros intereses dentro y
fuera de esta funcin.
53
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO5
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Manejo de la inversin
que satisface los requerimientos de negocio de:
asegurar el financiamiento y el control de desembolsos de recursos
financieros
se hace posible a travs de:
presupuestos peridicos sobre inversiones y operacin establecidos y aprobados por el negocio
y toma en consideracin:
alternativas de financiamiento
control del gasto real
justificacin de costos
justificacin del beneficio
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P
54
DIRECTRICES DE AUDITORA
PO 5
Y TECNOLOGAS AFINES
OBJETIVOS DE CONTROL
1
Monitoreo de Costos
Justificacin de Costos
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
La obtencin de un entendimiento a travs de:
8
Entrevistas:
Director de Finanzas
Director de TI
Miembros del comit de planeacin de la funcin de servicios de informacin
Presidencia de la funcin de servicios de informacin
Obteniendo:
Polticas, mtodos y procedimientos organizacionales relacionados con la elaboracin del presupuesto y las actividades de costeo.
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con la elaboracin del presupuesto y las actividades de costeo.
Presupuesto operativo actual y del ao inmediato anterior para la funcin de servicios de informacin.
Objetivos y planes organizacionales a corto y largo plazo.
Objetivos y planes a corto y largo plazo de tecnologa de informacin.
Funciones y responsabilidades de planeacin de la Presidencia.
Reportes de variaciones y otros comunicados relacionados con el control y monitoreo de variaciones.
Reportes de estatus y minutas de las reuniones del comit de planeacin.
Considerando s:
El proceso de elaboracin del presupuesto de la funcin de servicios de informacin es consistente con el proceso de la
organizacin.
Existen polticas y procedimientos para asegurar la preparacin y la aprobacin adecuada de un presupuesto operativo
anual para la funcin de servicios de informacin, que sea consistente con el presupuesto y los planes a corto y
largo plazo de la organizacin y los planes a corto y largo plazo de tecnologa de informacin.
El proceso de elaboracin del presupuesto est vinculado con la administracin de las unidades ms importantes de la
funcin de servicios de informacin que contribuyen a su preparacin.
Existen polticas y procedimientos para monitorear regularmente los costos reales y compararlos con los costos proyectados y si los costos reales tienen como base el sistema de contabilidad de costos de la organizacin.
Existen polticas y procedimientos para garantizar que la entrega y liberacin de servicios por parte de la funcin de
servicios de informacin se justifican en cuanto a costos y estn en lnea con los costos de la industria.
55
COBIT
Evaluar la suficiencia:
8 Probando que:
El soporte en el presupuesto de la funcin de servicios de informacin es el adecuado para justificar el plan operativo anual de dicha funcin.
Las categoras de gastos de la funcin de servicios de informacin son suficientes, apropiadas y han sido clasificadas adecuadamente.
El sistema para registrar, procesar y reportar los costos asociados con las actividades de la funcin de servicios de
informacin en forma rutinaria es adecuado.
El proceso de monitoreo de costos compara adecuadamente los costos reales contra los presupuestados.
Los anlisis costo/beneficio llevados a cabo por la administracin de los grupos de usuarios afectados, la funcin
de servicios de informacin y la Presidencia de la organizacin son revisados adecuadamente.
Las herramientas utilizadas para monitorear los costos son usadas efectiva y apropiadamente.
Evaluar el riesgo de los objetivos de control no cumplidos:
8
Llevando a cabo:
Mediciones ("Benchmarking") de presupuestos y costos contra organizaciones y buenas prcticas reconocidas en
la industria/estndares internacionales apropiados.
Una revisin detallada del presupuesto actual y del ao inmediato anterior contra los resultados reales, variaciones
y acciones correctivas aplicadas.
Identificando:
Presupuestos de la funcin de sistemas de informacin que no estn en lnea con el presupuesto y los planes a corto y largo plazo de la organizacin y con los planes a corto y largo plazo de tecnologa de informacin.
Los costos reales de la funcin de servicios de informacin que no hayan sido capturados
56
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
57
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO6
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
58
DIRECTRICES DE AUDITORA
PO 6
Y TECNOLOGAS AFINES
OBJETIVOS DE CONTROL
1
Mantenimiento de Polticas
10
11
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
La obtencin de un entendimiento a travs de:
8
Entrevistas:
Director General
Director de Operaciones
Director de Finanzas
Director de TI
Funcionario de Seguridad
Miembros del comit de planeacin de la funcin de servicios de informacin
Presidencia de la funcin de servicios de informacin
Obteniendo:
Polticas y procedimientos relacionados con el marco referencial de control positivo y el programa de conocimiento y conciencia de la administracin, con el marco referencial de seguridad y control interno y con el programa
de calidad de la funcin de servicios de informacin.
Las funciones y responsabilidades de planeacin de la Presidencia.
Objetivos y planes a corto y largo plazo organizacionales..
Objetivos y planes a corto y largo plazo de tecnologa de informacin.
Reportes de estatus y minutas de las reuniones del comit de planeacin.
Un programa de comunicacin.
59
COBIT
Las polticas y procedimientos de la organizacin crean un marco referencial y un programa de conocimiento y conciencia, prestando atencin especfica a la tecnologa de informacin, propiciando un ambiente de control positivo y considerando aspectos
como:
Integridad
valores ticos
cdigo de conducta
seguridad y control interno
competencia del personal
filosofa y estilo operativo de la administracin
responsabilidad, atencin y direccin proporcionadas por el consejo directivo o su equivalente
La alta gerencia promueve un ambiente de control positivo a travs del ejemplo.
La administracin ha aceptado la responsabilidad total sobre la formulacin, el desarrollo, la documentacin, la promulgacin, el
control y la revisin regular de las polticas que rigen las metas y directivas generales.
Existe un programa de conocimiento y conciencia formal para proporcionar comunicacin y entrenamiento relacionados con el
ambiente positivo de control de la administracin.
Existen polticas y procedimientos organizacionales para asegurar que los recursos adecuados y apropiados son asignados para implementar las polticas de la organizacin de manera oportuna.
Existen procedimientos apropiados para asegurar que el personal comprende las polticas y procedimientos implementados, y que se
cumple con dichas polticas y procedimientos.
Las polticas y procedimientos de la funcin de servicios de informacin definen, documentan y mantienen una filosofa, polticas y
objetivos formales que rigen la calidad de los sistemas y servicios producidos, y que stos son consistentes con la filosofa,
polticas y objetivos de la organizacin.
La administracin de la funcin de servicios de informacin asegura que la calidad de la filosofa, las polticas y objetivos sea comprendida, implementada y mantenida a todos los niveles de la funcin de servicios de informacin.
Existen procedimientos que consideren la necesidad de revisar y aprobar peridicamente estndares, directivas, polticas y procedimientos clave relacionados con tecnologa de informacin.
La Presidencia ha aceptado la responsabilidad total sobre el desarrollo de un marco referencial para el enfoque general de seguridad
y control interno.
El documento del marco referencial de seguridad y control interno especifica la poltica, propsito, objetivos, estructura administrativa, alcance dentro de la organizacin, asignacin de responsabilidades y definicin de sanciones y acciones disciplinarias de
seguridad y control interno asociados con la falta de cumplimiento de las polticas de seguridad y control interno.
Las polticas de seguridad y control interno identifican el proceso de control interno de la organizacin e incluye componentes de
control tales como:
ambiente de control
reevaluacin de riesgos
actividades de control
informacin y comunicacin
monitoreo
Existen polticas para asuntos especiales para documentar las decisiones administrativas sobre actividades, aplicaciones, sistemas y
tecnologas particulares.
Evaluar los controles:
8
Probando que:
Los esfuerzos de la administracin para fomentar un control positivo cubren los aspectos clave tales como: integridad, valores ticos,
cdigo de conducta, seguridad y control interno, competencia del personal, filosofa y estilo operativo de la administracin, y
responsabilidad, atencin y direccin proporcionados.
Los empleados han recibido el cdigo de conducta y que lo comprenden.
Se da el proceso de comunicacin de las polticas de la administracin relacionadas con el ambiente de control interno de la organizacin.
60
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Existe el compromiso de la administracin en cuanto a los recursos para formular, desarrollar, documentar, promulgar y controlar
polticas que cubren el ambiente de control interno.
La propiedad y habilidad para adaptarse a condiciones cambiantes de las revisiones regulares de estndares, directivas, polticas y
procedimientos por parte de la administracin.
Los esfuerzos de monitoreo de la administracin aseguran la asignacin adecuada y apropiada de recursos para implementar las
polticas de la organizacin de manera oportuna.
Los esfuerzos de reforzamiento por parte de la administracin con respecto a los estndares, directivas, polticas y procedimientos
relacionados con su ambiente de control interno estn asegurando su cumplimiento a travs de toda la organizacin.
La filosofa, polticas y objetivos de calidad determinan el cumplimiento y la consistencia con la filosofa, polticas y procedimientos
corporativos y de la funcin de servicios de informacin.
La administracin de la funcin de servicios de informacin y el personal de desarrollo y operaciones determinan la filosofa de
calidad y su poltica relacionada, y que los procedimientos y objetivos son comprendidos y cumplidos por todos los niveles
dentro de la funcin de servicios de informacin.
Los procesos de medicin aseguran que los objetivos de la organizacin sean alcanzados.
Miembros seleccionados de la administracin estn involucrados y comprenden el contenido de las actividades de seguridad y control interno (por ejemplo, reportes de excepcin, conciliaciones, comparaciones, etc.) bajo su responsabilidad.
Las funciones individuales, las responsabilidades y lneas de autoridad se comunican claramente y se comprenden en todos los niveles de la organizacin.
Los departamentos seleccionados evalan procedimientos para monitorear en forma rutinaria actividades de seguridad y control
interno (por ejemplo, reportes de excepcin, conciliaciones, comparaciones, etc.) y que se da en proceso para proporcionar
retroalimentacin a la administracin.
La documentacin del sistema seleccionado confirma que las decisiones administrativas del sistema especfico han sido documentadas y aprobadas de acuerdo con las polticas y procedimientos organizacionales.
La documentacin del sistema seleccionado confirma que las decisiones administrativas con respecto a actividades, sistemas de
aplicacin o tecnologas particulares han sido aprobadas por la Presidencia.
Evaluar el riesgo de los objetivos de control no cumplidos:
8 Llevando a cabo:
Mediciones ("Benchmarking") del marco referencial de control de la informacin y del programa de conocimiento y conciencia de la administracin contra organizaciones similares o estndares internacionales/buenas prcticas de la industria
reconocidas adecuadas.
Una revisin detallada de una muestra de proyectos aprobados de seguridad y control interno para determinar que los proyectos fueron aprobados y tomaron como base un anlisis de riesgos y costo/beneficio.
8 Identificando:
Un marco referencial de control dbil que ponga en duda el compromiso de la administracin en cuanto al fomento de un ambiente de control interno positivo a travs de la organizacin.
Fallas en la administracin para comunicar efectivamente sus polticas relacionadas con el ambiente de control interno de la
organizacin.
Falta de recursos asignados para formular, desarrollar, documentar, promulgar y controlar polticas que cubran el ambiente de
control interno.
Estndares, directivas, polticas y procedimientos no actuales.
Incumplimiento por parte de la administracin para asegurar el respeto a los estndares, directivas, polticas y procedimientos a
travs de la organizacin.
Deficiencias en la funcin de servicios de informacin en su compromiso con la calidad o en su habilidad para definir, documentar, mantener y comunicar efectivamente una filosofa, polticas y objetivos de calidad.
Debilidades en el marco referencial de seguridad y control interno de la organizacin y/o en la funcin de servicios de informacin.
Ausencia de polticas para asuntos especficos requeridas para dirigir actividades, aplicaciones y tecnologas particulares.
AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL
61
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO7
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
reclutamiento y promocin
requerimientos de calificaciones
capacitacin
desarrollo de conciencia
entrenamiento cruzado
procedimientos de acreditacin
evaluacin objetiva y medible del desempeo
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
62
DIRECTRICES DE AUDITORA
PO 7
Y TECNOLOGAS AFINES
OBJETIVOS DE CONTROL
1
2
3
4
5
6
7
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
La obtencin de un entendimiento a travs de:
8
Entrevistas:
Funcionario de Recursos Humanos de la Organizacin y personal seleccionado
Funcionario de Seguridad
Personal seleccionado de seguridad
Administrador de la funcin de servicios de informacin
Funcionario de Recursos Humanos de la funcin de servicios de informacin
Administradores seleccionados de la funcin de servicios de informacin
Personal seleccionado de la funcin de servicios de informacin
Personal seleccionado asociado con posiciones sensibles en la funcin de servicios de informacin
Obteniendo:
Polticas y procedimientos relacionadas con la administracin de recursos humanos
Descripciones de puestos, formas de evaluacin del desempeo y formas de desarrollo y entrenamiento
Expedientes de personal de posiciones y personal seleccionado
Considerando s:
Se utilizan criterios para reclutar y seleccionar personal para cubrir posiciones vacantes.
Las especificaciones de las habilidades y conocimientos requeridos para las posiciones staff toman en consideracin requerimientos relevantes de profesionales cuando sea apropiado.
La administracin y los empleados aceptan el proceso de competencia del puesto.
Los programas de entrenamiento son consistentes con los requerimientos mnimos documentados de la organizacin relacionados con la educacin, el conocimiento y la conciencia generales que cubren los asuntos
de seguridad de la informacin.
La administracin est comprometida con el entrenamiento y el desarrollo profesional de sus empleados.
63
COBIT
Las brechas tcnicas y administrativas estn identificadas y si se estn llevando a cabo las acciones apropiadas
para manejar estas brechas.
Se dan los procesos de entrenamiento cruzado y respaldo de personal regularmente para las funciones de posiciones crticas.
Considerando si, contina
Se da reforzamiento la poltica de vacaciones ininterrumpidas.
Si el proceso de liquidacin de seguridad de la organizacin es adecuado.
Los empleados son evaluados tomando como base un conjunto estndar de perfiles de competencia para la posicin y si se llevan a cabo evaluaciones en forma peridica.
Los procesos de despido y cambio de puesto aseguran la proteccin de los recursos de la organizacin.
Las polticas y procedimientos de recursos humanos concuerdan con leyes y regulaciones aplicables.
Evaluar la suficiencia:
8
Probando que:
Las acciones de reclutamiento y/o seleccin, as como los criterios de seleccin reflejan objetividad y relevancia con
respecto a los requerimientos de la posicin.
El personal cuenta con los conocimientos adecuados de las operaciones para la funcin de su posicin o reas de responsabilidad.
Existen descripciones de puestos, y que stas sean revisadas y se mantienen actualizadas.
Los expedientes del personal contienen un reconocimiento del personal en cuanto a la comprensin del programa
general de educacin, conciencia y conocimiento de la organizacin.
Se de el proceso de entrenamiento y educacin continua para el personal apropiado asignado a funciones crticas.
El personal de seguridad de la informacin ha recibido el entrenamiento apropiado en procedimientos y tcnicas de
seguridad.
La administracin y el personal de la funcin de servicios de informacin tienen conocimiento, conciencia y comprenden las polticas y procedimientos organizacionales.
Los procedimientos de investigacin de despidos de seguridad son consistentes con leyes aplicables que rigen la confidencialidad.
El conocimiento de los objetivos del negocio por parte del personal asignado a las funciones crticas de servicios de informacin incluye la filosofa de los controles internos y los conceptos de control y seguridad de
sistemas de informacin.
Llevando a cabo:
Mediciones ("Benchmarking") de las actividades de recursos humanos contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria adecuados.
Una revisin detallada de las actividades de la administracin de recursos humanos de la funcin de servicios de
informacin.
8 Identificando:
Causas y objeciones/quejas por parte de candidatos al puesto potenciales/reales.
Discrepancias en las actividades de reclutamiento, transferencia, promocin y despido relacionadas con:
64
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Personal:
calificado no apropiadamente
cuyas evaluaciones de desempeo no existen o no dan soporte a la posicin ocupada y/o funciones llevadas a
cabo.
65
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO8
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
66
P P
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
DIRECTRICES DE AUDITORA
PO 8
Y TECNOLOGAS AFINES
OBJETIVOS DE CONTROL
1
2
3
4
5
6
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Entrevistas:
Consejo legal de la organizacin
Funcionario de Recursos Humanos de la Organizacin
Presidencia de la funcin de servicios de informacin
Obteniendo:
Requerimientos relevantes gubernamentales o externos (por ejemplo, leyes, legislaciones, guas, regulaciones y estndares) con respecto a relaciones y revisiones de requerimientos externos, aspectos de seguridad y salud
(incluyendo ergonoma), aspectos de confidencialidad, requerimientos de seguridad de sistemas de informacin
y transmisin de datos criptogrficos - tanto nacional como internacional.
'Estndares/declaraciones contables nacionales o internacionales relacionadas con el uso de comercio electrnico
Reglamentos sobre impuestos relacionados con el uso de comercio electrnico
Estndares, polticas y procedimientos sobre:
confidencialidad
seguridad
comercio electrnico
seguros
Copias de todos los contratos con socios de intercambio electrnico y con el proveedor de intercambio electrnico de
datos (EDI), si aplica
Copias de todos los contratos de seguros relacionados con la funcin de servicios de informacin
Orientacin del consejo legal sobre los requerimientos "uberrimae fidei" (de buena fe) para los contratos de seguros (Uberrimae fidei requiere que ambas partes divulguen completamente a la otra todo lo relacionado
con el riesgo. En caso de no mostrarse buena fe en este sentido, el contrato ser anulable por la parte
agraviada y no podr se puesto en vigor nuevamente por la parte culpable).
Reportes de auditora de auditores externos, proveedores de servicios como terceras partes y dependencias gubernamentales.
67
COBIT
Evaluar los controles:
8 Considerando s:
Existen polticas y procedimientos para:
asegurar las acciones correctivas apropiadas relacionadas con la revisin oportuna de los requerimientos externos y si existen procedimientos para asegurar un cumplimiento continuo.
coordinar la revisin de los requerimientos externos, con el fin de asegurar que se aplican oportunamente las
acciones correctivas que garantizan el cumplimiento de los requerimientos externos.
asegurar que se proporcionan entrenamiento y educacin en seguridad y salud apropiadamente a todos los
empleados.
proporcionar la direccin/enfoque adecuados sobre confidencialidad de tal manera que todos los requerimientos legales caigan dentro de este alcance.
informar a los aseguradores acerca de todos los cambios materiales realizados al ambiente de la funcin de
servicios de informacin.
asegurar que se lleven a cabo las actualizaciones necesarias cuando de inicia un contrato de seguros nuevo/
modificado.
Los procedimientos de seguridad van de acuerdo con todos los requerimientos legales y si stos estn siendo tomados
en cuenta adecuadamente, incluyendo:
procedimientos de autorizacin
68
Probando que:
Las revisiones de los requerimientos externos:
Y TECNOLOGAS AFINES
Llevando a cabo:
Mediciones ("Benchmarking") del cumplimiento de los requerimientos externos, actividades EDI y requerimientos de
contratos de seguros contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en
la industria apropiados
Una revisin detallada de los archivos de requerimientos externos para asegurar que se han llevado a cabo acciones
correctivas, o bien, que estn siendo implementadas
Una revisin detallada de los reportes de seguridad para evaluar si la informacin sensible/confidencial (definida como
tal por procedimientos internos o por regulaciones externas) est siendo protegida apropiadamente en cuanto a
seguridad y confidencialidad
Identificando:
Requerimientos externos que no hayan sido cumplidos por la organizacin
Acciones significativas no resueltas/no corregidas en respuesta a las revisiones de requerimientos externos
Riesgos de seguridad y salud (incluyendo ergonoma) en el ambiente de trabajo que no hayan sido considerados
Debilidades en la confidencialidad y la seguridad relacionadas con flujos de datos y/o flujo de datos internacional
Interrupciones en el comercio electrnico
Debilidades en los contratos con socios comerciales relacionadas con procesos de comunicacin, mensajes de transaccin, seguridad y/o almacenamiento de datos
Debilidades en las relaciones de confianza con socios comerciales
Debilidades/equivocaciones en la cobertura del seguro
Incumplimientos de los trminos del contrato
69
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO9
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
evaluacin de riesgos
que satisface los requerimientos de negocio de:
asegurar el logro de los objetivos de TI y responder a las amenazas
hacia la provisin de servicios de TI
se hace posible a travs de:
la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, tomando
medidas econmicas para mitigar los riesgos
y toma en consideracin:
diferentes tipos de riesgos de TI (por ejemplo:
P P P P P
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
70
DIRECTRICES DE AUDITORA
PO 9
Y TECNOLOGAS AFINES
EVALUACIN DE RIESGOS
OBJETIVOS DE CONTROL
1
2
3
4
5
6
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Presidencia de la funcin de servicios de informacin
Personal seleccionado de la funcin de servicios de informacin
Personal seleccionado de manejo de riesgos
Obteniendo:
Polticas y procedimientos relacionados con la evaluacin de riesgos
Documentos de evaluacin de riesgos del negocio
Documentos de evaluacin de riesgos operativos
Documentos de evaluacin de riesgos de la funcin de servicios de informacin
Detalles de la base sobre la cual se miden los riesgos y la exposicin a los riesgos
Expedientes de personal para personal seleccionado de evaluacin de riesgos
Polticas de seguros que cubren el riesgo residual
Considerando s:
Existe un marco referencial para la evaluacin sistemtica de riesgos, incorporando los riesgos de informacin
relevantes para el logro de los objetivos de la organizacin y formando una base para determinar la forma en
la que los riesgos deben ser manejados a un nivel aceptable.
El enfoque de evaluacin de riesgos asegura la evaluacin actualizada regular de riesgos tanto a nivel global como
a nivel especfico de sistemas.
Existen procedimientos de evaluacin de riesgos para determinar que los riesgos identificados incluyen factores
tanto externos como internos y toman en consideracin los resultados de las auditoras, inspecciones, e incidentes identificados.
Los objetivos de toda la organizacin estn incluidos en el proceso de identificacin de riesgos.
71
COBIT
Los procedimientos para el monitoreo de cambios en la actividad de procesamiento de sistemas determinan que
los riesgos y exposicin de los sistemas son ajustados oportunamente.
Existen procedimientos para el monitoreo y el mejoramiento continuos de la evaluacin de riesgos y controles de
mitigacin.
La documentacin de evaluacin de riesgos incluye:
la poltica organizacional
72
Probando que:
Se cumple con el marco referencial de evaluacin de riesgos en cuanto a que las evaluaciones de riesgos con actualizadas regularmente para reducir el riesgo a un nivel aceptable.
La documentacin de evaluacin de riesgos cumple con el marco referencial de evaluacin de riesgos y es mantenido y
preparado apropiadamente.
La administracin y el personal de la funcin de servicios de informacin tienen conocimiento y conciencia y estn
involucrados en el proceso de evaluacin de riesgos
La administracin comprende los factores relacionados con los riesgos y la probabilidad de amenazas
El personal relevante comprende y acepta formalmente el riesgo residual
Los reportes emitidos a la Presidencia para su revisin y acuerdo con los riesgos identificados y utilizacin en el monitoreo de actividades de reduccin de riesgos sean oportunos
El enfoque utilizado para analizar los riesgos traiga como resultado una medicin cuantitativa o cualitativa (o combinada) de la exposicin al riesgo
Los riesgos, amenazas y exposiciones identificados por la administracin y atributos relacionados con los riesgos sean
utilizados para detectar cada ocurrencia de una amenaza especfica.
El plan de accin contra riesgos es actual e incluye controles econmicos y medidas de seguridad para mitigar la exposicin al riesgo
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Existen prioridades desde la ms alta hasta la ms baja, y que existe una respuesta apropiada para cada riesgo:
otros riesgos no cubiertos generalmente por la tecnologa de informacin y planes de riesgo/continuidad del
negocio
Identificando:
Riesgos no identificados
Riesgos que no hayan sido medidos
Riesgos no considerados/manejados a un nivel aceptable
Evaluaciones de riesgos obsoletos y/o evaluaciones de informacin en riesgo obsoleta
Medidas incorrectas cuantitativas y/o cualitativas de riesgos, amenazas y exposiciones
Planes de accin contra riesgos que no aseguren controles econmicos y medidas de seguridad
Falta de aceptacin formal del riesgo residual
Cobertura de seguros inadecuada
73
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO10
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
administracin de proyectos
que satisface los requerimientos de negocio de:
establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversin
se hace posible a travs de:
identificacin y priorizacin de los proyectos en lnea con el
plan operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar y aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido
y toma en consideracin:
la propiedad de los proyectos
el involucramiento de los usuarios
la estructuracin jerrquica de tareas y los pun-
tos de revisin
asignacin de responsabilidades
aprobacin de fases y proyecto
presupuestos de costos y horas hombre
planes y metodologa de aseguramiento de calidad
P P P P
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
74
DIRECTRICES DE AUDITORA
PO 10
Y TECNOLOGAS AFINES
ADMINISTRACIN DE PROYECTOS
OBJETIVOS DE CONTROL
1
2
3
4
5
6
7
8
9
10
11
12
13
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Administrados de Calidad de la Organizacin
Administrador/Coordinador de Calidad de Proyectos
Propietarios/patrocinadores del Proyecto
Lder del equipo del Proyecto
Coordinador de Aseguramiento de Calidad
Funcionario de Seguridad
Miembros del comit de planeacin de la funcin de servicios de informacin
Administracin de la funcin de servicios de informacin
Obteniendo:
Polticas y procedimientos relacionados con el marco referencial de administracin de proyectos
Polticas y procedimientos relacionados con la metodologa de administracin de proyectos
Polticas y procedimientos relacionados con los planes de aseguramiento de la calidad
Polticas y procedimientos relacionados con los mtodos de aseguramiento de la calidad
Plan Maestro del Proyecto de Software (Software Project Master Plan (SPMP))
Plan de Aseguramiento de la Calidad del Software (Software Quality Assurance Plan (SQAP))
Reportes de estatus del proyecto
Reportes de estatus y minutas de las reuniones del comit de planeacin
Reportes de Calidad del Proyecto
75
COBIT
Evaluar los controles:
8
76
Considerando s:
El marco referencial de administracin de proyectos:
asegura que las demandas del proyecto sean revisadas en cuanto a su consistencia con el plan operativo
aprobado y si los proyectos son priorizados de acuerdo con este plan
define la metodologa de administracin de proyectos a ser adoptada y aplicada en cada proyecto emprendido, incluyendo:
asignacin de personal
distribucin de tareas
puntos de revisin
puntos de verificacin
aprobaciones
suficiencia y actualizacin
especifica la base sobre la cual los miembros del personal son asignados a los proyectos
define las responsabilidades y la autoridad de los miembros del equipo del proyecto
asegura la creacin de estatutos claros por escrito que definan la naturaleza y alcance del proyecto antes de
comenzar a trabajar sobre el mismo
proporciona un documento inicial de definicin del proyecto que incluya estatutos claros sobre la naturaleza
y alcance del proyecto
incluye las siguientes razones para llevar a cabo el proyecto, entre ellas:
una definicin del problema a ser resuelto o del proceso a ser mejorado
una definicin de la necesidad del proyecto expresada en trminos de incrementar la habilidad de la organizacin para alcanzar metas
el control interno y la necesidad de seguridad que seria satisfecha por los proyectos
considera la manera en la que los estudios de factibilidad de los proyectos propuestos deben ser preparados y
aprobados por la Presidencia, incluyendo:
el alcance del proyecto - lo que este incluir y excluir en la primera implementacin y en las subsecuentes
las limitaciones del proyecto - lo que debe retenerse durante este proyecto, an cuando las oportunidades de mejora a corto plazo parezcan obvias
los beneficios y costos a ser realizados por el patrocinador o propietario/patrocinador del proyecto
delinea la manera en la que cada fase del proceso de desarrollo (por ejemplo, preparacin de estudios de factibilidad, definicin de requerimientos, diseo del sistema, etc.) debe ser aprobada antes de proceder a la si-
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
guiente fase del proyecto (por ejemplo, programacin, pruebas del sistema, pruebas de transacciones, pruebas en
paralelo, etc.)
requiere el desarrollo de un SPMP para cada proyecto y especifica la manera en la que el control deber ser mantenido a travs de la vida del proyecto, as como perodos (puntos de revisin) y presupuestos del mismo
cumple con el estndar organizacional para SPMPs o, en caso de no existir ste, con algn otro estndar apropiado
requiere el desarrollo de un SQAP para cada proyecto, asegura que ste se encuentre integrado con el SPMP y que
sea revisado y acordado formalmente por todas las partes involucradas
delinea la manera en la que el programa de manejo formal de riesgos del proyecto elimina o minimiza los riesgos
relacionados con el mismo
asegura el desarrollo de un plan de pruebas para cada proyecto de desarrollo, implementacin y modificacin
asegura el desarrollo de un plan adecuado para el entrenamiento de personal propietario/patrocinador y de las funciones de servicios de informacin para cada proyecto de desarrollo, implementacin y modificacin
Se monitores y reportan a la Presidencia los puntos de revisin y compra de software, compra de hardware, programacin por contrato, actualizaciones de redes, etc.)
Los puntos de revisin y costos que excedan los montos y tiempos presupuestados requieren la aprobacin de la administracin apropiada de la organizacin
SQAP cumple con el estndar organizacional para SQAPs, o en caso de no existir ste, con los criterios seleccionados anteriormente
Las tareas de aseguramiento SQAP soportan la acreditacin de sistemas nuevos o modificados y aseguran que los estatutos
de control interno y seguridad cumplen con los requerimientos
Todos los propietarios/patrocinadores del proyecto han comentado sobre el SPMP y el SQAP y estn de acuerdo sobre los
elementos entregables y liberables finales.
El proceso de post-implementacin es una parte integral del marco referencial de la administracin del proyecto para asegurar que los sistemas de informacin nuevos o modificados han aportado los beneficios planeados
Evaluar la suficiencia:
8
Probando que:
La metodologa de administracin de proyectos y todos los requerimientos fueron seguidos con consistencia
La metodologa de administracin de proyectos fue comunicada a todo el personal apropiado involucrado en el proyecto
La definicin escrita de la naturaleza y alcance del proyecto concuerda con un patrn estndar
La naturaleza y alcance del involucramiento del propietario/patrocinador en la definicin y autorizacin del proyecto,
as como la conformidad con el involucramiento esperado del propietario/patrocinador segn lo estipulado por el
marco referencial de administracin de proyectos
La asignacin de los miembros del personal al proyecto y la definicin de responsabilidades y autoridad de los miembros del
equipo del proyecto sean respetadas
Existe evidencia de una definicin por escrito clara de la naturaleza y alcance del proyecto antes de comenzar a trabajar sobre
el mismo
Se ha aprobado y preparado un estudio de factibilidad
Se obtienen las aprobaciones por parte de la administracin de la funcin de sistemas de informacin y de los propietarios /
patrocinadores para cada fase del proyecto de desarrollo
Cada fase del proyecto es completada y que se obtienen las aprobaciones apropiadas segn los requerimientos del SPMP
Se han desarrollado y aprobado el SPMP y el SQAP de acuerdo con el marco referencial de la administracin de proyectos
77
COBIT
El SPMP y el SQAP son suficientemente especficos y detallados
Las actividades/reportes obligatorios identificados han sido realmente ejecutados/producidos (por ejemplo, que se han llevado a cabo reuniones del Comit Ejecutivo de Planeacin, reuniones para el proyecto o similares, que se han registrado
minutas de las reuniones y que stas han sido distribuidas a las partes relevantes, que se preparan y distribuyen reportes
a las partes relevantes)
Se ha desarrollado y aprobado un plan de pruebas de acuerdo con el marco referencial de administracin de proyectos y que ste es suficientemente especfico y detallado
Las actividades/reportes obligatorios identificados en le plan de pruebas han sido realmente ejecutados/producidos
Existen criterios de acreditacin utilizados para el proyecto y que stos:
se derivan de metas e indicadores de desempeo
se derivan de requerimientos cuantitativos acordados
aseguran que los requerimientos de control interno y seguridad son satisfechos
estn relacionados con el "Qu" esencial versus el "cmo" arbitrario
definen un proceso formal de aprobacin/no aprobacin
son capaces de una demostracin objetiva dentro de un perodo de tiempo limitado
no redefinen simplemente los requerimientos de los documentos de diseo
Le programa de manejo de riesgos ha sido utilizado para identificar y eliminar o por lo menos minimizar los riesgos relacionados con el proyecto
Se ha cumplido con el plan de pruebas, que los propietarios/patrocinadores, as como las funciones de programacin y aseguramiento de la calidad, han creado revisiones de las pruebas, y que se ha cumplido con un proceso de aprobacin segn
lo esperado
Se ha preparado un plan para el entrenamiento del personal de las funciones de servicios de informacin y para los propietarios/patrocinadores, que ste ha dado el tiempo suficiente para completar las actividades de entrenamiento requeridas, y
que ha sido utilizado para el proyecto
Se ha cumplido y seguido un plan de revisin post-implementacin para el proyecto
el plan maestro del proyecto para determinar el alcance de la participacin del propietario/patrocinador y la adecuacin del proceso general para definir, autorizar y ejecutar el proyecto, incluyendo:
78
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
elaboracin de grficas de Gantt, bitcoras de problemas, resmenes de reuniones, etc. en la administracin del
proyecto
reportes de calidad para determinar si existen problemas sistemticos en el proceso de planeacin de aseguramiento de la calidad de sistemas en la organizacin
el programa de manejo formal de riesgos del proyecto para determinar si se han identificado y eliminado, o por lo
menos minimizado los riesgos.
la ejecucin del plan de pruebas para determinar que ste prob completamente todo el proyecto de desarrollo,
implementacin o modificacin del sistema
la ejecucin del plan de entrenamiento para determinar que ste ha preparado adecuadamente a propietarios/
patrocinadores y al personal de la funcin de servicios de informacin en el uso del sistema
la revisin post-implementacin para determinar si los beneficios otorgados corresponden a los planeados
Identificando:
Proyectos que:
sean obsoletos
no sean econmicos
79
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO11
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Administracin de calidad
que satisface los requerimientos de negocio de:
satisfacer los requerimientos del cliente
se hace posible a travs de:
la planeacin, implementacin y mantenimiento de estndares y sistemas de administracin de calidad por parte de la
organizacin
y toma en consideracin:
estructura del plan de calidad
responsabilidades de aseguramiento de la cali-
dad
metodologa del ciclo de vida de desarrollo de
sistemas
pruebas y documentacin de sistemas y progra-
mas
revisiones y reporte de aseguramiento de cali-
dad
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P
80
DIRECTRICES DE AUDITORA
PO 11
Y TECNOLOGAS AFINES
ADMINISTRACIN DE CALIDAD
OBJETIVOS DE CONTROL
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Director General
Miembros del comit de planeacin de la funcin de servicios de informacin
Director de TI
Funcionario de Seguridad
Administrador de la Calidad de la Organizacin
Administrador de la Calidad de la Funcin de Servicios de Informacin
Administracin de la funcin de servicios de informacin
Propietarios/patrocinadores del sistema
Obteniendo:
Polticas y procedimientos relacionados con el aseguramiento de la calidad, el ciclo de vida del desarrollo de sistemas y la documentacin de sistemas
Funciones y responsabilidades de planeacin de la Presidencia
81
COBIT
Plan estratgico, poltica de calidad, manual de calidad y plan de calidad de la organizacin del Plan estratgico, poltica
de calidad, manual de calidad, plan de calidad y plan de administracin de la configuracin de la funcin de
servicios de informacin
Grficas de todas las funciones de aseguramiento de la calidad
Minutas de las reuniones individuales de planeacin de la calidad
Minutas de las reuniones convocadas para la revisin de la metodologa del ciclo de vida del desarrollo de sistemas
Copias de las revisiones a la metodologa del ciclo de vida del desarrollo de sistemas
Reportes de estatus y minutas de las reuniones del comit de planeacin
Evaluar los controles:
8
Considerando s:
El plan de calidad:
fomenta la filosofa de mejora continua y responde a las preguntas bsicas qu, quin y cmo
es completo y actual
El plan de calidad de la funcin de servicios de informacin:
toma como base el plan general de calidad de la organizacin y los planes a corto y largo plazo de tecnologa de
informacin
fomenta la filosofa de mejora continua y responde a las preguntas bsicas qu, quin y cmo
es completo y actual
Si el enfoque estndar de calidad existe, y si ste:
es aplicable tanto a las actividades generales como a las especficas del proyecto
rige el proceso de desarrollar, adquirir, implementar y mantener sistemas de informacin computarizados y tecnologa afn
soporta y fomenta los esfuerzos de desarrollo/modificacin que cumplen con los planes a corto y largo plazos de la
funcin de servicios de informacin y de la organizacin
requiere un proceso de desarrollo y modificacin estructurado que contenga puntos de revisin en momentos clave
de decisin, as como la autorizacin para proceder con el proyecto en cada punto de revisin
es completa y actual
82
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
es capaz de ser adaptada/escalada para acoplarse a todos los tipos de desarrollo que ocurren dentro de la organizacin
cuenta con pasos a seguir (tales como adquisicin, programacin, documentacin y pruebas, establecimiento de
parmetros, y "applying fixes") que deben ser regidos por, y estar en lnea con el marco referencial de adquisicin
y mantenimiento de la infraestructura tecnolgica
fomenta la provisin de criterios para la aceptacin de terceras partes como implementadores, manejo de cambios,
manejo de problemas, funciones participantes, instalaciones, herramientas y estndares y procedimientos de software
define las circunstancias bajo las cuales deben conducirse pruebas piloto o en paralelo de sistemas nuevos o modificados
requiere, como parte de cada proyecto de desarrollo, implementacin o modificacin de sistemas, que las pruebas
sean verificadas, documentadas y retenidas en forma independiente
El enfoque de aseguramiento de la calidad de la organizacin:
requiere que se lleve a cabo una revisin post-implementacin para asegurar que todos los sistemas nuevos o modificados sean desarrollados y puestos en produccin de acuerdo con la metodologa del ciclo de vida del desarrollo de sistemas, mismo que debe ser respetado por el equipo del proyecto
requiere una revisin de la medida en la que los sistemas nuevos o modificados han alcanzado los objetivos establecidos para ellos por la administracin
trae como resultado reportes, los cuales propician el llevar a cabo el desarrollo de sistemas y las recomendaciones
de efectividad para la administracin (tanto para los usuarios como para la funcin de servicios de informacin)
como corresponda
cuenta con recomendaciones a las que se les da seguimiento peridicamente y que son reportadas a los funcionarios de la Presidencia apropiados
La administracin de la funcin de servicios de informacin de la Presidencia revisa y actualiza apropiadamente la metodologa del ciclo de vida del desarrollo de sistemas con regularidad para asegurar su suficiencia para tecnologa nueva y de
desarrollo/modificacin
Existe una variacin de niveles de control para los distintos tipos de proyectos de desarrollo y mantenimiento (por ejemplo, si
los proyectos grandes reciben mayor control que los pequeos)
El logro de una coordinacin y comunicacin estrecha a travs del ciclo de vida de desarrollo de sistemas entero se da entre
los clientes de la funcin de servicios de informacin y los implementadores del sistema
Existe un compromiso apropiado por parte de las diferentes funciones/personas dentro de la organizacin (por ejemplo, administracin de la funcin de servicios de informacin, funcionario de seguridad, personal legal, personal de aseguramiento de la calidad, personal de auditora, usuarios, etc.)
Existen medidas para medir los resultados de las actividades, permitiendo una evaluacin sobre si se han logrado las
metas de calidad
AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL
83
COBIT
Evaluar la suficiencia:
8
Probando que:
Los procedimientos para el desarrollo del Plan de Calidad de la funcin de servicios de informacin incluyen las siguientes entradas:
la plataforma/infraestructura de la funcin de servicios de informacin requerida para soportar los sistemas e interfases
los recursos (tanto financieros como humanos) para desarrollar/soportar el ambiente de la funcin de servicios de
informacin planeado
el entrenamiento requerido para desarrollar y soportar ambiente de la funcin de servicios de informacin planeado
El Plan de Calidad de la funcin de servicios de informacin considera lo siguiente:
en trminos medibles no ambiguos, el nivel planeado del servicio a ser otorgado a los clientes (internos o externos)
en trminos medibles no ambiguos, los "outages" planeados mximos para cada sistema y plataforma
las estadsticas de desempeo requeridas para monitorear los objetivos planeados de desempeo/"outage", incluyendo la manera en la que deben ser reportados y a quin deben ser distribuidos
comunicacin con todos los empleados apropiados involucrados en el desarrollo y mantenimiento de sistemas
84
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
El registro de las revisiones y modificaciones a la metodologa del ciclo de vida del desarrollo de sistemas de la organizacin
refleja los nuevos sistemas y tecnologas considerados actualmente y esperados en el futuro
Los resultados completos de las pruebas de programas y sistemas (incluyendo resultados de pruebas en paralelo/piloto) son
revisados y retenidos para pruebas futuras
Existe un proceso para resolver problemas encontrados durante la pruebas
Se ha llevado a cabo una revisin post-implementacin por parte del personal de aseguramiento de la calidad
Los representantes del departamento usuario involucrados en los proyectos de desarrollo de sistemas estn satisfechos con el
uso actual de la metodologa
El personal de aseguramiento de la calidad comprende claramente su funcin dentro de la organizacin
Se requiere el llevar a cabo una revisin de aseguramiento de la calidad subsecuente al trmino de todas las pruebas del sistema y de la revisin y aprobacin de los resultados de las pruebas por parte del personal de la administracin de la funcin de servicios de informacin apropiada, de aseguramiento de la calidad y de los usuarios
La revisin de aseguramiento de la calidad trae como resultado acciones correctivas por parte de la administracin
Se llevan a cabo revisiones post-implementacin, que los resultados son comunicados a la Presidencia y que se requieren
planes de accin para las reas de implementacin con necesidad de mejoras.
Los resultados de las mediciones de las metas de calidad, existen y se trabaja con ellos
Evaluar el riesgo de los objetivos de control no alcanzados:
8
Llevando a cabo:
Mediciones ("Benchmarking") de la metodologa del ciclo de vida del desarrollo de sistemas contra organizaciones
similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Una revisin detallada de las medidas de desempeo incluidas en el Plan de Calidad y asegurar s stas:
son alcanzables
satisfacen los requerimientos/expectativas de la corporacin
satisfacen los requerimientos/expectativas de los usuarios
son medibles
Una revisin detallada de una muestra de proyectos para asegurar que:
se ha cumplido con la metodologa del ciclo de vida del desarrollo de sistemas
toda adaptacin/escalamiento de la metodologa del ciclo de vida del desarrollo de sistemas es apropiada y ha
sido aprobada
se han obtenido aprobaciones en todos los puntos de revisin y por parte de todo el personal clave de control
(por ejemplo, funcionario de seguridad de la funcin de servicios de informacin, personal de aseguramiento
de la calidad, representantes de los usuarios, etc.)
se han dado una coordinacin y comunicacin estrechas entre los usuarios de la funcin de servicios de informacin y los implementadores de sistemas (internos o terceras partes)
se ha seguido el marco referencial para la adquisicin y el mantenimiento para la infraestructura tcnica, junto con cualquier paso relevante involucrado
el desarrollo/las modificaciones fueron terminados satisfactoria y oportunamente
se terminaron los reportes apropiados de aseguramiento de la calidad y se llevaron a cabo las acciones correctivas necesarias de manera oportuna
Una revisin detallada de la manera en la que la documentacin de la programacin y los sistemas es preparada, revisada, aprobada y mantenida
85
COBIT
Una revisin detallada de la manera en la que las pruebas de programas y sistemas (incluyendo pruebas piloto/en paralelo) y la documentacin son preparadas, aprobadas y mantenidas
Una revisin detallada del proceso de verificacin de post-implementacin de aseguramiento de la calidad para asegurar que los reportes consideran el cumplimiento de las provisiones del proceso del ciclo de vida del desarrollo de
sistemas, as como los aspectos de efectividad y calidad de los sistemas nuevos/modificados
8 Identificando:
Planes de calidad que no se relacionen con los planes a corto y largo plazo
Instancias en la que no se utilice la metodologa del ciclo de vida del desarrollo de sistemas y aquellas situaciones de
sobreutilizacin de la metodologa (por ejemplo demasiada estructura en proyectos pequeos, y no suficiente en
proyectos mayores)
Las instancias en las que la metodologa del ciclo de vida del desarrollo de sistemas haya sido utilizada inapropiadamente (por ejemplo, aplicar la metodologa del ciclo de vida del desarrollo de sistemas para desarrollos internos en
la implementacin de un paquete de software "off-the-shelf", sin modificarla de manera correspondiente)
Instancias en las que la coordinacin y la comunicacin entre el personal involucrado en el proceso del ciclo de vida
del desarrollo de sistemas (incluyendo terceras partes como implementadores) sean pobres o inexistentes
Instancias en las que los distintos pasos a seguir en la adquisicin y mantenimiento de la infraestructura de tecnologa
(por ejemplo, adquisicin, programacin, documentacin y pruebas; establecimiento de parmetros; mantenimiento y "applying fixes") no hayan sido seguidas adecuadamente
Situaciones en las que no exista documentacin de los programas y/o sistemas, en donde sta sea inadecuada o no est
actualizada
Instancias en las que las pruebas de programas y/o sistemas (incluyendo pruebas piloto/en paralelo) no hayan sido llevadas a cabo, hayan sido realizadas inadecuadamente y/o no hayan sido documentadas o hayan sido documentadas
inadecuadamente
Situaciones en las que las verificaciones de revisiones/post implementacin de aseguramiento de la calidad no hayan
sido llevadas a cabo o hayan sido realizadas inadecuadamente
Situaciones en las que las verificaciones de revisiones/post implementacin de aseguramiento de la calidad hayan sido
ignoradas por la administracin y en las que se hayan implementado sistemas que no deberan haber sido implementados
86
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
87
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICION E IMPLEMENTACION
AI1
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Identificacin de soluciones
que satisface los requerimientos de negocio de:
asegurar el mejor enfoque para cumplir con los requerimientos del
usuario
se hace posible a travs de:
un anlisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios
y toma en consideracin:
definicin de requerimientos de informacin
estudios de factibilidad ( de costo-beneficio,
alternativas, etc)
arquitectura de informacin
seguridad con relacin de costo-beneficio
favorable
P P P
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
pistas de auditora
contratacin de terceros
aceptacin de instalaciones y tecnologa
88
DIRECTRICES DE AUDITORA
AI 1
Y TECNOLOGAS AFINES
ADMINIIDENTIFICACIN DE SOLUCIONES
OBJETIVOS DE CONTROL
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Director de TI
Funcionario de Seguridad
Presidencia de la funcin de servicios de informacin
Propietarios/patrocinadores del proyecto
Administracin de contratos
Obteniendo:
Polticas y procedimientos relacionados con el ciclo de vida de desarrollo de sistemas y con la adquisicin de software
Objetivos y planes a corto y largo plazo de tecnologa de informacin
Documentacin seleccionada del proyecto, incluyendo definicin de requerimientos, anlisis de alternativas, estudios
de factibilidad tecnolgica, estudios de factibilidad econmica, anlisis de modelos de datos de la empresa /
arquitectura de informacin, anlisis de riesgos, estudios de economa sobre control/seguridad interna, anlisis de
pistas de auditora, estudios ergonmicos, y planes de aceptacin y resultados de pruebas de instalaciones y tecnologa especfica
Contratos seleccionados relacionados con la compra, desarrollo o mantenimiento de software
89
COBIT
Evaluar los controles:
8 Considerando s:
Existen polticas y procedimientos que requieren que:
los requerimientos de usuarios satisfechos por el sistema existente o a ser satisfechos por el nuevo sistema propuesto o modificado sean claramente definidos antes de la aprobacin de cualquier proyecto de desarrollo, implementacin o modificacin
los requerimientos de los usuarios sean revisados y aprobados por escrito por el propietario/patrocinador enterado
antes de la aprobacin de cualquier proyecto de desarrollo, implementacin o modificacin
los requerimientos operativos y funcionales de la solucin sean satisfechos incluyendo desempeo, seguridad, confiabilidad, compatibilidad y legislacin
las soluciones alternativas a los requerimientos de los usuarios sean estudiadas y analizadas antes de seleccionar
una u otra solucin de software
se lleve a cabo la identificacin de paquetes de software comercial que satisfagan los requerimientos del usuario
para un proyecto especfico de desarrollo o modificacin antes de tomar la decisin final
las alternativas para la adquisicin de los productos de software estn claramente definidos en trminos de practicidad, internamente desarrollados, a travs del contacto o mejorar el software existente o una combinacin de todos
los anteriores
el propietario/patrocinador enterado prepare, analice y apruebe un estudio de factibilidad tcnica para cada alternativa con el fin de satisfacer los requerimientos del usuario establecidos para el desarrollo de un proyecto de sistemas nuevo o modificado
en cada proyecto de desarrollo, modificacin o implementacin de sistemas, se lleve a cabo un anlisis de los costos y los beneficios asociados con cada alternativa considerada para satisfacer los requerimientos del usuario
el propietario/patrocinador enterado prepare, analice y apruebe un estudio de factibilidad econmica antes de tomar
la decisin respecto a desarrollar o modificar un proyecto de sistemas nuevo o modificado propuesto
se preste atencin al modelo de datos de la empresa mientras de identifica y analiza la factibilidad de las soluciones
los costos y los beneficios de seguridad sean examinados cuidadosamente para garantizar que los costos de los
controles no exceden los beneficios
se obtenga una aprobacin formal del estudio costo/beneficio por parte de la administracin
se requieran controles y pistas de auditora apropiados para ser aplicados en todos los sistemas modificados o nuevos propuestos durante la fase de diseo del proyecto
las pistas de auditoria y los controles dan la posibilidad de proteger a los usuarios contra la identificacin o mal uso
de su identidad por parte de otros usuarios (ej., ofreciendo anonimato, psedonimos, ausencia de vnculos y confidencialidad)
cada proyecto de desarrollo, implementacin o modificacin de sistemas propuesto preste atencin a los problemas
ergonmicos asociados con la introduccin de sistemas automatizados
la administracin de la funcin de servicios de informacin identifique todos los programas de software de sistemas potenciales que satisfarn sus requerimientos operativos
la compra de productos de software siga las polticas de adquisicin de la organizacin definiendo el marco referencial para la creacin de la solicitud de propuesta, la seleccin del proveedor de software y la negociacin del
contrato.
para el software con licencia adquirido de terceras partes, los proveedores cuenten con procedimientos apropiados
para validar, proteger y mantener los derechos de integridad de los productos de software
la adquisicin de servicios de programacin por contrato se justifique a travs de una requisicin de servicios por
90
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
los productos finales de los servicios de programacin por contrato terminados sean revisados y probados de acuerdo con los estndares establecidos por el grupo de aseguramiento de la calidad de la funcin de servicios de informacin y otras partes interesadas antes de pagar por el trabajo realizado y aprobar el producto final
se acuerde en el contrato con los proveedores un plan de aceptacin para tecnologa especfica, y que dicho plan
defina los procedimientos y criterios de aceptacin
la adquisicin de servicios de programacin por contrato sea justificada a travs de una requisicin por escrito de
servicios por parte de un miembro designado de la funcin de servicios de informacin
Se lleve a cabo un anlisis de riesgos en lnea con el marco referencial general de evaluacin de riesgos
Existen los mecanismos para asignar o mantener los atributos de seguridad para la exportacin e importacin de datos, y para
interpretarlos correctamente.
La administracin haya desarrollado e implementado un enfoque de adquisicin central, que describa un conjunto comn de
procedimientos y estndares a ser seguidos en la adquisicin de servicios de hardware, software y servicios de tecnologa de informacin
Los contratos estipulen que el software, la documentacin y otros elementos entregables y liberables sean sujetos a pruebas y
revisiones antes de ser aceptados
Las pruebas incluidas en las especificaciones del contrato consisten en pruebas de sistema, pruebas de integracin, pruebas de
hardware y componentes, pruebas de procedimientos, pruebas de carga y estrs, pruebas de afinacin y desempeo,
pruebas de regresin, pruebas de aceptacin del usuario, y finalmente, pruebas piloto del sistema total para evitar cualquier falla inesperada del sistema
Las pruebas de aceptacin de instalaciones son llevadas a cabo para garantizar que stas y el ambiente, satisfacen los requerimientos especificados en el contrato
Las pruebas de aceptacin de tecnologa especfica deberan incluir inspeccin, pruebas de funcionalidad y de carga de trabajo
Evaluar la suficiencia:
8
Probando que:
Los requerimientos de los usuarios satisfechos por el sistema existente y a ser satisfechos por el sistema nuevo o modificado
propuesto hayan sido claramente definidos, revisados y aprobados por escrito por parte del usuario enterado antes del
desarrollo, implementacin o modificacin del proyecto
Los requerimientos de las soluciones funcionales y operativas sean satisfechos incluyendo desempeo, seguridad, confiabilidad, compatibilidad y legislacin
Todas las debilidades y deficiencias de procesamiento en el sistema existente hayan sido identificadas y sean tomadas en
cuenta y resueltas completamente por el sistema nuevo o modificado propuesto
Los cursos de accin alternativos que satisfarn los requerimientos de los usuarios, establecidos para un sistema nuevo o
modificado propuesto, hayan sido analizados apropiadamente
Los paquetes de software comercial que satisfagan las necesidades de un proyecto particular de desarrollo o modificacin de
sistemas hayan sido identificados y considerados apropiadamente
Todos los costos y beneficios identificables asociados con cada alternativa hayan sido soportados apropiadamente e incluidos
como parte del estudio de factibilidad econmica requerido
Se haya prestado atencin al modelo de datos de arquitectura de informacin/empresa al identificar y analizar su factibilidad
El reporte de anlisis de riesgos en cuanto a amenazas a la seguridad, vulnerabilidades e impactos potenciales y las salvaguardas factibles de seguridad y control interno sea preciso, completo y suficiente
91
COBIT
Los problemas de seguridad y control interno hayan sido tomados en cuenta apropiadamente en la documentacin del diseo
del sistema
La aprobacin de la administracin en cuanto a que los controles existentes y planeados son suficientes y aportan beneficios
apropiados comparados con los costos de compensacin
Existen mecanismos disponibles para las pistas de auditora o que stos pueden ser desarrollados para la solucin identificada
y seleccionada
Se ha tomado en cuenta un diseo amigable al usuario para mejorar las habilidades finales de ste durante el diseo del sistema y el desarrollo de diseo de pantallas, formatos de reporte, instalaciones de ayuda en lnea, etc.
Se han considerado aspectos ergonmicos durante el diseo y el desarrollo del sistema
Se han incluido aspectos de desempeo de usuarios (por ejemplo, tiempo de respuesta del sistema, capacidades de carga/
descarga, y reportes "ad hoc") en las especificaciones de requerimientos del sistema antes de su diseo y desarrollo
La identificacin de todos los programas de software de sistemas potenciales que satisfacen los requerimientos operativos
La funcin de servicios de informacin cumpla con un conjunto comn de procedimientos y estndares en la adquisicin de
hardware, software y servicios relacionados con tecnologa de informacin
Los productos adquiridos sean revisados y probados antes de ser usados y costeados completamente
El acuerdo de compra de software permite al usuario tener una copia del cdigo fuente el programa, si aplica
Las actualizaciones, renovaciones de tecnologa y "fixes" son especificados en los documentos de adquisicin
El mantenimiento de terceras partes incluye los requerimientos de validacin proteccin y mantenimiento de la integridad del
producto de software
El personal de programacin por contrato trabaja sujetndose al mismo nivel de pruebas, revisin y aprobaciones que se exige a los programadores propios de la organizacin
La funcin de aseguramiento de la calidad de la organizacin es responsable de la revisin y aprobacin del trabajo llevado a
cabo por los programadores por contrato
La propiedad y suficiencia del plan de aceptacin de instalaciones, incluyendo los procedimientos y criterios de aceptacin
La propiedad y suficiencia del plan especfico de aceptacin de tecnologa, incluyendo inspecciones, pruebas de funcionalidad y pruebas de carga de trabajo
Evaluar el riesgo de los objetivos de control no alcanzados:
8
Llevando a cabo:
Mediciones ("Benchmarking:) de la identificacin de los requerimientos de los usuarios para lograr soluciones automatizadas contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Una revisin detallada de:
la identificacin de soluciones automatizadas para satisfacer los requerimientos del usuario (incluyendo la definicin de requerimientos del usuario, formulacin de cursos de accin alternativos; identificacin de paquetes de
software comercial y elaboracin de estudios de factibilidad de desempeo tecnolgico, de factibilidad econmica,
de arquitectura de informacin y de anlisis de riesgos)
la seguridad, los controles internos (incluyendo la consideracin de diseos amigables al usuario, ergonoma, etc.)
y las pistas de auditora disponibles o "desarrollables" para la solucin identificada y seleccionada
las polticas y procedimientos existentes de adquisicin de software para la adecuacin y el cumplimiento del control interno de la organizacin
92
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Identificando:
Las deficiencias en la metodologa del ciclo de vida del desarrollo de sistemas de la organizacin
Soluciones que no satisfacen los requerimientos del usuario
Tentativas de desarrollo de sistemas que:
no hayan considerado cursos alternativos de accin, trayendo como resultado una solucin ms costosa
no hayan considerado los paquetes de software comercial que podran haber sido implementados en menos tiempo y a un menor costo
no hayan considerado la factibilidad tecnolgica de las alternativas o hayan considerado inapropiadamente la factibilidad tecnolgica de la solucin elegida, trayendo como resultado la incapacidad para implementar la solucin
como fue diseada originalmente
hayan hecho suposiciones equivocadas en el estudio de factibilidad econmica, trayendo como resultado la eleccin del curso de accin incorrecto
no hayan conducido anlisis de riesgos slidos, y consecuentemente, no hayan identificado adecuadamente los
riesgos (incluyendo amenazas, vulnerabilidades e impactos potenciales) o los controles internos y de seguridad
para reducir o eliminar los riesgos identificados
Soluciones que:
estuvieran ya sea sobre controladas o no controladas suficientemente debido a que la economa de los controles y
la seguridad fueron examinados inapropiadamente
no hayan considerado los aspectos ergonmicos y de diseo amigable para el usuario, trayendo como resultado
errores en la entrada de datos que podran haber sido evitados
no hayan seguido el enfoque de adquisiciones establecido por la organizacin, trayendo como resultado costos
adicionales creados por la organizacin
La falta de software de sistemas necesario
La inefectividad del software de sistemas debido al establecimiento incorrecto de parmetros
Mantenimiento de software de terceras partes que no haya satisfecho los trminos del contrato, afectando negativamente a la
organizacin en el logro de su misin y/o metas
Programas de aplicacin por contrato que no hayan satisfecho los trminos del contrato, trayendo como consecuencia costos
adicionales a la organizacin, atraso en la implementacin de los sistemas, etc.
Situaciones en las que las instalaciones hayan sido aceptadas sin probar completamente el ambiente, trayendo como consecuencia no satisfacer los requerimientos de los usuarios y/o no cumplir con los trminos del contrato
Las instancias en las que se haya aceptado una tecnologa especfica, pero que no se hayan llevado a cabo adecuadamente
inspecciones, pruebas de funcionalidad y pruebas de carga de trabajo, trayendo como resultado el que la tecnologa no
satisfaga los requerimientos del usuario y/o no cumpla con los trminos del contrato
Cualquier falla del sistema
93
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICION E IMPLEMENTACION
AI2
efe
cti
v
efi idad
c
co ie
nfi nc
de ia
nc
int ialid
e
a
dis grid d
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
salida
interface usuario mquina
personalizacin de paquetes
pruebas funcionales
controles de aplicacin y requerimientos funcionales
documentacin
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
94
DIRECTRICES DE AUDITORA
AI 2
Y TECNOLOGAS AFINES
OBJETIVOS DE CONTROL
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Mtodos de Diseo
Cambios Significativos a Sistemas Actuales
Aprobacin del Diseo
Definicin y Documentacin de Requerimientos de Archivos
Especificaciones de Programas
Diseo para la Recopilacin de Datos Fuente
Definicin y Documentacin de Requerimientos de Entrada de Datos
definicin de Interfases
Interfase Usuario - Mquina
Definicin y Documentacin de Requerimientos de Procesamiento
Definicin y Documentacin de Requerimientos de Salida de Datos
Controlabilidad
Disponibilidad como Factor Clave de Diseo
Estipulaciones de Integridad TI para Software de Programas de Aplicacin
Pruebas de Software de Aplicacin
Materiales de Consulta y Soporte para Usuario
Reevaluacin del Diseo del Sistema
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Director de TI
Funcionario de Seguridad
Presidencia de la funcin de servicios de informacin
Propietarios / patrocinadores de proyectos
8
Obteniendo:
Polticas y procedimientos relacionados con la metodologa del ciclo de vida del desarrollo de sistemas
Objetivos y planes a corto y largo plazo de tecnologa de informacin
Documentacin seleccionada del proyecto, incluyendo aprobaciones de diseos, definicin de requerimientos de archivo, especificaciones de programas, diseo de recopilacin de datos fuente, definicin
de requerimientos de entrada, interfase usuario - mquina, definicin de requerimientos de procesamiento, definicin de requerimientos de salida, requerimientos de control interno/seguridad, requerimientos de disponibilidad, provisiones para la integridad de tecnologa de informacin, plan de pruebas y resultados del software de aplicacin, materiales de soporte y referencia para usuarios y reevaluacin del diseo del sistema
95
COBIT
Evaluar los controles:
8
Considerando s:
Las polticas y procedimientos aseguran:
la metodologa del ciclo de vida de desarrollo de sistemas de la organizacin aplica tanto para el desarrollo de nuevos
sistemas como para la modificacin de sistemas existentes y participacin del usuario
el vnculo con el usuario al crear las especificaciones de diseo y al verificar stas contra los requerimientos del usuario
en el caso de cambios mayores a los sistemas existentes, se observe un proceso de ciclo de vida de desarrollo de sistemas similar al del utilizado en los casos de desarrollo de nuevos sistemas
las especificaciones de diseo sean aprobadas por la administracin, los departamentos usuarios afectados y la Presidencia de la organizacin, cuando esto sea apropiado para todos los proyectos nuevos de modificacin y desarrollo de
sistemas
se aplica un proceso apropiado para definir y documentar el formato de archivos para cada proyecto nuevo de desarrollo o modificacin de sistemas, incluyendo que se requiera el respeto de las reglas de diccionario de datos
se preparan especificaciones detalladas de programas para cada proyecto de desarrollo o modificacin de informacin, y que estas especificaciones concuerdan con las especificaciones del diseo del sistema
se especifican los mecanismos adecuados para la recoleccin y captura de datos para cada desarrollo nuevo del sistema o proyecto de modificacin
se especifican los mecanismos adecuados para la recopilacin y entrada de datos para cada nuevo proyecto de desarrollo o modificacin de sistemas
existen mecanismos adecuados para la definicin y documentacin de los requerimientos de entrada para cada proyecto nuevo de desarrollo o modificacin de sistemas
existe el desarrollo de una interfase entre el usuario y la mquina fcil de utilizar y autodocumentable (por medio de
funciones de ayuda en lnea)
existen mecanismos adecuados para la definicin y documentacin de los requerimientos de procesamiento para cada
nuevo proyecto de desarrollo o modificacin de sistemas
existen mecanismos adecuados para la definicin y documentacin de los requerimientos de salida para cada nuevo
proyecto de desarrollo o modificacin de sistemas
se especifican mecanismos adecuados para asegurar los requerimientos de seguridad y control internos para cada
proyecto nuevo de desarrollo o modificacin de sistemas
los requerimientos de seguridad y control interno incluyen controles de aplicacin que garantizan la precisin, suficiencia y autorizacin de entradas y salidas
los programas de aplicacin contienen provisiones que verifican rutinariamente las tareas llevadas a cabo por el software para ayudar a asegurar la integridad de los datos
el software de aplicacin es probado de acuerdo con el plan de pruebas del proyecto y los estndares establecidos
antes de ser aprobado por el usuario
se preparan manuales adecuados de soporte y referencia para usuarios (preferiblemente en formato electrnico) como
parte del proceso de desarrollo o modificacin de cada sistema
el diseo del sistema es reevaluado siempre que ocurren discrepancias tecnolgicas y/o lgicas significativas durante
el desarrollo o el mantenimiento del sistema
96
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
La metodologa del ciclo de vida de desarrollo de sistemas asegura que los materiales de soporte y referencia para usuarios
son actualizados de manera precisa y oportuna
La metodologa de ciclo de vida de desarrollo de sistemas requiere el llevar a cabo una evaluacin de sensibilidad durante la
iniciacin del desarrollo o modificacin de nuevos sistemas
La metodologa de ciclo de vida de desarrollo de sistemas requiere la evaluacin de los aspectos bsicos de seguridad y control interno de un sistema nuevo a ser desarrollado o modificado, junto con el diseo conceptual del sistema, con el fin de
integrar los conceptos de seguridad en el diseo lo ms pronto posible
La metodologa del ciclo de vida de desarrollo de sistemas requiere que los aspectos de seguridad lgica y de las aplicaciones
sean considerados e incluidos en el diseo de nuevos sistemas o modificaciones de sistemas existentes
La evaluacin de los aspectos de control internos y de seguridad est basada en un buen marco referencial
Los sistemas de Inteligencia Artificial estn funcionando en una interaccin o en el marco referencial con los operadores
humanos para asegurar que las decisiones importantes sean aprobadas.
La exposicin de la informacin sensible que se utiliza durante las pruebas de la aplicacin se reduce ya sea con limitaciones
severas de acceso o la despersonalizacin de los datos histricos.
Evaluar la suficiencia:
8
Probando que:
La participacin del usuario en el proceso de ciclo de vida de desarrollo de sistemas es significativa
La metodologa del ciclo de vida de desarrollo de sistemas asegura que existe un proceso que considera apropiadamente todos los aspectos de diseo de sistemas (por ejemplo, entrada, procesamiento, salida, controles internos, seguridad, recuperacin en caso de desastre, tiempo de respuesta, reportes, control de cambios, etc.)
Los usuarios clave de los sistemas estn involucrados en el proceso del diseo del sistema
Que la revisin del diseo y el proceso de aprobacin aseguran que todos los problemas han sido resueltos antes de
comenzar a trabajar sobre la siguiente fase del proyecto
Los cambios mayores a los sistemas existentes aseguran que stos han sido desarrollados utilizando una metodologa
de ciclo de vida de desarrollo de sistemas similar a la utilizada para el desarrollo de nuevos sistemas
Existen los procedimientos de aprobacin del diseo para asegurar que la programacin del sistema no se inicie hasta
que se hayan obtenido las aprobaciones correspondientes
Los requerimientos de archivo y la documentacin del sistema, as como el diccionario de datos, son consistentes con
los estndares
Se aprueban las especificaciones finales de archivos
Las especificaciones de programacin concuerdan con las especificaciones del diseo del sistema
Las especificaciones del diseo de recoleccin de datos y de entrada de datos concuerdan
Existen las especificaciones del diseo de la interfase usuario - mquina
Las especificaciones usuario - mquina es fcil de utilizar y que autodocumentacin (utilizando instalaciones de ayuda
en lnea) funciona
Se documenten las interfaces internas y externas
Los requerimientos de procesamiento forman parte de las especificaciones del diseo
Los requerimientos de salida forman parte de las especificaciones del diseo
Los requerimientos de seguridad y control interno forman parte de las especificaciones del diseo
Las especificaciones de diseo de los requerimientos de controles de aplicacin garantizan la precisin, suficiencia,
oportunidad y autorizacin de las entradas y las salidas
Los requerimientos de seguridad y control interno han sido incluidos en el diseo conceptual del sistema (ya sea nuevo
97
COBIT
o modificado) lo ms tempranamente posible
El funcionario de seguridad est involucrado activamente en el proceso de diseo, desarrollo e implementacin del
proyecto del nuevo sistema o de modificacin del sistema
El diseo del sistema determina si se han cuantificado las mejoras de disponibilidad/confiabilidad en trminos de tiempo y de procedimientos ms eficientes en comparacin con mtodos anteriores, en caso de aplicar
Las provisiones de programas de aplicacin verifican rutinariamente las tareas llevadas a cabo por el software para
asegurar la integridad de los datos
Existen estndares de pruebas establecidos
Existe un plan de pruebas del proyecto y un proceso de aprobacin del usuario
Los materiales de soporte y referencia para usuarios, as como las instalaciones de ayuda en lnea estn disponibles
La funcin de "help desk" apoya efectivamente a los usuarios para solucionar problemas de procesamiento cada vez
ms complejos
El proceso para escalar los problemas del help desk incluye el seguimiento, monitoreo y reporte de tales problemas a la
administracin de la funcin de servicios de informacin apropiada
Se requiere la existencia de mecanismos para actualizar la documentacin de los usuarios
Existe la comunicacin sobre los cambios a la documentacin de los usuarios
Se da el proceso de reevaluacin siempre que ocurren discrepancias tecnolgicas y/o lgicas significativas
Evaluar el riesgo de los objetivos de control no alcanzados:
8
Llevando a cabo:
Mediciones ("Benchmarking") de los costos de adquirir y desarrollar software de aplicacin contra organizaciones similares
o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Una revisin detallada de:
documentacin seleccionada del diseo del sistema para evaluar la adecuacin de las especificaciones del diseo y
el cumplimiento del diseo en cuanto a dichas especificaciones
proyectos seleccionados de desarrollo o modificacin de nuevos sistemas, determinando si los documentos de especificacin del diseo han sido revisados y aprobados por la administracin de la funcin de servicios de informacin y las funciones de los usuarios afectados, as como por la Presidencia de la organizacin cuando esto sea apropiado
documentacin seleccionada del software para asegurar que los requerimientos de archivo (por lo menos para los
archivos mencionados a continuacin) son comprendidos claramente por el equipo de implementacin del proyecto
y estn siendo estructurados por sistema y requerimientos del usuario, as como por las reglas de diccionario de
datos de la organizacin:
Maestro
Transacciones
Comando
Programa
Control
Tablas
Reportes
Impresin
Bitcora
Transmisin
proyectos de desarrollo o modificacin de nuevos sistemas para asegurar que los archivos, programas, instrumentos
de recopilacin de datos fuente, entradas, interfaces usuario - mquina, pasos de procesamiento y salidas identificados en diagramas de flujo/diagramas de flujo de datos, corresponden a las especificaciones varias del diseo del
sistema
proyectos de desarrollo o modificacin de nuevos sistemas para determinar que siempre que se identifiquen discrepancias tcnicas y/o lgicas, ocurra un proceso efectivo de reevaluacin del diseo del sistema
98
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
proyectos de desarrollo o modificacin de nuevos sistemas para determinar la existencia de cualquier discrepancia de diseo tcnico o cualquier cambio funcional necesario
proyectos de desarrollo o modificacin de nuevos sistemas y diseos conceptuales de sistemas para evaluar la
adecuacin de las provisiones de seguridad y control interno que aseguren la precisin, la suficiencia, la oportunidad y la autorizacin de las entradas y salidas, as como la integracin de los conceptos de seguridad en el diseo
lo ms tempranamente posible
proyectos de desarrollo o modificacin de nuevos sistemas para evaluar el diseo a la luz de una mayor confiabilidad y disponibilidad para el usuario final, as como de "mantenibilidad" para el personal de mantenimiento de la
funcin de servicios de informacin
proyectos para evaluar la adecuacin de la verificacin de integridad de los datos de los programas de aplicacin
proyectos de desarrollo o modificacin de nuevos sistemas para asegurar que los materiales de referencia para los
usuarios son actuales y consistentes con la documentacin del sistema y que stos satisfacen completamente las
necesidades del usuario
Una revisin detallada de la efectividad de:
el proceso de especificacin de programas para asegurar que stos estn escritos de acuerdo a las especificaciones
del diseo del usuario
el proceso de especificacin de entradas para asegurar que los programas estn escritos de acuerdo a las especificaciones del diseo del usuario
el proceso de especificacin de interfase usuario - mquina para asegurar que los programas estn escritos de
acuerdo a las especificaciones del diseo del usuario
el proceso de especificacin de procesamiento para asegurar que los programas estn escritos de acuerdo a las
especificaciones del diseo del usuario
el proceso de especificacin de salidas para asegurar que los programas estn escritos de acuerdo a las especificaciones del diseo del usuario
Una revisin detallada de los estndares de prueba de la organizacin y la implementacin de los planes de pruebas relacionados para proyectos seleccionados de desarrollo y modificacin de nuevos sistemas
Una revisin detallada de la satisfaccin del usuario con el sistema, sus reportes, la documentacin y material de referencia
para el usuario, las instalaciones de ayuda, etc.
8
Identificando:
Deficiencias en la metodologa de ciclo de vida de desarrollo de sistemas utilizada para los proyectos de desarrollo o modificacin de nuevos sistemas
Especificaciones de diseo que no reflejen los requerimientos del usuario
Requerimientos de archivo que no sean consistentes con las reglas de diccionario de datos de la organizacin
Proyectos de desarrollo o modificacin de nuevos sistemas que contengan archivos, programas, seleccin de datos fuente,
entradas, interfaces usuario - mquina, procesamiento, requerimientos de salida y/o Controlabilidad inadecuadamente
definidos
Proyectos de desarrollo o modificacin de nuevos sistemas en los que la disponibilidad no haya sido considerada en el proceso de diseo
Deficiencias en la integridad de los datos en software de programas de aplicacin en proyectos de desarrollo o modificacin
de nuevos sistemas
Deficiencias en los estndares de pruebas de la organizacin, trayendo como consecuencia la implementacin de sistemas
que procesan incorrectamente los datos, y emiten incorrectamente reportes
Deficiencias en los planes de prueba en proyectos nuevos de desarrollo o modificacin de sistemas
Deficiencias en los materiales de soporte y referencia para usuarios en proyectos nuevos de desarrollo o modificacin de
sistemas
Discrepancias tcnicas y/o lgicas significativas que hayan ocurrido durante el desarrollo o mantenimiento del sistema que
no hayan trado como consecuencia la reevaluacin del diseo del sistema, y por lo mismo, no hayan sido corregidos o
hayan trado como resultado correcciones provisionales no econmicas en el sistema
99
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICION E IMPLEMENTACION
AI3
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
100
DIRECTRICES DE AUDITORA
AI 3
Y TECNOLOGAS AFINES
OBJETIVOS DE CONTROL
1
2
3
4
5
6
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Director de TI
Funcionario de Seguridad
Presidencia de la funcin de servicios de informacin
Propietarios / patrocinadores de proyectos
Obteniendo:
Polticas y procedimientos relacionados con la metodologa del ciclo de vida del desarrollo de sistemas
Objetivos y planes a corto y largo plazo de tecnologa de informacin
Documentacin seleccionada del proyecto, incluyendo aprobaciones de diseos, definicin de requerimientos de archivo, especificaciones de programas, diseo de recopilacin de datos fuente, definicin de requerimientos de entrada, interfase usuario - mquina, definicin de requerimientos de procesamiento, definicin de requerimientos de
salida, requerimientos de control interno/seguridad, requerimientos de disponibilidad, provisiones para la integridad de tecnologa de informacin, plan de pruebas y resultados del software de aplicacin, materiales de soporte y
referencia para usuarios y reevaluacin del diseo del sistema
Considerando s:
Existen polticas y procedimientos que aseguran que:
se prepara un plan de evaluacin formal para evaluar el nuevo hardware y software en cuanto a cualquier
impacto sobre el desempeo global del sistema
la posibilidad de acceso al software del sistema y con ella, la posibilidad de interrumpir los sistemas de informacin operativa es limitada
la preparacin, instalacin y mantenimiento del software del sistema no amenaza la seguridad de los datos y
programas almacenados en el sistema
se seleccionan parmetros del software del sistema para asegurar la integridad de los datos y programas almacenados en el sistema
101
COBIT
el software del sistema es instalado y mantenido de acuerdo con el marco referencial de adquisicin y mantenimiento de la infraestructura de tecnologa
los proveedores de software del sistema proporcionan estatutos de aseguramiento de la integridad como parte de su software y todas las modificaciones al mismo
la prueba global (por ejemplo, utilizando una metodologa de ciclo de vida de desarrollo de sistemas) de
software del sistema ocurre antes de que ste sea introducido al ambiente de produccin
los passwords o contraseas de instalacin proporcionados por el proveedor de software son modificados al
momento de la instalacin y que los cambios al software del sistema son controlados en lnea con los procedimientos de administracin de cambios de la organizacin
Existen polticas y procedimientos para el mantenimiento preventivo de hardware (tanto el operado por la funcin de
servicios de informacin como por las funciones de los usuarios afectados) para reducir la frecuencia y el impacto
de las fallas de desempeo
Se cumple con los pasos y la frecuencia de mantenimiento preventivo prescritos por el proveedor para cada dispositivo
de hardware operado por la funcin de servicios de informacin y las funciones de los usuarios afectados
Evaluar la suficiencia:
8
Probando que:
Existen los estatutos de aseguramiento de la integridad del software entregados por el proveedor de software del sistema para todo el software del sistema (incluyendo todas las modificaciones) y considera las exposiciones resultantes en el software del sistema
La evaluacin del desempeo trae como resultado la comparacin con los requerimientos del sistema
Existe un proceso formal de evaluacin del desempeo
El calendario de mantenimiento preventivo asegura que el mantenimiento de hardware programado no tendr ningn
impacto negativo sobre aplicaciones crticas o sensibles
El mantenimiento programado asegura que no ha sido planeado para perodos pico de carga de trabajo y que la funcin de servicios de informacin y las operaciones de los grupos de usuarios afectados son suficientemente
flexibles para adaptar el mantenimiento preventivo rutinario planeado
Los programas operativos de servicios de informacin aseguran que existen las preparaciones adecuadas para manejar anticipadamente los tiempos muertos de hardware ocasionados por mantenimiento no programado
Los parmetros del software del sistema aseguran que fueron elegidos los correctos por parte del personal apropiado
de la funcin de sistemas de informacin con el fin de asegurar la integridad de los datos y los programas almacenados en el sistema
El acceso se restringe nicamente a un nmero limitado de operadores dentro de la funcin de servicios de informacin
El software del sistema es instalado y mantenido de acuerdo con el marco referencial de adquisicin y mantenimiento
para la infraestructura de tecnologa
Se llevan a cabo pruebas completas (utilizando una metodologa de ciclo de vida de desarrollo de sistemas) para todo
el software del sistema antes de autorizar su introduccin al ambiente de produccin
Todos los passwords o contraseas de instalacin del software del sistema proporcionados por los proveedores fueron cambiados al momento de la instalacin
Todos los cambios al software del sistema fueron controlados de acuerdo con los procedimientos de administracin
de cambios de la organizacin
102
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
La administracin del sistema (por ejemplo, adicin de nuevos usuarios al sistema y a las redes; creacin y respaldo de
bases de datos, asignacin de espacio para almacenamiento de datos, prioridades del sistema, etc.) se restringen
nicamente a un nmero limitado de operadores dentro de la funcin de servicios de informacin
Evaluar el riesgo de los objetivos de control no alcanzados:
8
Llevando a cabo:
Mediciones ("Benchmarking") de la adquisicin, implementacin y mantenimiento de hardware y software contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Una revisin de tallada de:
la documentacin seleccionada de sistemas operacionales o proyectos de desarrollo o modificacin de sistemas para determinar si los requerimientos formales de desempeo de hardware y software (incluyendo referencias para volumen de transaccin, tiempos de procesamiento y respuesta, tamaos de archivos y bases de
datos, volmenes de redes y compatibilidad de protocolos de comunicaciones) existen para todos los sistemas
prcticas de mantenimiento de hardware para determinar si el mantenimiento est siendo llevado a cabo de
acuerdo con los lineamientos del proveedor y calendarizado de tal manera que no afecte el desempeo global
del sistema
instalacin, mantenimiento del sistema y controles de cambio para asegurar el cumplimiento con el marco
referencial de adquisicin y mantenimiento para la infraestructura de tecnologa y la integridad del sistema
Identificando:
Evaluaciones de desempeo que hayan afectado el desempeo global del sistema
Problemas de mantenimiento preventivo que hayan afectado el desempeo global del sistema Debilidades en la preparacin, instalacin y mantenimiento de software del sistema (incluyendo la seleccin de parmetros inapropiados
de software del sistema) que hayan amenazado la seguridad de los datos y los programas almacenados en el sistema
Debilidades en las pruebas de software del sistema que pudieran amenazar la seguridad de los datos y los programas
almacenados en el sistema
Debilidades en el proceso de control de cambios del software del sistema que pudieran amenazar la seguridad de
los datos y los programas almacenados en el sistema
103
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICION E IMPLEMENTACION
AI4
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P
104
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Desarrollo de aplicaciones de la funcin de servicios de informacin
Mantenimiento de la funcin de servicios de informacin
Control de cambios de la funcin de servicios de informacin
Operaciones de la funcin de servicios de informacin
Recursos humanos/entrenamiento de la funcin de servicios de informacin
Administracin de aseguramiento de la calidad de la funcin de servicios de informacin
Usuarios seleccionados de recursos de sistemas de informacin
Obteniendo:
Polticas y procedimientos organizacionales relacionados con:
Planeacin estratgica y objetivos del negocio, planeacin de sistemas de informacin y desarrollo de aplicaciones
Polticas y procedimientos de las funciones de servicios de informacin relacionadas con el desarrollo del sistema, incluyendo: organigrama, metodologa del ciclo de vida de desarrollo de sistemas, planeacin de capacidad, manuales de usuarios y operaciones, materiales de entrenamiento, pruebas y migracin a estatus de produccin y documentos de planeacin de reanudacin/ contingencia
Considerando s:
Los requerimientos operativos fueron determinados con estadsticas histricas de desempeo disponibles y entradas del usuario con respecto a incrementos/decrementos esperados
El nivel de servicio y las expectativas de desempeo estn o suficientemente detallados para permitir el seguimiento, la
emisin de reportes y las oportunidades de mejora
Los requerimientos operativos y los niveles de servicio estn determinados utilizando tanto desempeo histrico y
ajustes de usuario como mediciones o "benchmarks" de la industria
Los niveles de servicio y requerimientos de procesamiento son un paso integral en la planeacin de nuevos sistemas
Los manuales de procedimientos de usuarios, el manual de operaciones y los materiales de entrenamiento estn desarrollados como parte de cada proyecto de desarrollo, implementacin o modificacin de sistemas de informacin,
y se mantienen actualizados
105
COBIT
Evaluar la suficiencia:
8
Probando que:
Existen requerimientos operacionales y que stos reflejan tanto las expectativas de operacin como las de los usuarios
El desempeo operacional est siendo medido, comunicado y corregido en donde existen deficiencias
El personal de operaciones y los usuarios estn conscientes y tienen conocimiento de los requerimientos de desempeo
El personal de operaciones cuenta con manuales de operaciones para todos los sistemas y procesamientos bajo su
responsabilidad
Todo el movimiento de programas de desarrollo de aplicaciones a produccin requiere la actualizacin o creacin de
un manual de operaciones
Existen manuales de entrenamiento de usuarios para todas las aplicaciones, y reflejan actualmente la funcionalidad de
la aplicacin
Existen manuales de entrenamiento para todos los sistemas existentes y nuevos, y que stos apoyan a los usuarios,
reflejando el uso del sistema en la prctica diaria
Los manuales de usuario incluyen, pero no se limita a:
explicacin de todas la entradas, programas, salidas e integracin (con otros sistemas) de los sistemas
definicin de los nombres de todos los archivos de entrada, proceso y de salida y del formato del medio
calendarizacin para las corridas diarias, semanales, mensuales, trimestrales, cuatrimestrales, fin de ao,
etc.
comandos y parmetros de consola que requieran entradas por parte del operador
procedimientos de respaldo, reinicio y recuperacin en varios puntos o al darse una terminacin anormal
Llevando a cabo:
Para una seleccin de proyectos de desarrollo de sistemas, revisiones y aprobaciones de documentacin en cuanto a:
la tarea, entrega y liberacin de entrenamiento para el usuario para comprender y utilizar nuevos sistemas o
nuevas modificaciones
106
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Entrevistas a los usuarios para confirmar la suficiencia de las tentativas de desarrollo de sistemas, incluyendo los manuales desarrollados y el entrenamiento proporcionado
El anlisis tanto de manuales de usuario como de operaciones en cuanto a actualidad y mantenimiento continuo
8
Identificando:
107
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICION E IMPLEMENTACION
AI5
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
capacitacin
conversin / carga de datos
pruebas especficas
acreditacin
revisiones post implementacin
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
108
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Entrenamiento
Adecuacin del Desempeo del Software de Aplicacin
Conversin
Pruebas de Cambios
Criterios y Desempeo de Pruebas en Paralelo/Piloto
Prueba de Aceptacin Final
Pruebas y Acreditacin de Seguridad
Prueba Operacional
Promocin a Produccin
Evaluacin de la Satisfaccin de los Requerimientos del Usuario
Revisin Gerencial Post - Implementacin
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Director de TI
Administracin de la funcin de servicios de informacin
Entrenamiento, desarrollo de aplicaciones, seguridad, aseguramiento de la calidad y administracin de operaciones de
la funcin de servicios de informacin
Funcionario de Seguridad
Administracin seleccionada de sistemas recientemente desarrollados/en desarrollo
Contratos con proveedores para recursos de desarrollo de sistemas
Obteniendo:
Polticas y procedimientos organizacionales relacionados con la planeacin del ciclo de vida de desarrollo de sistemas
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con polticas y comits de seguridad, planeacin del ciclo de vida de desarrollo de sistemas para programas, unidades, planes de prueba
del sistema, entrenamiento de usuarios, migracin de sistemas de prueba a produccin, aseguramiento de la
calidad y entrenamiento
Plan y calendarizacin del ciclo de vida de desarrollo de sistemas, estndares de programacin de ciclo de vida de desarrollo de sistemas, incluyendo procesos de requisicin de cambios
Reportes muestra de estatus de tentativas de desarrollo de sistemas
Reportes post-implementacin de tentativas de desarrollo anteriores
Considerando s:
Existen polticas y procedimientos relacionados con el proceso de ciclo de vida de desarrollo de sistemas
109
COBIT
Existe una metodologa formal de ciclo de vida de desarrollo de sistemas para la instalacin y acreditacin de sistemas, incluyendo, pero no limitndose a, un enfoque en fases sobre: entrenamiento, adecuacin del desempeo,
plan de conversin, pruebas de programas, grupos de programas (unidades) y del sistema total, un plan de pruebas prototipo o paralelo, pruebas de aceptacin, pruebas y acreditacin de seguridad, pruebas operativas, controles de cambio, revisin y modificacin de implementacin y post-implementacin
Se lleva a cabo el entrenamiento de usuarios como parte de cada tentativa de desarrollo
Los controles de los programas/sistema son consistentes con los estndares de seguridad de la organizacin y con las
polticas, procedimientos y estndares de la funcin de servicios de informacin
Existen varias libreras de desarrollo, prueba y produccin para los sistemas en proceso
Existen criterios predeterminados para probar el acierto, las fallas y la terminacin de tentativas futuras
El proceso de aseguramiento de la calidad incluye la migracin independiente de desarrollo a las libreras de produccin y la suficiencia de la aceptacin requerida de los usuarios y grupos de operacin
Los planes de prueba para simulacin de volmenes, intervalos de proceso y disponibilidad y acreditacin de salidas
forman parte del proceso
El programa de entrenamiento asociado con una muestra de varias tentativas de desarrollo de sistemas contiene: diferencias con respecto al sistema anterior, cambios que afecten las entradas, procesamiento, calendarizacin, distribucin, interfaces con otros sistemas, errores y correccin de errores
Las herramientas automatizadas optimizan los sistemas desarrollados, en produccin, y si estas herramientas son utilizadas para oportunidades de eficiencia
La solucin de problemas ocurre en relacin con un desempeo por debajo de lo ptimo
Evaluar la suficiencia:
8 Probando que:
Se ha incluido en todas las tentativas de desarrollo de nuevos sistemas un plan formal para el entrenamiento de
usuarios
El personal est consciente, comprende y tiene conocimiento de la necesidad de controles formales de desarrollo de
sistemas y entrenamiento de usuarios para cada instalacin e implementacin de desarrollo
La consciencia, comprensin y conocimiento de usuarios seleccionados con respecto a sus responsabilidades en el
diseo, aprobacin, pruebas, entrenamiento, conversin y proceso de implementacin es conocida y considerada
Se da seguimiento a los costos reales del sistema comparados con los costos estimados, y al desempeo real contra
el esperado de los sistemas nuevos o modificados
Existe un plan de pruebas que cubre todas las reas de recursos de sistemas de informacin: software de
aplicacin, instalaciones, tecnologa y usuarios
Los usuarios comprenden todas las fases y responsabilidades en el desarrollo de sistemas, incluyendo:
compromiso y evaluacin del plan de pruebas y los resultados de las pruebas al ocurrir stas
evaluacin de la suficiencia del entrenamiento recibido para sistemas recientemente entregados y liberados
110
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
El personal de desarrollo y la administracin aseguran la estabilidad de los requerimientos de los usuarios una vez
acordados stos
La satisfaccin del usuario es medida contra los elementos entregables y liberables de los proveedores, en comparacin con los productos internos
Evaluar el riesgo de los objetivos de control no alcanzados:
8
Llevando a cabo:
Mediciones ("Benchmarking") de la instalacin y acreditacin de sistemas contra organizaciones similares o estndares
internacionales/buenas prcticas reconocidas en la industria apropiadas
Una revisin detallada de:
el cumplimiento del grupo de desarrollo con las fechas lmite y tareas en relacin con la satisfaccin del
usuario la funcionalidad del sistema una vez completado
la revisin independiente y migracin de los sistemas del ambiente de prueba al estatus y las libreras de
produccin por parte de la funcin de aseguramiento de la calidad
las herramientas y monitoreo de redes y recursos utilizados para recopilar estadsticas para mantenimiento y
optimizacin, asegurando el soporte a las aplicaciones desarrolladas para lograr un desempeo mximo a un
costo mnimo
Entrenamiento de usuarios
Seguridad
Desempeo de software
Plan de conversin
Migracin a produccin
Revisin post-implementacin
resultados de las pruebas para confirmar si stos satisfacen los criterios predefinidos y si todas las funciones
del sistema fueron incluidas en los planes de prueba
discusiones de la administracin sobre los resultados de las pruebas, as como cualquier prueba terminada o
proyecto de desarrollo
pistas de auditora dirigidas a recrear una actividad o el anlisis de errores segn sea necesario
111
COBIT
8 Identificando:
Para una seleccin de proyectos recientes de ciclo de vida de desarrollo de sistemas:
compromiso del usuario y aprobacin formal en cada fase del proceso de desarrollo de sistemas
plan de pruebas para programas, unidades, sistemas (incluyendo prototipo o en paralelo), conversin, implementacin, y revisin post-implementacin
aceptacin formal por parte de los usuarios con respecto a la funcionalidad, seguridad, integridad y riesgo
remanente del sistema
Los manuales de operacin para calendarizacin, corridas, recuperacin/reinicio, respaldo / "backout" y solucin de
errores consideran:
la separacin fsica y lgica de las libreras de productos con respecto a las de desarrollo o pruebas
los procedimientos de solucin entre las expectativas de los usuarios y la funcionalidad del sistema entregado y liberado, cuando stos se encuentren en conflicto
Para los proveedores:
que el desempeo del proveedor es controlado tambin por la metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin
el cumplimiento del proveedor en cuanto a desempeo, fechas lmite y especificaciones de costos de los
contratos
112
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
113
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICION E IMPLEMENTACION
AI6
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
administracin de cambios
que satisface los requerimientos de negocio de:
minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores
se hace posible a travs de:
un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y
llevados a cabo a la infraestructura de TI actual
y toma en consideracin:
identificacin de cambios
procedimientos de categorizacin, priorizacin
y emergencia
evaluacin del impacto
autorizacin de cambios
manejo de liberacin
distribucin de software
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
114
DIRECTRICES DE AUDITORA
AI 6
ADMINISTRACIN DE
Y TECNOLOGAS AFINES
CAMBIOS
OBJETIVOS DE CONTROL
1
2
3
4
5
6
7
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Director de TI
Administracin de la funcin de servicios de informacin
Administracin de desarrollo de sistemas, aseguramiento de la calidad de control de cambios, operaciones y seguridad
Administracin de usuarios seleccionada involucrada en el diseo y utilizacin de aplicaciones de sistemas de informacin
Obteniendo:
Polticas y procedimientos organizacionales relacionadas con: planeacin de sistemas de informacin, control de cambios, seguridad y ciclo de vida de desarrollo de sistemas
Polticas y procedimientos de la funcin de servicios de sistemas de informacin relacionadas con: metodologa del
ciclo de vida de desarrollo de sistemas, estndares de seguridad, aseguramiento independiente de la calidad, implementacin, distribucin, mantenimiento, cambios de emergencia, liberacin de software y control de versiones
del sistema.
Plan de desarrollo de aplicaciones
Formato y bitcora de requisiciones de control de cambios
Contratos con proveedores relacionados con servicios de desarrollo de aplicacin
Considerando s:
Existe y se utiliza una metodologa para priorizar los requerimientos de cambios al sistema de los
Se consideran procedimientos de cambios de emergencia en los manuales de operaciones
El control de cambios es un procedimiento formal tanto para los usuarios como para los grupos de desarrollo
La bitcora de control de cambios asegura que todos los cambios mostrados fueron resueltos
El usuario est satisfecho con el resultado de los cambios solicitados - calendarizacin y costos
115
COBIT
Para una seleccin de cambios en la bitcora de control de cambios:
Probando que:
Para una muestra de cambios, la administracin ha aprobado los siguientes puntos:
solicitud de cambios
116
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Llevando a cabo:
Mediciones ("Benchmarking") de la administracin de control de cambios contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Para sistemas seleccionados de la funcin de servicios de informacin:
la obtencin del conocimiento del cambio a travs de un acuse de recibo de solicitud de cambios de la funcin de servicios de informacin
la adecuacin de los sistemas y los planes de prueba de los usuarios y sus resultados
Identificando:
Para una seleccin de cambios de informacin que:
117
COBIT
118
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
119
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS1
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
P P P P P
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
120
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Director de Informacin
Presidencia de la funcin de servicios de informacin
Administrador del nivel de servicio/contrato de servicios de informacin
Administrador de operaciones de la funcin de servicios de informacin
Administracin de usuarios
Obteniendo:
Polticas y procedimientos generales para la organizacin asociadas a las relaciones proveedor/usuario
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con:
Acuerdos de nivel de servicio
Contenido de emisin de reportes operativos, tiempos y distribucin
Mtodos de seguimiento de desempeo
Actividades de accin correctiva
Documentacin de la funcin de servicios de informacin relacionada con:
Reportes de desempeo de nivel de servicio
Algoritmos de cargo y metodologa para calcular cargos
Programas de mejora del servicio
Recurso resultante de un bajo desempeo
Acuerdos de nivel de servicio con usuarios y proveedores internos y externos
121
COBIT
Existe un proceso de revisin regular llevado a cabo por la administracin
Se identifica un proceso de recurso en caso de un bajo desempeo
Los acuerdos de nivel de servicio incluyen, pero no se limitan a contar con:
definicin de servicio
requerimientos de seguridad
acuerdo por escrito y formalmente aprobado entre el proveedor y el usuario del servicio
clculo de cargos
Probando que:
Para una muestra de acuerdos pasados y en proceso, el contenido incluye:
requerimientos de seguridad
acuerdo por escrito y formalmente aprobado entre el proveedor y el usuario del servicio
clculos de cargos
122
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Se da seguimiento al desempeo histrico comparndolo contra el compromiso de mejora al servicio determinado anteriormente
Los reportes sobre el logro del desempeo de servicio especificado son utilizados apropiadamente por la administracin para asegurar un desempeo satisfactorio
Los reportes sobre todos los problemas encontrados son utilizados apropiadamente para asegurar que se toman las acciones correctivas correspondientes
Evaluar el riesgo de los objetivos de control no alcanzados:
8 Llevando a cabo:
Mediciones ("Benchmarking") de los acuerdos del nivel de servicio contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria
Una revisin:
del acuerdo de nivel de servicio para determinar que se definen y alcanzan las provisiones cualitativas y
cuantitativas que confirman las obligaciones
del acuerdo de nivel de servicio seleccionado para confirmar que los procedimientos de solucin de problemas, especficamente el desempeo bajo sean incluidos y llevados a cabo
8 Identificando:
La conveniencia de las provisiones que describen, coordinan y comunican la relacin entre el proveedor y el usuario de
los servicios de informacin
Clculos incorrectos para categoras seleccionadas de informacin
Revisiones continuas y acciones correctivas llevadas a cabo por la administracin de reportes del nivel de servicio
La conveniencia de las mejoras a los servicios propuestos en comparacin con el anlisis costo/beneficio
La conveniencia de la capacidad de los proveedores para alcanzar en el futuro los objetivos comprometidos de mejoras
123
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS2
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
124
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Director de Informacin
Presidencia de la funcin de servicios de informacin
Administrador de contrato/nivel de servicio de servicios de informacin
Administracin de las operaciones de la funcin de servicios de informacin
Funcionario de seguridad de la funcin de servicios de informacin
Obteniendo:
Polticas generales para la organizacin asociadas con los servicios adquiridos y en particular, con las relaciones con
proveedores como terceras partes
Polticas y procedimientos de la funcin de servicios de informacin asociadas con: relaciones con terceras partes, procedimientos de seleccin de proveedores, contenido del control de dichas relaciones, seguridad lgica y fsica,
mantenimiento de la calidad por parte de los proveedores, planeacin de contingencias y fuentes externas
Una lista de todas las relaciones actuales con terceras partes y de los contratos reales asociados con ellas
El reporte del nivel de servicio relacionado con las relaciones y servicios proporcionados por terceras partes
Las minutas de las reuniones en las que se discuten la revisin de los contratos, la evaluacin del desempeo y la administracin de las relaciones
Los acuerdos de confidencialidad para todas las relaciones con terceras partes
Las listas de seguridad de acceso con los perfiles y recursos disponibles para los vendedores
Considerando s:
Existen polticas y procedimientos de la funcin de servicios de informacin asociadas con las relaciones con terceras
partes, y si stas son consistentes con las polticas generales de la organizacin
Existen polticas que consideran especficamente la necesidad de contratos, de una definicin del contenido de los mismos, del propietario o administrador de las relaciones responsable de asegurar la creacin, mantenimiento, monitoreo y renegociacin de los contratos
125
COBIT
Considerando si, contina
Las interfaces estn definidas para agentes independientes involucrados en la conduccin del proyecto y dems partes
como los subcontratados.
Los contratos representan un registro completo de las relaciones con los proveedores como terceras partes
Los contratos estn establecidos especficamente para la continuidad de los servicios, y que dichos contratos incluyen
una planeacin de contingencias por parte del proveedor para asegurar la continuidad del servicio a los usuarios de
stos
El contenido de los contratos incluye por lo menos lo siguiente:
servicios proporcionados
proceso de disolucin
proceso de modificacin
funciones entre las partes del contrato durante la vida del mismo
aseguramiento de continuidad que indica que el servicio ser proporcionado por el proveedor
requerimientos de seguridad
garantas de confidencialidad
Probando que:
La precisin y existencia de la lista de contratos y de los contratos
Ningn servicio es proporcionado por algn proveedor no incluido en la lista de contratos mencionada
Los proveedores mencionados en los contratos efectivamente estn llevando a cabo los servicios definidos
La administracin/los propietarios de los proveedores comprenden su responsabilidad dentro del contrato
Las polticas y procedimientos de la funcin de servicios de informacin asociadas con las relaciones con terceras partes
existen y son consistentes con las polticas generales de a organizacin
Existen polticas que consideran especficamente la necesidad de establecer contratos, la definicin del contenido de los
mismos, del propietario o administrador de la relacin responsable de asegurar que los contratos sean creados, mantenidos, monitoreados y renegociados segn se requiera
Los contratos representan un registro completo de las relaciones con los proveedores como terceras partes
Los contratos estn establecidos para asegurar especficamente la continuidad de los servicios, y que dichos contratos
126
LINEAMIENTOS DE AUDITORA
Y TECNOLOGAS AFINES
incluyen una planeacin de contingencias por parte del proveedor para asegurar el servicio continuo a los usuarios
El contenido de los contratos incluyen por lo menos lo siguiente:
servicios proporcionados
proceso de disolucin
proceso de modificacin
funciones entre las partes del contrato durante la vida del mismo
requerimientos de seguridad
garantas de confidencialidad
127
COBIT
Evaluar el riesgo de los objetivos de control no alcanzados:
8 Llevando a cabo:
Mediciones ("Benchmarking") de los servicios de terceras partes contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria
Una revisin detallada de cada uno de los contratos de terceras partes para determinar provisiones cualitativas y cuantitativas que confirmen la definicin de las obligaciones
8 Identificando:
Provisiones que describen, coordinan y comunican la relacin entre el proveedor y el usuario de los servicios de informacin
Facturas de terceras parte que reflejan cargos precisos por servicios por contrato seleccionados
El vnculo de la organizacin con los proveedores como terceras partes que asegura la comunicacin de problemas de
contrato entre las partes y los usuarios de los servicios
La aprobacin de todos los contratos por parte de la administracin y el consejo legal
La puesta en prctica de evaluaciones de riesgos para confirmar la necesidad de las relaciones o la necesidad de modificar la relacin
La revisin continua y las acciones correctivas sobre los reportes de contratos llevadas a cabo por la administracin
Lo razonable de la aplicacin de los cargos en comparacin con el desempeo interno, externo y de la industria
La existencia de planes de contingencia para todos los servicios contratados, especficamente para los servicios de recuperacin en caso de desastre de la funcin de servicios de informacin
Para las funciones de fuentes externas, defectos aparentes u oportunidades para mejorar el desempeo o reducir costos
La implementacin de recomendaciones contenidas en auditoras independientes llevadas a cabo por la parte contratante
128
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
129
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS3
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
P P P
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
130
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Presidencia de la funcin de servicios de informacin
Administracin de operaciones de la funcin de servicios de informacin
Administracin de la capacidad de la funcin de servicios de informacin
Administracin de redes de la funcin de servicios de informacin
8 Obteniendo:
Polticas y procedimientos globales para la organizacin relacionados con la disponibilidad, monitoreo y reporte del
desempeo, pronstico de la carga de trabajo, administracin de la capacidad y calendarizacin
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: el enlace de la capacidad con el
plan del negocio, la disponibilidad de los servicios, la planeacin de la disponibilidad, el monitoreo continuo y la
administracin del desempeo
Representaciones del producto por parte del proveedor con respecto a las normas de capacidad y desempeo
Una lista de todos los productos actuales del proveedor en lo referente a hardware, software, comunicaciones y perifricos
Reportes de monitoreo de redes de comunicacin
Minutas de las reuniones en las que se discuten la planeacin de la capacidad, las expectativas de desempeo y la
"afinacin" del desempeo
Documentos de disponibilidad, capacidad, carga de trabajo y planeacin de recursos
Presupuesto de TI anual incluyendo las suposiciones relacionadas con la capacidad y el desempeo
Reportes relacionados con el desempeo operativo dentro de la funcin de servicios de informacin, incluyendo el
reporte y la historia de la solucin de problemas
Evaluar los controles:
8
Considerando s:
Los perodos de tiempo y el nivel de servicio estn definidos para todos los servicios proporcionados por la funcin de
131
COBIT
servicios de informacin
Los perodos de tiempo y los niveles de servicio reflejan los requerimientos del usuario
Los perodos de tiempo y los niveles de servicio son consistentes con las expectativas de desempeo del potencial del
equipo
Existe un plan de disponibilidad, si ste es actual y refleja los requerimientos del usuario
Se lleva a cabo y se reporta un monitoreo continuo del desempeo de todo el equipo y de la capacidad, y si la falta de
un desempeo adecuado es considerada por la administracin y si se consideran formalmente las oportunidades de
mejoras al desempeo
Se monitorea el desempeo ptimo de configuracin utilizando herramientas de modelado para maximizar el desempeo y al mismo tiempo, minimizar la capacidad a los niveles requeridos
Los usuarios y los grupos de desempeo operativo revisan proactivamente la capacidad, el desempeo, y si se llevan a
cabo modificaciones a la calendarizacin de la carga de trabajo
El pronstico de la carga de trabajo incluye las entradas hechas por los usuarios debido a demandas cambiantes y por
los proveedores debido a nueva tecnologa o a mejoras a los productos actuales
Evaluar la suficiencia:
8
Probando que:
Las estadsticas sobre reportes de desempeo, capacidad y disponibilidad son precisas, incluyendo una comparacin
entre las explicaciones de las variaciones de desempeo histricas y las pronosticadas
El proceso de cambios para modificar los documentos de planeacin de disponibilidad, capacidad y carga de trabajo
refleja los cambios en la tecnologa o los requerimientos del usuario
Los reportes de anlisis de flujo de trabajo consideran las oportunidades de eficiencia de procesos adicionales
El reporte de informacin del desempeo para los usuarios relacionado con el uso y la disponibilidad, existe, incluyendo capacidad calendarizacin de carga de trabajo y tendencias
Existen procedimientos de escalamiento, que stos son seguidos y son apropiados para la solucin de problemas
La fase de post - implementacin de la metodologa de desarrollo de sistemas incluye criterios para determinar el crecimiento futuro y los cambios a las expectativas de desempeo
Los niveles de soporte proporcionados por la funcin de servicios de informacin son suficientes para apoyar las metas
de la organizacin
Llevando a cabo:
Mediciones ("Benchmarking") de la administracin del desempeo y la capacidad contra organizaciones similares o
estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Pruebas de las necesidades continuas del negocio, para asegurar que los trminos y requerimientos de disponibilidad
de TI reflejan adecuadamente estas necesidades
Una revisin del proceso de planeacin de capacidad y recursos para asegurar la modificacin oportuna de los planes,
tomando como base las necesidades cambiantes del negocio
Una verificacin para asegurar que las expectativas de desempeo estn siendo alcanzadas en lo referente a capacidad,
respuesta y disponibilidad
Una comparacin de los requerimientos de desempeo desde una perspectiva de anlisis costo/beneficio, para asegurar
132
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
133
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS4
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
clasificacin de severidad
plan documentado
procedimientos alternativos
respaldo y recuperacin
pruebas y entrenamiento sistemticos y
regulares
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
134
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Presidencia de la funcin de servicios de informacin
Administracin de operaciones de la funcin de servicios de informacin
Administracin de contingencias de la funcin de servicios de informacin
Administracin de recursos humanos o entrenamiento
Organizaciones de usuarios con necesidades de reanudacin/contingencia
Administrador del centro de cmputo de recuperacin del proveedor
Administrador del almacenamiento fuera del centro de cmputo
Administrador de riesgos/seguros
8 Obteniendo:
Polticas y procedimientos generales para la organizacin relacionados con el proceso de planeacin de recuperacin/
contingencia
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: el marco referencial, el plan, la
filosofa, la estrategia, la priorizacin de aplicaciones, el plan de pruebas, los respaldos y rotaciones regulares y el
entrenamiento de recuperacin de desastres/contingencia
El plan de recuperacin de desastres/contingencia de la funcin de servicios de informacin
Los usuarios de los servicios de planes de reanudacin del negocio/contingencia
Los resultados de las pruebas de los planes para usuario de recuperacin de desastre/contingencia y reanudacin del
negocio/contingencia ms recientes
La metodologa para determinar la priorizacin de aplicaciones en caso de desastre
Los contratos de los proveedores que dan soporte a los servicios de recuperacin/soporte
Polticas de seguros por interrupcin del negocio
AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL
135
COBIT
Evaluar los controles:
8
Considerando s:
Las polticas organizacionales requieren de un marco referencial de recuperacin/contingencia y de un plan como parte
de los requerimientos normales de operacin tanto para la funcin de servicios de informacin como para todas las
organizaciones dependientes de los recursos de sistemas de informacin
Las polticas y procedimientos de la funcin de servicios de informacin requieren de:
una filosofa y un marco referencial consistentes en relacin con el desarrollo de un plan de recuperacin de desastres/contingencia
una priorizacin de las aplicaciones con respecto a los tiempos de recuperacin y regreso
una evaluacin de riesgos y la consideracin de seguros por prdidas del negocio en situaciones de recuperacin
de desastre/contingencia para la funcin de servicios de informacin, as como para los usuarios de los recursos
un acuerdo de contrato formal con los proveedores que prestan servicios para proporcionar servicios en caso de
desastre, incluyendo instalaciones de centro de cmputo o relaciones de respaldo, anticipndose a una necesidad
real
la inclusin de los siguientes puntos como contenido mnimo en cada plan de recuperacin de desastre/
contingencia:
Procedimientos de emergencia para garantizar la seguridad de todos los miembros del personal afectados
Funciones y responsabilidades de la funcin de servicios de informacin, de los proveedores que prestan servicios de recuperacin de desastres, de los usuarios de los servicios y del personal administrativo de soporte
Un marco referencial de recuperacin de desastres consistente con un plan de contingencias a largo plazo
Una lista de los recursos de sistemas que requieren alternativas (hardware, perifricos, software)
Una lista de las aplicaciones mayores y menores, de los tiempos de recuperacin requeridos y de las normas
de desempeo esperadas
Funciones administrativas para comunicar y proporcionar servicios de soporte tales como beneficios, nmina,
comunicacin externa, seguimiento de costos, etc. en caso de desastre
Escenarios de desastre varios, desde las prdidas mnimas hasta la prdida total de la capacidad y respuesta
en suficiente detalle para llevar a cabo una ejecucin paso a paso.
La identificacin de equipo especfico y necesidades de suministros tales como impresoras de alta velocidad,
firmas, formatos, equipo de comunicacin, telfonos, etc., as como de una fuente y fuente
La calendarizacin de las pruebas, los resultados de la ltima prueba y las acciones correctivas llevadas a
cabo tomando como base la(s) prueba(s) anterior(es)
La informacin logstica de la localizacin recursos clave, incluyendo el centro de cmputo de respaldo para
la recuperacin de sistemas operativos, aplicaciones, archivos de datos, manuales de operacin y documentacin de programas/sistema/usuarios
Los nombres, direcciones, nmeros de telfono/ "localizadores" (pagers) actuales del personal clave
La inclusin de los planes de reconstruccin para la recuperacin en la localidad original de todos los sistemas y recursos
Las alternativas de reanudacin del negocio para todos los usuarios para el establecimiento de localidades de
136
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
trabajo alternativas, una vez que los recursos de sistemas de informacin estn disponibles (por ejemplo, el
sistema ha sido recuperado en el centro de cmputo alternativo pero el edificio de los usuarios sufri un incendio y no est disponible
Los requerimientos de la agencia reguladora con respecto a la planeacin de contingencia estn siendo satisfechos
Los planes de contingencia para usuarios son desarrollados tomando como base la no disponibilidad de los recursos
fsicos para llevar a cabo procesamientos crticos - manuales y computarizados
Los sistemas de telefona, Correo de Voz, fax y sistemas de imgenes son parte del plan de continuidad
Los sistemas de imgenes, los sistemas de fax, los documentos en papel y los medios de almacenamiento masivo son
parte del plan de continuidad.
Evaluar la suficiencia:
8
Probando que:
Existen planes de recuperacin de desastre/contingencia, que ste es actual y que es comprendido por todas las partes
afectadas
Se ha proporcionado a todas las partes involucradas un plan regular de entrenamiento de contingencia y recuperacin
en caso de desastre
Se han seguido todas las polticas y procedimientos relacionadas con el desarrollo del plan
El contenido del plan tiene como base el contenido descrito anteriormente, y que:
el plan ha sido probado recientemente y que ste trabaj de acuerdo con lo esperado, o que cualquier deficiencia encontrada trajo como resultado la aplicacin de correcciones al plan
existe un vnculo entre el plan de recuperacin en caso de desastres y el plan de negocios de la organizacin
los procedimientos manuales alternativos son documentados y probados como parte de la prueba global
Se han dado el entrenamiento, la consciencia y el conocimiento de los usuarios y del personal de la funcin de servicios de informacin en cuanto a funciones, tareas y responsabilidades especficas dentro del plan
Las relaciones y tiempos del proveedor contratado son consistentes con las expectativas y necesidades del usuario
El contenido del centro de cmputo de respaldo est actualizado y es suficiente con respecto a los procedimientos normales de rotacin fuera del centro de cmputo
Llevando a cabo:
Mediciones ("Benchmarking") de la planeacin de recuperacin de desastres/contingencias contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Una revisin detallada de:
los objetivos del plan para asegurar una estrategia apropiada y una interfase con la estrategia de continuidad
general del negocio
la comprensin apropiada del personal con respecto a proporcionar liderazgo como coordinadores del plan
los miembros seleccionados de la funcin de servicios de informacin y del departamento usuario para verificar que las necesidades del negocio estn incluidas en el plan de contingencia
137
COBIT
los procedimientos de usuario para el procesamiento de datos manual alternativo para asegurar que stos estn documentados por los departamentos usuarios con el fin de ser utilizados cuando ocurra un desastre, y
hasta que haya posibilidad de restaurar las operaciones despus del desastre
los suministros de aplicacin especficos, para asegurar que existe inventario suficiente en un centro de cmputo exterior (por ejemplo, cintas magnticas, reserva de cheques, reserva de certificados, etc.)
8 Identificando:
Los contratos de los proveedores para verificar los tiempos para obtener suministros y la suficiencia de detalles del
servicio, oportunidad, niveles de servicio y costos
Las provisiones para adquirir componentes de redes o de telecomunicaciones especializadas
Escenarios varios a corto plazo y permanentes como parte del plan
La priorizacin de aplicaciones ocurridas en forma consistente con las expectativas de los usuarios
Que existen contratos por escrito para instalaciones de centro de cmputo externas proporcionales a las necesidades
Velocidad, respuesta, disponibilidad y soporte de procesamiento del centro de cmputo alternativo, suficientes para los
requerimientos de los usuarios
Plan(es) de recuperacin de desastre del (de los) proveedor(es) para asegurar la continuidad de sus servicios en caso de
desastre
La lejana de los servicios alternativos del proveedor con respecto al centro de cmputo original, con el fin de eliminar
la posibilidad de desastres mutuos
Pruebas peridicas del plan, habiendo ocurrido ajustes al plan basndose en pruebas
Al personal usuario y de la funcin de servicios de informacin, asegurndose que haya recibido regularmente entrenamiento en recuperacin de desastres
La existencia de equipos, funciones y responsabilidades de reconstruccin similares, as como pruebas para migrar el
procesamiento desde el lugar de procesamiento alternativo al centro de cmputo original
138
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
139
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS5
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
140
P P P P P
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
autorizacin
autenticacin
acceso
perfiles e identificacin de usuarios
administracin de llaves criptogrficas
manejo, reporte y seguimiento de incidentes
Prevencin y deteccin de virus
Firewalls
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Oficial de seguridad Senior de la organizacin
Administracin de la seguridad y presidencia de la funcin de servicios de informacin
Administrador de la base de datos de la funcin de servicios de informacin
Administrador de la seguridad de la funcin de servicios de informacin
Administracin de desarrollo de aplicaciones de la funcin de servicios de informacin
8 Obteniendo:
Polticas y procedimientos globales para la organizacin referentes a la seguridad y el acceso de los sistemas de informacin
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: seguridad y acceso a los sistemas de informacin
Polticas y procedimientos relevantes, as como requerimientos de seguridad legales y regulatorios de los sistemas de
informacin (por ejemplo, leyes, regulaciones, lineamientos, estndares industriales) incluyendo:
141
COBIT
Considerando s:
Se cuenta con un plan de seguridad estratgico que proporcione una direccin y control centralizados sobre la seguridad de
los sistemas de informacin, as como requerimientos de seguridad de usuario con propsitos de consistencia
Se cuenta con una organizacin de seguridad centralizada responsable de asegurar el acceso apropiado a los recursos del sistema
Se cuenta con un esquema de clasificacin de datos en operacin que indique que todos los recursos del sistema cuentan con
un propietario responsable de su seguridad y contenido
Se cuenta con perfiles de seguridad de usuario que representen los menos accesos requeridos y que muestren revisiones
regulares a los perfiles por parte de la administracin con fines de reacreditacin
El entrenamiento de los empleados incluye un conocimiento y conciencia sobre seguridad, las responsabilidades de los propietarios y los requerimientos de proteccin contra virus
Se cuenta con reportes de violaciones a la seguridad y procedimientos formales de solucin de problemas. Estos reportes
debern incluir:
142
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Existen mdulos criptogrficos y procedimientos clave de mantenimiento, si stos son administrados centralizadamente y si
son utilizados para todas las actividades de acceso externo y de transmisin
Existen estndares de administracin criptogrfica claves tanto para la actividad centralizada como para la de los usuarios
Los controles de cambios al software de seguridad son formales y consistentes con los estndares normales de desarrollo y
mantenimiento de sistemas
Los mecanismos de autenticidad en uso proveen las siguientes facilidades:
autenticidad basada en la poltica (ej., capacidad para especificar procedimientos de autenticidad aparte en los
eventos especficos)
autenticidad a demanda (ej., capacidad de volver a autentificar al usuario, en ocasiones, despus de la autentificacin inicial)
El nmero de sesiones concurrentes correspondientes al mismo usuario estn limitadas
Al entrar, aparece un mensaje de advertencia preventivo en relacin al uso adecuado del hardware, software o conexin.
Se despliega una pantalla de advertencia antes de completar la entrada para informar al lector que los accesos no autorizados
podran causar responsabilidades legales
Al lograrse la sesin exitosamente, se despliega el historial de los intentos exitosos y fallidos de acceso a la cuenta del usuario
La poltica de password incluye:
Fecha del ltimo acceso y el nmero de intentos fallidos se despliega al usuario autorizado de las entradas
se les pide a los empleados en puestos delicados que permanezcan alejados de la organizacin durante un periodo
adecuado cada ao gregoriano; durante este tiempo su ID de usuario se suspende; y las personas que lo sustituyen
deben notificar a la administracin en caso de advertirse cualquier anormalidad de seguridad
la rotacin de personal sin previa notificacin al personal en reas delicadas se realiza de tiempo en tiempo
El hardware y software de seguridad, como los mdulos de encriptacin, estn protegidos contra la intromisin o divulgacin, el acceso se limita a la base de la necesidad de conocimiento
El acceso a los datos de seguridad como el manejo de la seguridad, datos de transaccin delicados, passwords y claves de
encriptacin se limita a la base de la necesidad de conocimiento
Se utilizan rutas confiables para transmitir informacin delicada no encriptados
Para evitar la suspensin del servicio por ataques con faxes basura, se toman medidas de seguridad como:
143
COBIT
las lneas de fax utilizadas para solicitudes del negocio no se utilizan con otros fines
Las medidas preventivas y detectoras de control se han establecido con respecto a los virus de computadoras
Para reforzar la integridad de los valores electrnicos, se toman las medidas:
la informacin de la tarjeta (NIP y dems informacin) se protege contra la divulgacin del intruso
el proceso de identificacin y autenticidad requiere ser repetido despus de un cierto periodo de inactividad
un sistema de candado, un botn de fuerza o una secuencia de salida se puede activar cuando la terminal se deja encendida
Evaluar la suficiencia:
8
Probando que:
La funcin de servicios de informacin cumple con los estndares de seguridad relacionados con:
autenticacin y acceso
todo el software adquirido por la organizacin se revisa contra los virus antes de su instalacin y uso
existe una poltica por escrito para bajar archivos (downloads), aceptacin o uso de aplicaciones gratuitas y compartidas y esta poltica est vigente
el software para aplicaciones altamente sensibles est protegido por MAC (Messsage Authentication Code- Cdigo de Autentificacin de Mensajes) o firma digital, y fallas de verificacin para evitar el uso del software
los usuarios tienen instrucciones para la deteccin y reportes de virus, como el desempeo lento o crecimiento
misterioso de archivos
existe una poltica y un procedimiento vigente para la verificacin de disquetes externos al programa de compra
normal de la organizacin
144
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
todo el trfico de adentro hacia fuera y viceversa debe pasar por estos firewalls (esto no debe limitarse a los controles digitales, debe reforzarse fsicamente)
slo se permitir el paso al trfico autorizado, como se define en la poltica de seguridad local
la arquitectura del firewall combina las medidas de control tanto a nivel de la red como de la aplicacin
la arquitectura del firewall debe estar configurada de acuerdo a la filosofa de arte mnima
la arquitectura del firewall debe desplegar slida autentificacin para la administracin y sus componentes
la arquitectura del firewall provee una auditora de todas las comunicaciones hacia o a travs del sistema del firewall y activar alarmas cuando se detecte alguna actividad sospechosa
el host de la organizacin, que provee el soporte para las solicitudes de entrada al servicio de las redes pblicas,
permanece fuera del firewall
la arquitectura del firewall se defiende de los ataques directos (ej., a travs del monitoreo activo de la tecnologa de
reconocimiento de patrones y trfico)
todo cdigo ejecutable se explora en busca de cdigos malignos ej., virus, applets dainos) antes de introducirse a
la red interna
Evaluar el riesgo de los objetivos de control no alcanzados:
8
Llevando a cabo:
Mediciones (Benchmarking) de la seguridad de los sistemas de informacin contra organizaciones similares o estndares
internacionales/buenas prcticas reconocidas en la industria apropiadas
Una revisin detallada de la seguridad de los sistemas de informacin, incluyendo evaluaciones de penetracin de la seguridad fsica y lgica de los recursos computacionales, de comunicacin, etc.
Entrevistas a los nuevos empleados para asegurar el conocimiento y la conciencia en cuanto a seguridad y en cuanto a las
responsabilidades individuales, por ejemplo, confirmar la existencia de declaraciones de seguridad firmadas y el entrenamiento para nuevos empleados en cuanto a seguridad
Entrevistas a usuarios para asegurar que el acceso est determinado tomando como base la necesidad (menor necesidad) y
que la precisin de dicho acceso es revisada regularmente por la gerencia
8 Identificando:
Accesos inapropiados por parte de los usuarios a los recursos del sistema
Inconsistencias con el esquema o inventario de redes en relacin con puntos de acceso faltantes, accesorios faltantes, etc.
Deficiencias en los contratos en cuanto a la propiedad y responsabilidades relacionadas con la integridad y seguridad de los
datos en cualquier punto de la transmisin entre en envo y la recepcin
Empleados no verificados como usuarios legtimos o antiguos empleados que cuenten an con acceso
Requisiciones informales o no aprobadas de acceso a los recursos del sistema
Software de monitoreo de redes que no indique a la administracin de redes las violaciones a la seguridad
Defectos en los procedimientos de control de cambios del software de redes
La no utilizacin de llaves secretas en los procedimientos de emisin/recepcin de terceras partes
Deficiencias en los protocolos para generacin de llaves, almacenamiento de distribucin, entrada, uso, archivo y proteccin
La falta de software actualizado para la deteccin de virus o de procedimientos formales para prevenir, detectar, corregir y
comunicar contaminaciones
145
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS6
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
146
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Gerencia administrativa o de asignacin de costos de la funcin de servicios de informacin
Administracin de usuarios seleccionada facturada y absorbente de costos
Obteniendo:
Polticas y procedimientos generales para la organizacin relacionadas con la planeacin y la preparacin del presupuesto
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con la agregacin de costos, facturacin, metodologa y reportes de desempeo/costos
Los siguientes elementos de la funcin de servicios de informacin:
Presupuesto actual y del ao anterior para los costos de la funcin de servicios de informacin
Gastos presupuestados para los recursos de sistemas de informacin, incluyendo aquellos facturados o absorbidos
Considerando s:
La funcin de servicios de informacin cuenta con un grupo responsable de reportar y emitir facturas a los usuarios
Existen procedimientos que:
creen un plan anual de desarrollo y mantenimiento con la identificacin de prioridades por parte del usuario en
cuanto a desarrollo, mantenimiento y gastos operacionales
permitan a los usuarios una determinacin de muy alto nivel en cuanto a en qu se gastan los recursos de la funcin de servicios de informacin
Consistencia en cuanto a cules costos deben ser asignados por los departamentos usuarios
147
COBIT
Comunicacin de costos histricos, suposicin de nuevos costos para la comprensin del usuario en cuanto
a cules costos son incluidos y facturados
Autorizacin del usuario de todos los costos presupuestados a ser asignados por la funcin de servicios de
informacin
seguimiento de los costos asignados de todos los recursos de los sistemas de informacin en cuanto (pero sin limitarse) a:
Hardware operacional
Equipo perifrico
Utilizacin de telecomunicaciones
Generales administrativos
Help desk
Instalaciones y mantenimiento
Costos discrecionales
asistan en la emisin regular de reportes para los usuarios en cuanto al desempeo para las distintas categoras de
costos
reporten a los usuarios en cuanto a mediciones (benchmarks) externas relacionadas con la efectividad de costos,
con el fin de permitir una comparacin contra las expectativas de la industria u otras fuentes alternativas de servicios para los usuarios
permitan la modificacin oportuna de la asignacin de costos para reflejar los cambios en las necesidades del negocio
identifiquen las oportunidades de mejora de la funcin de servicios de informacin para reducir las facturaciones o
para obtener un mejor valor por los cargos
Los reportes aseguran que los elementos sujetos a costo son identificables, medibles y predecibles
Los reportes capturan y resaltan los cambios en los componentes de costos o en el algoritmo de asignacin
Evaluar la suficiencia:
8
Probando que:
Existe una metodologa de asignacin de costos, que los usuarios estn de acuerdo en cuanto a su equidad, y que genera tanto costos como reportes
Existe un programa de mejora para reducir costos o aumentar el desempeo de los recursos de los sistemas de informacin
Los procesos de asignacin y reporte fomentan un uso ms apropiado, efectivo y consistente de los recursos computacionales, que stos aseguran el tratamiento justo de los departamentos usuarios y sus necesidades, y que los cargos
reflejan los costos asociados con la prestacin de servicios
Llevando a cabo:
Mediciones (Benchmarking) de la contabilidad de costos y de la metodologa de facturacin contra organizaciones
similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
148
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Un reclculo de la facturacin a partir de datos fuente, a travs de un algoritmo de asignacin de facturacin y dentro
del flujo de reportes a usuarios
La precisin de los datos en el reporte de desempeo, como:
utilizacin de CPU
utilizacin de perifricos
utilizacin de DASD
lneas/pginas impresas
lo razonable de la facturacin comparada con las fuentes alternativas, por ejemplo benchmarks
Identificando:
Oportunidades para una mayor efectividad y propiedad de la metodologa de facturacin
149
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS7
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
150
DIRECTRICES DE AUDITORA
DS 7
Y TECNOLOGAS AFINES
OBJETIVOS DE CONTROL
1
2
3
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Administrador de entrenamiento o recursos humanos de la organizacin
Administrador de entrenamiento o de recursos humanos de la funcin de servicios de informacin
Administradores y empleados seleccionados de la funcin de servicios de informacin
Administradores y empleados seleccionados de los departamentos usuarios
Obteniendo:
Polticas y procedimientos generales para la organizacin con respecto al entrenamiento sobre controles y conciencia
de seguridad, beneficios para los empleados enfocados al desarrollo, programas de entrenamiento para los usuarios de servicios, instalaciones educacionales y requerimientos de educacin continua profesional
Programas, polticas y procedimientos de entrenamiento y de educacin de la funcin de servicios de informacin relacionados con controles y conciencia de seguridad, seguridad tcnica y controles
Programas de entrenamiento disponibles (tanto internos como externos) para seguridad y conciencia de controles introductorios y continuos, as como para entrenamiento dentro de la organizacin
Considerando s:
Existen polticas y procedimientos relacionados con una conciencia continua de seguridad y controles
Se cuenta con un programa de educacin/entrenamiento enfocado a los principios de seguridad de los sistemas de informacin y de control
Los nuevos empleados tienen conocimiento y conciencia de la responsabilidad de seguridad y control con respecto a la
utilizacin y la custodia de los recursos de sistemas de informacin
Se cuenta con polticas y procedimientos vigentes relacionados con entrenamiento y si stos estn actualizados con
respecto a la configuracin tcnica de los recursos de sistemas de informacin
Existe disponibilidad de oportunidades de entrenamiento interno, considerando tambin la asistencia de los empleados
Existe disponibilidad de oportunidades de entrenamiento tcnico externo, considerando tambin la asistencia de los
empleados
Si una funcin de entrenamiento asesora las necesidades de entrenamiento del personal con respecto a seguridad y controles, trasladando estas necesidades en oportunidades de entrenamiento interno o externo
Se requiere a todos los empleados asistir a entrenamientos de conciencia de control y seguridad continuamente, los cuales incluiran, sin limitarse a:
151
COBIT
existen las responsabilidades asociadas con la custodia y utilizacin de los recursos de sistemas de informacin
Probando que:
Los nuevos empleados tienen conciencia y conocimiento de la seguridad, controles y responsabilidades fiduciarias de
poseer y utilizar recursos de sistemas de informacin
Las responsabilidades de los empleados con respecto a la confiabilidad, integridad, disponibilidad, confidencialidad y
seguridad de todos los recursos de los sistemas de informacin es comunicada continuamente
Un grupo de la funcin de servicios de informacin es formalmente responsable del entrenamiento, conciencia de seguridad y controles y mantenimiento de programas de educacin continua para certificaciones profesionales
Se considera continuamente la evaluacin de las necesidades de entrenamiento para empleados
El desarrollo o la participacin en los programas de entrenamiento relacionados con seguridad y controles es parte de
los requerimientos de entrenamiento
Existen programas reales nuevos y a largo plazo de entrenamiento sobre conciencia de seguridad para empleados
Los acuerdos de confidencialidad son firmados por todos los empleados
No faltan estatutos de confidencialidad y conflicto de intereses para empleados
No faltan evaluaciones de necesidades de entrenamiento para empleados
Llevando a cabo:
Una revisin de los manuales de entrenamiento en cuanto a su adecuacin y suficiencia con respecto a controles de
seguridad, confidencialidad, confiabilidad, disponibilidad e integridad
Entrevistas al personal de la funcin de servicios de informacin para determinar la identificacin de necesidades de
entrenamiento y la extensin o satisfaccin de tales necesidades
Identificando:
Inconsistencias en el currculum ofrecido como respuesta a las necesidades de entrenamiento
Deficiencias en la conciencia de los usuarios en cuanto a problemas de seguridad relacionados con la utilizacin de los
recursos de los sistemas de informacin
152
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
153
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS8
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
P
Control sobre el proceso de TI de:
Apoyo y asistencia a los clientes de TI
Monitoreo
55
154
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Bur de Ayuda
Registro de preguntas del Usuario
Escalamiento de preguntas del cliente
Monitoreo de atencin a clientes
Anlisis y reporte de tendencias
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Administrador de soporte del bur de ayuda de la funcin de sistemas de informacin
Usuarios seleccionados de los servicios de informacin
Obteniendo:
Polticas y procedimientos generales para la organizacin relacionados con el soporte a usuarios de la funcin de servicios de informacin
Organigrama, misin, polticas y procedimientos de la funcin de servicios de informacin relacionados con las actividades de bur de ayuda
Reportes relacionados con la preguntas de los usuarios, su solucin y estadsticas de desempeo del bur de ayuda
Cualquier estndar de desempeo para las actividades del bur de ayuda
Acuerdos de nivel de servicios entre la funcin de servicios de informacin y usuarios diversos
Archivos personales que muestren las credenciales y experiencia profesional del personal del bur de ayuda
Considerando s:
La naturaleza de la funcin del bur de ayuda (por ejemplo, la forma en la que las requisiciones de ayuda son procesadas y la ayuda es proporcionada) es efectiva
Existen instalaciones reales, divisiones o departamentos que lleven a cabo la funcin del bur de ayuda, as como personal o posiciones responsables del bur de ayuda
El nivel de documentacin para las actividades del bur de ayuda es adecuado y actual
Existe un proceso real para registrar requisiciones de servicios y si se hace uso de dicha bitcora
El proceso para la escalacin de preguntas y la intervencin de la administracin para su solucin son suficientes
El perodo de tiempo para atender las preguntas recibidas es adecuado
Existen los procedimientos para el seguimiento de tendencias y reportes de las actividades del bur de ayuda
Se identifican y ejecutan formalmente iniciativas de mejora de desempeo
Se alcanzan y se cumple con los acuerdos de nivel de servicio y los estndares de desempeo
El nivel de satisfaccin del usuario peridicamente se revisa y se reporta
155
COBIT
8
Probando que:
Las polticas y procedimientos son actuales y precisos en relacin con las actividades del bur de ayuda
Los compromisos de nivel de servicio son conservados y que las variaciones son explicadas
Las preguntas son atendidas de una forma oportuna
El anlisis y reporte de tendencias asegura que los reportes:
son emitidos y que se toman las medidas necesarias para mejorar el servicio
son enviados a las personas responsables con la autoridad para resolver los problemas
Se obtienen para una muestra de requisiciones de ayuda, confirmacin de la precisin, oportunidad y suficiencia de la
respuesta
Las encuestas sobre el nivel de satisfaccin del usuario existen y se trabaja con ellas
Llevando a cabo:
Entrevistas con usuarios seleccionados para determinar su satisfaccin en cuanto a:
reporte de actividades
Identificando:
Interacciones inadecuadas de las actividades del bur de ayuda con respecto a otras funciones dentro de la funcin de
servicios de informacin, as como a las organizaciones usuarias
Procedimientos y actividades insuficientes relacionadas con problemas en el reporte de recepcin, registro, seguimiento, escalamiento y solucin de preguntas
Deficiencias en el proceso de escalamiento con respecto a la falta de involucramiento por parte de la administracin o a
acciones correctivas efectivas
Oportunidad inadecuada en el reporte de problemas o insatisfaccin del usuario en cuanto al proceso de reporte de problemas.
156
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
157
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS9
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
registro de activos
administracin de cambios en la configuracin
chequeo de software no autorizado
controles de almacenamiento de software
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P
158
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
DS 9 ADMINISTRACIN DE LA CONFIGURACIN
OBJETIVOS DE CONTROL
1
2
3
4
5
6
Registro de la Configuracin
Base de la Configuracin
Estado de Cuenta
Control de la Configuracin
Software no Autorizado
Almacenamiento de Software
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Administracin de operaciones de la funcin de servicios de
informacin
Administracin de soporte de sistemas de la funcin de servicios de informacin
Administracin de desarrollo de aplicaciones de la funcin de servicios de informacin
Administracin de instalaciones
Personal de soporte de proveedores de software
Personal de administracin de activos relacionados con computacin
Administrador de aseguramiento de la calidad
Obteniendo:
Un inventario de la configuracin: hardware, software de sistema operativo, software de aplicaciones, instalaciones y
archivos de datos dentro y fuera de las instalaciones
Polticas y procedimientos organizacionales relacionados con la adquisicin, inventario y disposicin de software y
equipo computacional comprado, rentado o arrendado
Polticas organizacionales relacionadas con la utilizacin de software o equipo no autorizado
Polticas y procedimientos de la funcin de servicios de informacin relacionados especficamente con la adquisicin,
disposicin y mantenimiento de los recursos de la configuracin
Polticas y procedimientos de la funcin de servicios de informacin relacionados con las funciones de aseguramiento
de la calidad y de control de cambios en cuanto a la transferencia independiente y el registro de la migracin del
desarrollo de software nuevo y modificado hacia los archivos y estatus de produccin
Informacin de la base de la configuracin
Registros contables de activos fijos y arrendamientos relacionados con los recursos de sistemas
Reportes relacionados con adiciones, eliminaciones y cambios a la configuracin de los sistemas
Listas del contenido de las distintas libreras prueba, desarrollo y produccin
Inventario del contenido del almacenamiento fuera de las instalaciones equipo, archivos, manuales y formas incluyendo material en manos de los proveedores
159
COBIT
Evaluar
los controles:
8 Considerando
s:
El proceso para crear y controlar las bases de la configuracin (el punto en el diseo y desarrollo de un elemento de la
configuracin ms all del cual no ocurren ms avances sin llevar a cabo un estricto control de la configuracin)
es apropiado
Existen funciones para mantener la base de la configuracin
Existe un proceso para controlar los estados de cuenta de los recursos adquiridos y arrendados incluyendo entradas,
salidas e integracin con otros procesos
Los procedimientos de control de la configuracin incluyen:
la terminacin de la configuracin y de los reportes que evalan lo adecuado de los procedimientos de registro de la configuracin
el personal responsable de la revisin del control de la configuracin satisfaga los requisitos de conocimientos, destrezas y habilidades
los resultados de las revisiones sean proporcionados a la administracin para llevar a cabo acciones correctivas
Se lleva a cabo regularmente una revisin peridica de la configuracin con registros de inventario y de cuentas
La base de la configuracin cuenta con historia suficiente para dar seguimiento a los cambios
Existen procedimientos de control de cambios de software para:
asegurar que la librera de programas de aplicacin con licencia sea controlada adecuadamente
asegurar la confiabilidad e integridad del inventario de software autorizado utilizado y revisar la existencia de
software no autorizado
asignar responsabilidades sobre el control de software no autorizado a un miembro especfico del personal
registrar el uso de software no autorizado y reportar a la administracin para llevar a cabo acciones correctivas
definir un rea segura de almacenamiento de archivos (librera) para todo el software vlido en fases apropiadas del ciclo de vida de desarrollo de sistemas
requerir separacin de las libreras de almacenamiento de software entre ellas y con respecto a las reas de
almacenamiento de archivos de desarrollo, pruebas y produccin
requerir la existencia dentro de las libreras fuente que permitan la colocacin temporal de mdulos fuente a
ser transferidos al perodo de ciclo de produccin
requerir que cada miembro de todas las libreras cuente con un propietario designado
160
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Evaluar la suficiencia:
8
Probando que:
Todos los elementos de la configuracin se encuentran bajo un control base
Las polticas y procedimientos relacionados con el reporte de la configuracin son actuales y precisos
Se cumple con los estndares de desempeo con respecto al mantenimiento y reporte de la configuracin
Se lleva a cabo una comparacin entre el inventario fsico del equipo y los registros de contabilidad de activos
Existe independencia de la migracin de pruebas a produccin y registros de los cambios
Para una seleccin de salidas de base:
los registros de la configuracin reflejen el estatus actual de todos los elementos de la configuracin, incluyendo la historia de cambios
las libreras de archivos hayan sido definidas conveniente y adecuadamente y en fases apropiadas del ciclo de
vida de desarrollo de sistemas
para todas las computadoras personales que contengan software no autorizado se reporten violaciones y la
administracin lleve a cabo acciones correctivas
los registros de la configuracin con respecto a producto, versin y modificaciones de los recursos proporcionados por los proveedores sean precisos
existan mecanismos para asegurar que no exista software no autorizado en las computadoras, incluyendo:
Polticas y estatutos
Formas firmadas de cumplimiento por parte de todo el personal que utilice computadoras
Acciones correctivas por parte de la administracin basadas en los resultados de las revisiones
el almacenamiento de programas de aplicacin y cdigo fuente sea definido durante el ciclo de desarrollo y
que el impacto de los registros de la configuracin sea determinado
la suficiencia e integridad de los registros de proveedores y fuera del site relacionados con la configuracin,
as como la precisin en los registros de la configuracin sean anticipados y considerados
161
COBIT
Registrar el evento que cre la base, el establecimiento de la base y los elementos de la configuracin
que deben ser controlados en la base
Modificar la base, incluyendo la autoridad requerida para aprobar los cambios a las bases de la configuracin aprobadas previamente
Registrar los cambios a la base y a los elementos de la configuracin que deben ser controlados en la
base
Asegurar que todos los elementos de la configuracin son registrados dentro de los productos de base
existe el reporte de estado de cuenta para:
El tipo de informacin a ser recopilada, almacenada, procesada y reportada (Esto deber incluir el estatus de la base, los hallazgos en las revisiones de la base, requisiciones de cambios y estatus; revisin y
aprobacin/desaprobacin del control de la configuracin (s aplica); modificaciones realizadas; reportes de problemas y estatus y la historia de la revisin de la configuracin)
La manera en la que los problemas de requisiciones de cambio son resueltos con un estado de cuenta
incompleto
Llevando a cabo:
Una revisin detallada de la frecuencia y la oportunidad de las revisiones administrativas de los registros de la configuracin, lo cambios a los registros y la conciliacin de lo registros de inventario, cuenta y proveedor
Un anlisis del software de varias libreras en cuanto a posible duplicacin, identificacin de cdigo objeto faltante y
en cuanto a la eliminacin de archivos de datos o programas innecesarios -- y su reflejo en los registros de la configuracin
Identificando:
Las debilidades en la conciencia y en el conocimiento de la administracin y el personal en cuanto a las polticas organizacionales con respecto a:
162
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
163
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS10
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
soluciones
resolucin oportuna de problemas reportados
procedimientos de escalamiento
reportes de incidentes
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
164
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Personal de soporte de operaciones de la funcin de servicios de informacin
Personal de soporte del bur de ayuda de la funcin de servicios de informacin
Personal de soporte de sistemas de la funcin de servicios de informacin
Personal de soporte de aplicaciones de la funcin de servicios de informacin
Usuarios seleccionados de los recursos de los sistemas de informacin
Obteniendo:
Un resumen de las instalaciones y posiciones de manejo de problemas que realizan la funcin de manejo de problemas
Polticas y procedimientos de la funcin de servicios de informacin relacionados con el manejo de problemas, incluyendo procesos de reconocimiento, registro, solucin, escalamiento, seguimiento y reporte
Una lista de los problemas reportados durante un perodo representativo, incluyendo la fecha de ocurrencia, la fecha de
escalamiento (s aplica), la fecha de solucin y los tiempos de solucin
Una lista de las aplicaciones crticas que son escaladas inmediatamente a la atencin de la presidencia para darles prioridad de solucin, o que son reportables como problemas crticos
Un conocimiento de cualquier aplicacin de manejo de problemas, y en particular un mtodo para asegurar que todos
los problemas son capturados, resueltos y reportados segn lo requerido
Considerando s:
Existe un proceso de manejo de problemas que asegure que todos los eventos operacionales que no son parte de las
operaciones estndar son registrados, analizados y resueltos de manera oportuna, y que se generan reportes de
incidentes para problemas significativos
Existen procedimientos de manejo de problemas para:
establecer reportes de incidentes para los eventos crticos y la emisin de reportes para usuarios
identificar tipos de problemas y metodologa de priorizacin que permitan una variedad de soluciones tomando el riesgo como base
165
COBIT
Evaluar la suficiencia:
8
Probando que:
Una muestra seleccionada de salidas de procesos cumple con los procedimientos establecidos relacionados con:
problemas no-crticos
el reporte de los requerimientos, el contenido, la precisin, la distribucin y las acciones llevadas a cabo
Llevando a cabo:
Para una seleccin de problemas reportados, pruebas que aseguren que los procedimientos de manejo de problemas
fueron seguidos para todas las actividades no-estndar, incluyendo:
166
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
167
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS11
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Administracin de datos
que satisface los requerimientos de negocio de:
asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin y almacenamiento
se hace posible a travs de:
una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI
y toma en consideracin:
diseo de formatos
controles de documentos fuente
controles de entrada
controles de procesamiento
controles de salida
identificacin, movimiento y administracin de
la librera de medios
administracin de almacenamiento y respaldo
de medios
autenticacin e integridad
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
168
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
DS 11 ADMINISTRACIN DE DATOS
OBJETIVOS DE CONTROL
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Administracin de operaciones de la funcin de servicios de informacin
Administracin de bases de datos de la funcin de servicios de informacin
Administracin de desarrollo de aplicaciones de la funcin de servicios de informacin
Administracin de entrenamiento/recursos humanos de la funcin de servicios de informacin
Administracin de soporte de sistemas de la funcin de servicios de informacin
Administracin de la seguridad de respaldos
Administraciones de usuarios varias para aplicaciones crticas de la misin
169
COBIT
8
Obteniendo:
Polticas y procedimientos organizacionales relacionados con la naturaleza y administracin de datos, incluyendo:
puntos en la organizacin en los que los datos son originados, concentrados en grupos o tandas (batched),
editados, capturados, procesados, extrados, revisados, corregidos y remitidos, y distribuidos a los usuarios
procedimientos para asegurar la suficiencia, precisin, registro y transmisin de documentos fuente completos para captura
procedimientos utilizados para identificar y corregir errores durante la creacin original de datos
procedimientos para asegurar la integridad, confidencialidad y aceptacin de los mensajes delicados transmitidos por Internet o cualquier otra red pblica
mtodos utilizados por la organizacin para retener documentos fuente (archivo, imagen, etc.), para definir
qu documentos deben ser retenidos, los requerimientos de retencin legales y regulatorios, etc.
sistemas de interfase que proporcionen y utilicen datos para las funciones de servicios de informacin
mtodos utilizados para prevenir (por medios manuales y programados), detectar y corregir errores
edicin y autenticacin de la validacin del procesamiento de datos tan cerca del punto de origen como sea
posible
procedimientos de control de proveedores como terceras partes con respecto a preparacin, entrada, procesamiento y salida
Polticas y procedimientos relacionados con cualquier depsito de bases de datos de la organizacin, incluyendo:
170
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Considerando s:
Para la preparacin de datos:
los procedimientos de preparacin de datos aseguran suficiencia, precisin y validez
existen procedimientos de autorizacin para todos los documentos fuente
existe una separacin de funciones entre el origen, la aprobacin y la conversin de documentos fuente a datos
los datos autorizados permanecen completos, precisos y vlidos a travs de la creacin original de documentos fuente
los datos son transmitidos de una manera oportuna
se lleva a cabo una revisin peridica de los documentos fuente en cuanto a su suficiencia y aprobaciones
apropiadas
se lleva a cabo un manejo apropiado de documentos fuente errneos
existe un control adecuado de informacin sensible en documentos fuente en cuanto a proteccin contra transgresiones
los procedimientos aseguran suficiencia y precisin de documentos fuente, contabilidad apropiada para documentos fuente y conversin oportuna
la retencin de documentos fuente es lo suficientemente larga para permitir: la reconstruccin en caso de prdida, la disponibilidad para revisiones y auditora, las averiguaciones de litigacin o los requerimientos regulatorios
Para la entrada de datos:
los documentos fuente siguen un proceso de aprobacin apropiada antes de su captura
existe una separacin de funciones apropiada entre las actividades de envo, aprobacin, autorizacin y entrada de datos
existen cdigos nicos de terminal o estacin e identificaciones seguras de operadores
existen procesos de uso, mantenimiento y control de cdigos de estacin e identificadores de operador
se lleva a cabo un seguimiento de auditora para identificar la fuente de entrada
existen verificaciones de rutina o revisiones de edicin de los datos capturados tan cerca del punto de origen
como sea posible
existen procesos apropiados de manejo de datos de entrada errneos
se asignan claramente las responsabilidades para hacer cumplir una autorizacin apropiada de los datos
171
COBIT
Para el procesamiento de datos:
Los programas contienen rutinas de prevencin, deteccin y correccin de errores:
los programas deben probar las entradas en cuanto a errores (por ejemplo, validacin y edicin)
los programas deben validar todas las transacciones contra una lista maestra
los programas deben rechazar la anulacin de condiciones de error
Los procesos de manejo de errores incluyen:
la aprobacin de la correccin y del reenvo de errores
la definicin de las responsabilidades individuales para archivos suspendidos
la generacin de reportes de errores no resueltos por parte de los archivos en suspenso
la disponibilidad del esquema de priorizacin de archivos suspendidos tomando como base la edad y el tipo
Existen bitcoras de los programas ejecutados y las transacciones procesadas/rechazadas para propsitos de auditora
Existe un grupo de control para monitorear las actividades de entrada e investigar los eventos no-estndar, as como
balancear las cuentas de registros y totales de control para todos los datos procesados
Todos los campos son editados apropiadamente, an si uno de los campos contiene algn error
Las tablas utilizadas en la validacin son revisadas frecuentemente
Existen procedimientos por escrito para la correccin y reenvo de datos con errores incluyendo una solucin no descriptiva para reprocesamiento
Las transacciones reenviadas son procesadas exactamente como fueron procesadas originalmente
La responsabilidad de la correccin de errores reside dentro de la funcin de envo original
Los sistemas de Inteligencia Artificial estn colocados en un marco referencial de control interactivo con operadores
humanos que aseguran que las decisiones importantes se aprueben
Para las salidas, interfaces y distribucin:
El acceso a las salidas est restringido fsica y lgicamente a personal autorizado
Se lleva a cabo una revisin continua de necesidades de salidas
Las salidas son balanceadas rutinariamente con respecto a totales de control
Existen seguimientos de auditora para facilitar el seguimiento del procesamiento de transacciones y la conciliacin de
datos confusos
La precisin de los reportes de salidas es revisada y los errores contenidos en las salidas son revisados por personal
capacitado
Existe una definicin clara de problemas de seguridad durante las salidas, interfaces y distribucin
Las violaciones a la seguridad durante cualquier fase son comunicadas a la administracin, se llevan a cabo acciones
correctivas sobre ellas y son reflejadas apropiadamente en nuevos procedimientos
El proceso y la responsabilidad de la disposicin de salidas est claramente definida
La destruccin de materiales utilizados pero no requeridos despus de procesados es presenciada por alguien
Todos los medios de entrada y salida son almacenados en localidades fuera del site en caso de requerirse en un futuro
La informacin marcada como eliminada cambia de tal forma que no se pueda recuperar
Para la librera de medios:
El contenido de la librera de medios es inventariada sistemticamente
Las discrepancias descubiertas por el inventario son solucionadas oportunamente
Se toman medidas para mantener la integridad de los medios magnticos almacenados en la librera
Existen procesos de administracin para proteger el contenido de la librera de medios
Las responsabilidades de la administracin de la librera de medios han sido asignadas a miembros especficos del
personal de la funcin de servicios de informacin
172
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Probando que:
La preparacin de datos:
Para una muestra seleccionada de documentos fuente, existe consistencia evidente con respecto a los procedimientos
establecidos relacionados con la autorizacin, aprobacin, precisin, suficiencia y recepcin de entrada de datos y
si la entrada de datos es oportuna
El personal de las fuentes, entradas y conversin tiene conciencia y comprende los requerimientos de control en la preparacin de datos
La entrada de datos:
Se envan de datos de prueba (tanto transacciones correctas como errneas) para asegurar que se llevan a cabo revisiones de precisin, suficiencia y autorizacin
Para transacciones seleccionadas se comparan los archivos maestros antes y despus de la captura
Existe una apropiada revisin de retencin, solucin y de la integridad en el manejo de errores
Los procedimientos y acciones de manejo de errores cumplen con las polticas y controles establecidos
El procesamiento de datos:
Se utilizan efectivamente los totales de control corrida-a-corrida y los controles de actualizacin de archivos maestros
Se envan datos de prueba (tanto transacciones correctas como errneas) para asegurar que se llevan a cabo la validacin, autenticacin y edicin de procesamiento de datos tan cerca del punto de origen como sea posible
El proceso de manejo de errores es llevado a cabo de acuerdo con los procedimientos y controles establecidos
Se llevan a cabo la retencin, solucin y revisin apropiada de la integridad en el manejo de errores y que stas funcionan adecuadamente
Los procedimientos y acciones del manejo de errores cumplen con los procedimientos y controles establecidos
La Salida, Interfase y Distribucin de Datos:
La salida es balanceada rutinariamente contra totales de control relevantes
173
COBIT
Los seguimientos de auditora son proporcionados para facilitar el seguimiento del procesamiento de transacciones en
la conciliacin de datos confusos o errneos
Los reportes de salida son revisados en cuanto a su precisin por parte del proveedor y los usuarios relevantes
Existen la retencin, solucin y revisin apropiada de la integridad en el manejo de errores y que stas funcionan adecuadamente
Los procedimientos y acciones de manejo de errores cumplen con las polticas y controles establecidos
Los reportes de salidas son asegurados al esperar ser distribuidos, as como aqullos ya distribuidos a los usuarios de
acuerdo con los procedimientos y controles establecidos
Existe la proteccin adecuada para la informacin sensible durante la transmisin y transporte contra los accesos no
autorizados y las modificaciones
Existe una proteccin adecuada de informacin sensible durante la transmisin y transporte en cuanto a accesos y modificaciones no autorizadas
Los procedimientos y acciones de informacin sensible dispuesta cumplen con los procedimientos y controles establecidos
La Librera de Medios:
El contenido de la librera de medios es inventariado sistemticamente, que todas las discrepancias encontradas son
solucionadas oportunamente y se toman medidas para mantener la integridad de los medios almacenados en la
librera
Los procedimientos de administracin diseados para proteger el contenido de la librera de medios existen y funcionan adecuadamente
Las responsabilidades de la administracin de la librera de medios son asignadas apropiadamente
La librera de medios es independiente de las funciones de preparacin, entrada, procesamiento y salida
La estrategia de respaldos y restauracin de medios es apropiada
Los respaldos de medios se llevan a cabo apropiadamente de acuerdo con la estrategia de respaldo definida
Los sites de almacenamiento de medios son seguros fsicamente y que su inventario est actualizado
El almacenamiento de datos considera los requerimientos de recuperacin y la economa o efectividad de costos
Los perodos de retencin y los trminos de almacenamiento son apropiados para documentos, datos, programas y reportes
El riesgo de maldireccionar mensajes (por carta, fax o e-mail) se reduce con los procedimientos adecuados
Los controles normalmente se aplican a un proceso de transaccin especfico, como faxes o contestadores telefnicos
automticos, tambin aplica a sistemas computacionales que soportan la transaccin o proceso (ej., software de
fax en las computadoras personales)
Evaluar el riesgo de los objetivos de control no alcanzados:
8
Llevando a cabo:
Mediciones (Benchmarking) de la administracin de datos contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Para una seleccin de transacciones, la confirmacin de la propiedad del procesamiento durante:
la preparacin de datos
el procesamiento de entradas
el procesamiento de datos
174
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
existencia de controles preventivos, detectivos y correctivos dentro del procesamiento o va funciones manuales/
procedimientos de grupos de control
retencin de documentos fuente para la revisin posterior de la consistencia con respecto a los requerimientos de
retencin
recuperacin de una seleccin de documentos fuente y medios de transacciones para confirmar la existencia y la
precisin
anlisis de la disponibilidad del seguimiento de auditora: existencia, identificacin de fuente/operador y asegurar que cualquier sistema de interfase cuenta con niveles iguales de control sobre las transacciones
edicin de las funciones de programas de entrada y procesamiento, incluyendo, pero sin limitarse a:
Montos negativos
Identificacin inmediata del operador que comete el error y aviso del error
Las transacciones muestran cdigo de error, fecha y hora de captura, operador y mquina
Los archivos de suspenso crean reportes de seguimiento para la revisin administrativa, el anlisis de tendencias
y entrenamiento correctivo
revisar los calendarios de retencin de salidas en cuanto a su adecuacin y cumplimiento de los procedimientos
confirmar que la distribucin real de una muestra de salidas fue llevada a cabo con procesin
revisar los procedimientos de balanceo para todas las entradas, salidas de procesamiento y otras transacciones de
uso de sistemas
confirmar la destruccin o relocalizacin de almacenamientos fuera del site para todos los medios de datos por
polticas y procedimientos de retencin
atestiguar la entrega o transmisin real de salidas sensibles y el cumplimiento con los procedimientos de procesamiento, distribucin y seguridad
175
COBIT
confirmar la creacin e integridad de los respaldos en asociacin con el procesamiento normal, as como para
los requerimientos del plan de recuperacin en caso de desastre
Para la librera de medios:
revisar el acceso del os usuarios a los servicios sensibles: determinar que el acceso es apropiado
seleccionar una muestra de medios a ser destruida y observar el proceso completo; verificar el cumplimiento
de los procedimientos aprobados
determinar la adecuacin de los controles para los datos en almacenamientos fuera del site y mientras los datos estn en trnsito
confirmar que los procesadores de registro son suficientes para accesar los medios necesarios
revisar los controles en cuanto a las desviaciones o bypass restringidos de reglas de etiquetado internas e
internas
revisar los procedimientos de creacin de respaldos para asegurar la existencia de datos suficientes en caso de
desastre
Identificando:
176
cuando los archivos de produccin son accesados directamente por los operadores que antes y despus no
creen ni se mantengan imgenes de archivos
formas de entrada y salida sensibles (por ejemplo, certificados de reservas) no protegidas
bitcoras no llevadas y mantenidas para totales batch y de control para todas las fases del procesamiento
reportes de salidas no tiles a los usuarios: datos relevantes y tiles, reportes necesarios, distribucin apropiada, formato y frecuencia adecuados, acceso en lnea a los reportes tomado en consideracin
datos transmitidos sin controles adicionales, incluyendo:
Procedimientos de retransmisin
contratos de proveedores con controles faltantes como servicios de destruccin
deficiencias fuera del site con respecto a amenazas al ambiente tales como fuego, agua, fallas elctricas y
accesos no autorizados
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
177
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS12
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
acceso a instalaciones
identificacin del centro de cmputo
seguridad fsica
salud y seguridad del personal
proteccin contra amenazas ambientales
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
178
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
DS 12 ADMINISTRACIN DE INSTALACIONES
OBJETIVOS DE CONTROL
1
2
3
4
5
6
Seguridad Fsica
Bajo Perfil de las Instalaciones de Tecnologa de Informacin
Escolta de Visitantes
Salud y Seguridad del Personal
Proteccin contra Factores Ambientales
Suministro Ininterrumpido de Energa
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Administrador de las Instalaciones
Oficial de Seguridad
Administrador de Riesgos
Administracin de operaciones de la funcin de servicios de informacin
Administrador de la seguridad de la funcin de servicios de informacin
Obteniendo:
Polticas y procedimientos organizacionales relacionados con la administracin, disposicin o plano, seguridad, inventario de activos fijos e inventario de las instalaciones, as como adquisicin/arrendamiento de capital
Polticas y procedimientos de la funcin de servicios de informacin relacionados con la disposicin o plano de las
instalaciones, la seguridad fsica y lgica, acceso, mantenimiento, visitantes, salud, seguridad y requerimientos
ambientales, mecanismos de entrada y salida, reporte de seguridad, contratos de seguridad y mantenimiento, inventario de equipo, procedimientos de vigilancia, y requerimientos regulatorios
Una lista de los individuos que tienen acceso a las instalaciones y la disposicin o plano de las instalaciones
Una lista de los acuerdos de desempeo, capacidad y nivel de servicios con respecto a las expectativas de desempeo
de los recursos de los sistemas de informacin (equipo e instalaciones), incluyendo estndares industriales
Copia del documento de planeacin de recuperacin/contingencia en caso de desastre
Considerando s:
La localizacin de las instalaciones no es obviamente externa, se encuentra en el rea u organizacin menos accesible,
y si el acceso es limitado al menor nmero de personas
Los procedimientos de acceso lgico y fsico son suficientes, incluyendo perfiles de seguridad de acceso para empleados, proveedores, equipo y personal de mantenimiento de las instalaciones
Los procedimientos y prcticas de administracin de llave ("Key" ) y lectora de tarjetas ("card reader") son adecuados,
incluyendo la actualizacin y revisin continuas tomando como base una menor necesidad de acceso
179
COBIT
Las polticas de acceso y autorizacin de entrada/salida, escolta, registro, pases temporales requeridos, cmaras de vigilancia son apropiadas para todas las reas y especialmente para las reas ms sensibles
Se llevan a cabo revisiones peridicas de los perfiles de acceso, incluyendo revisiones administrativas
Existen y se llevan a cabo los procesos de revocacin, respuesta y escalamiento en caso de violaciones a la seguridad
Existe el proceso de signage con respecto a la no identificacin de reas sensibles, y si es consistente con los requerimientos de seguro, cdigo de construccin local y regulatorios
Las medidas de control de seguridad y acceso incluyen a los dispositivos de informacin porttiles utilizados fuera del
sitio
Se lleva a cabo una revisin de los registros de visitantes, asignacin de pases, escolta, persona responsable del visitante, bitcora para asegurar tanto los registros de entradas como de salidas y el conocimiento de la recepcionista con
respecto a los procedimientos de seguridad
Se lleva a cabo una revisin de los procedimientos de aviso contra incendio, cambios de clima, problemas elctricos y
procedimientos de alarma, as como las respuestas esperadas en los distintos escenarios para los diferentes niveles
de emergencias ambientales
Se lleva a cabo una revisin de los procedimientos de control de aire acondicionado, ventilacin, humedad y las respuestas esperadas en los distintos escenarios de prdida o extremos no anticipados
Existe una revisin del proceso de alarma al ocurrir una violacin a la seguridad, que incluya:
definicin de la prioridad de la alarma (por ejemplo, apertura de la puerta por parte de una persona armada
que ha entrado en las instalaciones)
contacto con la administracin de las instalaciones en cuanto a problemas de tecnologa relacionados con
seguridad
coordinacin de actividades que afecten en control de acceso lgico va aplicaciones centralizadas y software
de sistema operativo
proporcionar entrenamiento y crear conciencia de seguridad no slo dentro de la funcin de servicios de informacin, sino para los servicios de usuarios
Se llevan a cabo prcticas de distribuidores automticos y servicios de conserjera para investigacin del personal en
las instalaciones de la organizacin
Se llevan a cabo la actualizacin y negociacin del contenido de los contratos de servicio
Los procedimientos de pruebas de penetracin y los resultados
180
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Evaluar la suficiencia:
8
Probando que:
El personal tiene conciencia y comprende la necesidad de seguridad y controles
Los armarios cableados estn fsicamente protegidos con el acceso posible autorizado y el cableado se encuentra bajo
tierra o conductos protegidos tanto como sea posible
El proceso de signage identifica rutas de emergencia y qu hacer en caso de una emergencia o violacin a la seguridad
Los directorios de telfono en otra partes de la instalacin no identifican localidades sensibles
La bitcora de visitantes sigue apropiadamente los procedimientos de seguridad
Existen los procedimientos de identificacin requeridos para cualquier acceso dentro o fuera va observacin
Las puertas, ventanas, elevadores, ventilas y ductos o cualquier otro modo de acceso estn identificados
El site computacional est separado, cerrado y asegurado y es accesado nicamente por personal de operaciones y gente de mantenimiento tomando como base un acceso necesario
El personal de las instalaciones rota turnos y toma vacaciones y descansos apropiados
Existen los procedimientos de mantenimiento y registro para un desempeo de trabajo oportuno
Las variaciones de las polticas y procedimientos en las operaciones de los turnos segundo y tercero son reportadas
Los planes fsicos son actualizados a medida que cambian la configuracin, el ambiente y las instalaciones
Los registros y el equipo de monitoreo ambiental y de seguridad --debajo, en, sobre, y alrededor son mantenidos
No se almacenan tiles peligrosos
Existe el seguimiento de auditora de control de acceso sobre software de seguridad o reportes clave de administracin
Se ha dado seguimiento a toda emergencia ocurrida en el pasado o a su documentacin
El personal con acceso son empleados reales
Se llevan a cabo verificaciones de suficiencia de administracin clave de acceso
Se otorga una educacin en seguridad fsica y conciencia de seguridad
Existe una cobertura y experiencia de seguros para los gastos asociados con algn evento de seguridad, prdida del
negocio y gastos para recuperar la instalacin
El proceso para la implementacin de acceso a cambios de llaves y controles de procesos lgicos es continuo y conocido
El ambiente cumple con los requerimientos regulatorios establecidos
Las bitcoras de mantenimiento de alarmas no pueden ser modificadas inapropiadamente
La frecuencia de cambios a los cdigos de acceso y revisiones de perfil involucramiento de usuario e instalaciones
es documentada
Llevando a cabo:
Mediciones (Benchmarking) de administracin de instalaciones contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Comparaciones de la disposicin o plano fsico contra bosquejos del edificio y dispositivos de seguridad
Determinaciones sobre:
la no aparicin de la instalacin en s como una localidad de servicios de sistemas, ni siquiera sugerida indirectamente va direcciones, sealamientos de estacionamiento, etc.
la suficiente proteccin de las instalaciones a travs de barreras fsicas para evitar el acceso inapropiado de
vehculos y personas
patrones de trnsito para asegurar que el flujo no dirige a las personas hacia las reas de seguridad
181
COBIT
la existencia de espacio apropiado para el equipo computacional en cuanto a acceso, temperatura y mantenimiento
la suficiencia y disponibilidad de las cubiertas para el equipo contra agua o elementos externos en caso de
emergencia
la revisin de las bitcoras de mantenimiento de alarmas y el reporte del ltimo reporte de simulacro
Pruebas sobre temperatura, humedad, electricidad sobre y debajo de los pisos falsos; si han ocurrido anomalas, cules fueron las actividades de investigacin/solucin resultantes
Revisiones de todos los seguros y bisagras (bisagras dentro de la habitacin)
Una visita de las instalaciones sin portar gafete para determinar si se llevan a cabo detenciones e interrogatorios sobre
el hecho de no portar gafete
Revisiones de la cobertura del guardia/recepcionista cuando un visitante es escoltado a travs de las instalaciones
Pruebas de seguridad de penetracin de las instalaciones
8
Identificando:
Suficiencia de signage, extinguidores de incendios, sistemas de aspersin, UPS, drenaje, cableado y mantenimiento
regular
Para las ventanas: asegurar que ningn recursos es visible desde el exterior, que no existan aparadores en el centro de
datos
Determinacin de pruebas de seguridad de penetracin
Pruebas de visitantes, incluyendo registro, gafete, escolta, inspeccin, salida
Discrepancias en la bitcora de visitantes y en los gafetes de visitantes
Evaluacin de los perfiles e historia de acceso tomando como base el reporte clave de la administracin incluyendo el
reemplazo de gafetes/tarjetas maestras y artculos perdidos inactivos
Revisin de estadsticas de desastres locales
Desarrollo de escenarios de penetracin en caso de desastre
Contratos de proveedores para asegurar que se llevan a cabo una investigacin de personal y el cumplimiento con los
requerimientos de salud y seguridad
Pruebas de UPS y verificar que los resultados cumplan con los requerimientos operacionales y de capacidad para sostener las actividades crticas de procesamiento de datos
Pruebas de acceso de informacin (bitcoras, cintas, registros) para asegurar que stos son revisados por los usuarios y
la administracin en cuando a su propiedad
Pruebas de procedimientos de monitoreo de entrada a la instalacin cerca del rea
182
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
183
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS13
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
administracin de operaciones
que satisface los requerimientos de negocio de:
asegurar que las funciones importantes de soporte de TI estn siendo
llevadas a cabo regularmente y de una manera ordenada
se hace posible a travs de:
una calendarizacin de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades
y toma en consideracin:
P P
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P
184
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
DS 13 MANEJO DE OPERACIONES
OBJETIVOS DE CONTROL
1
2
3
4
5
6
7
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Administracin de operaciones de la funcin de servicios de informacin
Administracin de la planeacin de recuperacin/contingencia en caso de desastre de la funcin de servicios de informacin
Presidencia de la funcin de servicios de informacin
Usuarios seleccionados de los recursos de la funcin de servicios de informacin
Proveedores seleccionados que proporcionan servicios o productos de software por contrato
Obteniendo:
Polticas y procedimientos organizacionales relacionados con la administracin de operaciones y el rol de sistemas de
informacin en el cumplimiento de los objetivos del negocio
Polticas y procedimientos de la funcin de servicios de informacin relacionados con el rol operacional, las expectativas de desempeo, la calendarizacin de trabajos, los acuerdos de nivel de servicio, las instrucciones para el operador, la rotacin de personal, la planeacin de recuperacin/contingencia en caso de desastre y las operaciones de
instalaciones remotas
Instrucciones operacionales para la funcin general de inicio, trmino, calendarizacin de la carga de trabajo, estndares, acuerdos de nivel de servicio, procedimientos fijos de emergencia, respuestas de procesamiento anormal, bitcoras de consola, seguridad fsica y lgica, separacin de libreras de desarrollo y produccin y procedimientos de
problemas de escalamiento
Una muestra seleccionada de instrucciones operacionales para aplicaciones clave incluyendo, calendarizacin, entradas, tiempo de procesamiento, mensajes de error, instrucciones de fin anormal, reinicio, procedimientos de problemas de escalamiento, trabajos antes y despus y archivos fuera del site
185
COBIT
Evaluar los controles:
8 Considerando s:
Existe evidencia sobre:
estadsticas de suficiencia del calendario para confirmar el trmino completo y exitoso de todos los requerimientos
la separacin fsica y lgica de las libreras fuente y objeto, de pruebas/desarrollo/produccin y los procedimientos de control de cambios para trasladar programas de una librera a otra
prueba de que el desempeo alcanza las normas de desempeo de producto, los estndares de desempeo
definidos internamente y los compromisos de acuerdo de nivel de servicio de usuarios
Probando que:
Los miembros del personal de operaciones tienen conciencia y comprenden:
las expectativas de desempeo dentro de las instalaciones normas de proveedores, estndares organizacionales y acuerdos de nivel de servicio con los usuarios
interaccin con las instalaciones remotas de procesamiento y las instalaciones centrales de procesamiento
Llevando a cabo:
Una revisin de las estadsticas de desempeo operacional (equipo y personal) para asegurar lo adecuado de su utilizacin; compararlas contra organizaciones similares, normas de proveedores y estndares internacionales/buenas
prcticas reconocidas en la industria apropiadas
Una revisin de una muestra limitada de manuales de operacin de la funcin de servicios de informacin y determinar
si cumplen con los requerimientos de las polticas y los procedimientos
186
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Un examen de la documentacin de los procesos de inicio y trmino y confirmar que los procedimientos son probados
y actualizados regularmente
Un examen de la calendarizacin de procesamiento para asegurar lo adecuado y la suficiencia del desempeo comparado contra el plan o calendario
8
Identificando:
Usuarios seleccionados y asegurando la suficiencia del desempeo operacional relacionado con actividades continuas y
acuerdos de nivel de servicio
Una muestra de trminos anormales (ABENDS) para trabajos y determinando la solucin a los problemas ocurridos
Las experiencias de entrenamiento, rotacin de turnos y vacaciones de los operadores
Una muestra de bitcoras de consola para revisar la precisin, las tendencias en el desempeo y la revisin administrativa de la solucin de problemas evaluar el escalamiento de problemas si aplica
A usuarios para determinar la satisfaccin con el compromiso del acuerdo de nivel de servicio
Procedimientos de mantenimiento preventivo completados en todo el equipo por sugerencia del proveedor
187
COBIT
188
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
MONITOREO
189
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
MONITOREO
M1
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
monitoreo del proceso
que satisface los requerimientos de negocio de:
asegurar el logro de los objetivos establecidos para los procesos de TI
se hace posible a travs de:
la definicin por parte de la gerencia de reportes e indicadores de desempeo gerenciales, la implementacin de sistemas de soporte as como la atencin regular a los reportes
emitidos
y toma en consideracin:
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
190
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Director Ejecutivo
Director de Informacin
Director de auditora interna
Director de servicios de informacin y administracin de control de calidad
Gerente de auditora externa
Usuarios seleccionados de recursos de la funcin de servicios de informacin
Miembros del comit de auditora, si aplica
Obteniendo:
Polticas y procedimientos organizacionales relacionadas con la planeacin, administracin, monitoreo y reporte del
desempeo
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con el monitoreo y el reporte del
desempeo, estableciendo iniciativas de mejoramiento del desempeo y frecuencia de las revisiones
Reportes de las actividades de la funcin de servicios de informacin incluyendo, pero no limitados a: reportes internos, reportes de auditoras internas, reportes de auditoras externas, reportes de usuarios, encuestas de satisfaccin
de los usuarios, planes de desarrollo de sistemas y reportes de avance, minutas del comit de auditora y cualquier
otro tipo de evaluacin del uso de los recursos de la funcin de servicios de informacin de la organizacin.
Documentos de planeacin de la funcin de servicios de informacin con objetivos para cada grupo de recursos y el
desempeo real en comparacin con dichos planes.
191
COBIT
Existe una revisin administrativa de los reportes de desempeo de los recursos de la funcin de servicios de informacin
Considerar si, contina
Existen controles de monitoreo para proporcionar una retroalimentacin confiable y til de manera oportuna
La respuesta de la organizacin a las recomendaciones de mejoramiento de control de calidad, auditora interna y auditora externa es apropiada
Existen iniciativas y resultados de mejoramiento del desempeo deseado
Se est dando el desempeo organizacional en comparacin con las metas establecidas dentro de la organizacin
La confiabilidad y utilidad de los reportes de desempeo para no usuarios es suficiente, tales como auditor externo,
comit de auditora y alta administracin de la organizacin
La oportunidad de los reportes permite una respuesta rpida ante las excepciones o incumplimientos identificados del
desempeo
Los reportes son suficientes en comparacin con las polticas y procedimientos establecidos para el desempeo de las
actividades (por ejemplo, reportes de desempeo)
Evaluar la suficiencia:
8
Probando que:
Existen reportes de monitoreo del desempeo de la informacin
Existe revisin administrativa de los reportes de monitoreo del desempeo e iniciativas de acciones correctivas
Los empleados estn conscientes y comprenden las polticas y procedimientos relativos al monitoreo del desempeo
La calidad y el contenido de los reportes internos se relacionan con:
Llevando a cabo:
Referencia del monitoreo del desempeo respecto a organizaciones similares o estndares internacionales/prcticas
industriales reconocidas apropiados
Revisin de la relevancia de los datos dentro de los procesos que se estn monitoreando
Revisin del desempeo real contra lo planeado en todas las reas de la funcin de servicios de informacin
Satisfaccin real contra lo anticipado de los usuarios de todas las reas de la funcin de servicios de informacin
Anlisis del grado de cumplimiento de las metas de desempeo e iniciativas de mejoramiento
Anlisis del nivel de implantacin de las recomendaciones de la administracin
Identificando:
La responsabilidad, autoridad e independencia del personal de monitoreo dentro de la organizacin de sistemas de informacin
192
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
193
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
MONITOREO
M2
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
Evaluar lo adecuado del control interno
que satisface los requerimientos de negocio de:
asegurar el logro de los objetivos de control interno establecidos para
los procesos de TI
se hace posible a travs de:
el compromiso de la Gerencia de monitorear los controles
internos, evaluar su efectividad y emitir reportes sobre ellos
en forma regular
y toma en consideracin:
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
194
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Director Ejecutivo
Director de Informacin
Director de auditora interna
Director de servicios de informacin y administracin de control de calidad
Gerente de auditora externa
Usuarios seleccionados de los recursos de la funcin de servicios de informacin
Miembros del comit de auditora, si aplica
Obteniendo:
Polticas y procedimientos organizacionales relacionadas con la planeacin, administracin, monitoreo y reporte de los
controles internos
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con el monitoreo y el reporte de los
controles internos y la frecuencia de las revisiones
Reportes de las actividades de la funcin de servicios de informacin incluyendo, pero no limitados a: reportes internos, reportes de auditoras internas, reportes de auditoras externas, reportes de usuarios, encuestas de satisfaccin
de los usuarios, planes de desarrollo de sistemas y reportes de avance, minutas del comit de auditora y cualquier
otro tipo de evaluacin de los controles internos de la funcin de servicios de informacin
Polticas y procedimientos especficos de la funcin de servicios de informacin relativos al aseguramiento de la seguridad operacional y del control interno
195
COBIT
Existen iniciativas y resultados de mejoramiento del control interno deseable
Se est dando el desempeo organizacional en comparacin con las metas establecidas dentro de la organizacin
La informacin concerniente a errores, inconsistencias y excepciones de control interno se mantiene de manera sistemtica y se reporta a la administracin
La confiabilidad y utilidad de los reportes de control interno para no usuarios, tales como auditor externo, comit de
auditora y alta administracin de la organizacin, es suficiente
La oportunidad de los reportes permite una respuesta rpida ante las excepciones o incumplimientos identificados del
control interno
Los reportes de control interno son suficientes en comparacin con las polticas y procedimientos establecidos para el
desempeo de las actividades (por ejemplo, reportes de control interno)
Evaluar la suficiencia:
8
Probando que:
Existen reportes de monitoreo del control interno
Est habiendo revisin administrativa de los reportes de control interno e iniciativas de acciones correctivas
Los empleados estn conscientes y comprenden las polticas y procedimientos relativos al monitoreo del control interno
La calidad y el contenido de los reportes internos se relacionan con:
La recoleccin de datos de monitoreo del control interno
El desempeo del cumplimiento del control interno
Las acciones administrativas sobre problemas del control interno
El aseguramiento de la seguridad operacional y del control interno
La alta administracin est satisfecha con los reportes sobre la seguridad y el control interno
Llevando a cabo:
Referencia de la evaluacin del control interno respecto a organizaciones similares o estndares internacionales/
prcticas industriales reconocidas apropiados
Revisin de la relevancia de los datos dentro de los procesos que se estn monitoreando y en el reporte de los controles
internos
Marco de referencia para la revisin de los controles internos de toda la organizacin y en particular de la funcin de
servicios de informacin para asegurar la suficiencia de la cobertura y de los diversos niveles de detalle para los
responsables del proceso
Revisin del control interno real contra lo planeado en todas las reas de la funcin de servicios de informacin
Anlisis del grado de cumplimiento de las metas de control interno e iniciativas de mejoramiento
Revisin de la satisfaccin del comit de auditora con los reportes sobre los controles internos
Anlisis del nivel de implantacin de las recomendaciones de la administracin
Identificando:
Las reas adicionales para el probable reporte de control interno, en consistencia con los requerimientos de servicios de
informacin, auditora, administracin, auditores externos y regulativos
La responsabilidad, autoridad e independencia del personal de revisin de control interno dentro de la organizacin de
sistemas de informacin
196
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
197
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
MONITOREO
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
M3
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
de compromisos contractuales
revisiones a proveedores externos de servicios
aseguramiento de desempeo por personal cali-
ficado
involucramiento proactivo de auditora
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
198
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Director Ejecutivo
Director de Informacin
Director de auditora interna
Director de la funcin de servicios de informacin
Gerente de auditora externa
Gerente de la entidad de aseguramiento independiente
Obteniendo:
Organigrama a nivel de toda la organizacin y manual de polticas y procedimientos
Polticas y procedimientos relativas al proceso de aseguramiento independiente
Contratos/Acuerdos de servicio con el proveedor del servicio de tecnologa de informacin
Requerimientos legales y regulativos pertinentes y compromisos contractuales
Contratos, presupuestos, reportes previos e historial de desempeo de aseguramiento independiente
Historial de experiencia y educacin continua del personal de aseguramiento independiente
Reportes de auditoras previas
199
COBIT
La acreditacin/certificacin independiente se obtiene antes de implantar servicios nuevos e importantes de tecnologa
de informacin
La re-certificacin/re-acreditacin independiente de los servicios de tecnologa de informacin se obtiene en un ciclo
rutinario despus de la implantacin
La certificacin/acreditacin independiente se obtiene antes de utilizar a los proveedores de servicios de tecnologa de
informacin
La re-certificacin/re-acreditacin se obtiene en un ciclo rutinario
La evaluacin independiente de la eficacia de los servicios de tecnologa de informacin se obtiene en un ciclo rutinario
La evaluacin independiente de la eficacia de los proveedores de servicios de tecnologa de informacin se obtiene en
un ciclo rutinario
Las revisiones independientes del cumplimiento de la funcin de servicios de informacin con los requerimientos legales y regulativos y los compromisos contractuales se obtiene en un ciclo rutinario
Las revisiones independientes del cumplimiento de proveedores externos de servicios con los requerimientos legales y
regulativos y los compromisos contractuales se obtiene en un ciclo rutinario
El personal de aseguramiento independiente es competente y realiza su tarea de acuerdo a los estndares profesionales
apropiados
El programa de educacin profesional continua ayuda para proporcionar la capacitacin tcnica al personal de aseguramiento independiente
La administracin busca el involucramiento de auditora antes de decidir sobre soluciones del servicio de tecnologa de
informacin
Evaluar la suficiencia:
8
Probando que:
La alta administracin aprueba el desempeo de la entidad de aseguramiento independiente
La certificacin/acreditacin independiente antes de la implantacin de nuevos servicios importantes de tecnologa de
informacin es global, completa y oportuna
La re-certificacin/re-acreditacin independiente de los servicios de tecnologa de informacin se realiza en un ciclo
rutinario despus de la implantacin, y que es global, completa y oportuna
La certificacin/acreditacin independiente antes de utilizar proveedores de servicios de tecnologa de informacin es
global, completa y oportuna
La re-certificacin/re-acreditacin independiente se realiza en un ciclo rutinario y es global, completa y oportuna
La evaluacin independiente de la eficacia de los servicios de tecnologa de informacin se realiza en un ciclo rutinario
y es global, completa y oportuna
La evaluacin independiente de la eficacia de los proveedores de servicios de tecnologa de informacin se realiza en
un ciclo rutinario y es global, completa y oportuna
Las revisiones independientes del cumplimiento de la funcin de servicios de informacin con los requerimientos legales y regulativos y los compromisos contractuales se realizan en ciclos rutinarios y son globales, completas y
oportunas
Las revisiones independientes del cumplimiento de proveedores externos de servicios con los requerimientos legales y
regulativos y los compromisos contractuales se realizan en ciclos rutinarios y son globales, completas y oportunas
Los reportes de la funcin de aseguramiento independiente son relevantes en cuanto a hallazgos, conclusiones y recomendaciones
200
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
La funcin de aseguramiento independiente posee las habilidades y el conocimiento necesarios para realizar un trabajo
competente
Est habiendo involucramiento proactivo, antes de decidir sobre soluciones del servicio de tecnologa de informacin
Llevando a cabo:
Referencia de las actividades de revisin de la entidad de aseguramiento independiente respecto a organizaciones similares o estndares internacionales/prcticas industriales reconocidas apropiados
Una revisin detallada que:
verifique los contratos de aseguramiento independiente respecto a las actividades de revisin realizadas
determine la suficiencia y oportunidad de las revisiones de cumplimiento de requerimientos legales y regulativos y de compromisos contractuales
Identificando:
El valor agregado de las actividades de revisin de aseguramiento independiente
El desempeo real contra lo planeado con relacin a los planes y presupuestos de aseguramiento independiente
El grado y la oportunidad del involucramiento proactivo de auditora
201
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
MONITOREO
M4
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
proveer auditora independiente
que satisface los requerimientos de negocio de:
incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas
se hace posible a travs de:
auditoras independientes desarrolladas en intervalos regulares
y toma en consideracin:
independencia de auditora
involucramiento proactivo de auditora
ejecucin de auditoras por parte de personal
calificado
aclaracin de resultados y recomendaciones
actividades de seguimiento
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
202
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Contratacin de Auditora
Independencia
tica y Estndares Profesionales
Capacidad
Planeacin
Realizacin del Trabajo de Auditora
Reporte
Actividades de Seguimiento
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Director Ejecutivo
Director de Informacin
Director de auditora interna
Director de la funcin de servicios de informacin y administracin de control de calidad
Gerente de auditora externa
Miembros del comit de auditora, si aplica
Obteniendo:
Organigrama a nivel de toda la organizacin y manual de polticas y procedimientos
Cdigo de conducta a nivel organizacin
Polticas y procedimientos relativos al proceso de auditora independiente
Contratacin de auditora, misin, polticas, procedimientos y estndares, reportes previos y planes de auditora
Opiniones de auditora externa, revisiones y planes de auditora
Historial de experiencia y educacin continua del personal de auditora independiente
Evaluacin del riesgo de auditora, presupuesto e historial de desempeo
Minutas de las reuniones del comit de auditora, si aplica
203
COBIT
El plan de auditora se basa en la metodologa de evaluacin de riesgos y en las necesidades generales del plan
Las auditoras se planean y supervisan de manera adecuada
El programa de educacin profesional continua ayuda en la capacitacin tcnica de los auditores
El personal de auditora es competente y realiza sus tareas de acuerdo con los estndares profesionales de auditora
Existe un proceso adecuado de reporte de los hallazgos de la auditora hacia la administracin
El seguimiento de todos los problemas de control se est realizando de manera oportuna
La cobertura de la auditora incluye todo el rango de auditora de sistemas de informacin (por ejemplo, controles generales y de aplicaciones, ciclo de desarrollo del sistema, rentabilidad, economa, eficiencia, eficacia, enfoque
proactivo de auditora, etc.)
Evaluar la suficiencia:
8
Probando que:
La alta administracin aprueba el desempeo de la funcin de auditora independiente
Las actitudes de la alta administracin son consistentes con la contratacin de auditora
Referencias de auditora interna respecto a los estndares profesionales
La designacin de auditores asegura la independencia y las habilidades necesaria
Hay mejora continua en la experiencia profesional del personal de auditora
El contenido del reporte de auditora es relevante respecto a las recomendaciones
Existen reportes de seguimiento que resumen la oportunidad de la implantacin
Llevando a cabo:
Referencia de la funcin de auditora respecto a organizaciones similares o estndares internacionales/prcticas industriales reconocidas apropiados
Una revisin detallada que:
la auditora est contribuyendo al xito del negocio y a los planes de Tecnologa de Informacin
los hallazgos de la auditora estn siendo comunicados y se est tomando ventaja de los mismos o se estn
reduciendo riesgos
las recomendaciones de la auditora estn siendo implantadas de manera consciente respecto al beneficio que
representan
Identificando:
El costo/beneficio de las recomendaciones de la auditora
El desempeo real contra lo planeado con relacin al plan y presupuesto de auditora
El grado de integracin entre la auditora externa y la interna
204
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
APNDICE I
LISTA DE DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
PLANEACIN Y ORGANIZACIN
1.0
2.0
3.0
4.0
5.0
6.0
7.0
8.0
9.0
4.15 Relaciones
Administrar la Inversin de TI
5.1 Presupuesto Anual Operativo de la Funcin
de Servicios de Informacin
5.2 Monitoreo de Costo y Beneficio
5.3 Justificacin de Costo y Beneficio
Comunicar los Objetivos y el Rumbo Administrativo
6.1 Ambiente Positivo de Control de Informacin
6.2 Responsabilidad de la Administracin sobre las Polticas
6.3 Comunicacin de las Polticas Organizacionales
6.4 Recursos para la Implantacin de Polticas
6.5 Mantenimiento de Polticas
6.6 Cumplimiento de las Polticas, Procedimientos y Estndares
6.7 Compromiso de Calidad
6.8 Poltica de Marco de Referencia para la
Seguridad y el Control Interno
6.9 Derechos de Propiedad Intelectual
6.10 Polticas para Asuntos Especficos
6.11 Comunicacin de la Consciencia de Seguridad de TI
Administrar los Recursos Humanos
7.1 Reclutamiento y Promocin de Personal
7.2 Requerimientos del Personal
7.3 Capacitacin del Personal
7.4 Capacitacin Cruzada o Respaldo de Personal
7.5 Procedimientos de Liquidacin de Personal
7.6 Evaluacin del Desempeo de los Empleados
7.7 Cambio de Puesto y Terminacin
Asegurar el Cumplimiento de los Requerimientos Externos
8.1 Revisin de Requerimientos Externos
8.2 Prcticas y Procedimientos para el Cumplimiento de los Requerimientos Externos
8.3 Cumplimiento de la Seguridad y Ergonoma
8.4 Privacidad, Propiedad Intelectual y Flujo
de Datos
8.5 Comercio Electrnico
8.6 Cumplimiento de Contratos de Aseguranza
Evaluar los Riesgos
9.1 Evaluacin de Riesgos de Negocios
205
COBIT
APNDICE I
LISTA DE DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
9.2
Enfoque de Evaluacin de Riesgos
9.3
Identificacin del Riesgo
9.4
Medicin del Riesgo
9.5
Plan de Accin para el Riesgo
9.6
Aceptacin del Riesgo
10.0 Administrar los Proyectos
10.1 Marco de Referencia para la Administracin de Proyectos
10.2 Participacin del Departamento del
Usuario en la Iniciacin del Proyecto
10.3 Miembros y Responsabilidades del Equipo del Proyecto
10.4 Definicin del Proyecto
10.5 Aprobacin del Proyecto
10.6 Aprobacin de Fase del Proyecto
10.7 Plan Maestro del Proyecto
10.8 Plan del Sistema de Aseguramiento de
Calidad
10.9 Planeacin de Mtodos de Aseguramiento
10.10 Manejo Formal del Riesgo del Proyecto
10.11 Plan de Pruebas
10.12 Plan de Capacitacin
10.13 Plan de Revisin Post-Implantacin
11.0 Administrar la Calidad
11.1 Plan General de Calidad
11.2 Enfoque de Aseguramiento de Calidad
11.3 Planeacin de Aseguramiento de Calidad
11.4 Revisin de Adherencia a los Estndares
y Procedimientos de Aseguramiento de
Calidad de la Funcin de Servicios de
Informacin
11.5 Metodologa del Ciclo de Desarrollo de
Sistemas
11.6 Metodologa del Ciclo de Desarrollo de
Sistemas para Cambios Importantes en
Tecnologa Existente
11.7 Actualizacin de la Metodologa del Ciclo de Desarrollo de Sistemas
11.8 Coordinacin y Comunicacin
11.9 Marco de Referencia de Adquisicin y
Mantenimiento para la Infraestructura
Tecnolgica
11.10 Relaciones con Implantadores Externos
11.11 Estndares de Documentacin de Programas
11.12 Estndares de Prueba de Programas
11.13 Estndares de Prueba de Sistemas
206
2.0
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
APNDICE I
LISTA DE DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
2.7
3.0
4.0
5.0
6.0
SUMINISTRO Y SOPORTE
1.0
2.0
3.0
4.0
207
COBIT
APNDICE I
LISTA DE DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
4.2
5.0
6.0
208
6.2
6.3
Procedimientos de Costeo
Procedimientos de Facturacin y Reembolso al Usuario
7.0 Educar y Capacitar a los Usuarios
7.1
Identificacin de las Necesidades de Capacitacin
7.2
Organizacin de la Capacitacin
7.3
Capacitacin de Consciencia y Principios
de Seguridad
8.0 Ayudar y Aconsejar a los Clientes de TI
8.1
Oficina de Asistencia
8.2
Registro de las Preguntas del Cliente
8.3
Agravamiento de las Preguntas del Cliente
8.4
Monitoreo de Habilitacin
8.5
Anlisis y Reporte de Tendencias
9.0 Manejar la Configuracin
9.1
Registro de la Configuracin
9.2
Fundamento de la Configuracin
9.3
Estatus de Contabilidad
9.4
Control de la Configuracin
9.5
Software No Autorizado
9.6
Almacenamiento de Software
10.0 Manejar los Problemas e Incidentes
10.1 Sistema de Manejo de Problemas
10.2 Agravamiento de Problemas
10.3 Rastreo y Ruta de Auditora de Problemas
11.0 Manejar los Datos
11.1 Procedimientos de Preparacin de Datos
11.2 Procedimientos de Autorizacin de Documentos Fuente
11.3 Recoleccin de Datos de Documentos
Fuente
11.4 Manejo de Errores de Documentos Fuente
11.5 Retencin de Documentos Fuente
11.6 Procedimientos de Autorizacin de Alimentacin de Datos
11.7 Chequeos de Precisin, Integridad y Autorizacin
11.8 Manejo de Errores de Alimentacin de
Datos
11.9 Integridad de Procesamiento de Datos
11.10 Validacin y Edicin de Procesamiento
de Datos
11.11 Manejo de Errores de Procesamiento de
Datos
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
APNDICE I
LISTA DE DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
12.0
13.0
MONITOREO
1.0 Monitorear las Operaciones
1.1 Recoleccin de Datos de Monitoreo
1.2 Evaluacin del Desempeo
1.3 Evaluacin de la Satisfaccin del Cliente
1.4 Reporte Administrativo
2.0 Evaluar la Suficiencia del Control Interno
2.1 Monitoreo del Control Interno
2.2 Operacin Oportuna de los Controles Internos
2.3 Reporte del Nivel de Control Interno
2.4 Aseguramiento de Seguridad Operativa y
Control Interno
3.0 Obtener Aseguramiento Independiente
3.1 Certificacin/Acreditacin Independiente
de la Seguridad y el Control Interno de los
Servicios de TI
3.2 Certificacin/Acreditacin Independiente
de Proveedores Externos de Servicios
3.3 Evaluacin Independiente de la Eficacia de
los Servicios de TI
3.4 Evaluacin Independiente de la Eficacia de
los Proveedores Externos de Servicios
3.5 Aseguramiento Independiente del Cumplimiento de los Requerimientos Legales y
Regulativos y Compromisos Contractuales
3.6 Aseguramiento Independiente del Cumplimiento de los Requerimientos Legales y
Regulativos y Compromisos Contractuales
de Proveedores Externos de Servicios
3.7 Competencia de la Funcin de Aseguramiento Independiente
3.8 Involucramiento Proactivo de Auditora
4.0 Preparar Auditoras Independientes
4.1 Contrato de Auditora
4.2 Independencia
4.3 tica y Estndares Profesionales
4.4 Competencia
4.5 Planeacin
4.6 Realizacin del Trabajo de Auditora
4.7 Reporte
4.8 Actividades de Seguimiento
209
COBIT
APNDICE II MATERIAL DE REFERENCIA PRINIPAL
COSO: Comit de las organizaciones patrocinadas de la Comisin Treadway. Control Interno Marco de Referencia Integrado. 2 vols. Instituto Americano de Contadores Certificados, Nueva Jersy, 1994.
Directrices OECD: Organizacin para la Cooperacin Econmica y el Desarrollo. Directrices para la Seguridad de la
Informacin, Pars, 1992.
Cdigo DTI para el Manejo de la Seguridad de la Informacin: Departamento de Comercio e Industria y el Instituto
Britnico de Estndares. Un Cdigo para el Manejo de la Seguridad de la Informacin, Londres, 1993, 1995.
IS0-9000-3: Organizacin Internacional de Estandarizacin. Estndares de la Administracin de Calidad y Aseguramiento
de Calidad Parte 3: Directrices para la aplicacin del IS0-9001 para el desarrollo, abastecimiento y mantenimiento del
software, Suiza 1991.
Manual de Seguridad NIST: Instituto Nacional de Estndares y Tecnologa, Departamento de Comercio de E.U.A. Una
introduccin a la Seguridad Computacional: El Manual NIST, Washington, DC, 1995.
Prcticas del Manjeo de la TI del ITIL: Biblioteca de la Infraestructura de la Tecnologa de la Informacin. Prcticas y
Directrices desarrollados para la Agencia Central de Computacin y Telecomunicaciones (CCTA), Londres, 1989.
Marco de Referencia IBAG: Marco de Referencia Preliminar del Grupo de Consultora de Negocios para SOGIS (Grupo
de Directores Ejecutivas de la Seguridad de Informacin, Recomendando a la Comisin Europea) Bruselas, Blgica, 1994.
Declaraciones de la Oficina del Primer Ministro de NSW sobre las Mejores Prcticas y, las Tcnicas y Manejo de la
Informacin de Planeacin: Declaracin de la Mejores Prcticas #1 a la #6. Departamento del Primer Ministro de New
South Wales, Gobierno de New South Wales, Australia, de 1990 a 1994.
Memorndum del Banco Central Holands: Memorndum sobre la Confiabilidad y Continuidad del Procesamiento electrnico de Datos en la Banca. Banco de Nederlandsche, Reimpreso de Boletn Trimestral #3, Pases Bajos, 1998.
Monografa EDPAF #7, EDI: Un Enfoque de Auditora: Jamison, Rodger. EDI. Un Enfoque de Auditora, Serie Monogrfica #7, Fundacin de Auditora y Control de los Sistemas de Informacin; INC, Rolling Meadows, IL, Abril 1994.
Marco de Referencia Modelo de PCIE (Consultora Presidencial sobre Integridad y Eficiencia: Un Marco de Referencia Modelo para la Administracin sobre los Sistemas de Informacin Autorizados. Elaborado conjuntamente por el
Consejo Presidencial para el Mejoramiento de la Administracin y el Consejo Presidencial sobre Integridad y Eficiencia,
Washington, DC, 1987.
Estndares de Auditora para los Sistemas de Informacin en Japn: Estndares de Auditora para los Sistemas de
Informacin de Japn. Proporcionando por la cooperacin de Auditora Chuo, Tokio, Agosto 1994.
Controles de los OBJETIVOS DE CONTROL en un Ambiente de Sistema de Informacin: Directrices de Control y
Procedimientos de Auditora: Fundacin de Auditores EDKP (ahora la Fundacin de Control y Auditora de los Sistemas
de Informacin), cuarta Edicin, Rolling Meadows, IL, 1992.
Anlisis de Puesto CISA: Consejo de Certificacin de la Asociacin de Control y Auditora de Sistema de Informacin.
Estudio de Anlisis de Puesto de Auditor de Sistemas de Informacin Certificado, Rolling Meadows, IL 1994.
Directrices de Controles Computacionales CICA: Instituto Canadiense de Peritos Contables, Toronto, 1986.
Directrices Internacionales IFAC para el Manejo de la Seguridad de la Informacin y Comunicaciones: Federacin
Internacional de Contadores, Nueva York, NY, 1997.
Directrices Internacionales IFAC sobre el Manejo de la Tecnologa de Informacin Manejo de la Planeacin de la
Tecnologa de Informacin para el Impacto de Negocios (Borrador): Federacin Internacional de Contadores, Nueva
York, NY, 1998.
210
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Estndares de Control Interno en el Gobierno Federal de E.U.A.: Oficina General de Tesorera de E.U.A., Washington,
DC, 1983.
Gua para la Auditora de Controles y Seguridad, un Enfoque del Grado de Vida de Desarrollo de Sistemas: Publicacin Especial NBS, 500-153: Instituto Nacional de Estndares y Tecnologa, Departamento de Comercio de E.U.A., Washington, DC, 1998.
Estndares gubernamentales de Auditora: Oficina General de Tesorera de EUA, Washington, Dc, 1994.
Prcticas generalmente aceptadas del Manejo de la TI en Dinamarca: El Inst. de Contadores Autorizados por el Estado,
Dinamarca, 1994.
SPICE: Mejoras al Proceso del Software y Determinacin de la capacidad. Un estndar sobre el mejoramiento del proceso
del software, institucin de Estndares Britnico, Londres, 1995.
DRI Internacional, Prcticas Profesionales para planeadores de la continuidad del Negocio: Instituto Internal para la
Recuperacin en casos de Desastre, Gua para los planeadores de la Continuidad del Negocio, San Luis, MO, 1997.
IIA, Pantleto de Prcticas Profesionales 97-1, Comercio Electrnico: Instituto de la Fundacin de Investigacin de Auditores Internos, Alamonte Springs, FL, 1997.
Series de Referencias Tcnicas E &Y: Ernest & Young, Gua de Auditora, SAP R/3, Cleveland, OH 1996.
Gua de Auditora C&L SAP R/3: Coopers & Lybrand, SAP R/3: Su Uso Control y Auditora, Nueva York, NY, 1997
Tecnologa de Informacin ISO IEC JTC
Tecnologa de Informacin IS0 IEC JTC1/SC27 Seguridad: Organizacin Internacional de Estandarizacin, ComitTcnico para la Seguridad de la Tecnologa de Informacin, Suiza, 1998.
IS0 TC68/WGA, Directrices para la Seguridad de la Informacin para la Banca y Servicios Financieros Relacionados: Organizacin Internacional de Estandarizacin (ISO) Comit Tcnico para la Banca y Servicios Financieros, Borrador,
Suiza, 1997.
CCEB 96/011, Criterios Comunes para la Evaluacin de la Seguridad de la Tecnologa de Informacin: Consejo de
implementacin de los Criterios Comunes, Alineacin y comparacin de los criterios de seguridad de la TI Europeos, E.U.
A. y Canadienses, Borrador, Washington, DC, 1997.
Prctica Recomendada para EDI: EDIFACT (EDI para la Administracin de Comercio e Industria), Pars, 1987.
TICKIT: Gua para la Construccin y Certificacin de software por Sistemas de Manejo de la Calidad, Departamento de
Comercio e Industria Britnico (DTI), Londres, 1994.
Control Base ESF Comunicaciones: Foro de Seguridad Europeo, Londres, Seguridad de Redes de Comunicaciones,
Septiembre 1991, Controles Base para Redes de rea Local, Septiembre 1994.
Control Base ESF Microcomputadoras: Foro de Seguridad Europeo, Londres, Cantidades de Base, Microcomputadoras
Conectadas a la Red, Junio 1990.
Manual de Auditora de los Sistemas de Informacin Computalizados (CIS): Fundacin de Auditores EDP (ahora la
Fundacin de Control y Auditora de Sistema de Informacin), Rolling Meadows, IL, 1992.
211
COBIT
APNDICE III GLOSARIO DE TRMINOS
AICPA
CCEB
CICA
CISA
Control
COSO
DRI
DTI
EDIFACT
EDPAF
ESF
GAO
I4
IBAG
IFAC
IIA
INFOSEC
ISACA
ISACF
ISO
ISO9000
ITIL
ITSEC
NBS
212
NIST
NSW
Objetivo de
Control de TI
OECD
OSF
PCIE
TCSEC
TickIT
Y TECNOLOGAS AFINES
the U.S.)
(antes NBS)
Instituto Nacional de Estndares y Tecnologa. (National Institute of Standards
and Technology), con base en Washington D.C.
Nueva Gales del Sur, Australia. (New South Wales, Australia)
Declaracin del resultado deseado o propsito a ser alcanzado al implementar
procedimientos de control en una actividad particular de TI.
Organizacin para la Cooperacin y el Desarrollo Econmico. (Organisation for Economic
Cooperation and Development)
Fundacin de Software Pblico (Open Software Foundation)
Consejo Presidencial de Integridad y Eficiencia. (Presidents Council on Integrity and
Efficiency)
Criterios de Evaluacin de Sistemas Computarizados Confiables. (Trusted Computer System
Evaluation Criteria), conocido tambin como "The Orange Book". Criterios de evaluacin de
seguridad para sistemas computarizados definidos originalmente por el Departamento de
Defensa de los Estados Unidos. Ver tambin ITSEC, el equivalente europeo.
Gua para la Construccin y Certificacin de Sistemas de Administracin de Calidad. (Guide to
Software Quality Management System Construction and Certification)
213
COBIT
APNDICE IV PROCESO DE AUDITORA
(PREPARADO POR EL CAPTULO NACIONAL DE REA CAPITAL)
Los diagramas de flujo que se muestran a continuacin tratan
de cada uno de los pasos para la satisfaccin de un solo objetivo de control. Define el objetivo del paso y especifica lo que
el auditor debe haber alcanzado antes de continuar con el siguiente paso. Finalmente, un diagrama de flujo es la representacin grfica del proceso de recoleccin de informacin y
toma de decisiones que deben ocurrir en cada uno de los pasos.
Dado que muchos de los objetivos son particulares, no sugerimos estos diagramas como una regla estricta. Resultan tiles
como gua porque representan un marco de referencia conceptual preciso para cada una de las fases del trabajo de auditora.
Se presenta un glosario consolidado de trminos despus de
cada diagrama. Los trminos definidos se representan en cursiva a lo largo del texto.
PASO DE AUDITORA DE IDENTIFICACIN/DOCUMENTACIN
Objetivo del Paso El objetivo del paso de auditora de identificacin/documentacin es que el auditor se familiarice con
la tarea cubierta por el objetivo de control y la manera en que
la administracin de SI cree que estn siendo controlados.
Esto incluye la identificacin de las personas, los procesos y la
locacin que realiza dicha tarea, y los procedimientos establecidos que los controlan.
Resultados Deseados del Paso Al finalizar el paso de auditora de identificacin/documentacin, el auditor deber haber
identificado, documentado y verificado:
Inicio
Identidad,
Procesos,
Locaciones,
Individuos, y
Procedimientos
Evaluado las leyes, regulaciones y criterios organizacionales en cuanto a su aplicacin sobre los procedimientos
Entrevista
a clientes
Procedimientos
Percibidos del
cliente
Procedimientos
Escritos
Procedimientos
Definidos
Para
Evaluar
Fusin
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Ident/Doc
Procedimientos
Definidos
Evaluar los
Procedimientos
Definidos
Procedimiento NO
Efectivo?
Identificar y
Evaluar los
Controles de
Compensacin
Controles de
Comp.
Efectivo?
NO
Prueba
Significativa
y Sustantiva
SI
SI
Leyes,
Requericiones,
y Criterios de
la Org.
Prueba de
Cumplimiento
Proced.
Definido
Evaluacin
Revisar Muestra de
resultados de Tareas
para Determinar el
cumplimiento de los
Proced. Definidos
Cumple
Pruebas
Sustantivas
Limitadas
SI
NO
Muestreo de
Resultados de
las Tareas
Identificar
Procedimientos
Reales
Proced. Reales NO
Adecuados
Adecuar los
Procedimientos de
control imprecisos y
aplicados de manera
inconsistente
Pruebas
Significativas
Sustantivas
215
COBIT
APNDICE IV PROCESO DE AUDITORA
(PREPARADO POR EL CAPTULO NACIONAL DE REA CAPITAL)
Desarrollar el inverso
de los Resultados de las
tareas y determine las
tcnicas de muestreo
Se requieren
pruebas
Significativas?
SI
Realice el muestreo
Significativo aleatorio
o estadstico
Determinar si el
objetivo de Control
se ha logrado para
el Muestreo
Se cumpli el
objetivo de
Control?
SI
Aseguramiento
NO
NO
Realice el
Muestreo Limitado
Aleatorio o de
Juicio
No Aseguramiento
216
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
217
COBIT
APNDICE V
Como una muestra de la aplicacin del Marco de Referencia de COBIT a problemas especficos, as como tambin a procesos especficos, Robert Parker, ExPresidente de ISACA (AACSI), ha brindado una muestra de un lineamiento de auditora
aplicable al problema del Milenio Ao 2000, relacionado con los campos de datos de los programas de cmputo y las dificultades potenciales de procesamiento asociados con el cambio de los ltimos dgitos de 99 a 00. A manera de demostracin, no pretende incluir todos los aspectos, sino ms bien el ser de utilidad como un enfoque hacia el tema, utilizando el
Marco de Referencia de COBIT para desarrollar un lineamiento de auditora.
Asegurar que todos los programas de aplicacin cumplan con los requerimientos del Ao 2000
Asegurar que todo el hardware y software de sistema cumpla con los requerimientos del Ao 2000
Asegurar que existan planes para monitorear el cumplimiento de los requerimientos del Ao 2000 y que se efecte la
respuesta oportuna donde sea necesario
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Comprender a travs de:
8
Entrevistas:
Director General de Finanzas
Director General de Informacin
Miembros seleccionados del Comit Directivo de la Funcin de Servicios de Informacin
Jefe del sub-comit especial para el Ao 2000 de la organizacin
Administracin de la Funcin de Servicios de Informacin responsable de las iniciativas para el Ao 2000
Personal de la Funcin de Servicios de Informacin responsable de la implantacin y los resultados de las iniciativas
para el Ao 2000
Usuarios responsables de aplicaciones de comercio electrnico
8 Obteniendo:
El plan para el Ao 2000 de la organizacin, incluyendo tiempos especficos y costo presupuestado
El reporte de evaluacin para el Ao 2000 de la organizacin
El anlisis, por parte de la funcin de servicios de informacin, del esfuerzo requerido para cumplir con los requerimientos del Ao 2000, clasificado por aplicacin, programas y utilidades de los sistemas, y dispositivos de hardware
Informacin sobre certificacin de cumplimiento de los requerimientos del Ao 2000 de los distribuidores, y fecha anticipada de cumplimiento, si no estn certificados todava
Minutas de las reuniones del sub-comit especial para el Ao 2000
Iniciativas importantes de la industria para resolver problemas a nivel industria (por ejemplo, comercio electrnico)
218
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
Probando que:
El inventario de aplicaciones, utilidades, APIs, etc., es preciso y completo, y que el estatus del cumplimiento con los
requerimientos para el Ao 2000 est correcto
Los planes para el Ao 2000 sean razonables, completos y alcanzables, y que estn manejados apropiadamente
Que las interfaces electrnicas con los proveedores cumplan con los requerimientos para el Ao 2000
La documentacin es adecuada para permitir a la organizacin evaluar, actualizar y probar todos los programas requeridos para hacer que la organizacin cumpla con los requerimientos del Ao 2000
Los fabricantes, distribuidores y otros proveedores hayan certificado sus productos como en cumplimiento de los requerimientos del Ao 2000, y que mantengan registros de dicha certificacin
Para los productos certificados para el Ao 2000, la organizacin ha realizado las pruebas apropiadas en su ambiente
normal/habitual de procesamiento, incluyendo las comunicaciones
El uso de las opciones predeterminadas 99 ha sido apropiadamente resuelto
Las polticas, procedimientos y estndares de la organizacin reflejan los requerimientos del Ao 2000 y se cumple
con ellos
Todos los acuerdos de licencia de software y hardware actual especifican el cumplimiento de los requerimientos del
Ao 2000 y/o una fecha lmite de cumplimiento especificada por el distribuidor/proveedor
219
COBIT
La organizacin ha incluido tiempo de capacitacin suficiente para asegurar que todos los empleados de la Funcin de
Servicios de Informacin tengan los conocimientos para apoyar las iniciativas para el Ao 2000 de la organizacin
Los acuerdos de licencia de software permiten a la organizacin realizar pruebas para el Ao 2000 en sitios distintos de
la locacin principal con licencia
Las iniciativas para el Ao 2000 de la organizacin incluyen la prueba y validacin apropiada, incluyendo una prueba
completa de los sistemas, y que los sitios remotos apropiados han sido asegurados para simular ambientes remotos
de procesamiento y comunicaciones, y que han realizado dicha prueba
El plan comprende a los dispositivos, adems de los sistemas computacionales
El plan permita a la organizacin continuar con sus actividades normales de negocios, sin interrupciones, despus del
Ao 2000
Evaluar el riesgo de los objetivos de control no alcanzados:
8
Llevando a cabo:
Referencia de los planes e iniciativas para el Ao 2000 y de su estatus actual respecto a organizaciones similares o criterios razonables apropiados
Una revisin detallada de las diversas iniciativas para el Ao 2000, incluyendo la evaluacin del tiempo estimado, los
recursos asignados, los conocimientos disponibles y el presupuesto establecido
Revisiones de los contratos con distribuidores y proveedores para calificar el grado de cumplimiento con los requerimientos del Ao 2000
Revisiones de las pruebas para el Ao 2000 de la organizacin para evaluar el cumplimiento de los sistemas individuales para cubrir los requerimientos del Ao 2000 de la organizacin
Revisiones de los contratos externos para el Ao 2000 y evaluacin de los plazos y los resultados de los contratos
Identificando:
Planes e iniciativas para el Ao 2000 poco realistas o demasiado ambiciosos
Fondos, asignacin de recursos, personal y conocimientos insuficientes para el Ao 2000
Contratacin inadecuada o inapropiada en el rea de requerimientos para el Ao 2000
Pruebas inadecuadas o inapropiadas de los sistemas y programas de aplicacin que han sido modificados para cumplir
con los requerimientos del Ao 2000
Plazos, condiciones o temporalidad inadecuada o inapropiada para que el software suministrado por medio de distribuidores cumpla con los requerimientos del Ao 2000
Pruebas inadecuadas o inapropiadas del software de distribuidores externos que ha sido certificado por el distribuidor como en cumplimiento de los requerimientos para el Ao 2000
220
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
E- MAIL: publication@isaca.org
WEB SITE: http//www.isaca.org
Nombre
_____________________________________________________________________________________
Compaa _____________________________________________________________________
Direccin ____________________________________________________________________
Ciudad ______________________________ Estado/Provincia __________________________
Pas _________________________________ Cdigo Postal _____________________________
Nmero de Fax ________________________________________________________________
Direccin Electrnica ____________________________________________________________
? Estoy interesado en saber ms sobre cmo puede utilizarse CobiT dentro de mi organizacin.
Favor de solicitar a un representante de la Asociacin que se ponga en contacto conmigo.
? Envenme ms informacin sobre:
? Otros productos de CobiT
? Cursos de Capacitacin de CobiT (privados o sesiones generales)
? Certificacin de Auditor Certificado de Sistemas de Informacin [CISA (ACSI)]
? Conferencias de ISACA (AACSI)
? Membresa de la Asociacin
? IS Audit & Control Journal
? Otras publicaciones de ISACA (AACSI)
Muchas Gracias!
Todas las encuestas sern tomadas en consideracin.
221
COBIT
DIRECTRIZ GENRICA PARA AUDITORAS
OBTENCIN DE UNA COMPRENSIN
Los pasos de auditora a realizar para documentar las actividades subyacentes de los objetivos de control, as como tambin para identificar las medidas de control/procedimientos establecidos existentes.
Entrevistar al personal y directivos para obtener una comprensin de:
La estructura organizacional
222
DIRECTRICES DE AUDITORA