El contexto internacional: Riesgos y amenazas

SI-38 Seguridad y Auditoría de Sistemas

En las últimas décadas, una serie de grandes escándalos financieros en grandes
empresas globales, han evidenciado la fragilidad de los controles operativos y
financieros en las empresas.

Grandes empresas de auditoría internacionales se han visto envueltas por acción
u omisión en estos escándalos.

Como consecuencia, se ha reforzado a nivel internacional la exigencia de que las
empresas cumplan una serie de procedimientos y prácticas de control, a fin de
garantizar la transparencia y veracidad de sus operaciones y manejo financiero.
Ej: Sarbanes-Oxley Act (USA, 2002).

El soporte de tecnología es clave para las operaciones y manejo financiero de las
empresas, la exigencia regulatoria sobre los controles de TI se ha incrementado
grandemente: COSO, COBIT, etc.

En Perú la SBS ha establecido normativa para el control del riesgo operativo y de
TI en las empresas financieras

Cap. 1: El Proceso de Auditoría de Sistemas de Información

UPC – 2010 02

1

UPC – 2010 02

2

El Capital de Información

El contexto internacional: Riesgos y amenazas
• Atentado contra el World Trade Center, Washington (11/09/01): 8,000
servidores Intel, 5,000 servidores UNIX, 34,000 PC’s, US$ 32 billones
para recuperar equipos y sistemas, 3500 víctimas y destrucción de
sedes corporativas de diversas empresas globales.
• En 1998 se produjo una interrupción de servicios de comunicaciones de
AT&T por fallas en un switch (software y procedimientos). Por 18 horas,
a nivel mundial, usuarios de tarjetas de crédito no pudieron usarlas.

Infraestructura
Tecnológica

Bases de datos

• Terremoto de Kobe, Japón (17/01/95): duró 20 seg., intensidad de 6.8
Richter. 40,000 victimas, 148 incendios y 6.513 edificios destruidos.
Sistemas de
Información

• Empresa de Telecomunicaciones: Incendio daña instalaciones del
centro de cómputo, el cual es inundado por la acción de los bomberos.
Varios sistemas críticos quedan fuera de servicio por tres días.
• Empresa de Cosméticos: Por cercanía de su local a la Embajada de
Japón, el centro de cómputo queda inutilizable por 23 días. (11/12/96)

El capital de información junto con los demás activos intangibles influyen en el
desempeño de la empresa al mejorar los procesos internos más importantes en la
creación de valor para clientes y accionistas
Kaplan y Norton, Strategic Maps - 2004
UPC – 2010 02

3

UPC – 2010 02

4

1

La necesidad de la Auditoría y el control interno en las empresas

Principales Amenazas al Capital de Información

• ¿Cómo debe enfrentar una empresa estos
riesgos?

Amenzas de
origen social

• Divulgación no autorizada
de información confidencial
• Alteración no autorizada de
información.

• Con un proceso sólido de Gestión de Riesgos

• Accesos por proveedores
• Fraudes por empleados
• Espionaje por competidores

Bases de datos

Infraestructura
Tecnológica

• Violación de derechos de
propiedad
• Gestión deficiente de la
tecnología

Amenazas de
origen tecnológico

• Inoperatividad de tecnología
•Virus, worms, spyware
• Ataques de hackers.
• Saturación de servicios
• Spam

Sistemas de
Información

• Con un sistema de Control Interno eficiente
• Con la ejecución de auditorías eficaces

Amenazas de
origen natural

UPC – 2010 02

• Terremotos
• Inundaciones
• Incendios

5

Estrategia de mejora continua de la calidad en cuatro pasos

Auditoría es la actividad consistente en la emisión de una opinión
profesional sobre si el objeto sometido a análisis presenta adecuadamente
la realidad que pretende reflejar y/o cumple las condiciones que le han sido
prescritas.

Nivel de Madurez

Calidad:
Continuo control de la calidad y consolidación

A

Alineación
del Negocio TI

C

P
D

Mejoras
de calidad
efectivas

Plan: Plan de Proyecto
Do: Proyecto (Hacer)
Check: Auditoria
Act: Nuevas Acciones

Consolidación del nivel conseguido

6

Definición de Auditoría

Modelo de Mejoramiento Continuo de la Calidad de Deming (PDCA)

Mejoras continuas
paso a paso

UPC – 2010 02

Auditoria de
Sistemas /
Control Interno

Contenido

Una opinión

Condición

Profesional

Justificación

Sustentada en determinados procedimientos

Objeto

Determinada información obtenida de ciertas fuentes

Finalidad

Determinar si representa adecuadamente la realidad o responde a las
expectativas que le son atribuídas, es decir, su fiabilidad

Escala de Tiempo
UPC – 2010 02

7

UPC – 2010 02

8

2

muestren la realidad de la empresa Informática o de Sistemas Auditoría de controles de sistemas. Debe verificar que los EE. los principales son: Clase Clase Contenido Objeto Finalidad Financiera Opinión Cuentas anuales Presentan realidad Informática o de Sistemas Opinión Sistemas de información. etc. requerida por las Auditorías Financieras y entidades reguladoras Gestión Auditoría de las gestión de una entidad pública o privada. Cumplimiento Opinión Normas establecidas Las operaciones se adecúan a estas normas Ejemplo Financiera Auditoría de Estados Financieros de las empresas. luego de un cambio de los Directivos. • En general. estándares de gestión de la seguridad de información (ISO 27000) El sector Financiero ha sido el principal usuario de los procedimientos de auditoría UPC – 2010 02 9 Procedimientos de Auditoría 10 Definición de Consultoría • La opinión expresada en una auditoría se fundamenta en el cumplimiento de procedimientos específicos que deben proporcionar una seguridad razonable de lo que se afirma • Existen auditorías altamente reglamentadas (las financieras) donde es obligatorio aplicar Normas Técnicas y procedimientos detallados. eficiencia. estándares de gestión ambiental (ISO 14000). planes de contingencia. Operatividad eficiente y según normas establecidas Gestión Opinión Dirección Eficacia. recursos informáticos. una auditoría debe cumplir:  El trabajo debe ser planificado y supervisado adecuadamente  Se estudiará y evaluará el sistema de control interno  Se obtendrá evidencia suficiente y adecuada  La evidencia debe colectarse en los documentos de trabajo del auditor.FF. Contenido Dar asesoramiento o consejo Condición De carácter especializado Justificación En base a un exámen o análisis Objeto La actividad o cuestión sometida a consideración Finalidad Establecer la manera de llevarla a cabo adecuadamente UPC – 2010 02 12 3 . Como justificación y soporte del trabajo y de la opinión emitida. UPC – 2010 02 UPC – 2010 02 11 Consultoría es dar asesoramiento o consejo sobre lo que se ha de hacer o cómo llevar adecuadamente una determinada actividad para obtener los fines deseados. Cumplimiento Cumplimiento de estándares de gestión de la calidad (ISO 9000). Exigencia de entidades reguladoras y financieras.Clases de Auditoría Clases de Auditoría Algunos ejemplos: El objeto y la finalidad de una auditoría definen su tipo.

interrupción de operaciones. incremento de costos o pérdida de ingresos. Confidencialidad y privacidad La liberación de información confidencial puede originar importantes pérdidas económicas y ventaja frente a la competencia. 13 Necesidad de la Auditoría de Sistemas UPC – 2010 02 Necesidad de la Auditoría de Sistemas Pérdida de datos Daño o pérdida de información: archivos de cuentas por cobrar. Dependiendo de si las decisiones son estratégicas. daño físico del personal. pérdida de ingresos. interrupción de operaciones. merma de la calidad. etc. todos los activos tecnológicos son los recursos o activos más importantes de una empresa. en general. accidentes. pérdida de confidencialidad. etc. táctica u operativas. el impacto de la calidad de los datos y la información provista por los sistemas puede ser de mayor o menor impacto. tácticas y estratégicas. UPC – 2010 02 • Hoy día. • La información y. Protección de la inversión en tecnología y personal Los montos invertidos en hardware y software son importantes. software y personal Costos por mal Privacidad de la procesamiento de información información ORGANIZACIONES Auditoría y control de sistemas de Información UPC – 2010 02 14 15 UPC – 2010 02 16 4 . también puede originar pérdidas por denuncias de clientes afectados. Mala toma de decisiones La información se utiliza para la toma de decisiones. Su daño o robo puede originar una pérdida económica importante. Factores que influencian hacia el control y auditoría del uso de las computadoras Costos por pérdida de datos Costos por Costos por mala toma de mal uso de decisiones tecnología Valor de hardware. etc. etc. • La información procesada es utilizada para tomar decisiones operativas. el procesamiento automatizado de la información a través de las computadoras. abuso de privilegios de acceso a sistemas. pérdida de confidencialidad o privacidad. pérdida de privacidad. uso indebido de activos. es indispensable en las empresas. Uso indebido de la tecnología Virus. alteración indebida de datos. • Las fallas o el mal uso de los sistemas puede afectar grandemente a la sociedad (empresas y personas): mala asignación de recursos. privacidad o disponibilidad. hacking. acceso físico ilegal. • La información debe ser preservada de cualquier mal uso que afecte su integridad. etc. cuentas por pagar. • El alto desarrollo tecnológico y la intensa competencia entre las empresas las hace cada vez más dependientes de los sistemas. Errores en procesamiento de la información El mal funcionamiento de los sistemas puede originar fallas en los procesos productivos. fraudes. etc.La Auditoría de Sistemas Necesidad de la Auditoría de Sistemas • ¿Y la auditoría de Sistemas?. pueden originar pérdidas importantes a las organizaciones: destrucción o robo de activos o información.

confiables. Riesgos: incertidumbre sobre las operaciones de la empresa. personas (conocimiento). mantiene la integridad de los datos. Eficiencia de Sistemas Un sistema eficiente utiliza la menor cantidad posible de recursos para alcanzar sus objetivos: capacidad de procesamiento. robo. no funcionales.  Information System Audit and Control Asociation (ISACA) es una asociación internacional de profesionales relacionados a las tareas de auditoría de TI. utiliza eficientemente los recursos de la organización y contribuye eficazmente a los objetivos de la organización. guías de trabajo y estándares. incluyendo de ser necesario el uso de software especializado.  El Informe de Auditoría es el documento formal donde se comunican los resultados de una auditoría informática.  ISACA provee dos certificaciones internacionales a los profesionales que cumplen los requisitos que establece: • CISA: Certified Information Systems Auditor • CISM: Certified Information Security Manager UPC – 2010 02 19 UPC – 2010 02 20 5 . Riesgos: sistemas incompletos. software. ORGANIZACIONES Protección de activos Asegurar integridad de datos Mejorar efectividad de sistemas Mejorar eficiencia de sistemas UPC – 2010 02 17 Definición de Auditoría de Sistemas o Auditoría Informática UPC – 2010 02 18 ISACA  El auditor informático evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informáticos existentes. agrupar y evaluar evidencias para determinar si un sistema informático salvaguarda los activos de cómputo.  Se fundó en 1967. Integridad de datos Mantener atributos de los datos: deben ser completos. operación del sistema. veraces.000 miembros en 140 países. guías y procedimientos que deben seguirse para realizar auditorías de sistemas. formularios oficiales. pérdida de competitividad Efectividad de sistemas Los sistemas deben cumplir/atender los objetivos/necesidades para los que fueron implementados. instalaciones.Definición de Auditoría de Sistemas o Auditoría Informática Objetivos de la Auditoría de Sistemas  Es el proceso de recolectar. Tiene más de 50. software de base. suministros.  La auditoría de sistemas cumple dos clases de objetivos principales:  Objetivos de protección de activos e integridad de datos  Objetivos de gestión: eficacia y eficiencia en el cumplimiento de metas empresariales Auditoría de sistemas de Información Protección de activos Hardware. uso indebido. dispositivos de entrada/salida. documentación de sistemas. complicados. archivos de datos. etc. cuando un conjunto de profesionales reconoció que debido a la criticidad de la función de auditoría de sistemas en las organizaciones requería una fuente centralizada de información. costosos.  El auditor informático es responsable de revisar e informar a la Dirección de la organización sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.  ISACA provee una serie de estándares. etc. desarrollando y aplicando técnicas de auditoría. Riesgos: daños físico.

Riesgos de Tecnología Amenzas de origen social • Divulgación no autorizada de información confidencial • Alteración no autorizada de información. etc. Ej: registro de intentos de acceso fallidos para un sistema. ORGANIZACIONES • Correctivos. Ej: recuperar datos desde una copia de seguridad (backup). deben identificar lo antes posible la ocurrencia de un hecho indebido. 1: El Proceso de Auditoría de Sistemas de Información Sistemas de Información • Sabotaje / Terrorismo Amenazas de origen natural • Terremotos • Inundaciones • Incendios • Inoperatividad de tecnología •Virus. prácticas y estructuras organizacionales) diseñados para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos. ocurrida una incidencia deben reducir el impacto de la misma y facilitar la vuelta a la normalidad. Ej: el uso de contraseñas para acceder a un sistema. Riesgo es el impacto neto proveniente de una vulnerabilidad. software y personal UPC – 2010 02 Costos por mal Privacidad de la procesamiento de información información • Preventivos. Infraestructura Tecnológica • Accesos por proveedores Bases de datos Amenazas de origen tecnológico • Fraudes por empleados • Espionaje por competidores SI-38 Seguridad y Auditoría de Sistemas • Violación de derechos de propiedad Cap. UPC – 2010 02 23 UPC – 2010 02 24 6 . • Detectivos. spyware • Ataques de hackers. un plan de contingencia. worms. procedimientos. Auditoría y control de sistemas de Información Los Riesgos se manejan estableciendo Controles. • Saturación de servicios • Spam Vulnerabilidad: exposición a una situación adversa que podría ser explotada intencional o accidentalmente y afectar negativamente el cumplimiento de los objetivos de la organización. en caso que los controles preventivos fallen. diseñados para prevenir que ocurra un error. Riesgo = Probabilidad x Impacto UPC – 2010 02 21 Costos por pérdida de datos Costos por Costos por mala toma de mal uso de decisiones tecnología 22 Tipos de Controles Riesgos y Controles de Tecnología Valor de hardware. Control es un sistema (políticas. considerando tanto su probabilidad de ocurrencia como el impacto que ocasionaría en caso de materializarse. omisión o práctica maliciosa.

Estos controles aseguran que las transacciones sean válidas.  Control físico sobre activos y registros: mecanismos apropiados para evitar accesos no autorizados. operarse y modificarse de acuerdo a las necesidades diarias y de acuerdo a los procedimientos establecidos. UPC – 2010 02 25 Controles de IT: Generales y de Aplicación Un sistema de control interno debe considerar las siguientes categorías:  Segregación de actividades: una transacción debe pasar por varias etapas a cargo de personas distintas. Segregación de actividades. Controles físicos: accesos y ambientales. Control de accesos lógicos: cuentas de usuario y contraseñas Desarrollo de sistemas y cambios a programas. analistas y Operaciones y Soporte de TI. Incluye los controles que permitirán al staff de TI recibir y controlar el flujo de información de negocio. vulnerabilidades e impacto de las mismas.  Revisiones independientes de resultados. Por ejemplo el plan de continuidad de negocios. operación y mantenimiento de los sistemas de información se hace de una manera planeada y controlada. para fijar eficientemente dónde deberían establecerse los controles Fijan parámetros generales para los controles: políticas empresariales de alto nivel. Controles de aplicación: Se requieren para asegurar un procesamiento confiable de la información y se aplican sobre transacciones individuales. En otras palabras.  Adecuada supervisión: seguimiento cercano del supervisor para disuadir o detectar actos indebidos.El Sistema de Control Interno El Sistema de Control Interno Las organizaciones deben tener un Sistema de Control Interno que asegure que sus controles sean los adecuados y funcionen correctamente. autorizadas y se registren apropiadamente. pistas de auditoría.  Procedimientos de Autorización: que aseguren los debidos niveles de aprobación y su registro adecuado. UPC – 2010 02 Controles Generales de IT Un sistema de control interno debe considerar las siguientes categorías: Incluyen los siguientes: Controles Generales de IT: Se ejecutan para asegurar que el desarrollo. Controles sobre personal de sistemas. los controles generales de IT permiten que se provea una infraestructura estable en la cual los sistemas de información puedan construirse. (también proveedores externos). cultura y estructura de Recursos Humanos. Los componentes son: Monitoring Control activities Information & communication Risk assessment Control environment Seguimiento contínuo para asegurar que las políticas y procedimientos funcionan apropiadamente Son los controles que permitirán asegurar que las operaciones del negocio están funcionando de acuerdo a los objetivos de la organización. UPC – 2010 02 26 27       Organización y administración. UPC – 2010 02 28 7 .  Registro de actividades: protección y almacenamiento de documentos. Cubre la evaluación de amenazas.  Controles sobre disponibilidad y continuidad de sistemas.  Controles sobre uso de computadoras por usuarios finales. incluyendo pólíticas y estándares. incluyendo programadores. valores éticos.  Responsabilidad y delegación de autoridad  Personal: competente y confiable. implementación. etc.

Controles de Aplicación Controles de IT: ‘ Onion Model’ Dado que se aplican sobre transacciones individuales. Esto sólo debe ocurrir cuando no sea posible implementar un control efectivo en términos de costo-beneficio. • Eventualmente pueden existir eventos no deseados que no tengan un control establecido. la salida de transacciones datos y archivos maestros. vetting and training •Network Access Controls •Operating system controls •APPLICATION CONTROLS •INPUT PROCESS OUTPUT •Audit Trails UPC – 2010 02 29 La Auditoría y los Controles de IT UPC – 2010 02 •Standing Data 30 El Proceso de Auditoría • La función de la auditoría es determinar si existen los controles para evitar eventos no deseados en los sistemas de TI y si estos controles trabajan adecuadamente. UPC – 2010 02 31 UPC – 2010 02 32 8 . •Physical and environmental controls •System Security and Internal Audit •Staff selection. incluyen:     Controles sobre Controles sobre Controles sobre Controles sobre •The IT controls framework las entradas de transacciones el procesamiento de transacciones.

etc. que contiene: • referencias del cliente y sus necesidades.) • software de sistemas (sistemas operativos. tamaño y complejidad de la plataforma tecnológica. seguridad. etc. nivel de experiencia y disponibilidad del mismo. Temas a considerar son:  Necesidades del cliente para la auditoría: • soporte a una auditoría financiera • evaluación de controles TI • necesidades regulatorias.) • principales sistemas de información • personal de contacto en TI y en áreas usuarias • problemas del cliente con sus aplicativos • cambios planeados en aplicativos o tecnología. UPC – 2010 02 34 Planeamiento de la Auditoría  Determinar alcance y tiempo de los procedimientos de auditoría: • qué aplicativos se revisarán y qué tiempo será necesario. redes. procedimientos. plan del negocio. UPC – 2010 02 35 UPC – 2010 02 36 9 .Planeamiento de la Auditoría Planeamiento de la Auditoría El objetivo de esta etapa es tomar conocimiento del cliente y de sus sistemas de control interno. manuales. dinero para traslados/alojamiento. equipamiento. seguridad de información. redes. • alcance y objetivos de la auditoría a realizar • áreas críticas a examinar • recursos necesarios • Cronograma  Determinación de recursos necesarios: • cantidad de personal requerido. • los objetivos de la auditoría • áreas críticas del negocio identificadas con el cliente • debilidades conocidas en los controles internos  Elaboración de un Plan de Auditoría. software especializado.)  Necesidad de otros especialistas como ayuda a la auditoría: • en caso de riesgos significativos detectados (sistemas. etc. UPC – 2010 02 33 Planeamiento de la Auditoría  Fuentes de información: • informe y papeles de trabajo de auditorías anteriores • observación de las instalaciones • entrevistas con personal de TI • documentos del cliente (plan estratégico de TI. etc. etc.  Realidad del cliente: • organización y operaciones del negocio • hardware utilizado (servidores. PC’s. BD’s.). • por solicitud expresa del cliente • cuando existe considerable desarrollo interno de sistemas • en caso de existir planes de cambios importantes en infraestructura o aplicativos. en función a su contribución al negocio. • disponibilidad del personal del cliente • otros recursos: equipamiento. etc. documentación de sistemas.

Este tipo de pruebas también buscan disminuir los costos de la auditoría.  Puede ser necesario realizar muestreo de transacciones.  En caso de que el auditor haya determinado realizar pruebas de cumplimiento. debe identificar los controles que justifican esto y evaluar si estos funcionan adecuadamente. el auditor elegiría un conjunto de transacciones críticas y verificaría sus tiempos de respuesta para asegurarse que están en los niveles aceptables. • Pruebas sustantivas. etc. En estos casos se decide por realizar pruebas sustantivas. Substantive testing Review and evalaute Report UPC – 2010 02 37 Tipos de Pruebas de Auditoría UPC – 2010 02 38 Obtener evidencia de Auditoría (Pruebas de Cumplimiento) Para obtener las evidencias de la auditoría se pueden ejecutar: • Pruebas de cumplimiento. será menor el esfuerzo posterior en hacer pruebas sustantivas para alcanzar un juicio de auditoría. UPC – 2010 02 39 UPC – 2010 02 40 10 . el auditor no verifica los controles pues supone que es probable que estos no sean efectivos y por lo tanto su prueba no sería confiable para realizar una auditoría eficiente. uso de herramientas de SW especializadas. el auditor puede entrevistar al Jefe de Producción de Sistemas para determinar si se revisan los tiempos de respuesta con regularidad y qué acciones se toman cuando estos no son aceptables. Buscan determinar si el control existe en la práctica y opera efectivamente durante el periodo objeto de la auditoría. reproducir resultados para verificar cálculos correctos. No: No reliance on controls Yes : Perform compliance tests of controls • Si considera que el riesgo de los controles supera el máximo aceptable. estas se realizan con el objetivo de confirmar que los controles sean realmente efectivos. Se asume que si los controles operan efectivamente. debe decidir la manera como debe realizar los siguientes pasos de la auditoría: PLANNING EVALUATION OF INTERNAL CONTROLS • Si considera que el riesgo de los controles vigente es inferior al máximo aceptable. utilizando técnicas de muestreo para identificar transacciones significativas. Por ejemplo. para verificar los controles de tiempos de respuesta para un sistema crítico. hacer seguimiento de transacciones durante el ciclo de negocio. Se requiere realizar un muestreo para determinar el alcance de la prueba.Evaluar Controles Internos El Proceso de Auditoría THE AUDIT PROCESS Una vez que el auditor ha logrado un adecuado entendimiento de los controles internos del cliente. Buscan confirmar los resultados esperados del control. En el ejemplo anterior.

 La carta de presentación. pero estos no se consideran materiales.  Revisión Interna: el auditor envía el informe para su validación por colegas o por su Supervisor. posibles omisiones o errores. • Agradecimiento a la empresa. etc. Esto puede implicar tanto. • Opinión adversa: cuando el auditor considera que existen pérdidas o problemas materiales detectados en la auditoría. UPC – 2010 02 43 UPC – 2010 02 44 11 . UPC – 2010 02 42 Emisión del Informe de Auditoría Se siguen los siguientes pasos: El informe debe contener  Revisión de reportes preliminares • Primer borrador: para discusión con el cliente.  Los posible juicios a emitir son: • Abstenerse de opinión: cuando las verificaciones realizadas no le permiten emitir una opinión. • Comentarios del cliente: el cliente envía eventuales comentarios al borrador formal recibido. • Opinión calificada: cuando el auditor considera que se han presentado pérdidas o problemas. el auditor se apoya en colegas o supervisores para completar su opinión. • Indicación de las observaciones incluídas en el informe detallado. Normalmente. se corrigen posibles errores y aclaran temas necesarios. • Propósito de la auditoría y eventuales salvedades (disclaimers) • Qué sistemas fueron revisados • Contenido del informe detallado • Con quién se revisó el informe • Opinión de la auditoría realizada.Obtener evidencia de Auditoría (Pruebas Sustantivas) Revisión y evaluación de Resultados  Se ejecutan para evaluar si errores o mal procesamiento de las transacciones ha tenido un impacto significativo (materialidad) en las operaciones o los estados financieros. Se precisa el contenido del informe. UPC – 2010 02 41 Elaborar Informe y Presentación de Resultados  El auditor debe evaluar los hallazgos hechos en las pruebas realizadas y emitir una opinión. Se valida que cumpla con los estándares de documentación. • Tercer borrador: el auditor entrega el borrador final en el cual el cliente debe responder las observaciones presentadas. se discute los hallazgos con colegas. • Segundo borrador: primer informe formal para el cliente. • Opinión favorable: cuando el auditor considera que no se han presentado pérdidas o problemas en los controles revisados.  Una vez realizadas estas pruebas el auditor debe confirmar o revisar su evaluación inicial del riesgo de los controles. disminuir las pruebas sustantivas a realizar posteriormente (en caso los controles hayan sido eficientes) o incrementarlas en caso contrario.

Emisión del Informe de Auditoría El informe debe contener  El informe detallado.  La empresa a auditar es una entidad financiera local. Es importante que lo reportado sea la debilidad o problema raíz detectado. la cual Ud. si la Gerencia ha considerado necesario hacerlas a las observaciones de auditoría.  En resumen. el auditor debe encontrar que las Operaciones de TI sean transparentes a los usuarios. operaciones a nivel nacional y con una infraestructura de tecnología variada y compleja. se ejecuten puntualmente. aún no conoce. Deben ser recomendaciones factibles y eficientes. que operen de acuerdo a lo esperado y que los resultados de su procesamiento como reportes. UPC – 2010 02 45 Infraestructura Técnica y Operaciones de TI Cap. de US$ 100 millones. • Buenas prácticas de control y consideraciones sobre el riesgo de negocio asociado con las deficiencias de los controles. acaba de ingresar a laborar a una prestigiosa firma de Auditoría y le han encargado realizar la revisión de Controles de la Infraestructura Técnica y Operaciones de TI.  En una organización de TI que funcione adecuadamente. transferencias de información. • Comentarios de la Gerencia. debería considerar en su revisión?  ¿Qué evidencias debería solicitar para sustentar los controles implementados?  ¿Qué técnicas utilizaría para recabar la información que requiere para su revisión? UPC – 2010 02 SI-38 Seguridad y Auditoría de Sistemas 47  El término Operaciones de TI se refiere a los aspectos logísticos y de infraestructura del hardware y software. ingresos anuales aprox. UPC – 2010 02 48 12 . • Detalle de los hallazgos u observaciones encontrados por el auditor. incluyendo el riesgo asociado a los mismos.  ¿Qué controles serían los más relevantes que Ud. • Recomendaciones. pues su correcto funcionamiento está debidamente soportado en el desempeño de los roles ya establecidos. las que al ser implementadas reducirían los riesgos. La ejecución apropiada de estas funciones permite asegurar al usuario de TI que sus sistemas de información estén disponibles en los horarios acordados. 3: Infraestructura Técnica y Prácticas Operativas UPC – 2010 02 46 Infraestructura Técnica y Operaciones de TI Consideremos la siguiente situación:  Ud. actualización de datos. etc. el usuario se libera de las preocupaciones técnicas de los sistemas que utiliza y puede concentrarse en su debida utilización para los fines del negocio.

Administración de capacidad Monitoreo del rendimiento Administración y monitoreo de redes y comunicaciones. mal ingreso de parámetros. deberían existir las siguientes funciones. tanto de aplicaciones como de HW y SW base. realizadas por distinto personal: • Desarrollo y mantenimiento de aplicaciones: análisis. incluyendo equipamiento y software.  Problemas con usuarios finales por deficiente labor de help desk. gestión de permisos de acceso a aplicativos. Servidores de aplicaciones. Linux. Administración de procesos y tareas Encendido. • Seguridad de Sistemas: administrar controles de seguridad. Base de datos: Oracle.  Retraso o interrupciones en el procesamiento de información. Sybase.  Pérdida de información por mala ejecución de backups.  Pérdida o daño de datos debido a incorrecto o no autorizado uso de software de sistemas. Notes. Servidores Web UPC – 2010 02 49 Infraestructura Técnica y Operaciones de TI 50  En una organización de sistemas mediana o grande. 51 UPC – 2010 02 52 13 .  Deficiente capacidad de procesamiento en la infraestructura. supervisión del centro de cómputo. versiones incorrectas. se afecta su productividad al no resolver oportunamente sus problemas. de rack. Administración de problemas. diseño y construcción de sistemas de información • Soporte de Sistemas: administración y soporte técnico del hardware y software de base. • Operaciones rutinarias de TI: encendido y apagado de equipos.  Elevados tiempos de no disponibilidad de sistemas. etc.Infraestructura Técnica de TI Procesamiento Minicomputadoras / Mainframes Servidores Intel: de torre. ejecución de tareas programadas. backups. Correo electrónico: Exchange. AIX. WAN: routers Centrales telefónicas Servicios: carriers para enlaces WAN e Internet. etc. blades Almacenamiento SAN NAS Unidades externas de disco Almacenamiento interno Seguridad Firewalls IDS’s VPN’s Tokens Unidades de respaldo de datos Antivirus SW de backup Filtros de contenido Antispam     Riesgos de un deficiente control de las Operaciones de TI Comunicaciones LAN: switches de core y de piso. • Administración de Base de Datos: soporte y administración de la Base de datos de la empresa • Control de Cambios: administración y ejecución de las políticas y procedimientos de control de cambios. SQL Server. etc. por inadecuado planeamiento de capacidad. malos tiempos de respuesta. telefonía fija y celular Computo Personal Software de Base PC’s Notebooks PDA’s Impresoras personales y departamentales Sistemas Operativos: Windows 2003 Server. DB2. por fallas o retrasos en la solución de problemas. apagado y monitoreo de funcionamiento de equipos Seguridad física de instalaciones Help Desk y Administración de Problemas Mantenimiento de HW y SW Administración de medios de almacenamiento Respaldo de información y recuperación de desastres. Control de Cambios UPC – 2010 02 UPC – 2010 02 Organización para las Operaciones de TI Funciones incluídas en las Operaciones de TI:             Funcionamiento incorrecto de aplicaciones: operación errada.

 Procedimientos de corrección de versiones de SW de sistemas. actualización de firmware. aplicación de parches. con tiempos de respuesta comprometidos o a solicitud.  Contratos deben especificar niveles de servicio comprometidos y penalidades ante incumplimientos del proveedor.  Encendido y apagado de equipos: según se requiera por el personal autorizado  Ejecución y verificación de procesos de respaldo o recuperación de información.  Contratos de mantenimiento de SW: actualización de versiones. UPC – 2010 02 54 Operaciones TI: Mantenimiento de Hardware y Software Tanto el equipamiento de hardware como el software de base utilizado requieren de procedimientos de mantenimiento preventivo y correctivo para asegurar su adecuado mantenimiento:  Hardware: revisión y limpieza de componentes..  Que exista una bitácora de Operación: incidencias.  Existencia de cronograma de mantenimiento preventivo de equipos y nivel de cumplimiento del mismo. actualización de versiones. etc. a fin de poder reconstruir cualquier evento. problemas.Operaciones TI: Administración de Procesos y Tareas programadas Como parte de las Operaciones de TI se realizan una serie de actividades rutinarias pero indispensables para su adecuado funcionamiento:  Ejecución programada de tareas o procesos requeridos por usuarios: generación de reportes. preventivos y/o correctivos. etc. UPC – 2010 02 53 Operaciones TI: Mantenimiento de Hardware y Software El auditor de TI debe verificar.  Que exista una programación autorizada y documentada de los trabajos a realizar. Normalmente. reportes. envío de información a terceros. soporte ante problemas. actualización de versiones UPC – 2010 02 56 14 . estas actividades puede ser realizadas por personal a dedicación exclusiva o como parte de otras actividades.  Que se realicen procedimientos de verificación de la continuidad del procesamiento y controles de cambo de turnos de operación.  Supervisión de instalaciones y seguridad del centro de cómputo Dependiendo de la magnitud de las operaciones de TI en la empresa.  Que se documenten los resultados de procesos realizados. etc.  Que existan procedimientos documentados para el manejo de errores. las empresas toman contratos con proveedores para manejar estas necesidades:  Contrato de mantenimiento de HW: con o sin cobertura de repuestos. UPC – 2010 02 Operaciones TI: Administración de Procesos y Tareas programadas 55 El auditor de TI debe verificar:  Existencia de contratos de mantenimiento para equipos y servicios críticos. actualizados y debidamente probados por los ejecutantes: manuales e instrucciones.  Software: aplicación de parches. lo siguiente:  Que los procedimientos de Operación estén documentados. corrección de fallas de HW y reemplazo de componentes defectuosos.  Que los niveles de acceso a los sistemas sean los apropiados para las funciones del Operador. actualización de datos. entre otros. incluyendo el VoBo del Operador y Supervisor respectivo. determinación y corrección de fallas.

 Ejecución de procedimientos de control y descarte de los medios magnéticos. UPC – 2010 02 El auditor de TI debe verificar: 59 Un efectivo proceso de administración de problemas mejora los niveles de servicio.  Estadísticas de cumplimiento de niveles de servicio UPC – 2010 02 60 15 . El control siempre debe mantenerlo el Service Desk. Medios de almacenamiento a utilizar.  Procedimientos de cierre de incidentes y verificación de conformidad. (a revisar en capítulo posterior del curso) UPC – 2010 02 57 Operaciones TI: Help Desk y Administración de Problemas  La existencia y nivel de actualización de políticas de respaldo de información.  Que se ejecuten pruebas y verificaciones de procedimientos de respaldo y recuperación de copias de seguridad. Procedimientos de verificación y recuperación de la información. Frecuencia de generación de las copias. que haga las veces de punto único de contacto con el usuario de TI para el registro y seguimiento de incidentes o solicitudes de servicio. Es la función más visible del área de TI y es estratégicamente importante como imagen de servicio al cliente.Operaciones TI: Respaldo de Información y Recuperación ante Desastres Operaciones TI: Respaldo de Información y Recuperación ante Desastres Copias de seguridad de datos y software disponible deben ejecutarse regularmente por el personal de Operación de Sistemas. Aspectos a considerar:        Clasificación por criticidad: de datos y de software base de sistemas. Procedimientos de recuperación de desastes. reduce costos y mejora la satisfacción del usuario El auditor de TI debe verificar:  Procedimiento de identificación y clasificación de problemas  Procedimiento de seguimiento y solución de problemas  Procedimientos de cierre de problemas.  Ejecución de procedimientos de acceso y disposición de las copias de respaldo. en ambientes seguros y con instalaciones apropiadas.  Análisis de tendencias para realizar soporte preventivo y mejorar procesos. Periodos de retención (antiguedad) de copias.  Adecuado lugar de almacenamiento de las copias de seguridad: fuera del datacenter. Lugar donde se conservarán las copias generadas. El auditor de TI debe verificar:  Existencia y operación de una mesa de servicio o unidad equivalente. UPC – 2010 02 58 Operaciones TI: Help Desk y Administración de Problemas El servicio del Help Desk/Service Desk es el vínculo más directo entre los usuarios con problemas de IT y el área de Sistemas.  Niveles de servicio acordados con el usuario para la priorización y atención de eventos y mediciones de calidad del servicio.  Procedimientos de escalamiento de incidentes para aquellos que no se puedan resolver de manera inmediata.

almacenamiento y contingencias.Operaciones TI: Control de Cambios Operaciones TI: Control de Cambios  Los cambios se hacen con el fin de: mejorar funcionalidad de sistemas. con costos justificables.  Evidencia de la evaluación del impacto del cambio por los respectivos responsables. mejorar seguridad. UPC – 2010 02 61 Operaciones TI: Control de Cambios UPC – 2010 02 62 Operaciones TI: Administración del Rendimiento y Capacidad El auditor de TI debe verificar:  Existencia y actualización de procedimientos de control de cambios. previos a la ejecución del cambio. parámetros de servicio y plataforma de hardware y software de sistemas.  Elaboración de planes de reversión (para aplicar en caso de problemas con el cambio). software de sistemas o aplicativos. incremento de capacidad.  Cumplimiento de procedimientos de control de cambios. procedimientos. (aplicativo)  Evidencia de procedimientos de validación del cambio en ambientes de prueba. Debe contemplarse:  Planeación del desempeño y capacidad: actividades de revisión a fin de asegurar la disponibilidad.  Procedimiento para cambios de emergencia. verificando la documentación existente de los cambios.  Cierre y documentación del cambio 63 Debe revisarse regularmente el desempeño actual y la capacidad de los recursos de TI. Esto incluye el pronóstico de las necesidades futuras. UPC – 2010 02 64 16 .  Procedimientos para cambios de emergencia.  Evaluación de impacto.  Evidencia de las autorizaciones correspondientes de los responsables o propietarios de los activos de TI a ser modificados. Asegura que los recursos de TI que soportan los requerimientos del negocio estén disponibles de manera oportuna y continua. incrementar eficiencia de operaciones de TI. a fin de minimizar interrupciones del servicio por falta de capacidad o degradación del desempeño.  Medición regular de capacidad y desempeño actual. deben administrarse formal y controladamente. tanto de hardware. Uso de técnicas de modelado. procesos. basadas en los requerimientos de carga de trabajo.  Seguimiento y reporte de estado del cambio. procesos y procedimientos. (usuarios o de TI)  Conservación adecuada de los registros de los cambios.  Pronostico de capacidad y desempeño futuros: a intervalos regulares. UPC – 2010 02 El proceso de Control de Cambios debe contemplar:  Procedimientos formales para manejar todas las solicitudes de cambios a aplicaciones.  Un adecuado proceso de control de cambios reduce el riesgo de impactos negativos sobre la estabilidad o integridad de los ambientes de producción. actualización de versiones. cambios en requerimientos del usuario. priorización y autorización por el respectivo responsable.  Todos los cambios. solución de problemas. a fin de cumplir los niveles de servicio acordados.

UPC – 2010 02 El auditor de TI debe verificar:  Existencia y cumplimiento de procedimientos de medición de la capacidad y rendimiento: • Reportes de medición de utilización de CPU en servidores críticos • Mediciones de tiempos de respuesta en sistemas críticos • Estadísticas de consumo de espacio en disco • Reportes de cantidad de transacciones ejecutadas • Reportes de cantidad de conexiones activas a los servidores críticos. etc.  Consideraciones de seguridad.  Monitoreo y Reporte regular a fin de recolectar datos que permitan: mantener y poner a punto el desempeño de los recursos de TI y reportar a la organización el cumplimiento de los SLA’s acordados.Operaciones TI: Administración del Rendimiento y Capacidad Operaciones TI: Administración del Rendimiento y Capacidad  Gestión de la disponibilidad de recursos de TI: brindar capacidad y desempeño requeridos tomando en cuenta cargas de trabajo normales y picos.  Horario de servicio. planeamiento y aprovisionamiento de capacidad de recursos de TI: • Modelos de estimación de cargas de trabajo • Plan de repotenciación de equipos • Presupuesto de inversiones  Encuestas de satisfacción de usuarios  Informes periódicos de cumplimiento de niveles de servicio: disponibilidad. tiempos de respuesta. etc. Un SLA típico debe contener:  Descripción de los servicios a brindar. Asignación de recursos. incluyendo fechas especiales o feriados. priorización de tareas. incluyendo recomendaciones para las corregir las excepciones detectadas.  Reportes de cumplimiento de los mismos. UPC – 2010 02 adecuadamente los 68 17 . máximo de interrupciones y máximo de duración de los eventos)  Tiempos de respuesta. UPC – 2010 02 65 Operaciones TI: Acuerdos de Niveles de Servicio UPC – 2010 02 66 Operaciones TI: Acuerdos de Niveles de Servicio Los acuerdos de niveles de servicio (SLA’s por sus siglas en inglés) permiten a la organización de TI formalizar con sus usuarios los términos de calidad y cantidad de los servicios que se prestarán.  Que los SLA’s establecidos soporten requerimientos del negocio.  Disponibilidad de servicios (porcentaje máximo de no disponibilidad.  Niveles de servicio de Help Desk  Procedimientos de contingencia.  Existencia y cumplimiento de procedimientos de pronóstico. 67 El auditor de TI debe verificar  Existencia y actualización de los SLA’s.

etc. deben protegerse adecuadamente contra daños físicos. Debe obtener evidencia de dicho cumplimiento. vulnerabilidades de seguridad en la configuración de los equipos. sea por fallas involuntarios o por acción deliberada de un saboteador.  Deben establecerse adecuados controles lógicos: cuentas de usuario.  Los firewalls deben ser periódicamente probados para detectar y corregir vulnerabilidades. controles de acceso configurados. (DMZ)  Deben existir políticas y procedimientos para establecer conectividad con redes externas a la empresa. el acceso podría ser prácticamente desde cualquier parte del mundo. El acceso físico a estos dispositivos debe estar restringido. etc. Con los accesos a Internet. • Infecciones de virus. • Pérdida de continuidad de los servicios de TI.  Herramientas de diagnóstico de redes como analizadores de protocolo deben utilizarse según se requiera. UPC – 2010 02 Controles que deben establecerse:  Toda información sensitiva en la red debe protegerse a través del uso de técnicas apropiadas. WAN y el acceso a Internet se han convertido en el ‘sistema nervioso’ de la plataforma de TI de una empresa.  Debe monitorearse la operación de las redes para detectar eventuales incidentes de seguridad. Tanto las redes LAN. etc. ataques de ‘hackers’. 71 El auditor debe verificar:  Existencia y cumplimiento de los procedimientos de control mencionados anteriormente. • Daño o pérdida de datos.Operaciones TI: Administración y monitoreo de redes y comunicaciones Operaciones TI: Administración y monitoreo de redes y comunicaciones  Prácticamente la totalidad de las organizaciones dependen para la operación de sus servicios de TI de las redes de comunicaciones.  El acceso a las redes de comunicaciones implica una serie de riesgos que las organizaciones deben manejar con los controles adecuados: • Pérdida de privacidad de información y/o uso no autorizado de sistemas. bloqueo de servicios. por accesos no autorizados a través de la red. Debe existir procedimientos de respuesta antes estos.  La configuración física y lógica de la red debe documentarse y mantenerse actualizada. UPC – 2010 02 69 Operaciones TI: Administración y monitoreo de redes y comunicaciones UPC – 2010 02 70 Operaciones TI: Administración y monitoreo de redes y comunicaciones Controles que deben establecerse:  La red interna de una organización debe estar física y lógicamente aisladas de internet y de otras conexiones por un firewall. pues los enlaces de las redes son susceptibles de interrupciones no programadas.  Los servidores accesibles desde Internet deben ser aislados de los servidores de datos. Sistemas e información confidencial son accesibles a través de las redes.  El auditor ejecuta una serie de herramienta de evaluación y prueba de los controles enunciados: configuración de los sistemas operativos.  Deben establecerse el registro automático de eventos de seguridad en los sistemas operativos de la red y su revisión regular a fin de tomar acción correctiva. UPC – 2010 02 72 18 .  Dispositivos críticos de red como routers.  Debe evaluarse el impacto y riesgos de los cambios en la red antes de realizarse.  Debe monitorearse de manera específica el trabajo de consultores y proveedores externos. switches. niveles de acceso en los sistemas operativos de la red.  Debe utilizarse un firewall para aislar la red de cualquier otra red externa y para limitar una conexión a los fines autorizados. El uso que hagan estos de herramientas especiales debe ser autorizado específicamente.

aprobaciones.  Respaldo de información: políticas documentadas de backups y reporte de control de ejecución. También para recolectar información de ubicaciones físicamente dispersas. log de eventos.  Los resultados deben interpretarse cuidadosamente para llegar a conclusiones objetivas. sus aplicaciones. presupuesto y plan de compras  Niveles de Servicio: definición y reportes de cumplimiento  Disponibilidad: cuadros de control  Mantenimiento de HW y SW: contratos con proveedores. niveles de riesgo de sus sistemas y nivel de confiabilidad de los controles existentes.  Servidores y LAN: diagramas de diseño de la red.  Ejemplos de evidencias: Entrevistas  Se utilizan para adquirir conocimiento de la organización.  Deben diseñarse cuidadosamente: preguntas. Por ejemplo.  Las preguntas deben ser concretas y motivar respuestas objetivas. Hoja de cálculo de Microsoft Excel C:\Documents and Settings\Ronald\Mis doc UPC – 2010 02 73 UPC – 2010 02 74 Recolección de evidencias Cuestionarios  Se utilizan para recabar información de hechos concretos.  Control de cambios: registros del sistema de control de cambios. En la medida que estos coincidan con los suyos propios.Ejemplos de Evidencias para auditoría Recolección de evidencias  Perfomance y rendimiento: cuadros de control. escala de respuestas. el resultado será mejor. planeamiento y organización de Sistemas Hoja de cálculo de Microsoft Excel UPC – 2010 02 75 UPC – 2010 02 76 19 . si un control existe en determinado sistema. 2: Controles de Administración. estructura y verificar su validez y confiabilidad. SI-38 Seguridad y Auditoría de Sistemas Cap.  Planeamiento de capacidad: estadísticas de transacciones. configuración de equipos de comunicaciones. configuración de servidores principales.  Su puede recopilar información cualitativa y cuantitativa  La calidad de las respuestas depende de la selección adecuada del entrevistado y de la percepción que el entrevistado tenga sobre los objetivos de la misma.  Pueden utilizarse como apoyo para una entrevista. cronograma de mantenimiento. estructura organizativa.  La entrevista requiere ser preparada con anterioridad.  Debe manejarse el nivel de stress y duración de las entrevistas.  Operaciones rutinarias: reportes de ejecución de tareas. etc. etc. conducida y registrada adecuadamente y luego procesada la información a la brevedad posible.

Ausencia de planeamiento puede exponer a la organización a limitaciones producto de esta deficiencia. de US$ 100 millones. dichos activos pueden ponerse en riesgo.  El auditor debe estar en condiciones de evaluar cuan bien la Gerencia de sistemas está ejecutando su rol en la empresa. Por ejemplo: lentitud en los sistemas por falta de capacidad en el la plataforma de hardware. Organización y Administración de TI Consideremos la siguiente situación:  Controles a aplicar sobre la función de la Gerencia de TI  Ud. sea por mal reclutamiento o supervisión puede originar mayor riesgo de errores en el manejo de los sistemas. Organización y Administración de TI UPC – 2010 02 Riesgos de un deficiente control  Una manera de que el auditor pueda evaluar el desempeño de la Gerencia de TI es considerando las funciones principales que dicha gerencia debe realizar: • Planear: determinar los objetivos de la función de TI y los medios para alcanzar dichos objetivos. La gerencia es responsable de la protección de los activos de TI.La Auditoría de Sistemas de Información Controles del Planeamiento. este soporte puede deteriorarse si las áreas de negocio consideran que Sistemas no les presta el apoyo adecuado. • Controlar: comparar el desempeño actual con el planeado.       UPC – 2010 02 78 79 El auditor debe evaluar si la Gerencia de TI ha elaborado un plan adecuado para las necesidades de la empresa. aún no conoce. operaciones a nivel nacional y con una infraestructura de tecnología variada y compleja. dirigir y comunicarse con el personal. Incremento de costos. Estructuras organizativas deficientes pueden provocar una mala provisión de los servicios de TI. de no establecer adecuados controles. acaba de ingresar a laborar a una prestigiosa firma de Auditoría y le han encargado realizar la revisión de Controles de la Gerencia de TI  La empresa a auditar es una entidad financiera local. • Liderar: motivar.y se requiere determinar las implicancias de estos cambios en los sistemas de la empresa • Las relaciones de Sistemas con las áreas de negocio pueden ser difíciles de gestionar y dada la criticidad de los sistemas para el negocio. debería considerar en su revisión?  ¿Qué evidencias debería solicitar para sustentar los controles implementados?  ¿Qué técnicas utilizaría para recabar la información que requiere para su revisión?  La complejidad de la función de la Gerencia de TI es alta y la organización requiere asegurarse que está siendo ejecutada de una manera correcta: • Evolución acelerada de la tecnología que soporta los sistemas de información (HW y SW). UPC – 2010 02 77 Controles del Planeamiento. se generan riesgos de diverso tipo: Inadecuada función de la gerencia puede ocasionar un alejamiento de los servicios de TI de los objetivos del negocio. Personal de staff deficiente. • Organizar: obtener. asignar y coordinar los recursos necesarios para lograr los objetivos. UPC – 2010 02 80 20 . Si esto no ocurre. la cual Ud. ingresos anuales aprox. a fin de determinar acciones correctiva a tomar. • El negocio requiere innovación y sistemas es siempre visto como una fuente de esta.  ¿Qué controles serían los más relevantes que Ud. a fin de proporcionar una ventaja competitiva.

dependerá del tipo de organización. cubre el corto plazo (entre 1 y 3 años) y contiene: • Reporte de avance: planes actuales en ejecución o retrasados. recursos financieros.Evaluar la función de Planeamiento Evaluar la función de Planeamiento  La Gerencia de sistemas es responsable de elaborar un plan general para la función de sistemas. recursos financieros necesarios. • Evidencia a validar: Plan Estratégico/largo plazo de Sistemas UPC – 2010 02 81 Evaluar la función de Planeamiento UPC – 2010 02 82 Consideraciones para el Planeamiento de TI  El plan operacional o táctico. futuros sistemas. recursos de personal a requerirse. cubre el largo plazo (entre 3 y 5 años) y contiene: • Evaluación de la situación actual de TI: sistemas y servicios existentes. tecnología de HW y SW disponibles. el tamaño y de la situación de la misma: empresas en un ambiente volátil y operaciones altamente dependientes de TI requerirán alta concentración en el planeamiento para mantener su posición competitiva en el mercado. plataforma de HW/SW.  Tanto el plan estratégico como el operacional deben de ser revisados y actualizados con regularidad. etc. problemática existente con la tecnología. • Desarrollo de la estrategia: definición de la visión de TI en la empresa. HW/SW a implementar.  Según sea el caso. estrategias generales internas y externas (con otras áreas).  El plan de TI debe difundirse al personal de Sistemas.  El Plan de TI debe estar alineado con las estrategias del negocio. recursos de personal que serán necesarios.  El Plan de TI debe ser aprobado por la Gerencia General  El esfuerzo desplegado en la función del planeamiento de TI. otras iniciativas de importancia. bases de datos. cambios mayores de HW/SW. • Plan de implementación: fechas propuestas para los principales proyectos. el Auditor debe prestar el debido nivel de importancia a la revisión de la función de planeamiento. • Iniciativas a desarrollar: sistemas a construir. • Dirección estratégica: futuros sistemas a proveer.  Evidencia a validar: planes de mediano plazo de sistemas UPC – 2010 02 83 UPC – 2010 02 84 21 . aproximación al control de la implementación de la estrategia. • Identificar los recursos necesarios para proveer los requerimientos de tecnología y los sistemas de información. FODA. para los cuales las tecnologías y los sistemas de información pueden aplicarse de manera eficiente. • Formular estrategias y tácticas para adquirir los recursos necesarios Deben de prepararse dos tipos de planes para la función de Sistemas:  El plan estratégico. Este plan debe cubrir tanto el largo como el corto plazo para la dirección de los sistemas de información de la empresa. procedimientos de control a aplicar. (no con los deseos del staff técnico)  TI es visto como un generador importante de gastos. Mayores inversiones/gastos en TI deben hacerse sólo cuando pueda demostrarse un sólido caso de negocios. Su alineamiento con el plan general de la organización debe también verificarse. personal. Su elaboración debe contemplar: • Reconocer oportunidades y problemas que confronta la organización. hitos de control.

• Sin embargo. revisión de antecedentes. documentación. • Término de funciones: tanto si es voluntario como no. potencial e integridad de los postulantes. debe existir un plan de capacitación. plan de capacitación. Deben hacerse de manera oportuna.Evaluar la función de Organización Evaluar la función de Organización  La función de Organización se encarga de conseguir. • Evidencia: plan de carrera de personal de Sistemas. utilizando diversas herramientas: entrevistas. asignar y estructurar los recursos para alcanzar los objetivos de la organización.  Obtención de recursos • Hardware. descentralización de la función de sistemas. deben realizarse ciertas acciones de control: desactivación de accesos. b) es complicado obtener buen personal de TI y su rotación es alta. Segundo. establecer contratos. • Evidencia: Organigrama. Los requerimientos a cumplir deben estar formalizados en las descripciones de puestos. • Evidencia: procedimientos de baja y desactivación de accesos. instalaciones. • El auditor debe evaluar dos aspectos principales: primero. etc. etc. • Evidencia a evaluar: procedimiento de reclutamiento de personal UPC – 2010 02 86 Evaluar la función de Organización  Gestión del personal de TI • Desarrollo del personal: establecimiento de la línea de carrera y entrenamiento. etc. base de datos. La ausencia de estas actividades desmotiva y origina rotación del personal. darle oportunidades de desarrollo personal e identificar debilidades/fortalezas. El entrenamiento es crítico para la efectividad de las operaciones de TI. etc. aprovisionamientos. Manual de organización y funciones. deben existir definiciones formales y claras de las responsabilidades de cada puesto. esta organización puede variar grandemente dependiendo de las particularidades de la empresa: tamaño. de salud y psicológicas. etc. comunicaciones. Los activos de TI también podrían verse expuestos. Debe evaluarse periódicamente al personal para determinar la idoneidad del mismo para ser promocionado. Los recursos para compra e implementación deben ser obtenidos oportunamente. c) uno de los mayores riesgos de seguridad de TI es el personal interno. etc. la organización de TI no será efectiva ni eficiente. • Definición de necesidades. esto originaría inevitablemente modificaciones no autorizadas de programas. etc. personal. producción de sistemas. • Reclutamiento: debe evaluarse cuidadosamente la capacidad. control de gastos. • Los recursos deben aplicarse de acuerdo a un plan que asegure su disponibilidad oportuna. • Evidencia a evaluar: presupuestos. UPC – 2010 02 85 Evaluar la función de Organización • Importante por: a) efectividad de las funciones de TI dependen principalmente de la calidad del personal. etc. el auditor lo percibirá de varias formas: proyectos atrasados o cancelados por falta de recursos humanos o de instalaciones. pruebas técnicas. instalaciones. evaluación de compras. UPC – 2010 02 88 22 . dinero. devolución de identificaciones o equipos. la definición de puestos de trabajo debe preservar en lo posible la separación de funciones. adicionalmente. Ej: un programador no puede administrar la base de datos. • Si lo anterior no se hace correctamente. software. • La organización de TI normalmente se presenta en función de las actividades desarrolladas: desarrollo de sistemas. el personal debe conocerlas y comprenderlas cabalmente. Si esto no se hace adecuadamente. justificación de las inversiones/gastos. UPC – 2010 02  Gestión del personal de TI 87  Estructura Organizativa • Comprende la definición de las unidades de servicio en las cuales se organiza la función de TI para cumplir sus objetivos y la descripción formal de roles y responsabilidades de los puestos de trabajo. baja moral del personal. problemas operativos en el día a día.

etc. UPC – 2010 02 92 23 . retail. Las principales políticas o estándares son: • Estándares de métodos: programación. etc. UPC – 2010 02 89 Evaluar la función de Control UPC – 2010 02 90 Evaluar la función de Control La Gerencia de Sistemas debe cumplir labores de control a un nivel global de la función de sistemas. etc. Ejemplo: bancos.  El auditor puede percibir problemas cuando se presenta. • Hacer coincidir estilo de liderazgo con las personas y sus funciones: dependiendo de la situación y el tipo de trabajo el tipo de liderazgo debe ser distinto. etc. Estos deben ser debidamente comunicados. • Evidencia: control de gastos. etc. UPC – 2010 02  El propósito del liderazgo es alcanzar la armonía entre los objetivos de la organización y los de las personas. etc. seguros. • Políticas de seguridad • Políticas para contratación de proveedores. Ej: empresas de manufactura. • Estándares de cumplimiento de auditorías: actividades para revisión de cumplimiento. • Control general de la función de sistemas: ¿es adecuado el nivel de gastos en Sistemas? ¿los beneficios que obtiene la organización de Sistemas corresponden a los niveles de gasto que se tienen? Para la primera pregunta se utilizan las técnicas del benchmarking con otras organizaciones de la industria. • Evidencia: documentación de los controles indicados. temas informales como el nivel de satisfacción del personal. Esto requiere: • Motivar al personal: aplicar el argumento correcto para incentivar a cada persona. El auditor puede verificar si los elementos formales como documentación. • Estándares de perfomance: tiempos de respuesta. revisados y recordados regularmente y evaluado su cumplimiento.. También influye el estilo de las personas. reuniones. alta rotación de personal. claridad y compromiso de los objetivos deben de ser evaluados en entrevistas personales. documentación. 91 • Control de las actividades de Sistemas: La Gerencia de TI toma control de las actividades de su personal estableciendo políticas y estándares.Evaluar la función de Organización Evaluar la función de Liderazgo  Ubicación de la función de Sistemas • La ubicación de Sistemas dentro de la jerarquía organizacional influye grandemente en la efectividad de sus funciones. construcción. horas de prueba. diseño. normalmente a la Gerencia Financiera. • En una organización en la cual TI es parte importante de sus todas sus operaciones. informes de evaluación de resultados. También. • El auditor debe determinar la importancia de la función de sistemas dentro de la organización y luego evaluar si su ubicación en la estructura organizacional asegura suficiente independencia y autoridad. • Comunicarse efectivamente con las personas: esencial para entender los objetivos de la organización y para crear confianza entre las personas. se hacen efectivamente. Adicionalmente. • Estándares de control de proyectos: método para gestionar los proyectos. Sistemas se independiza de las áreas usuarias y reporta directamente a la Gerencia General. fallas constantes en proyectos. se evalúan los objetivos alcanzados en base al plan estratégico y táctico. pueden realizarse evaluaciones postimplementación de proyectos importantes. • En una organización donde TI es únicamente una función de soporte operativo. En el segundo caso. comunicados. políticas. ausentismo. a fin de asegurar que esta cumpla los objetivos de la organización. sistemas reporta a un área usuaria. etc. pérdida de autoridad del supervisor.

• Costos de transferencia por los servicios prestados: se determinan costos en función al consumo de recursos de las áreas usuarias y estos se ‘cargan’ a ellas como parte de sus gastos operativos. • Evidencia: procedimientos documentados.Evaluar la función de Control • Control de la utilización de los servicios de TI: La Gerencia de TI debe desarrollar políticas y procedimientos para incentivar el uso eficiente y efectivo de los servicios de TI por las áreas usuarias. Se utilizan dos técnicas principales: • Revisión de requerimientos por un comité de usuarios y TI: se revisa conveniencia y prioridad del requerimiento. UPC – 2010 02 93 24 .

Sign up to vote on this title
UsefulNot useful