El contexto internacional: Riesgos y amenazas

SI-38 Seguridad y Auditoría de Sistemas

En las últimas décadas, una serie de grandes escándalos financieros en grandes
empresas globales, han evidenciado la fragilidad de los controles operativos y
financieros en las empresas.

Grandes empresas de auditoría internacionales se han visto envueltas por acción
u omisión en estos escándalos.

Como consecuencia, se ha reforzado a nivel internacional la exigencia de que las
empresas cumplan una serie de procedimientos y prácticas de control, a fin de
garantizar la transparencia y veracidad de sus operaciones y manejo financiero.
Ej: Sarbanes-Oxley Act (USA, 2002).

El soporte de tecnología es clave para las operaciones y manejo financiero de las
empresas, la exigencia regulatoria sobre los controles de TI se ha incrementado
grandemente: COSO, COBIT, etc.

En Perú la SBS ha establecido normativa para el control del riesgo operativo y de
TI en las empresas financieras

Cap. 1: El Proceso de Auditoría de Sistemas de Información

UPC – 2010 02

1

UPC – 2010 02

2

El Capital de Información

El contexto internacional: Riesgos y amenazas
• Atentado contra el World Trade Center, Washington (11/09/01): 8,000
servidores Intel, 5,000 servidores UNIX, 34,000 PC’s, US$ 32 billones
para recuperar equipos y sistemas, 3500 víctimas y destrucción de
sedes corporativas de diversas empresas globales.
• En 1998 se produjo una interrupción de servicios de comunicaciones de
AT&T por fallas en un switch (software y procedimientos). Por 18 horas,
a nivel mundial, usuarios de tarjetas de crédito no pudieron usarlas.

Infraestructura
Tecnológica

Bases de datos

• Terremoto de Kobe, Japón (17/01/95): duró 20 seg., intensidad de 6.8
Richter. 40,000 victimas, 148 incendios y 6.513 edificios destruidos.
Sistemas de
Información

• Empresa de Telecomunicaciones: Incendio daña instalaciones del
centro de cómputo, el cual es inundado por la acción de los bomberos.
Varios sistemas críticos quedan fuera de servicio por tres días.
• Empresa de Cosméticos: Por cercanía de su local a la Embajada de
Japón, el centro de cómputo queda inutilizable por 23 días. (11/12/96)

El capital de información junto con los demás activos intangibles influyen en el
desempeño de la empresa al mejorar los procesos internos más importantes en la
creación de valor para clientes y accionistas
Kaplan y Norton, Strategic Maps - 2004
UPC – 2010 02

3

UPC – 2010 02

4

1

La necesidad de la Auditoría y el control interno en las empresas

Principales Amenazas al Capital de Información

• ¿Cómo debe enfrentar una empresa estos
riesgos?

Amenzas de
origen social

• Divulgación no autorizada
de información confidencial
• Alteración no autorizada de
información.

• Con un proceso sólido de Gestión de Riesgos

• Accesos por proveedores
• Fraudes por empleados
• Espionaje por competidores

Bases de datos

Infraestructura
Tecnológica

• Violación de derechos de
propiedad
• Gestión deficiente de la
tecnología

Amenazas de
origen tecnológico

• Inoperatividad de tecnología
•Virus, worms, spyware
• Ataques de hackers.
• Saturación de servicios
• Spam

Sistemas de
Información

• Con un sistema de Control Interno eficiente
• Con la ejecución de auditorías eficaces

Amenazas de
origen natural

UPC – 2010 02

• Terremotos
• Inundaciones
• Incendios

5

Estrategia de mejora continua de la calidad en cuatro pasos

Auditoría es la actividad consistente en la emisión de una opinión
profesional sobre si el objeto sometido a análisis presenta adecuadamente
la realidad que pretende reflejar y/o cumple las condiciones que le han sido
prescritas.

Nivel de Madurez

Calidad:
Continuo control de la calidad y consolidación

A

Alineación
del Negocio TI

C

P
D

Mejoras
de calidad
efectivas

Plan: Plan de Proyecto
Do: Proyecto (Hacer)
Check: Auditoria
Act: Nuevas Acciones

Consolidación del nivel conseguido

6

Definición de Auditoría

Modelo de Mejoramiento Continuo de la Calidad de Deming (PDCA)

Mejoras continuas
paso a paso

UPC – 2010 02

Auditoria de
Sistemas /
Control Interno

Contenido

Una opinión

Condición

Profesional

Justificación

Sustentada en determinados procedimientos

Objeto

Determinada información obtenida de ciertas fuentes

Finalidad

Determinar si representa adecuadamente la realidad o responde a las
expectativas que le son atribuídas, es decir, su fiabilidad

Escala de Tiempo
UPC – 2010 02

7

UPC – 2010 02

8

2

UPC – 2010 02 UPC – 2010 02 11 Consultoría es dar asesoramiento o consejo sobre lo que se ha de hacer o cómo llevar adecuadamente una determinada actividad para obtener los fines deseados. Como justificación y soporte del trabajo y de la opinión emitida. una auditoría debe cumplir:  El trabajo debe ser planificado y supervisado adecuadamente  Se estudiará y evaluará el sistema de control interno  Se obtendrá evidencia suficiente y adecuada  La evidencia debe colectarse en los documentos de trabajo del auditor. Exigencia de entidades reguladoras y financieras. Debe verificar que los EE.Clases de Auditoría Clases de Auditoría Algunos ejemplos: El objeto y la finalidad de una auditoría definen su tipo. recursos informáticos. luego de un cambio de los Directivos.FF. planes de contingencia. Operatividad eficiente y según normas establecidas Gestión Opinión Dirección Eficacia. estándares de gestión de la seguridad de información (ISO 27000) El sector Financiero ha sido el principal usuario de los procedimientos de auditoría UPC – 2010 02 9 Procedimientos de Auditoría 10 Definición de Consultoría • La opinión expresada en una auditoría se fundamenta en el cumplimiento de procedimientos específicos que deben proporcionar una seguridad razonable de lo que se afirma • Existen auditorías altamente reglamentadas (las financieras) donde es obligatorio aplicar Normas Técnicas y procedimientos detallados. estándares de gestión ambiental (ISO 14000). eficiencia. muestren la realidad de la empresa Informática o de Sistemas Auditoría de controles de sistemas. • En general. los principales son: Clase Clase Contenido Objeto Finalidad Financiera Opinión Cuentas anuales Presentan realidad Informática o de Sistemas Opinión Sistemas de información. Contenido Dar asesoramiento o consejo Condición De carácter especializado Justificación En base a un exámen o análisis Objeto La actividad o cuestión sometida a consideración Finalidad Establecer la manera de llevarla a cabo adecuadamente UPC – 2010 02 12 3 . Cumplimiento Opinión Normas establecidas Las operaciones se adecúan a estas normas Ejemplo Financiera Auditoría de Estados Financieros de las empresas. requerida por las Auditorías Financieras y entidades reguladoras Gestión Auditoría de las gestión de una entidad pública o privada. etc. Cumplimiento Cumplimiento de estándares de gestión de la calidad (ISO 9000).

Factores que influencian hacia el control y auditoría del uso de las computadoras Costos por pérdida de datos Costos por Costos por mala toma de mal uso de decisiones tecnología Valor de hardware. incremento de costos o pérdida de ingresos. • La información debe ser preservada de cualquier mal uso que afecte su integridad. uso indebido de activos. todos los activos tecnológicos son los recursos o activos más importantes de una empresa. Mala toma de decisiones La información se utiliza para la toma de decisiones. pueden originar pérdidas importantes a las organizaciones: destrucción o robo de activos o información. • La información procesada es utilizada para tomar decisiones operativas. etc. privacidad o disponibilidad. también puede originar pérdidas por denuncias de clientes afectados. Dependiendo de si las decisiones son estratégicas. cuentas por pagar. el impacto de la calidad de los datos y la información provista por los sistemas puede ser de mayor o menor impacto. hacking. UPC – 2010 02 • Hoy día. Errores en procesamiento de la información El mal funcionamiento de los sistemas puede originar fallas en los procesos productivos. etc. pérdida de confidencialidad o privacidad. Uso indebido de la tecnología Virus. es indispensable en las empresas. pérdida de privacidad. interrupción de operaciones. • La información y. etc. táctica u operativas. 13 Necesidad de la Auditoría de Sistemas UPC – 2010 02 Necesidad de la Auditoría de Sistemas Pérdida de datos Daño o pérdida de información: archivos de cuentas por cobrar. merma de la calidad. Su daño o robo puede originar una pérdida económica importante. acceso físico ilegal. pérdida de ingresos. Confidencialidad y privacidad La liberación de información confidencial puede originar importantes pérdidas económicas y ventaja frente a la competencia. • El alto desarrollo tecnológico y la intensa competencia entre las empresas las hace cada vez más dependientes de los sistemas. tácticas y estratégicas. Protección de la inversión en tecnología y personal Los montos invertidos en hardware y software son importantes. interrupción de operaciones. abuso de privilegios de acceso a sistemas. etc. accidentes.La Auditoría de Sistemas Necesidad de la Auditoría de Sistemas • ¿Y la auditoría de Sistemas?. en general. software y personal Costos por mal Privacidad de la procesamiento de información información ORGANIZACIONES Auditoría y control de sistemas de Información UPC – 2010 02 14 15 UPC – 2010 02 16 4 . daño físico del personal. etc. pérdida de confidencialidad. el procesamiento automatizado de la información a través de las computadoras. alteración indebida de datos. etc. • Las fallas o el mal uso de los sistemas puede afectar grandemente a la sociedad (empresas y personas): mala asignación de recursos. fraudes.

costosos. guías y procedimientos que deben seguirse para realizar auditorías de sistemas. etc. instalaciones. personas (conocimiento).  Information System Audit and Control Asociation (ISACA) es una asociación internacional de profesionales relacionados a las tareas de auditoría de TI. Integridad de datos Mantener atributos de los datos: deben ser completos. Tiene más de 50. veraces. operación del sistema.Definición de Auditoría de Sistemas o Auditoría Informática Objetivos de la Auditoría de Sistemas  Es el proceso de recolectar. robo. cuando un conjunto de profesionales reconoció que debido a la criticidad de la función de auditoría de sistemas en las organizaciones requería una fuente centralizada de información. Eficiencia de Sistemas Un sistema eficiente utiliza la menor cantidad posible de recursos para alcanzar sus objetivos: capacidad de procesamiento.  Se fundó en 1967. software de base.  El auditor informático es responsable de revisar e informar a la Dirección de la organización sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada. Riesgos: sistemas incompletos.  La auditoría de sistemas cumple dos clases de objetivos principales:  Objetivos de protección de activos e integridad de datos  Objetivos de gestión: eficacia y eficiencia en el cumplimiento de metas empresariales Auditoría de sistemas de Información Protección de activos Hardware. Riesgos: incertidumbre sobre las operaciones de la empresa. utiliza eficientemente los recursos de la organización y contribuye eficazmente a los objetivos de la organización. dispositivos de entrada/salida.  ISACA provee una serie de estándares. no funcionales. software. desarrollando y aplicando técnicas de auditoría. documentación de sistemas. Riesgos: daños físico. etc.  El Informe de Auditoría es el documento formal donde se comunican los resultados de una auditoría informática. mantiene la integridad de los datos. ORGANIZACIONES Protección de activos Asegurar integridad de datos Mejorar efectividad de sistemas Mejorar eficiencia de sistemas UPC – 2010 02 17 Definición de Auditoría de Sistemas o Auditoría Informática UPC – 2010 02 18 ISACA  El auditor informático evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informáticos existentes. uso indebido.000 miembros en 140 países. formularios oficiales.  ISACA provee dos certificaciones internacionales a los profesionales que cumplen los requisitos que establece: • CISA: Certified Information Systems Auditor • CISM: Certified Information Security Manager UPC – 2010 02 19 UPC – 2010 02 20 5 . confiables. guías de trabajo y estándares. pérdida de competitividad Efectividad de sistemas Los sistemas deben cumplir/atender los objetivos/necesidades para los que fueron implementados. complicados. agrupar y evaluar evidencias para determinar si un sistema informático salvaguarda los activos de cómputo. archivos de datos. suministros. incluyendo de ser necesario el uso de software especializado.

etc. Riesgo es el impacto neto proveniente de una vulnerabilidad. deben identificar lo antes posible la ocurrencia de un hecho indebido. en caso que los controles preventivos fallen. Ej: registro de intentos de acceso fallidos para un sistema. un plan de contingencia.Riesgos de Tecnología Amenzas de origen social • Divulgación no autorizada de información confidencial • Alteración no autorizada de información. Infraestructura Tecnológica • Accesos por proveedores Bases de datos Amenazas de origen tecnológico • Fraudes por empleados • Espionaje por competidores SI-38 Seguridad y Auditoría de Sistemas • Violación de derechos de propiedad Cap. Control es un sistema (políticas. software y personal UPC – 2010 02 Costos por mal Privacidad de la procesamiento de información información • Preventivos. worms. spyware • Ataques de hackers. Ej: recuperar datos desde una copia de seguridad (backup). Riesgo = Probabilidad x Impacto UPC – 2010 02 21 Costos por pérdida de datos Costos por Costos por mala toma de mal uso de decisiones tecnología 22 Tipos de Controles Riesgos y Controles de Tecnología Valor de hardware. Ej: el uso de contraseñas para acceder a un sistema. ocurrida una incidencia deben reducir el impacto de la misma y facilitar la vuelta a la normalidad. procedimientos. ORGANIZACIONES • Correctivos. • Detectivos. Auditoría y control de sistemas de Información Los Riesgos se manejan estableciendo Controles. 1: El Proceso de Auditoría de Sistemas de Información Sistemas de Información • Sabotaje / Terrorismo Amenazas de origen natural • Terremotos • Inundaciones • Incendios • Inoperatividad de tecnología •Virus. UPC – 2010 02 23 UPC – 2010 02 24 6 . considerando tanto su probabilidad de ocurrencia como el impacto que ocasionaría en caso de materializarse. diseñados para prevenir que ocurra un error. prácticas y estructuras organizacionales) diseñados para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos. omisión o práctica maliciosa. • Saturación de servicios • Spam Vulnerabilidad: exposición a una situación adversa que podría ser explotada intencional o accidentalmente y afectar negativamente el cumplimiento de los objetivos de la organización.

UPC – 2010 02 26 27       Organización y administración. implementación. Controles de aplicación: Se requieren para asegurar un procesamiento confiable de la información y se aplican sobre transacciones individuales.  Controles sobre uso de computadoras por usuarios finales. los controles generales de IT permiten que se provea una infraestructura estable en la cual los sistemas de información puedan construirse. incluyendo programadores. Controles sobre personal de sistemas. analistas y Operaciones y Soporte de TI. UPC – 2010 02 Controles Generales de IT Un sistema de control interno debe considerar las siguientes categorías: Incluyen los siguientes: Controles Generales de IT: Se ejecutan para asegurar que el desarrollo. operarse y modificarse de acuerdo a las necesidades diarias y de acuerdo a los procedimientos establecidos.  Procedimientos de Autorización: que aseguren los debidos niveles de aprobación y su registro adecuado.El Sistema de Control Interno El Sistema de Control Interno Las organizaciones deben tener un Sistema de Control Interno que asegure que sus controles sean los adecuados y funcionen correctamente. Incluye los controles que permitirán al staff de TI recibir y controlar el flujo de información de negocio. UPC – 2010 02 28 7 . Segregación de actividades. UPC – 2010 02 25 Controles de IT: Generales y de Aplicación Un sistema de control interno debe considerar las siguientes categorías:  Segregación de actividades: una transacción debe pasar por varias etapas a cargo de personas distintas. valores éticos.  Controles sobre disponibilidad y continuidad de sistemas. Cubre la evaluación de amenazas. cultura y estructura de Recursos Humanos. autorizadas y se registren apropiadamente.  Registro de actividades: protección y almacenamiento de documentos. operación y mantenimiento de los sistemas de información se hace de una manera planeada y controlada. pistas de auditoría. (también proveedores externos). Por ejemplo el plan de continuidad de negocios. Controles físicos: accesos y ambientales.  Adecuada supervisión: seguimiento cercano del supervisor para disuadir o detectar actos indebidos.  Revisiones independientes de resultados.  Control físico sobre activos y registros: mecanismos apropiados para evitar accesos no autorizados. incluyendo pólíticas y estándares. En otras palabras. Los componentes son: Monitoring Control activities Information & communication Risk assessment Control environment Seguimiento contínuo para asegurar que las políticas y procedimientos funcionan apropiadamente Son los controles que permitirán asegurar que las operaciones del negocio están funcionando de acuerdo a los objetivos de la organización. vulnerabilidades e impacto de las mismas. etc. Control de accesos lógicos: cuentas de usuario y contraseñas Desarrollo de sistemas y cambios a programas. Estos controles aseguran que las transacciones sean válidas.  Responsabilidad y delegación de autoridad  Personal: competente y confiable. para fijar eficientemente dónde deberían establecerse los controles Fijan parámetros generales para los controles: políticas empresariales de alto nivel.

Controles de Aplicación Controles de IT: ‘ Onion Model’ Dado que se aplican sobre transacciones individuales. vetting and training •Network Access Controls •Operating system controls •APPLICATION CONTROLS •INPUT PROCESS OUTPUT •Audit Trails UPC – 2010 02 29 La Auditoría y los Controles de IT UPC – 2010 02 •Standing Data 30 El Proceso de Auditoría • La función de la auditoría es determinar si existen los controles para evitar eventos no deseados en los sistemas de TI y si estos controles trabajan adecuadamente. • Eventualmente pueden existir eventos no deseados que no tengan un control establecido. Esto sólo debe ocurrir cuando no sea posible implementar un control efectivo en términos de costo-beneficio. •Physical and environmental controls •System Security and Internal Audit •Staff selection. UPC – 2010 02 31 UPC – 2010 02 32 8 . incluyen:     Controles sobre Controles sobre Controles sobre Controles sobre •The IT controls framework las entradas de transacciones el procesamiento de transacciones. la salida de transacciones datos y archivos maestros.

UPC – 2010 02 33 Planeamiento de la Auditoría  Fuentes de información: • informe y papeles de trabajo de auditorías anteriores • observación de las instalaciones • entrevistas con personal de TI • documentos del cliente (plan estratégico de TI. • por solicitud expresa del cliente • cuando existe considerable desarrollo interno de sistemas • en caso de existir planes de cambios importantes en infraestructura o aplicativos. seguridad.  Realidad del cliente: • organización y operaciones del negocio • hardware utilizado (servidores. que contiene: • referencias del cliente y sus necesidades. plan del negocio. Temas a considerar son:  Necesidades del cliente para la auditoría: • soporte a una auditoría financiera • evaluación de controles TI • necesidades regulatorias.Planeamiento de la Auditoría Planeamiento de la Auditoría El objetivo de esta etapa es tomar conocimiento del cliente y de sus sistemas de control interno. etc.). nivel de experiencia y disponibilidad del mismo. BD’s. redes. etc. en función a su contribución al negocio. equipamiento. • los objetivos de la auditoría • áreas críticas del negocio identificadas con el cliente • debilidades conocidas en los controles internos  Elaboración de un Plan de Auditoría. seguridad de información. tamaño y complejidad de la plataforma tecnológica. PC’s.)  Necesidad de otros especialistas como ayuda a la auditoría: • en caso de riesgos significativos detectados (sistemas. etc. • disponibilidad del personal del cliente • otros recursos: equipamiento. documentación de sistemas. procedimientos.) • software de sistemas (sistemas operativos. • alcance y objetivos de la auditoría a realizar • áreas críticas a examinar • recursos necesarios • Cronograma  Determinación de recursos necesarios: • cantidad de personal requerido.) • principales sistemas de información • personal de contacto en TI y en áreas usuarias • problemas del cliente con sus aplicativos • cambios planeados en aplicativos o tecnología. etc. manuales. dinero para traslados/alojamiento. software especializado. etc. etc. redes. UPC – 2010 02 34 Planeamiento de la Auditoría  Determinar alcance y tiempo de los procedimientos de auditoría: • qué aplicativos se revisarán y qué tiempo será necesario. UPC – 2010 02 35 UPC – 2010 02 36 9 .

hacer seguimiento de transacciones durante el ciclo de negocio. el auditor elegiría un conjunto de transacciones críticas y verificaría sus tiempos de respuesta para asegurarse que están en los niveles aceptables. • Pruebas sustantivas. Buscan confirmar los resultados esperados del control. Buscan determinar si el control existe en la práctica y opera efectivamente durante el periodo objeto de la auditoría.Evaluar Controles Internos El Proceso de Auditoría THE AUDIT PROCESS Una vez que el auditor ha logrado un adecuado entendimiento de los controles internos del cliente. utilizando técnicas de muestreo para identificar transacciones significativas. debe decidir la manera como debe realizar los siguientes pasos de la auditoría: PLANNING EVALUATION OF INTERNAL CONTROLS • Si considera que el riesgo de los controles vigente es inferior al máximo aceptable. etc. No: No reliance on controls Yes : Perform compliance tests of controls • Si considera que el riesgo de los controles supera el máximo aceptable. uso de herramientas de SW especializadas. Por ejemplo. Se asume que si los controles operan efectivamente. Substantive testing Review and evalaute Report UPC – 2010 02 37 Tipos de Pruebas de Auditoría UPC – 2010 02 38 Obtener evidencia de Auditoría (Pruebas de Cumplimiento) Para obtener las evidencias de la auditoría se pueden ejecutar: • Pruebas de cumplimiento. En el ejemplo anterior. debe identificar los controles que justifican esto y evaluar si estos funcionan adecuadamente.  En caso de que el auditor haya determinado realizar pruebas de cumplimiento. En estos casos se decide por realizar pruebas sustantivas. el auditor no verifica los controles pues supone que es probable que estos no sean efectivos y por lo tanto su prueba no sería confiable para realizar una auditoría eficiente. estas se realizan con el objetivo de confirmar que los controles sean realmente efectivos. para verificar los controles de tiempos de respuesta para un sistema crítico. UPC – 2010 02 39 UPC – 2010 02 40 10 . el auditor puede entrevistar al Jefe de Producción de Sistemas para determinar si se revisan los tiempos de respuesta con regularidad y qué acciones se toman cuando estos no son aceptables. reproducir resultados para verificar cálculos correctos.  Puede ser necesario realizar muestreo de transacciones. Este tipo de pruebas también buscan disminuir los costos de la auditoría. será menor el esfuerzo posterior en hacer pruebas sustantivas para alcanzar un juicio de auditoría. Se requiere realizar un muestreo para determinar el alcance de la prueba.

Se valida que cumpla con los estándares de documentación. • Tercer borrador: el auditor entrega el borrador final en el cual el cliente debe responder las observaciones presentadas. • Opinión adversa: cuando el auditor considera que existen pérdidas o problemas materiales detectados en la auditoría. • Indicación de las observaciones incluídas en el informe detallado. UPC – 2010 02 41 Elaborar Informe y Presentación de Resultados  El auditor debe evaluar los hallazgos hechos en las pruebas realizadas y emitir una opinión. • Comentarios del cliente: el cliente envía eventuales comentarios al borrador formal recibido. • Opinión favorable: cuando el auditor considera que no se han presentado pérdidas o problemas en los controles revisados. Normalmente. Esto puede implicar tanto. Se precisa el contenido del informe. posibles omisiones o errores. • Opinión calificada: cuando el auditor considera que se han presentado pérdidas o problemas. disminuir las pruebas sustantivas a realizar posteriormente (en caso los controles hayan sido eficientes) o incrementarlas en caso contrario. pero estos no se consideran materiales. se corrigen posibles errores y aclaran temas necesarios.  La carta de presentación.  Los posible juicios a emitir son: • Abstenerse de opinión: cuando las verificaciones realizadas no le permiten emitir una opinión. etc.  Una vez realizadas estas pruebas el auditor debe confirmar o revisar su evaluación inicial del riesgo de los controles. • Propósito de la auditoría y eventuales salvedades (disclaimers) • Qué sistemas fueron revisados • Contenido del informe detallado • Con quién se revisó el informe • Opinión de la auditoría realizada.  Revisión Interna: el auditor envía el informe para su validación por colegas o por su Supervisor. UPC – 2010 02 43 UPC – 2010 02 44 11 . • Agradecimiento a la empresa.Obtener evidencia de Auditoría (Pruebas Sustantivas) Revisión y evaluación de Resultados  Se ejecutan para evaluar si errores o mal procesamiento de las transacciones ha tenido un impacto significativo (materialidad) en las operaciones o los estados financieros. • Segundo borrador: primer informe formal para el cliente. UPC – 2010 02 42 Emisión del Informe de Auditoría Se siguen los siguientes pasos: El informe debe contener  Revisión de reportes preliminares • Primer borrador: para discusión con el cliente. se discute los hallazgos con colegas. el auditor se apoya en colegas o supervisores para completar su opinión.

 La empresa a auditar es una entidad financiera local. • Detalle de los hallazgos u observaciones encontrados por el auditor. UPC – 2010 02 48 12 . • Buenas prácticas de control y consideraciones sobre el riesgo de negocio asociado con las deficiencias de los controles. etc. se ejecuten puntualmente. transferencias de información. pues su correcto funcionamiento está debidamente soportado en el desempeño de los roles ya establecidos. Es importante que lo reportado sea la debilidad o problema raíz detectado. La ejecución apropiada de estas funciones permite asegurar al usuario de TI que sus sistemas de información estén disponibles en los horarios acordados. el auditor debe encontrar que las Operaciones de TI sean transparentes a los usuarios.  ¿Qué controles serían los más relevantes que Ud.  En resumen. UPC – 2010 02 45 Infraestructura Técnica y Operaciones de TI Cap. de US$ 100 millones. Deben ser recomendaciones factibles y eficientes. debería considerar en su revisión?  ¿Qué evidencias debería solicitar para sustentar los controles implementados?  ¿Qué técnicas utilizaría para recabar la información que requiere para su revisión? UPC – 2010 02 SI-38 Seguridad y Auditoría de Sistemas 47  El término Operaciones de TI se refiere a los aspectos logísticos y de infraestructura del hardware y software. la cual Ud. si la Gerencia ha considerado necesario hacerlas a las observaciones de auditoría. 3: Infraestructura Técnica y Prácticas Operativas UPC – 2010 02 46 Infraestructura Técnica y Operaciones de TI Consideremos la siguiente situación:  Ud. • Comentarios de la Gerencia. que operen de acuerdo a lo esperado y que los resultados de su procesamiento como reportes. las que al ser implementadas reducirían los riesgos. ingresos anuales aprox. acaba de ingresar a laborar a una prestigiosa firma de Auditoría y le han encargado realizar la revisión de Controles de la Infraestructura Técnica y Operaciones de TI. actualización de datos.  En una organización de TI que funcione adecuadamente.Emisión del Informe de Auditoría El informe debe contener  El informe detallado. el usuario se libera de las preocupaciones técnicas de los sistemas que utiliza y puede concentrarse en su debida utilización para los fines del negocio. operaciones a nivel nacional y con una infraestructura de tecnología variada y compleja. aún no conoce. • Recomendaciones. incluyendo el riesgo asociado a los mismos.

SQL Server. backups.Infraestructura Técnica de TI Procesamiento Minicomputadoras / Mainframes Servidores Intel: de torre. • Administración de Base de Datos: soporte y administración de la Base de datos de la empresa • Control de Cambios: administración y ejecución de las políticas y procedimientos de control de cambios. AIX. etc. Administración de capacidad Monitoreo del rendimiento Administración y monitoreo de redes y comunicaciones. mal ingreso de parámetros. por fallas o retrasos en la solución de problemas.  Pérdida de información por mala ejecución de backups. por inadecuado planeamiento de capacidad. etc. malos tiempos de respuesta. • Operaciones rutinarias de TI: encendido y apagado de equipos. deberían existir las siguientes funciones. realizadas por distinto personal: • Desarrollo y mantenimiento de aplicaciones: análisis.  Elevados tiempos de no disponibilidad de sistemas. Base de datos: Oracle. 51 UPC – 2010 02 52 13 . Administración de procesos y tareas Encendido. Correo electrónico: Exchange. etc.  Deficiente capacidad de procesamiento en la infraestructura. supervisión del centro de cómputo. telefonía fija y celular Computo Personal Software de Base PC’s Notebooks PDA’s Impresoras personales y departamentales Sistemas Operativos: Windows 2003 Server. WAN: routers Centrales telefónicas Servicios: carriers para enlaces WAN e Internet.  Pérdida o daño de datos debido a incorrecto o no autorizado uso de software de sistemas. Control de Cambios UPC – 2010 02 UPC – 2010 02 Organización para las Operaciones de TI Funciones incluídas en las Operaciones de TI:             Funcionamiento incorrecto de aplicaciones: operación errada. Servidores de aplicaciones. DB2. Administración de problemas. incluyendo equipamiento y software. Linux. blades Almacenamiento SAN NAS Unidades externas de disco Almacenamiento interno Seguridad Firewalls IDS’s VPN’s Tokens Unidades de respaldo de datos Antivirus SW de backup Filtros de contenido Antispam     Riesgos de un deficiente control de las Operaciones de TI Comunicaciones LAN: switches de core y de piso.  Retraso o interrupciones en el procesamiento de información. diseño y construcción de sistemas de información • Soporte de Sistemas: administración y soporte técnico del hardware y software de base. Sybase. Notes. • Seguridad de Sistemas: administrar controles de seguridad. se afecta su productividad al no resolver oportunamente sus problemas. ejecución de tareas programadas.  Problemas con usuarios finales por deficiente labor de help desk. de rack. Servidores Web UPC – 2010 02 49 Infraestructura Técnica y Operaciones de TI 50  En una organización de sistemas mediana o grande. versiones incorrectas. gestión de permisos de acceso a aplicativos. tanto de aplicaciones como de HW y SW base. apagado y monitoreo de funcionamiento de equipos Seguridad física de instalaciones Help Desk y Administración de Problemas Mantenimiento de HW y SW Administración de medios de almacenamiento Respaldo de información y recuperación de desastres.

Operaciones TI: Administración de Procesos y Tareas programadas Como parte de las Operaciones de TI se realizan una serie de actividades rutinarias pero indispensables para su adecuado funcionamiento:  Ejecución programada de tareas o procesos requeridos por usuarios: generación de reportes. reportes. etc. con tiempos de respuesta comprometidos o a solicitud. estas actividades puede ser realizadas por personal a dedicación exclusiva o como parte de otras actividades.  Existencia de cronograma de mantenimiento preventivo de equipos y nivel de cumplimiento del mismo.. lo siguiente:  Que los procedimientos de Operación estén documentados.  Que exista una bitácora de Operación: incidencias. UPC – 2010 02 53 Operaciones TI: Mantenimiento de Hardware y Software El auditor de TI debe verificar.  Contratos deben especificar niveles de servicio comprometidos y penalidades ante incumplimientos del proveedor.  Encendido y apagado de equipos: según se requiera por el personal autorizado  Ejecución y verificación de procesos de respaldo o recuperación de información. actualización de versiones.  Que existan procedimientos documentados para el manejo de errores. a fin de poder reconstruir cualquier evento. actualización de versiones UPC – 2010 02 56 14 . las empresas toman contratos con proveedores para manejar estas necesidades:  Contrato de mantenimiento de HW: con o sin cobertura de repuestos.  Que se documenten los resultados de procesos realizados. etc. preventivos y/o correctivos. problemas.  Supervisión de instalaciones y seguridad del centro de cómputo Dependiendo de la magnitud de las operaciones de TI en la empresa.  Que los niveles de acceso a los sistemas sean los apropiados para las funciones del Operador. envío de información a terceros.  Que exista una programación autorizada y documentada de los trabajos a realizar. actualización de firmware. entre otros.  Procedimientos de corrección de versiones de SW de sistemas. corrección de fallas de HW y reemplazo de componentes defectuosos. Normalmente. actualización de datos. UPC – 2010 02 54 Operaciones TI: Mantenimiento de Hardware y Software Tanto el equipamiento de hardware como el software de base utilizado requieren de procedimientos de mantenimiento preventivo y correctivo para asegurar su adecuado mantenimiento:  Hardware: revisión y limpieza de componentes. aplicación de parches. determinación y corrección de fallas.  Contratos de mantenimiento de SW: actualización de versiones. soporte ante problemas.  Que se realicen procedimientos de verificación de la continuidad del procesamiento y controles de cambo de turnos de operación. UPC – 2010 02 Operaciones TI: Administración de Procesos y Tareas programadas 55 El auditor de TI debe verificar:  Existencia de contratos de mantenimiento para equipos y servicios críticos. etc. actualizados y debidamente probados por los ejecutantes: manuales e instrucciones.  Software: aplicación de parches. incluyendo el VoBo del Operador y Supervisor respectivo.

Lugar donde se conservarán las copias generadas.  Que se ejecuten pruebas y verificaciones de procedimientos de respaldo y recuperación de copias de seguridad. El auditor de TI debe verificar:  Existencia y operación de una mesa de servicio o unidad equivalente.  Procedimientos de cierre de incidentes y verificación de conformidad. Periodos de retención (antiguedad) de copias. que haga las veces de punto único de contacto con el usuario de TI para el registro y seguimiento de incidentes o solicitudes de servicio. (a revisar en capítulo posterior del curso) UPC – 2010 02 57 Operaciones TI: Help Desk y Administración de Problemas  La existencia y nivel de actualización de políticas de respaldo de información. Es la función más visible del área de TI y es estratégicamente importante como imagen de servicio al cliente. Procedimientos de verificación y recuperación de la información.  Ejecución de procedimientos de acceso y disposición de las copias de respaldo. Aspectos a considerar:        Clasificación por criticidad: de datos y de software base de sistemas.  Procedimientos de escalamiento de incidentes para aquellos que no se puedan resolver de manera inmediata. reduce costos y mejora la satisfacción del usuario El auditor de TI debe verificar:  Procedimiento de identificación y clasificación de problemas  Procedimiento de seguimiento y solución de problemas  Procedimientos de cierre de problemas.  Estadísticas de cumplimiento de niveles de servicio UPC – 2010 02 60 15 .Operaciones TI: Respaldo de Información y Recuperación ante Desastres Operaciones TI: Respaldo de Información y Recuperación ante Desastres Copias de seguridad de datos y software disponible deben ejecutarse regularmente por el personal de Operación de Sistemas. UPC – 2010 02 El auditor de TI debe verificar: 59 Un efectivo proceso de administración de problemas mejora los niveles de servicio.  Niveles de servicio acordados con el usuario para la priorización y atención de eventos y mediciones de calidad del servicio. El control siempre debe mantenerlo el Service Desk.  Análisis de tendencias para realizar soporte preventivo y mejorar procesos. en ambientes seguros y con instalaciones apropiadas.  Ejecución de procedimientos de control y descarte de los medios magnéticos. Procedimientos de recuperación de desastes. Medios de almacenamiento a utilizar. UPC – 2010 02 58 Operaciones TI: Help Desk y Administración de Problemas El servicio del Help Desk/Service Desk es el vínculo más directo entre los usuarios con problemas de IT y el área de Sistemas.  Adecuado lugar de almacenamiento de las copias de seguridad: fuera del datacenter. Frecuencia de generación de las copias.

Asegura que los recursos de TI que soportan los requerimientos del negocio estén disponibles de manera oportuna y continua. cambios en requerimientos del usuario. (aplicativo)  Evidencia de procedimientos de validación del cambio en ambientes de prueba.  Procedimiento para cambios de emergencia. priorización y autorización por el respectivo responsable. UPC – 2010 02 64 16 .  Medición regular de capacidad y desempeño actual.  Evidencia de la evaluación del impacto del cambio por los respectivos responsables. basadas en los requerimientos de carga de trabajo. (usuarios o de TI)  Conservación adecuada de los registros de los cambios. Esto incluye el pronóstico de las necesidades futuras. deben administrarse formal y controladamente. actualización de versiones. incremento de capacidad.  Procedimientos para cambios de emergencia. a fin de cumplir los niveles de servicio acordados.  Cumplimiento de procedimientos de control de cambios.  Evidencia de las autorizaciones correspondientes de los responsables o propietarios de los activos de TI a ser modificados. procedimientos.  Evaluación de impacto.  Seguimiento y reporte de estado del cambio. parámetros de servicio y plataforma de hardware y software de sistemas. UPC – 2010 02 61 Operaciones TI: Control de Cambios UPC – 2010 02 62 Operaciones TI: Administración del Rendimiento y Capacidad El auditor de TI debe verificar:  Existencia y actualización de procedimientos de control de cambios. previos a la ejecución del cambio.  Pronostico de capacidad y desempeño futuros: a intervalos regulares. solución de problemas.  Elaboración de planes de reversión (para aplicar en caso de problemas con el cambio). tanto de hardware. Debe contemplarse:  Planeación del desempeño y capacidad: actividades de revisión a fin de asegurar la disponibilidad. incrementar eficiencia de operaciones de TI. a fin de minimizar interrupciones del servicio por falta de capacidad o degradación del desempeño.  Todos los cambios.  Cierre y documentación del cambio 63 Debe revisarse regularmente el desempeño actual y la capacidad de los recursos de TI. Uso de técnicas de modelado.  Un adecuado proceso de control de cambios reduce el riesgo de impactos negativos sobre la estabilidad o integridad de los ambientes de producción. software de sistemas o aplicativos. procesos. con costos justificables. UPC – 2010 02 El proceso de Control de Cambios debe contemplar:  Procedimientos formales para manejar todas las solicitudes de cambios a aplicaciones.Operaciones TI: Control de Cambios Operaciones TI: Control de Cambios  Los cambios se hacen con el fin de: mejorar funcionalidad de sistemas. verificando la documentación existente de los cambios. almacenamiento y contingencias. mejorar seguridad. procesos y procedimientos.

 Disponibilidad de servicios (porcentaje máximo de no disponibilidad. incluyendo recomendaciones para las corregir las excepciones detectadas.  Que los SLA’s establecidos soporten requerimientos del negocio. priorización de tareas. Asignación de recursos. tiempos de respuesta.  Horario de servicio. máximo de interrupciones y máximo de duración de los eventos)  Tiempos de respuesta. UPC – 2010 02 El auditor de TI debe verificar:  Existencia y cumplimiento de procedimientos de medición de la capacidad y rendimiento: • Reportes de medición de utilización de CPU en servidores críticos • Mediciones de tiempos de respuesta en sistemas críticos • Estadísticas de consumo de espacio en disco • Reportes de cantidad de transacciones ejecutadas • Reportes de cantidad de conexiones activas a los servidores críticos. Un SLA típico debe contener:  Descripción de los servicios a brindar.  Existencia y cumplimiento de procedimientos de pronóstico. incluyendo fechas especiales o feriados.  Niveles de servicio de Help Desk  Procedimientos de contingencia. planeamiento y aprovisionamiento de capacidad de recursos de TI: • Modelos de estimación de cargas de trabajo • Plan de repotenciación de equipos • Presupuesto de inversiones  Encuestas de satisfacción de usuarios  Informes periódicos de cumplimiento de niveles de servicio: disponibilidad. 67 El auditor de TI debe verificar  Existencia y actualización de los SLA’s.  Consideraciones de seguridad.  Reportes de cumplimiento de los mismos. etc. UPC – 2010 02 adecuadamente los 68 17 .  Monitoreo y Reporte regular a fin de recolectar datos que permitan: mantener y poner a punto el desempeño de los recursos de TI y reportar a la organización el cumplimiento de los SLA’s acordados. UPC – 2010 02 65 Operaciones TI: Acuerdos de Niveles de Servicio UPC – 2010 02 66 Operaciones TI: Acuerdos de Niveles de Servicio Los acuerdos de niveles de servicio (SLA’s por sus siglas en inglés) permiten a la organización de TI formalizar con sus usuarios los términos de calidad y cantidad de los servicios que se prestarán. etc.Operaciones TI: Administración del Rendimiento y Capacidad Operaciones TI: Administración del Rendimiento y Capacidad  Gestión de la disponibilidad de recursos de TI: brindar capacidad y desempeño requeridos tomando en cuenta cargas de trabajo normales y picos.

 Herramientas de diagnóstico de redes como analizadores de protocolo deben utilizarse según se requiera.  Debe monitorearse de manera específica el trabajo de consultores y proveedores externos. etc. switches. ataques de ‘hackers’. controles de acceso configurados. niveles de acceso en los sistemas operativos de la red. • Daño o pérdida de datos. 71 El auditor debe verificar:  Existencia y cumplimiento de los procedimientos de control mencionados anteriormente. El uso que hagan estos de herramientas especiales debe ser autorizado específicamente.  La configuración física y lógica de la red debe documentarse y mantenerse actualizada. etc. (DMZ)  Deben existir políticas y procedimientos para establecer conectividad con redes externas a la empresa.  Dispositivos críticos de red como routers. bloqueo de servicios.  Deben establecerse el registro automático de eventos de seguridad en los sistemas operativos de la red y su revisión regular a fin de tomar acción correctiva. Con los accesos a Internet. WAN y el acceso a Internet se han convertido en el ‘sistema nervioso’ de la plataforma de TI de una empresa.  Debe monitorearse la operación de las redes para detectar eventuales incidentes de seguridad.Operaciones TI: Administración y monitoreo de redes y comunicaciones Operaciones TI: Administración y monitoreo de redes y comunicaciones  Prácticamente la totalidad de las organizaciones dependen para la operación de sus servicios de TI de las redes de comunicaciones.  Deben establecerse adecuados controles lógicos: cuentas de usuario.  El acceso a las redes de comunicaciones implica una serie de riesgos que las organizaciones deben manejar con los controles adecuados: • Pérdida de privacidad de información y/o uso no autorizado de sistemas. • Infecciones de virus.  Debe utilizarse un firewall para aislar la red de cualquier otra red externa y para limitar una conexión a los fines autorizados. pues los enlaces de las redes son susceptibles de interrupciones no programadas.  Los firewalls deben ser periódicamente probados para detectar y corregir vulnerabilidades. Debe existir procedimientos de respuesta antes estos. El acceso físico a estos dispositivos debe estar restringido.  Debe evaluarse el impacto y riesgos de los cambios en la red antes de realizarse. sea por fallas involuntarios o por acción deliberada de un saboteador.  El auditor ejecuta una serie de herramienta de evaluación y prueba de los controles enunciados: configuración de los sistemas operativos. UPC – 2010 02 Controles que deben establecerse:  Toda información sensitiva en la red debe protegerse a través del uso de técnicas apropiadas. Debe obtener evidencia de dicho cumplimiento. Sistemas e información confidencial son accesibles a través de las redes. • Pérdida de continuidad de los servicios de TI. por accesos no autorizados a través de la red. UPC – 2010 02 72 18 . deben protegerse adecuadamente contra daños físicos. Tanto las redes LAN. etc. el acceso podría ser prácticamente desde cualquier parte del mundo.  Los servidores accesibles desde Internet deben ser aislados de los servidores de datos. vulnerabilidades de seguridad en la configuración de los equipos. UPC – 2010 02 69 Operaciones TI: Administración y monitoreo de redes y comunicaciones UPC – 2010 02 70 Operaciones TI: Administración y monitoreo de redes y comunicaciones Controles que deben establecerse:  La red interna de una organización debe estar física y lógicamente aisladas de internet y de otras conexiones por un firewall.

 Planeamiento de capacidad: estadísticas de transacciones.  Deben diseñarse cuidadosamente: preguntas.  Las preguntas deben ser concretas y motivar respuestas objetivas.  Pueden utilizarse como apoyo para una entrevista.  Ejemplos de evidencias: Entrevistas  Se utilizan para adquirir conocimiento de la organización. En la medida que estos coincidan con los suyos propios. configuración de equipos de comunicaciones. sus aplicaciones. estructura y verificar su validez y confiabilidad. 2: Controles de Administración.  La entrevista requiere ser preparada con anterioridad.  Debe manejarse el nivel de stress y duración de las entrevistas. niveles de riesgo de sus sistemas y nivel de confiabilidad de los controles existentes. conducida y registrada adecuadamente y luego procesada la información a la brevedad posible.  Respaldo de información: políticas documentadas de backups y reporte de control de ejecución.  Operaciones rutinarias: reportes de ejecución de tareas.  Los resultados deben interpretarse cuidadosamente para llegar a conclusiones objetivas. Por ejemplo. También para recolectar información de ubicaciones físicamente dispersas. Hoja de cálculo de Microsoft Excel C:\Documents and Settings\Ronald\Mis doc UPC – 2010 02 73 UPC – 2010 02 74 Recolección de evidencias Cuestionarios  Se utilizan para recabar información de hechos concretos. planeamiento y organización de Sistemas Hoja de cálculo de Microsoft Excel UPC – 2010 02 75 UPC – 2010 02 76 19 . el resultado será mejor. si un control existe en determinado sistema. escala de respuestas. presupuesto y plan de compras  Niveles de Servicio: definición y reportes de cumplimiento  Disponibilidad: cuadros de control  Mantenimiento de HW y SW: contratos con proveedores. SI-38 Seguridad y Auditoría de Sistemas Cap. cronograma de mantenimiento.  Servidores y LAN: diagramas de diseño de la red. etc.  Su puede recopilar información cualitativa y cuantitativa  La calidad de las respuestas depende de la selección adecuada del entrevistado y de la percepción que el entrevistado tenga sobre los objetivos de la misma. etc.Ejemplos de Evidencias para auditoría Recolección de evidencias  Perfomance y rendimiento: cuadros de control. log de eventos. aprobaciones. estructura organizativa.  Control de cambios: registros del sistema de control de cambios. configuración de servidores principales.

de no establecer adecuados controles. Organización y Administración de TI Consideremos la siguiente situación:  Controles a aplicar sobre la función de la Gerencia de TI  Ud. Personal de staff deficiente. Organización y Administración de TI UPC – 2010 02 Riesgos de un deficiente control  Una manera de que el auditor pueda evaluar el desempeño de la Gerencia de TI es considerando las funciones principales que dicha gerencia debe realizar: • Planear: determinar los objetivos de la función de TI y los medios para alcanzar dichos objetivos. La gerencia es responsable de la protección de los activos de TI. Por ejemplo: lentitud en los sistemas por falta de capacidad en el la plataforma de hardware. UPC – 2010 02 77 Controles del Planeamiento.       UPC – 2010 02 78 79 El auditor debe evaluar si la Gerencia de TI ha elaborado un plan adecuado para las necesidades de la empresa. debería considerar en su revisión?  ¿Qué evidencias debería solicitar para sustentar los controles implementados?  ¿Qué técnicas utilizaría para recabar la información que requiere para su revisión?  La complejidad de la función de la Gerencia de TI es alta y la organización requiere asegurarse que está siendo ejecutada de una manera correcta: • Evolución acelerada de la tecnología que soporta los sistemas de información (HW y SW). aún no conoce. Incremento de costos. acaba de ingresar a laborar a una prestigiosa firma de Auditoría y le han encargado realizar la revisión de Controles de la Gerencia de TI  La empresa a auditar es una entidad financiera local.  ¿Qué controles serían los más relevantes que Ud. Si esto no ocurre. sea por mal reclutamiento o supervisión puede originar mayor riesgo de errores en el manejo de los sistemas. asignar y coordinar los recursos necesarios para lograr los objetivos. • El negocio requiere innovación y sistemas es siempre visto como una fuente de esta.y se requiere determinar las implicancias de estos cambios en los sistemas de la empresa • Las relaciones de Sistemas con las áreas de negocio pueden ser difíciles de gestionar y dada la criticidad de los sistemas para el negocio. se generan riesgos de diverso tipo: Inadecuada función de la gerencia puede ocasionar un alejamiento de los servicios de TI de los objetivos del negocio. a fin de proporcionar una ventaja competitiva. ingresos anuales aprox. UPC – 2010 02 80 20 . • Organizar: obtener. • Liderar: motivar.  El auditor debe estar en condiciones de evaluar cuan bien la Gerencia de sistemas está ejecutando su rol en la empresa. dichos activos pueden ponerse en riesgo. operaciones a nivel nacional y con una infraestructura de tecnología variada y compleja. Ausencia de planeamiento puede exponer a la organización a limitaciones producto de esta deficiencia. • Controlar: comparar el desempeño actual con el planeado. dirigir y comunicarse con el personal. de US$ 100 millones.La Auditoría de Sistemas de Información Controles del Planeamiento. la cual Ud. Estructuras organizativas deficientes pueden provocar una mala provisión de los servicios de TI. a fin de determinar acciones correctiva a tomar. este soporte puede deteriorarse si las áreas de negocio consideran que Sistemas no les presta el apoyo adecuado.

recursos de personal a requerirse.  Según sea el caso. tecnología de HW y SW disponibles.  El Plan de TI debe ser aprobado por la Gerencia General  El esfuerzo desplegado en la función del planeamiento de TI. futuros sistemas. el tamaño y de la situación de la misma: empresas en un ambiente volátil y operaciones altamente dependientes de TI requerirán alta concentración en el planeamiento para mantener su posición competitiva en el mercado.  Evidencia a validar: planes de mediano plazo de sistemas UPC – 2010 02 83 UPC – 2010 02 84 21 . dependerá del tipo de organización. • Iniciativas a desarrollar: sistemas a construir.  El Plan de TI debe estar alineado con las estrategias del negocio. para los cuales las tecnologías y los sistemas de información pueden aplicarse de manera eficiente. • Identificar los recursos necesarios para proveer los requerimientos de tecnología y los sistemas de información. estrategias generales internas y externas (con otras áreas). • Desarrollo de la estrategia: definición de la visión de TI en la empresa. hitos de control. Este plan debe cubrir tanto el largo como el corto plazo para la dirección de los sistemas de información de la empresa.  El plan de TI debe difundirse al personal de Sistemas.Evaluar la función de Planeamiento Evaluar la función de Planeamiento  La Gerencia de sistemas es responsable de elaborar un plan general para la función de sistemas. etc. cambios mayores de HW/SW. • Plan de implementación: fechas propuestas para los principales proyectos. problemática existente con la tecnología. personal. FODA. recursos de personal que serán necesarios. recursos financieros necesarios. cubre el largo plazo (entre 3 y 5 años) y contiene: • Evaluación de la situación actual de TI: sistemas y servicios existentes. • Formular estrategias y tácticas para adquirir los recursos necesarios Deben de prepararse dos tipos de planes para la función de Sistemas:  El plan estratégico. Su elaboración debe contemplar: • Reconocer oportunidades y problemas que confronta la organización. aproximación al control de la implementación de la estrategia. el Auditor debe prestar el debido nivel de importancia a la revisión de la función de planeamiento. Su alineamiento con el plan general de la organización debe también verificarse. procedimientos de control a aplicar. Mayores inversiones/gastos en TI deben hacerse sólo cuando pueda demostrarse un sólido caso de negocios. plataforma de HW/SW. • Evidencia a validar: Plan Estratégico/largo plazo de Sistemas UPC – 2010 02 81 Evaluar la función de Planeamiento UPC – 2010 02 82 Consideraciones para el Planeamiento de TI  El plan operacional o táctico. • Dirección estratégica: futuros sistemas a proveer. (no con los deseos del staff técnico)  TI es visto como un generador importante de gastos. HW/SW a implementar.  Tanto el plan estratégico como el operacional deben de ser revisados y actualizados con regularidad. bases de datos. otras iniciativas de importancia. recursos financieros. cubre el corto plazo (entre 1 y 3 años) y contiene: • Reporte de avance: planes actuales en ejecución o retrasados.

• Sin embargo. asignar y estructurar los recursos para alcanzar los objetivos de la organización. el auditor lo percibirá de varias formas: proyectos atrasados o cancelados por falta de recursos humanos o de instalaciones. • La organización de TI normalmente se presenta en función de las actividades desarrolladas: desarrollo de sistemas. darle oportunidades de desarrollo personal e identificar debilidades/fortalezas. la organización de TI no será efectiva ni eficiente. plan de capacitación. • Evidencia a evaluar: procedimiento de reclutamiento de personal UPC – 2010 02 86 Evaluar la función de Organización  Gestión del personal de TI • Desarrollo del personal: establecimiento de la línea de carrera y entrenamiento. • El auditor debe evaluar dos aspectos principales: primero. utilizando diversas herramientas: entrevistas. La ausencia de estas actividades desmotiva y origina rotación del personal. etc. etc. pruebas técnicas. potencial e integridad de los postulantes. descentralización de la función de sistemas. instalaciones. • Evidencia a evaluar: presupuestos. revisión de antecedentes. etc. devolución de identificaciones o equipos. • Reclutamiento: debe evaluarse cuidadosamente la capacidad. etc. justificación de las inversiones/gastos. debe existir un plan de capacitación. de salud y psicológicas. • Definición de necesidades. esta organización puede variar grandemente dependiendo de las particularidades de la empresa: tamaño. deben existir definiciones formales y claras de las responsabilidades de cada puesto. control de gastos. Los activos de TI también podrían verse expuestos. Manual de organización y funciones. • Término de funciones: tanto si es voluntario como no. etc.Evaluar la función de Organización Evaluar la función de Organización  La función de Organización se encarga de conseguir. personal. evaluación de compras. producción de sistemas. • Evidencia: plan de carrera de personal de Sistemas. c) uno de los mayores riesgos de seguridad de TI es el personal interno. • Los recursos deben aplicarse de acuerdo a un plan que asegure su disponibilidad oportuna. Si esto no se hace adecuadamente. etc. • Evidencia: Organigrama. b) es complicado obtener buen personal de TI y su rotación es alta. software. • Si lo anterior no se hace correctamente. UPC – 2010 02 85 Evaluar la función de Organización • Importante por: a) efectividad de las funciones de TI dependen principalmente de la calidad del personal. Debe evaluarse periódicamente al personal para determinar la idoneidad del mismo para ser promocionado. establecer contratos.  Obtención de recursos • Hardware. aprovisionamientos. comunicaciones. instalaciones. deben realizarse ciertas acciones de control: desactivación de accesos. etc. UPC – 2010 02 88 22 . Ej: un programador no puede administrar la base de datos. dinero. base de datos. UPC – 2010 02  Gestión del personal de TI 87  Estructura Organizativa • Comprende la definición de las unidades de servicio en las cuales se organiza la función de TI para cumplir sus objetivos y la descripción formal de roles y responsabilidades de los puestos de trabajo. la definición de puestos de trabajo debe preservar en lo posible la separación de funciones. esto originaría inevitablemente modificaciones no autorizadas de programas. Los recursos para compra e implementación deben ser obtenidos oportunamente. adicionalmente. Los requerimientos a cumplir deben estar formalizados en las descripciones de puestos. problemas operativos en el día a día. etc. • Evidencia: procedimientos de baja y desactivación de accesos. baja moral del personal. documentación. Deben hacerse de manera oportuna. Segundo. El entrenamiento es crítico para la efectividad de las operaciones de TI. el personal debe conocerlas y comprenderlas cabalmente.

• Evidencia: control de gastos. pueden realizarse evaluaciones postimplementación de proyectos importantes. etc. Esto requiere: • Motivar al personal: aplicar el argumento correcto para incentivar a cada persona. • En una organización en la cual TI es parte importante de sus todas sus operaciones. En el segundo caso. • Control general de la función de sistemas: ¿es adecuado el nivel de gastos en Sistemas? ¿los beneficios que obtiene la organización de Sistemas corresponden a los niveles de gasto que se tienen? Para la primera pregunta se utilizan las técnicas del benchmarking con otras organizaciones de la industria. Estos deben ser debidamente comunicados. También. normalmente a la Gerencia Financiera. • En una organización donde TI es únicamente una función de soporte operativo. • Hacer coincidir estilo de liderazgo con las personas y sus funciones: dependiendo de la situación y el tipo de trabajo el tipo de liderazgo debe ser distinto. Adicionalmente. claridad y compromiso de los objetivos deben de ser evaluados en entrevistas personales. comunicados. • Comunicarse efectivamente con las personas: esencial para entender los objetivos de la organización y para crear confianza entre las personas. pérdida de autoridad del supervisor. seguros. etc. 91 • Control de las actividades de Sistemas: La Gerencia de TI toma control de las actividades de su personal estableciendo políticas y estándares. informes de evaluación de resultados. fallas constantes en proyectos. • Políticas de seguridad • Políticas para contratación de proveedores. ausentismo. Sistemas se independiza de las áreas usuarias y reporta directamente a la Gerencia General.  El auditor puede percibir problemas cuando se presenta. diseño. UPC – 2010 02 92 23 . construcción. etc. documentación. horas de prueba. Ejemplo: bancos. temas informales como el nivel de satisfacción del personal. se evalúan los objetivos alcanzados en base al plan estratégico y táctico.. reuniones. etc. revisados y recordados regularmente y evaluado su cumplimiento. • El auditor debe determinar la importancia de la función de sistemas dentro de la organización y luego evaluar si su ubicación en la estructura organizacional asegura suficiente independencia y autoridad. Las principales políticas o estándares son: • Estándares de métodos: programación. El auditor puede verificar si los elementos formales como documentación.Evaluar la función de Organización Evaluar la función de Liderazgo  Ubicación de la función de Sistemas • La ubicación de Sistemas dentro de la jerarquía organizacional influye grandemente en la efectividad de sus funciones. • Estándares de perfomance: tiempos de respuesta. políticas. • Evidencia: documentación de los controles indicados. • Estándares de control de proyectos: método para gestionar los proyectos. etc. • Estándares de cumplimiento de auditorías: actividades para revisión de cumplimiento. etc. Ej: empresas de manufactura. sistemas reporta a un área usuaria. retail. a fin de asegurar que esta cumpla los objetivos de la organización. se hacen efectivamente. UPC – 2010 02  El propósito del liderazgo es alcanzar la armonía entre los objetivos de la organización y los de las personas. UPC – 2010 02 89 Evaluar la función de Control UPC – 2010 02 90 Evaluar la función de Control La Gerencia de Sistemas debe cumplir labores de control a un nivel global de la función de sistemas. También influye el estilo de las personas. alta rotación de personal. etc.

Evaluar la función de Control • Control de la utilización de los servicios de TI: La Gerencia de TI debe desarrollar políticas y procedimientos para incentivar el uso eficiente y efectivo de los servicios de TI por las áreas usuarias. • Costos de transferencia por los servicios prestados: se determinan costos en función al consumo de recursos de las áreas usuarias y estos se ‘cargan’ a ellas como parte de sus gastos operativos. • Evidencia: procedimientos documentados. Se utilizan dos técnicas principales: • Revisión de requerimientos por un comité de usuarios y TI: se revisa conveniencia y prioridad del requerimiento. UPC – 2010 02 93 24 .