El contexto internacional: Riesgos y amenazas

SI-38 Seguridad y Auditoría de Sistemas

En las últimas décadas, una serie de grandes escándalos financieros en grandes
empresas globales, han evidenciado la fragilidad de los controles operativos y
financieros en las empresas.

Grandes empresas de auditoría internacionales se han visto envueltas por acción
u omisión en estos escándalos.

Como consecuencia, se ha reforzado a nivel internacional la exigencia de que las
empresas cumplan una serie de procedimientos y prácticas de control, a fin de
garantizar la transparencia y veracidad de sus operaciones y manejo financiero.
Ej: Sarbanes-Oxley Act (USA, 2002).

El soporte de tecnología es clave para las operaciones y manejo financiero de las
empresas, la exigencia regulatoria sobre los controles de TI se ha incrementado
grandemente: COSO, COBIT, etc.

En Perú la SBS ha establecido normativa para el control del riesgo operativo y de
TI en las empresas financieras

Cap. 1: El Proceso de Auditoría de Sistemas de Información

UPC – 2010 02

1

UPC – 2010 02

2

El Capital de Información

El contexto internacional: Riesgos y amenazas
• Atentado contra el World Trade Center, Washington (11/09/01): 8,000
servidores Intel, 5,000 servidores UNIX, 34,000 PC’s, US$ 32 billones
para recuperar equipos y sistemas, 3500 víctimas y destrucción de
sedes corporativas de diversas empresas globales.
• En 1998 se produjo una interrupción de servicios de comunicaciones de
AT&T por fallas en un switch (software y procedimientos). Por 18 horas,
a nivel mundial, usuarios de tarjetas de crédito no pudieron usarlas.

Infraestructura
Tecnológica

Bases de datos

• Terremoto de Kobe, Japón (17/01/95): duró 20 seg., intensidad de 6.8
Richter. 40,000 victimas, 148 incendios y 6.513 edificios destruidos.
Sistemas de
Información

• Empresa de Telecomunicaciones: Incendio daña instalaciones del
centro de cómputo, el cual es inundado por la acción de los bomberos.
Varios sistemas críticos quedan fuera de servicio por tres días.
• Empresa de Cosméticos: Por cercanía de su local a la Embajada de
Japón, el centro de cómputo queda inutilizable por 23 días. (11/12/96)

El capital de información junto con los demás activos intangibles influyen en el
desempeño de la empresa al mejorar los procesos internos más importantes en la
creación de valor para clientes y accionistas
Kaplan y Norton, Strategic Maps - 2004
UPC – 2010 02

3

UPC – 2010 02

4

1

La necesidad de la Auditoría y el control interno en las empresas

Principales Amenazas al Capital de Información

• ¿Cómo debe enfrentar una empresa estos
riesgos?

Amenzas de
origen social

• Divulgación no autorizada
de información confidencial
• Alteración no autorizada de
información.

• Con un proceso sólido de Gestión de Riesgos

• Accesos por proveedores
• Fraudes por empleados
• Espionaje por competidores

Bases de datos

Infraestructura
Tecnológica

• Violación de derechos de
propiedad
• Gestión deficiente de la
tecnología

Amenazas de
origen tecnológico

• Inoperatividad de tecnología
•Virus, worms, spyware
• Ataques de hackers.
• Saturación de servicios
• Spam

Sistemas de
Información

• Con un sistema de Control Interno eficiente
• Con la ejecución de auditorías eficaces

Amenazas de
origen natural

UPC – 2010 02

• Terremotos
• Inundaciones
• Incendios

5

Estrategia de mejora continua de la calidad en cuatro pasos

Auditoría es la actividad consistente en la emisión de una opinión
profesional sobre si el objeto sometido a análisis presenta adecuadamente
la realidad que pretende reflejar y/o cumple las condiciones que le han sido
prescritas.

Nivel de Madurez

Calidad:
Continuo control de la calidad y consolidación

A

Alineación
del Negocio TI

C

P
D

Mejoras
de calidad
efectivas

Plan: Plan de Proyecto
Do: Proyecto (Hacer)
Check: Auditoria
Act: Nuevas Acciones

Consolidación del nivel conseguido

6

Definición de Auditoría

Modelo de Mejoramiento Continuo de la Calidad de Deming (PDCA)

Mejoras continuas
paso a paso

UPC – 2010 02

Auditoria de
Sistemas /
Control Interno

Contenido

Una opinión

Condición

Profesional

Justificación

Sustentada en determinados procedimientos

Objeto

Determinada información obtenida de ciertas fuentes

Finalidad

Determinar si representa adecuadamente la realidad o responde a las
expectativas que le son atribuídas, es decir, su fiabilidad

Escala de Tiempo
UPC – 2010 02

7

UPC – 2010 02

8

2

Debe verificar que los EE. estándares de gestión de la seguridad de información (ISO 27000) El sector Financiero ha sido el principal usuario de los procedimientos de auditoría UPC – 2010 02 9 Procedimientos de Auditoría 10 Definición de Consultoría • La opinión expresada en una auditoría se fundamenta en el cumplimiento de procedimientos específicos que deben proporcionar una seguridad razonable de lo que se afirma • Existen auditorías altamente reglamentadas (las financieras) donde es obligatorio aplicar Normas Técnicas y procedimientos detallados. requerida por las Auditorías Financieras y entidades reguladoras Gestión Auditoría de las gestión de una entidad pública o privada. Cumplimiento Opinión Normas establecidas Las operaciones se adecúan a estas normas Ejemplo Financiera Auditoría de Estados Financieros de las empresas.Clases de Auditoría Clases de Auditoría Algunos ejemplos: El objeto y la finalidad de una auditoría definen su tipo. una auditoría debe cumplir:  El trabajo debe ser planificado y supervisado adecuadamente  Se estudiará y evaluará el sistema de control interno  Se obtendrá evidencia suficiente y adecuada  La evidencia debe colectarse en los documentos de trabajo del auditor. planes de contingencia. los principales son: Clase Clase Contenido Objeto Finalidad Financiera Opinión Cuentas anuales Presentan realidad Informática o de Sistemas Opinión Sistemas de información. etc. Cumplimiento Cumplimiento de estándares de gestión de la calidad (ISO 9000). Como justificación y soporte del trabajo y de la opinión emitida. UPC – 2010 02 UPC – 2010 02 11 Consultoría es dar asesoramiento o consejo sobre lo que se ha de hacer o cómo llevar adecuadamente una determinada actividad para obtener los fines deseados. Contenido Dar asesoramiento o consejo Condición De carácter especializado Justificación En base a un exámen o análisis Objeto La actividad o cuestión sometida a consideración Finalidad Establecer la manera de llevarla a cabo adecuadamente UPC – 2010 02 12 3 .FF. muestren la realidad de la empresa Informática o de Sistemas Auditoría de controles de sistemas. estándares de gestión ambiental (ISO 14000). • En general. eficiencia. Operatividad eficiente y según normas establecidas Gestión Opinión Dirección Eficacia. recursos informáticos. Exigencia de entidades reguladoras y financieras. luego de un cambio de los Directivos.

La Auditoría de Sistemas Necesidad de la Auditoría de Sistemas • ¿Y la auditoría de Sistemas?. táctica u operativas. Protección de la inversión en tecnología y personal Los montos invertidos en hardware y software son importantes. interrupción de operaciones. Errores en procesamiento de la información El mal funcionamiento de los sistemas puede originar fallas en los procesos productivos. 13 Necesidad de la Auditoría de Sistemas UPC – 2010 02 Necesidad de la Auditoría de Sistemas Pérdida de datos Daño o pérdida de información: archivos de cuentas por cobrar. interrupción de operaciones. tácticas y estratégicas. Factores que influencian hacia el control y auditoría del uso de las computadoras Costos por pérdida de datos Costos por Costos por mala toma de mal uso de decisiones tecnología Valor de hardware. Su daño o robo puede originar una pérdida económica importante. pérdida de confidencialidad o privacidad. acceso físico ilegal. accidentes. daño físico del personal. • La información y. Dependiendo de si las decisiones son estratégicas. el impacto de la calidad de los datos y la información provista por los sistemas puede ser de mayor o menor impacto. pueden originar pérdidas importantes a las organizaciones: destrucción o robo de activos o información. • El alto desarrollo tecnológico y la intensa competencia entre las empresas las hace cada vez más dependientes de los sistemas. • La información procesada es utilizada para tomar decisiones operativas. etc. cuentas por pagar. etc. es indispensable en las empresas. etc. uso indebido de activos. pérdida de ingresos. merma de la calidad. • Las fallas o el mal uso de los sistemas puede afectar grandemente a la sociedad (empresas y personas): mala asignación de recursos. incremento de costos o pérdida de ingresos. • La información debe ser preservada de cualquier mal uso que afecte su integridad. Uso indebido de la tecnología Virus. todos los activos tecnológicos son los recursos o activos más importantes de una empresa. fraudes. privacidad o disponibilidad. software y personal Costos por mal Privacidad de la procesamiento de información información ORGANIZACIONES Auditoría y control de sistemas de Información UPC – 2010 02 14 15 UPC – 2010 02 16 4 . pérdida de confidencialidad. etc. UPC – 2010 02 • Hoy día. Mala toma de decisiones La información se utiliza para la toma de decisiones. alteración indebida de datos. etc. etc. el procesamiento automatizado de la información a través de las computadoras. abuso de privilegios de acceso a sistemas. hacking. en general. también puede originar pérdidas por denuncias de clientes afectados. pérdida de privacidad. Confidencialidad y privacidad La liberación de información confidencial puede originar importantes pérdidas económicas y ventaja frente a la competencia.

instalaciones. ORGANIZACIONES Protección de activos Asegurar integridad de datos Mejorar efectividad de sistemas Mejorar eficiencia de sistemas UPC – 2010 02 17 Definición de Auditoría de Sistemas o Auditoría Informática UPC – 2010 02 18 ISACA  El auditor informático evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informáticos existentes. robo. Riesgos: sistemas incompletos.  El auditor informático es responsable de revisar e informar a la Dirección de la organización sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada. personas (conocimiento). pérdida de competitividad Efectividad de sistemas Los sistemas deben cumplir/atender los objetivos/necesidades para los que fueron implementados. cuando un conjunto de profesionales reconoció que debido a la criticidad de la función de auditoría de sistemas en las organizaciones requería una fuente centralizada de información. etc. archivos de datos. Riesgos: incertidumbre sobre las operaciones de la empresa. agrupar y evaluar evidencias para determinar si un sistema informático salvaguarda los activos de cómputo. mantiene la integridad de los datos. uso indebido. veraces. guías de trabajo y estándares. etc.Definición de Auditoría de Sistemas o Auditoría Informática Objetivos de la Auditoría de Sistemas  Es el proceso de recolectar. operación del sistema.000 miembros en 140 países. Integridad de datos Mantener atributos de los datos: deben ser completos.  Se fundó en 1967. no funcionales. confiables.  ISACA provee dos certificaciones internacionales a los profesionales que cumplen los requisitos que establece: • CISA: Certified Information Systems Auditor • CISM: Certified Information Security Manager UPC – 2010 02 19 UPC – 2010 02 20 5 . Eficiencia de Sistemas Un sistema eficiente utiliza la menor cantidad posible de recursos para alcanzar sus objetivos: capacidad de procesamiento. guías y procedimientos que deben seguirse para realizar auditorías de sistemas. costosos. incluyendo de ser necesario el uso de software especializado. formularios oficiales. documentación de sistemas.  Information System Audit and Control Asociation (ISACA) es una asociación internacional de profesionales relacionados a las tareas de auditoría de TI.  ISACA provee una serie de estándares. Tiene más de 50. software de base. desarrollando y aplicando técnicas de auditoría. software. suministros.  La auditoría de sistemas cumple dos clases de objetivos principales:  Objetivos de protección de activos e integridad de datos  Objetivos de gestión: eficacia y eficiencia en el cumplimiento de metas empresariales Auditoría de sistemas de Información Protección de activos Hardware. utiliza eficientemente los recursos de la organización y contribuye eficazmente a los objetivos de la organización. Riesgos: daños físico. dispositivos de entrada/salida. complicados.  El Informe de Auditoría es el documento formal donde se comunican los resultados de una auditoría informática.

un plan de contingencia. etc. Riesgo es el impacto neto proveniente de una vulnerabilidad. deben identificar lo antes posible la ocurrencia de un hecho indebido. Riesgo = Probabilidad x Impacto UPC – 2010 02 21 Costos por pérdida de datos Costos por Costos por mala toma de mal uso de decisiones tecnología 22 Tipos de Controles Riesgos y Controles de Tecnología Valor de hardware. • Detectivos. prácticas y estructuras organizacionales) diseñados para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos. UPC – 2010 02 23 UPC – 2010 02 24 6 . ocurrida una incidencia deben reducir el impacto de la misma y facilitar la vuelta a la normalidad. en caso que los controles preventivos fallen. Ej: recuperar datos desde una copia de seguridad (backup). diseñados para prevenir que ocurra un error. procedimientos. Auditoría y control de sistemas de Información Los Riesgos se manejan estableciendo Controles.Riesgos de Tecnología Amenzas de origen social • Divulgación no autorizada de información confidencial • Alteración no autorizada de información. spyware • Ataques de hackers. Infraestructura Tecnológica • Accesos por proveedores Bases de datos Amenazas de origen tecnológico • Fraudes por empleados • Espionaje por competidores SI-38 Seguridad y Auditoría de Sistemas • Violación de derechos de propiedad Cap. Control es un sistema (políticas. 1: El Proceso de Auditoría de Sistemas de Información Sistemas de Información • Sabotaje / Terrorismo Amenazas de origen natural • Terremotos • Inundaciones • Incendios • Inoperatividad de tecnología •Virus. • Saturación de servicios • Spam Vulnerabilidad: exposición a una situación adversa que podría ser explotada intencional o accidentalmente y afectar negativamente el cumplimiento de los objetivos de la organización. software y personal UPC – 2010 02 Costos por mal Privacidad de la procesamiento de información información • Preventivos. Ej: el uso de contraseñas para acceder a un sistema. ORGANIZACIONES • Correctivos. considerando tanto su probabilidad de ocurrencia como el impacto que ocasionaría en caso de materializarse. omisión o práctica maliciosa. Ej: registro de intentos de acceso fallidos para un sistema. worms.

Los componentes son: Monitoring Control activities Information & communication Risk assessment Control environment Seguimiento contínuo para asegurar que las políticas y procedimientos funcionan apropiadamente Son los controles que permitirán asegurar que las operaciones del negocio están funcionando de acuerdo a los objetivos de la organización. vulnerabilidades e impacto de las mismas. Controles físicos: accesos y ambientales.  Procedimientos de Autorización: que aseguren los debidos niveles de aprobación y su registro adecuado. UPC – 2010 02 26 27       Organización y administración. pistas de auditoría. incluyendo pólíticas y estándares. Cubre la evaluación de amenazas. UPC – 2010 02 25 Controles de IT: Generales y de Aplicación Un sistema de control interno debe considerar las siguientes categorías:  Segregación de actividades: una transacción debe pasar por varias etapas a cargo de personas distintas. Segregación de actividades. Controles sobre personal de sistemas.El Sistema de Control Interno El Sistema de Control Interno Las organizaciones deben tener un Sistema de Control Interno que asegure que sus controles sean los adecuados y funcionen correctamente. cultura y estructura de Recursos Humanos.  Controles sobre disponibilidad y continuidad de sistemas. incluyendo programadores. Estos controles aseguran que las transacciones sean válidas. operarse y modificarse de acuerdo a las necesidades diarias y de acuerdo a los procedimientos establecidos. autorizadas y se registren apropiadamente. operación y mantenimiento de los sistemas de información se hace de una manera planeada y controlada.  Control físico sobre activos y registros: mecanismos apropiados para evitar accesos no autorizados. Por ejemplo el plan de continuidad de negocios. Controles de aplicación: Se requieren para asegurar un procesamiento confiable de la información y se aplican sobre transacciones individuales.  Revisiones independientes de resultados. (también proveedores externos). los controles generales de IT permiten que se provea una infraestructura estable en la cual los sistemas de información puedan construirse. para fijar eficientemente dónde deberían establecerse los controles Fijan parámetros generales para los controles: políticas empresariales de alto nivel. Control de accesos lógicos: cuentas de usuario y contraseñas Desarrollo de sistemas y cambios a programas. valores éticos. UPC – 2010 02 28 7 . implementación.  Controles sobre uso de computadoras por usuarios finales.  Adecuada supervisión: seguimiento cercano del supervisor para disuadir o detectar actos indebidos. etc. En otras palabras.  Registro de actividades: protección y almacenamiento de documentos. analistas y Operaciones y Soporte de TI.  Responsabilidad y delegación de autoridad  Personal: competente y confiable. Incluye los controles que permitirán al staff de TI recibir y controlar el flujo de información de negocio. UPC – 2010 02 Controles Generales de IT Un sistema de control interno debe considerar las siguientes categorías: Incluyen los siguientes: Controles Generales de IT: Se ejecutan para asegurar que el desarrollo.

• Eventualmente pueden existir eventos no deseados que no tengan un control establecido. incluyen:     Controles sobre Controles sobre Controles sobre Controles sobre •The IT controls framework las entradas de transacciones el procesamiento de transacciones.Controles de Aplicación Controles de IT: ‘ Onion Model’ Dado que se aplican sobre transacciones individuales. •Physical and environmental controls •System Security and Internal Audit •Staff selection. Esto sólo debe ocurrir cuando no sea posible implementar un control efectivo en términos de costo-beneficio. UPC – 2010 02 31 UPC – 2010 02 32 8 . la salida de transacciones datos y archivos maestros. vetting and training •Network Access Controls •Operating system controls •APPLICATION CONTROLS •INPUT PROCESS OUTPUT •Audit Trails UPC – 2010 02 29 La Auditoría y los Controles de IT UPC – 2010 02 •Standing Data 30 El Proceso de Auditoría • La función de la auditoría es determinar si existen los controles para evitar eventos no deseados en los sistemas de TI y si estos controles trabajan adecuadamente.

seguridad de información. UPC – 2010 02 34 Planeamiento de la Auditoría  Determinar alcance y tiempo de los procedimientos de auditoría: • qué aplicativos se revisarán y qué tiempo será necesario. dinero para traslados/alojamiento.) • principales sistemas de información • personal de contacto en TI y en áreas usuarias • problemas del cliente con sus aplicativos • cambios planeados en aplicativos o tecnología. etc. equipamiento. Temas a considerar son:  Necesidades del cliente para la auditoría: • soporte a una auditoría financiera • evaluación de controles TI • necesidades regulatorias. en función a su contribución al negocio. procedimientos.Planeamiento de la Auditoría Planeamiento de la Auditoría El objetivo de esta etapa es tomar conocimiento del cliente y de sus sistemas de control interno. software especializado. • disponibilidad del personal del cliente • otros recursos: equipamiento. nivel de experiencia y disponibilidad del mismo. etc. plan del negocio. PC’s. seguridad.) • software de sistemas (sistemas operativos. etc. que contiene: • referencias del cliente y sus necesidades. • por solicitud expresa del cliente • cuando existe considerable desarrollo interno de sistemas • en caso de existir planes de cambios importantes en infraestructura o aplicativos.)  Necesidad de otros especialistas como ayuda a la auditoría: • en caso de riesgos significativos detectados (sistemas.  Realidad del cliente: • organización y operaciones del negocio • hardware utilizado (servidores. UPC – 2010 02 33 Planeamiento de la Auditoría  Fuentes de información: • informe y papeles de trabajo de auditorías anteriores • observación de las instalaciones • entrevistas con personal de TI • documentos del cliente (plan estratégico de TI. UPC – 2010 02 35 UPC – 2010 02 36 9 . etc. etc. etc. tamaño y complejidad de la plataforma tecnológica.). manuales. • alcance y objetivos de la auditoría a realizar • áreas críticas a examinar • recursos necesarios • Cronograma  Determinación de recursos necesarios: • cantidad de personal requerido. BD’s. redes. • los objetivos de la auditoría • áreas críticas del negocio identificadas con el cliente • debilidades conocidas en los controles internos  Elaboración de un Plan de Auditoría. redes. documentación de sistemas.

Buscan confirmar los resultados esperados del control. el auditor elegiría un conjunto de transacciones críticas y verificaría sus tiempos de respuesta para asegurarse que están en los niveles aceptables. Substantive testing Review and evalaute Report UPC – 2010 02 37 Tipos de Pruebas de Auditoría UPC – 2010 02 38 Obtener evidencia de Auditoría (Pruebas de Cumplimiento) Para obtener las evidencias de la auditoría se pueden ejecutar: • Pruebas de cumplimiento.  En caso de que el auditor haya determinado realizar pruebas de cumplimiento. No: No reliance on controls Yes : Perform compliance tests of controls • Si considera que el riesgo de los controles supera el máximo aceptable. uso de herramientas de SW especializadas. Buscan determinar si el control existe en la práctica y opera efectivamente durante el periodo objeto de la auditoría. UPC – 2010 02 39 UPC – 2010 02 40 10 . • Pruebas sustantivas. será menor el esfuerzo posterior en hacer pruebas sustantivas para alcanzar un juicio de auditoría. para verificar los controles de tiempos de respuesta para un sistema crítico.Evaluar Controles Internos El Proceso de Auditoría THE AUDIT PROCESS Una vez que el auditor ha logrado un adecuado entendimiento de los controles internos del cliente. debe identificar los controles que justifican esto y evaluar si estos funcionan adecuadamente. En estos casos se decide por realizar pruebas sustantivas. reproducir resultados para verificar cálculos correctos. Se asume que si los controles operan efectivamente. Este tipo de pruebas también buscan disminuir los costos de la auditoría. utilizando técnicas de muestreo para identificar transacciones significativas. etc. Se requiere realizar un muestreo para determinar el alcance de la prueba. hacer seguimiento de transacciones durante el ciclo de negocio. En el ejemplo anterior. el auditor puede entrevistar al Jefe de Producción de Sistemas para determinar si se revisan los tiempos de respuesta con regularidad y qué acciones se toman cuando estos no son aceptables. debe decidir la manera como debe realizar los siguientes pasos de la auditoría: PLANNING EVALUATION OF INTERNAL CONTROLS • Si considera que el riesgo de los controles vigente es inferior al máximo aceptable. Por ejemplo.  Puede ser necesario realizar muestreo de transacciones. el auditor no verifica los controles pues supone que es probable que estos no sean efectivos y por lo tanto su prueba no sería confiable para realizar una auditoría eficiente. estas se realizan con el objetivo de confirmar que los controles sean realmente efectivos.

• Opinión favorable: cuando el auditor considera que no se han presentado pérdidas o problemas en los controles revisados. se discute los hallazgos con colegas.Obtener evidencia de Auditoría (Pruebas Sustantivas) Revisión y evaluación de Resultados  Se ejecutan para evaluar si errores o mal procesamiento de las transacciones ha tenido un impacto significativo (materialidad) en las operaciones o los estados financieros. etc. se corrigen posibles errores y aclaran temas necesarios. Se valida que cumpla con los estándares de documentación. disminuir las pruebas sustantivas a realizar posteriormente (en caso los controles hayan sido eficientes) o incrementarlas en caso contrario. • Indicación de las observaciones incluídas en el informe detallado. Normalmente.  Una vez realizadas estas pruebas el auditor debe confirmar o revisar su evaluación inicial del riesgo de los controles. Se precisa el contenido del informe. posibles omisiones o errores. pero estos no se consideran materiales.  La carta de presentación. • Segundo borrador: primer informe formal para el cliente. • Comentarios del cliente: el cliente envía eventuales comentarios al borrador formal recibido.  Revisión Interna: el auditor envía el informe para su validación por colegas o por su Supervisor. UPC – 2010 02 41 Elaborar Informe y Presentación de Resultados  El auditor debe evaluar los hallazgos hechos en las pruebas realizadas y emitir una opinión.  Los posible juicios a emitir son: • Abstenerse de opinión: cuando las verificaciones realizadas no le permiten emitir una opinión. el auditor se apoya en colegas o supervisores para completar su opinión. • Propósito de la auditoría y eventuales salvedades (disclaimers) • Qué sistemas fueron revisados • Contenido del informe detallado • Con quién se revisó el informe • Opinión de la auditoría realizada. Esto puede implicar tanto. • Tercer borrador: el auditor entrega el borrador final en el cual el cliente debe responder las observaciones presentadas. • Agradecimiento a la empresa. UPC – 2010 02 43 UPC – 2010 02 44 11 . • Opinión calificada: cuando el auditor considera que se han presentado pérdidas o problemas. • Opinión adversa: cuando el auditor considera que existen pérdidas o problemas materiales detectados en la auditoría. UPC – 2010 02 42 Emisión del Informe de Auditoría Se siguen los siguientes pasos: El informe debe contener  Revisión de reportes preliminares • Primer borrador: para discusión con el cliente.

se ejecuten puntualmente. 3: Infraestructura Técnica y Prácticas Operativas UPC – 2010 02 46 Infraestructura Técnica y Operaciones de TI Consideremos la siguiente situación:  Ud. etc. el auditor debe encontrar que las Operaciones de TI sean transparentes a los usuarios. UPC – 2010 02 48 12 . ingresos anuales aprox. transferencias de información.  En una organización de TI que funcione adecuadamente. actualización de datos. la cual Ud. el usuario se libera de las preocupaciones técnicas de los sistemas que utiliza y puede concentrarse en su debida utilización para los fines del negocio.  ¿Qué controles serían los más relevantes que Ud. de US$ 100 millones. Es importante que lo reportado sea la debilidad o problema raíz detectado. las que al ser implementadas reducirían los riesgos. acaba de ingresar a laborar a una prestigiosa firma de Auditoría y le han encargado realizar la revisión de Controles de la Infraestructura Técnica y Operaciones de TI. La ejecución apropiada de estas funciones permite asegurar al usuario de TI que sus sistemas de información estén disponibles en los horarios acordados. pues su correcto funcionamiento está debidamente soportado en el desempeño de los roles ya establecidos.  En resumen.Emisión del Informe de Auditoría El informe debe contener  El informe detallado. UPC – 2010 02 45 Infraestructura Técnica y Operaciones de TI Cap. que operen de acuerdo a lo esperado y que los resultados de su procesamiento como reportes. Deben ser recomendaciones factibles y eficientes. • Buenas prácticas de control y consideraciones sobre el riesgo de negocio asociado con las deficiencias de los controles.  La empresa a auditar es una entidad financiera local. si la Gerencia ha considerado necesario hacerlas a las observaciones de auditoría. • Detalle de los hallazgos u observaciones encontrados por el auditor. incluyendo el riesgo asociado a los mismos. debería considerar en su revisión?  ¿Qué evidencias debería solicitar para sustentar los controles implementados?  ¿Qué técnicas utilizaría para recabar la información que requiere para su revisión? UPC – 2010 02 SI-38 Seguridad y Auditoría de Sistemas 47  El término Operaciones de TI se refiere a los aspectos logísticos y de infraestructura del hardware y software. operaciones a nivel nacional y con una infraestructura de tecnología variada y compleja. • Comentarios de la Gerencia. • Recomendaciones. aún no conoce.

Base de datos: Oracle. • Operaciones rutinarias de TI: encendido y apagado de equipos. etc. diseño y construcción de sistemas de información • Soporte de Sistemas: administración y soporte técnico del hardware y software de base. apagado y monitoreo de funcionamiento de equipos Seguridad física de instalaciones Help Desk y Administración de Problemas Mantenimiento de HW y SW Administración de medios de almacenamiento Respaldo de información y recuperación de desastres. Correo electrónico: Exchange. Sybase. Administración de problemas. realizadas por distinto personal: • Desarrollo y mantenimiento de aplicaciones: análisis. Linux. etc. Administración de capacidad Monitoreo del rendimiento Administración y monitoreo de redes y comunicaciones.  Retraso o interrupciones en el procesamiento de información.  Elevados tiempos de no disponibilidad de sistemas. WAN: routers Centrales telefónicas Servicios: carriers para enlaces WAN e Internet.  Problemas con usuarios finales por deficiente labor de help desk. malos tiempos de respuesta. incluyendo equipamiento y software. • Seguridad de Sistemas: administrar controles de seguridad. gestión de permisos de acceso a aplicativos. mal ingreso de parámetros.  Pérdida de información por mala ejecución de backups. DB2. se afecta su productividad al no resolver oportunamente sus problemas. supervisión del centro de cómputo. Control de Cambios UPC – 2010 02 UPC – 2010 02 Organización para las Operaciones de TI Funciones incluídas en las Operaciones de TI:             Funcionamiento incorrecto de aplicaciones: operación errada. versiones incorrectas. tanto de aplicaciones como de HW y SW base. Servidores de aplicaciones.Infraestructura Técnica de TI Procesamiento Minicomputadoras / Mainframes Servidores Intel: de torre. de rack. ejecución de tareas programadas.  Deficiente capacidad de procesamiento en la infraestructura. blades Almacenamiento SAN NAS Unidades externas de disco Almacenamiento interno Seguridad Firewalls IDS’s VPN’s Tokens Unidades de respaldo de datos Antivirus SW de backup Filtros de contenido Antispam     Riesgos de un deficiente control de las Operaciones de TI Comunicaciones LAN: switches de core y de piso. etc. 51 UPC – 2010 02 52 13 . • Administración de Base de Datos: soporte y administración de la Base de datos de la empresa • Control de Cambios: administración y ejecución de las políticas y procedimientos de control de cambios. AIX. por inadecuado planeamiento de capacidad. Notes. deberían existir las siguientes funciones. backups. Administración de procesos y tareas Encendido. por fallas o retrasos en la solución de problemas. telefonía fija y celular Computo Personal Software de Base PC’s Notebooks PDA’s Impresoras personales y departamentales Sistemas Operativos: Windows 2003 Server. SQL Server.  Pérdida o daño de datos debido a incorrecto o no autorizado uso de software de sistemas. Servidores Web UPC – 2010 02 49 Infraestructura Técnica y Operaciones de TI 50  En una organización de sistemas mediana o grande.

UPC – 2010 02 Operaciones TI: Administración de Procesos y Tareas programadas 55 El auditor de TI debe verificar:  Existencia de contratos de mantenimiento para equipos y servicios críticos. UPC – 2010 02 53 Operaciones TI: Mantenimiento de Hardware y Software El auditor de TI debe verificar. incluyendo el VoBo del Operador y Supervisor respectivo.Operaciones TI: Administración de Procesos y Tareas programadas Como parte de las Operaciones de TI se realizan una serie de actividades rutinarias pero indispensables para su adecuado funcionamiento:  Ejecución programada de tareas o procesos requeridos por usuarios: generación de reportes. Normalmente.  Que exista una bitácora de Operación: incidencias. aplicación de parches.  Contratos de mantenimiento de SW: actualización de versiones. a fin de poder reconstruir cualquier evento.  Existencia de cronograma de mantenimiento preventivo de equipos y nivel de cumplimiento del mismo.  Contratos deben especificar niveles de servicio comprometidos y penalidades ante incumplimientos del proveedor. estas actividades puede ser realizadas por personal a dedicación exclusiva o como parte de otras actividades. lo siguiente:  Que los procedimientos de Operación estén documentados. problemas. UPC – 2010 02 54 Operaciones TI: Mantenimiento de Hardware y Software Tanto el equipamiento de hardware como el software de base utilizado requieren de procedimientos de mantenimiento preventivo y correctivo para asegurar su adecuado mantenimiento:  Hardware: revisión y limpieza de componentes. corrección de fallas de HW y reemplazo de componentes defectuosos. actualización de firmware. etc. con tiempos de respuesta comprometidos o a solicitud.  Que exista una programación autorizada y documentada de los trabajos a realizar. entre otros. preventivos y/o correctivos.  Encendido y apagado de equipos: según se requiera por el personal autorizado  Ejecución y verificación de procesos de respaldo o recuperación de información. soporte ante problemas.  Que se realicen procedimientos de verificación de la continuidad del procesamiento y controles de cambo de turnos de operación. actualización de versiones..  Procedimientos de corrección de versiones de SW de sistemas.  Que los niveles de acceso a los sistemas sean los apropiados para las funciones del Operador. actualizados y debidamente probados por los ejecutantes: manuales e instrucciones. actualización de versiones UPC – 2010 02 56 14 . determinación y corrección de fallas.  Que se documenten los resultados de procesos realizados. las empresas toman contratos con proveedores para manejar estas necesidades:  Contrato de mantenimiento de HW: con o sin cobertura de repuestos. actualización de datos. etc.  Supervisión de instalaciones y seguridad del centro de cómputo Dependiendo de la magnitud de las operaciones de TI en la empresa.  Que existan procedimientos documentados para el manejo de errores. reportes. etc.  Software: aplicación de parches. envío de información a terceros.

 Procedimientos de escalamiento de incidentes para aquellos que no se puedan resolver de manera inmediata.  Ejecución de procedimientos de control y descarte de los medios magnéticos. Procedimientos de verificación y recuperación de la información. (a revisar en capítulo posterior del curso) UPC – 2010 02 57 Operaciones TI: Help Desk y Administración de Problemas  La existencia y nivel de actualización de políticas de respaldo de información. reduce costos y mejora la satisfacción del usuario El auditor de TI debe verificar:  Procedimiento de identificación y clasificación de problemas  Procedimiento de seguimiento y solución de problemas  Procedimientos de cierre de problemas.  Procedimientos de cierre de incidentes y verificación de conformidad. Es la función más visible del área de TI y es estratégicamente importante como imagen de servicio al cliente.  Que se ejecuten pruebas y verificaciones de procedimientos de respaldo y recuperación de copias de seguridad. que haga las veces de punto único de contacto con el usuario de TI para el registro y seguimiento de incidentes o solicitudes de servicio. El control siempre debe mantenerlo el Service Desk. en ambientes seguros y con instalaciones apropiadas. Procedimientos de recuperación de desastes. Lugar donde se conservarán las copias generadas. El auditor de TI debe verificar:  Existencia y operación de una mesa de servicio o unidad equivalente.Operaciones TI: Respaldo de Información y Recuperación ante Desastres Operaciones TI: Respaldo de Información y Recuperación ante Desastres Copias de seguridad de datos y software disponible deben ejecutarse regularmente por el personal de Operación de Sistemas.  Análisis de tendencias para realizar soporte preventivo y mejorar procesos.  Adecuado lugar de almacenamiento de las copias de seguridad: fuera del datacenter.  Ejecución de procedimientos de acceso y disposición de las copias de respaldo.  Niveles de servicio acordados con el usuario para la priorización y atención de eventos y mediciones de calidad del servicio.  Estadísticas de cumplimiento de niveles de servicio UPC – 2010 02 60 15 . Aspectos a considerar:        Clasificación por criticidad: de datos y de software base de sistemas. Periodos de retención (antiguedad) de copias. Frecuencia de generación de las copias. Medios de almacenamiento a utilizar. UPC – 2010 02 58 Operaciones TI: Help Desk y Administración de Problemas El servicio del Help Desk/Service Desk es el vínculo más directo entre los usuarios con problemas de IT y el área de Sistemas. UPC – 2010 02 El auditor de TI debe verificar: 59 Un efectivo proceso de administración de problemas mejora los niveles de servicio.

incrementar eficiencia de operaciones de TI.  Cumplimiento de procedimientos de control de cambios. UPC – 2010 02 El proceso de Control de Cambios debe contemplar:  Procedimientos formales para manejar todas las solicitudes de cambios a aplicaciones. Esto incluye el pronóstico de las necesidades futuras. basadas en los requerimientos de carga de trabajo. verificando la documentación existente de los cambios. procesos y procedimientos. con costos justificables. incremento de capacidad. procedimientos. actualización de versiones. (usuarios o de TI)  Conservación adecuada de los registros de los cambios. parámetros de servicio y plataforma de hardware y software de sistemas. cambios en requerimientos del usuario.  Elaboración de planes de reversión (para aplicar en caso de problemas con el cambio).  Pronostico de capacidad y desempeño futuros: a intervalos regulares.  Procedimiento para cambios de emergencia.  Seguimiento y reporte de estado del cambio. almacenamiento y contingencias. previos a la ejecución del cambio.  Cierre y documentación del cambio 63 Debe revisarse regularmente el desempeño actual y la capacidad de los recursos de TI.  Evidencia de las autorizaciones correspondientes de los responsables o propietarios de los activos de TI a ser modificados. Uso de técnicas de modelado.  Evaluación de impacto. procesos.  Evidencia de la evaluación del impacto del cambio por los respectivos responsables. software de sistemas o aplicativos. priorización y autorización por el respectivo responsable. solución de problemas. UPC – 2010 02 64 16 .  Medición regular de capacidad y desempeño actual. a fin de cumplir los niveles de servicio acordados. Debe contemplarse:  Planeación del desempeño y capacidad: actividades de revisión a fin de asegurar la disponibilidad. UPC – 2010 02 61 Operaciones TI: Control de Cambios UPC – 2010 02 62 Operaciones TI: Administración del Rendimiento y Capacidad El auditor de TI debe verificar:  Existencia y actualización de procedimientos de control de cambios.  Procedimientos para cambios de emergencia. (aplicativo)  Evidencia de procedimientos de validación del cambio en ambientes de prueba. Asegura que los recursos de TI que soportan los requerimientos del negocio estén disponibles de manera oportuna y continua.  Todos los cambios. a fin de minimizar interrupciones del servicio por falta de capacidad o degradación del desempeño. tanto de hardware. deben administrarse formal y controladamente. mejorar seguridad.  Un adecuado proceso de control de cambios reduce el riesgo de impactos negativos sobre la estabilidad o integridad de los ambientes de producción.Operaciones TI: Control de Cambios Operaciones TI: Control de Cambios  Los cambios se hacen con el fin de: mejorar funcionalidad de sistemas.

Operaciones TI: Administración del Rendimiento y Capacidad Operaciones TI: Administración del Rendimiento y Capacidad  Gestión de la disponibilidad de recursos de TI: brindar capacidad y desempeño requeridos tomando en cuenta cargas de trabajo normales y picos.  Horario de servicio. UPC – 2010 02 El auditor de TI debe verificar:  Existencia y cumplimiento de procedimientos de medición de la capacidad y rendimiento: • Reportes de medición de utilización de CPU en servidores críticos • Mediciones de tiempos de respuesta en sistemas críticos • Estadísticas de consumo de espacio en disco • Reportes de cantidad de transacciones ejecutadas • Reportes de cantidad de conexiones activas a los servidores críticos. priorización de tareas.  Niveles de servicio de Help Desk  Procedimientos de contingencia.  Disponibilidad de servicios (porcentaje máximo de no disponibilidad. 67 El auditor de TI debe verificar  Existencia y actualización de los SLA’s. incluyendo fechas especiales o feriados.  Existencia y cumplimiento de procedimientos de pronóstico. etc. planeamiento y aprovisionamiento de capacidad de recursos de TI: • Modelos de estimación de cargas de trabajo • Plan de repotenciación de equipos • Presupuesto de inversiones  Encuestas de satisfacción de usuarios  Informes periódicos de cumplimiento de niveles de servicio: disponibilidad.  Monitoreo y Reporte regular a fin de recolectar datos que permitan: mantener y poner a punto el desempeño de los recursos de TI y reportar a la organización el cumplimiento de los SLA’s acordados. Asignación de recursos.  Reportes de cumplimiento de los mismos. máximo de interrupciones y máximo de duración de los eventos)  Tiempos de respuesta. etc. incluyendo recomendaciones para las corregir las excepciones detectadas. UPC – 2010 02 65 Operaciones TI: Acuerdos de Niveles de Servicio UPC – 2010 02 66 Operaciones TI: Acuerdos de Niveles de Servicio Los acuerdos de niveles de servicio (SLA’s por sus siglas en inglés) permiten a la organización de TI formalizar con sus usuarios los términos de calidad y cantidad de los servicios que se prestarán.  Consideraciones de seguridad. UPC – 2010 02 adecuadamente los 68 17 .  Que los SLA’s establecidos soporten requerimientos del negocio. tiempos de respuesta. Un SLA típico debe contener:  Descripción de los servicios a brindar.

 Los firewalls deben ser periódicamente probados para detectar y corregir vulnerabilidades.  Debe monitorearse la operación de las redes para detectar eventuales incidentes de seguridad.  Debe evaluarse el impacto y riesgos de los cambios en la red antes de realizarse. UPC – 2010 02 69 Operaciones TI: Administración y monitoreo de redes y comunicaciones UPC – 2010 02 70 Operaciones TI: Administración y monitoreo de redes y comunicaciones Controles que deben establecerse:  La red interna de una organización debe estar física y lógicamente aisladas de internet y de otras conexiones por un firewall. pues los enlaces de las redes son susceptibles de interrupciones no programadas. deben protegerse adecuadamente contra daños físicos. switches. por accesos no autorizados a través de la red. Debe existir procedimientos de respuesta antes estos.  El auditor ejecuta una serie de herramienta de evaluación y prueba de los controles enunciados: configuración de los sistemas operativos. Sistemas e información confidencial son accesibles a través de las redes. el acceso podría ser prácticamente desde cualquier parte del mundo. etc. • Infecciones de virus. Con los accesos a Internet.  Debe utilizarse un firewall para aislar la red de cualquier otra red externa y para limitar una conexión a los fines autorizados. Debe obtener evidencia de dicho cumplimiento. 71 El auditor debe verificar:  Existencia y cumplimiento de los procedimientos de control mencionados anteriormente. • Pérdida de continuidad de los servicios de TI.Operaciones TI: Administración y monitoreo de redes y comunicaciones Operaciones TI: Administración y monitoreo de redes y comunicaciones  Prácticamente la totalidad de las organizaciones dependen para la operación de sus servicios de TI de las redes de comunicaciones.  Deben establecerse el registro automático de eventos de seguridad en los sistemas operativos de la red y su revisión regular a fin de tomar acción correctiva. etc. Tanto las redes LAN. controles de acceso configurados.  Deben establecerse adecuados controles lógicos: cuentas de usuario.  El acceso a las redes de comunicaciones implica una serie de riesgos que las organizaciones deben manejar con los controles adecuados: • Pérdida de privacidad de información y/o uso no autorizado de sistemas. UPC – 2010 02 72 18 . UPC – 2010 02 Controles que deben establecerse:  Toda información sensitiva en la red debe protegerse a través del uso de técnicas apropiadas. (DMZ)  Deben existir políticas y procedimientos para establecer conectividad con redes externas a la empresa. ataques de ‘hackers’.  Herramientas de diagnóstico de redes como analizadores de protocolo deben utilizarse según se requiera. etc. WAN y el acceso a Internet se han convertido en el ‘sistema nervioso’ de la plataforma de TI de una empresa. El acceso físico a estos dispositivos debe estar restringido. vulnerabilidades de seguridad en la configuración de los equipos. bloqueo de servicios. • Daño o pérdida de datos.  La configuración física y lógica de la red debe documentarse y mantenerse actualizada. El uso que hagan estos de herramientas especiales debe ser autorizado específicamente.  Debe monitorearse de manera específica el trabajo de consultores y proveedores externos. niveles de acceso en los sistemas operativos de la red. sea por fallas involuntarios o por acción deliberada de un saboteador.  Dispositivos críticos de red como routers.  Los servidores accesibles desde Internet deben ser aislados de los servidores de datos.

 La entrevista requiere ser preparada con anterioridad. conducida y registrada adecuadamente y luego procesada la información a la brevedad posible. escala de respuestas.  Su puede recopilar información cualitativa y cuantitativa  La calidad de las respuestas depende de la selección adecuada del entrevistado y de la percepción que el entrevistado tenga sobre los objetivos de la misma. Hoja de cálculo de Microsoft Excel C:\Documents and Settings\Ronald\Mis doc UPC – 2010 02 73 UPC – 2010 02 74 Recolección de evidencias Cuestionarios  Se utilizan para recabar información de hechos concretos.  Deben diseñarse cuidadosamente: preguntas. estructura organizativa.  Operaciones rutinarias: reportes de ejecución de tareas. aprobaciones. si un control existe en determinado sistema. También para recolectar información de ubicaciones físicamente dispersas.  Pueden utilizarse como apoyo para una entrevista. etc. etc.  Servidores y LAN: diagramas de diseño de la red.Ejemplos de Evidencias para auditoría Recolección de evidencias  Perfomance y rendimiento: cuadros de control. SI-38 Seguridad y Auditoría de Sistemas Cap. estructura y verificar su validez y confiabilidad. niveles de riesgo de sus sistemas y nivel de confiabilidad de los controles existentes. presupuesto y plan de compras  Niveles de Servicio: definición y reportes de cumplimiento  Disponibilidad: cuadros de control  Mantenimiento de HW y SW: contratos con proveedores.  Las preguntas deben ser concretas y motivar respuestas objetivas. cronograma de mantenimiento.  Planeamiento de capacidad: estadísticas de transacciones. 2: Controles de Administración. En la medida que estos coincidan con los suyos propios.  Debe manejarse el nivel de stress y duración de las entrevistas. planeamiento y organización de Sistemas Hoja de cálculo de Microsoft Excel UPC – 2010 02 75 UPC – 2010 02 76 19 . log de eventos.  Respaldo de información: políticas documentadas de backups y reporte de control de ejecución.  Ejemplos de evidencias: Entrevistas  Se utilizan para adquirir conocimiento de la organización.  Control de cambios: registros del sistema de control de cambios. Por ejemplo. configuración de servidores principales. sus aplicaciones. configuración de equipos de comunicaciones.  Los resultados deben interpretarse cuidadosamente para llegar a conclusiones objetivas. el resultado será mejor.

ingresos anuales aprox. a fin de determinar acciones correctiva a tomar. • Liderar: motivar. Personal de staff deficiente. a fin de proporcionar una ventaja competitiva. Ausencia de planeamiento puede exponer a la organización a limitaciones producto de esta deficiencia.       UPC – 2010 02 78 79 El auditor debe evaluar si la Gerencia de TI ha elaborado un plan adecuado para las necesidades de la empresa. operaciones a nivel nacional y con una infraestructura de tecnología variada y compleja. sea por mal reclutamiento o supervisión puede originar mayor riesgo de errores en el manejo de los sistemas. debería considerar en su revisión?  ¿Qué evidencias debería solicitar para sustentar los controles implementados?  ¿Qué técnicas utilizaría para recabar la información que requiere para su revisión?  La complejidad de la función de la Gerencia de TI es alta y la organización requiere asegurarse que está siendo ejecutada de una manera correcta: • Evolución acelerada de la tecnología que soporta los sistemas de información (HW y SW).La Auditoría de Sistemas de Información Controles del Planeamiento. • Organizar: obtener. La gerencia es responsable de la protección de los activos de TI. dichos activos pueden ponerse en riesgo. se generan riesgos de diverso tipo: Inadecuada función de la gerencia puede ocasionar un alejamiento de los servicios de TI de los objetivos del negocio. UPC – 2010 02 77 Controles del Planeamiento. UPC – 2010 02 80 20 . Estructuras organizativas deficientes pueden provocar una mala provisión de los servicios de TI. Organización y Administración de TI UPC – 2010 02 Riesgos de un deficiente control  Una manera de que el auditor pueda evaluar el desempeño de la Gerencia de TI es considerando las funciones principales que dicha gerencia debe realizar: • Planear: determinar los objetivos de la función de TI y los medios para alcanzar dichos objetivos. la cual Ud. asignar y coordinar los recursos necesarios para lograr los objetivos. este soporte puede deteriorarse si las áreas de negocio consideran que Sistemas no les presta el apoyo adecuado. aún no conoce.y se requiere determinar las implicancias de estos cambios en los sistemas de la empresa • Las relaciones de Sistemas con las áreas de negocio pueden ser difíciles de gestionar y dada la criticidad de los sistemas para el negocio. • Controlar: comparar el desempeño actual con el planeado. de US$ 100 millones. dirigir y comunicarse con el personal. Organización y Administración de TI Consideremos la siguiente situación:  Controles a aplicar sobre la función de la Gerencia de TI  Ud. Incremento de costos. • El negocio requiere innovación y sistemas es siempre visto como una fuente de esta. de no establecer adecuados controles.  ¿Qué controles serían los más relevantes que Ud. acaba de ingresar a laborar a una prestigiosa firma de Auditoría y le han encargado realizar la revisión de Controles de la Gerencia de TI  La empresa a auditar es una entidad financiera local. Por ejemplo: lentitud en los sistemas por falta de capacidad en el la plataforma de hardware. Si esto no ocurre.  El auditor debe estar en condiciones de evaluar cuan bien la Gerencia de sistemas está ejecutando su rol en la empresa.

recursos financieros necesarios. • Desarrollo de la estrategia: definición de la visión de TI en la empresa. recursos de personal a requerirse. estrategias generales internas y externas (con otras áreas). dependerá del tipo de organización. HW/SW a implementar. procedimientos de control a aplicar. tecnología de HW y SW disponibles. cambios mayores de HW/SW. recursos financieros. • Evidencia a validar: Plan Estratégico/largo plazo de Sistemas UPC – 2010 02 81 Evaluar la función de Planeamiento UPC – 2010 02 82 Consideraciones para el Planeamiento de TI  El plan operacional o táctico. cubre el corto plazo (entre 1 y 3 años) y contiene: • Reporte de avance: planes actuales en ejecución o retrasados. Su alineamiento con el plan general de la organización debe también verificarse. recursos de personal que serán necesarios. • Iniciativas a desarrollar: sistemas a construir. Mayores inversiones/gastos en TI deben hacerse sólo cuando pueda demostrarse un sólido caso de negocios. Este plan debe cubrir tanto el largo como el corto plazo para la dirección de los sistemas de información de la empresa. (no con los deseos del staff técnico)  TI es visto como un generador importante de gastos. hitos de control.  Según sea el caso. FODA. bases de datos. plataforma de HW/SW. • Plan de implementación: fechas propuestas para los principales proyectos.Evaluar la función de Planeamiento Evaluar la función de Planeamiento  La Gerencia de sistemas es responsable de elaborar un plan general para la función de sistemas.  El plan de TI debe difundirse al personal de Sistemas. • Formular estrategias y tácticas para adquirir los recursos necesarios Deben de prepararse dos tipos de planes para la función de Sistemas:  El plan estratégico. aproximación al control de la implementación de la estrategia. • Identificar los recursos necesarios para proveer los requerimientos de tecnología y los sistemas de información. para los cuales las tecnologías y los sistemas de información pueden aplicarse de manera eficiente. problemática existente con la tecnología. • Dirección estratégica: futuros sistemas a proveer. el tamaño y de la situación de la misma: empresas en un ambiente volátil y operaciones altamente dependientes de TI requerirán alta concentración en el planeamiento para mantener su posición competitiva en el mercado.  Tanto el plan estratégico como el operacional deben de ser revisados y actualizados con regularidad. futuros sistemas. personal. otras iniciativas de importancia. Su elaboración debe contemplar: • Reconocer oportunidades y problemas que confronta la organización.  El Plan de TI debe ser aprobado por la Gerencia General  El esfuerzo desplegado en la función del planeamiento de TI. cubre el largo plazo (entre 3 y 5 años) y contiene: • Evaluación de la situación actual de TI: sistemas y servicios existentes.  Evidencia a validar: planes de mediano plazo de sistemas UPC – 2010 02 83 UPC – 2010 02 84 21 .  El Plan de TI debe estar alineado con las estrategias del negocio. etc. el Auditor debe prestar el debido nivel de importancia a la revisión de la función de planeamiento.

problemas operativos en el día a día. dinero. Manual de organización y funciones. justificación de las inversiones/gastos. comunicaciones. deben realizarse ciertas acciones de control: desactivación de accesos. etc. • Evidencia a evaluar: procedimiento de reclutamiento de personal UPC – 2010 02 86 Evaluar la función de Organización  Gestión del personal de TI • Desarrollo del personal: establecimiento de la línea de carrera y entrenamiento. • Reclutamiento: debe evaluarse cuidadosamente la capacidad. • Evidencia: procedimientos de baja y desactivación de accesos. personal. • Evidencia: Organigrama. control de gastos. • Sin embargo. etc.  Obtención de recursos • Hardware. b) es complicado obtener buen personal de TI y su rotación es alta. la organización de TI no será efectiva ni eficiente. devolución de identificaciones o equipos. darle oportunidades de desarrollo personal e identificar debilidades/fortalezas. El entrenamiento es crítico para la efectividad de las operaciones de TI. • Evidencia a evaluar: presupuestos. etc. instalaciones. aprovisionamientos. etc. c) uno de los mayores riesgos de seguridad de TI es el personal interno. • Definición de necesidades. descentralización de la función de sistemas. • Si lo anterior no se hace correctamente. etc. • Evidencia: plan de carrera de personal de Sistemas. etc. Los activos de TI también podrían verse expuestos. documentación. asignar y estructurar los recursos para alcanzar los objetivos de la organización. potencial e integridad de los postulantes. Deben hacerse de manera oportuna. esta organización puede variar grandemente dependiendo de las particularidades de la empresa: tamaño. • Término de funciones: tanto si es voluntario como no. pruebas técnicas. base de datos. La ausencia de estas actividades desmotiva y origina rotación del personal. deben existir definiciones formales y claras de las responsabilidades de cada puesto. Ej: un programador no puede administrar la base de datos. etc. instalaciones. baja moral del personal. Si esto no se hace adecuadamente. establecer contratos. evaluación de compras. producción de sistemas.Evaluar la función de Organización Evaluar la función de Organización  La función de Organización se encarga de conseguir. UPC – 2010 02 85 Evaluar la función de Organización • Importante por: a) efectividad de las funciones de TI dependen principalmente de la calidad del personal. software. esto originaría inevitablemente modificaciones no autorizadas de programas. el personal debe conocerlas y comprenderlas cabalmente. UPC – 2010 02  Gestión del personal de TI 87  Estructura Organizativa • Comprende la definición de las unidades de servicio en las cuales se organiza la función de TI para cumplir sus objetivos y la descripción formal de roles y responsabilidades de los puestos de trabajo. plan de capacitación. debe existir un plan de capacitación. • Los recursos deben aplicarse de acuerdo a un plan que asegure su disponibilidad oportuna. utilizando diversas herramientas: entrevistas. UPC – 2010 02 88 22 . adicionalmente. Segundo. • El auditor debe evaluar dos aspectos principales: primero. Debe evaluarse periódicamente al personal para determinar la idoneidad del mismo para ser promocionado. de salud y psicológicas. etc. • La organización de TI normalmente se presenta en función de las actividades desarrolladas: desarrollo de sistemas. Los requerimientos a cumplir deben estar formalizados en las descripciones de puestos. Los recursos para compra e implementación deben ser obtenidos oportunamente. revisión de antecedentes. el auditor lo percibirá de varias formas: proyectos atrasados o cancelados por falta de recursos humanos o de instalaciones. la definición de puestos de trabajo debe preservar en lo posible la separación de funciones.

Adicionalmente. se hacen efectivamente. seguros. Esto requiere: • Motivar al personal: aplicar el argumento correcto para incentivar a cada persona. políticas. etc. retail. a fin de asegurar que esta cumpla los objetivos de la organización. • Comunicarse efectivamente con las personas: esencial para entender los objetivos de la organización y para crear confianza entre las personas. normalmente a la Gerencia Financiera. • Evidencia: documentación de los controles indicados. construcción. comunicados. revisados y recordados regularmente y evaluado su cumplimiento. UPC – 2010 02 89 Evaluar la función de Control UPC – 2010 02 90 Evaluar la función de Control La Gerencia de Sistemas debe cumplir labores de control a un nivel global de la función de sistemas. etc. etc. Estos deben ser debidamente comunicados. • Políticas de seguridad • Políticas para contratación de proveedores. • En una organización donde TI es únicamente una función de soporte operativo.  El auditor puede percibir problemas cuando se presenta. horas de prueba. Ejemplo: bancos. claridad y compromiso de los objetivos deben de ser evaluados en entrevistas personales. Ej: empresas de manufactura. • El auditor debe determinar la importancia de la función de sistemas dentro de la organización y luego evaluar si su ubicación en la estructura organizacional asegura suficiente independencia y autoridad. Sistemas se independiza de las áreas usuarias y reporta directamente a la Gerencia General. El auditor puede verificar si los elementos formales como documentación. etc. • Evidencia: control de gastos. documentación. temas informales como el nivel de satisfacción del personal. También influye el estilo de las personas. ausentismo. • En una organización en la cual TI es parte importante de sus todas sus operaciones. se evalúan los objetivos alcanzados en base al plan estratégico y táctico. alta rotación de personal. • Hacer coincidir estilo de liderazgo con las personas y sus funciones: dependiendo de la situación y el tipo de trabajo el tipo de liderazgo debe ser distinto. 91 • Control de las actividades de Sistemas: La Gerencia de TI toma control de las actividades de su personal estableciendo políticas y estándares. • Estándares de control de proyectos: método para gestionar los proyectos. etc. UPC – 2010 02  El propósito del liderazgo es alcanzar la armonía entre los objetivos de la organización y los de las personas.Evaluar la función de Organización Evaluar la función de Liderazgo  Ubicación de la función de Sistemas • La ubicación de Sistemas dentro de la jerarquía organizacional influye grandemente en la efectividad de sus funciones. • Control general de la función de sistemas: ¿es adecuado el nivel de gastos en Sistemas? ¿los beneficios que obtiene la organización de Sistemas corresponden a los niveles de gasto que se tienen? Para la primera pregunta se utilizan las técnicas del benchmarking con otras organizaciones de la industria. También. reuniones. pueden realizarse evaluaciones postimplementación de proyectos importantes. diseño. fallas constantes en proyectos. etc. UPC – 2010 02 92 23 . sistemas reporta a un área usuaria. • Estándares de perfomance: tiempos de respuesta. • Estándares de cumplimiento de auditorías: actividades para revisión de cumplimiento. En el segundo caso. etc. Las principales políticas o estándares son: • Estándares de métodos: programación.. pérdida de autoridad del supervisor. informes de evaluación de resultados.

UPC – 2010 02 93 24 . • Costos de transferencia por los servicios prestados: se determinan costos en función al consumo de recursos de las áreas usuarias y estos se ‘cargan’ a ellas como parte de sus gastos operativos.Evaluar la función de Control • Control de la utilización de los servicios de TI: La Gerencia de TI debe desarrollar políticas y procedimientos para incentivar el uso eficiente y efectivo de los servicios de TI por las áreas usuarias. • Evidencia: procedimientos documentados. Se utilizan dos técnicas principales: • Revisión de requerimientos por un comité de usuarios y TI: se revisa conveniencia y prioridad del requerimiento.

Sign up to vote on this title
UsefulNot useful