El contexto internacional: Riesgos y amenazas

SI-38 Seguridad y Auditoría de Sistemas

En las últimas décadas, una serie de grandes escándalos financieros en grandes
empresas globales, han evidenciado la fragilidad de los controles operativos y
financieros en las empresas.

Grandes empresas de auditoría internacionales se han visto envueltas por acción
u omisión en estos escándalos.

Como consecuencia, se ha reforzado a nivel internacional la exigencia de que las
empresas cumplan una serie de procedimientos y prácticas de control, a fin de
garantizar la transparencia y veracidad de sus operaciones y manejo financiero.
Ej: Sarbanes-Oxley Act (USA, 2002).

El soporte de tecnología es clave para las operaciones y manejo financiero de las
empresas, la exigencia regulatoria sobre los controles de TI se ha incrementado
grandemente: COSO, COBIT, etc.

En Perú la SBS ha establecido normativa para el control del riesgo operativo y de
TI en las empresas financieras

Cap. 1: El Proceso de Auditoría de Sistemas de Información

UPC – 2010 02

1

UPC – 2010 02

2

El Capital de Información

El contexto internacional: Riesgos y amenazas
• Atentado contra el World Trade Center, Washington (11/09/01): 8,000
servidores Intel, 5,000 servidores UNIX, 34,000 PC’s, US$ 32 billones
para recuperar equipos y sistemas, 3500 víctimas y destrucción de
sedes corporativas de diversas empresas globales.
• En 1998 se produjo una interrupción de servicios de comunicaciones de
AT&T por fallas en un switch (software y procedimientos). Por 18 horas,
a nivel mundial, usuarios de tarjetas de crédito no pudieron usarlas.

Infraestructura
Tecnológica

Bases de datos

• Terremoto de Kobe, Japón (17/01/95): duró 20 seg., intensidad de 6.8
Richter. 40,000 victimas, 148 incendios y 6.513 edificios destruidos.
Sistemas de
Información

• Empresa de Telecomunicaciones: Incendio daña instalaciones del
centro de cómputo, el cual es inundado por la acción de los bomberos.
Varios sistemas críticos quedan fuera de servicio por tres días.
• Empresa de Cosméticos: Por cercanía de su local a la Embajada de
Japón, el centro de cómputo queda inutilizable por 23 días. (11/12/96)

El capital de información junto con los demás activos intangibles influyen en el
desempeño de la empresa al mejorar los procesos internos más importantes en la
creación de valor para clientes y accionistas
Kaplan y Norton, Strategic Maps - 2004
UPC – 2010 02

3

UPC – 2010 02

4

1

La necesidad de la Auditoría y el control interno en las empresas

Principales Amenazas al Capital de Información

• ¿Cómo debe enfrentar una empresa estos
riesgos?

Amenzas de
origen social

• Divulgación no autorizada
de información confidencial
• Alteración no autorizada de
información.

• Con un proceso sólido de Gestión de Riesgos

• Accesos por proveedores
• Fraudes por empleados
• Espionaje por competidores

Bases de datos

Infraestructura
Tecnológica

• Violación de derechos de
propiedad
• Gestión deficiente de la
tecnología

Amenazas de
origen tecnológico

• Inoperatividad de tecnología
•Virus, worms, spyware
• Ataques de hackers.
• Saturación de servicios
• Spam

Sistemas de
Información

• Con un sistema de Control Interno eficiente
• Con la ejecución de auditorías eficaces

Amenazas de
origen natural

UPC – 2010 02

• Terremotos
• Inundaciones
• Incendios

5

Estrategia de mejora continua de la calidad en cuatro pasos

Auditoría es la actividad consistente en la emisión de una opinión
profesional sobre si el objeto sometido a análisis presenta adecuadamente
la realidad que pretende reflejar y/o cumple las condiciones que le han sido
prescritas.

Nivel de Madurez

Calidad:
Continuo control de la calidad y consolidación

A

Alineación
del Negocio TI

C

P
D

Mejoras
de calidad
efectivas

Plan: Plan de Proyecto
Do: Proyecto (Hacer)
Check: Auditoria
Act: Nuevas Acciones

Consolidación del nivel conseguido

6

Definición de Auditoría

Modelo de Mejoramiento Continuo de la Calidad de Deming (PDCA)

Mejoras continuas
paso a paso

UPC – 2010 02

Auditoria de
Sistemas /
Control Interno

Contenido

Una opinión

Condición

Profesional

Justificación

Sustentada en determinados procedimientos

Objeto

Determinada información obtenida de ciertas fuentes

Finalidad

Determinar si representa adecuadamente la realidad o responde a las
expectativas que le son atribuídas, es decir, su fiabilidad

Escala de Tiempo
UPC – 2010 02

7

UPC – 2010 02

8

2

Operatividad eficiente y según normas establecidas Gestión Opinión Dirección Eficacia. recursos informáticos. Debe verificar que los EE. los principales son: Clase Clase Contenido Objeto Finalidad Financiera Opinión Cuentas anuales Presentan realidad Informática o de Sistemas Opinión Sistemas de información. Como justificación y soporte del trabajo y de la opinión emitida. planes de contingencia. Contenido Dar asesoramiento o consejo Condición De carácter especializado Justificación En base a un exámen o análisis Objeto La actividad o cuestión sometida a consideración Finalidad Establecer la manera de llevarla a cabo adecuadamente UPC – 2010 02 12 3 .FF. una auditoría debe cumplir:  El trabajo debe ser planificado y supervisado adecuadamente  Se estudiará y evaluará el sistema de control interno  Se obtendrá evidencia suficiente y adecuada  La evidencia debe colectarse en los documentos de trabajo del auditor. UPC – 2010 02 UPC – 2010 02 11 Consultoría es dar asesoramiento o consejo sobre lo que se ha de hacer o cómo llevar adecuadamente una determinada actividad para obtener los fines deseados. luego de un cambio de los Directivos. requerida por las Auditorías Financieras y entidades reguladoras Gestión Auditoría de las gestión de una entidad pública o privada. estándares de gestión de la seguridad de información (ISO 27000) El sector Financiero ha sido el principal usuario de los procedimientos de auditoría UPC – 2010 02 9 Procedimientos de Auditoría 10 Definición de Consultoría • La opinión expresada en una auditoría se fundamenta en el cumplimiento de procedimientos específicos que deben proporcionar una seguridad razonable de lo que se afirma • Existen auditorías altamente reglamentadas (las financieras) donde es obligatorio aplicar Normas Técnicas y procedimientos detallados. eficiencia. muestren la realidad de la empresa Informática o de Sistemas Auditoría de controles de sistemas. Cumplimiento Opinión Normas establecidas Las operaciones se adecúan a estas normas Ejemplo Financiera Auditoría de Estados Financieros de las empresas. Exigencia de entidades reguladoras y financieras. estándares de gestión ambiental (ISO 14000).Clases de Auditoría Clases de Auditoría Algunos ejemplos: El objeto y la finalidad de una auditoría definen su tipo. Cumplimiento Cumplimiento de estándares de gestión de la calidad (ISO 9000). • En general. etc.

pérdida de privacidad. pérdida de confidencialidad. UPC – 2010 02 • Hoy día. Confidencialidad y privacidad La liberación de información confidencial puede originar importantes pérdidas económicas y ventaja frente a la competencia. • Las fallas o el mal uso de los sistemas puede afectar grandemente a la sociedad (empresas y personas): mala asignación de recursos. es indispensable en las empresas. también puede originar pérdidas por denuncias de clientes afectados. alteración indebida de datos. abuso de privilegios de acceso a sistemas. Errores en procesamiento de la información El mal funcionamiento de los sistemas puede originar fallas en los procesos productivos. Factores que influencian hacia el control y auditoría del uso de las computadoras Costos por pérdida de datos Costos por Costos por mala toma de mal uso de decisiones tecnología Valor de hardware. tácticas y estratégicas. el impacto de la calidad de los datos y la información provista por los sistemas puede ser de mayor o menor impacto. acceso físico ilegal. etc. • La información y. Protección de la inversión en tecnología y personal Los montos invertidos en hardware y software son importantes. pueden originar pérdidas importantes a las organizaciones: destrucción o robo de activos o información. Dependiendo de si las decisiones son estratégicas. todos los activos tecnológicos son los recursos o activos más importantes de una empresa. merma de la calidad. privacidad o disponibilidad. etc. Mala toma de decisiones La información se utiliza para la toma de decisiones. daño físico del personal. pérdida de ingresos. uso indebido de activos. accidentes. • El alto desarrollo tecnológico y la intensa competencia entre las empresas las hace cada vez más dependientes de los sistemas. etc. etc. etc. interrupción de operaciones. • La información debe ser preservada de cualquier mal uso que afecte su integridad. Su daño o robo puede originar una pérdida económica importante. Uso indebido de la tecnología Virus. el procesamiento automatizado de la información a través de las computadoras. cuentas por pagar.La Auditoría de Sistemas Necesidad de la Auditoría de Sistemas • ¿Y la auditoría de Sistemas?. hacking. 13 Necesidad de la Auditoría de Sistemas UPC – 2010 02 Necesidad de la Auditoría de Sistemas Pérdida de datos Daño o pérdida de información: archivos de cuentas por cobrar. • La información procesada es utilizada para tomar decisiones operativas. en general. incremento de costos o pérdida de ingresos. etc. software y personal Costos por mal Privacidad de la procesamiento de información información ORGANIZACIONES Auditoría y control de sistemas de Información UPC – 2010 02 14 15 UPC – 2010 02 16 4 . pérdida de confidencialidad o privacidad. interrupción de operaciones. fraudes. táctica u operativas.

archivos de datos. documentación de sistemas. Riesgos: incertidumbre sobre las operaciones de la empresa. veraces. software. confiables. desarrollando y aplicando técnicas de auditoría. ORGANIZACIONES Protección de activos Asegurar integridad de datos Mejorar efectividad de sistemas Mejorar eficiencia de sistemas UPC – 2010 02 17 Definición de Auditoría de Sistemas o Auditoría Informática UPC – 2010 02 18 ISACA  El auditor informático evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informáticos existentes.000 miembros en 140 países. robo.  ISACA provee dos certificaciones internacionales a los profesionales que cumplen los requisitos que establece: • CISA: Certified Information Systems Auditor • CISM: Certified Information Security Manager UPC – 2010 02 19 UPC – 2010 02 20 5 .  Se fundó en 1967. software de base. utiliza eficientemente los recursos de la organización y contribuye eficazmente a los objetivos de la organización. pérdida de competitividad Efectividad de sistemas Los sistemas deben cumplir/atender los objetivos/necesidades para los que fueron implementados. guías y procedimientos que deben seguirse para realizar auditorías de sistemas. suministros.  ISACA provee una serie de estándares. complicados. dispositivos de entrada/salida.  Information System Audit and Control Asociation (ISACA) es una asociación internacional de profesionales relacionados a las tareas de auditoría de TI. Riesgos: daños físico. uso indebido. operación del sistema. incluyendo de ser necesario el uso de software especializado. no funcionales. formularios oficiales. Integridad de datos Mantener atributos de los datos: deben ser completos. Tiene más de 50.Definición de Auditoría de Sistemas o Auditoría Informática Objetivos de la Auditoría de Sistemas  Es el proceso de recolectar. agrupar y evaluar evidencias para determinar si un sistema informático salvaguarda los activos de cómputo. etc.  La auditoría de sistemas cumple dos clases de objetivos principales:  Objetivos de protección de activos e integridad de datos  Objetivos de gestión: eficacia y eficiencia en el cumplimiento de metas empresariales Auditoría de sistemas de Información Protección de activos Hardware. guías de trabajo y estándares. etc. Eficiencia de Sistemas Un sistema eficiente utiliza la menor cantidad posible de recursos para alcanzar sus objetivos: capacidad de procesamiento. cuando un conjunto de profesionales reconoció que debido a la criticidad de la función de auditoría de sistemas en las organizaciones requería una fuente centralizada de información. costosos. mantiene la integridad de los datos.  El Informe de Auditoría es el documento formal donde se comunican los resultados de una auditoría informática. instalaciones. Riesgos: sistemas incompletos. personas (conocimiento).  El auditor informático es responsable de revisar e informar a la Dirección de la organización sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.

• Detectivos. Infraestructura Tecnológica • Accesos por proveedores Bases de datos Amenazas de origen tecnológico • Fraudes por empleados • Espionaje por competidores SI-38 Seguridad y Auditoría de Sistemas • Violación de derechos de propiedad Cap. en caso que los controles preventivos fallen. omisión o práctica maliciosa. worms. ORGANIZACIONES • Correctivos. deben identificar lo antes posible la ocurrencia de un hecho indebido. Ej: recuperar datos desde una copia de seguridad (backup). Riesgo = Probabilidad x Impacto UPC – 2010 02 21 Costos por pérdida de datos Costos por Costos por mala toma de mal uso de decisiones tecnología 22 Tipos de Controles Riesgos y Controles de Tecnología Valor de hardware. un plan de contingencia. • Saturación de servicios • Spam Vulnerabilidad: exposición a una situación adversa que podría ser explotada intencional o accidentalmente y afectar negativamente el cumplimiento de los objetivos de la organización. Riesgo es el impacto neto proveniente de una vulnerabilidad. Ej: registro de intentos de acceso fallidos para un sistema. spyware • Ataques de hackers. ocurrida una incidencia deben reducir el impacto de la misma y facilitar la vuelta a la normalidad. Ej: el uso de contraseñas para acceder a un sistema. prácticas y estructuras organizacionales) diseñados para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos. considerando tanto su probabilidad de ocurrencia como el impacto que ocasionaría en caso de materializarse.Riesgos de Tecnología Amenzas de origen social • Divulgación no autorizada de información confidencial • Alteración no autorizada de información. UPC – 2010 02 23 UPC – 2010 02 24 6 . diseñados para prevenir que ocurra un error. software y personal UPC – 2010 02 Costos por mal Privacidad de la procesamiento de información información • Preventivos. Auditoría y control de sistemas de Información Los Riesgos se manejan estableciendo Controles. procedimientos. 1: El Proceso de Auditoría de Sistemas de Información Sistemas de Información • Sabotaje / Terrorismo Amenazas de origen natural • Terremotos • Inundaciones • Incendios • Inoperatividad de tecnología •Virus. Control es un sistema (políticas. etc.

valores éticos. incluyendo programadores. Estos controles aseguran que las transacciones sean válidas. Los componentes son: Monitoring Control activities Information & communication Risk assessment Control environment Seguimiento contínuo para asegurar que las políticas y procedimientos funcionan apropiadamente Son los controles que permitirán asegurar que las operaciones del negocio están funcionando de acuerdo a los objetivos de la organización. Controles físicos: accesos y ambientales. Controles de aplicación: Se requieren para asegurar un procesamiento confiable de la información y se aplican sobre transacciones individuales.  Registro de actividades: protección y almacenamiento de documentos. Incluye los controles que permitirán al staff de TI recibir y controlar el flujo de información de negocio. los controles generales de IT permiten que se provea una infraestructura estable en la cual los sistemas de información puedan construirse. UPC – 2010 02 Controles Generales de IT Un sistema de control interno debe considerar las siguientes categorías: Incluyen los siguientes: Controles Generales de IT: Se ejecutan para asegurar que el desarrollo. etc. operarse y modificarse de acuerdo a las necesidades diarias y de acuerdo a los procedimientos establecidos. autorizadas y se registren apropiadamente. implementación. UPC – 2010 02 28 7 . incluyendo pólíticas y estándares.  Controles sobre disponibilidad y continuidad de sistemas.  Controles sobre uso de computadoras por usuarios finales. Por ejemplo el plan de continuidad de negocios.  Responsabilidad y delegación de autoridad  Personal: competente y confiable.  Procedimientos de Autorización: que aseguren los debidos niveles de aprobación y su registro adecuado. En otras palabras.  Adecuada supervisión: seguimiento cercano del supervisor para disuadir o detectar actos indebidos. (también proveedores externos). Control de accesos lógicos: cuentas de usuario y contraseñas Desarrollo de sistemas y cambios a programas. para fijar eficientemente dónde deberían establecerse los controles Fijan parámetros generales para los controles: políticas empresariales de alto nivel. Cubre la evaluación de amenazas. cultura y estructura de Recursos Humanos.  Revisiones independientes de resultados. Controles sobre personal de sistemas. UPC – 2010 02 25 Controles de IT: Generales y de Aplicación Un sistema de control interno debe considerar las siguientes categorías:  Segregación de actividades: una transacción debe pasar por varias etapas a cargo de personas distintas. pistas de auditoría.El Sistema de Control Interno El Sistema de Control Interno Las organizaciones deben tener un Sistema de Control Interno que asegure que sus controles sean los adecuados y funcionen correctamente. analistas y Operaciones y Soporte de TI. vulnerabilidades e impacto de las mismas.  Control físico sobre activos y registros: mecanismos apropiados para evitar accesos no autorizados. operación y mantenimiento de los sistemas de información se hace de una manera planeada y controlada. Segregación de actividades. UPC – 2010 02 26 27       Organización y administración.

vetting and training •Network Access Controls •Operating system controls •APPLICATION CONTROLS •INPUT PROCESS OUTPUT •Audit Trails UPC – 2010 02 29 La Auditoría y los Controles de IT UPC – 2010 02 •Standing Data 30 El Proceso de Auditoría • La función de la auditoría es determinar si existen los controles para evitar eventos no deseados en los sistemas de TI y si estos controles trabajan adecuadamente. la salida de transacciones datos y archivos maestros. •Physical and environmental controls •System Security and Internal Audit •Staff selection. Esto sólo debe ocurrir cuando no sea posible implementar un control efectivo en términos de costo-beneficio. • Eventualmente pueden existir eventos no deseados que no tengan un control establecido. incluyen:     Controles sobre Controles sobre Controles sobre Controles sobre •The IT controls framework las entradas de transacciones el procesamiento de transacciones.Controles de Aplicación Controles de IT: ‘ Onion Model’ Dado que se aplican sobre transacciones individuales. UPC – 2010 02 31 UPC – 2010 02 32 8 .

que contiene: • referencias del cliente y sus necesidades. • por solicitud expresa del cliente • cuando existe considerable desarrollo interno de sistemas • en caso de existir planes de cambios importantes en infraestructura o aplicativos.)  Necesidad de otros especialistas como ayuda a la auditoría: • en caso de riesgos significativos detectados (sistemas. etc.) • principales sistemas de información • personal de contacto en TI y en áreas usuarias • problemas del cliente con sus aplicativos • cambios planeados en aplicativos o tecnología.Planeamiento de la Auditoría Planeamiento de la Auditoría El objetivo de esta etapa es tomar conocimiento del cliente y de sus sistemas de control interno. PC’s. seguridad. redes.) • software de sistemas (sistemas operativos. Temas a considerar son:  Necesidades del cliente para la auditoría: • soporte a una auditoría financiera • evaluación de controles TI • necesidades regulatorias. software especializado.  Realidad del cliente: • organización y operaciones del negocio • hardware utilizado (servidores. procedimientos. manuales. UPC – 2010 02 34 Planeamiento de la Auditoría  Determinar alcance y tiempo de los procedimientos de auditoría: • qué aplicativos se revisarán y qué tiempo será necesario. • disponibilidad del personal del cliente • otros recursos: equipamiento. etc. equipamiento. seguridad de información. tamaño y complejidad de la plataforma tecnológica.). documentación de sistemas. plan del negocio. BD’s. nivel de experiencia y disponibilidad del mismo. UPC – 2010 02 33 Planeamiento de la Auditoría  Fuentes de información: • informe y papeles de trabajo de auditorías anteriores • observación de las instalaciones • entrevistas con personal de TI • documentos del cliente (plan estratégico de TI. etc. dinero para traslados/alojamiento. UPC – 2010 02 35 UPC – 2010 02 36 9 . • los objetivos de la auditoría • áreas críticas del negocio identificadas con el cliente • debilidades conocidas en los controles internos  Elaboración de un Plan de Auditoría. etc. etc. • alcance y objetivos de la auditoría a realizar • áreas críticas a examinar • recursos necesarios • Cronograma  Determinación de recursos necesarios: • cantidad de personal requerido. redes. en función a su contribución al negocio. etc.

Se asume que si los controles operan efectivamente. Este tipo de pruebas también buscan disminuir los costos de la auditoría. En estos casos se decide por realizar pruebas sustantivas. debe decidir la manera como debe realizar los siguientes pasos de la auditoría: PLANNING EVALUATION OF INTERNAL CONTROLS • Si considera que el riesgo de los controles vigente es inferior al máximo aceptable. estas se realizan con el objetivo de confirmar que los controles sean realmente efectivos. etc.  Puede ser necesario realizar muestreo de transacciones. Buscan determinar si el control existe en la práctica y opera efectivamente durante el periodo objeto de la auditoría. el auditor puede entrevistar al Jefe de Producción de Sistemas para determinar si se revisan los tiempos de respuesta con regularidad y qué acciones se toman cuando estos no son aceptables. Buscan confirmar los resultados esperados del control. uso de herramientas de SW especializadas.  En caso de que el auditor haya determinado realizar pruebas de cumplimiento. será menor el esfuerzo posterior en hacer pruebas sustantivas para alcanzar un juicio de auditoría. debe identificar los controles que justifican esto y evaluar si estos funcionan adecuadamente. para verificar los controles de tiempos de respuesta para un sistema crítico. Se requiere realizar un muestreo para determinar el alcance de la prueba. el auditor no verifica los controles pues supone que es probable que estos no sean efectivos y por lo tanto su prueba no sería confiable para realizar una auditoría eficiente. UPC – 2010 02 39 UPC – 2010 02 40 10 . Por ejemplo. No: No reliance on controls Yes : Perform compliance tests of controls • Si considera que el riesgo de los controles supera el máximo aceptable.Evaluar Controles Internos El Proceso de Auditoría THE AUDIT PROCESS Una vez que el auditor ha logrado un adecuado entendimiento de los controles internos del cliente. hacer seguimiento de transacciones durante el ciclo de negocio. • Pruebas sustantivas. reproducir resultados para verificar cálculos correctos. Substantive testing Review and evalaute Report UPC – 2010 02 37 Tipos de Pruebas de Auditoría UPC – 2010 02 38 Obtener evidencia de Auditoría (Pruebas de Cumplimiento) Para obtener las evidencias de la auditoría se pueden ejecutar: • Pruebas de cumplimiento. En el ejemplo anterior. el auditor elegiría un conjunto de transacciones críticas y verificaría sus tiempos de respuesta para asegurarse que están en los niveles aceptables. utilizando técnicas de muestreo para identificar transacciones significativas.

• Opinión adversa: cuando el auditor considera que existen pérdidas o problemas materiales detectados en la auditoría.  Revisión Interna: el auditor envía el informe para su validación por colegas o por su Supervisor. disminuir las pruebas sustantivas a realizar posteriormente (en caso los controles hayan sido eficientes) o incrementarlas en caso contrario.Obtener evidencia de Auditoría (Pruebas Sustantivas) Revisión y evaluación de Resultados  Se ejecutan para evaluar si errores o mal procesamiento de las transacciones ha tenido un impacto significativo (materialidad) en las operaciones o los estados financieros. posibles omisiones o errores.  Una vez realizadas estas pruebas el auditor debe confirmar o revisar su evaluación inicial del riesgo de los controles. pero estos no se consideran materiales. el auditor se apoya en colegas o supervisores para completar su opinión. • Indicación de las observaciones incluídas en el informe detallado.  La carta de presentación. • Opinión favorable: cuando el auditor considera que no se han presentado pérdidas o problemas en los controles revisados. UPC – 2010 02 41 Elaborar Informe y Presentación de Resultados  El auditor debe evaluar los hallazgos hechos en las pruebas realizadas y emitir una opinión. • Comentarios del cliente: el cliente envía eventuales comentarios al borrador formal recibido.  Los posible juicios a emitir son: • Abstenerse de opinión: cuando las verificaciones realizadas no le permiten emitir una opinión. UPC – 2010 02 43 UPC – 2010 02 44 11 . • Tercer borrador: el auditor entrega el borrador final en el cual el cliente debe responder las observaciones presentadas. Normalmente. se corrigen posibles errores y aclaran temas necesarios. UPC – 2010 02 42 Emisión del Informe de Auditoría Se siguen los siguientes pasos: El informe debe contener  Revisión de reportes preliminares • Primer borrador: para discusión con el cliente. etc. Esto puede implicar tanto. • Agradecimiento a la empresa. • Opinión calificada: cuando el auditor considera que se han presentado pérdidas o problemas. • Segundo borrador: primer informe formal para el cliente. se discute los hallazgos con colegas. • Propósito de la auditoría y eventuales salvedades (disclaimers) • Qué sistemas fueron revisados • Contenido del informe detallado • Con quién se revisó el informe • Opinión de la auditoría realizada. Se precisa el contenido del informe. Se valida que cumpla con los estándares de documentación.

• Comentarios de la Gerencia.  ¿Qué controles serían los más relevantes que Ud.  En una organización de TI que funcione adecuadamente. UPC – 2010 02 45 Infraestructura Técnica y Operaciones de TI Cap. • Recomendaciones.  La empresa a auditar es una entidad financiera local. 3: Infraestructura Técnica y Prácticas Operativas UPC – 2010 02 46 Infraestructura Técnica y Operaciones de TI Consideremos la siguiente situación:  Ud. Es importante que lo reportado sea la debilidad o problema raíz detectado. La ejecución apropiada de estas funciones permite asegurar al usuario de TI que sus sistemas de información estén disponibles en los horarios acordados. se ejecuten puntualmente. UPC – 2010 02 48 12 . el usuario se libera de las preocupaciones técnicas de los sistemas que utiliza y puede concentrarse en su debida utilización para los fines del negocio. transferencias de información. operaciones a nivel nacional y con una infraestructura de tecnología variada y compleja.  En resumen. que operen de acuerdo a lo esperado y que los resultados de su procesamiento como reportes. ingresos anuales aprox. las que al ser implementadas reducirían los riesgos. incluyendo el riesgo asociado a los mismos. la cual Ud. acaba de ingresar a laborar a una prestigiosa firma de Auditoría y le han encargado realizar la revisión de Controles de la Infraestructura Técnica y Operaciones de TI. actualización de datos. etc. debería considerar en su revisión?  ¿Qué evidencias debería solicitar para sustentar los controles implementados?  ¿Qué técnicas utilizaría para recabar la información que requiere para su revisión? UPC – 2010 02 SI-38 Seguridad y Auditoría de Sistemas 47  El término Operaciones de TI se refiere a los aspectos logísticos y de infraestructura del hardware y software. • Detalle de los hallazgos u observaciones encontrados por el auditor. pues su correcto funcionamiento está debidamente soportado en el desempeño de los roles ya establecidos. el auditor debe encontrar que las Operaciones de TI sean transparentes a los usuarios.Emisión del Informe de Auditoría El informe debe contener  El informe detallado. • Buenas prácticas de control y consideraciones sobre el riesgo de negocio asociado con las deficiencias de los controles. si la Gerencia ha considerado necesario hacerlas a las observaciones de auditoría. aún no conoce. de US$ 100 millones. Deben ser recomendaciones factibles y eficientes.

diseño y construcción de sistemas de información • Soporte de Sistemas: administración y soporte técnico del hardware y software de base.  Deficiente capacidad de procesamiento en la infraestructura. • Operaciones rutinarias de TI: encendido y apagado de equipos.Infraestructura Técnica de TI Procesamiento Minicomputadoras / Mainframes Servidores Intel: de torre. mal ingreso de parámetros. de rack. Servidores Web UPC – 2010 02 49 Infraestructura Técnica y Operaciones de TI 50  En una organización de sistemas mediana o grande. Base de datos: Oracle. Correo electrónico: Exchange. backups.  Problemas con usuarios finales por deficiente labor de help desk. versiones incorrectas. AIX.  Pérdida o daño de datos debido a incorrecto o no autorizado uso de software de sistemas. 51 UPC – 2010 02 52 13 . ejecución de tareas programadas. apagado y monitoreo de funcionamiento de equipos Seguridad física de instalaciones Help Desk y Administración de Problemas Mantenimiento de HW y SW Administración de medios de almacenamiento Respaldo de información y recuperación de desastres. DB2. por inadecuado planeamiento de capacidad. gestión de permisos de acceso a aplicativos. Notes. Servidores de aplicaciones. WAN: routers Centrales telefónicas Servicios: carriers para enlaces WAN e Internet. etc.  Pérdida de información por mala ejecución de backups. Administración de procesos y tareas Encendido. supervisión del centro de cómputo. etc. SQL Server. • Administración de Base de Datos: soporte y administración de la Base de datos de la empresa • Control de Cambios: administración y ejecución de las políticas y procedimientos de control de cambios.  Elevados tiempos de no disponibilidad de sistemas. Control de Cambios UPC – 2010 02 UPC – 2010 02 Organización para las Operaciones de TI Funciones incluídas en las Operaciones de TI:             Funcionamiento incorrecto de aplicaciones: operación errada.  Retraso o interrupciones en el procesamiento de información. tanto de aplicaciones como de HW y SW base. incluyendo equipamiento y software. malos tiempos de respuesta. Linux. • Seguridad de Sistemas: administrar controles de seguridad. Administración de capacidad Monitoreo del rendimiento Administración y monitoreo de redes y comunicaciones. blades Almacenamiento SAN NAS Unidades externas de disco Almacenamiento interno Seguridad Firewalls IDS’s VPN’s Tokens Unidades de respaldo de datos Antivirus SW de backup Filtros de contenido Antispam     Riesgos de un deficiente control de las Operaciones de TI Comunicaciones LAN: switches de core y de piso. etc. deberían existir las siguientes funciones. Administración de problemas. por fallas o retrasos en la solución de problemas. telefonía fija y celular Computo Personal Software de Base PC’s Notebooks PDA’s Impresoras personales y departamentales Sistemas Operativos: Windows 2003 Server. Sybase. se afecta su productividad al no resolver oportunamente sus problemas. realizadas por distinto personal: • Desarrollo y mantenimiento de aplicaciones: análisis.

Operaciones TI: Administración de Procesos y Tareas programadas Como parte de las Operaciones de TI se realizan una serie de actividades rutinarias pero indispensables para su adecuado funcionamiento:  Ejecución programada de tareas o procesos requeridos por usuarios: generación de reportes. incluyendo el VoBo del Operador y Supervisor respectivo. a fin de poder reconstruir cualquier evento. etc.  Procedimientos de corrección de versiones de SW de sistemas. actualización de versiones. entre otros. UPC – 2010 02 Operaciones TI: Administración de Procesos y Tareas programadas 55 El auditor de TI debe verificar:  Existencia de contratos de mantenimiento para equipos y servicios críticos. lo siguiente:  Que los procedimientos de Operación estén documentados. etc.. aplicación de parches. problemas. envío de información a terceros.  Contratos deben especificar niveles de servicio comprometidos y penalidades ante incumplimientos del proveedor. con tiempos de respuesta comprometidos o a solicitud. soporte ante problemas. actualización de firmware.  Supervisión de instalaciones y seguridad del centro de cómputo Dependiendo de la magnitud de las operaciones de TI en la empresa. estas actividades puede ser realizadas por personal a dedicación exclusiva o como parte de otras actividades. las empresas toman contratos con proveedores para manejar estas necesidades:  Contrato de mantenimiento de HW: con o sin cobertura de repuestos. UPC – 2010 02 53 Operaciones TI: Mantenimiento de Hardware y Software El auditor de TI debe verificar. actualización de datos.  Que exista una bitácora de Operación: incidencias.  Existencia de cronograma de mantenimiento preventivo de equipos y nivel de cumplimiento del mismo.  Contratos de mantenimiento de SW: actualización de versiones. etc.  Que se documenten los resultados de procesos realizados. actualizados y debidamente probados por los ejecutantes: manuales e instrucciones. Normalmente.  Software: aplicación de parches. UPC – 2010 02 54 Operaciones TI: Mantenimiento de Hardware y Software Tanto el equipamiento de hardware como el software de base utilizado requieren de procedimientos de mantenimiento preventivo y correctivo para asegurar su adecuado mantenimiento:  Hardware: revisión y limpieza de componentes. reportes.  Que los niveles de acceso a los sistemas sean los apropiados para las funciones del Operador. actualización de versiones UPC – 2010 02 56 14 . corrección de fallas de HW y reemplazo de componentes defectuosos. determinación y corrección de fallas.  Que exista una programación autorizada y documentada de los trabajos a realizar.  Encendido y apagado de equipos: según se requiera por el personal autorizado  Ejecución y verificación de procesos de respaldo o recuperación de información.  Que se realicen procedimientos de verificación de la continuidad del procesamiento y controles de cambo de turnos de operación. preventivos y/o correctivos.  Que existan procedimientos documentados para el manejo de errores.

Medios de almacenamiento a utilizar.  Procedimientos de cierre de incidentes y verificación de conformidad. que haga las veces de punto único de contacto con el usuario de TI para el registro y seguimiento de incidentes o solicitudes de servicio.  Que se ejecuten pruebas y verificaciones de procedimientos de respaldo y recuperación de copias de seguridad. Es la función más visible del área de TI y es estratégicamente importante como imagen de servicio al cliente. UPC – 2010 02 El auditor de TI debe verificar: 59 Un efectivo proceso de administración de problemas mejora los niveles de servicio.  Ejecución de procedimientos de control y descarte de los medios magnéticos.  Adecuado lugar de almacenamiento de las copias de seguridad: fuera del datacenter. Frecuencia de generación de las copias. Lugar donde se conservarán las copias generadas. Procedimientos de verificación y recuperación de la información.Operaciones TI: Respaldo de Información y Recuperación ante Desastres Operaciones TI: Respaldo de Información y Recuperación ante Desastres Copias de seguridad de datos y software disponible deben ejecutarse regularmente por el personal de Operación de Sistemas.  Estadísticas de cumplimiento de niveles de servicio UPC – 2010 02 60 15 . Procedimientos de recuperación de desastes.  Niveles de servicio acordados con el usuario para la priorización y atención de eventos y mediciones de calidad del servicio. Aspectos a considerar:        Clasificación por criticidad: de datos y de software base de sistemas. El auditor de TI debe verificar:  Existencia y operación de una mesa de servicio o unidad equivalente. UPC – 2010 02 58 Operaciones TI: Help Desk y Administración de Problemas El servicio del Help Desk/Service Desk es el vínculo más directo entre los usuarios con problemas de IT y el área de Sistemas. en ambientes seguros y con instalaciones apropiadas.  Ejecución de procedimientos de acceso y disposición de las copias de respaldo.  Análisis de tendencias para realizar soporte preventivo y mejorar procesos. (a revisar en capítulo posterior del curso) UPC – 2010 02 57 Operaciones TI: Help Desk y Administración de Problemas  La existencia y nivel de actualización de políticas de respaldo de información. Periodos de retención (antiguedad) de copias. El control siempre debe mantenerlo el Service Desk. reduce costos y mejora la satisfacción del usuario El auditor de TI debe verificar:  Procedimiento de identificación y clasificación de problemas  Procedimiento de seguimiento y solución de problemas  Procedimientos de cierre de problemas.  Procedimientos de escalamiento de incidentes para aquellos que no se puedan resolver de manera inmediata.

procesos y procedimientos. almacenamiento y contingencias.  Medición regular de capacidad y desempeño actual. incremento de capacidad.  Evidencia de la evaluación del impacto del cambio por los respectivos responsables. UPC – 2010 02 61 Operaciones TI: Control de Cambios UPC – 2010 02 62 Operaciones TI: Administración del Rendimiento y Capacidad El auditor de TI debe verificar:  Existencia y actualización de procedimientos de control de cambios.  Cumplimiento de procedimientos de control de cambios. tanto de hardware. procesos. parámetros de servicio y plataforma de hardware y software de sistemas. UPC – 2010 02 64 16 . (usuarios o de TI)  Conservación adecuada de los registros de los cambios. solución de problemas. deben administrarse formal y controladamente. con costos justificables. Debe contemplarse:  Planeación del desempeño y capacidad: actividades de revisión a fin de asegurar la disponibilidad. a fin de cumplir los niveles de servicio acordados. software de sistemas o aplicativos. Asegura que los recursos de TI que soportan los requerimientos del negocio estén disponibles de manera oportuna y continua. a fin de minimizar interrupciones del servicio por falta de capacidad o degradación del desempeño. priorización y autorización por el respectivo responsable.  Evidencia de las autorizaciones correspondientes de los responsables o propietarios de los activos de TI a ser modificados. verificando la documentación existente de los cambios.  Procedimientos para cambios de emergencia.  Evaluación de impacto.  Pronostico de capacidad y desempeño futuros: a intervalos regulares. Esto incluye el pronóstico de las necesidades futuras. UPC – 2010 02 El proceso de Control de Cambios debe contemplar:  Procedimientos formales para manejar todas las solicitudes de cambios a aplicaciones. actualización de versiones.Operaciones TI: Control de Cambios Operaciones TI: Control de Cambios  Los cambios se hacen con el fin de: mejorar funcionalidad de sistemas.  Elaboración de planes de reversión (para aplicar en caso de problemas con el cambio).  Cierre y documentación del cambio 63 Debe revisarse regularmente el desempeño actual y la capacidad de los recursos de TI. cambios en requerimientos del usuario.  Un adecuado proceso de control de cambios reduce el riesgo de impactos negativos sobre la estabilidad o integridad de los ambientes de producción. previos a la ejecución del cambio. procedimientos. Uso de técnicas de modelado.  Procedimiento para cambios de emergencia. mejorar seguridad.  Todos los cambios. basadas en los requerimientos de carga de trabajo. (aplicativo)  Evidencia de procedimientos de validación del cambio en ambientes de prueba.  Seguimiento y reporte de estado del cambio. incrementar eficiencia de operaciones de TI.

incluyendo recomendaciones para las corregir las excepciones detectadas. incluyendo fechas especiales o feriados. etc. UPC – 2010 02 El auditor de TI debe verificar:  Existencia y cumplimiento de procedimientos de medición de la capacidad y rendimiento: • Reportes de medición de utilización de CPU en servidores críticos • Mediciones de tiempos de respuesta en sistemas críticos • Estadísticas de consumo de espacio en disco • Reportes de cantidad de transacciones ejecutadas • Reportes de cantidad de conexiones activas a los servidores críticos. tiempos de respuesta.  Horario de servicio. Un SLA típico debe contener:  Descripción de los servicios a brindar.Operaciones TI: Administración del Rendimiento y Capacidad Operaciones TI: Administración del Rendimiento y Capacidad  Gestión de la disponibilidad de recursos de TI: brindar capacidad y desempeño requeridos tomando en cuenta cargas de trabajo normales y picos. etc.  Consideraciones de seguridad. máximo de interrupciones y máximo de duración de los eventos)  Tiempos de respuesta.  Existencia y cumplimiento de procedimientos de pronóstico.  Que los SLA’s establecidos soporten requerimientos del negocio. 67 El auditor de TI debe verificar  Existencia y actualización de los SLA’s. UPC – 2010 02 adecuadamente los 68 17 .  Niveles de servicio de Help Desk  Procedimientos de contingencia. priorización de tareas. planeamiento y aprovisionamiento de capacidad de recursos de TI: • Modelos de estimación de cargas de trabajo • Plan de repotenciación de equipos • Presupuesto de inversiones  Encuestas de satisfacción de usuarios  Informes periódicos de cumplimiento de niveles de servicio: disponibilidad. Asignación de recursos. UPC – 2010 02 65 Operaciones TI: Acuerdos de Niveles de Servicio UPC – 2010 02 66 Operaciones TI: Acuerdos de Niveles de Servicio Los acuerdos de niveles de servicio (SLA’s por sus siglas en inglés) permiten a la organización de TI formalizar con sus usuarios los términos de calidad y cantidad de los servicios que se prestarán.  Reportes de cumplimiento de los mismos.  Monitoreo y Reporte regular a fin de recolectar datos que permitan: mantener y poner a punto el desempeño de los recursos de TI y reportar a la organización el cumplimiento de los SLA’s acordados.  Disponibilidad de servicios (porcentaje máximo de no disponibilidad.

etc.  Debe monitorearse la operación de las redes para detectar eventuales incidentes de seguridad. El uso que hagan estos de herramientas especiales debe ser autorizado específicamente.  Los firewalls deben ser periódicamente probados para detectar y corregir vulnerabilidades.  Debe evaluarse el impacto y riesgos de los cambios en la red antes de realizarse. controles de acceso configurados. Tanto las redes LAN.Operaciones TI: Administración y monitoreo de redes y comunicaciones Operaciones TI: Administración y monitoreo de redes y comunicaciones  Prácticamente la totalidad de las organizaciones dependen para la operación de sus servicios de TI de las redes de comunicaciones.  Deben establecerse adecuados controles lógicos: cuentas de usuario. switches. niveles de acceso en los sistemas operativos de la red.  Debe utilizarse un firewall para aislar la red de cualquier otra red externa y para limitar una conexión a los fines autorizados. El acceso físico a estos dispositivos debe estar restringido. Debe existir procedimientos de respuesta antes estos. WAN y el acceso a Internet se han convertido en el ‘sistema nervioso’ de la plataforma de TI de una empresa.  Debe monitorearse de manera específica el trabajo de consultores y proveedores externos. UPC – 2010 02 72 18 . vulnerabilidades de seguridad en la configuración de los equipos.  El auditor ejecuta una serie de herramienta de evaluación y prueba de los controles enunciados: configuración de los sistemas operativos. el acceso podría ser prácticamente desde cualquier parte del mundo. 71 El auditor debe verificar:  Existencia y cumplimiento de los procedimientos de control mencionados anteriormente. Sistemas e información confidencial son accesibles a través de las redes. UPC – 2010 02 69 Operaciones TI: Administración y monitoreo de redes y comunicaciones UPC – 2010 02 70 Operaciones TI: Administración y monitoreo de redes y comunicaciones Controles que deben establecerse:  La red interna de una organización debe estar física y lógicamente aisladas de internet y de otras conexiones por un firewall. (DMZ)  Deben existir políticas y procedimientos para establecer conectividad con redes externas a la empresa. • Pérdida de continuidad de los servicios de TI.  Deben establecerse el registro automático de eventos de seguridad en los sistemas operativos de la red y su revisión regular a fin de tomar acción correctiva.  El acceso a las redes de comunicaciones implica una serie de riesgos que las organizaciones deben manejar con los controles adecuados: • Pérdida de privacidad de información y/o uso no autorizado de sistemas. bloqueo de servicios. Con los accesos a Internet. etc. por accesos no autorizados a través de la red. • Daño o pérdida de datos.  Los servidores accesibles desde Internet deben ser aislados de los servidores de datos. ataques de ‘hackers’.  La configuración física y lógica de la red debe documentarse y mantenerse actualizada. Debe obtener evidencia de dicho cumplimiento. sea por fallas involuntarios o por acción deliberada de un saboteador. pues los enlaces de las redes son susceptibles de interrupciones no programadas.  Dispositivos críticos de red como routers. deben protegerse adecuadamente contra daños físicos. etc. UPC – 2010 02 Controles que deben establecerse:  Toda información sensitiva en la red debe protegerse a través del uso de técnicas apropiadas. • Infecciones de virus.  Herramientas de diagnóstico de redes como analizadores de protocolo deben utilizarse según se requiera.

si un control existe en determinado sistema.  Ejemplos de evidencias: Entrevistas  Se utilizan para adquirir conocimiento de la organización. conducida y registrada adecuadamente y luego procesada la información a la brevedad posible. el resultado será mejor. aprobaciones. etc.  Servidores y LAN: diagramas de diseño de la red. configuración de servidores principales. etc.  Pueden utilizarse como apoyo para una entrevista. niveles de riesgo de sus sistemas y nivel de confiabilidad de los controles existentes.  Debe manejarse el nivel de stress y duración de las entrevistas. sus aplicaciones.  Respaldo de información: políticas documentadas de backups y reporte de control de ejecución. log de eventos. 2: Controles de Administración.  Su puede recopilar información cualitativa y cuantitativa  La calidad de las respuestas depende de la selección adecuada del entrevistado y de la percepción que el entrevistado tenga sobre los objetivos de la misma. cronograma de mantenimiento.  Planeamiento de capacidad: estadísticas de transacciones. También para recolectar información de ubicaciones físicamente dispersas. configuración de equipos de comunicaciones.  La entrevista requiere ser preparada con anterioridad.  Las preguntas deben ser concretas y motivar respuestas objetivas.  Los resultados deben interpretarse cuidadosamente para llegar a conclusiones objetivas. presupuesto y plan de compras  Niveles de Servicio: definición y reportes de cumplimiento  Disponibilidad: cuadros de control  Mantenimiento de HW y SW: contratos con proveedores.  Deben diseñarse cuidadosamente: preguntas.Ejemplos de Evidencias para auditoría Recolección de evidencias  Perfomance y rendimiento: cuadros de control. planeamiento y organización de Sistemas Hoja de cálculo de Microsoft Excel UPC – 2010 02 75 UPC – 2010 02 76 19 . En la medida que estos coincidan con los suyos propios. estructura y verificar su validez y confiabilidad. Por ejemplo.  Control de cambios: registros del sistema de control de cambios. Hoja de cálculo de Microsoft Excel C:\Documents and Settings\Ronald\Mis doc UPC – 2010 02 73 UPC – 2010 02 74 Recolección de evidencias Cuestionarios  Se utilizan para recabar información de hechos concretos. estructura organizativa.  Operaciones rutinarias: reportes de ejecución de tareas. escala de respuestas. SI-38 Seguridad y Auditoría de Sistemas Cap.

Incremento de costos. Ausencia de planeamiento puede exponer a la organización a limitaciones producto de esta deficiencia. se generan riesgos de diverso tipo: Inadecuada función de la gerencia puede ocasionar un alejamiento de los servicios de TI de los objetivos del negocio. Por ejemplo: lentitud en los sistemas por falta de capacidad en el la plataforma de hardware. sea por mal reclutamiento o supervisión puede originar mayor riesgo de errores en el manejo de los sistemas. dichos activos pueden ponerse en riesgo. • Controlar: comparar el desempeño actual con el planeado. la cual Ud. • Liderar: motivar. Organización y Administración de TI UPC – 2010 02 Riesgos de un deficiente control  Una manera de que el auditor pueda evaluar el desempeño de la Gerencia de TI es considerando las funciones principales que dicha gerencia debe realizar: • Planear: determinar los objetivos de la función de TI y los medios para alcanzar dichos objetivos.y se requiere determinar las implicancias de estos cambios en los sistemas de la empresa • Las relaciones de Sistemas con las áreas de negocio pueden ser difíciles de gestionar y dada la criticidad de los sistemas para el negocio. a fin de determinar acciones correctiva a tomar. debería considerar en su revisión?  ¿Qué evidencias debería solicitar para sustentar los controles implementados?  ¿Qué técnicas utilizaría para recabar la información que requiere para su revisión?  La complejidad de la función de la Gerencia de TI es alta y la organización requiere asegurarse que está siendo ejecutada de una manera correcta: • Evolución acelerada de la tecnología que soporta los sistemas de información (HW y SW). dirigir y comunicarse con el personal.  ¿Qué controles serían los más relevantes que Ud. de no establecer adecuados controles. acaba de ingresar a laborar a una prestigiosa firma de Auditoría y le han encargado realizar la revisión de Controles de la Gerencia de TI  La empresa a auditar es una entidad financiera local. UPC – 2010 02 80 20 .       UPC – 2010 02 78 79 El auditor debe evaluar si la Gerencia de TI ha elaborado un plan adecuado para las necesidades de la empresa. La gerencia es responsable de la protección de los activos de TI. Estructuras organizativas deficientes pueden provocar una mala provisión de los servicios de TI. UPC – 2010 02 77 Controles del Planeamiento. Personal de staff deficiente. este soporte puede deteriorarse si las áreas de negocio consideran que Sistemas no les presta el apoyo adecuado. aún no conoce. • El negocio requiere innovación y sistemas es siempre visto como una fuente de esta. operaciones a nivel nacional y con una infraestructura de tecnología variada y compleja. Organización y Administración de TI Consideremos la siguiente situación:  Controles a aplicar sobre la función de la Gerencia de TI  Ud. a fin de proporcionar una ventaja competitiva. • Organizar: obtener. de US$ 100 millones. asignar y coordinar los recursos necesarios para lograr los objetivos.  El auditor debe estar en condiciones de evaluar cuan bien la Gerencia de sistemas está ejecutando su rol en la empresa. Si esto no ocurre.La Auditoría de Sistemas de Información Controles del Planeamiento. ingresos anuales aprox.

dependerá del tipo de organización.  El Plan de TI debe ser aprobado por la Gerencia General  El esfuerzo desplegado en la función del planeamiento de TI. • Desarrollo de la estrategia: definición de la visión de TI en la empresa. plataforma de HW/SW.  El plan de TI debe difundirse al personal de Sistemas. • Iniciativas a desarrollar: sistemas a construir. tecnología de HW y SW disponibles. recursos de personal que serán necesarios. recursos financieros necesarios. recursos de personal a requerirse.  El Plan de TI debe estar alineado con las estrategias del negocio. el Auditor debe prestar el debido nivel de importancia a la revisión de la función de planeamiento. otras iniciativas de importancia. problemática existente con la tecnología. bases de datos. Mayores inversiones/gastos en TI deben hacerse sólo cuando pueda demostrarse un sólido caso de negocios. FODA. cambios mayores de HW/SW. • Formular estrategias y tácticas para adquirir los recursos necesarios Deben de prepararse dos tipos de planes para la función de Sistemas:  El plan estratégico. HW/SW a implementar. • Evidencia a validar: Plan Estratégico/largo plazo de Sistemas UPC – 2010 02 81 Evaluar la función de Planeamiento UPC – 2010 02 82 Consideraciones para el Planeamiento de TI  El plan operacional o táctico. cubre el corto plazo (entre 1 y 3 años) y contiene: • Reporte de avance: planes actuales en ejecución o retrasados. • Identificar los recursos necesarios para proveer los requerimientos de tecnología y los sistemas de información. futuros sistemas.  Evidencia a validar: planes de mediano plazo de sistemas UPC – 2010 02 83 UPC – 2010 02 84 21 . aproximación al control de la implementación de la estrategia. Su elaboración debe contemplar: • Reconocer oportunidades y problemas que confronta la organización. procedimientos de control a aplicar. Su alineamiento con el plan general de la organización debe también verificarse. (no con los deseos del staff técnico)  TI es visto como un generador importante de gastos. • Dirección estratégica: futuros sistemas a proveer. el tamaño y de la situación de la misma: empresas en un ambiente volátil y operaciones altamente dependientes de TI requerirán alta concentración en el planeamiento para mantener su posición competitiva en el mercado. recursos financieros. estrategias generales internas y externas (con otras áreas). etc.Evaluar la función de Planeamiento Evaluar la función de Planeamiento  La Gerencia de sistemas es responsable de elaborar un plan general para la función de sistemas. para los cuales las tecnologías y los sistemas de información pueden aplicarse de manera eficiente. • Plan de implementación: fechas propuestas para los principales proyectos. cubre el largo plazo (entre 3 y 5 años) y contiene: • Evaluación de la situación actual de TI: sistemas y servicios existentes.  Según sea el caso. hitos de control. Este plan debe cubrir tanto el largo como el corto plazo para la dirección de los sistemas de información de la empresa.  Tanto el plan estratégico como el operacional deben de ser revisados y actualizados con regularidad. personal.

• Los recursos deben aplicarse de acuerdo a un plan que asegure su disponibilidad oportuna. documentación. descentralización de la función de sistemas. esta organización puede variar grandemente dependiendo de las particularidades de la empresa: tamaño. c) uno de los mayores riesgos de seguridad de TI es el personal interno. darle oportunidades de desarrollo personal e identificar debilidades/fortalezas.Evaluar la función de Organización Evaluar la función de Organización  La función de Organización se encarga de conseguir. Los requerimientos a cumplir deben estar formalizados en las descripciones de puestos. El entrenamiento es crítico para la efectividad de las operaciones de TI. Si esto no se hace adecuadamente. Segundo. etc. • Reclutamiento: debe evaluarse cuidadosamente la capacidad. b) es complicado obtener buen personal de TI y su rotación es alta. evaluación de compras. • Sin embargo. utilizando diversas herramientas: entrevistas. Deben hacerse de manera oportuna. UPC – 2010 02 88 22 . problemas operativos en el día a día. La ausencia de estas actividades desmotiva y origina rotación del personal. deben realizarse ciertas acciones de control: desactivación de accesos.  Obtención de recursos • Hardware. Los recursos para compra e implementación deben ser obtenidos oportunamente. de salud y psicológicas. control de gastos. la definición de puestos de trabajo debe preservar en lo posible la separación de funciones. base de datos. el auditor lo percibirá de varias formas: proyectos atrasados o cancelados por falta de recursos humanos o de instalaciones. UPC – 2010 02  Gestión del personal de TI 87  Estructura Organizativa • Comprende la definición de las unidades de servicio en las cuales se organiza la función de TI para cumplir sus objetivos y la descripción formal de roles y responsabilidades de los puestos de trabajo. Los activos de TI también podrían verse expuestos. pruebas técnicas. • Definición de necesidades. etc. asignar y estructurar los recursos para alcanzar los objetivos de la organización. Manual de organización y funciones. debe existir un plan de capacitación. justificación de las inversiones/gastos. • Evidencia a evaluar: procedimiento de reclutamiento de personal UPC – 2010 02 86 Evaluar la función de Organización  Gestión del personal de TI • Desarrollo del personal: establecimiento de la línea de carrera y entrenamiento. • Evidencia a evaluar: presupuestos. la organización de TI no será efectiva ni eficiente. dinero. • Evidencia: procedimientos de baja y desactivación de accesos. adicionalmente. • Evidencia: Organigrama. esto originaría inevitablemente modificaciones no autorizadas de programas. • El auditor debe evaluar dos aspectos principales: primero. etc. etc. etc. deben existir definiciones formales y claras de las responsabilidades de cada puesto. producción de sistemas. • La organización de TI normalmente se presenta en función de las actividades desarrolladas: desarrollo de sistemas. personal. etc. plan de capacitación. comunicaciones. devolución de identificaciones o equipos. software. etc. • Término de funciones: tanto si es voluntario como no. UPC – 2010 02 85 Evaluar la función de Organización • Importante por: a) efectividad de las funciones de TI dependen principalmente de la calidad del personal. establecer contratos. Ej: un programador no puede administrar la base de datos. instalaciones. etc. Debe evaluarse periódicamente al personal para determinar la idoneidad del mismo para ser promocionado. el personal debe conocerlas y comprenderlas cabalmente. aprovisionamientos. instalaciones. • Evidencia: plan de carrera de personal de Sistemas. • Si lo anterior no se hace correctamente. revisión de antecedentes. potencial e integridad de los postulantes. baja moral del personal.

pueden realizarse evaluaciones postimplementación de proyectos importantes. • Políticas de seguridad • Políticas para contratación de proveedores. etc. seguros. También. • Comunicarse efectivamente con las personas: esencial para entender los objetivos de la organización y para crear confianza entre las personas. alta rotación de personal. UPC – 2010 02 89 Evaluar la función de Control UPC – 2010 02 90 Evaluar la función de Control La Gerencia de Sistemas debe cumplir labores de control a un nivel global de la función de sistemas. Ejemplo: bancos. También influye el estilo de las personas. • Estándares de control de proyectos: método para gestionar los proyectos. Adicionalmente. • Evidencia: control de gastos. Las principales políticas o estándares son: • Estándares de métodos: programación. ausentismo. informes de evaluación de resultados. revisados y recordados regularmente y evaluado su cumplimiento. etc. • Estándares de cumplimiento de auditorías: actividades para revisión de cumplimiento. Ej: empresas de manufactura. retail. UPC – 2010 02 92 23 . políticas. El auditor puede verificar si los elementos formales como documentación. construcción.. etc. diseño.Evaluar la función de Organización Evaluar la función de Liderazgo  Ubicación de la función de Sistemas • La ubicación de Sistemas dentro de la jerarquía organizacional influye grandemente en la efectividad de sus funciones. a fin de asegurar que esta cumpla los objetivos de la organización. etc. etc. UPC – 2010 02  El propósito del liderazgo es alcanzar la armonía entre los objetivos de la organización y los de las personas. comunicados. • Control general de la función de sistemas: ¿es adecuado el nivel de gastos en Sistemas? ¿los beneficios que obtiene la organización de Sistemas corresponden a los niveles de gasto que se tienen? Para la primera pregunta se utilizan las técnicas del benchmarking con otras organizaciones de la industria. En el segundo caso.  El auditor puede percibir problemas cuando se presenta. etc. se evalúan los objetivos alcanzados en base al plan estratégico y táctico. Sistemas se independiza de las áreas usuarias y reporta directamente a la Gerencia General. • Evidencia: documentación de los controles indicados. normalmente a la Gerencia Financiera. 91 • Control de las actividades de Sistemas: La Gerencia de TI toma control de las actividades de su personal estableciendo políticas y estándares. Estos deben ser debidamente comunicados. • El auditor debe determinar la importancia de la función de sistemas dentro de la organización y luego evaluar si su ubicación en la estructura organizacional asegura suficiente independencia y autoridad. documentación. • En una organización donde TI es únicamente una función de soporte operativo. se hacen efectivamente. • En una organización en la cual TI es parte importante de sus todas sus operaciones. fallas constantes en proyectos. etc. temas informales como el nivel de satisfacción del personal. • Hacer coincidir estilo de liderazgo con las personas y sus funciones: dependiendo de la situación y el tipo de trabajo el tipo de liderazgo debe ser distinto. pérdida de autoridad del supervisor. sistemas reporta a un área usuaria. Esto requiere: • Motivar al personal: aplicar el argumento correcto para incentivar a cada persona. reuniones. • Estándares de perfomance: tiempos de respuesta. horas de prueba. claridad y compromiso de los objetivos deben de ser evaluados en entrevistas personales.

• Costos de transferencia por los servicios prestados: se determinan costos en función al consumo de recursos de las áreas usuarias y estos se ‘cargan’ a ellas como parte de sus gastos operativos. UPC – 2010 02 93 24 . Se utilizan dos técnicas principales: • Revisión de requerimientos por un comité de usuarios y TI: se revisa conveniencia y prioridad del requerimiento. • Evidencia: procedimientos documentados.Evaluar la función de Control • Control de la utilización de los servicios de TI: La Gerencia de TI debe desarrollar políticas y procedimientos para incentivar el uso eficiente y efectivo de los servicios de TI por las áreas usuarias.

Sign up to vote on this title
UsefulNot useful