El contexto internacional: Riesgos y amenazas

SI-38 Seguridad y Auditoría de Sistemas

En las últimas décadas, una serie de grandes escándalos financieros en grandes
empresas globales, han evidenciado la fragilidad de los controles operativos y
financieros en las empresas.

Grandes empresas de auditoría internacionales se han visto envueltas por acción
u omisión en estos escándalos.

Como consecuencia, se ha reforzado a nivel internacional la exigencia de que las
empresas cumplan una serie de procedimientos y prácticas de control, a fin de
garantizar la transparencia y veracidad de sus operaciones y manejo financiero.
Ej: Sarbanes-Oxley Act (USA, 2002).

El soporte de tecnología es clave para las operaciones y manejo financiero de las
empresas, la exigencia regulatoria sobre los controles de TI se ha incrementado
grandemente: COSO, COBIT, etc.

En Perú la SBS ha establecido normativa para el control del riesgo operativo y de
TI en las empresas financieras

Cap. 1: El Proceso de Auditoría de Sistemas de Información

UPC – 2010 02

1

UPC – 2010 02

2

El Capital de Información

El contexto internacional: Riesgos y amenazas
• Atentado contra el World Trade Center, Washington (11/09/01): 8,000
servidores Intel, 5,000 servidores UNIX, 34,000 PC’s, US$ 32 billones
para recuperar equipos y sistemas, 3500 víctimas y destrucción de
sedes corporativas de diversas empresas globales.
• En 1998 se produjo una interrupción de servicios de comunicaciones de
AT&T por fallas en un switch (software y procedimientos). Por 18 horas,
a nivel mundial, usuarios de tarjetas de crédito no pudieron usarlas.

Infraestructura
Tecnológica

Bases de datos

• Terremoto de Kobe, Japón (17/01/95): duró 20 seg., intensidad de 6.8
Richter. 40,000 victimas, 148 incendios y 6.513 edificios destruidos.
Sistemas de
Información

• Empresa de Telecomunicaciones: Incendio daña instalaciones del
centro de cómputo, el cual es inundado por la acción de los bomberos.
Varios sistemas críticos quedan fuera de servicio por tres días.
• Empresa de Cosméticos: Por cercanía de su local a la Embajada de
Japón, el centro de cómputo queda inutilizable por 23 días. (11/12/96)

El capital de información junto con los demás activos intangibles influyen en el
desempeño de la empresa al mejorar los procesos internos más importantes en la
creación de valor para clientes y accionistas
Kaplan y Norton, Strategic Maps - 2004
UPC – 2010 02

3

UPC – 2010 02

4

1

La necesidad de la Auditoría y el control interno en las empresas

Principales Amenazas al Capital de Información

• ¿Cómo debe enfrentar una empresa estos
riesgos?

Amenzas de
origen social

• Divulgación no autorizada
de información confidencial
• Alteración no autorizada de
información.

• Con un proceso sólido de Gestión de Riesgos

• Accesos por proveedores
• Fraudes por empleados
• Espionaje por competidores

Bases de datos

Infraestructura
Tecnológica

• Violación de derechos de
propiedad
• Gestión deficiente de la
tecnología

Amenazas de
origen tecnológico

• Inoperatividad de tecnología
•Virus, worms, spyware
• Ataques de hackers.
• Saturación de servicios
• Spam

Sistemas de
Información

• Con un sistema de Control Interno eficiente
• Con la ejecución de auditorías eficaces

Amenazas de
origen natural

UPC – 2010 02

• Terremotos
• Inundaciones
• Incendios

5

Estrategia de mejora continua de la calidad en cuatro pasos

Auditoría es la actividad consistente en la emisión de una opinión
profesional sobre si el objeto sometido a análisis presenta adecuadamente
la realidad que pretende reflejar y/o cumple las condiciones que le han sido
prescritas.

Nivel de Madurez

Calidad:
Continuo control de la calidad y consolidación

A

Alineación
del Negocio TI

C

P
D

Mejoras
de calidad
efectivas

Plan: Plan de Proyecto
Do: Proyecto (Hacer)
Check: Auditoria
Act: Nuevas Acciones

Consolidación del nivel conseguido

6

Definición de Auditoría

Modelo de Mejoramiento Continuo de la Calidad de Deming (PDCA)

Mejoras continuas
paso a paso

UPC – 2010 02

Auditoria de
Sistemas /
Control Interno

Contenido

Una opinión

Condición

Profesional

Justificación

Sustentada en determinados procedimientos

Objeto

Determinada información obtenida de ciertas fuentes

Finalidad

Determinar si representa adecuadamente la realidad o responde a las
expectativas que le son atribuídas, es decir, su fiabilidad

Escala de Tiempo
UPC – 2010 02

7

UPC – 2010 02

8

2

Clases de Auditoría Clases de Auditoría Algunos ejemplos: El objeto y la finalidad de una auditoría definen su tipo.FF. • En general. Contenido Dar asesoramiento o consejo Condición De carácter especializado Justificación En base a un exámen o análisis Objeto La actividad o cuestión sometida a consideración Finalidad Establecer la manera de llevarla a cabo adecuadamente UPC – 2010 02 12 3 . etc. una auditoría debe cumplir:  El trabajo debe ser planificado y supervisado adecuadamente  Se estudiará y evaluará el sistema de control interno  Se obtendrá evidencia suficiente y adecuada  La evidencia debe colectarse en los documentos de trabajo del auditor. Como justificación y soporte del trabajo y de la opinión emitida. requerida por las Auditorías Financieras y entidades reguladoras Gestión Auditoría de las gestión de una entidad pública o privada. Cumplimiento Opinión Normas establecidas Las operaciones se adecúan a estas normas Ejemplo Financiera Auditoría de Estados Financieros de las empresas. estándares de gestión de la seguridad de información (ISO 27000) El sector Financiero ha sido el principal usuario de los procedimientos de auditoría UPC – 2010 02 9 Procedimientos de Auditoría 10 Definición de Consultoría • La opinión expresada en una auditoría se fundamenta en el cumplimiento de procedimientos específicos que deben proporcionar una seguridad razonable de lo que se afirma • Existen auditorías altamente reglamentadas (las financieras) donde es obligatorio aplicar Normas Técnicas y procedimientos detallados. planes de contingencia. eficiencia. luego de un cambio de los Directivos. estándares de gestión ambiental (ISO 14000). Operatividad eficiente y según normas establecidas Gestión Opinión Dirección Eficacia. muestren la realidad de la empresa Informática o de Sistemas Auditoría de controles de sistemas. recursos informáticos. Debe verificar que los EE. UPC – 2010 02 UPC – 2010 02 11 Consultoría es dar asesoramiento o consejo sobre lo que se ha de hacer o cómo llevar adecuadamente una determinada actividad para obtener los fines deseados. los principales son: Clase Clase Contenido Objeto Finalidad Financiera Opinión Cuentas anuales Presentan realidad Informática o de Sistemas Opinión Sistemas de información. Exigencia de entidades reguladoras y financieras. Cumplimiento Cumplimiento de estándares de gestión de la calidad (ISO 9000).

etc. pérdida de privacidad. etc. software y personal Costos por mal Privacidad de la procesamiento de información información ORGANIZACIONES Auditoría y control de sistemas de Información UPC – 2010 02 14 15 UPC – 2010 02 16 4 . etc. alteración indebida de datos. todos los activos tecnológicos son los recursos o activos más importantes de una empresa. • Las fallas o el mal uso de los sistemas puede afectar grandemente a la sociedad (empresas y personas): mala asignación de recursos. Su daño o robo puede originar una pérdida económica importante. accidentes. etc. Errores en procesamiento de la información El mal funcionamiento de los sistemas puede originar fallas en los procesos productivos. Mala toma de decisiones La información se utiliza para la toma de decisiones. • La información y. privacidad o disponibilidad. Dependiendo de si las decisiones son estratégicas. en general. Confidencialidad y privacidad La liberación de información confidencial puede originar importantes pérdidas económicas y ventaja frente a la competencia. cuentas por pagar. etc. abuso de privilegios de acceso a sistemas. UPC – 2010 02 • Hoy día. interrupción de operaciones. interrupción de operaciones. táctica u operativas. etc. fraudes. • La información debe ser preservada de cualquier mal uso que afecte su integridad. • El alto desarrollo tecnológico y la intensa competencia entre las empresas las hace cada vez más dependientes de los sistemas. pérdida de confidencialidad o privacidad. daño físico del personal. tácticas y estratégicas. pueden originar pérdidas importantes a las organizaciones: destrucción o robo de activos o información. también puede originar pérdidas por denuncias de clientes afectados. pérdida de confidencialidad. pérdida de ingresos. incremento de costos o pérdida de ingresos. merma de la calidad. Protección de la inversión en tecnología y personal Los montos invertidos en hardware y software son importantes. Uso indebido de la tecnología Virus. hacking. uso indebido de activos. • La información procesada es utilizada para tomar decisiones operativas. Factores que influencian hacia el control y auditoría del uso de las computadoras Costos por pérdida de datos Costos por Costos por mala toma de mal uso de decisiones tecnología Valor de hardware.La Auditoría de Sistemas Necesidad de la Auditoría de Sistemas • ¿Y la auditoría de Sistemas?. el impacto de la calidad de los datos y la información provista por los sistemas puede ser de mayor o menor impacto. es indispensable en las empresas. acceso físico ilegal. 13 Necesidad de la Auditoría de Sistemas UPC – 2010 02 Necesidad de la Auditoría de Sistemas Pérdida de datos Daño o pérdida de información: archivos de cuentas por cobrar. el procesamiento automatizado de la información a través de las computadoras.

uso indebido. etc.  La auditoría de sistemas cumple dos clases de objetivos principales:  Objetivos de protección de activos e integridad de datos  Objetivos de gestión: eficacia y eficiencia en el cumplimiento de metas empresariales Auditoría de sistemas de Información Protección de activos Hardware. Tiene más de 50. guías de trabajo y estándares. Riesgos: daños físico. ORGANIZACIONES Protección de activos Asegurar integridad de datos Mejorar efectividad de sistemas Mejorar eficiencia de sistemas UPC – 2010 02 17 Definición de Auditoría de Sistemas o Auditoría Informática UPC – 2010 02 18 ISACA  El auditor informático evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informáticos existentes. complicados. pérdida de competitividad Efectividad de sistemas Los sistemas deben cumplir/atender los objetivos/necesidades para los que fueron implementados. agrupar y evaluar evidencias para determinar si un sistema informático salvaguarda los activos de cómputo. formularios oficiales. personas (conocimiento). Riesgos: incertidumbre sobre las operaciones de la empresa. veraces. confiables.  ISACA provee una serie de estándares.  ISACA provee dos certificaciones internacionales a los profesionales que cumplen los requisitos que establece: • CISA: Certified Information Systems Auditor • CISM: Certified Information Security Manager UPC – 2010 02 19 UPC – 2010 02 20 5 . guías y procedimientos que deben seguirse para realizar auditorías de sistemas. etc. software de base.  Information System Audit and Control Asociation (ISACA) es una asociación internacional de profesionales relacionados a las tareas de auditoría de TI. desarrollando y aplicando técnicas de auditoría.Definición de Auditoría de Sistemas o Auditoría Informática Objetivos de la Auditoría de Sistemas  Es el proceso de recolectar. instalaciones. Eficiencia de Sistemas Un sistema eficiente utiliza la menor cantidad posible de recursos para alcanzar sus objetivos: capacidad de procesamiento.  Se fundó en 1967. mantiene la integridad de los datos.  El auditor informático es responsable de revisar e informar a la Dirección de la organización sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.000 miembros en 140 países. Integridad de datos Mantener atributos de los datos: deben ser completos. dispositivos de entrada/salida. incluyendo de ser necesario el uso de software especializado. cuando un conjunto de profesionales reconoció que debido a la criticidad de la función de auditoría de sistemas en las organizaciones requería una fuente centralizada de información. robo. Riesgos: sistemas incompletos. archivos de datos.  El Informe de Auditoría es el documento formal donde se comunican los resultados de una auditoría informática. suministros. no funcionales. software. costosos. documentación de sistemas. utiliza eficientemente los recursos de la organización y contribuye eficazmente a los objetivos de la organización. operación del sistema.

omisión o práctica maliciosa. Riesgo = Probabilidad x Impacto UPC – 2010 02 21 Costos por pérdida de datos Costos por Costos por mala toma de mal uso de decisiones tecnología 22 Tipos de Controles Riesgos y Controles de Tecnología Valor de hardware. • Saturación de servicios • Spam Vulnerabilidad: exposición a una situación adversa que podría ser explotada intencional o accidentalmente y afectar negativamente el cumplimiento de los objetivos de la organización. Control es un sistema (políticas. Ej: el uso de contraseñas para acceder a un sistema. UPC – 2010 02 23 UPC – 2010 02 24 6 . Infraestructura Tecnológica • Accesos por proveedores Bases de datos Amenazas de origen tecnológico • Fraudes por empleados • Espionaje por competidores SI-38 Seguridad y Auditoría de Sistemas • Violación de derechos de propiedad Cap. un plan de contingencia. 1: El Proceso de Auditoría de Sistemas de Información Sistemas de Información • Sabotaje / Terrorismo Amenazas de origen natural • Terremotos • Inundaciones • Incendios • Inoperatividad de tecnología •Virus. en caso que los controles preventivos fallen.Riesgos de Tecnología Amenzas de origen social • Divulgación no autorizada de información confidencial • Alteración no autorizada de información. worms. ORGANIZACIONES • Correctivos. ocurrida una incidencia deben reducir el impacto de la misma y facilitar la vuelta a la normalidad. Ej: registro de intentos de acceso fallidos para un sistema. • Detectivos. considerando tanto su probabilidad de ocurrencia como el impacto que ocasionaría en caso de materializarse. diseñados para prevenir que ocurra un error. deben identificar lo antes posible la ocurrencia de un hecho indebido. spyware • Ataques de hackers. software y personal UPC – 2010 02 Costos por mal Privacidad de la procesamiento de información información • Preventivos. Auditoría y control de sistemas de Información Los Riesgos se manejan estableciendo Controles. etc. Ej: recuperar datos desde una copia de seguridad (backup). Riesgo es el impacto neto proveniente de una vulnerabilidad. procedimientos. prácticas y estructuras organizacionales) diseñados para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos.

Controles físicos: accesos y ambientales. operación y mantenimiento de los sistemas de información se hace de una manera planeada y controlada.  Controles sobre disponibilidad y continuidad de sistemas. UPC – 2010 02 Controles Generales de IT Un sistema de control interno debe considerar las siguientes categorías: Incluyen los siguientes: Controles Generales de IT: Se ejecutan para asegurar que el desarrollo. Controles de aplicación: Se requieren para asegurar un procesamiento confiable de la información y se aplican sobre transacciones individuales. pistas de auditoría.  Adecuada supervisión: seguimiento cercano del supervisor para disuadir o detectar actos indebidos. Control de accesos lógicos: cuentas de usuario y contraseñas Desarrollo de sistemas y cambios a programas.  Controles sobre uso de computadoras por usuarios finales. Cubre la evaluación de amenazas. los controles generales de IT permiten que se provea una infraestructura estable en la cual los sistemas de información puedan construirse.  Procedimientos de Autorización: que aseguren los debidos niveles de aprobación y su registro adecuado. cultura y estructura de Recursos Humanos. UPC – 2010 02 26 27       Organización y administración. etc. valores éticos. para fijar eficientemente dónde deberían establecerse los controles Fijan parámetros generales para los controles: políticas empresariales de alto nivel. operarse y modificarse de acuerdo a las necesidades diarias y de acuerdo a los procedimientos establecidos. (también proveedores externos).El Sistema de Control Interno El Sistema de Control Interno Las organizaciones deben tener un Sistema de Control Interno que asegure que sus controles sean los adecuados y funcionen correctamente. Segregación de actividades. autorizadas y se registren apropiadamente. incluyendo pólíticas y estándares. Estos controles aseguran que las transacciones sean válidas. implementación. UPC – 2010 02 25 Controles de IT: Generales y de Aplicación Un sistema de control interno debe considerar las siguientes categorías:  Segregación de actividades: una transacción debe pasar por varias etapas a cargo de personas distintas.  Responsabilidad y delegación de autoridad  Personal: competente y confiable. Incluye los controles que permitirán al staff de TI recibir y controlar el flujo de información de negocio. incluyendo programadores.  Control físico sobre activos y registros: mecanismos apropiados para evitar accesos no autorizados. analistas y Operaciones y Soporte de TI.  Revisiones independientes de resultados. Los componentes son: Monitoring Control activities Information & communication Risk assessment Control environment Seguimiento contínuo para asegurar que las políticas y procedimientos funcionan apropiadamente Son los controles que permitirán asegurar que las operaciones del negocio están funcionando de acuerdo a los objetivos de la organización. vulnerabilidades e impacto de las mismas. Controles sobre personal de sistemas.  Registro de actividades: protección y almacenamiento de documentos. Por ejemplo el plan de continuidad de negocios. UPC – 2010 02 28 7 . En otras palabras.

la salida de transacciones datos y archivos maestros. UPC – 2010 02 31 UPC – 2010 02 32 8 .Controles de Aplicación Controles de IT: ‘ Onion Model’ Dado que se aplican sobre transacciones individuales. incluyen:     Controles sobre Controles sobre Controles sobre Controles sobre •The IT controls framework las entradas de transacciones el procesamiento de transacciones. •Physical and environmental controls •System Security and Internal Audit •Staff selection. vetting and training •Network Access Controls •Operating system controls •APPLICATION CONTROLS •INPUT PROCESS OUTPUT •Audit Trails UPC – 2010 02 29 La Auditoría y los Controles de IT UPC – 2010 02 •Standing Data 30 El Proceso de Auditoría • La función de la auditoría es determinar si existen los controles para evitar eventos no deseados en los sistemas de TI y si estos controles trabajan adecuadamente. • Eventualmente pueden existir eventos no deseados que no tengan un control establecido. Esto sólo debe ocurrir cuando no sea posible implementar un control efectivo en términos de costo-beneficio.

manuales. etc. equipamiento. • alcance y objetivos de la auditoría a realizar • áreas críticas a examinar • recursos necesarios • Cronograma  Determinación de recursos necesarios: • cantidad de personal requerido. Temas a considerar son:  Necesidades del cliente para la auditoría: • soporte a una auditoría financiera • evaluación de controles TI • necesidades regulatorias.Planeamiento de la Auditoría Planeamiento de la Auditoría El objetivo de esta etapa es tomar conocimiento del cliente y de sus sistemas de control interno. plan del negocio. • disponibilidad del personal del cliente • otros recursos: equipamiento. etc. tamaño y complejidad de la plataforma tecnológica. • por solicitud expresa del cliente • cuando existe considerable desarrollo interno de sistemas • en caso de existir planes de cambios importantes en infraestructura o aplicativos.)  Necesidad de otros especialistas como ayuda a la auditoría: • en caso de riesgos significativos detectados (sistemas.) • software de sistemas (sistemas operativos. BD’s. etc. software especializado. redes. seguridad de información. etc. UPC – 2010 02 34 Planeamiento de la Auditoría  Determinar alcance y tiempo de los procedimientos de auditoría: • qué aplicativos se revisarán y qué tiempo será necesario. etc. dinero para traslados/alojamiento. procedimientos. PC’s. etc. UPC – 2010 02 35 UPC – 2010 02 36 9 . documentación de sistemas.  Realidad del cliente: • organización y operaciones del negocio • hardware utilizado (servidores. • los objetivos de la auditoría • áreas críticas del negocio identificadas con el cliente • debilidades conocidas en los controles internos  Elaboración de un Plan de Auditoría. UPC – 2010 02 33 Planeamiento de la Auditoría  Fuentes de información: • informe y papeles de trabajo de auditorías anteriores • observación de las instalaciones • entrevistas con personal de TI • documentos del cliente (plan estratégico de TI. que contiene: • referencias del cliente y sus necesidades. en función a su contribución al negocio. redes.). nivel de experiencia y disponibilidad del mismo. seguridad.) • principales sistemas de información • personal de contacto en TI y en áreas usuarias • problemas del cliente con sus aplicativos • cambios planeados en aplicativos o tecnología.

estas se realizan con el objetivo de confirmar que los controles sean realmente efectivos. será menor el esfuerzo posterior en hacer pruebas sustantivas para alcanzar un juicio de auditoría.  En caso de que el auditor haya determinado realizar pruebas de cumplimiento. Buscan confirmar los resultados esperados del control. el auditor puede entrevistar al Jefe de Producción de Sistemas para determinar si se revisan los tiempos de respuesta con regularidad y qué acciones se toman cuando estos no son aceptables. En estos casos se decide por realizar pruebas sustantivas. En el ejemplo anterior.  Puede ser necesario realizar muestreo de transacciones. debe identificar los controles que justifican esto y evaluar si estos funcionan adecuadamente. UPC – 2010 02 39 UPC – 2010 02 40 10 . Se requiere realizar un muestreo para determinar el alcance de la prueba. No: No reliance on controls Yes : Perform compliance tests of controls • Si considera que el riesgo de los controles supera el máximo aceptable. debe decidir la manera como debe realizar los siguientes pasos de la auditoría: PLANNING EVALUATION OF INTERNAL CONTROLS • Si considera que el riesgo de los controles vigente es inferior al máximo aceptable. etc. Buscan determinar si el control existe en la práctica y opera efectivamente durante el periodo objeto de la auditoría. Se asume que si los controles operan efectivamente. uso de herramientas de SW especializadas. hacer seguimiento de transacciones durante el ciclo de negocio.Evaluar Controles Internos El Proceso de Auditoría THE AUDIT PROCESS Una vez que el auditor ha logrado un adecuado entendimiento de los controles internos del cliente. el auditor no verifica los controles pues supone que es probable que estos no sean efectivos y por lo tanto su prueba no sería confiable para realizar una auditoría eficiente. reproducir resultados para verificar cálculos correctos. • Pruebas sustantivas. Substantive testing Review and evalaute Report UPC – 2010 02 37 Tipos de Pruebas de Auditoría UPC – 2010 02 38 Obtener evidencia de Auditoría (Pruebas de Cumplimiento) Para obtener las evidencias de la auditoría se pueden ejecutar: • Pruebas de cumplimiento. Este tipo de pruebas también buscan disminuir los costos de la auditoría. utilizando técnicas de muestreo para identificar transacciones significativas. para verificar los controles de tiempos de respuesta para un sistema crítico. Por ejemplo. el auditor elegiría un conjunto de transacciones críticas y verificaría sus tiempos de respuesta para asegurarse que están en los niveles aceptables.

UPC – 2010 02 43 UPC – 2010 02 44 11 . Se valida que cumpla con los estándares de documentación. etc. UPC – 2010 02 41 Elaborar Informe y Presentación de Resultados  El auditor debe evaluar los hallazgos hechos en las pruebas realizadas y emitir una opinión.Obtener evidencia de Auditoría (Pruebas Sustantivas) Revisión y evaluación de Resultados  Se ejecutan para evaluar si errores o mal procesamiento de las transacciones ha tenido un impacto significativo (materialidad) en las operaciones o los estados financieros. • Tercer borrador: el auditor entrega el borrador final en el cual el cliente debe responder las observaciones presentadas. • Indicación de las observaciones incluídas en el informe detallado. posibles omisiones o errores.  Revisión Interna: el auditor envía el informe para su validación por colegas o por su Supervisor. • Opinión favorable: cuando el auditor considera que no se han presentado pérdidas o problemas en los controles revisados. • Segundo borrador: primer informe formal para el cliente. UPC – 2010 02 42 Emisión del Informe de Auditoría Se siguen los siguientes pasos: El informe debe contener  Revisión de reportes preliminares • Primer borrador: para discusión con el cliente. Esto puede implicar tanto. • Opinión adversa: cuando el auditor considera que existen pérdidas o problemas materiales detectados en la auditoría.  Una vez realizadas estas pruebas el auditor debe confirmar o revisar su evaluación inicial del riesgo de los controles. disminuir las pruebas sustantivas a realizar posteriormente (en caso los controles hayan sido eficientes) o incrementarlas en caso contrario. Normalmente. pero estos no se consideran materiales. • Comentarios del cliente: el cliente envía eventuales comentarios al borrador formal recibido. • Propósito de la auditoría y eventuales salvedades (disclaimers) • Qué sistemas fueron revisados • Contenido del informe detallado • Con quién se revisó el informe • Opinión de la auditoría realizada. • Opinión calificada: cuando el auditor considera que se han presentado pérdidas o problemas. Se precisa el contenido del informe. el auditor se apoya en colegas o supervisores para completar su opinión. se corrigen posibles errores y aclaran temas necesarios. • Agradecimiento a la empresa.  La carta de presentación.  Los posible juicios a emitir son: • Abstenerse de opinión: cuando las verificaciones realizadas no le permiten emitir una opinión. se discute los hallazgos con colegas.

se ejecuten puntualmente. • Comentarios de la Gerencia. si la Gerencia ha considerado necesario hacerlas a las observaciones de auditoría. • Buenas prácticas de control y consideraciones sobre el riesgo de negocio asociado con las deficiencias de los controles. las que al ser implementadas reducirían los riesgos. pues su correcto funcionamiento está debidamente soportado en el desempeño de los roles ya establecidos.  En resumen. transferencias de información. acaba de ingresar a laborar a una prestigiosa firma de Auditoría y le han encargado realizar la revisión de Controles de la Infraestructura Técnica y Operaciones de TI. incluyendo el riesgo asociado a los mismos. operaciones a nivel nacional y con una infraestructura de tecnología variada y compleja. debería considerar en su revisión?  ¿Qué evidencias debería solicitar para sustentar los controles implementados?  ¿Qué técnicas utilizaría para recabar la información que requiere para su revisión? UPC – 2010 02 SI-38 Seguridad y Auditoría de Sistemas 47  El término Operaciones de TI se refiere a los aspectos logísticos y de infraestructura del hardware y software. el auditor debe encontrar que las Operaciones de TI sean transparentes a los usuarios. aún no conoce. La ejecución apropiada de estas funciones permite asegurar al usuario de TI que sus sistemas de información estén disponibles en los horarios acordados. de US$ 100 millones.Emisión del Informe de Auditoría El informe debe contener  El informe detallado. el usuario se libera de las preocupaciones técnicas de los sistemas que utiliza y puede concentrarse en su debida utilización para los fines del negocio. Es importante que lo reportado sea la debilidad o problema raíz detectado.  ¿Qué controles serían los más relevantes que Ud. UPC – 2010 02 48 12 .  La empresa a auditar es una entidad financiera local. • Detalle de los hallazgos u observaciones encontrados por el auditor. 3: Infraestructura Técnica y Prácticas Operativas UPC – 2010 02 46 Infraestructura Técnica y Operaciones de TI Consideremos la siguiente situación:  Ud.  En una organización de TI que funcione adecuadamente. Deben ser recomendaciones factibles y eficientes. • Recomendaciones. etc. actualización de datos. que operen de acuerdo a lo esperado y que los resultados de su procesamiento como reportes. la cual Ud. UPC – 2010 02 45 Infraestructura Técnica y Operaciones de TI Cap. ingresos anuales aprox.

realizadas por distinto personal: • Desarrollo y mantenimiento de aplicaciones: análisis. Administración de problemas. Sybase. Servidores Web UPC – 2010 02 49 Infraestructura Técnica y Operaciones de TI 50  En una organización de sistemas mediana o grande. AIX. • Seguridad de Sistemas: administrar controles de seguridad. Notes. Correo electrónico: Exchange. se afecta su productividad al no resolver oportunamente sus problemas. malos tiempos de respuesta. tanto de aplicaciones como de HW y SW base. etc. 51 UPC – 2010 02 52 13 . SQL Server. diseño y construcción de sistemas de información • Soporte de Sistemas: administración y soporte técnico del hardware y software de base. incluyendo equipamiento y software.Infraestructura Técnica de TI Procesamiento Minicomputadoras / Mainframes Servidores Intel: de torre. ejecución de tareas programadas. de rack. telefonía fija y celular Computo Personal Software de Base PC’s Notebooks PDA’s Impresoras personales y departamentales Sistemas Operativos: Windows 2003 Server. mal ingreso de parámetros. Control de Cambios UPC – 2010 02 UPC – 2010 02 Organización para las Operaciones de TI Funciones incluídas en las Operaciones de TI:             Funcionamiento incorrecto de aplicaciones: operación errada. por inadecuado planeamiento de capacidad. etc. • Administración de Base de Datos: soporte y administración de la Base de datos de la empresa • Control de Cambios: administración y ejecución de las políticas y procedimientos de control de cambios.  Problemas con usuarios finales por deficiente labor de help desk. versiones incorrectas. gestión de permisos de acceso a aplicativos.  Deficiente capacidad de procesamiento en la infraestructura.  Elevados tiempos de no disponibilidad de sistemas. deberían existir las siguientes funciones.  Retraso o interrupciones en el procesamiento de información. Servidores de aplicaciones. por fallas o retrasos en la solución de problemas. apagado y monitoreo de funcionamiento de equipos Seguridad física de instalaciones Help Desk y Administración de Problemas Mantenimiento de HW y SW Administración de medios de almacenamiento Respaldo de información y recuperación de desastres. etc. Administración de procesos y tareas Encendido. WAN: routers Centrales telefónicas Servicios: carriers para enlaces WAN e Internet. • Operaciones rutinarias de TI: encendido y apagado de equipos. Linux. Administración de capacidad Monitoreo del rendimiento Administración y monitoreo de redes y comunicaciones.  Pérdida de información por mala ejecución de backups. backups.  Pérdida o daño de datos debido a incorrecto o no autorizado uso de software de sistemas. Base de datos: Oracle. supervisión del centro de cómputo. DB2. blades Almacenamiento SAN NAS Unidades externas de disco Almacenamiento interno Seguridad Firewalls IDS’s VPN’s Tokens Unidades de respaldo de datos Antivirus SW de backup Filtros de contenido Antispam     Riesgos de un deficiente control de las Operaciones de TI Comunicaciones LAN: switches de core y de piso.

corrección de fallas de HW y reemplazo de componentes defectuosos. actualización de firmware. actualizados y debidamente probados por los ejecutantes: manuales e instrucciones. actualización de versiones UPC – 2010 02 56 14 ..Operaciones TI: Administración de Procesos y Tareas programadas Como parte de las Operaciones de TI se realizan una serie de actividades rutinarias pero indispensables para su adecuado funcionamiento:  Ejecución programada de tareas o procesos requeridos por usuarios: generación de reportes. actualización de versiones. etc.  Que exista una programación autorizada y documentada de los trabajos a realizar. a fin de poder reconstruir cualquier evento. las empresas toman contratos con proveedores para manejar estas necesidades:  Contrato de mantenimiento de HW: con o sin cobertura de repuestos. estas actividades puede ser realizadas por personal a dedicación exclusiva o como parte de otras actividades. actualización de datos. incluyendo el VoBo del Operador y Supervisor respectivo. etc.  Encendido y apagado de equipos: según se requiera por el personal autorizado  Ejecución y verificación de procesos de respaldo o recuperación de información.  Que existan procedimientos documentados para el manejo de errores. soporte ante problemas. UPC – 2010 02 54 Operaciones TI: Mantenimiento de Hardware y Software Tanto el equipamiento de hardware como el software de base utilizado requieren de procedimientos de mantenimiento preventivo y correctivo para asegurar su adecuado mantenimiento:  Hardware: revisión y limpieza de componentes.  Existencia de cronograma de mantenimiento preventivo de equipos y nivel de cumplimiento del mismo.  Que se documenten los resultados de procesos realizados.  Contratos deben especificar niveles de servicio comprometidos y penalidades ante incumplimientos del proveedor. reportes. UPC – 2010 02 Operaciones TI: Administración de Procesos y Tareas programadas 55 El auditor de TI debe verificar:  Existencia de contratos de mantenimiento para equipos y servicios críticos. aplicación de parches. lo siguiente:  Que los procedimientos de Operación estén documentados. UPC – 2010 02 53 Operaciones TI: Mantenimiento de Hardware y Software El auditor de TI debe verificar. Normalmente.  Que se realicen procedimientos de verificación de la continuidad del procesamiento y controles de cambo de turnos de operación. envío de información a terceros. problemas. con tiempos de respuesta comprometidos o a solicitud.  Que los niveles de acceso a los sistemas sean los apropiados para las funciones del Operador.  Supervisión de instalaciones y seguridad del centro de cómputo Dependiendo de la magnitud de las operaciones de TI en la empresa. etc.  Procedimientos de corrección de versiones de SW de sistemas.  Software: aplicación de parches. entre otros.  Contratos de mantenimiento de SW: actualización de versiones. determinación y corrección de fallas.  Que exista una bitácora de Operación: incidencias. preventivos y/o correctivos.

Operaciones TI: Respaldo de Información y Recuperación ante Desastres Operaciones TI: Respaldo de Información y Recuperación ante Desastres Copias de seguridad de datos y software disponible deben ejecutarse regularmente por el personal de Operación de Sistemas. en ambientes seguros y con instalaciones apropiadas. Procedimientos de recuperación de desastes.  Procedimientos de escalamiento de incidentes para aquellos que no se puedan resolver de manera inmediata. El control siempre debe mantenerlo el Service Desk.  Procedimientos de cierre de incidentes y verificación de conformidad. Procedimientos de verificación y recuperación de la información. Aspectos a considerar:        Clasificación por criticidad: de datos y de software base de sistemas. Periodos de retención (antiguedad) de copias.  Ejecución de procedimientos de acceso y disposición de las copias de respaldo.  Adecuado lugar de almacenamiento de las copias de seguridad: fuera del datacenter.  Niveles de servicio acordados con el usuario para la priorización y atención de eventos y mediciones de calidad del servicio. reduce costos y mejora la satisfacción del usuario El auditor de TI debe verificar:  Procedimiento de identificación y clasificación de problemas  Procedimiento de seguimiento y solución de problemas  Procedimientos de cierre de problemas. Medios de almacenamiento a utilizar.  Que se ejecuten pruebas y verificaciones de procedimientos de respaldo y recuperación de copias de seguridad.  Estadísticas de cumplimiento de niveles de servicio UPC – 2010 02 60 15 . UPC – 2010 02 58 Operaciones TI: Help Desk y Administración de Problemas El servicio del Help Desk/Service Desk es el vínculo más directo entre los usuarios con problemas de IT y el área de Sistemas. (a revisar en capítulo posterior del curso) UPC – 2010 02 57 Operaciones TI: Help Desk y Administración de Problemas  La existencia y nivel de actualización de políticas de respaldo de información. UPC – 2010 02 El auditor de TI debe verificar: 59 Un efectivo proceso de administración de problemas mejora los niveles de servicio. que haga las veces de punto único de contacto con el usuario de TI para el registro y seguimiento de incidentes o solicitudes de servicio. El auditor de TI debe verificar:  Existencia y operación de una mesa de servicio o unidad equivalente. Es la función más visible del área de TI y es estratégicamente importante como imagen de servicio al cliente.  Ejecución de procedimientos de control y descarte de los medios magnéticos.  Análisis de tendencias para realizar soporte preventivo y mejorar procesos. Frecuencia de generación de las copias. Lugar donde se conservarán las copias generadas.

basadas en los requerimientos de carga de trabajo. priorización y autorización por el respectivo responsable.  Un adecuado proceso de control de cambios reduce el riesgo de impactos negativos sobre la estabilidad o integridad de los ambientes de producción.  Medición regular de capacidad y desempeño actual. tanto de hardware.  Procedimientos para cambios de emergencia. incrementar eficiencia de operaciones de TI. almacenamiento y contingencias. a fin de minimizar interrupciones del servicio por falta de capacidad o degradación del desempeño. actualización de versiones. deben administrarse formal y controladamente.  Procedimiento para cambios de emergencia. a fin de cumplir los niveles de servicio acordados.  Seguimiento y reporte de estado del cambio. Asegura que los recursos de TI que soportan los requerimientos del negocio estén disponibles de manera oportuna y continua. cambios en requerimientos del usuario. verificando la documentación existente de los cambios. software de sistemas o aplicativos.  Elaboración de planes de reversión (para aplicar en caso de problemas con el cambio). parámetros de servicio y plataforma de hardware y software de sistemas. UPC – 2010 02 61 Operaciones TI: Control de Cambios UPC – 2010 02 62 Operaciones TI: Administración del Rendimiento y Capacidad El auditor de TI debe verificar:  Existencia y actualización de procedimientos de control de cambios. Esto incluye el pronóstico de las necesidades futuras. UPC – 2010 02 El proceso de Control de Cambios debe contemplar:  Procedimientos formales para manejar todas las solicitudes de cambios a aplicaciones.  Evaluación de impacto. previos a la ejecución del cambio. Uso de técnicas de modelado.  Cumplimiento de procedimientos de control de cambios. incremento de capacidad. procesos. (usuarios o de TI)  Conservación adecuada de los registros de los cambios. con costos justificables. procedimientos.  Cierre y documentación del cambio 63 Debe revisarse regularmente el desempeño actual y la capacidad de los recursos de TI.Operaciones TI: Control de Cambios Operaciones TI: Control de Cambios  Los cambios se hacen con el fin de: mejorar funcionalidad de sistemas. (aplicativo)  Evidencia de procedimientos de validación del cambio en ambientes de prueba.  Evidencia de las autorizaciones correspondientes de los responsables o propietarios de los activos de TI a ser modificados.  Pronostico de capacidad y desempeño futuros: a intervalos regulares.  Todos los cambios. procesos y procedimientos. Debe contemplarse:  Planeación del desempeño y capacidad: actividades de revisión a fin de asegurar la disponibilidad. mejorar seguridad. UPC – 2010 02 64 16 . solución de problemas.  Evidencia de la evaluación del impacto del cambio por los respectivos responsables.

incluyendo recomendaciones para las corregir las excepciones detectadas. UPC – 2010 02 adecuadamente los 68 17 .  Consideraciones de seguridad. UPC – 2010 02 65 Operaciones TI: Acuerdos de Niveles de Servicio UPC – 2010 02 66 Operaciones TI: Acuerdos de Niveles de Servicio Los acuerdos de niveles de servicio (SLA’s por sus siglas en inglés) permiten a la organización de TI formalizar con sus usuarios los términos de calidad y cantidad de los servicios que se prestarán. etc. Un SLA típico debe contener:  Descripción de los servicios a brindar.  Disponibilidad de servicios (porcentaje máximo de no disponibilidad.  Que los SLA’s establecidos soporten requerimientos del negocio.  Niveles de servicio de Help Desk  Procedimientos de contingencia.  Reportes de cumplimiento de los mismos. tiempos de respuesta.  Monitoreo y Reporte regular a fin de recolectar datos que permitan: mantener y poner a punto el desempeño de los recursos de TI y reportar a la organización el cumplimiento de los SLA’s acordados. planeamiento y aprovisionamiento de capacidad de recursos de TI: • Modelos de estimación de cargas de trabajo • Plan de repotenciación de equipos • Presupuesto de inversiones  Encuestas de satisfacción de usuarios  Informes periódicos de cumplimiento de niveles de servicio: disponibilidad. etc.Operaciones TI: Administración del Rendimiento y Capacidad Operaciones TI: Administración del Rendimiento y Capacidad  Gestión de la disponibilidad de recursos de TI: brindar capacidad y desempeño requeridos tomando en cuenta cargas de trabajo normales y picos. 67 El auditor de TI debe verificar  Existencia y actualización de los SLA’s. Asignación de recursos. máximo de interrupciones y máximo de duración de los eventos)  Tiempos de respuesta.  Horario de servicio.  Existencia y cumplimiento de procedimientos de pronóstico. priorización de tareas. incluyendo fechas especiales o feriados. UPC – 2010 02 El auditor de TI debe verificar:  Existencia y cumplimiento de procedimientos de medición de la capacidad y rendimiento: • Reportes de medición de utilización de CPU en servidores críticos • Mediciones de tiempos de respuesta en sistemas críticos • Estadísticas de consumo de espacio en disco • Reportes de cantidad de transacciones ejecutadas • Reportes de cantidad de conexiones activas a los servidores críticos.

 Los servidores accesibles desde Internet deben ser aislados de los servidores de datos. Debe obtener evidencia de dicho cumplimiento. bloqueo de servicios. El uso que hagan estos de herramientas especiales debe ser autorizado específicamente.  Herramientas de diagnóstico de redes como analizadores de protocolo deben utilizarse según se requiera.  Debe monitorearse la operación de las redes para detectar eventuales incidentes de seguridad. etc. UPC – 2010 02 69 Operaciones TI: Administración y monitoreo de redes y comunicaciones UPC – 2010 02 70 Operaciones TI: Administración y monitoreo de redes y comunicaciones Controles que deben establecerse:  La red interna de una organización debe estar física y lógicamente aisladas de internet y de otras conexiones por un firewall.  Deben establecerse el registro automático de eventos de seguridad en los sistemas operativos de la red y su revisión regular a fin de tomar acción correctiva. 71 El auditor debe verificar:  Existencia y cumplimiento de los procedimientos de control mencionados anteriormente. ataques de ‘hackers’. WAN y el acceso a Internet se han convertido en el ‘sistema nervioso’ de la plataforma de TI de una empresa.  La configuración física y lógica de la red debe documentarse y mantenerse actualizada. UPC – 2010 02 Controles que deben establecerse:  Toda información sensitiva en la red debe protegerse a través del uso de técnicas apropiadas. sea por fallas involuntarios o por acción deliberada de un saboteador. UPC – 2010 02 72 18 .  Debe monitorearse de manera específica el trabajo de consultores y proveedores externos. Tanto las redes LAN. • Infecciones de virus. etc.  El auditor ejecuta una serie de herramienta de evaluación y prueba de los controles enunciados: configuración de los sistemas operativos. el acceso podría ser prácticamente desde cualquier parte del mundo. Debe existir procedimientos de respuesta antes estos. Con los accesos a Internet.Operaciones TI: Administración y monitoreo de redes y comunicaciones Operaciones TI: Administración y monitoreo de redes y comunicaciones  Prácticamente la totalidad de las organizaciones dependen para la operación de sus servicios de TI de las redes de comunicaciones. por accesos no autorizados a través de la red.  Los firewalls deben ser periódicamente probados para detectar y corregir vulnerabilidades.  El acceso a las redes de comunicaciones implica una serie de riesgos que las organizaciones deben manejar con los controles adecuados: • Pérdida de privacidad de información y/o uso no autorizado de sistemas. deben protegerse adecuadamente contra daños físicos. controles de acceso configurados. etc. El acceso físico a estos dispositivos debe estar restringido. vulnerabilidades de seguridad en la configuración de los equipos. switches. (DMZ)  Deben existir políticas y procedimientos para establecer conectividad con redes externas a la empresa.  Debe evaluarse el impacto y riesgos de los cambios en la red antes de realizarse. Sistemas e información confidencial son accesibles a través de las redes. • Pérdida de continuidad de los servicios de TI. niveles de acceso en los sistemas operativos de la red.  Dispositivos críticos de red como routers.  Deben establecerse adecuados controles lógicos: cuentas de usuario. pues los enlaces de las redes son susceptibles de interrupciones no programadas. • Daño o pérdida de datos.  Debe utilizarse un firewall para aislar la red de cualquier otra red externa y para limitar una conexión a los fines autorizados.

 Ejemplos de evidencias: Entrevistas  Se utilizan para adquirir conocimiento de la organización.  Planeamiento de capacidad: estadísticas de transacciones.  Pueden utilizarse como apoyo para una entrevista. niveles de riesgo de sus sistemas y nivel de confiabilidad de los controles existentes. escala de respuestas. etc. estructura y verificar su validez y confiabilidad. planeamiento y organización de Sistemas Hoja de cálculo de Microsoft Excel UPC – 2010 02 75 UPC – 2010 02 76 19 .  Los resultados deben interpretarse cuidadosamente para llegar a conclusiones objetivas. configuración de equipos de comunicaciones.  Su puede recopilar información cualitativa y cuantitativa  La calidad de las respuestas depende de la selección adecuada del entrevistado y de la percepción que el entrevistado tenga sobre los objetivos de la misma.  Debe manejarse el nivel de stress y duración de las entrevistas.  Control de cambios: registros del sistema de control de cambios. Por ejemplo.  Las preguntas deben ser concretas y motivar respuestas objetivas. aprobaciones. log de eventos. si un control existe en determinado sistema. También para recolectar información de ubicaciones físicamente dispersas. etc.Ejemplos de Evidencias para auditoría Recolección de evidencias  Perfomance y rendimiento: cuadros de control. 2: Controles de Administración. configuración de servidores principales.  La entrevista requiere ser preparada con anterioridad. conducida y registrada adecuadamente y luego procesada la información a la brevedad posible. sus aplicaciones. En la medida que estos coincidan con los suyos propios. SI-38 Seguridad y Auditoría de Sistemas Cap. Hoja de cálculo de Microsoft Excel C:\Documents and Settings\Ronald\Mis doc UPC – 2010 02 73 UPC – 2010 02 74 Recolección de evidencias Cuestionarios  Se utilizan para recabar información de hechos concretos.  Deben diseñarse cuidadosamente: preguntas.  Servidores y LAN: diagramas de diseño de la red. estructura organizativa. presupuesto y plan de compras  Niveles de Servicio: definición y reportes de cumplimiento  Disponibilidad: cuadros de control  Mantenimiento de HW y SW: contratos con proveedores. el resultado será mejor.  Operaciones rutinarias: reportes de ejecución de tareas.  Respaldo de información: políticas documentadas de backups y reporte de control de ejecución. cronograma de mantenimiento.

 ¿Qué controles serían los más relevantes que Ud. la cual Ud. se generan riesgos de diverso tipo: Inadecuada función de la gerencia puede ocasionar un alejamiento de los servicios de TI de los objetivos del negocio. • El negocio requiere innovación y sistemas es siempre visto como una fuente de esta. Estructuras organizativas deficientes pueden provocar una mala provisión de los servicios de TI. dichos activos pueden ponerse en riesgo. asignar y coordinar los recursos necesarios para lograr los objetivos. sea por mal reclutamiento o supervisión puede originar mayor riesgo de errores en el manejo de los sistemas. • Organizar: obtener.       UPC – 2010 02 78 79 El auditor debe evaluar si la Gerencia de TI ha elaborado un plan adecuado para las necesidades de la empresa. Personal de staff deficiente. dirigir y comunicarse con el personal. Organización y Administración de TI UPC – 2010 02 Riesgos de un deficiente control  Una manera de que el auditor pueda evaluar el desempeño de la Gerencia de TI es considerando las funciones principales que dicha gerencia debe realizar: • Planear: determinar los objetivos de la función de TI y los medios para alcanzar dichos objetivos.y se requiere determinar las implicancias de estos cambios en los sistemas de la empresa • Las relaciones de Sistemas con las áreas de negocio pueden ser difíciles de gestionar y dada la criticidad de los sistemas para el negocio. de US$ 100 millones. La gerencia es responsable de la protección de los activos de TI. Incremento de costos. acaba de ingresar a laborar a una prestigiosa firma de Auditoría y le han encargado realizar la revisión de Controles de la Gerencia de TI  La empresa a auditar es una entidad financiera local. Ausencia de planeamiento puede exponer a la organización a limitaciones producto de esta deficiencia. a fin de determinar acciones correctiva a tomar. UPC – 2010 02 77 Controles del Planeamiento. Por ejemplo: lentitud en los sistemas por falta de capacidad en el la plataforma de hardware. Organización y Administración de TI Consideremos la siguiente situación:  Controles a aplicar sobre la función de la Gerencia de TI  Ud. Si esto no ocurre. ingresos anuales aprox. a fin de proporcionar una ventaja competitiva. UPC – 2010 02 80 20 .  El auditor debe estar en condiciones de evaluar cuan bien la Gerencia de sistemas está ejecutando su rol en la empresa. aún no conoce. • Liderar: motivar. este soporte puede deteriorarse si las áreas de negocio consideran que Sistemas no les presta el apoyo adecuado. • Controlar: comparar el desempeño actual con el planeado. operaciones a nivel nacional y con una infraestructura de tecnología variada y compleja. de no establecer adecuados controles.La Auditoría de Sistemas de Información Controles del Planeamiento. debería considerar en su revisión?  ¿Qué evidencias debería solicitar para sustentar los controles implementados?  ¿Qué técnicas utilizaría para recabar la información que requiere para su revisión?  La complejidad de la función de la Gerencia de TI es alta y la organización requiere asegurarse que está siendo ejecutada de una manera correcta: • Evolución acelerada de la tecnología que soporta los sistemas de información (HW y SW).

 El Plan de TI debe estar alineado con las estrategias del negocio. recursos financieros. tecnología de HW y SW disponibles. futuros sistemas. • Dirección estratégica: futuros sistemas a proveer. FODA. Mayores inversiones/gastos en TI deben hacerse sólo cuando pueda demostrarse un sólido caso de negocios. recursos de personal que serán necesarios. bases de datos.  El Plan de TI debe ser aprobado por la Gerencia General  El esfuerzo desplegado en la función del planeamiento de TI. el Auditor debe prestar el debido nivel de importancia a la revisión de la función de planeamiento. Este plan debe cubrir tanto el largo como el corto plazo para la dirección de los sistemas de información de la empresa.Evaluar la función de Planeamiento Evaluar la función de Planeamiento  La Gerencia de sistemas es responsable de elaborar un plan general para la función de sistemas. • Evidencia a validar: Plan Estratégico/largo plazo de Sistemas UPC – 2010 02 81 Evaluar la función de Planeamiento UPC – 2010 02 82 Consideraciones para el Planeamiento de TI  El plan operacional o táctico.  El plan de TI debe difundirse al personal de Sistemas. aproximación al control de la implementación de la estrategia. problemática existente con la tecnología. • Formular estrategias y tácticas para adquirir los recursos necesarios Deben de prepararse dos tipos de planes para la función de Sistemas:  El plan estratégico.  Tanto el plan estratégico como el operacional deben de ser revisados y actualizados con regularidad. estrategias generales internas y externas (con otras áreas). • Plan de implementación: fechas propuestas para los principales proyectos. plataforma de HW/SW. (no con los deseos del staff técnico)  TI es visto como un generador importante de gastos. personal. • Identificar los recursos necesarios para proveer los requerimientos de tecnología y los sistemas de información. recursos financieros necesarios. el tamaño y de la situación de la misma: empresas en un ambiente volátil y operaciones altamente dependientes de TI requerirán alta concentración en el planeamiento para mantener su posición competitiva en el mercado. etc. hitos de control. • Iniciativas a desarrollar: sistemas a construir. otras iniciativas de importancia.  Según sea el caso. Su elaboración debe contemplar: • Reconocer oportunidades y problemas que confronta la organización. cambios mayores de HW/SW.  Evidencia a validar: planes de mediano plazo de sistemas UPC – 2010 02 83 UPC – 2010 02 84 21 . HW/SW a implementar. • Desarrollo de la estrategia: definición de la visión de TI en la empresa. procedimientos de control a aplicar. para los cuales las tecnologías y los sistemas de información pueden aplicarse de manera eficiente. dependerá del tipo de organización. cubre el largo plazo (entre 3 y 5 años) y contiene: • Evaluación de la situación actual de TI: sistemas y servicios existentes. Su alineamiento con el plan general de la organización debe también verificarse. cubre el corto plazo (entre 1 y 3 años) y contiene: • Reporte de avance: planes actuales en ejecución o retrasados. recursos de personal a requerirse.

revisión de antecedentes. potencial e integridad de los postulantes. El entrenamiento es crítico para la efectividad de las operaciones de TI. de salud y psicológicas. • Evidencia a evaluar: presupuestos. pruebas técnicas. Debe evaluarse periódicamente al personal para determinar la idoneidad del mismo para ser promocionado. debe existir un plan de capacitación. control de gastos. problemas operativos en el día a día. el auditor lo percibirá de varias formas: proyectos atrasados o cancelados por falta de recursos humanos o de instalaciones. la definición de puestos de trabajo debe preservar en lo posible la separación de funciones. etc. Los recursos para compra e implementación deben ser obtenidos oportunamente. • Sin embargo. instalaciones. aprovisionamientos. • Término de funciones: tanto si es voluntario como no. etc. deben existir definiciones formales y claras de las responsabilidades de cada puesto.Evaluar la función de Organización Evaluar la función de Organización  La función de Organización se encarga de conseguir. • Si lo anterior no se hace correctamente. • Evidencia a evaluar: procedimiento de reclutamiento de personal UPC – 2010 02 86 Evaluar la función de Organización  Gestión del personal de TI • Desarrollo del personal: establecimiento de la línea de carrera y entrenamiento. utilizando diversas herramientas: entrevistas. justificación de las inversiones/gastos. la organización de TI no será efectiva ni eficiente. deben realizarse ciertas acciones de control: desactivación de accesos. devolución de identificaciones o equipos. • Evidencia: plan de carrera de personal de Sistemas. etc. Ej: un programador no puede administrar la base de datos. • Evidencia: procedimientos de baja y desactivación de accesos. comunicaciones. darle oportunidades de desarrollo personal e identificar debilidades/fortalezas. • Los recursos deben aplicarse de acuerdo a un plan que asegure su disponibilidad oportuna. UPC – 2010 02 88 22 . baja moral del personal. documentación. instalaciones. • El auditor debe evaluar dos aspectos principales: primero. base de datos. c) uno de los mayores riesgos de seguridad de TI es el personal interno. Los activos de TI también podrían verse expuestos. • Evidencia: Organigrama.  Obtención de recursos • Hardware. dinero. Los requerimientos a cumplir deben estar formalizados en las descripciones de puestos. etc. etc. establecer contratos. el personal debe conocerlas y comprenderlas cabalmente. software. UPC – 2010 02  Gestión del personal de TI 87  Estructura Organizativa • Comprende la definición de las unidades de servicio en las cuales se organiza la función de TI para cumplir sus objetivos y la descripción formal de roles y responsabilidades de los puestos de trabajo. UPC – 2010 02 85 Evaluar la función de Organización • Importante por: a) efectividad de las funciones de TI dependen principalmente de la calidad del personal. Manual de organización y funciones. • Definición de necesidades. etc. descentralización de la función de sistemas. esta organización puede variar grandemente dependiendo de las particularidades de la empresa: tamaño. esto originaría inevitablemente modificaciones no autorizadas de programas. producción de sistemas. • Reclutamiento: debe evaluarse cuidadosamente la capacidad. La ausencia de estas actividades desmotiva y origina rotación del personal. etc. asignar y estructurar los recursos para alcanzar los objetivos de la organización. evaluación de compras. b) es complicado obtener buen personal de TI y su rotación es alta. plan de capacitación. Segundo. • La organización de TI normalmente se presenta en función de las actividades desarrolladas: desarrollo de sistemas. personal. Deben hacerse de manera oportuna. etc. adicionalmente. Si esto no se hace adecuadamente.

UPC – 2010 02  El propósito del liderazgo es alcanzar la armonía entre los objetivos de la organización y los de las personas. Adicionalmente. Las principales políticas o estándares son: • Estándares de métodos: programación. • Evidencia: documentación de los controles indicados. • Estándares de cumplimiento de auditorías: actividades para revisión de cumplimiento.Evaluar la función de Organización Evaluar la función de Liderazgo  Ubicación de la función de Sistemas • La ubicación de Sistemas dentro de la jerarquía organizacional influye grandemente en la efectividad de sus funciones. etc. fallas constantes en proyectos. ausentismo. a fin de asegurar que esta cumpla los objetivos de la organización. etc. Sistemas se independiza de las áreas usuarias y reporta directamente a la Gerencia General. • En una organización donde TI es únicamente una función de soporte operativo. En el segundo caso. También influye el estilo de las personas. revisados y recordados regularmente y evaluado su cumplimiento. UPC – 2010 02 89 Evaluar la función de Control UPC – 2010 02 90 Evaluar la función de Control La Gerencia de Sistemas debe cumplir labores de control a un nivel global de la función de sistemas. Ej: empresas de manufactura. • Estándares de control de proyectos: método para gestionar los proyectos.  El auditor puede percibir problemas cuando se presenta. etc. • Control general de la función de sistemas: ¿es adecuado el nivel de gastos en Sistemas? ¿los beneficios que obtiene la organización de Sistemas corresponden a los niveles de gasto que se tienen? Para la primera pregunta se utilizan las técnicas del benchmarking con otras organizaciones de la industria. sistemas reporta a un área usuaria. etc. • El auditor debe determinar la importancia de la función de sistemas dentro de la organización y luego evaluar si su ubicación en la estructura organizacional asegura suficiente independencia y autoridad. Esto requiere: • Motivar al personal: aplicar el argumento correcto para incentivar a cada persona.. pueden realizarse evaluaciones postimplementación de proyectos importantes. Estos deben ser debidamente comunicados. temas informales como el nivel de satisfacción del personal. • Evidencia: control de gastos. etc. retail. 91 • Control de las actividades de Sistemas: La Gerencia de TI toma control de las actividades de su personal estableciendo políticas y estándares. diseño. alta rotación de personal. pérdida de autoridad del supervisor. claridad y compromiso de los objetivos deben de ser evaluados en entrevistas personales. También. informes de evaluación de resultados. • Comunicarse efectivamente con las personas: esencial para entender los objetivos de la organización y para crear confianza entre las personas. El auditor puede verificar si los elementos formales como documentación. normalmente a la Gerencia Financiera. horas de prueba. • En una organización en la cual TI es parte importante de sus todas sus operaciones. políticas. construcción. Ejemplo: bancos. reuniones. etc. • Estándares de perfomance: tiempos de respuesta. seguros. • Políticas de seguridad • Políticas para contratación de proveedores. UPC – 2010 02 92 23 . documentación. se evalúan los objetivos alcanzados en base al plan estratégico y táctico. • Hacer coincidir estilo de liderazgo con las personas y sus funciones: dependiendo de la situación y el tipo de trabajo el tipo de liderazgo debe ser distinto. etc. comunicados. se hacen efectivamente.

UPC – 2010 02 93 24 .Evaluar la función de Control • Control de la utilización de los servicios de TI: La Gerencia de TI debe desarrollar políticas y procedimientos para incentivar el uso eficiente y efectivo de los servicios de TI por las áreas usuarias. Se utilizan dos técnicas principales: • Revisión de requerimientos por un comité de usuarios y TI: se revisa conveniencia y prioridad del requerimiento. • Costos de transferencia por los servicios prestados: se determinan costos en función al consumo de recursos de las áreas usuarias y estos se ‘cargan’ a ellas como parte de sus gastos operativos. • Evidencia: procedimientos documentados.

Sign up to vote on this title
UsefulNot useful