Auditora Externa - rea de Tecnologa

Objetivos de
Control

Situacin Actual

Segregacin de funciones, supervisin efectiva, definicin de

lneas claras de autoridad en la administracin del rea de
sistemas.

Plan estratgico para el rea de Sistemas Informticos, que est

enmarcado en la estrategia institucional.

Controles
Gerenciales

Implementacin de polticas organizacionales, estndares de

procesos y procedimientos operativos.

Control de Calidad

Controles de
Aplicacin

Pistas de auditora

Controles para la
captura de
requerimientos,
anlisis, diseo, Metodologa de desarrollo de software.
desarrollo e
implementacin
del sistema de Manejo de Roles y Permisos
informacin
Controles para la
Integridad de los datos
Base de Datos

Procedimiento de Actualizaciones en el servidor de datos de prod

Planes de Contingencia

Controles de
Seguridad

Pruebas al plan de contingencias y su cronograma

Normas y procedimientos de control de informacin para

prevenir prdida, manipulacin, adulteracin y divulgacin no
autorizada

Controles de
Seguridad

Procedimientos de control para la seguridad de datos y acceso

no autorizado en los sistemas de telecomunicacin para
distribucin de informacin y ejecucin remota de procesos

Externa - rea de Tecnologa de Informacin 2009

Buenas Prcticas: ITIL, COBIT 3.0, NTP-ISO/IEC 17799:2005

Estado

Segn la NTP-ISO/IEC 17799 en el punto de 10.1 Procedimientos y responsabilidades de

Operacin, el Objetivo es: Asegurar la operacin Correcta y segura de los recursos de tratamiento de
Informacin. Se deberan establecer responsabilidades y procedimientos para la gestin y operacin
de todos los recursos de tratamiento de informacin. Esto incluye el desarrollo de instrucciones
apropiadas de operacin y de procedimientos de respuesta ante incidencias. Se implantara la
segregacin de tareas, cuando sea adecuado, para reducir el riesgo de un mal uso del
sistema deliberado o por negligencia.
Segn COBIT: Se requiere una planeacin estratgica de TI para administrar y dirigir todos los
recursos de TI de acuerdo con la estrategia del negocio y las prioridades. La funcin de TI y los
participantes del negocio son responsables de garantizar que se materialice el valor ptimo de los
portafolios de proyectos y servicios. El plan estratgico debe mejorar el entendimiento de los
interesados clave respecto a las oportunidades y limitaciones de TI, evaluar el desempeo actual y
aclarar el nivel de inversin requerido. La estrategia de negocio y las prioridades se deben reflejar en
los portafolios y deben ser ejecutadas por los planes tcticos de TI, los cuales establecen objetivos,
planes y tareas especficas, entendidas y aceptadas tanto por el negocio como por TI.

Segn COBIT: Una organizacin de TI se debe definir tomando en cuenta los requerimientos de
personal, funciones, delegacion, autoridad, roles, responsabilidades y supervisin. La organizacin
estar incrustada en un marco de trabajo de procesos de TI que asegura la transparencia y el control,
as como el involucramiento de los altos ejecutivos y de la gerencia del negocio. Un comit estratgico
debe garantizar la vigilancia del consejo directivo sobre la TI, y uno ms comits administrativos, en
los cuales participan tanto el negocio como TI, deben determinar las prioridades de los recursos de TI
alineados con las necesidades del negocio. Deben existir procesos, polticas administrativas y
procedimientos para todas las funciones, con atencin especfica en el control, el aseguramiento de la
calidad, la administracin de riesgos, la seguridad de la informacin, la propiedad de datos y de
sistemas y la segregacin de tareas. Para garantizar el soporte oportuno de los requerimientos del
negocio, TI se debe involucrar en los procesos importantes de decisin.

Segn la NTP-ISO/IEC 17799 en el punto 10.1 Seguridad de las Aplicaciones del sistema, el
objetivo es: Evitar prdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones. Se
deberan disear dentro de las aplicaciones (incluidas las aplicaciones escritas por los usuarios) las
medidas de control. stos deberan incluir la validacin de los datos de entrada, el tratamiento interno
y los datos de salida. Se podr requerir controles adicionales para sistemas que procesen o tengan
impacto en informacin sensible, con mucho valor o criticas. Estos controles deben ser determinados
en base a los requerimientos de seguridad y la evaluacin de riesgos.

Deficiente

Segn COBIT, Entregar y dar Soporte. DS10 Administracin de problemas DS10.2 Rastreo y
resolucin de problemas El sistema de administracin de problemas debe mantener pistas de
auditora adecuadas que permitan rastrear, analizar y determinar la causa raz de todos los problemas
reportados considerando: Todos los elementos de configuracin asociados Problemas e incidentes
sobresalientes Errores conocidos y sospechados. Asimismo, Segn la NTP-ISO/IEC 17799, en el
punto 10.10 Monitoreo, el objetivo: Detectar las actividades de procedimiento de informacin no
autorizadas. Los Sistemas deben ser monitoreados y los eventos de las seguridad de informacin
deben ser grabadas. El registro de los operadores y el registro de averas deben ser usados para
asegurar que los problemas del sistema de informacin sean identificados. Una organizacin debe
cumplir con todos los requerimientos legales aplicables para el monitoreo y el registro de actividades.
El monitoreo del sistema debe ser utilizado para verificar la efectividad de los controles adoptados y
para verificar la conformidad de un acceso a un modelo de poltica. Asimismo en el punto 10.10.1
Registro de la Auditoria, CONTROL: Los registros de auditora grabando actividades de los usuarios,
excepciones y eventos de la seguridad de informacin deben ser producidos y guardados para un
periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los
controles
Ingeniero de
en acceso.
este punto la verdad que no se que poner, porque busque algo que haga referencia,

Deficiente

pero no encuentro nada

En la Norma NTP-ISO/IEC 17799 EDI Tecnologa de la informacin. Cdigo de buenas

prcticas para la gestin de la seguridad de la informacin, que en su numeral 11.2.2 Gestin
de privilegios, que establece Debera restringirse y controlarse el uso y asignacin de los
privilegios.
La Norma NTP-ISO/IEC 17799 EDI Tecnologa de la informacin. Cdigo de buenas prcticas
para la gestin de la seguridad de la informacin, que en su numeral 12.2.2 Control del
proceso interno, que establece Se deberan incorporar a los sistemas comprobaciones de
validacin para detectar cualquier tipo de corrupcin de informacin a travs de errores
del proceso o por actos deliberados.
La Norma NTP-ISO/IEC 17799 EDI Tecnologa de la informacin. Cdigo de buenas prcticas
para la gestin de la seguridad de la informacin, que en su numeral 12.4.1 Control de
software en produccin, que establece Deberan existir procedimientos para controlar la
instalacin del software en sistemas operacionales.
Segn el dominio de COBIT de ENTREGAR Y DAR SOPORTE, objetivo de control DS3.4 La
gerencia debe garantizar que los planes de contingencia consideran de forma apropiada la
disponibilidad, capacidad y desempeo de los recursos individuales de TI.
Tambin nos dice el dominio de COBIT de ENTREGAR Y DAR SOPORTE, objetivo de control
DS4.1 El plan debe tambin considerar puntos tales como la identificacin de recursos
crticos, el monitoreo y reporte de la disponibilidad de recursos crticos, el procesamiento
alternativo y los principios de respaldo y recuperacin".
Lo expuesto, contraviene el dominio de COBIT de ENTREGAR Y DAR SOPORTE, objetivo de control DS.46
Verificar e incrementar el entrenamiento de acuerdo con los resultados de laspruebas de contingencia.
La Norma NTP-ISO/IEC 17799 EDI Tecnologa de la informacin. Cdigo de buenas prcticas
para la gestin de la seguridad de la informacin, que en su numeral 10.7.3 Procedimientos
de manipulacin de la informacin, que establece Los procedimientos para la manipulacin
y almacenamiento de la informacin deben ser establecidos para proteger esta
informacin de divulgaciones o usos no autorizados.

Deficiente

Deficiente

La Norma NTP-ISO/IEC 17799 EDI Tecnologa de la informacin. Cdigo de buenas prcticas para la gestin
de la seguridad de la informacin, que en su numeral 11.7.2 Teletrabajo, que establece Se deberan desarrollar
e implementar una poltica, planes operacionales y procedimientos para las actividades de teletrabajo.