Documentos de Académico
Documentos de Profesional
Documentos de Cultura
REALIZADO POR:
GABRIELA FERNANDA BARROS MARCILLO
ANDREA ERIKA CADENA MARTEN
CERTIFICACIN
Certifico que el presente trabajo fue realizado en su totalidad por las Srtas.
GABRIELA FERNANDA BARROS MARCILLO y ANDREA ERIKA CADENA
MARTEN como requerimiento parcial a la obtencin del ttulo de INGENIERAS
EN SISTEMAS E INFORMTICA.
_________________________
ING. MARIO RON
DEDICATORIA
ANDREA CADENA
DEDICATORIA
GABRIELA BARROS
AGRADECIMIENTO
A mis padres por ser mi ejemplo a seguir, por brindarme todo el amor y apoyo
durante mi vida, a mi hermano por darme la fuerza para seguir adelante a
pesar de todo, a mi enamorado por ser mi soporte, a mi familia por siempre
estar a mi lado, a la Escuela Politcnica del Ejrcito por todas las enseanzas
recibidas, a los ingenieros que ayudaron en la elaboracin de este proyecto:
Ing. Mario Ron, Eco. Gabriel Chiriboga; por su gua en todas las fases de la
tesis y a todas las personas que de una u otra forma ayudaron a la culminacin
de esta meta.
ANDREA CADENA
AGRADECIMIENTO
En primer lugar a DIOS por haberme guiado por el camino de la felicidad hasta
ahora; en segundo lugar a cada uno de los que son parte de mi familia a mi
PADRE Vctor Barros, mi MADRE Rosario Marcillo, mis hermanos y sobrinos
por siempre haberme dado su fuerza y apoyo incondicional que me han
ayudado y llevado hasta donde estoy ahora. A mi compaera de tesis y amiga
Andrea Cadena, a la Escuela Politcnica del Ejrcito por todas las enseanzas
recibidas y, de una manera muy especial agradezco a quienes fueron gua y
apoyo para culminar este proyecto Ing. Mario Ron y Eco. Gabriel Chiriboga.
GABRIELA BARROS
TABLA DE CONTENIDOS
ANEXOS ........................................................................................................ 116
Anexo A
Hojas de Evaluacin ............................................................................... 116
Anexo B
Carpeta de Evidencias ............................................................................ 149
Anexo C
Lista de Documentacin Solicitada ......................................................... 213
Anexo D
INFORME EJECUTIVO........................................................................... 215
Anexo E
INFORME DETALLADO ......................................................................... 221
Anexo F
NIVEL DE MADUREZ DE LA COOPERATIVA ....................................... 250
Anexo G
PROPUESTA DE SERVICIOS DE AUDITORA EN INFORMTICA ...... 256
BIBLIOGRAFA .............................................................................................. 261
CAPTULO I ..................................................................................................... 18
1.1 GENERALIDADES ................................................................................. 18
1.2. EL PROCESO DE LA AUDITORA INFORMTICA .............................. 27
1.3. CLASIFICACIN DE LOS CONTROLES TI .......................................... 34
CAPTULO II .................................................................................................... 37
2.1. INTRODUCCIN ................................................................................... 37
2.2. CONTENIDO (PRODUCTOS COBIT) ................................................... 38
2.3. GENERALIDADES DEL MODELO COBIT ........................................... 42
CAPTULO III ................................................................................................... 54
3.1. SITUACIN ACTUAL DE LA ENTIDAD ................................................ 54
3.2. APLICACIN DEL MODELO COBIT A LA COOPERATIVA DE
AHORRO Y CREDITO ALIANZA DEL VALLE ........................................ 81
3.3. INVESTIGACIN DE CAMPO ............................................................... 87
CAPTULO IV ................................................................................................. 107
4.1. INTRODUCCIN ................................................................................. 107
4.2. RESUMEN EJECUTIVO ...................................................................... 107
4.3. DESCRIPCIN DEL TRABAJO EFECTUADO ................................... 109
7
NDICE DE GRFICAS
GLOSARIO DE TRMINOS
Alcance de la auditora.- El marco o lmite de la auditora y las materias,
temas, segmentos o actividades que son objeto de la misma.
Alta gerencia.-La alta gerencia est compuesta por una cantidad de personas
comparativamente pequea y es la responsable de administrar toda la
organizacin. Estas personas reciben el nombre de ejecutivos. Establecen las
polticas de las operaciones y dirigen la interaccin de la organizacin con su
entorno.
Amenaza.- Cualquier aspecto o escenario que pueda ocasionar que un riesgo
se convierta en incidente, o sea, que llegue a realizarse.
Elemento del modelo.- Es una abstraccin destacada del sistema que est
siendo modelado.
11
Integridad.- Consiste en que solo los usuarios autorizados puedan variar los
datos.
operativos,
bases
de
datos,
lenguajes
de
programacin,
12
Polticas.-
Conjunto
de
disposiciones
documentadas
que
regulan
el
15
RESUMEN
de
control,
que
propone
COBIT,
se
presentaron
las
16
PRLOGO
La naturaleza especializada de la auditora de los sistemas de informacin
y, las habilidades necesarias para llevar a cabo la misma, requieren el
desarrollo, la generacin y la promulgacin de Normas Generales para la
auditora de los Sistemas de Informacin.
La auditora de los sistemas de informacin se define como cualquier
auditora que abarca la revisin y evaluacin de todos los aspectos (o de
cualquier porcin de ellos) de los sistemas automticos de procesamiento de la
informacin, incluidos los procedimientos no automticos relacionados con
ellos y las interfaces correspondientes.
CAPTULO I
1.1 GENERALIDADES
Antecedentes
planificacin,
organizacin,
procesos,
ejecucin
de
proyectos,
19
1.1.3
de
funcionalidad,
operatividad,
aceptacin,
sostenimiento y mantenimiento,
Seguridad y control de Costo-Beneficio,
Responsabilidad de los proveedores.
Adquisicin y Mantenimiento del Software de Aplicacin: los criterios de
informacin que se aplican, se enmarcan sobre parmetros de
efectividad, eficiencia, integridad, cumplimiento y confiabilidad; llegando
a proporcionar funciones automatizadas que soporten efectivamente los
procesos del negocio y la especificacin de los requerimientos
funcionales y operacionales2. Las prcticas de control que se aplican
son:
Niveles de aceptacin y pruebas funcionales,
Requerimientos de seguridad y controles de la aplicacin,
Documentacin requerida,
Ciclo de vida del software,
Arquitectura de la informacin empresarial,
http://www.auditorasistemas.com/
21
de
las
directrices
estndares
de
la
infraestructura tecnolgica,
Evaluacin tecnolgica,
Instalacin, mantenimiento y control de cambios,
Actualizaciones, conversiones y, planes de migracin,
El uso de infraestructura y/o recursos internos y externos,
Responsabilidades de los proveedores y la relacin con los
mismos,
Administracin de cambios,
Costo total de propiedad,
Seguridad del software.
existente,
estructurados
de
con
usuarios
la
y
sustentacin
operacionales,
de
manuales
materiales
de
son:
Rediseo de los procesos de negocio,
Consideracin a los procedimientos como a cualquier otra
tecnologa existente,
22
Desarrollo a tiempo,
Procedimientos y controles de usuario,
Procedimientos y controles operacionales,
Materiales de entretenimiento,
Administracin de cambios.
Anlisis de impacto,
Autorizacin para cambios,
Administracin de versiones,
Distribucin de software,
Uso de herramientas automatizadas,
Administracin de la configuracin,
Rediseo de los procesos del negocio.
1.1.4
OBJETIVOS
General
Especficos
24
de
los
datos
por
sistemas
de
aplicacin,
que
los
principios y polticas
la
competencia
profesional
y el
que
contengan
metas,
objetivos e
indicadores
de
rendimiento.
27
1.
28
a) Visitas al lugar
b) Entrevistas y encuestas
c) Anlisis comparativos de Estados Financieros
d) Anlisis FODA (Fortalezas, oportunidades, debilidades,
amenazas)
e) Anlisis Causa-Efecto o Espina de Pescado
f) rbol de Objetivos.- Desdoblamiento de Complejidad.
g) rbol de Problemas
2.
3.
Este anlisis
29
4.
5.
31
Entrevistas
Simulacin
Cuestionarios
32
Mckeever, J. Sistemas de Informacin para la Gerencia, Editorial Mc Graw Hill, Mxico (1984)
33
de la
34
Los
controles
de
aplicacin
son
procedimientos
manuales
con
muchos
sistemas
de
aplicacin
y,
soportan
el
36
CAPTULO II
Modelo COBIT 4.0
2.1. INTRODUCCIN
Se adopt la versione 4.0 del Modelo COBIT puesto que, una vez que
se realiz un anlisis de todas las versiones de COBIT se identificaron
las siguientes caractersticas en cada una de ellas.
Versin 1.0: uso de estndares
37
4.0:
acenta
el
cumplimiento
regulador,
ayuda
las
En el Modelo de COBIT 4.0 los productos se han definido en tres niveles, los
mismos que dan soporte a:
Administracin y consejos ejecutivos.
Administracin del negocio y de Tecnologa de Informacin.
Profesionales de gobierno, aseguramiento, control y seguridad,
como se detalla en la Grfica 2.
38
39
definir; si la informacin
procesada para cumplir con los objetivos del negocio se estn adaptando a
los criterios de informacin (efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y confiabilidad), as como tambin
define cuales de los recursos de TI (sistemas de aplicacin, tecnologa,
instalaciones, datos) son importantes para apoyar a los objetivos del
negocio.
y recomendaciones,
por
aquellas
organizaciones
que
aplicaron
COBIT,
41
2.3.1.1.
Orientado a Negocios
42
deben
43
los
reportes financieros.
Una vez que las metas del negocio se encuentran alineadas y han sido
definidas, requieren ser monitoreadas para garantizar que la entrega
cumpla con las expectativas del negocio.
los
sistemas
de
informacin,
que
integran
bsico,
sistemas
incluye
hardware
software
productividad del
proporcionen la
44
2.3.1.2.
Orientado a Procesos
45
2.4. DOMINIOS
2.4.1.1.
2.4.2.1.
47
2.4.3.1.
48
2.4.4.1.
ATRIBUTO
Audiencia Primaria
Objetivos
Organizacionales del
CI
COBIT
Direccin, usuarios,
COSO
Direccin
auditores de SI
ITIL
Direccin, usuarios,
auditores de SI
Operaciones efectivas y
Operaciones efectivas y
eficientes
eficientes Informes
Confidencialidad,
financieros confiables
integrado en sus
integridad y
Cumplimiento de las
procesos a sus
disponibilidad de
leyes y regulaciones
clientes y
informacin
proveedores a
Informes financieros
travs de redes
confiables
informticas.
Cumplimiento de las
Ofrecer un marco
leyes y regulaciones
Componentes o
Dominios
Dominios:
Componente:
Componentes
Planeamiento y
Supervisin
(fases):
organizacin Adquisicin
Ambiente de control
Estrategia del
e implementacin
Administracin de
servicio
Entrega y soporte
riesgos Actividades de
Monitoreo
control Informacin y
Transicin del
comunicacin
servicio
Operaciones del
servicio
Mejora
Tecnologa Informtica
Toda la entidad
Ciclo de vida de un
servicio
Alta
Alta
Media
Depende de la
Disponibilidad de la
disponibilidad de la
informacin
informacin de las
la infraestructura TI
areas de la empresa
Alto
Alto
Alto
50
son
sobre la seguridad y
empresarial.
orientados
-Mejora la
travs de los
externamente.
diversos puntos de
-Confiabilidad
informacin
de
la contacto acordados.
ms detalles.
-Se maneja mejor la
VENTAJAS
(CLIENTES Y
de los servicios.
USUARIOS)
-La entrega de
servicios se enfoca
ms al cliente,
mejorando con ello
la calidad de los
mismos y relacin
entre el cliente y el
departamento de IT.
-Una mayor
flexibilidad y
adaptabilidad de los
servicios
VENTAJAS (TI)
Las actividades de
- La organizacin TI
desarrolla una
riesgos de negocio,
procedimientos y
estructura ms
clara, se vuelve ms
aspectos tcnicos.
eficaz y, se centra
- Con el fin de
de la conduccin y que
ms en los objetivos
proporcionar la
de la organizacin.
informacin que la
- La administracin
organizacin necesita
los riesgos
tiene un mayor
control, se
estandarizan e
identifican los
administrados por un
procedimientos y,
51
conjunto de procesos de
TI agrupados en forma
ms fciles de
natural.
manejar.
- Proporciona
-La estructura de
herramientas al
procesos en IT
responsable de los
proporciona un
marco para
cumplimiento de los
concretar de
procedimientos de TI.
manera ms
- Es la herramienta
adecuada los
innovadora para el
servicios de
outsourcing.
a la gerencia a
-A travs de las
comprender y administrar
mejores prcticas
de ITIL se apoya al
con TI.
cambio en la cultura
de TI y su
orientacin hacia el
servicio y, se facilita
la introduccin de
un sistema de
administracin de
calidad.
- ITIL proporciona
un marco de
referencia uniforme
para la
comunicacin
interna y con
proveedores.
DESVENTAJAS
-Tiempo y esfuerzo
necesario para su
las instrucciones
implementacin.
un proceso, en cierto
-Errores de juicio en la
- No se da un
cambio previo en la
su propia ejecucin.
interpretacin,
involucrada.
clusula de limitacin de
responsabilidad la cual
fatiga.
Inobservancia gerencial
de entendimiento
52
personas involucradas a
a las polticas o
sobre procesos,
investigar el manual de
procedimientos
indicadores y
COBIT.
prescritos.
-Resulta un modelo
-Colusin.
controlados.
-Costo - beneficio.
- El personal no se
de profundidad en el
involucra y no se
estudio.
compromete.
-No existe en la
- La mejora del
bibliografa de resultados
servicio y la
experiencias prcticas de
reduccin de costos
implementacin de este
- La inversin en
herramientas de
nivel de confiabilidad.
53
CAPTULO III
Cooperativa Alianza del Valle, es una Institucin que naci hace 41 aos
con el fin de colaborar con el progreso y bienestar de la comunidad y, es
gracias a sus asociados que ha logrado convertirse en una institucin
financiera slida con visin de liderazgo.
Alianza del Valle es una entidad solidaria que trabaja por la comunidad
ofreciendo sobre todo seguridad y confianza, que le han convertido en Su
Cooperativa Amiga.
Misin: Satisfacer las necesidades y expectativas de nuestros socios,
ofrecindoles productos y servicios financieros innovadores, de calidad y con
valor agregado, contando con una estructura administrativa/financiera slida y
con personal y directivos con visin social
Visin: Mantenernos como una Institucin Financiera Slida, con mayor
participacin en el mercado, que brinda productos y servicios financieros
competitivos con cobertura nacional, para impulsar el desarrollo de los socios y
de la comunidad con responsabilidad social.
Valores de la Cooperativa
Servicios:
-
Seguro Amigo
Tarjeta de Dbito
Impuesto Predial
Transferencias Interbancarias
Acreditaciones IESS
55
Productos:
Productos de Ahorro
-
Cuenta Efectiva
Cuenta Suea
Cuenta Joven
Cuenta Metahorro
Productos de Crdito
-
Seguro de desgravamen
Cero comisiones
CrediConsumo
MicroCrdito
CrediVivienda
Inversiones
-
3.1.2. Conocimiento
compresin
de
las
actividades
del
departamento de TI.
El Departamento de TI
principales:
Asesorar
en
el
desarrollo
implementacin
de
nuevas
operativos
administrativos,
salvaguardando
la
56
redes,
sistemas
equipos
de
la
Gerencia
General, las
polticas
57
de
tecnologa de
de
asegurar la
tecnologas
renovacin
de
informacin,
tecnolgica
requeridos
implantacin
de
para
los
Establecer
las
normas
estndares
para
la gestin de
adquisicin,
alquiler
y/o
mantenimiento
de
equipos
Plan de Seguridad de la
de acuerdo
al mbito de su
competencia.
58
59
60
Cargos
o Listado de Cargos
61
cooperativa
o Cumplir y hacer cumplir a los socios las disposiciones emanadas
de la asamblea general y del consejo de administracin
o Actualizar y mantener bajo custodia los inventarios de bienes y
valores de la entidad.
o Contratar, remover y sancionar, de acuerdo a las polticas que fije
el consejo de administracin a os empleados de la cooperativa,
cuyo nombramiento o remocin no sea de competencia de otro
rgano de la entidad y fijar sus remuneraciones que debern
constar en el presupuesto de la entidad
o Suministrar la informacin que solicite los socios, representantes,
rganos internos y su impacto en el patrimonio, cumplimiento del
plan estratgico y sobre todo que sean solicitados, as como el
plan anual de gestin.
o Informar al consejo de administracin sobre la situacin financiera
de la entidad, de riesgos
y su impacto en el patrimonio,
los
lineamientos
fiados
por
el
consejo
de
administracin
o Analizar y aprobar las estrategias de mercadeo de productos y
servicios de la cooperativa
o Evaluar los resultados de la implantacin de las estrategias,
segn programa aprobado.
o Aprobar la adquisicin de bienes y servicios requeridos para la
gestin de la cooperativa de acuerdo a lo establecido en el
manual de adquisicin
o Suscribir convenios de prstamo con entidades financieras segn
polticas de endeudamiento aprobadas.
Asistente de Gerencia
o Coordinar la agenda de Gerencia General
o Elaborar memorandos y oficios para funcionarios, organismos de
control, instituciones financieras y otros.
o Cumplir actividades de apoyo administrativo a jefaturas de la
cooperativa.
o Asistir y coordinar reuniones de trabajo con jefes departamentales
jefes de agencias, etc.
o Monitorear
el
cumplimiento
de
instructivos,
disposiciones,
el
cumplimiento
de
entrega
recepcin
de
correspondencia.
o Administrar el programa de desbloqueo de claves de los
funcionarios y empleados.
o Administrar el mdulo de seguridad de mdulo COBIS
o Realizar las veces de oficial de cumplimiento Back UP
63
Auditor Interno
o Vigilar cualquier tiempo las operaciones de la institucin
o Comprobar la existencia y el adecuado funcionamiento de los
sistemas del control interno, con el propsito de proveer una
garanta razonable en cuanto al logro de los objetivos de la
institucin; eficiencia y eficacia de las operaciones; salvaguarda
de los activos; una adecuada revelacin de los estados
financieros; y, cumplimiento de las polticas y procedimientos
internos, leyes y normas aplicables.
o Evaluar los recursos informticos y sistemas de informacin de la
institucin del sistema financiero, con el fin de determinar si son
adecuados para proporcionar a la administracin y dems reas
de la institucin, informacin oportuna y suficiente que cuenten
con todas las seguridades necesarias.
o Verificar si la informacin que utiliza internamente la institucin
para la toma de decisiones y la que reporta a la superintendencia
de bancos y seguridades es fidedigna, oportuna y surge de
sistemas de informacin y bases de datos institucionales.
o Verificar que el director o el organismos que haga sus veces de la
institucin del sistema financiero haya expedido las polticas para
prevenir el lavado de activos provenientes de actividades ilcitas y
constatar la aplicacin de estas por parte de la administracin de
la entidad controlada.
o Evaluar si la gestin del oficial de cumplimiento se sujeta a las
disposiciones
o Verificar que la institucin cuente con organigramas estructurales
y funcionales;
o Verificar que la institucin del sistema financiero cuente con un
plan estratgico y que su formulacin se efectu a base de un
anlisis de elementos tales como: debilidades, oportunidades
fortalezas y amenazas, lneas de negocios, mercado objetivo,
evolucin de la cuota de mercadeo, proyecciones financieras,
planes de expansin o reduccin, entre otros.
64
o Verificar
la
existencia,
actualizacin,
difusin,
eficacia
y,
dems
reportes
que
se
remitirn
la
65
riesgos
JEFE DE
INFORMTICA Y
TECNOLGIA
ADMINISTRADOR
DE TI
ANALISTA DE
PRODUCCIN
ANALISTA
PROGRAMADOR
OPERADOR
ADMINISTRADOR
DEL CENTRO DE
CMPUTO
PROGRAMADOR
al rea tecnolgica se la
actividades
institucionales,
con
la
Desarrollar
software
que
cumpla
con
los
requerimientos institucionales.
3.1.5.1.
ESTANDARES:
Cuentas de Ahorro
Personalizacin
Remesas
MDULO DE CARTERA
70
MDULO CONTABIIDAD
Manejo de Empresas
Periodos Contables
Plan de Cuentas
Manejo de Monedas
El
mdulo
genera
departamento,
el
nmero
imprimir
los
de
comprobante
comprobantes
por
contables
generados.
Recepcin
de
comprobantes
contables,
desde
el
Saldos Contables
Es
posible
la
consulta
automtica
de
saldos
Reexpresin Monetaria
para
la
presentacin
de
Balances
la
Superintendencia de Bancos.
Interfaces Contables
73
Manejo
de
interfaces
contables
con
Productos
Control Presupuestario
MDULO DE CRDITO
MDULO DE FIRMAS
74
MDULO CLIENTES
su
segmentacin
por
mercados
ubicacin
geogrfica.
75
3.1.5.2.
Base de Datos
77
3.1.5.3.
Servidores
Servidor de produccin
Nombre del host
Alianza
Direccin IP
192.10.1.3
Servidor de Standby
Nombre del host
alianza1
Direccin IP
192.168.102.3
Servidor de Replicacin
Nombre del host
Alianza
Direccin IP
192.10.1.101
78
SERVIDOR
ASE
DE
PRODUCCION
Direccin IP
192.10.1.3
Direccin IP
192.168.102.3
SERVIDOR
ASE
QUE
ADMINISTRA LA RSSD
Direccin IP
192.10.1.101
3.1.5.4.
79
3.1.5.5.
RED
que
TI
entregue
todos
los
beneficios
pronosticados en la estrategia.
Administrando los Recursos crticos.
81
3.2.2.1.
Marco Terico
Planificacin y organizacin.
Adquisicin e implementacin.
Soporte y servicios.
Evaluacin y seguimiento.
3.2.2.2.
Objetivos
Sistemas de
83
3.2.2.3.
Alcance
detectadas,
las
cuales
nos
permitirn
generar
3.2.2.4.
que
Indagar y confirmar
Inspeccionar
84
Observar
Recalcular y analizar
3.2.2.5.
Productos a Entregar
Las
recomendaciones
emitidas
en
base
las
debilidades
3.2.2.6.
Herramientas a Utilizar
85
Observacin Directa
(que
haremos
durante
la
observacin
Entrevistas
86
Checklist
El checklist es una tcnica muy utilizada en el campo de la
auditora
informtica.
No
es
ms
que
una
lista
de
PO1
PO1.1
PO1.2
PO1.3
Documentado
Proceso de TI
Fuentes
bajo
Medio
Alto
No importante
Riesgo
No Documentado
Algo importante
Muy importante
Importancia
o
o
o
87
PO1.4
Plan estratgico de TI
PO1.5
Planes tcticos de TI
PO1.6
PO2
PO2.1
PO2.2
X
o
empresarial
Diccionario de datos empresarial y
PO2.3
PO2.4
Administracin de la integridad
PO3
PO3.1
PO3.2
PO3.3
PO3.5
Consejo de arquitectura
PO4.2
Comit estratgico
PO4.3
Comit directivo
o
x
o
o
o
de TI
Estructura organizacional
PO4.6
Roles y responsabilidades
Responsabilidad de aseguramiento de
calidad de TI
Responsabilidad sobre el riesgo, la
seguridad y el cumplimiento
X
o
PO4.5
PO4.8
relaciones de TI
Marco de trabajo del proceso
PO4.7
PO4.1
futuras
Estndares tecnolgicos
PO4.4
PO3.4
PO4
o
o
o
PO4.9
PO4.10
Supervisin
PO4.11
Segregacin de funciones
PO4.12
PO4.13
PO4.14
PO4.15
Personal de TI
Personal clave de TI
Polticas y procedimientos para
personal contratado
Relaciones
o
O
o
88
PO5
PO5.1
PO5.2
financiera
Prioridades dentro del presupuesto de
TI
PO5.4
Administracin de costos
PO5.5
Administracin de beneficios
PO6
direccin de la gerencia
Ambiente de polticas y de control
Riesgo corporativo y marco de
referencia de control interno de TI
PO6.4
Implantacin de polticas de TI
PO7
PO7.1
PO6.3
PO6.5
direccin de TI
PO7.3
Asignacin de roles
PO7.4
PO7.5
PO7.7
empleado
Cambios y terminacin de trabajo
PO8
Administrar calidad
PO8.1
PO8.2
PO8.3
personal
PO7.8
O
x
X
O
Estndares de desarrollo y de
adquisicin
PO8.4
Enfoque en el cliente
PO8.5
Mejora continua
PO8.6
PO9
PO7.2
PO7.6
Proceso presupuestal
PO6.2
PO5.3
PO6.1
Administrar la inversin en TI
o
x
89
PO9.1
PO9.2
PO9.3
Identificacin de eventos
PO9.4
Evaluacin de riegos
PO9.5
PO9.6
X
Alineacin de la administracin de
PO10
PO10.1
PO10.2
o
o
o
o
o
o
x
de programas
Marco de trabajo para la administracin
de proyectos
PO10.3
PO10.4
PO10.5
PO10.6
PO10.7
PO10.8
PO10.9
o
o
PO10.13
o
o
o
Al1
o
x
del negocio
Al1.2
Al1.3
Al1.4
X
o
o
y aprobacin
Al2
Al2.1
90
Al2.2
Al2.3
Al2.4
Al2.5
Al2.6
Al2.7
Al2.8
Al2.9
Al2.10
X
Al3
Al3.1
Al3.2
aplicaciones
Seguridad y disponibilidad de las
aplicaciones
Configuracin e implantacin de
sistemas existentes
Desarrollo de software aplicativo
software
Administracin de los requerimientos de
aplicaciones
Mantenimiento de software aplicativo
Adquirir y mantener infraestructura
tecnolgica
Plan de adquisicin de infraestructura
tecnolgica
o
x
de infraestructura
Al3.3
Mantenimiento de la infraestructura
Al3.4
Al4
Al4.1
Al4.2
Al4.3
Al4.4
X
Diseo detallado
Transferencia de conocimiento a la
gerencia del negocio
Transferencia de conocimiento a
usuarios finales
Transferencia de conocimiento al
Al5
Adquirir recursos de TI
Al5.1
Control de adquisicin
Al5.2
Seleccin de proveedores
Al5.4
Adquisicin de software
Al5.5
Adquisicin de infraestructura,
proveedores
Al5.3
Al5.6
91
Al6
Al6.1
Al6.2
Al6.3
Al6.4
Al6.5
X
Al7
x
o
autorizacin
Cambios de emergencia
cambio
Cierre y documentacin del cambio
cambios
Al7.1
Entrenamiento
Al7.2
Plan de prueba
Al7.3
Plan de implementacin
Al7.4
Ambiente de prueba
Al7.5
Al7.6
Prueba de cambios
Al7.7
Al7.8
Transferencia a produccin
Al7.9
Liberacin de software
Al7.10
Al7.11
Al7.12
DS1
DS1.1
DS1.3
DS1.4
DS2
DS2.1
DS1.6
DS1.2
DS1.5
Administrar cambios
o
o
o
o
o
x
92
DS2.2
DS2.3
DS2.4
DS3
DS3.1
proveedores
Administracin de riesgos del proveedor
proveedor
Administrar el desempeo y la
capacidad
capacidad
DS3.2
DS3.3
DS3.4
Disponibilidad de recursos de TI
DS3.5
Monitoreo y reporte
DS4
DS4.1
DS4.2
Planes de continuidad de TI
DS4.3
Recursos crticos de TI
DS4.4
DS4.5
DS4.6
DS4.7
DS4.8
DS4.9
o
o
X
O
o
o
de TI
Pruebas del plan de continuidad de TI
de TI
Distribucin del plan de continuidad de
TI
Recuperacin y reanudacin de los
servicios de Ti
Almacenamiento de respaldos fuera de
las instalaciones
DS4.10
Revisin port-reanudacion
DS5
DS5.1
Administracin de la seguridad de TI
DS5.2
Plan de seguridad de TI
DS5.3
Administracin de identidad
DS5.4
DS5.5
o
x
o
o
o
DS5.6
DS5.7
Proteccin de la tecnologa de
93
seguridad
DS5.8
DS5.9
software malicioso
DS5.11
DS6
DS6.1
Definicin de servicios
DS6.2
Contabilizacin de TI
DS6.3
DS6.4
DS7
DS7.3
DS8
Identificacin de necesidades de
entrenamiento y educacin
Imparticin de entrenamiento y
educacin
incidentes
o
o
x
Mesa de servicios
DS8.2
DS8.3
Escalamiento de incidentes
DS8.4
Cierre de incidentes
DS8.5
Anlisis de tendencias
DS9
Administrar la configuracin
DS9.2
DS9.3
DS10
DS10.1
Revisin de integridad de la
configuracin
Administracin de problemas
Identificacin y clasificacin de
problemas
o
x
DS10.3
Cierre de problemas
DS10.2
DS10.4
X
o
base
elementos de configuracin
X
o
Identificacin y mantenimiento de
DS8.1
DS9.1
Seguridad de la red
DS7.2
DS5.10
DS7.1
94
DS11
DS11.1
DS11.2
DS11.3
Acuerdos de almacenamiento y
conservacin
Sistema de administracin de libreras
de medios
DS11.5
Respaldo y restauracin
administracin de datos
DS12
DS12.1
DS12.2
DS12.3
Acceso Fsico
X
o
DS12.5
DS13
Administracin de operaciones
Procedimientos e instrucciones de
Programacin de tareas
DS13.3
Monitoreo de la infraestructura de TI
DS13.5
ME1
ME1.1
ME1.2
TI
o
x
X
o
monitoreo
Mtodo de monitoreo
ME1.4
o
o
ejecutivos
ME1.6
Acciones correctivas
ME2
ME2.1
salida
ME1.3
ME1.5
operaciones
DS13.2
DS13.4
administracin de datos
DS13.1
Eliminacin
DS12.4
DS11.4
DS11.6
X
Administracin de la informacin
o
x
X
o
95
ME2.2
Revisiones de auditora
ME2.3
Excepciones de control
ME2.4
Auto-evaluacin de control
ME2.5
ME2.6
ME2.7
Acciones correctivas
ME3
ME3.1
ME3.2
ME3.3
ME3.4
o
o
o
x
regulatorios
Evaluacin del cumplimiento con
requerimientos regulatorios
Aseguramiento positivo del
cumplimiento
ME3.5
Reportes integrados
ME4
Proporcionar gobierno de TI
ME4.1
o
x
o
ME4.2
Alineamiento estratgico
ME4.3
Entrega de valor
ME4.4
Administracin de recursos
ME4.5
Administracin de riesgos
ME4.6
96
INSTRUMENTOS DE
OBJETIVOS DE CONTROL DETALLADOS
CONTROLES
Nombre
POR VERIFICAR
Descripcin
Prueba del
DOCUMENTACIN
Control
DE REFERENCIA
PREGUNTAS
INVESTIGACION DE
BASICAS
CAMPO
1) Plan de
1) Anexo A.1:
Plan de
1)
de TI con el
capacitacin al
Hoja de
capacitaciones.
cuenta
negocio
tecnolgicas actuales y
usuario sobre
Evaluacin
tecnologas de TI
PO1
negocio.
2) Plan
Plan de TI
estratgico y operativo
Cada
proyecto Cuestionario y
con
negocios
una entrevista.
de
de
la
empresa?
estratgico de
Conoce la importancia
oportunidades.
negocio
de TI para el negocio y
2)
Asegurarse de que el
su
crecimiento?
3) A futuro TI garantiza
una
bien entendido.
capitalizacin
Las estrategias de
negocio ?
mejor
del
negocio y de TI deben
estar integradas,
relacionando de manera
97
Establecer un esquema
1) Esquema de
1) Anexo A.2:
Manual general de
1) La informacin que
Cuestionario y
de clasificacin
de clasificacin que
clasificacin de
Hoja de
polticas de gestin
el negocio genera, es
entrevista.
de datos
aplique a toda la
datos
Evaluacin
de informtica y
tratada con la
2) Requerimientos PO2
tecnologa
confidencialidad que
de manejo de
requiere el caso?
datos
2) Es el personal
pblica, confidencial,
3) Descripcin de
secreta) de la empresa.
permisos de
usuario para
o extrae informacin
detalles acerca de la
control de acceso
del sistema?
3)
98
propiedad de datos, la
El modelo de datos es
definicin de niveles
fcil de utilizar ?
apropiados de seguridad
y de controles de
proteccin y, una breve
descripcin de los
requerimientos de
retencin y destruccin de
datos, adems de qu tan
crticos y sensibles son.
Se usa como base para
aplicar controles como el
control de acceso, archivo
o inscripcin.
PO9.1 Alineacin Integrar el gobierno, la
1) Marco de
1) Anexo A.3:
se solicita a la
1) Existen reportes de
Cuestionario y
de la
administracin de riesgos
administracin de
Hoja de
Cooperativa un
monitoreo de riesgos
entrevista.
administracin
y el marco de control de
riesgos de TI
Evaluacin
marco de
activados? 2) Los
de riesgos de TI
2) Marco de
PO9
administracin de
planes de
y del negocio
administracin de riesgos
trabajo de
riesgos de TI y el
administracin de
de la organizacin. Esto
administracin de
riesgos del
administracin de
negocio.
riesgos de negocio
por la gerencia?
el nivel de tolerancia al
riesgo de la organizacin
99
AI3.1 Plan de
1) Plan de
1) Anexo A.4:
Solicitar a la
1) Cuantos proyectos
adquisicin de
adquirir, implantar y
adquisicin
Hoja de
Cooperativa el plan
estn sujetos a
infraestructura
mantener la
implantacin y
tecnolgica
implantacin y
infraestructura
mantenimiento de
2) Cuantos proyectos
requerimientos
tecnolgica.
la infraestructura
de TI han sido
tecnolgica
entregados a tiempo
Plan de
segn el presupuesto y
Administracin de
planificacin?
la direccin tecnolgica
cambios
TI
Cuestionario y
entrevista.
de la organizacin. El plan
debe considerar
extensiones futuras para
adiciones de capacidad,
costos de transicin,
riesgos tecnolgicos y
vida til de la inversin
para actualizaciones de
tecnologa.
Evaluar los costos de
complejidad y la viabilidad
comercial del proveedor y
el producto al aadir
nueva capacidad tcnica
100
AI3.3
1) Plan de
1) En qu porcentaje
Mantenimiento
y un plan de
manteamientos de
de la
mantenimiento de la
infraestructura
satisfechos con la
Infraestructura
infraestructura y
tecnolgica
funcionalidad y
garantizar que se
2) Plan de
mantenimiento de TI?
administracin de
2) Con qu frecuencia
acuerdo con el
cambios
procedimiento de
infraestructura
un mantenimiento? 3)
administracin de
tecnolgica
Que procedimiento
cambios de la
recibir un
mantenimiento
correctivo o preventivo
negocio, administracin
de parches y estrategias
de actualizacin, riesgos,
evaluacin de
vulnerabilidades y
requerimientos de
seguridad.
101
1) Manual de
1) Anexo A.5:
Solicitar a la
1) Procedimiento que
y procedimientos
procedimientos de
gestin y
Hoja de
Cooperativa el
para cambios
administracin de cambio
desarrollo de
software
desarrollo de
mantenimiento de
software
software?
Cuestionario y
entrevista.
2)
Como se controla el
mantenimiento y parches)
acceso a los
para cambios a
programas fuentes?
aplicaciones,
procedimientos, procesos,
parmetros de sistema y
servicio y, las plataformas
fundamentales.
AI6.3 Cambios
Establecer un proceso
1) Manual de
1) Anexo A.5:
1) Nmero de
de emergencia
gestin y
Hoja de
interrupciones o
desarrollo de
Evaluacin AI6
errores reportados y
cambios de emergencia
software
solucionados
emergentemente?
de cambio establecido. La
documentacin y pruebas
realizado
se realizan, posiblemente,
emergentemente a la
despus de la
infraestructura?
Cual es el
de emergencia.
procedimiento para
3)
cambios emergentes ?
102
DS1.5 Monitoreo
1) Anexo A.6:
Solicitar como se
Cuestionario y
y reporte del
los criterios de
Hoja de
procede en la
sido entregados y no
entrevista.
cumplimento de
administracin de
se encuentran en el
los niveles de
2) Reportes de
niveles de servicio
catalogo?
servicio
cumplimiento de
del departamento
cumplimiento de los
niveles de
de tecnologa y
medidos por el
servicio.
sistemas
departamento de TI ?
administracin de
DS1
2) Que
emitirse en un formato
3) Que porcentaje de
usuarios se encuentran
estadsticas de monitoreo
brinda la empresa?
identificar tendencias
positivas y negativas tanto
de servicios individuales
como de los servicios en
conjunto.
DS3.2
Revisar la capacidad y
1) Manual tcnico
1) Anexo A.7:
Solicitar a la
Capacidad y
del sistema
Hoja de
Cooperativa toda la
desempeo
recursos de TI en
informacin acerca
en el buen
actual
funcionamiento de este
determinar si existe
de datos 3)
COBIS, manual
sistema? 2)
suficiente capacidad y
Esquema de
tcnico de la base
Seguridades de la
distribucin de red
de datos y
esquema de
de auditora del
distribucin de red.
sistema COBIS? 3)
acordados.
Cuestionario y
Los tiempos de
103
ejecucin en las
transacciones son los
adecuados aspirados ?
DS4.2 Planes de
Desarrollar planes de
1) Plan de
1) Anexo A.8:
contingencia de TI Hoja de
base en el marco de
2) Requerimientos Evaluacin
de los servicios
crticos de TI
DS4
Plan de
1) Que tiempo
Cuestionario y
contingencia de TI
entrevista.
pruebas de cualquier
elemento dado del plan
de continuidad?
2)
Con qu frecuencia
existen interrupciones
104
DS5.10
Seguridad de la
red
1) Polticas
1) Anexo A.9:
Polticas internas
1) Nmero de
Cuestionario y
tcnicas de seguridad y
internas de
Hoja de
de seguridades de
entrevista.
procedimientos de
seguridad en la
Evaluacin
la red
negativo al negocio
administracin asociados
red
DS5
2) Tiempos para
otorgar, cambiar o
dispositivos de seguridad,
eliminar privilegios de
segmentacin de redes y,
acceso
deteccin de intrusos)
para autorizar acceso y
controlar los flujos de
informacin desde y hacia
las redes.
105
1) Anexo A.10:
DS12.2 Medidas
Definir e implementar
1) Regulamiento
de seguridad
medidas de seguridad
estndar de
Hoja de
fsica
seguridades
Evaluacin
requerimientos del
fsicas
DS12
Regulamiento
1) Frecuencia de
Cuestionario y
estndar de
capacitacin del
entrevista.
seguridades fsicas
personal respecto a
medidas de proteccin,
de seguridad y de
instalaciones.
2)
Cantidad de personal
permetro de seguridad,
capacitado en medidas
de las zonas de
de proteccin,
seguridad, la ubicacin de
seguridad y de
instalaciones.
reas de envo y
recepcin. En particular,
mantenga un perfil bajo
respecto a la presencia de
operaciones crticas de TI.
Deben establecerse las
responsabilidades sobre
el monitoreo y los
procedimientos de reporte
y de resolucin de
incidentes de seguridad
fsica.
106
CAPTULO IV
Informe
resultados
de
la
Investigacin
de
Campo
las
justificaciones respectivas,
107
PLANEAR Y ORGANIZAR
PO1: Definir un Plan Estratgico de TI
PO2: Definir la arquitectura de la Informacin.
PO9: Evaluar y Administrar los Riesgos de TI
ADQUIRIR E IMPLEMENTAR
AI3: Adquirir y mantener infraestructura tecnolgica
AI6: Administrar cambios
ENTREGAR Y DAR SOPORTE
DS1: Definir y Administrar los niveles de Servicio
DS3: Administrar el desempeo y la capacidad
DS4: Garantizar la continuidad del servicio
DS5: Garantizar la seguridad de los sistemas
DS12: Administrar el Ambiente Fsico
108
de la Cooperativa
o Causa
o Efecto
o Conclusiones
o Recomendaciones
4.4. RESULTADOS
INFORME
DE
LAS
RECOMENDACIONES
110
INFORME DETALLADO
ANTECEDENTES:
El Equipo de Auditora,
en
OBJETIVO:
Realizar una Auditora Informtica de los
Sistemas de
111
GRUPO DE TRABAJO:
PERIODO DE EJECUCION:
1 Agosto 2011 14 Diciembre 2011
112
los requerimientos del negocio e identifica los asuntos claves que deben
ser llevados a cabo para administrar exitosamente estos procesos.
Los recursos de TI y los criterios de la informacin requeridos para
asegurar el xito son tambin identificados para cada proceso TI. Para
soportar una auto-evaluacin, COBIT incluye un modelo de madurez
para cada proceso TI. Estos modelos de madurez son similares en sus
conceptos bsicos utilizados por otros marcos referenciales, pero as
como los 34 proceso TI de COBIT cubren todos los aspectos de TI, los
modelos pueden ser utilizados para soportar la evaluacin de toda la
organizacin TI, en lugar de especializarse en determinadas reas.
Como soporte a la medicin del rendimiento operacional, factores
crticos de xito, indicadores clave de logro de objetivos, e indicadores
clave de rendimiento son identificados en cada proceso.
COBIT ofrece un conjunto de herramientas para administrar los procesos
TI unificando los dos puntos de vista, el de la administracin y el del
auditor. Las Guas de Administracin TI consideran los controles TI
desde una perspectiva de la administracin, mientras que las Guas de
Auditora proveen asistencia especfica a los auditores en el diseo de
programas adecuados de auditora para cada dominio. COBIT tambin
provee herramientas detalladas y personalizables de auto evaluacin en
forma de matrices y plantillas para asistir en la evaluacin y medicin de
la organizacin comparada con los criterios de COBIT.
En resumen, COBIT, es una herramienta desarrollada para ayudar a los
administradores de negocios a entender y administrar los riesgos
asociados con la implementacin de nuevas tecnologas y demostrar a
las entidades reguladoras e inversionistas, que tan efectiva es su tarea.
Se ha definido a COBIT como: "Una estructura de relaciones y procesos
para direccionar y controlar la compaa para lograr la consecucin de
los objetivos del negocio, entregando valor agregado mientras se
administra el riesgo en funcin del ambiente de sistemas y sus
procesos". Ver informe detallado (Anexo E).
113
CAPTULO V
CONCLUSIONES Y RECOMENDACIONES
Al culminar el proyecto de la evaluacin tcnica e informtica de los sistemas
tecnolgicos de informacin, de la Cooperativa de Ahorro y Crdito Alianza del
Valle Ltda., se han cumplido con los objetivos propuestos en el presente
trabajo, por lo tanto se exponen a continuacin las siguientes conclusiones y
recomendaciones en torno a la realizacin del proyecto.
114
115
ANEXOS
116
BIBLIOGRAFA:
Wikipedia
http://www.solomanuales.org/cursohttp://www.monografias.com/trabajos5/audi/audi.shtml
http://dmi.uib.es/~bbuades/auditora/auditora.PPT#266,11,Metodologa
(2)
http://www.audit.gov.tw/span/span2-2.htm
Andrea M. Tobar.
-
http://www.monografias.com/trabajos14/auditorasistemas/auditorasiste
mas.shtml
COBIT versin 4
http://www.network-sec.com/COBIT_DS
http://itil.osiatis.es/
http://www.adacsi.org.ar/es/content.php
http://www.reddeabastecimiento.org/COBIT%204.pdf
http://www.auditorasistemas.com/
http://dmi.uib.es/~bbuades/auditora/sld006.htm
http://www.monografias.com/trabajos5/audi/audi.shtml
http://www.audit.gov.tw/span/span2-2.htm
para
119
ELABORADA POR
_____________________________
_________________________
DIRECTOR DE LA CARRERA
___________________________________
Ing. Mauricio Campaa
120