Auditoria de SI - MBA Javier León

AUDITORIA DE SISTEMAS DE
INFORMACION: DIRECTRICES Y
ESTÁNDARES
Profesor MBA : Javier León F.

Auditoria de Sistemas de Información
Auditoria
The Digital Universe 2009-2020
Growing
by a
Factor of 44
2009:
0.8 ZB
One Zettabyte (ZB) = 1 trillion gigabytes

2020: 35.2 Zettabytes
Total
Digital Universe
35 ZB
By 2020, more
than a 3rd of the
Digital Universe Touched
will either live in by Cloud
or pass through 12 ZB
the cloud . . .
Auditoria
Total
Digital Universe
35 ZB
Auditoria
Total
Digital Universe
35 ZB
SGSI
Violación de contraseñas
Intercepción y modificación y violación de e-mails
Captura de PC desde el exterior
Virus Incumplimiento de leyes y regulaciones
Ingeniería social empleados deshonestos
Mails anónimos con agresiones

Spamming Programas “bomba, troyanos”
Interrupción de los servicios Destrucción de soportes documentales
Acceso clandestino a redes Robo o extravío de notebooks, palms
Robo de información
Acceso indebido a documentos impresos
Indisponibilidad de información clave Propiedad de la información
Intercepción de comunicaciones voz y
Falsificación de información wireless
Agujeros de seguridad de redes conectadas
para terceros
Escalamiento de privilegios
Password cracking
Fraudes informáticos
Puertos vulnerables abiertos Exploits
Man in the middle
Violación de la privacidad de los empleados
Servicios de log inexistentes o que no son chequeados
Denegación de servicio Backups inexistentes

Destrucción de equipamiento
Últimos parches no instalados
Instalaciones default
Desactualización Keylogging Port scanning
Hacking de Centrales Telefónicas

Introducción
El avance de las Tecnologías de Información está incorporando Sistemas
con mayor automatización o mayor “inteligencia”, con la finalidad de
aumentar su eficiencia y permitir rediseñar los procesos de negocio, . La
aparición de los softwares o paquetes de administración, basados en
metodologías estrictas, ha llevado a la dirección de las Organizaciones a
tomar conciencia de los riesgos que implica el incorporar Sistemas de
Información globales y de alta complejidad e integración y con gestión de
calidad (TQM). Incorporación de auditoria informática en apoyo a la
auditoria financiera inicialmente.
Funciones de Control Interno y Auditoria Informática
1.- Control Interno Informático

1. Son implementados reducir los riesgos de la organización, y operan en
todos los niveles de dicha organización para mitigar su exposición a
riesgos que potencialmente podrían impedirse alcanzar sus objetivos
del negocio.
2. Control diario de las actividades del SI realizadas cumpliendo
procedimientos, estándares, y normas fijados por la Dirección.
3. Debe tener know-how de las normas y procedimientos
4. Apoyo a las auditorias de informática y auditorias externas
5. Definir, implantar y ejecutar mecanismo y controles para medir los
niveles de servicio establecidos según las normas.
Existen dos aspectos esenciales que los controles deben atender: “Que debería lograrse y
debería evitarse”.
2.- Auditoria informática
Es el proceso de la evaluación de evidencias para comprobar si el SI salvaguarda los
activos, integridad de los datos, cumple con las objetivos de la organización y hace uso
eficiente de los recursos asignados.
Objetivos tradicionales:
• Protección de activos y integridad de los datos
• Eficiencia y eficacia en la gestión
El auditor evalúa los controles utilizando técnicas mecanizadas para validar la fiabilidad de
la información suministrada, y generar los reportes de la Dirección.
Funciones del Auditor:

1. Participar en el diseño, implantación, cambios y explotación de las App informáticas.
2. Revisar los controles implantados
3. Revisar nivel de eficacia, utilidad, fiabilidad y seguridad de los Sist. Informáticos
3.- Funciones Análogas: Auditoria informática y Control Interno
Control Interno Informático Auditoria informática
Ambos tienen conocimiento de TI, verificación del cumplimientos de controles

internos, normativas y procedimientos.
• Análisis del control diario • Análisis del control en cualquier tiempo

• Informa a la Dirección Informática • Informa a la Dir. General
• Solo personal interno • Personal interno / externo
• Alcance solo el Dpto. informático • Alcance sobre todos los sistemas de las
Organización.
Sistema de Control Interno Informático
1.- Definición y tipo de controles Internos
Es la actividad realizada manualmente y automáticamente que permite prevenir, corregir

errores o irregularidades, que puedan afectar los sistemas de una organización.
Tipo de Controles Internos

• Controles Preventivos: Trata de evitar el hecho.
• Controles detectivos: Cuando fallan los preventivos, trata de conocer cuanto antes el
evento.
• Controles Correctivos: Facilitan la vuelta a l normalidad cuando se han producido del
incidencias.
El mismo método de control se utiliza para satisfacer Objetivos de Control de

Mantenimiento y Objetivo de Control de Seguridad de Programas.
2.- Implantación de un sistema de controles internos informativos
Los controles se pueden implementar a varios niveles diferentes. Es importante llegar a

conocer ben la configuración del sistema, con el objetivo de identificar los elementos,
productos y herramientas que existen para saber donde pueden implementarse los controles.
Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la
red, niveles de control y elementos relacionados.
• Entorno de red: Topología, HW de comunicaciones, SW de acceso, control de red, hots App
criticas, seguridad red.
• Configuración Host: soporte, s.o, particiones, desa, prd, etc.
• Entorno de App: Transacciones, gestión bd, procesos.
• Productos y herramientas: SW de DESA, SW gestión de bibliotecas y operaciones.
• Seguridad del ordenador: Usuarios, control de acceso, registro de información, controles
de supervisión, etc.
Para la implantación de un sistema de controles internos informáticos habrá que definir:
• Gestión de sistemas de información: Políticas y normas técnicas para el diseño e
implantación de los SI y sus controles.
• Administración de sistemas: Controles sobre los CPD, funciones de apoyo, administración
de redes.
• Seguridad: Incluye controles de integridad del sistema, confidencialidad y disponibilidad.
• Gestión del cambio: Gestión de testing, producción y control de procedimientos de
migración de aplicaciones.
La implantación de una política y cultura sobre la seguridad requiere ser realizada por
fases :
Política de
Seguridad
Plan de Seguridad
Normas y procedimientos
Medidas Tecnológicas implantadas

Roles para Política y Cultura sobre Seguridad
1. Dirección de Sistemas de Información: Definir la política o directrices para los sistemas

de información en base a las exigencias del negocio.
2. Dirección de informática: Definir normas de funcionamiento del entorno informático.
Creación y publicación de normas, procedimientos, estándares, metodologías.
3. Control Interno Informático: Definir controles para las funciones informáticas, se
revisaran periódicamente para ver su desviación y recomendaciones de cambio.
4. Auditor Interno/externo Informático: Revisara los controles internos para cada una de las
funciones informáticas y el cumplimiento de las normativas internas y externas,
recomendando acciones que minimicen los riesgos.
DIRECCION
POLITICAS Y
Exigencias internas POLITICA
DIRECTRICES
y externas
ESTANDARES,
PROCEDIMIENTOS,
NORMAS Y
METODOLOGIAS
CULTURA
COMPROBACION Y IMPLAMTAR
SEGUIMIENTO DE PROCEDIMIENTOS
CONTROLES DE CONTROL
Controles Internos para SI funcionales
1. Controles generales organizativos: Políticas, Planificación (Plan estratégico, informático,
general de seguridad física y lógica, emergencia ante desastres.
a) Estándares: regulación, diseño, modificación y explotación de sistemas.
b) Procedimientos: Regular las relaciones entre Informática y los departamentos
usuarios.
c) Organización: Informática debe estar independiente de los departamentos usuarios.
d) Funciones y responsabilidades: Definición clara dentro del Departamento de
informática.
e) Políticas de personal: Selección, plan de formación, vacaciones, evaluación y
promoción.
f) Revisión de informes: La Dirección debe revisar los informes de control y resolución.
g) Clasificación de Información: Designación de personal autorizado y nivel de acceso.
h) Roles: Control Interno Informático y Auditoria Informática.
2. Controles de desarrollo, adquisición y mantenimiento de SI: Para alcanzar la eficiencia ,

economía, la eficacia del sistema, protección de los recursos y cumplimiento de las leyes.
a) Metodología del ciclo de vida del desarrollo de sistemas: Asegura el cumplimento de

los objetivos para el sistemas. La metodología debe tener controles como normativa
para el uso de la metodología, establecer las responsabilidades y funciones del
departamento, definición de especificaciones hechas por usuarios, estudio de
factibilidad, control de costes del proyecto, documentación del diseño, procesos y
programas, planes de validación y pruebas, estándares, prueba de aceptación final,
procedimientos de adquisición de software, contratación de programas a medida,
manuales de operación y mantenimiento, explotación y mantenimiento.
3. Controles de explotación de SI:

a) Planificación y gestión de recursos : Definir presupuesto, plan de adquisiciones y
gestión de capacidades de equipos.
b) Controles para usar de manera efectiva los recursos en ordenadores: calendario de
carga, mantto. preventivo, gestión de problemas, procedimientos de facturación.
c) Procedimientos: Para la selección de SW, instalación, mantto., seguridad y control de
cambios.
d) Seguridad física y lógica: seguridad de información, revisar los informes de violación
y resolver incidentes, control de acceso físico, control de externos, protección contra
incendios, control de acceso al HW, normas de acceso, plan de contingencias de
respaldo y recuperación de información.
4. Controles de aplicaciones: Cada App debe tener controles incorporados para garantizar su
disponibilidad.
a) Control de entrada de datos : Procedimientos de conversión y de entrada, validación
y corrección de datos.
b) Controles de tratamientos de datos : para asegurar que no se dan de alta, modifican,
o borran datos no autorizados para garantizar la integridad de los mismos.
c) Controles de salida de datos: Sobre el cuadre y reconciliación de salidas,
procedimientos de distribución de salidas, de gestión de errores en las salidas, etc.

5. Controles específicos de ciertas tecnologías

a) Control en Sistemas de Gestión de BD: Prever acceso a la estructura y datos,
administración, cambio de datos, concurrencia, minimizar fallos, tiempo de
recuperación
b) Controles en informática distribuida y redes: Planes de implantación de red, control
de red, compatibilidad de datos en redes distribuidas, seguridad de red, inventarios
de activos, mantenimiento preventivo, monitoreo para medir eficiencia, etc.
c) Controles sobre ordenadores personales y redes de área local: Políticas de
adquisición, normativas de adquisición de sw, control de acceso a redes, política de
seguridad, soporte técnico, inventario, identificación de usuarios, etc.
d) Controles de calidad: Plan calidad, esquema de garantía de calidad, metodología de
desarrollo de sistemas, normas de documentación y pruebas de programas, etc.
Jerarquía de CII
a) Gobernabilidad: Políticas
b) Gestión: Estándares, organización y gestión, controles físicos y del entorno.
c) Técnico: Controles de SW de Sistemas, Control de Desarrollo de Sistemas, control
basado en Aplicaciones
Proceso de Auditoria de SI
1. Conceptos previos
a) Sistema: Conjunto de cosas que relacionadas entre si ordenadamente contribuyen al
objetivo
b) Información: Recurso importante para las personas y para las organizaciones.
c) Sistema de Información: Componente que colaboran para procesar los datos y producir
información.
d) Sistema Informático: Formado por datos, sw, hw, personas, telecomunicaciones y
procedimientos.
e) Tecnología de información: Conformada por HW, SW, y Telecomunicaciones.
f) Informática: Conjunto de conocimientos técnicos y científicos que hacen posible el
tratamiento automático de la información.
g) Software de Aplicaciones: Permite a los usuarios concretar una tarea o una aplicación.
h) Software del sistema: Permite la operación del sw de las computadoras.
2. Definición de Auditoria de Sistemas

Proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado
salvaguarda los activos, mantiene la integridad de los
datos, lleva eficazmente los fines de la organización y
utiliza eficientemente los recursos.
3. Objetivos de la Auditoria de SI
Evaluar el uso correcto de los sistemas
para el correcto ingreso de los datos, el
procesamiento adecuado de la
información y la emisión oportuna de los
resultados en la organización.
4. Tareas del proceso de Auditoria

1. Desarrollar e implementar una estrategia de auditoria de SI basada en los riesgos de la
Organización en cumplimiento con las normas, directrices y mejoras practicas de ASI.
2. Planear auditoria especificas para validar que la TI y los Sistemas de Negocios están
protegidos y controlados.
3. Lograr los objetivos de auditoria en base a las auditorias de conformidad con las
normas, directrices y mejores practica de auditoria de SI.
4. Comunicar los problemas, riesgos potenciales y los resultados de auditoria al staff.
5. Asesorar sobre la implementación de la gestión de riesgos y las practicas de control
dentro de la organización.
TAREAS
5.- Tiempos en el proceso de Auditoria de SI

Distribución de tiempos en cada fase
Fases del proceso de auditoria Tiempo a utilizar

Planificación 1/3
Ejecución 1/3
Información (presentación/documentación) 1/3
6. Ámbitos de actuación
El papel de la auditoria de SI es amplio y complejo, por ello encontramos muchos
problemas asociados a:
• La función de análisis de SI
• La función de diseño y construcción del SI
• La administración y control del SI
• El entorno operativo de los SI
• La adaptación e implementación de TI
• La seguridad de la función informática
• La gestión de la función informática
• El procesamiento electrónico de datos.
CAE: Chief Audit Excutive (Ejecutivo de alto nivel responsable de hacer la auditoria)
Estándares y Directrices de Auditoria de SI
Auditoria de SI
Es el proceso metodológico que recoge, agrupa y evalúa las evidencias para determinar si un
sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a
cabo los fines de la organización y utiliza eficientemente los recursos de la organización.
ISACA
ISACA (Information Systems Audit and Control Association) Asociación de Auditoría y
Control de Sistemas de Información), una asociación internacional que apoya y patrocina
el desarrollo de metodologías y certificaciones para la realización de actividades auditoria
y control en sistemas de información.
Fundada en 1969, es la única entidad a nivel mundial de los auditores de SI, y que la
única que certifica en CISA (Certified Information Systems).
Actualmente atiende a unos 95.000 electores (miembros y profesionales con
certificaciones ISACA) en unos 160 países. Trabajan en casi todas las categorías de la
industria. Hay una red de capítulos de ISACA con 170 capítulos establecidos en 160
países.
1. Marco General de normas de ISACA para la auditoria de SI

ISACA define tres conceptos importantes:
• Normas: Define los requisitos obligatorios para la
auditoria y para los reportes de auditoria de SI
• Lineamientos (Directrices): Brinda una guía para aplicar
las normas. Determinar como aplicar las normas.
• Procedimientos (Herramientas y técnicas): Brindan
información sobre la maneras de cumplir las normas
cuando esta realizando un trabajo de auditoria.
2. Relación entre normas, directrices y procedimientos

Las normas o estándares deben ser cumplidas por el auditor
de SI, mientras que los lineamientos proveen una guía sobre
como puede el auditor implementar las normas en las diversas
tareas de la auditoria. Los procedimientos proveen ejemplos
de pasos que puede realizar el auditor para implementar las
normas en una tarea especifica.
3. Código de ética profesional de ISACA

El código de ética profesional de ISACA contiene 7 aspectos
importantes :
1. Apoyar la implementación y fomentar el cumplimiento de las

normas, procedimientos y los controles apropiados en los SI.
2. Ejecutar las actividades con objetividad, diligencia y cuidado
profesional.
3. Servir al interés de las partes interesadas en forma ética,
manteniendo altos estándares de conducta.
4. Mantener la confidencialidad y privacidad, al menos que la
autoridad legal requiera su revelación.
5. Ser competitivos en sus campos y realizar las actividades con
eficiencia.
6. Informar a través de reportes los resultados de los trabajos
realizados, mostrando los hechos significativos de los que tengan
conocimiento.
7. Reforzar el formación de las partes interesadas para mejorar su
compresión sobre seguridad y control de SI.
4. Estándares de Auditoria
S1 Estatuto de Auditoria
S2 Independencia
S3 Ética profesional y estándares
S4 Competencia profesional
S5 Planificación
S6 Ejecución de trabajo de auditoria
S7 Reportes
S8 Actividades de seguimiento
S9 Irregularidades y actos ilegales
S10 Gobierno de TI
S11 Uso de la evaluación de riesgos en la planificación de auditoria
S12 Materialidad de la auditoria
S13 Uso del trabajo de otros expertos
S14 Evidencia de auditoria
S15 Controles de Ti
S16 Comercio electrónico
5. Directrices de Auditoria
G1 Uso de trabajo de otros auditores, con efecto a partir del 1 marzo 2008
G2 Requerimiento de evidencia de auditoria con efecto a partir del 1 mayo 2008
G3 Uso de técnica de auditoria asistidas por computadoras (CAATs), con efecto 1 mayo 2008
G4 Contratación de servicios externos de actividades de SI para otras organizaciones, con efecto
1 mayo 2008
G5 Estatuto de auditoria, con efecto 1 febrero 2008
G6 Conceptos de materialidad para la auditoria de SI, con efecto 1 mayo 2008
G7 Debido cuidado profesional, con efecto 1 marzo 2008
G8 Documentación de la auditoria, con efecto 1 marzo 2008
G9 Consideraciones de auditoria para casos de irregularidades, con efecto 1 setiembre 2008
G10 Muestreo de auditoria, con efecto de 1 agosto 2008
G11 Efecto de los controles generales de SI, con efecto 1 agosto 2008
G12 Relación de organizacional e independencia, con efecto 1 agosto 2008
G13 Uso de la evaluación de riesgos en la planificación de la auditoria, con efecto 1 agosto 2008
G14 Revisión de los Sistemas de aplicación, con efecto 1 octubre 2008
G15 Planificación revisada, con efecto 1 mayo 2010
G16 Efecto de terceros en los controles de TI de una organización, con efecto 1 marzo 2009
G17 Efecto del rol no auditor sobre la independencia del auditor de SI, con efecto 1 mayo 2010
G18 Gobierno de TI, con efecto 1 mayo 2010

G19 Irregularidades y actos ilegales, eliminada, 1 setiembre 2008
G20 Reportes, con efecto 1 enero 2003
G21 Revisión de sistemas de planificación de recursos empresariales (ERP), con efecto 1 agosto
2003.
G22 Revisión del comercio electrónico negocio-a-consumidor (B2C), con efecto 1 octubre 2008
G23 Revisión del ciclo de vida de desarrollo de sistemas (SDLC), con efecto 1 agosto 2003
G24 Banca por internet, con efecto 1 agosto 2003
G25 Revisión de redes privadas virtuales, con efecto 1 julio 2004
G26 Revisión de proyectos de reingeniería de procesos de negocios (BPR), con efecto 1 julio
2004
G27 Computación móvil, con efecto 1 setiembre 2004
G28 Computo forense, con efecto 1 setiembre 2004
G29 Revisión posterior a la implementación, con efecto 1 enero 2005
G30 Competencia, con efecto 1 junio 2005
G31 Privacidad, con efecto 1 junio 2005
G32 Revisión del plan de continuidad del negocio desde una perspectiva de TI, con efecto 1
setiembre 2005
G33 Consideraciones generales sobre el uso de internet, con efecto 1 marzo 2006
G34 Responsabilidad, autoridad y rendición de cuentas, con efecto 1 marzo 2006

G35 Actividades de seguimiento, con efecto 1 marzo 2006
G36 Controles biométricos, con efecto 1 febrero 2007
G37 Gestión de configuración, con efecto 1 noviembre 2007
G38 Control de acceso, con efecto 1 febrero 2008
G39 Organizaciones de TI, con efecto 1 mayo 2008
G40 Revisión de practicas de gestión de seguridad, con efecto 1 octubre 2008
G41 Retorno sobre la inversión de seguridad (ROSI), con efecto 1 mayo 2010
G42 Aseguramiento continuo, con efecto 1 mayo 2010
6. Herramientas y técnicas
P1 Evaluación de riesgos de SI, con efecto 1 julio 2002
P2 Firmas digitales, con efecto 1 julio 2002
P3 Detección de intrusos, con efecto 1 agosto 2003
P4 Virus y otros códigos maliciosos, con efecto 1 agosto 2003
P5 Autoevaluación de control de riesgos, con efecto 1 agosto 2003
P6 Contrafuegos (Firewalls), con efecto 1 agosto 2003
P7 Irregularidades y actos ilegales, con efecto 1 noviembre 2003
P8 Evaluación de la seguridad-pruebas de penetración y análisis de vulnerabilidades, con
efecto 1 setiembre 2004
P9 Evaluación de los controles de gestión sobre las metodologías de encriptación, con
efecto 1 enero 2005
P10 Control de cambios de aplicación del negocio, con efecto 1 octubre 2006
P11 transferencia electrónica de datos (EFT), con efecto 1 mayo 2007
Análisis de riesgos de TI
1. Análisis de riesgos
Es parte de la planificación de auditoría y ayuda a identificar los
riesgos y las vulnerabilidades para que el auditor de SI pueda
determinar los controles necesarios para mitigar los riesgos.
Es importante que el auditor de SI tenga una comprensión clara

de los siguientes aspectos:
• El propósito y la naturaleza del negocio, el entorno en el que

opera el negocio y los riesgos del negocio relacionados
• La dependencia en tecnología y dependencias relacionadas
que procesan y entregan información del negocio
• Los riesgos para el negocio que supone el uso de TI y de las
dependencias relacionadas y cómo impactan en el logro de
las metas y los objetivos del negocio
• Una buena visión general de los procesos del negocio y del
impacto de TI y los riesgos relacionados en los objetivos de
los procesos del negocio.
2. Marco referencial de Análisis de riesgos
El modelo comienza a partir de la valoración de los activos, que consiste en que la
información tiene los criterios requeridos para ayudar a alcanzar los objetivos del
negocio. El paso siguiente es el análisis de vulnerabilidad, que trata acerca de la
importancia de los criterios de información dentro del proceso bajo revisión. Luego se
trata las amenazas, es decir, aquello que puede provocar una vulnerabilidad. La
probabilidad de amenaza, el grado de vulnerabilidad y la severidad del impacto se
combinan para concluir acerca de la evaluación del riesgo. Esto es seguido por la
selección de controles (contramedidas) y una evaluación de su eficacia, que también
identifica el riesgo residual. La conclusión es un plan de acción.
Valuación Evaluación Contra medidas

de activos de riesgos
Evaluación de Evaluación Evaluación

vulnerabilidad de riesgos de control
Plan de acción Riesgo residual

3. Marco de riesgos TI
El marco de riesgos de TI (IT Risk Framework) es "un marco
basado en un conjunto de principios y guías, procesos de negocio
y directrices de gestión que se ajustan a estos principios".
Establece las mejores prácticas con el fin de establecer un marco

para las organizaciones para identificar, gobernar y administrar
los riesgos asociados al negocio. Este marco se complementa con
COBIT.
El marco de riesgos de TI es utilizado para ayudar a implementar

el gobierno de TI.
4. Riesgos de TI
Son un componente del universo de riesgos a los que
está sometida una organización
5. Categorías de los riesgos de TI
Los riesgos de TI pueden clasificarse de diversas
maneras:
• El valor de los riesgos de TI permitidos:
Asociado con las oportunidades no
aprovechadas para mejorar la eficiencia o
efectividad de los procesos de negocio, o la
capacidad de soportar nuevas iniciativas, a
través del uso de la tecnología.
• Programas de TI y riesgos en las entregas de
proyectos: Asociada a la contribución de IT
sobre nuevas soluciones de negocio,
generalmente en forma de proyectos y
programas.
• Operaciones de TI y riesgos en las entregas de
servicios: Asociadas con todos los aspectos
relacionados con los servicios y sistemas de TI,
los cuales puede producir pérdidas o reducción
del valor a la organización.
6. Apetito de riesgo
Es la cantidad de riesgo que una entidad
está dispuesta a aceptar cuando trata de
alcanzar sus objetivos. Se puede definir en
la práctica en términos de combinaciones
de la frecuencia y la magnitud de un
riesgo. El apetito de riesgo puede y será
diferente entre las organizaciones.

Marco conceptual de COBIT
COBIT es un marco de trabajo ampliamente usado para el aseguramiento de TI y para la

auditoría de SI. Por lo tanto, es muy importante conocer sus características más relevantes.
1. La misión de COBIT
Investigar, desarrollar, hacer público y promover un marco de control de gobierno de
TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte
de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI
y profesionales de aseguramiento.
Misión Misión
2. Definición y características de COBIT
COBIT: Objetivos de Control para la Información y Tecnologías Relacionadas (Control

Objectives for Information and related Technology).
Es un conjunto completo de recursos que contiene toda la información que las

organizaciones necesitan para adoptar un marco de trabajo de gobierno de TI y control.
Este marco de trabajo (framework) "proporciona un modelo de procesos de referencia y

un lenguaje común para que todos en la empresa visualicen y administren las actividades
de TI"; para "la medición y monitoreo del desempeño de TI, comunicándose con los
proveedores de servicios e integrado las mejores prácticas de administración".
COBIT da soporte al gobierno de TI al brindar un marco de trabajo que garantiza que:
• TI está alineada con el negocio
• TI habilita al negocio y maximiza los beneficios
• Los recursos de TI se usan de manera responsable
• Los riesgos de TI se administran apropiadamente
COBIT contribuye a las necesidades de la empresa en:

• Establecer una relación mensurable entre los requerimientos del negocio y las metas de TI.
• Organizar las actividades de TI dentro de un modelo de procesos generalmente aceptado.
• Identificar los recursos principales de TI para ser aprovechados.
• Definir los objetivos de control de gestión a ser considerados.
• Proporcionar herramientas para la gestión:
• Métricas de desempeño, modelos de madurez, gráficos de responsable, rendición de
cuentas, etc.
Los procesos de TI, requerimientos del negocio y objetivos de

control de COBIT definen lo que hay que hacer para
implementar una estructura de control efectiva para mejorar
el rendimiento de TI y direccionar la solución de TI y los
riesgos de entrega de servicio.
El concepto fundamental de COBIT se refiere a que "el

enfoque del control en TI se lleva a cabo visualizando la
información necesaria para dar soporte a los procesos de
negocio y considerando a la información como el resultado de
la aplicación combinada de recursos relacionados con la
Tecnología de Información que deben ser administrados por
procesos de TI".
Requerimiento de negocio
Para satisfacer los objetivos del negocio, la información necesita concordar con ciertos criterios
a los que COBIT hace referencia como requerimientos de negocio para la información:
Requerimientos de calidad: Requerimiento de seguridad:
• Calidad • Confidencialidad
• Costo • Integridad
• Entrega o Distribución (de servicio) • Disponibilidad
A partir de lo anterior, COBIT extrae siete categorías distintas:

Efectividad: Información relevante para el negocio, oportuna y consistente.
Eficiencia: Provisión de información a través de la utilización óptima de recursos.
Confidencialidad: Protección de información sensible contra divulgación no autorizada.
Integridad: Precisión y completitud de la información, validez con expectativas del negocio.
Disponibilidad: Disponibilidad de la información para el negocio.
Cumplimento: Cumplimiento de leyes, regulaciones y acuerdos contractuales.
Confiabilidad: Proporcionar la información apropiada para que la gerencia administre la
entidad y ejerza sus responsabilidades fiduciarias y de gobierno.
Definición de los recursos de TI
Las aplicaciones: Sistemas de usuario y procedimientos manuales procesan información.
La información: datos de entradas, procesados y generados por SI para el negocio.
La infraestructura: La tecnología y las instalaciones (hw, SO, DB, etc) que permiten el
procesamiento de las aplicaciones.
Las personas: Personal para planear, organizar, implementar, entregar, soportar, monitorear y
evaluar los sistemas y los servicios de información.
Relación de los recursos de TI y entrega de servicios

Marco referencial de Objetivos de Control para TI
Con el fin de asegurar que los requerimientos del negocio para la información se cumplan, es
necesario definir, implementar y monitorear adecuadas medidas de control sobre esos
recursos.
Relación procesos de negocio, información y recursos TI

Niveles de actividades TI
Existen tres niveles de actividades de TI al considerar la administración de sus recursos. En la
base se encuentran las actividades y tareas necesarias para alcanzar un resultado medible. Las
actividades cuentan con un concepto de ciclo de vida, mientras que las taras son consideradas
más discretas. Los procesos se definen como "una serie de actividades o tareas conjuntas con
'cortes' naturales (de control)".
Enfoque estratégico COBIT
COBIT puede ser enfocado desde tres puntos estratégicos diferentes:
• Requerimientos de negocio
• Recursos de TI
• Procesos de TI.
Los tres elementos forman el llamado Cubo de COBIT que se muestra a continuación:
Dominios interrelacionados de COBIT
COBIT define las actividades de TI en un modelo genérico de procesos organizado en cuatro
dominios.
• Planear y Organizar (PO): Proporciona dirección para la entrega de soluciones (AI) y la

entrega de servicio(DS).
• Adquirir e Implementar (AI): Proporciona las soluciones y las pasa para convertirlas en
servicios.
• Entregar y Dar soporte (DS): Recibe las soluciones y las hace utilizables por los usuarios
finales.
• Monitorear y Evaluar (ME): Monitorea todos los procesos para asegurar que se sigue la
dirección provista.
3. Planificar y Organizar (PO)
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en
que TI puede contribuir de la mejor manera al logro de los objetivos del negocio.
Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica
apropiada. este dominio cubre los siguientes cuestionamientos típicos de la gerencia:
• Están alineadas las estrategias de TI y del negocio?

• La empresa está alcanzando un uso óptimo de sus recursos?
• Entienden todas las personas dentro de la organización los objetivos de TI?
• Se entienden y administran los riesgos de TI?
• Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
4. Adquirir e implementar (AI)
Para llevar acabo la estrategia de TI, las soluciones de TI necesitan ser identificadas,
desarrolladas o adquiridas así como implementadas e integradas en los procesos del
negocio.
Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia:
• Es probable que los nuevos proyectos generan soluciones que satisfagan las
necesidades del negocio?
• Es probable que los nuevos proyectos sean entregados a tiempo y dentro del
presupuesto?
• Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?
• Los cambios no afectarán a las operaciones actuales del negocio?
5. Entregar y dar soporte (DS)
Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación
del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a
los usuarios, la administración de los datos y de las instalaciones operativos.
Por lo general cubre las siguientes preguntas de la gerencia:
• Se están entregando los servicios de TI de acuerdo con las prioridades del negocio?
• Están optimizados los costos de TI?
• Es capaz la fuerza del trabajo de utilizar los sistemas de TI de manera productiva y
segura?
• Están implantadas de forma adecuada la confidencialidad, la integridad y la
disponibilidad?
6. Monitorear y evaluar (ME)
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su

calidad y cumplimiento de los requerimientos de control. Este dominio abarca la
administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio
y la aplicación del gobierno. Por lo general abarca las siguientes preguntas de la gerencia:
• Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado
tarde?
• La Gerencia garantiza que los controles internos son efectivos y eficientes?
• Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio?
• Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
7. Objetivos de control
Cada uno de los procesos de TI de COBIT tiene un objetivo de control de alto nivel y varios
objetivos de control detallados.
Los objetivos de control detallados se identifican por dos caracteres que representan el
dominio (PO, AI, DS y ME) más un número de proceso y un número de objetivo de control.
Además de los objetivos de control detallados, cada proceso de TI tiene requerimientos de
control genéricos que se identifican con PCn, que significa Control de Proceso número.
• PC1 Metas y Objetivos del Proceso

• PC2 Propiedad del Proceso
• PC3 Proceso Repetible
• PC4 Roles y Responsabilidades
• PC5 Políticas, Planes y Procedimientos
• PC6 Desempeño del Proceso
8. Controles generales de TI y controles de aplicación
COBIT, asume que el diseño e implementación de los controles de aplicación automatizados
son responsabilidad de TI, con base en los requerimientos de negocio definidos.
La responsabilidad operativa de administrar y controlar los controles de aplicación no es de
TI, si no del dueño del proceso. Por lo tanto los procesos de TI de COBIT abarcan a los
controles generales de TI, pero solo los aspectos de desarrollo de aplicación, la
responsabilidad de definir y el uso operativo es de la empresa.
Fronteras de los controles de negocio, generales de TI y de aplicación

8. Controles generales de TI y controles de aplicación
COBIT, recomienda los siguientes objetivos de control de aplicaciones (AC):
1. AC1 Preparación y Autorización de Información Fuente: Asegura que los documentos

fuentes estén preparados por el personal autorizado y calificado.
2. AC2: Recolección y Entrada de Información Fuente: Establecer que la entrada de datos se

realice en forma oportuna por personal autorizado y calificado.
3. AC3: Chequeos de Exactitud, Integridad y Autenticidad: Asegurar que las transacciones

son exactas, completas y validas.
4. AC4: Integridad y Validez del Procesamiento
5. AC5: Revisión de Salidas, Reconciliación y Manejo de Errores
6. AC6: Autentificación e Integridad de Transacciones

9. Modelos de madurez
COBIT 5 introduce una nueva forma de medir la madurez de los procesos a través del
“Process Capability Model”, basado en el estándar internacionalmente reconocido
“ISO/IEC 15504 Software Engineering – Process Assessment Standard”.
10. El proceso de control
Consiste en cuatro pasos importantes :
1. Se especifica un estándar de desempeño deseado para un proceso
2. Existe un medio de saber que esta pasando en el proceso
3. La unidad de control compara la información con el estándar
4. Si lo que esta sucediendo no cumple con el estándar, la unidad de control dirige
aquella acción correctiva a tomar, en forma de información para el proceso.
Realización de una Auditoria de SI
Introducción
Para llevar a cabo una auditoría de SI se requiere de un conjunto ordenado de acciones y

procedimientos específicos, de acuerdo a las necesidades especiales de la organización,
así como del tipo de auditoría de SI que se vaya a realizar. Una metodología de revisión
nos permitirá diseñar correctamente los pasos a seguir, haciendo más sencillo el
seguimiento, desarrollo y aplicación de las etapas y eventos propuestos.
1. Metodología para realizar Auditoria de SI
Primera etapa: Planeación de la auditoría de SI
P.1 Identificar el origen de la auditoría

P.2 Realizar una visita preliminar al área que será evaluada
P.3 Establecer los objetivos de la auditoría
P.4 Determinar los puntos que serán evaluados en la auditoría
P.5 Elaborar planes, programas y presupuestos para realizar la auditoría
P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y procedimien
tos necesarios para la auditoría
P.7 Asignar los recursos y sistemas computacionales para la auditoría
Segunda etapa: Ejecución de la auditoría de SI
E.1 Realizar las acciones programadas para la auditoría
E.2 Aplicar los instrumentos y herramientas para la auditoría
E.3 Identificar y elaborar los documentos de desviaciones encontradas
E.4 Elaborar el dictamen preliminar y presentarlo a discusión
E.5 Integrar el legajo de papeles de trabajo de la auditoría

Tercera etapa: Dictamen de la auditoría de SI
D.1 Analizar la información y elaborar un informe de situaciones detectadas
D.2 Elaborar el dictamen final
D.3 Presentar el informe de auditoría

2. Proceso de Auditoria
La estructura generalmente aceptada del proceso de auditoría es:
• Identificación y documentación
• Evaluación
• Pruebas de cumplimiento
• Pruebas sustantivas
El proceso de TI, por lo tanto, se audita mediante:

• La obtención de un entendimiento de los riesgos relacionados con los requerimientos del ne
gocio y de las medidas relevantes de control
• La evaluación de la conveniencia de los controles establecidos.
• La valoración del cumplimiento probando si los controles establecidos están funcionando co
mo se espera, de manera consistente y continua.
• La comprobación que existe el riesgo de que los objetivos de control no se estén cumpliendo
mediante el uso de técnicas analíticas y/o consultando fuentes alternativas.
3. Requerimientos del Proceso de Auditoria
Luego de definir qué se va a auditar tenemos que determinar el enfoque o estrategia

más apropiada para llevar a cabo el trabajo de auditoría, haciendo lo siguiente
 Definir el alcance de la auditoría  Procesos del negocio involucrados

 Plataformas, sistemas y su
interoperatividad, que apoyan los
procesos
 Roles, responsabilidades y estructura
organizacional
 Identificar los requerimientos de  Importancia para el proceso de negocio
información relevantes para el proceso
de negocio
 Identificar los riesgos inherentes de TI y  Cambios recientes e incidentes en el
el nivel general de control ambiente del negocio y de la tecnología
 Resultados de auditorías,
autoevaluaciones, y certificación
 Controles de monitoreo aplicados por la
administración
 Seleccionar procesos y plataformas a  Procesos
auditar  Recursos
 Fijar una estrategia de auditoría  Controles vs. riesgos
 Pasos y tareas
 Puntos de decisión
4. Directriz General de Auditoria
Se muestra los requerimientos genéricos para auditar procesos de TI. Está orientado hacia
la comprensión del proceso y la determinación de la propiedad y deberá ser el fundamento
y el marco referencial para todas las directrices detalladas de auditoría.
Obtención de un entendimiento
Los pasos de auditoría que se deben realizar para documentar las actividades que generan
inconvenientes a los objetivos de control, así como también identificar las medidas/procedimientos
de control establecidas.
Entrevistar al personal administrativo y de staff apropiado para lograr la comprensión de:
 Los requerimientos del negocio y los riesgos asociados

 La estructura organizacional
 Los roles y responsabilidades
 Políticas y procedimientos
 Leyes y regulaciones
 Las medidas de control establecidas
 La actividad de reporte a la administración (estatus, desempeño, acciones)
Documentar el proceso relacionado con los recursos de TI que se ven especialmente afectados por
el proceso bajo revisión.
Confirmar el entendimiento del proceso bajo revisión, los KPI del proceso, las implicaciones de
control, por ejemplo, mediante una revisión paso a paso del proceso.
Evaluación de controles
Los pasos de au ditoría a ejecutar en la evaluación de la eficacia de las medidas de control
establecidas o el grado en el que se logra el objetivo de control. Básicamente, decidir qué se va a
probar, si se va a probar y cómo se va a probar.
Evaluar la conveniencia de l as medidas de control para el proceso bajo revisión mediante la

consideración de los criterios identificados y las prácticas estándares de la industria, los CSF de las
medidas de control y la aplicación del juicio profesional del auditor:
 Existen procesos documentados

 Existen resultados apropiados
 La responsabilidad y el registro de las operaciones son claros y efectivos
 Existen controles compensatorios, en donde es necesario concluir el grado en que se
cumple el objetivo de control.
Valoración del cumplimiento

Los pasos de auditoría a realizar para asegurar que las medidas de control establecidas estén
funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia
del ambiente de control.
Obtener evidencia directa o indirecta de puntos/períodos seleccionados para asegurarse que se ha

cumplido con los procedimientos durante el período de revisión, utilizando evidencia tanto directiva
como indirecta.
Realizar una revisión limitada de la suficiencia de los resultados del proceso.
Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el
proceso de TI es adecuado.
Justificar / comprobar el riesgo

Los pasos de auditoría a realizar para justificar el riesgo de que no se cumpla el objetivo de control
mediante el uso de técnicas analíticas y/o consultas a fuentes alternativas. El objetivo es respaldar
la opinión e “impresionar” a la administración para que se tome acción. Los auditores tienen que ser
creativos para encontrar y presentar esta información que con frecuencia es sensitiva y confidencial.
Documentar las debilidades de control y las amenazas y vulnerabilidades resultantes.
Identificar y documentar el impacto real y potencial; por ejemplo, mediante el análisis de causa -
efecto.
Brindar información comparativa; por ejemplo, mediante benchmarks.

5. Pruebas de cumplimiento vs. Pruebas sustantivas
Las pruebas de cumplimiento “consisten en recolectar evidencia con el propósito de probar
el cumplimiento de una organización con procedimientos de control”; mientras que en las
pruebas sustantivas “la evidencia se recoge para evaluar la integridad de transacciones
individuales, datos u otra información”.
Una prueba de cumplimiento “determina si los controles están siendo aplicados de manera
que cumplen con las políticas y los procedimientos de gestión”. Una prueba sustantiva
“fundamenta la integridad de un procesamiento real”.

6. Evidencia
Es cualquier información usada por el auditor de SI para determinar si la entidad o los datos
que están siendo auditados cumplen con los criterios u objetivos establecidos, y soporta las
conclusiones de la auditoría.
Las técnicas para recopilación de evidencia pueden ser:
• Revisión de las estructuras organizacionales de SI
• Revisión de políticas y procedimientos de SI
• Revisión de los estándares de SI
• Revisión de documentación de SI
• Entrevistas al personal apropiado
• Observación de procesos y desempeño de empleados
• Repetición de ejecución
• Inspección y verificación
Documentación de la Auditoria de SI
Todo lo que el auditor de SI lleva a cabo en un proceso de auditoría de SI debe ser
documentado , de tal forma que los procedimientos , metodologías y hallazgos encontrados
queden debidamente sustentados. La documentación cumple entonces, un rol fundamental.

1. Contenido de la documentación
Es La documentación de la auditoría de SI, son el soporte fundamental para la auditoría de
SI. Le sirve de apoyo al auditor al emitir una opinión y para contar (por escrito) con las
evidencias necesarias que le permitan sostener sus comentarios.
La documentación de la auditoría debe incluir, como mínimo, lo siguiente:

• La planificación y preparación del alcance y de los objetivos de la auditoría.
• La descripción y/o recorridos en el área de auditoría vista.
• El programa de auditoría.
• Los pasos de auditoría realizados y la evidencia de auditoría recopilada.
• El uso de servicios de otros auditores y expertos.
• Los hallazgos, conclusiones y recomendaciones de auditoría.
• La relación de la documentación de auditoría con la identificación y las fechas de
documentos.
También se recomienda que la documentación incluya:

• Una copia del informe emitido como resultado del trabajo de auditoría.
• Evidencia de revisión supervisora de auditoría.
2. Propuesta para integrar la documentación de la auditoria
• Hoja de identificación
• índice de contenido de los papeles de trabajo
• Dictamen preliminar (borrador)
• Resumen de las desviaciones detectadas (las más importantes)
• Situaciones encontradas (situaciones, causas y soluciones)
• Programa de trabajo de auditoría
• Guía de auditoría
• Inventario de software
• Inventario de hardware
• Inventario de consumibles
• Manual de organización
• Descripción de puestos
• Reportes de pruebas y resultados
• Respaldos (backups) de datos, discos y programas de aplicación de auditoría
• Respaldos (backups) de las bases de datos y de los sistemas
• Guías de claves para el señalamiento de los papeles de trabajo
• Cuadros y estadísticas concentradores de información
• Anexos de recopilación de información
• Diagramas de flujo, de programación y de desarrollo de sistemas
• Testimoniales, actas y documentos legales de comprobación y confirmación
• Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema
• Otros documentos de apoyo para el auditor
3. Formato de la documentación de auditoria

El formato de la documentación y los medios son opcionales, pero las buenas prácticas
indican que los papeles de trabajo posean fecha, firmas, páginas numeradas, que sean
relevantes, completos, claros, independientes y que se etiqueten y archiven debidamente y
se mantengan en custodia.
4 . Claves del auditor para marcar la documentación de auditoria

Son las marcas de carácter informal que utiliza exclusivamente el auditor o grupo de
auditores, con el fin de facilitar la uniformidad de los papeles de trabajo y para
identificarlos mejor. Tienen un significado preciso que todos los auditores conocen y se
utilizan para destacar aspectos importantes de los documentos que van revisado
Informe de la Auditoria de SI
1. Definición del informe

Son el producto final del trabajo de Auditoria de SI, y es utilizado por el Auditor de SI para
reportar a la gerencia los hallazgos y recomendaciones
Informe de la Auditoria de SI
2. Estructura del informe

A pesar que no existe un formato especifico y usa las siguientes pautas :
• Una introducción
• Incluir los hallazgos en secciones diferentes y agruparlos por importancia
• La conclusión y la opinión del auditor respecto a si los controles y procedimientos
examinados durante la auditoria fueron los adecuados y los riesgos potenciales
• Las reservas del auditor con respecto a la auditoria
• Los hallazgos detallados y las recomendaciones de la auditoria
• La variedad de los hallazgos, algunos son sumamente importantes y otros son de menor
carácter.
El auditor debe entregar un informe balanceado, no solamente que describa los aspectos
negativos en términos de hallazgos, si no también comentarios constructivos sobres los
procesos y procedimientos.
Gobierno y Gestión de Tecnologías de la Información
1. Gobierno Corporativo
Las empresas son gobernadas por buenas (o mejores) prácticas generalmente aceptadas
para asegurar que la empresa cumpla sus metas asegurando que lo anterior esté garantizado
por cierto controles. Desde estos objetivos fluye la dirección de la organización, la cual dicta
ciertas actividades a la empresa usando sus propios recursos. Los resultados de las
actividades de la empresa son medidos y reportados proporcionando insumos para el
mantenimiento y revisión constante de los controles, comenzando el ciclo de nuevo
1. Gobierno Corporativo
Gobierno corporativo se define como “el
sistema por el cual se dirigen y controlan las
corporaciones de negocios” ; es un conjunto
de responsabilidades y prácticas usadas por la
gerencia de una organización para proveer
dirección estratégica, para garantizar de este
modo, que las metas se puedan alcanzar, los
riesgos sean manejados de manera adecuada y
los recursos organizacionales sean utilizados
apropiadamente.
2. Gobierno de TI
TI es gobernado por buenas prácticas para asegurar que la información de la empresa y sus
tecnologías relacionadas apoyan sus objetivos del negocio, estos recursos son utilizados
responsablemente y sus riesgos son manejados apropiadamente
PO
AI
DS
MO
Manejo de Riesgo Beneficio
 Seguridad Incrementar Documentar

 Confiabilida Automatización Costos-ser
d -ser efectivo eficiente
 Conformida
d-cumplimie
nto
“Un elemento clave del gobierno de TI, es la alineación de TI con el negocio que
conlleva al logro del valor de negocio”.
2. Gobierno de TI
El gobierno de TI es uno de los dominios del gobierno corporativo y se define como “una
estructura de relaciones y procesos para dirigir y controlar la empresa con el fin de lograr
sus objetivos al añadir valor mientras se equilibran los riesgos contra el retorno sobre TI y
sus procesos”.
El Gobierno TI incluye dos aspectos
• Que TI entregue valor al negocio, impulsado por la alineación estratégica de TI con el

negocio.
• Que los riesgos de TI sean gestionados, impulsado por la integración de la
responsabilidad en la empresa.
El gobierno de TI define quién toma decisiones, cómo toman esas decisiones, y cuándo.
3. Áreas de enfoque del Gobierno TI

COBIT da soporte al gobierno de TI a través de un marco de trabajo que garantiza que:
• TI está alineada con el negocio
• TI habilita al negocio y maximiza los beneficios
• Los recursos de TI se usan de manera responsable
• Los riesgos de TI se administran apropiadamente
4. Marco de Gobierno TI
COBIT: Integra tecnología a Gobierno TI, define rol del Directorio en el Gobierno TI,
refuerza fusión de tecnología-negocio, inversión tecnológica aporta al GTI, gestión riesgos.
ISO/IEC 27001 (ISO 27001): Estándares de seguridad de la información, proporcionan
orientación a las organizaciones que aplican y mantienen programas de seguridad de la
información.
ITIL: Es un marco detallado con información práctica sobre cómo lograr el éxito de gestión
de servicios operacionales de TI.
Catálogos de protección de niveles mínimos de TI o Catálogos Grundschutz de TI: Son una
recopilación de documentos de la Oficina Federal Alemana para la seguridad en TI (FSI).
Los documentos son útiles para detectar y combatir los puntos débiles de seguridad en el
entorno de TI.
ISM3 (Modelo de madurez para la gestión de la seguridad de la información): Es un
modelo que se basa en el proceso de madurez de ISM para la seguridad.
AS8015-2005: Es el estándar australiano para el gobierno corporativo de TIC. AS8015 se
adoptó como estándar ISO/IEC 38500 en mayo de 2008.
ISO/IEC 38500:2008: Proporciona un marco para el gobierno efectivo de TI. Ayuda a
aquellos en el nivel más alto de la organización a entender y cumplir con sus obligaciones
legales, reglamentarias y éticas con respecto al uso de TI de su organización. f
5. El rol de la auditoría en el gobierno del TI

La auditoría tiene un rol significativo en una implementación exitosa del gobierno de TI
dentro de la organización. Provee importantes recomendaciones de prácticas a la alta
dirección, para ayudar a mejorar la calidad y la efectividad de las iniciativas del gobierno de
TI implementadas, y a asegurar el cumplimiento de las iniciativas del gobierno de TI.
El auditor de SI necesita evaluar los siguientes aspectos:

• La alineación de la función de SI con la misión, la visión, los valores, los objetivos y las
estrategias de la organización.
• El logro por parte de la función de SI de los objetivos de desempeño establecidos por el
negocio (por ejemplo, efectividad y eficiencia).
• Los requerimientos legales, ambientales, de calidad de la información, fiduciarios, de
seguridad y de privacidad.
• El ambiente de control de la organización.
• Inversión/gasto en TI.
6. Auditoría a la estructura e implementación del Gobierno de TI
Indicadores significativos de los problemas potenciales que le preocupan a un auditor de SI :
• Costos excesivos • Ausencia de planes de reemplazo

• Informes de excepción largos • Falta de capacitación adecuada.
• Gasto por encima del presupuesto • Alta rotación del personal
• Proyectos atrasados • Personal con poca experiencia
• Exceso de solicitudes atrasadas de usuarios • Errores frecuentes de HW/SW
• Largo tiempo de respuesta de la computadora • Motivación deficiente
• Actitudes desfavorables del usuario final
• Compras de HW/SW sin soporte o sin autorización
• Frecuentes ampliaciones de capacidad de HW/SW
• Confianza en uno o dos miembros clave del personal
• Reportes de excepciones a los que no se les hizo seguimiento
• Numerosos proyectos de desarrollo interrumpidos o suspendidos
6. Auditoría a la estructura e implementación del Gobierno de TI

Documentación que debe ser revisada con exhaustiva consideración por el auditor
• Las estrategias, planes y presupuestos de TI

• Documentación de políticas de seguridad
• Cuadros organizativos/funcionales
• Descripciones de los puestos de trabajo
• Reportes del comité directivo
• Procedimientos de desarrollo de sistemas y de cambio de programas
• Procedimientos de operaciones
• Manuales de RRHH
• Procedimientos de QA
7. Revisión de compromisos contractuales

El auditor de SI debe verificar la participación de la gerencia en el proceso de contratación y
debe asegurar un nivel adecuado de revisión oportuna del cumplimiento del contrato.
El auditor de SI podrá efectuar una revisión, por separado, del cumplimiento en una
muestra de dichos contratos.
Al revisar una muestra de los contratos, el auditor de SI debe evaluar la adecuación de los
siguientes términos y condiciones:
• Niveles de servicio
• Derecho a auditar o reportar auditorías de terceros
• Poner el SW en custodia de un tercero
• Penalizaciones por incumplimiento
• Acatamiento de las políticas y procedimientos de seguridad
• Protección de información de clientes
• Proceso de cambio de contrato
• Terminación de contrato y cualquier penalización apropiada.
8. Planeación de continuidad del negocio (BCP)
El propósito de la continuidad del negocio/recuperación en caso de desastre es “permitir

que una empresa continúe ofreciendo servicios críticos en caso de que ocurra una
interrupción y que sobreviva a una interrupción desastrosa de las actividades”. Para ello es
necesario contar con una planificación y un compromiso rigurosos de los recursos para
prever tales eventos de forma adecuada.
El BCP es básicamente responsabilidad de la alta gerencia y toma en consideración:

• Las operaciones críticas que son necesarias para la supervivencia de la organización
• Los recursos humanos/materiales que los soportan.
9. Planeación de continuidad del negocio de SI
El enfoque es el mismo que en el BCP y debe estar alineado con la estrategia de la
organización. La criticidad de las diferentes aplicaciones de la organización depende de la
naturaleza del negocio, así como del valor de cada aplicación para el negocio.
El BCP/DRP del SI es un componente principal de la estrategia general de continuidad del
negocio y recuperación en caso de desastre de una organización.

10. Elementos de un BCP

Un BCP debe incluir:
• Plan de continuidad de las operaciones
• DRP
• Plan de restablecimiento del negocio
También puede incluir:

• Continuidad del plan de apoyo/Plan de contingencia de TI
• Plan de comunicaciones de crisis
• Plan de respuesta a incidentes
• Plan de transporte
• Plan de emergencia del ocupante
• Plan de evacuación y reubicación de emergencia
11. Auditoría al Plan de Continuidad del Negocio

Las tareas del auditor de SI abarcan:
• Comprender y evaluar la estrategia sobre la continuidad del negocio y su conexión con los
objetivos del negocio
• Revisar los hallazgos de BIA (Análisis de impacto del negocio) para asegurarse de que se
reflejen las prioridades actuales del negocio y los controles actuales
• Evaluar los BCP a fin de determinar su conveniencia y difusión, al revisar los planes y
compararlos con las correspondientes estándares o reglamentos gubernamentales,
incluidos RTO (Tiempo de recuperación objetivo), RPO (Punto de recuperación objetivo)
etc., definidos por el BIA
• Verificar la eficacia de los BCP mediante la revisión de los resultados de las pruebas
realizadas anteriormente por SI y el personal de usuario final
• Evaluar el almacenamiento externo para asegurar su conveniencia al inspeccionar la
instalación y verificar sus contenidos y controles de seguridad y ambiental.
11. Auditoría al Plan de Continuidad del Negocio

Las tareas del auditor de SI abarcan:
• Verificar los trámites para transportar los medios de respaldo a fin de asegurarse de que
satisfagan los requerimientos apropiados de seguridad
• Evaluar la capacidad del personal para responder efectivamente en situaciones de
emergencia, al revisar los procedimientos de emergencia, la capacitación de empleados
y los resultados de las pruebas y los ensayos
• Velar por el establecimiento y vigencia del proceso para mantener los planes y porque
éste abarque las revisiones tanto periódicas como no programadas
• Evaluar si los manuales sobre la continuidad del negocio y los procedimientos están
redactados de una manera sencilla y fácil de comprender. Esto puede lograrse mediante
entrevistas y al determinar si todas las partes involucradas comprenden sus atribuciones
y responsabilidades con respecto a las estrategias sobre la continuidad del negocio.

Auditoria de SI - MBA Javier León

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria de SI - MBA Javier León

Cargado por

Copyright:

Formatos disponibles

AUDITORIA DE SISTEMAS DE

Profesor MBA : Javier León F.

The Digital Universe 2009-2020

One Zettabyte (ZB) = 1 trillion gigabytes

Ingeniería social empleados deshonestos

Mails anónimos con agresiones

Servicios de log inexistentes o que no son chequeados

Denegación de servicio Backups inexistentes

Hacking de Centrales Telefónicas

1.- Control Interno Informático

Funciones del Auditor:

3.- Funciones Análogas: Auditoria informática y Control Interno

Control Interno Informático Auditoria informática

Ambos tienen conocimiento de TI, verificación del cumplimientos de controles

• Análisis del control diario • Análisis del control en cualquier tiempo

1.- Definición y tipo de controles Internos

Es la actividad realizada manualmente y automáticamente que permite prevenir, corregir

Tipo de Controles Internos

El mismo método de control se utiliza para satisfacer Objetivos de Control de

2.- Implantación de un sistema de controles internos informativos

Los controles se pueden implementar a varios niveles diferentes. Es importante llegar a

Para la implantación de un sistema de controles internos informáticos habrá que definir:

• Gestión de sistemas de información: Políticas y normas técnicas para el diseño e

implantación de los SI y sus controles.

• Administración de sistemas: Controles sobre los CPD, funciones de apoyo, administración

• Seguridad: Incluye controles de integridad del sistema, confidencialidad y disponibilidad.

• Gestión del cambio: Gestión de testing, producción y control de procedimientos de

Medidas Tecnológicas implantadas

Roles para Política y Cultura sobre Seguridad

1. Dirección de Sistemas de Información: Definir la política o directrices para los sistemas

2. Controles de desarrollo, adquisición y mantenimiento de SI: Para alcanzar la eficiencia ,

a) Metodología del ciclo de vida del desarrollo de sistemas: Asegura el cumplimento de

3. Controles de explotación de SI:

a) Control de entrada de datos : Procedimientos de conversión y de entrada, validación

b) Controles de tratamientos de datos : para asegurar que no se dan de alta, modifican,

o borran datos no autorizados para garantizar la integridad de los mismos.

c) Controles de salida de datos: Sobre el cuadre y reconciliación de salidas,

procedimientos de distribución de salidas, de gestión de errores en las salidas, etc.

5. Controles específicos de ciertas tecnologías

2. Definición de Auditoria de Sistemas

4. Tareas del proceso de Auditoria

5.- Tiempos en el proceso de Auditoria de SI

Fases del proceso de auditoria Tiempo a utilizar

1. Marco General de normas de ISACA para la auditoria de SI

2. Relación entre normas, directrices y procedimientos

3. Código de ética profesional de ISACA

1. Apoyar la implementación y fomentar el cumplimiento de las

G18 Gobierno de TI, con efecto 1 mayo 2010

G34 Responsabilidad, autoridad y rendición de cuentas, con efecto 1 marzo 2006

Es importante que el auditor de SI tenga una comprensión clara

• El propósito y la naturaleza del negocio, el entorno en el que

Valuación Evaluación Contra medidas

Evaluación de Evaluación Evaluación

Plan de acción Riesgo residual

Establece las mejores prácticas con el fin de establecer un marco

El marco de riesgos de TI es utilizado para ayudar a implementar

Es la cantidad de riesgo que una entidad

está dispuesta a aceptar cuando trata de

alcanzar sus objetivos. Se puede definir en

la práctica en términos de combinaciones

riesgo. El apetito de riesgo puede y será

diferente entre las organizaciones.

COBIT es un marco de trabajo ampliamente usado para el aseguramiento de TI y para la