Está en la página 1de 27

Entendimiento del Ambiente de TI y ITGCs

Cliente CLIENTE XXXX

Showme de actualización de TI
ShowMe de TI'!A1
(Incluye cambios y proyectos)

Organización de TI Organización de TI'!A1

Sistemas de información Sistemas de información'!A1

Interfaces Interfaces y Redes'!A1

Proveedores de TI Proveedores de TI'!A1

ITGC ITGC!A1

SoD de TI SoD de TI'!A1

Soportes Soportes!A1

DC1 - Información de uso interno


Cliente

Showme o reunión de actualización con la gerencia de TI

Fecha de Reunión

Lugar de reunión

Participantes por PwC

Participantes por la Entidad

1- Se han presentando cambios en lo que va corrido del


nuevo período de auditoría relacionados con:
Sistemas de información (migraciones u otros cambios).

Reportes relevantes que soportan los procesos de negocio y/o


financieros

Estructura organizacional

Políticas de TI (énfasis en seguridad lógica/física, cambios a programas,


operaciones y desarrollos)

Procedimientos de TI (énfasis en seguridad lógica/física, cambios a


programas, operaciones y desarrollos)

Infraestructura y/o redes

Proveedores de TI?

2- La compañía cuenta con proyectos o planes de TI a corto,


mediano o largo plazo relacionados con:
Sistemas de información (migraciones u otros cambios).

Reportes relevantes que soportan los procesos de negocio y/o


financieros

Estructura organizacional

Políticas de TI (énfasis en seguridad lógica/física, cambios a programas,


operaciones y desarrollos)

Procedimientos de TI (énfasis en seguridad lógica/física, cambios a


programas, operaciones y desarrollos)
Infraestructura y/o redes

Proveedores de TI?

3- Se han presentado situaciones durante el período en curso


que hayan afectado o impactado el normal funcionamiento
del negocio, como:

DC1 - Información de uso interno


Incidentes, problemas o ataques de seguridad:

Caídas o fallas que afecten la la operación:

Problemas con la confiabilidad de la información:

Situaciones de fraude:

Robo o manipulación de información, etc:

DC1 - Información de uso interno


CLIENTE XXXX

e actualización con la gerencia de TI

<<Nombres y cargos>>

<<Nombres y cargos>>

Nota: Describir el cambio, la fecha y quien estuvo a


cargo del mismo.

Nota: Describir el proyecto la fecha prevista y quien


esta o estará a cargo del mismo.

Nota: Describir la situación, la fecha aproximada y el


impacto

DC1 - Información de uso interno


DC1 - Información de uso interno
Cliente

Aspectos Generales
Estructura organizacional:
Organigrama del área de TI.
Quien dirige el área de TI y esta persona a quien reporta?
Donde están ubicados los funcionarios de TI?
El área de TI esta centralizada o descentralizada?
Incluir los datos del contacto o contactos claves de TI para la auditoría

Roles y responsabilidades:
¿Estan definidos y documentados los roles y responsabilidades dentro de Sistemas y Tecnología
de la Información? Obtener una copia de los mismos para evidenciarlo.

Auditoría de sistemas:
¿Hay función de auditoría de sistemas? En caso de existir, indagar:
1- Cual es el organigrama de auditoría interna y como esta allí la auditoría interna de sistemas.
2- Cual es el programa de trabajo de auditoría de sistemas? Ej: Revisión de procesos de TI,
revisión de ITGC, etc.
3- Solicitar sus informes del período anterior.

Comité de Sistemas y Tecnología de la Información:


Existe tal comité?
Quienes lo conforman?
Cada cuanto se reúnen?
Quedan actas de dichas reuniones o como podemos ver los temas tratados?
Participa TI en algún otro comité ejecutivo?

Plan estratégico de TI (PETI):


¿Tienen un plan estratégico de sistemas alineado con los objetivos de negocio?
El área de TI puede realizar innovación?
Desarrolla los aplicativos internamente?
Gestiona la seguridad de los aplicativos? únicamente realiza soporte?

Presupuesto de TI:
¿Cómo controlan el presupuesto de TI?

Indicadores de gestión de TI:


Tienen indicadores de gestión de TI? Como los gestionan?

DC1 - Información de uso interno


CLIENTE XXXX

Respuesta

DC1 - Información de uso interno


Cliente CLI

Aplicativo(s) que
Descripción del sistema de
Proceso de negocio soporta(n) el proceso de
información
negocio
Ingresos, cuentas por cobrar,
cobranzas

Compras, cuentas por pagar, pagos

Costos de produccción

Inventarios

Activos fijos

Nómina Puede ser un Excel

Proceso Contable *
CLIENTE XXXX

Quien
Sistema Base Propio o indicar
Ubicación administra
operativo de datos proveedor
usuarios
Quien hace
cambios a
programas
Cliente CLIENTE XXXX

Interfaces Naturaleza Tipo

Automática
(no interactúa usuario)
Semiautomática
Sistema emisor y Sistema Descripción e información
(interactúa usuario o
receptor relevante transmitida
archivo plano)
Manual
(Digitación)

Redes Describir e incluir diagramas de redes del cliente


Si el cliente tiene múltiples
localidades, ¿cuáles son
interconectadas a través de
redes y cómo? (Diagrama de red
WAN)

Red interna.
¿Cómo están conectados
internamente los sistemas
dentro de la organización?
(Diagrama de red LAN)

Red perimétrica.
¿Que políticas y/o
procedimientos existen para
controlar el acceso a personal
externo de la compañía?
(Evidencia)
¿Se usa el comercio electrónico
(e-commerce / tienda virtual)?
¿Hay sistemas que funcionan
internacionalmente?
CLIENTE XXXX

Tipo de transfer Frecuencia

On line/ diaria
Batch semanal
mensual, etc

luir diagramas de redes del cliente


Cliente CLIENTE XXXX

Organizaciones de servicio de TI Naturaleza

Descripción del servicio de TI


Nombre del proveedor
suministrado

Más relevantes: hosting,


adminstración de usuarios, seguridad,
cambios, basis de SAP.

Otros: comunicaciones, help desk, etc


CLIENTE XXXX

FSLI ANS

Como y quien monitorea los


Cual proceso negocio soporta acuerdos de nivel de servicio
(ANS) con dicho proveedor
Cliente
ITGC

Dominio de Seguridad Lógica y Física

Esquema de seguridad:
Como es el esquema de seguridad para acceder al sistema? Ej: Acceso con usuario/clave al
sistema operativo y luego con otro o el mismo usuario/clave a la aplicación.

Procedimiento para crear usuarios y su perfil o rol de acceso:


Quien solicita? Como solicita? Quien aprueba? Quien otorga el acceso?

Procedimiento para modificar usuarios o sus perfiles o roles de acceso:


Cuando hay traslados de área?
Quien solicita? Como solicita? Quien aprueba? Quien cambia el acceso?
Para el caso de un traslado como se aseguran que las opciones anteriores sean retiradas?

Procedimiento de retiro de usuarios:


Quien solicita? Como solicita? Quien aprueba? Quien retira el acceso?
Como aseguran que sea oportuno el retiro/bloqueo de usuarios que han sido retirados de la
compañía?

Monitoreo de acceso de usuarios y segregación de funciones de los procesos:


Existe un control para monitorear que los usuarios tengan el acceso apropiado o que sea acorde
con las responsabilidades de su cargo
Quien efectúa este monitoreo? (por parte del área de TI y/ de un área usuaria)?
Cada cuanto?
Queda evidencia de tal monitoreo?

Usuarios administradores o privilegiados (sistemas):


Quienes son los usuarios administradores? (cargos y/o nombres)
Existe un control para monitorear las acciones de los usuarios administradores?
Quien efectúa este monitoreo? Cada cuanto? Queda evidencia de tal monitoreo?

Seguridad física:
Tienen controles de seguridad física? Describir si hay sala de cómputo con condiciones
ambientales apropiadas y con apropiado control para restringir el acceso.

Sistema operativo:
Quien administra el sistema operativo?
Que controles tienen sobre la parametrización del sistema operativo?
Cuales son los parámetros de clave? Alfanuméricas, 8 caracteres, tiempo de expiración, etc.
Quienes tienen acceso?
Quien y como se monitorean estos accesos?

DC1 - Información de uso interno


Base de datos:
Quien administra la base de datos?
Que controles tienen sobre la parametrización de la BD?
Cuales son los parámetros de clave? Alfanuméricas, 8 caracteres, tiempo de expiración, etc.
Quienes tienen acceso?
Quien y como se monitorean estos accesos?

Basis:
Que controles tienen a nivel de basis (aplica solo para SAP)
Quien es el administrador?

Documentación y actualización:
Se encuentran los anteriores procedimientos documentados y actualizados?
Quien se encarga de esta documentación y actualización?

Dominio de Cambios a Programas

Procedimiento de cambios a programas:


Quien y como se solicitan?
Quien aprueba la solicitud de cambios?
Quien analiza y realiza los cambios?
Quien y en donde se prueban los cambios?
Quien acepta o autoriza los cambios para que sean puestos en el ambiente productivo o real?
Quien cataloga o coloca los cambios en el ambiente productivo o real?

Procedimiento de cambios a reportes:


Para cambios a reportes es el mismo procedimiento anterior? O tiene diferencias?

Segregación de ambientes:
Como demuestran que tienen una instancia o ambiente productivo diferente o separada de las
instancias para desarrollar y realizar pruebas?

Acceso de los desarrolladores al ambiente productivo:


Como se aseguran que los desarrolladores no tienen acceso al ambiente de producción o real para
mitigar el riesgo de cambios no autorizados directamente en dicho ambiente?

Procedimiento de cambios directos a la BD:


Quien y como se solicitan?
Quien aprueba la solicitud de cambios?
Quien realiza los cambios?
Quien y como se monitorean estos cambios?

Documentación y actualización:
Se encuentran los anteriores procedimientos documentados y actualizados?
Quien se encarga de esta documentación y actualización?

Dominio de Operaciones

DC1 - Información de uso interno


Backups:
Como es el procedimiento?
Que data se guarda y por cuanto tiempo?
Cual es la frecuencia del backup?

Recuperación:
Se han presentado casos de pérdida de información?
Se realizan pruebas de recuperación de backups? Deja evidencia?
Cada cuanto tiempo?

Plan de contingencia o de recuperción (DRP) o de continuidad de negocio (BCP):


Tienen?
Esta documentado?
Cada cuanto se hacen pruebas?

Tareas programadas batch:


Cuales son esas tareas?
Con cuales procesos de negocio se relacionan?
Como estan programadas?
Quien las programa?
Como se aseguran que el acceso a dicha programación solo es accedido por el autorizado?
Quien monitorea que se realicen y que su resultado sea satisfactorio?

Documentación y actualización:
Se encuentran los anteriores procedimientos documentados y actualizados?
Quien se encarga de esta documentación y actualización?

Dominio de Desarrollos (Aplica cuando hay migraciones)


Por favor avisar porque RAS se debe involucrar
Sistema migrado
Fecha de migración
Encargado de monitorear la migración

DC1 - Información de uso interno


CLIENTE XXXX
Dynamics Sistema 2

DC1 - Información de uso interno


DC1 - Información de uso interno
DC1 - Información de uso interno
Sistema 3

DC1 - Información de uso interno


DC1 - Información de uso interno
DC1 - Información de uso interno
Desarro Secretar
MATRIZ DE ROLES Y RESPONSABILIDADES Analista Director
llador ia

Dominio de Accesos a Programas


Solicitud de creación/modificación/retiro de usuario
Aprobación de la solicitud
Realización de la creación/modificación/retiro de usuario X
Monitoreo de usuarios para verificar que tienen accesos ok X
Ejecución de actividades de usuarios administradores X X
Verificación y monitoreo de usuarios administradores
Dominio de Cambios a Programas
Solicitud de cambio a programa o reporte
Aprobación de la solicitud
Realización de cambio a programa o reporte
Realización de pruebas al cambio a programa o reporte
Aceptación del cambio a programa o reporte
Instalación del cambio en ambiente productivo

Conclusión:
De acuerdo con lo anterior (matriz de roles y responsabilidades) se observa apropiado diseño de la segregación de funciones de T
siguientes reglas relevantes:
* Solicitud de C/M/R de usuarios vs Aprobación de la solicitud Es satistactorio?
* Aprobación de la solicitud vs C/M/R de usuarios Es satistactorio?
* C/M/R de usuarios vs Monitoreo de usuarios Es satistactorio?
* Usuarios administradores vs Monitoreo de administradores Es satistactorio?
* Solicitud de cambios vs Aprobación de la solicitud Es satistactorio?
* Aprobación de la solicitud vs Realización del cambio Es satistactorio?
* Realización del cambio vs Aceptación del cambio Es satistactorio?
Jefe de Director Proveed
Contral
area de area or
or
usuario usuario externo

X X
X X X
X Ejemplos
X
X
X

gregación de funciones de TI en relación con las


Lo que aplique a la compañía y se tenga evidencia respectiva
· Organigrama TI
· Plan estratégico TI
· Presupuesto TI
· Políticas y procedimientos de TI
(seguridad lógica/física, cambios, operaciones, desarrollos)
· Funciones y roles de TI
· Indicadores de gestión (Si los tienen)
· Diagrama de RED

DC1 - Información de uso interno


Si /No
SI
SI
NO

Títulos

Títulos
Nombres
SI

DC1 - Información de uso interno