Documentos de Académico
Documentos de Profesional
Documentos de Cultura
0058P397 Anexo PDF
0058P397 Anexo PDF
1088282693
PEREIRA
2013
1
En el proyecto de grado se propuso el definir una guía de procesos de auditoría
interna para verificar el cumplimiento de los aspectos “Gestión de
comunicaciones y operaciones” y “Cumplimiento” definido en la norma ISO
27001, el cual pueda ser utilizado en cualquier organización. Estos procesos
sirven como una lista de chequeo para ayudarle al auditor interno a crear un
informe de auditoría de los aspectos mencionados.
Para medir el nivel de cumplimiento del proceso de auditoría interna con base
en la norma se debe calificar cada indicador del aspecto en una escala de 0 a
5. Siendo 0 no cumple y 5 cumple completamente.
2
Cumplimiento con base en la norma ISO 27001
ASPECTO: Gestión de comunicaciones y operaciones (Auditoría Previa)
Proceso Control 5 4 3 2 1 0 Observaciones
Documentación de los
procedimientos de
operación
Gestión del cambio
PROCEDIMIENTOS Distribución
OPERACIONALES Y (segregación) de
RESPONSABILIDADES funciones
Separación de las
instalaciones de
desarrollo, ensayo y
operación
Prestación del servicio
Monitoreo y revisión
GESTIÓN DE LA PRESTACIÓN de los servicios por
DEL SERVICIO POR terceros
TERCERAS PARTES Gestión de los cambios
en los servicios por
terceras partes
Gestión de la
PLANIFICACIÓN Y
capacidad
ACEPTACIÓN DEL SISTEMA
Aceptación del sistema
Controles contra
PROTECCIÓN CONTRA
códigos maliciosos
CÓDIGOS MALICIOSOS Y
Controles contra
MÓVILES
códigos móviles
Respaldo de la
RESPALDO
información
Controles de las redes
GESTIÓN DE LA SEGURIDAD
Seguridad de los
DE LAS REDES
servicios de la red
Gestión de los medios
removibles
Eliminación de los
medios
Procedimientos para el
MANEJO DE LOS MEDIOS
manejo de la
información
Seguridad de la
documentación del
sistema
Políticas y
procedimientos para el
intercambio de
información
Acuerdos para el
INTERCAMBIO DE LA intercambio
INFORMACIÓN Medios físicos en
tránsito
Mensajería electrónica
Sistemas de
información del
negocio
3
Comercio electrónico
SERVICIOS DE COMERCIO Transacciones en línea
ELECTRÓNICO Información disponible
al público
Registro de auditorías
Monitoreo del uso del
sistema
Protección de la
información del
registro
MONITOREO
Registros del
administrador y del
operador
Registro de fallas
Sincronización de
relojes
4
Controles de las redes
GESTIÓN DE LA SEGURIDAD
Seguridad de los
DE LAS REDES
servicios de la red
Gestión de los medios
removibles
Eliminación de los
medios
Procedimientos para el
MANEJO DE LOS MEDIOS
manejo de la
información
Seguridad de la
documentación del
sistema
Políticas y
procedimientos para el
intercambio de
información
Acuerdos para el
INTERCAMBIO DE LA intercambio
INFORMACIÓN Medios físicos en
tránsito
Mensajería electrónica
Sistemas de
información del
negocio
Comercio electrónico
SERVICIOS DE COMERCIO Transacciones en línea
ELECTRÓNICO Información disponible
al público
Registro de auditorías
Monitoreo del uso del
sistema
Protección de la
información del
registro
MONITOREO
Registros del
administrador y del
operador
Registro de fallas
Sincronización de
relojes
5
Cumplimiento con base en la norma ISO 27001
ASPECTO: Cumplimiento (Auditoría Previa)
Proceso Control 5 4 3 2 1 0 Observaciones
Identificación de la
legislación aplicable
Derechos de propiedad
intelectual (DPI)
Protección de los
registros de la
organización
Protección de los datos
CUMPLIMIENTO DE LOS
y privacidad de la
REQUISITOS LEGALES
información personal
Prevención del uso
inadecuado de los
servicios de
procesamiento de
información
Reglamentación de los
controles criptográficos
Cumplimiento con las
CUMPLIMIENTO DE LAS
políticas y las normas
POLÍTICAS Y LAS NORMAS
de seguridad
DE SEGURIDAD Y
Verificación del
CUMPLIMIENTO TÉCNICO
cumplimiento técnico
Controles de auditoría
de los sistemas de
información
CONSIDERACIONES DE LA
Protección de las
AUDITORÍA DE LOS
herramientas de
SISTEMAS DE INFORMACIÓN
auditoría de los
sistemas de
información
6
Cumplimiento con las
CUMPLIMIENTO DE LAS
políticas y las normas
POLÍTICAS Y LAS NORMAS
de seguridad
DE SEGURIDAD Y
Verificación del
CUMPLIMIENTO TÉCNICO
cumplimiento técnico
Controles de auditoría
de los sistemas de
información
CONSIDERACIONES DE LA
Protección de las
AUDITORÍA DE LOS
herramientas de
SISTEMAS DE INFORMACIÓN
auditoría de los
sistemas de
información
7
Respaldo de la
RESPALDO
información
Controles de las redes
GESTIÓN DE LA SEGURIDAD
Seguridad de los
DE LAS REDES
servicios de la red
Gestión de los medios
removibles
Eliminación de los
medios
Procedimientos para el
MANEJO DE LOS MEDIOS
manejo de la
información
Seguridad de la
documentación del
sistema
Políticas y
procedimientos para el
intercambio de
información
Acuerdos para el
INTERCAMBIO DE LA intercambio
INFORMACIÓN Medios físicos en
tránsito
Mensajería electrónica
Sistemas de
información del
negocio
Comercio electrónico
SERVICIOS DE COMERCIO Transacciones en línea
ELECTRÓNICO Información disponible
al público
Registro de auditorías
Monitoreo del uso del
sistema
Protección de la
información del
registro
MONITOREO
Registros del
administrador y del
operador
Registro de fallas
Sincronización de
relojes
8
Cumplimiento con base en la norma ISO 27001
ASPECTO: Gestión de comunicaciones y operaciones (Auditoría en Sitio)
Proceso Control 5 4 3 2 1 0 Observaciones
Documentación de los
procedimientos de
operación
Gestión del cambio
PROCEDIMIENTOS Distribución
OPERACIONALES Y (segregación) de
RESPONSABILIDADES funciones
Separación de las
instalaciones de
desarrollo, ensayo y
operación
Prestación del servicio
Monitoreo y revisión
GESTIÓN DE LA PRESTACIÓN de los servicios por
DEL SERVICIO POR terceros
TERCERAS PARTES Gestión de los cambios
en los servicios por
terceras partes
Gestión de la
PLANIFICACIÓN Y
capacidad
ACEPTACIÓN DEL SISTEMA
Aceptación del sistema
Controles contra
PROTECCIÓN CONTRA
códigos maliciosos
CÓDIGOS MALICIOSOS Y
Controles contra
MÓVILES
códigos móviles
Respaldo de la
RESPALDO
información
Controles de las redes
GESTIÓN DE LA SEGURIDAD
Seguridad de los
DE LAS REDES
servicios de la red
Gestión de los medios
removibles
Eliminación de los
medios
Procedimientos para el
MANEJO DE LOS MEDIOS
manejo de la
información
Seguridad de la
documentación del
sistema
Políticas y
procedimientos para el
intercambio de
información
Acuerdos para el
INTERCAMBIO DE LA intercambio
INFORMACIÓN Medios físicos en
tránsito
Mensajería electrónica
Sistemas de
información del
negocio
9
Comercio electrónico
SERVICIOS DE COMERCIO Transacciones en línea
ELECTRÓNICO Información disponible
al público
Registro de auditorías
Monitoreo del uso del
sistema
Protección de la
información del
registro
MONITOREO
Registros del
administrador y del
operador
Registro de fallas
Sincronización de
relojes
10
Cumplimiento con base en la norma ISO 27001
ASPECTO: Cumplimiento (Auditoría en Sitio)
Proceso Control 5 4 3 2 1 0 Observaciones
Identificación de la
legislación aplicable
Derechos de propiedad
intelectual (DPI)
Protección de los
registros de la
organización
Protección de los datos
CUMPLIMIENTO DE LOS
y privacidad de la
REQUISITOS LEGALES
información personal
Prevención del uso
inadecuado de los
servicios de
procesamiento de
información
Reglamentación de los
controles criptográficos
Cumplimiento con las
CUMPLIMIENTO DE LAS
políticas y las normas
POLÍTICAS Y LAS NORMAS
de seguridad
DE SEGURIDAD Y
Verificación del
CUMPLIMIENTO TÉCNICO
cumplimiento técnico
Controles de auditoría
de los sistemas de
información
CONSIDERACIONES DE LA
Protección de las
AUDITORÍA DE LOS
herramientas de
SISTEMAS DE INFORMACIÓN
auditoría de los
sistemas de
información
11
Encuesta Validación
R//:
En una escala de 0 a 5, donde 0 es no se entiende y 5 se entienden las
actividades contempladas en la herramienta Bizagi, como considera la
claridad de las actividades.
R//:
¿El tiempo para desarrollar la auditoría se consideró rápido?:
R//:
R//:
R//:
¿Considera que los resultados obtenidos con la herramienta Bizagi son
útiles para mejorar sus procedimientos y acercarse más a lo
contemplado en la norma ISO 27001 e ISO 27002?
R//:
R//:
¿Considera que los pre-informes se muestran de manera clara y
ordenada?
R//:
Contenido
A partir de este último concepto partimos del hecho que hay varios tipos de
auditoría, así como existen las auditorías internas, también las hay externas.
1
Tomado del libro AUDITORIA DEL CONTROL INTERNO p.4
2
http://informandodecalidad.wordpress.com/2008/04/09/definicion-de-auditoria-de-calidad/
3
Tomado del libro AUDITORÍA DE SISTEMAS UNA VISIÓN PRÁCTICA p.9
1.1 Auditoría y tipos de auditoria
4
http://www.gerencie.com/auditoria-externa.html
5
Tomado de la norma ISO 19011 DIRECTRICES PARA LA AUDITORÍA DE LOS SISTEMAS DE GESTIÓN p.5 y 8
6
Tomado del libro GESTION DE LA CALIDAD p.12
7
http://www.acis.org.co/revistasistemas/index.php/component/k2/item/132-seguridad-
inform%C3%A1tica-en-colombia-tendencias-2012-2013
8
http://www.iso27000.es/iso27000.html
Figura [1.1]: Ciclo de mejora continua Planear – Hacer – Verificar y Actuar (PHVA)
De los cuales se hablará más adelante, pero antes se hará una descripción de una
auditoría interna de los SGSI.
La ISO ha venido desarrollando la norma ISO 19011 que contiene las directrices
para la auditoría de los Sistemas de Gestión, en ella se contempla todo lo que
debe tenerse en cuenta a la hora de realizar una auditoría
9
http://www.iso27000.es
En la figura [1.2] está el proceso PHVA con su respectivo capítulo de la norma
para tener más conocimiento de su implementación.
Figura [1.2]: Diagrama del flujo del proceso para la gestión de un programa de auditoría
Fuente: norma ISO 19011 DIRECTRICES PARA LA AUDITORÍA DE LOS SISTEMAS DE GESTIÓN10
10
Tomado de la norma ISO 19011 DIRECTRICES PARA LA AUDITORÍA DE LOS SISTEMAS DE GESTIÓN p.15
En la implementación del programa de auditoría, en las actividades de auditoría;
está la generación de informes. En estos informes específicamente para el SGSI,
debe tenerse en cuenta ya que pueden indicar algunas de las siguientes
consideraciones según la evaluación realizada:
1. Existe alguna anomalía: Establecer si todo está correcto o existe alguna falla.
Es por esto que en el modelamiento de procesos del que trata este proyecto, se
consideran los campos en las formas necesarios para que el auditor ingrese estos
parámetros y los tenga disponibles para realizar el informe de auditoría de forma
más precisa.
El proceso:
Para cada uno de los procesos de este proyecto se tiene un modelo de datos, los
cuales se presentan en la tabla [1.5], los atributos del modelo de datos
representan la información que se requiere almacenar para cada proceso y están
11
Universidad Tecnológica de Pereira, Tomado de la tesis DEFINICIÓN DE PROCESOS DE AUDITORÍA INTERNA
DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SOPORTADO EN TIC'S p.38
relacionados con las actividades, en él se consideran las formas de evaluar cada
aspecto, Todo está correcto, Observaciones, No conformidad mayor, No
conformidad menor, así como el control, que permiten al auditor continuar con la
auditoría y algunas variables propias para definir el flujo del proceso.
Existen dos tipos de actividades que pueden ser encontradas en los procesos
descritos, las actividades de verificación y/o revisión y las de declaración de no
conformidades, para cada una de estas, se definió una forma a través de la cual el
auditor puede agregar información del proceso para posteriormente realizar el
informe de auditoría final. 12
MODELO DE DATOS
12
Universidad Tecnológica de Pereira, Tomado de la tesis DEFINICIÓN DE PROCESOS DE AUDITORÍA INTERNA
DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SOPORTADO EN TIC'S p.34-39
FORMA DE VERIFICACIÓN Y/O REVISIÓN
FORMA DE RESUMEN
Se debe tener en cuenta que no todas las actividades tienen ambos momentos de
la auditoría, existen algunas actividades que solo pueden ser comprobadas en
sitio, o que se pueden realizar de manera previa, por ejemplo, no es necesario
estar en sitio para pedir manuales y analizarlos, pero si es necesario estar en sitio
para corroborar que los tiempos de restauración de backups si cumplen con el
tiempo especificado.
Para realizar la prueba de auditoría se envió una carta a una empresa de la región
solicitando autorización para hacer una validación de los modelos automatizados
anteriormente con la herramienta Bizagi. En esta carta se informó que aspectos de
la norma iban a ser analizados y se dio un aproximado de la duración de la
auditoría tanto para el análisis de documentación como para la validación en sitio.
Junto con la carta, también fue anexado el plan de trabajo de auditoría donde se
especificaban los documentos requeridos para hacer la validación como también
estaban contemplados los aspectos con los controles a cumplir, el método de
validación y los recursos necesarios para validar cada control en específico.
Para poder tener acceso al sitio y a la documentación de esta empresa, se firmó
un acuerdo de confidencialidad y sesión de derechos, donde el auditor se
comprometía a guardar absoluta discreción sobre la identidad de la organización,
las personas involucradas en este proceso y la documentación y hallazgos con el
fin de mantener la confidencialidad de la información.
Esta empresa trabaja con el Modelo Estándar de Control Interno (MECI) como se
muestra en la Figura [2.1].
Todo correcto.
Observaciones.
No conformidad mayor
No conformidad menor
Declaración de aplicabilidad.
Política de seguridad de la información.
Manuales de procedimientos.
Documento de roles y responsabilidades.
Registros de auditoría y
todo lo relacionado con la parte de cumplimiento para los controles
involucrados.
Los procesos se diseñaron con base en la norma ISO 27001:2005 y la ISO 27002,
la Guía de auditoría ISO 27k ISMS implementers fórum y el Check list SANS
Institute que posteriormente se modelaron y automatizaron en la herramienta
Bizagi, estos modelos fueron probados por el autor del proyecto para corroborar
que la información almacenada se mantuviera y no se presentara algún tipo de
alteración durante el desarrollo del proceso. Por otra parte, estos modelos también
fueron verificados por expertos en la región en ISO 27001 para finalmente ser
validado en el entorno real de una organización.
Fuente: Autor
Número de procesos 15 15
Fuente: Autor
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
Criterios de auditoría:
Todo correcto.
Observaciones.
No conformidad mayor
No conformidad menor
Metodología
Tiempo real.
Tiempo real.
2. RESULTADOS DE LA AUDITORÍA
No se puede tener garantía solo con una prueba que la restauración que
hagan de cualquier back up tomará un día.
Cumplimiento
Cumplimiento
2.3 Recomendaciones:
Uno de los aspectos que más resaltan en esta auditoría fueron los
resultados obtenidos en cuanto a los tiempos de auditoría estimados
frente a los reales, una de las razones fue debido a que no se tuvo
“Sistema de gestión de seguridad soportado en TIC´s para realizar una
porte a la competitividad de las empresas de la región”
acceso total a los documentos, por otra parte, como se mencionó en las
recomendaciones, hace falta documentación que todavía no se
encuentra a disposición del público, por lo tanto no toda la información
pudo ser analizada y tuvo que ser validada en sitio, y es aquí donde se
produjo una disminución considerable en los tiempos y fue gracias a que
la persona que me acompañó durante el proceso tenía un conocimiento
total sobre el funcionamiento de la organización y de los procesos
involucrados para validar los modelos, y es por ello que muchas de las
actividades que se debían resolver previamente fueron solventadas con
rapidez y eficiencia.
MANUAL
1. OBJETIVO............................................................................................................................... 2
2. ¿Qué es BPMN? .................................................................................................................... 2
3. ¿Por qué es importante modelar con BPMN? ................................................................... 2
4. Instalando Bizagi BPMN ....................................................................................................... 3
5. Conociendo la interfaz de Bizagi Process Modeler .......................................................... 7
5.1 Elementos gráficos de BPMN ........................................................................................ 8
5.1.1 Objetos de flujo ......................................................................................................... 8
5.1.2 Eventos: ..................................................................................................................... 8
5.1.3 Canales .................................................................................................................... 10
5.1.4 Artefactos ................................................................................................................. 10
6. Instalación Bizagi edición .NET ......................................................................................... 11
7. Consideraciones de Bizagi BPMN y Bizagi Studio ......................................................... 19
8. Ejecutando un proceso desde Bizagi BPMN ................................................................... 19
9. Conociendo la interfaz de Bizagi Studio ........................................................................... 24
9.1 Model Process:............................................................................................................... 24
9.2 Model Data ...................................................................................................................... 25
9.3 Define Forms .................................................................................................................. 25
9.4 Business Rules............................................................................................................... 25
10. Usando la herramienta ...................................................................................................... 25
Consideraciones importantes ............................................................................................. 26
10.1 Utilizando el proyecto automatizado ......................................................................... 26
11. Links adicionales ................................................................................................................ 31
1. OBJETIVO
2. ¿Qué es BPMN?
Business Process Model and Notation (BPMN) es una notación gráfica que
describe la lógica de los pasos de un proceso de Negocio. Esta notación ha
sido especialmente diseñada para coordinar la secuencia de los procesos y los
mensajes que fluyen entre los participantes de las diferentes actividades.
BPD es un diagrama diseñado para ser usado por los analistas, quienes
diseñan, controlan y gestionan procesos. Dentro de un Diagrama de Procesos
de Negocio BPD se utiliza un conjunto de elementos gráficos, agrupados en
categorías, que permite el fácil desarrollo de diagramas simples y de fácil
comprensión, pero que a su manejan la complejidad inherente a los procesos
de negocio. 1
1
Tomado de http://www.bizagi.com/docs/BPMNbyExampleSPA.pdf p.2
2
BPMN crea un puente estandarizado para disminuir la brecha entre los
procesos de negocio y la implementación de estos.
Para comenzar a utilizar Bizagi BPMN se accede al siguiente link desde donde
se podrá realizar la descarga
(http://www.bizagi.com/index.php?option=com_content&view=article&id=335&It
emid=267)
Una vez descargado, se ejecuta y lo primero que saldrá será una ventana
como esta, pulse “Aceptar”
2
Tomado de http://www.bizagi.com/docs/BPMNbyExampleSPA.pdf p.2
3
Pulse “Siguiente” y aparecerán los términos de acuerdo de licencia.
4
Saldrá una ventana como se muestra a continuación, en esta se deben rellenar
los campos (puede ser su propio nombre en ambos), pulse “Siguiente”
Pulse “Siguiente”.
5
Pulse “Instalar” para comenzar con el proceso.
6
Una vez terminado el proceso de instalación saldrá un recuadro como el que se
muestra, pulse “Finalizar” y el proceso habrá terminado.
7
De clic dos veces sobre él, hasta que salga una ventana como esta.
OPCIONAL: en caso de que se esté trabajando con una versión anterior (No es
indispensable actualizarla para poder trabajar)
Objetos de flujo.
Objetos de conexión.
Canales.
Artefactos.
8
Dentro de los anteriores ejemplos
utilizamos inicio, fin y temporizador, estos
elementos son eventos y a su vez se
encuentran clasificados en 3 tipos.
Compuertas
Compuerta Exclusiva
Compuerta Basada en eventos
Compuerta Paralela
Compuerta Inclusiva
Compuerta Compleja
3
Tomado de http://www.bizagi.com/docs/BPMNbyExampleSPA.pdf p.21
9
Objetos de conexión
Son los elementos usados para conectar dos objetos del flujo dentro de un
proceso.
Líneas de Secuencia
Asociaciones
Líneas de Mensaje
5.1.3 Canales
Son elementos utilizados para organizar las actividades del flujo en diferentes
categorías visuales que representan áreas funcionales, roles o
responsabilidades.
Pools
Lanes
Fases
5.1.4 Artefactos
Los artefactos son usados para proveer información adicional sobre el proceso.
Existen 3 tipos:
Objetos de Datos
Grupos
Anotaciones 4
4
Tomado de http://www.bizagi.com/docs/BPMNbyExampleSPA.pdf p.22
10
6. Instalación Bizagi edición .NET
(http://www.bizagi.com/index.php?option=com_content&view=article&id=338&It
emid=270)
(http://www.bizagi.com/index.php?option=com_content&view=article&id=339&it
emid=271)
11
Selecciona “Español” y luego pulsa “Aceptar”
12
Una vez aparece el asistente para el instalador, pulsa “Siguiente”
Al igual que con Bizagi BPMN se acepan los “términos de acuerdo de licencia”
y pulsa “Siguiente”
13
Para el funcionamiento de Bizagi, se necesita una base de datos, así que el
asistente preguntará si desea descargar el SQL Server para crear una, o
también tiene la opción para continuar por si ya la tiene instalada.
14
Saldrá un mensaje de instalación de SQL Server, este proceso se tardará
varios minutos mientras se termina la configuración.
Una vez terminado, se llenan los campos de registro al igual que en Bizagi
BPMN (acá también puede poner su propio nombre en ambos campos), pulse
“Siguiente”.
15
Luego se selecciona el lugar de instalación, al igual que en Bizagi BPMN, está
por defecto el disco (C:\), pulsa “Siguiente”
Pulse “Instalar”.
16
Aparecerán ventanas como estas, mientras se descargan los archivos
necesarios.
17
Una vez terminado este proceso, se pedirá reiniciar
18
Finalmente ya estará instalado Bizagi Studio para la automatización de
procesos
5
http://feedback.bizagi.com/suite/es/responses/subprocesos-asignados-a-mas-de-un-pool
6
http://feedback.bizagi.com/suite/es/responses/como-insertar-un-nuevo-pool-en-bizagi-studio-100
19
Después de pulsar esa opción, saldrá una ventana para importar el diagrama
del proceso.
Saldrá una ventana nueva donde se dará el nombre al proceso (No puede ser
muy largo), pulse “Next”.
20
El siguiente paso es elegir el nombre del proyecto que será almacenado en la
base de datos, puede crear uno nuevo o seleccionar uno que ya este creado,
pulse “Next”.
Acá debe agregar el nombre que tendrá la base de datos y pulsar “Next”
21
usted ya tenía una base de datos instalada, deberá loguearse con los datos
asociados a ese servidor, pulse “Next”
Después de esta paso, saldrá una nueva ventana de creación del proyecto,
este proceso, tardará unos minutos.
22
Una vez completado este proceso, llegará a la interfaz de Bizagi Studio
23
En caso de seleccionar uno ya creado, este lo llevará directamente a la interfaz
de Bizagi presentada en la imagen anterior.
NOTA IMPORTANTE
Para solucionar este problema tanto para Windows 7 y 8, se deben seguir los
siguientes pasos:
Vaya a inicio -> Panel de Control -> Vista por iconos -> Herramientas
administrativas -> Servicios -> En la lista que se despliega buscan el "Bizagi
Server Operations Service”, clic derecho y escogen la opción iniciar, luego
vuelven a seleccionar el proyecto en que deseaban trabajar y el error debe
estar solucionado.
Este manual solo hará una descripción de las primeras 4 etapas, que fueron las
empleadas para la realización de este proyecto.
Model Process
Model Data
Define Forms
Business Rules (Define Expressions)
24
9.2 Model Data:
25
los procesos, se debe tener en cuenta que los indicadores se presentan en
forma de semáforo:
Verde: A tiempo.
El criterio para indicar que una tarea muestre un ícono en "semáforo amarillo"
corresponde al vencimiento de la misma en el día actual.
Rojo: Vencidos.
Consideraciones importantes
Un día en la herramienta Bizagi equivale a 8 horas, que es el tiempo por
defecto8, si desea modificar el “esquema de horario laboral de la organización”
visite este link.
(http://wiki.bizagi.com/es/index.php?title=Grupos_de_Usuario_y_Esquema_de_
Tiempo_de_Trabajo#Esquema_de_Horario_de_Trabajo)
Para obtener más información sobre como configurar los tiempos de ejecución
visite el siguiente link (http://wiki.bizagi.com/es/index.php?title=Duracion)
7
http://feedback.bizagi.com/suite/es/responses/medicion-tiempos-semaforos
8
http://feedback.bizagi.com/suite/es/responses/duracion-actividades-y-procesos
26
Asegúrese que en la barra de direcciones tenga algo como esto:
El (localhost:[puerto_por_donde_se_ejecuta]/[Nombre_de_la _base_de_datos])
Acá se dará la fecha en que comenzó esa actividad del proceso de auditoría, el
campo “Existe Alguna Anomalía“ se debe marcar en “si”, solo en caso de
encontrar una “no conformidad menor” o “no conformidad mayor” y será llevado
a la forma de declaración de no conformidad, de lo contrario, marque la casilla
con “no” y continuará con la actividad siguiente, el campo “observación” será
marcado si tiene alguna recomendación que hacer sobre esta actividad, ya sea
que haya una no conformidad o no (no es de uso obligatorio), y posteriormente
agregar su sugerencia en el campo “recomendaciones”.
27
Si desea obtener más información sobre la actividad, como el número del caso,
ruta del proceso, fecha de expiración de la actividad, etc. De clic sobre la
pestaña que se encuentra al lado izquierdo de cada actividad (la parte marcada
con rojo en la imagen anterior), y obtendrá un recuadro como el que se muestra
a continuación.
28
conformidad, en caso de no haber encontrado alguna irregularidad, llegará a la
interfaz de la siguiente actividad.
29
Ahora bien, si se desea tener datos estadísticos sobre el caso en ejecución se
utiliza la opción BAM (Monitoreo de Actividad de Negocio)
30
11. Links adicionales
31
Plan de Trabajo de la Auditoría para los Aspectos “Gestión de comunicaciones y
operaciones” y ”Cumplimiento”
Planificación de la auditoria
Con el propósito de poder llevar a cabo una auditoría del aspecto “Gestión de
comunicaciones y operaciones” y ”Cumplimiento” de manera eficaz, es necesario
comprender el ambiente del negocio, los riesgos y controles asociados para lo cual se
requiere la siguiente información:
Documento de aplicabilidad.
Documento con los procedimientos de operación para las actividades del sistema
asociadas con los servicios de comunicaciones y de procesamiento de información.
Documento con los registros de auditoria que contenga todos los cambios realizados a los
servicios y los sistemas de procesamiento de información.
Documento con los registros de aceptación antes de hacer modificaciones a los sistemas
de producción.
Documento de riesgos.
Documento con los registros de auditoría con sus respectivas acciones correctivas en
caso de que se haya encontrado alguna inconformidad.
Documento con los planes de contingencia después de desastres o fallas significativas en
el servicio.
Organigrama del área.
Documento con los criterios de aceptación para los sistemas de información presente y
futuro.
Bitácora de las pruebas empleadas para confirmar el cumplimiento pleno de todos los
criterios de aceptación.
Documento con los procedimientos para garantizar que las entradas del exterior son
verificadas y aprobadas.
Documento con los registros de las grabaciones.
Documento con los procedimientos para el monitoreo del uso de los servicios de
procesamiento de información.
Documento con los registros de las fallas que se han presentado y los procedimientos y
acciones correctivas
Documento con las fallas reportadas por los usuarios o programas relacionados con el
procesamiento de información o sistemas de comunicación.
Revisar el documento con los requisitos para el cumplimiento de la ley de los controles
criptográficos
Documento con las revisiones y acciones correctivas del cumplimiento de las políticas,
cumplimiento técnico y normas de seguridad.
Documento con los controles para salvaguardar los sistemas operativos y las
herramientas de auditoría.
Documentos con los requisitos de auditoría y plan de actividades para no interrumpir las
actividades del negocio.
Revisar documento que contenga los roles y responsabilidades, Revisión de documentos. Documento de roles y
identificadas en el manual de política de seguridad de la responsabilidades
organización. identificadas en el manual de
política de seguridad de la
organización.
Revisar si existe un documento con los registros de auditoria Revisión de documentos. Documento con los registros
que contenga todos los cambios realizados a los servicios y los de auditoria que contenga
sistemas de procesamiento de información. todos los cambios realizados a
los servicios y los sistemas de
procesamiento de información.
Documento con los registros
de aceptación antes de hacer
modificaciones a los sistemas
de producción.
Verificar que las responsabilidades y los procedimientos Revisión de documentos. Documento con los
formales de gestión para garantizar el control satisfactorio de procedimientos de operación
todos los cambios en los equipos, el software o los para las actividades del
procedimientos han sido establecidas. sistema asociadas con los
servicios de comunicaciones y
de procesamiento de
información.
Documento de roles y
responsabilidades
identificadas en el manual de
política de seguridad de la
organización.
Revisar otros controles tales como monitoreo de actividades, Revisión de documentos. Documento con los registros
registros de auditoría y supervisión por la dirección. de auditoria que contenga
todos los cambios realizados a
los servicios y los sistemas de
procesamiento de información.
Documento con los registros
de aceptación antes de hacer
modificaciones a los sistemas
de producción.
Revisar que se haya identificado el grado de separación entre Revisión de documentos. Documento con los
los ambientes operativo, de prueba y de desarrollo a fin de que procedimientos de operación
se puedan evitar problemas graves, como la modificación para las actividades del
indeseada de archivos, o del entorno del sistema, falla del sistema asociadas con los
sistema, cambios involuntarios en el software, introducción de servicios de comunicaciones y
códigos no autorizados y sin probar o alteración los datos de procesamiento de
operativos con los cuales se pueda cometer fraude. información.
Proceso: PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES - Sitio
Verificar que los procedimientos tales como: procesamiento y Revisión de documentos. Documento con los planes de
manejo de información, copias de respaldo, requisitos de Revisión de las contingencia después de
programación, instrucciones para el manejo de errores y otras Instalaciones. desastres o fallas significativas
condiciones excepcionales, contactos de soporte, Instrucciones en el servicio.
Entrevistas.
de manejo de los medios y los informes especiales,
procedimientos para el reinicio y la recuperación del sistema,
gestión de los registros de auditoria y de la información de
registro del sistema sean usados.
Verificar que las modificaciones que se hagan en los sistemas Revisión de documentos. Documento con los registros
de producción, sean autorizadas por el control de cambios. Entrevistas. de aceptación antes de hacer
modificaciones a los sistemas
de producción.
Revisar que los deberes y áreas de responsabilidad estén Revisión de documentos. Documento de roles y
separados a fin de que se reduzcan las oportunidades para Entrevistas. responsabilidades
modificaciones por parte de alguna persona no autorizada y que identificadas en el manual de
le dé mal uso a la información o a los servicios sin ser política de seguridad de la
detectado. organización.
Verificar que las instalaciones de desarrollo y de prueba están Revisión de documentos. Documento de roles y
separadas de las instalaciones operacionales a fin de reducir el Revisión de las responsabilidades
riesgo de cambio accidental o acceso no autorizado al software instalaciones. identificadas en el manual de
operativo o a los datos del negocio. Entrevistas. política de seguridad de la
organización.
Documento con la
identificación de espacios
físicos.
Verificar que la organización mantiene suficiente control global y Revisión de documentos. Actas de reunión con
no pierde de vista todos los aspectos de seguridad para la Entrevistas. proveedores de servicio.
información sensible o crítica, o de los servicios de Documento de acuerdo de la
procesamiento de información que haya procesado, gestionado prestación de servicios entre
o tenido acceso el tercero. las partes.
Verificar que existe una persona o equipo de gestión del servicio Revisión de documentos. Documento de riesgos.
que monitoree el cumplimiento de los términos y condiciones de Entrevistas. Organigrama del área.
seguridad de la información, de los acuerdos y que los
incidentes y problemas de la seguridad de la información se
manejan adecuadamente.
Verificar si se llevaron a cabo las pruebas adecuadas para Revisión de documentos. Documento con los criterios de
confirmar el cumplimiento pleno de todos los criterios de aceptación para los sistemas
aceptación antes de la aceptación del sistema de información. de información presente y
futuro.
Bitácora de las pruebas
empleadas para confirmar el
cumplimiento pleno de todos
los criterios de aceptación.
Resultados de las pruebas
realizadas.
Revisar si están establecidos los criterios de aceptación para Revisión de documentos. Documento con los criterios de
sistemas de información nuevos, actualizaciones y nuevas aceptación para los sistemas
versiones y se llevan a cabo los ensayos adecuados del sistema de información presente y
durante el desarrollo y antes de la aceptación. futuro.
Bitácora de seguimiento al
monitoreo de capacidades del
sistema.
Verificar que los sistemas de información nuevos, las Revisión de documentos. Documento con los criterios de
actualizaciones y las nuevas versiones son migrados a Entrevistas. aceptación para los sistemas
producción después de obtener la aceptación formal. de información presente y
futuro.
Revisar si en los acuerdos sobre los servicios de la red se Revisión de documentos. Documento de acuerdo o de
identificaron e incluyeron las características de seguridad, los definición de los niveles de
niveles de servicio y los requisitos de gestión de todos los servicio.
servicios de la red, sin importar si los servicios se prestan en la
organización o se hayan contratado externamente.
Revisar si las disposiciones de seguridad necesarias para Revisión de documentos. Documentos con la situación
servicios particulares, tales como las características de actual de la red de datos de la
seguridad, los niveles de servicio y los requisitos de gestión han organización.
sido identificadas. Documento con las políticas
de seguridad de la red.
Documento con las amenazas
identificadas y las medidas de
protección.
Documento de acuerdo o de
definición de los niveles de
servicio.
Verificar si los directores de la red implementan controles que Revisión de documentos. Documento con las políticas
garanticen la seguridad de la información sobre las redes y la Entrevistas. de seguridad de la red.
protección de los servicios conectados contra el acceso no Manual de funciones del
autorizado. personal autorizado para la
administración de la red.
Revisar si existen algunas pautas establecidas para controlar Revisión de documentos. Política de seguridad del uso
eficazmente los negocios y los riesgos de seguridad asociados de correo electrónico.
a los sistemas electrónicos de oficina.
Revisar si existen controles establecidos para proteger la Revisión de documentos. Documentos con la
integridad de la información a disposición del público de configuración de seguridad de
cualquier acceso no autorizado para evitar la modificación no la red
autorizada.
Revisar si existe un proceso formal de aprobación previo a que Revisión de documentos. Documento con el
la información esté disponible al público. procedimiento y las
condiciones de aceptación
antes de que la información
sea puesta al público.
Proceso: CUMPLIMIENTO DE LAS POLÍTICAS Y LAS NORMAS DE SEGURIDAD Y CUMPLIMIENTO TÉCNICO - Previo
Revisar si se registran los resultados de las revisiones y las Revisión de documentos. Documento con las revisiones
acciones correctivas llevadas a cabo por los directores. y acciones correctivas del
cumplimiento de las políticas,
cumplimiento técnico y normas
de seguridad.
Actas, ó informes de
evaluaciones periódicas.
Proceso: CUMPLIMIENTO DE LAS POLÍTICAS Y LAS NORMAS DE SEGURIDAD Y CUMPLIMIENTO TÉCNICO - Sitio
Verificar que es considerado dentro de todas las áreas de la Revisión de documentos. Actas, ó informes de
organización una revisión periódica para asegurar el Entrevistas. evaluaciones periódicas.
cumplimiento de las políticas de seguridad, estándares y
procedimientos.
Verificar que la comprobación de la conformidad técnica se lleva Revisión de documentos. Contratos de auditorías con
a cabo por, o bajo la supervisión de personas competentes y Entrevistas. perfiles de los expertos.
autorizadas.
Verificar que los sistemas de información son controlados Revisión de documentos. Actas, ó informes de
regularmente para cumplir con la implementación de los Entrevistas. evaluaciones periódicas.
estándares de seguridad.
Modelado
Actividades previas: 43
Actividades en sitio: 41
Cumplimiento (28):
Actividades previas: 15
Actividades en sitio: 13
Cabe resaltar que el proceso de auditoría se dividió en 2 momentos, una etapa previa para la
recolección y análisis de la información relevante sobre los procesos de la organización, y
la auditoría en sitio para inspeccionar que todo lo que estaba en la documentación si estaba
siendo cumplido.
Sistematización
Son las interfaces que serán visualizadas en una aplicación por el usuario final en la interfaz
web de Bizagi.
Para este proceso se definieron 3 formas, una para la verificación y/o revisión de
actividades, una forma para la declaración de no conformidad y una forma de resumen.
Finalmente, para validar los procesos modelados, se consultaron expertos en el área con
conocimientos en la norma ISO 27001:2005 y ellos corroboraron que lo que estaba allí
plasmado si cumplía con su objetivo. Una vez se obtuvo la aprobación por parte de estos, se
hizo una auditoria en una empresa colaboradora donde se utilizó la herramienta
sistematizada, en donde se obtuvieron hallazgos importantes tanto para la empresa como
para el desarrollo de futuros proyectos que involucren el uso de la herramienta Bizagi.
REFERENCIAS
[4] http://help.bizagi.com/bpmsuite/es/index.html?modelo_de_datos.htm
[6] http://help.bizagi.com/bpmsuite/es/index.html?ruta_del_proceso.htm