Auditoría al

Desarrollo Curso Auditoría de Centro de Datos

de Sistemas

Clase 1: Auditoría al Desarrollo de

Sistemas

Carlos Lobos Medina

Consejo de
Auditoría
Interna
General de
Gobierno

1 de 35 Consejo de Auditoría Interna General de Gobierno

Auditoría al AGENDA
Desarrollo
de Sistemas
 Introducción al curso
 El entorno de TI
 Introducción a los Sistemas de Información
 Marcos de Referencia

Consejo de
Auditoría
Interna
General de
Gobierno

2 de 35
Auditoría al
Desarrollo
de Sistemas

INTRODUCCIÓN AL CURSO

Consejo de
Auditoría
Interna
General de
Gobierno

3 de 35
Auditoría al OBJETIVO
Desarrollo
de Sistemas
 Proporcionar al participante las competencias para
la realización de auditorías en la adquisición,
desarrollo y/o mantención de sistemas de
información.

Consejo de
Auditoría
Interna
General de
Gobierno

4 de 35
Auditoría al OBJETIVOS ESPECIFICOS
Desarrollo
de Sistemas
 Identificar las principales componentes de un sistemas
de información
 Caracterizar las diversas etapas de los procesos de
adquisición, desarrollo y/o mantención de sistemas de
información.
 Comprender e identificar los principales elementos de
control en las diversas etapas del proceso de
adquisición, desarrollo y/o mantención de sistemas de
información.
Consejo de
 Desarrollar auditorías en las diversas etapas del
Auditoría proceso de adquisición, desarrollo y/o mantención de
Interna
General de sistemas de información empleando modelos de
Gobierno
control de amplia aceptación como COBIT o ISO 27002.
 Diseñar planes y programas de auditoría en el contexto
5 de 35
del curso
Auditoría al ESTRUCTURA DEL CURSO
Desarrollo
de Sistemas
 Modalidad: Presencial

 Duración: 16 horas cronológicas presenciales

 Numero Sesiones: 8 sesiones de 2 horas c/u

 Horas adicionales de dedicación: 3 horas semanales

Consejo de
Auditoría
Interna
General de
Gobierno

6 de 35
Auditoría al ESTRUCTURA DEL CURSO
Desarrollo
de Sistemas
1. Introducción al ciclo de vida de sistemas
2. Gobierno de Tecnologías de Información (TI)
3. Análisis de Requerimientos
4. Externalización del Desarrollo de Sistemas
5. Desarrollo de Sistemas
6. Prueba y Aceptación de sistemas
7. Mantención de Sistemas
8. Auditoría al proceso de adquisición, desarrollo y
Consejo de
mantención de sistemas
Auditoría
Interna
General de
Gobierno

7 de 35
Auditoría al PRESENTACIÓN INDIVIDUAL
Desarrollo
de Sistemas
 Nombre

 Servicio Público

 Función

 ¿Que espero del curso?

Consejo de
Auditoría
Interna
General de
Gobierno

8 de 35
Auditoría al
Desarrollo
de Sistemas

El Entorno de TI

Consejo de
Auditoría
Interna
General de
Gobierno

9 de 35
Auditoría al El entorno de TI
Desarrollo
de Sistemas

Consejo de
Auditoría
Interna
General de
Gobierno

10 de 35
Auditoría al Sistema Operativo
Desarrollo
de Sistemas
Corresponde al grupo de aplicaciones que permiten
gestionar los recursos de una computadora o un grupo
de estas.

Los sistemas operativos de mayor utilización

corresponde a los de las familias Windows, Linux y Unix.

Todos las aplicaciones de negocio residen

eventualmente en algún sistema operativo que gestiona
su correcto funcionamiento, por tanto es necesario
Consejo de garantizar su adecuada protección
Auditoría
Interna
General de
Gobierno

11 de 35
Auditoría al Bases de Datos
Desarrollo
de Sistemas
Toda la información del negocio gestionada por
aplicaciones de diversa índole y nivel de criticidad
terminan por residir en una base de datos.

Los Sistemas de Gestión de Base de Datos (SGBD)

otorgan la capacidad de seleccionar, insertar, actualizar
o eliminar la información de los diversos procesos de
negocio que soporta, generalmente mediante
aplicaciones que facilitan su procesamiento.

Consejo de
Auditoría
Interna
General de
Gobierno

12 de 35
Auditoría al Aplicaciones
Desarrollo
de Sistemas
ERP Otros

Desarrollo de Software Sistemas Externos

Consejo de
Auditoría
Interna
General de
Gobierno

13 de 35
Auditoría al
Desarrollo
de Sistemas
¿Cual es el nivel de dependencia
que tiene mi servicios con los
sistemas de información?

¿Son dependientes son los servicios

claves de los sistemas de
Consejo de
información?
Auditoría
Interna
General de
Gobierno

14 de 35
Auditoría al
Desarrollo
de Sistemas

Ciclo de Vida de Desarrollo de

Sistemas

Consejo de
Auditoría
Interna
General de
Gobierno

15 de 35
Auditoría al Ciclo de vida del desarrollo de sistemas
Desarrollo
de Sistemas
​Usualmente las organizaciones utilizan significativos
recursos para el desarrollo, adquisición y mantención
de sistemas de aplicación que son críticos para el
funcionamiento efectivo de los procesos claves del
negocio.

Estos sistemas, a su vez, controlan a menudo activos de

información críticos y deben ser considerados un activo
que necesita ser administrado y controlado de manera
efectiva.
Consejo de
Auditoría
Interna
El ciclo de vida de desarrollo de software proporciona
General de el marco para una efectiva administración en el
Gobierno
desarrollo, adquisición y mantención de las aplicaciones
de negocio construidas y operación.
16 de 35
Auditoría al Ciclo de vida del desarrollo de sistemas
Desarrollo
de Sistemas
 El SDLC comienza cuando una aplicación es iniciada
como resultado de una o más de las situaciones que se
plantean:

Una nueva oportunidad que se relaciona con un

proceso de negocio nuevo o existente.
Un problema que se relaciona con un proceso
existente de negocio.
Una nueva oportunidad que permitirá a la
Consejo de
Auditoría
organización obtener ventajas de tecnología.
Interna
General de
Un problema con la tecnología existente.
Gobierno

17 de 35
Auditoría al Ciclo de vida del desarrollo de sistemas
Desarrollo
de Sistemas

Consejo de
Auditoría
Interna
General de
Gobierno

18 de 35
Auditoría al Gobierno de TI
Desarrollo
de Sistemas
Es el conjunto de responsabilidades y prácticas
ejercidas por el consejo y la dirección ejecutiva con el
objetivo de proporcionar dirección estratégica,
asegurar que los objetivos se alcanzan, que los riesgos
se gestionan adecuadamente y verificar que los activos
de la empresa se utilizan de una manera responsable.

Consejo de
Auditoría
Interna
General de
Gobierno

19 de 35 Cobit 4.1 – ISACA y ITGI

Auditoría al Un poco de Estadisticas
Desarrollo
de Sistemas

Consejo de
Auditoría
Interna
General de
Gobierno

20 de 35
Auditoría al El problema de los requerimientos
Desarrollo
de Sistemas

Consejo de
Auditoría
Interna
General de
Gobierno

21 de 35
Auditoría al El problema de los requerimientos
Desarrollo
de Sistemas

Consejo de
Auditoría
Interna Lo que realmente necesitaba el usuario
General de
Gobierno

22 de 35
Auditoría al Externalización de software
Desarrollo
de Sistemas

 ¿Por qué externalizar?

Consejo de  ¿Qué externalizar?
Auditoría
Interna  ¿Cuáles son los beneficios de externalizar?
General de
Gobierno
 ¿Cuáles son los riesgos de externalizar?

23 de 35
Auditoría al Desarrollo de Sistemas
Desarrollo
de Sistemas

Consejo de
Auditoría
Interna
General de
Gobierno

24 de 35
Auditoría al Pruebas de Sistemas
Desarrollo
de Sistemas

Consejo de
Auditoría
Interna
General de
Gobierno

25 de 35
Auditoría al Cambio de Paradigma
Desarrollo
de Sistemas
Tradicional Gestión de Servicios

Foco en Tecnología Foco en el Negocio

Administrar
Proveer Servicios
Infraestructura

Usuarios Clientes

Modalidad Bombero Prevención y Control

Consejo de
Auditoría
Reactivo Proactivo
Interna
General de
Gobierno Islas Integrado

26 de 35 Procesos Informales Estandarización

Auditoría al Procesos de ITIL
Desarrollo
de Sistemas
Define 26 procesos de gestión a lo largo del ciclo de vida
de servicios

Consejo de
Auditoría
Interna
General de
Gobierno

27 de 35
Auditoría al
Desarrollo
de Sistemas

Marcos de Referencia

Consejo de
Auditoría
Interna
General de
Gobierno

28 de 35
Auditoría al PMG SSI
Desarrollo
de Sistemas

Consejo de
Auditoría
Interna
General de
Gobierno Presentación PMG SISTEMA DE SEGURIDAD DE LA INFORMACION – DIPRES – Mayo 2010

29 de 35
Auditoría al ISO 27002:2005
Desarrollo
de Sistemas

Consejo de
Auditoría
Interna
General de
Gobierno

30 de 35
Auditoría al ISO 27002:2013 – DOMINIOS DE SEGURIDAD
Desarrollo
de Sistemas
Política de seguridad de la Información
Organización de la seguridad de la información
Seguridad de recursos humanos
Administración de activos
Control de accesos
Criptografía
Seguridad física y ambiental
Seguridad de operaciones
Seguridad de comunicaciones
Consejo de Adquisición, desarrollo y mantención de sistemas
Auditoría
Interna Relaciones con proveedores
General de
Gobierno Administración de incidentes de seguridad
Continuidad de la seguridad de la información
31 de 35 Cumplimiento
Auditoría al COBIT 4.1
Desarrollo
de Sistemas
 COBIT es un acrónimo de Objetivos
de Control para Tecnología de
Información y Tecnologías
Relacionadas

 Se desarrollo es propiedad de
ISACA, siendo la última versión la 5.0
(2013)

Consejo de
 Puede ser clasificado como un
Auditoría estándar de buenas prácticas
Interna
General de aceptadas internacionalmente para
Gobierno
la gobernabilidad el control y
aseguramiento de TI.
32 de 35
Auditoría al COBIT 5.0
Desarrollo
de Sistemas

REEMPLAZA EL 2012 A COBIT 4.1

FOCO EN EL GOBIERNO DE TECNOLOGÍAS DE INFORMACIÓN

RECOGE BUENAS PRACTICAS DE DIVERSOS MARCOS

DEFINE 5 PRINCIPIOS

ESTABLECE 7 CATALIZADORES

Consejo de
Auditoría
PROPORCIONA 37 PROCESOS CATALIZADORES
Interna
General de
Gobierno PROPORCIONA UNA FAMILIA DE PRODUCTOS

33 de 35
Auditoría al COBIT 5.0
Desarrollo
de Sistemas

Consejo de
Auditoría
Interna
General de
Gobierno

34 de 35
Auditoría al ITIL
Desarrollo
de Sistemas
 ITIL es un acrónimo de Information Technology
Infrastructure Library (Biblioteca de
Infraestructura de Tecnologías de Información)

 Es propiedad de Office of Government

Commerce (‘Oficina de comercio
gubernamental’, OGC), que es una división del
Ministerio de Hacienda del Reino Unido.

 Es un marco de buenas prácticas destinadas a

facilitar la entrega de servicios de tecnologías de
Consejo de la información (TI).
Auditoría
Interna
General de  ITIL resume un extenso conjunto de
Gobierno procedimientos de gestión ideados para ayudar a
las organizaciones a lograr calidad y eficiencia en
35 de 35
las operaciones de TI.
Auditoría al COBIT 4.1 – ITIL – ISO 27002
Desarrollo
de Sistemas

Consejo de
Auditoría
Interna
General de
Gobierno

36 de 35
Auditoría al
Desarrollo
de Sistemas
Carlos Lobos Medina
Lead Auditor ISO 27001
Lead Auditor BS 25999
CISA –CISM –ITILf –CCSA

carlos.lobos@gmail.com

Consejo de
Auditoría
Interna
General de
Gobierno

37 de 35