Evaluació n Á reas Críticas

de la Gerencia de
Infotecnología de
Plan de auditoría
Héctor Berríos
OBJETIVO

Realizar una auditoría, evaluar la incorporación de estas normas por primera vez en el
nivel de cumplimiento de la institución fiscal y aduanera en relación al estándar ISO 27002
y realizar pruebas de vulnerabilidades para validar el nivel de seguridad de las plataformas
tecnológicas para garantizar los que sistemas de información sean seguros.

ALCANCE

El campo de acción a evaluar en la gerencia tecnológica de la institución fiscal y aduanera

comprende las áreas de Recursos Humanos, Infraestructura y redes de comunicaciones,
Base de Datos y desarrollo de aplicaciones/ control de calidad y soporte técnico.

El alcance comprende los siguientes puntos:

1. Evaluación de la gerencia de tecnología

a. Organización
b. Funciones
c. Estructura
d. Recursos Humanos
e. Normas y políticas
f. Capacitaciones
g. Planes de trabajos
h. Controles

2. Evaluación Infraestructura y redes

a. Normas y políticas de Directorio activo
b. Protección y control de usuarios en la red de datos
c. Gestión de la RED, equipos y conectividad
d. Procedimientos para garantizar inviolabilidad de la información
e. Revisión costos de enlaces y eficiencia
f. Rendimientos enlaces de comunicación
g. Capacidad Infraestructura Tecnológica
h. Control de licenciamientos
i. Contingencia enlaces y equipos de comunicación

3. Evaluación Base de datos, Aplicaciones y control de calidad

a. Protección y control de acceso a las bases de datos
b. Calidad de los procesos de actualización e integridad de datos
c. Plan de desarrollo de las aplicaciones
d. Idoneidad del sistema de control del accesos de las aplicaciones
e. Grado de fiabilidad de la información
 f. Políticas de bitácoras, logs y tablas de auditorias
g. Procedimiento control de calidad desarrollo de aplicaciones
h. Procedimiento implantación de los sistemas de información
i. Metodología control de versionamiento código fuente
j. Riesgos

4. Evaluación soporte técnico:

a. Métrica para definir costos de soporte y mantenimientos
b. Planes de capacitación a usuarios
c. Tiempos de atención y resolución de problemas
d. Mantenimiento preventivo y correctivo equipos de ofimática

METODOLOGIA

La metodología de la investigación está orientada a la recopilación y evaluación de

evidencias para determinar la salvaguarda de los activos de los sistemas de información y
la manera que se mantiene la integridad de los datos alineados con los planes
estratégicos de la institución.

Las técnicas a utilizar va desde la entrevista con los especialistas y técnicos informáticos,
observación, análisis de datos, verificación de transacciones, análisis de documentación
tomando como guía el cuadro de áreas críticas a evaluar que se describen en este
documento.
 Áreas Críticas a Evaluar
Áreas Evaluar
Organización, Verificar perfiles de puestos (funciones
administración y Recursos responsabilidades) competencias técnicas, procedimiento
Humanos de asignación carga de trabajos, procedimiento de
control y seguimiento de actividades, capacitaciones
recibidas, existencia de rotación de personal, identificar
puestos nominales y funcionales, flexibilidad estructura
organizacional.
Infraestructura y Redes Verificar políticas de seguridad del directorio activo,
enlaces de comunicación, activación logs equipos de
comunicación, zona desmilitarizada, control de VPNs,
seguridad redes inalámbricas, enlaces y configuraciones
usuarios externos (bancos, agencias aduaneras, aduanas
países CA4), control accesos remotos, inventario
computadoras institucional, Capacidades de servidores y
aplicaciones instaladas, capacidades equipos de
comunicaciones, topología de redes, consumo de
enlaces de comunicación e internet, calidad enlaces de
Requerimientos
y Solicitar
- Perfiles de puestos
- Procedimiento de cargas de trabajos
- Procedimiento de evaluación y seguimiento de
actividades
- Procedimiento evaluación de desempeño
- Entrevista aleatoria con personal técnico
- Listado de capacitaciones de acuerdo a los
perfiles de puestos
- Listado de personal por aéreas perfil y salarios
- Funciones por áreas técnicas
- Plan estratégico y operativo
- Políticas informáticas
- Formato asignación de códigos y claves a
usuarios de los diferentes sistemas y servicios.
- Contrato de empresa certificadora de puestos
- Proceso de selección de empresa certificadora
de puestos.
Solicitar:
- Generar listado de políticas de seguridad
aplicadas por perfiles de usuarios, unidades
administrativas en directorio activo
- Estructura del directorio activo (unidades
administrativas, etc)
- Listado nodos no incorporados al directorio
activo
- Reporte logs equipos de comunicación (routers)
- Diagrama zona desmilitarizada, políticas de
comunicación, identificar problemas actuales seguridad
infraestructura de redes y comunicaciones, inventario - Planes de contingencias
teléfonos ip, configuración telefonía IP, asignación de - Inventario de VPN
direcciones IPs, riesgos inherentes - Procedimiento creación y control de accesos de
VPNs
- Normativa de comunicaciones para servicios y
aplicaciones on-line.
- Reporte de accesos Dial up
- Políticas y normas sobre el uso de Sniffers y
traceadores
- Listado de redes inalámbricas y control de
accesos/ cargas por Access point y/o Routers
inalámbricos.
- Política de accesos remotos (escritorio remoto)
- Matriz inventario servidores – servicios y
aplicaciones
- Inventario hardware y software a nivel nacional
clasificados por localidades
- Listado usuarios de alta en proxy
- Inventario de licenciamientos/software libre
- Diagramas de redes locales y wan
- Reporte de caídas de enlaces por localidad,
tiempos fueras de servicios
- Métodos de encriptación utilizados en equipos
de comunicaciones
- Esquema telefonía IP, configuraciones e
inventarios de hardware IP.
- Reporte Segmentación y control de IPs
- Fuentes de financiamientos infraestructura
implementada
- Listado de problemas y soluciones a mediano
plazo
 - Metodología para definir el análisis de riesgos
Base de Datos y desarrollo Verificar procedimiento y control de accesos de usuarios Solicitar:
de software a las bases de datos tributarias y aduaneras, activación - Reporte de privilegios y roles de usuarios
de logs en los gestos de base de datos, revisión tablas de (acceso B/D)
auditoría,, trigers, procedimientos almacenados (Código - Reporte datos de logs activados
reutilizable), Integridad de datos, Verificar perfiles y roles - Listado de trigers (insert, update, delete)
de accesos a aplicaciones tributarias y aduaneras, - Reporte tablas de auditorias
Integridad código fuente y migración código objeto, - Procedimiento creación y baja de usuarios
procedimiento de migración de datos, verificar procesos (administración de usuarios)
de cargas de datos, framework sistema tributario y - Procedimiento de generación de llaves
sistema aduanero, carga de declaraciones electronicas al primarias en tablas transaccionales(control en
sistema tributario, trazabilidad de carga declaraciones gestor de B/D)
presentadas por banca electrónica, calidad de datos - Procedimiento migración de aplicaciones
método tradicional declaraciones tributarias, control ambiente desarrollo a producción
generación, acceso y extracción de información. - Procedimiento Carga de datos y migración de
datos
Los sistemas de información y servicios a evaluar: - Diagrama estructura Framework
1.) Sistema Tributario - Procedimiento carga declaraciones banca
2.) Sistema control de expedientes electrónica
3.) Sistema de recaudación vehicular - Procedimiento método tradicional
4.) Cargador de declaraciones declaraciones tributarias.
5.) Sistema método tradicional de declaraciones - Listado de problemas y soluciones a mediano
6.) Sistema de rentas Aduaneras plazo.
7.) Servicios transmisión Faucas - Fuentes de financiamiento adquisición de
8.) Transmisión tránsitos internos e internacionales Hardware y software
- Procedimiento y control de versionamiento de
código fuente
- Procedimiento implementación y seguimiento
de controles establecidos por control interno.
- Manuales y documentación de aplicaciones y
sistemas
- Métrica para medir costos y beneficios en la

Soporte técnico Determinar inventario equipos en mal estado,
requerimientos de repuestos y materiales, obsolescencia
de hardware, asignación y control de carga de trabajo
implantación de las aplicaciones o sistemas
Solicitar:
- Inventario equipos obsoletos
- Inventario equipos recuperables
- Inventario equipos para descargo
- Inventario equipos perdidos o sustracción de
partes
- Promedio semanal de equipos reparados por
técnico de hardware
- Promedio semanal de solicitudes atendidas por
técnico en software
- Problemas frecuentes de soporte a usuarios
- Plan de acción problemas más frecuentes para
reducir frecuencia de errores, fallas, etc.
- Plan de mantenimiento preventivo a nivel
nacional
Desarrollar el cronograma del plan de trabajo

De acuerdo a lo qu definan en el plan de trabajo deben de realizar el cronograma de dicho plan, recursos a
utilizar, responsables o participantes, etc.