Caso Practivo

UNIVERSIDAD TECNOLOGICA EQUINOCCIAL
ESCUELA DE CONTABILIDAD Y AUDITORIA

TESIS PREVIA A LA OBTENCION DEL TITULO DE MASTER EN
CONTABILIDAD Y AUDITORIA CONTADOR PUBLICO (CPA)

TEMA:

APLICACION DEL MODELO COBIT (Control Objectives For
Information and Related Technology) EN LA AUDITORIA DE
SISTEMAS. CASO PRACTICO

AUTOR:

DIEGO RAMON CEVALLOS AGUILAR

DIRECTOR DE TESIS:

M.F.E. MARICELA GALARZA M.

JUNIO 2003

AGRADECIMIENTO

Nada de lo que vale la pena hacer puede hacerse solo, sino que debe
hacerse en colaboracin con otros. Por ello deseo expresar mi profundo
agradecimiento al grupo de personas cuya orientacin y apoyo
resultaron imprescindibles para la realizacin de esta tesis.

De manera especial mi agradecimiento a la Seora Adriana Snchez,
Supervisora GTS, quien con su apoyo tcnico ha facilitado la ejecucin
del presente trabajo.

Tambin, un agradecimiento a la Universidad Tecnolgica Equinoccial y
de manera muy especial a Maricela Galarza Directora de Tesis, quien
orient mi trabajo y permiti lograr una coherencia a lo largo de cada
uno de los captulos.

Por ltimo, nuestro eterno agradecimiento a Dios, mis hijos y esposa
quienes siempre estuvieron junto a m para apoyarme y comprender en
todos los momentos.

i

DEDICATORIA

A mi padre quin durante este perodo de estudios enfrent una
situacin difcil, pero con la bendicin y Confianza en Dios nos
demostr valor y actitud para salir adelante.

Mi padre quien es el artfice de mi formacin y con quien
compartiremos todos los xitos.

DIEGO R. CEVALLOS A.
ii

CONTENIDO
CAPITULO 1 - AUDITORIA INFORMATICA
1.1. INTRODUCCION. 1
1.2. EL PROCESO DE LA AUDITORIA INFORMATICA...... 3
1.2.1. PLANIFICACION DE LA AUDITORIA INFORMATICA 4
1.2.2. EJECUCION DE LA AUDITORIA INFORMATICA. 5
1.2.3. FINALIZACION DE LA AUDITORIA INFORMATICA.. 5
1.3. CLASIFICACION DE LOS CONTROLES IT 7
1.3.1. CONTROLES DE APLICACION 7
1.3.2. CONTROLES GENERALES 8
CAPITULO 2 MODELO COBIT
2.1. INTRODUCCION 9
2.2. CONTENIDO (PRODUCTOS COBIT) 10
2.3. ALCANCE Y RESUMEN EJECUTIVO COBIT 11
2.4. MARCO REFERENCIAL 14
2.5. OBJETIVOS DE CONTROL 21
CAPITULO 3 CASO PRACTICO
3.1. LA EMPRESA SUJETO DE ESTUDIO 23
3.1.1. DESCRIPCION DE FUNCIONES DEL NIVEL DIRECTIVO. 25
3.1.2. ESTRUCTURA ORGANIZATIVA DEL AREA DE SISTEMAS 26
3.1.3. CARACTERISTICAS DE LOS SISTEMAS Y AMBIENTE
COMPUTARIZADO 28
3.2. APLICACION DEL MODELO COBIT... 31
3.2.1. JUSTIFICACION DE LA APLICACION DE COBIT 31
3.2.2. PLANIFICACION DEL TRABAJO (PROPUESTA).. 32
3.2.2.1. OBJETIVO... 32
3.2.2.2. ALCANCE... 32
3.2.2.3. METODO DE TRABAJO Y PROCEDIMIENTOS A EJECUTAR. 33
3.2.2.4. PRODUCTOS A ENTREGAR Y PRESUPUESTO 38
3.2.2.5. HERRAMIENTAS A UTILIZAR 38
3.3. EJECUCION DEL TRABAJO. 39
3.3.1. IDENTIFICACIN DE RIESGOS IT CRTICOS 39
iii

3.3.1.1. ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMAS. 40
3.3.1.1.1 ESTRUCTURA DE PERSONAL 40
3.3.1.1.2 EVALUACIN DE GESTIN... 40
3.3.1.1.3 ATENCIN AL USUARIO 41
3.3.1.2. GESTIN DE LOS SISTEMAS INFORMTICOS. 42
3.3.1.2.1 DESARROLLO, OPERACIN Y MANTENIMIENTO DE
APLICACIONES 42
3.3.1.2.2 ADMINISTRACIN DE LAS BASES DE DATOS (DBA). 43
3.3.1.2.3 GESTIN Y EXPLOTACIN DE LAS APLICACIONES.. 44
3.3.1.3. PLATAFORMAS Y COMUNICACIONES 45
3.3.1.3.1 PLATAFORMA TECNOLGICA, REDES Y
COMUNICACIONES. 45
3.3.1.4. EVALUACIN DE SEGURIDADES Y PROCEDIMIENTOS DE
CONTINUIDAD 46
3.3.1.4.1 SEGURIDADES: FSICAS, LGICAS Y DE
COMUNICACIONES.. 47
3.3.1.4.2 PLAN DE CONTINGENCIAS 49
3.3.2. CONFIRMACIN DE RIESGOS CRTICOS IT CON LA
ADMINISTRACIN.. 50
CAPITULO 4 INFORME Y RESULTADOS DEL CASO
PRACTICO
4.1.
4.2.
4.3.
4.4.
INTRODUCCION. 51
RESUMEN EJECUTIVO.. 53
DESCRIPCION DEL TRABAJO EFECTUADO. 54
RESULTADOS INFORME DE LAS RECOMENDACIONES ACORDADAS
CON LA ADMINISTRACION. 54
ANEXOS
iv

CAPITULO 1 AUDITORIA INFORMATICA

1.1. INTRODUCCION

Una de las caractersticas o principales rasgos de las sociedades avanzadas es el caudal
de informacin que se desprende. Para que dicha informacin, suponga una respuesta
adecuada, es decir, sea la correcta, es necesario que est adornada de ciertas garantas
que haga creer en ella, es necesario que una tercera persona, como es el auditor nos
garantice que se puede creer esa informacin.
A pesar de que la Auditora ha existido siempre, la auditoria, tal y como nosotros la
podemos entender data en torno a la revolucin industrial.
El concepto de auditora ha evolucionado en tres fases:
1) A principios de la revolucin industrial, no hay grandes transacciones, la misin del
auditor era buscar si se haba cometido fraude en ese negocio, estos negocios eran
pequeos.
2) Las empresas son ms grandes, se comienza a separar el capital y la propiedad del
negocio, es decir, la Administracin. El auditor sin dejar de hacer lo que realizaba
en la primera fase, tiene una nueva actividad que es la de verificar, certificar, la
informacin de esos administradores.
3) Aparecen nuevas tecnologas, ordenadores, etc. Las transacciones a lo largo del ao
son bastante voluminoso. Esto hace que el Auditor revise las cuentas, el sistema de
control interno de la empresa. Sigue revisando que la informacin contable refleja la
imagen fiel de la empresa conforme a lo acontecido y revisa adems el control del
sistema interno de la empresa.
Bajo estas consideraciones, existen diferente criterios para clasificar la auditora, sin
embargo, conceptos modernos permiten identificar globalmente los siguientes tipos de
auditora:
Auditora Financiera
Es el examen o verificacin de los estados contables, llevada a cabo por profesionales
competentes y mediante la aplicacin de procedimientos sujetos a normas de auditores
aceptadas, que se plasma en un documento que se llama informe de auditora y donde se
muestra la situacin financiera de la empresa, el resultado de sus operaciones, la
conformidad de los principios contables aceptados.
1

Auditoria Operativa
Es la valoracin independiente de todas las operaciones de una empresa, en forma
analtica objetiva y sistemtica, para determinar si se llevan a cabo. Polticas y
procedimientos aceptables; si se siguen las normas establecidas si se utilizan los
recursos de forma eficaz y econmica y si los objetivos de la Organizacin se han
alcanzado para as maximizar resultados que fortalezcan el desarrollo de la empresa.
Auditora de Gestin
La auditoria de gestin, es el examen sistemtico y profesional, efectuado por un equipo
multidisciplinario, con el propsito de evaluar la eficacia de la gestin de una entidad,
programa, proyecto u operacin, con relacin a sus objetivos y metas; de determinar el
grado de economa y eficiencia en el uso de los recursos disponibles; y, de medir la
calidad de los servicios, obras o bienes ofrecidos, y, el impacto socio-econmico
derivado de sus actividades.
Auditora Informtica
La auditora informtica consiste en la revisin de controles generales, centros de
cmputo y seguridad, recuperacin de desastres, revisin de sistemas operativos y de
controles en las aplicaciones, por medio de la ejecucin de procedimientos y tcnicas de
auditora de sistemas.
(Segn A.J.Thomas) Es el estudio de sistemas, controles organizativos y operativos de
la informtica.
(Segn Miguel ngel Ramn) Es la revisin de la informtica y su entorno
- Anlisis de riesgo
- Planes de contingencia
- Desarrollo de aplicaciones
- Paquetes de seguridad
- Revisin de estndares, controles y cumplimiento
- Evaluacin de la gestin de los recursos informticos
Con estos antecedentes y basados en el permanente desarrollo tecnolgico las
compaas han visto la necesidad de implantar sistemas de informacin que manejen y
automaticen las distintas actividades operativas, estructurando ambientes tecnolgicos
cada vez ms complejos. Aspectos como:
- Alta sistematizacin de las organizaciones
- Nuevas tecnologas
2

- Automatizacin de los controles
- Integracin de la Informacin
- Importancia de la informacin para la toma de decisiones
Exponen a las organizaciones a nuevos riesgos que deben ser adecuadamente
administrados. Esta situacin incrementa la necesidad de contar con personal
especializado en la identificacin, administracin y evaluacin de controles tendientes a
minimizar los riesgos a los cuales organizaciones con alto nivel de automatizacin y
complejas estructuras se exponen.
Por lo tanto, la participacin de especialistas o auditores informticos se hace cada vez
ms necesaria para:
- Apoyar en el cumplimiento de los objetivos y metas de la organizacin
- Colaborar en el cumplimiento de los procesos de planeacin, desarrollo,
mantenimiento y operacin de los sistemas procesados por computador.
- Evaluar la satisfaccin de los usuarios, las medidas de seguridad existente y la
exactitud y razonabilidad de los datos procesados.
Obtener mayor valor agregado del trabajo de auditora de sistemas requiere no
solamente entender la organizacin, sino los riesgos principales a los cuales se enfrenta
la gerencia, el ambiente IT
1
y las diversas necesidades de los usuarios. Estas
necesidades determinan el perfil del riesgo del rea IT y el enfoque estratgico,
organizacin, recursos y prcticas de un departamento de sistemas eficiente.
El resultado es una evaluacin de sistemas a medida y enfocada estratgicamente hacia
los riesgos y objetivos propios del Area de Sistemas.
El objetivo principal de este captulo es brindar una idea de los aspectos de control que
podr encontrar en los diversos sistemas electrnicos de procesamiento de datos
(EDP
2
)actualmente en uso. El desarrollo acelerado de la tecnologa de computacin y la
significativa expansin del uso de computadores para realizar tareas contables, ha
aumentado considerablemente la necesidad que se tiene de conocer en profundidad los
diversos sistemas de computacin comnmente en uso y los correspondientes
procedimientos de control.

1.2. EL PROCESO DE AUDITORIA INFORMATICA

1
IT: INFORMATION TECHNOLOGY Tecnologa de Informacin
3

Auditora informtica es (i)la revisin y la evaluacin de los controles, sistemas y
procedimientos de informtica; (ii) de los equipos de cmputo, su utilizacin, eficiencia
y seguridad, y (iii) de la organizacin que participan en el procesamiento de la
informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una
utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma
de decisiones.
La auditora informtica debe comprender no slo la evaluacin de los equipos de
cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar
los sistemas de informacin en general desde sus entradas, procedimientos, controles,
archivos, seguridad y obtencin de informacin.
La auditora informtica es de vital importancia para el buen desempeo de los sistemas
de informacin ya que proporciona los controles necesarios para que los sistemas sean
confiables y que tengan un buen nivel de seguridad.

1.2.1. PLANIFICACION DE LA AUDITORIA INFORMATICA
El auditor de sistemas de informacin deber planificar el trabajo de auditora de los
sistemas de informacin para satisfacer los objetivos de la auditora y para cumplir con
las normas aplicables de auditora profesional.
Para realizar una adecuada planeacin de la auditora informtica, es necesario seguir
una serie de pasos previos que permitirn dimensionar el tamao y caractersticas del
rea dentro del organismo a auditar, sus sistemas, organizacin y equipo.
En el caso de la auditora informtica, la planeacin es fundamental, pues habr que
hacerla desde el punto de vista de los dos objetivos:
Evaluacin de los sistemas y procedimientos.
Evaluacin de los equipos de cmputo.
Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin
general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es
preciso realizar una investigacin preliminar y algunas entrevistas previas, y con base
en la informacin obtenida planear el programa de trabajo, el cual deber incluir tiempo,
costo, personal necesario y documentos auxiliares a solicitar o formular durante el
desarrollo de la misma.

4

2
EDP: ELECTRONIC DATA PROCESSING - Se utilizar en adelante dicha sigla al hacerse referencia al "Procesamiento
Electrnico de Datos".

En todo proceso de auditora informtica tanto interna como externa, es necesario
iniciar con una planificacin preliminar cuyo objetivo principal es ayudar al proceso de
determinacin de la estrategia para cada ciclo auditable (en el caso de auditora externa)
y/o proporcionar informacin para la Evaluacin de Riesgo que permita determinar
el enfoque del trabajo (en el caso de auditora interna/consultora).
La planificacin preliminar permitir conocer:
- Nivel de Automatizacin de las organizaciones.
- Deficiencias en los controles sobre la funcin de IT.
- Indicios de problemas fundamentales en relacin con la calidad de la informacin
gerencial que podran cuestionar la confiabilidad de los controles.
- El impacto que tienen los cambios en los sistemas o en los ambientes
computadorizados.
- El grado de participacin de especialistas en sistemas.
- La evaluacin y clasificacin de los Riesgos IT (Alto, Medio, Bajo) que permitan
determinar el enfoque de trabajo en funcin de las reas de riesgo identificadas.

1.2.2. EJECUCION DE LA AUDITORIA INFORMATICA
Las fases o etapas a seguir durante la ejecucin de una auditora informtica estarn en
funcin del objetivo del proyecto, es decir, el mtodo de trabajo se lo definir acorde a
las expectativas y alcance que se esperan alcanzar.
En la etapa de ejecucin el personal de auditora de sistemas de informacin debe
recibir la supervisin apropiada para proporcionar la garanta de que se cumpla con los
objetivos de la auditora.
Durante el transcurso de una auditora, el auditor de sistemas de informacin deber
obtener evidencia suficiente, confiable, relevante y til para lograr de manera eficaz los
objetivos de la auditora. Los hallazgos y conclusiones de la auditora se debern apoyar
por medio de un anlisis e interpretacin apropiados de dicha evidencia.

1.2.3. FINALIZACION DE LA AUDITORIA INFORMATICA
Los informes a generar en un proyecto de auditora informtica dependern de las
necesidades y resultados esperados, es decir, los proyectos de consultora basados en la
ejecucin de procedimientos de auditora informticas generan los resultados (informes)
con la estructura acordada previamente con los usuarios de los informes.
5

El proceso de emisin de informes en un trabajo de Auditora Informtica puede ser
analizado bajo los siguientes estndares:

AICPA (Instituto Americano de Contadores Pblicos Certificados)
Los estndares profesionales del AICPA hacen referencia la norma CS 100 (Consulting
Services Servicios de Consultora) aplicables para contadores en la cual se especifica
la naturaleza del informe a emitir en este tipo de servicios:
CS Seccin 100
.02 Los servicios de consultora se diferencian fundamentalmente de las funciones
del CPA por atestiguar (attest) de las aserciones de terceros. En un servicio
attest, se expresa una conclusin relacionada a la confiabilidad de una
asercin realizada bajo la responsabilidad de otro grupo. En un servicio de
consultora, el practicante informa los hallazgos, conclusiones y
recomendaciones presentadas. La naturaleza y el alcance del trabajo es
determinado solamente por un acuerdo entre el practicante y el cliente.
Generalmente, el trabajo es realizado nicamente para uso y beneficio del
cliente.

ISACA (Asociacin de Auditora y Control de Sistemas de Informacin)
Los normas promulgadas por la Asociacin de Auditora y Control de Sistemas de
Informacin son aplicables al trabajo de auditora informtica realizado por miembros
ISACA y por las personas que han recibido la designacin de Auditor de Sistemas de
Informacin Certificado (CISA).
Con relacin al informe a emitir la Asociacin menciona:
070 Informes
En el momento de completar el trabajo de auditora, el auditor de sistemas de
informacin deber proporcionar un informe, de formato apropiado, a los
destinatarios en cuestin. El informe de auditora deber enunciar el alcance,
los objetivos, el perodo de cobertura y la naturaleza y amplitud del trabajo de
auditora realizado. El informe deber identificar la organizacin, los
destinatarios en cuestin y cualquier restriccin con respecto a su circulacin.
El informe deber enunciar los hallazgos, las conclusiones y las
recomendaciones, y cualquier reserva o consideracin que tuviera el auditor
6

respecto a la auditora.

1.3. CLASIFICACION DE LOS CONTROLES IT

Los controles IT se dividen en dos categoras: los que se refieren a un sistema especfico
(Controles de Aplicacin), y los que se relacionan con el procesamiento general de
datos (Controles Generales).

1.3.1. CONTROLES DE APLICACION
Los controles de aplicacin son procedimientos diseados para asegurar la integridad de
los registros contables. Los controles de aplicacin brindan soporte directamente a los
objetivos de control de integridad, valor correcto, validez y acceso restringido, como se
define ms adelante:

Integridad de los registros Los controles sobre la integridad se disean para asegurar
que:
Todas las transacciones son registradas, introducidas y aceptadas para
procesamiento solo por una vez.
Todas las transacciones introducidas y aceptadas para procesamiento son
actualizadas con los archivos de datos apropiados.
Una vez que los datos son actualizados contra el archivo, estos permanecen
correctos y corrientes en el archivo, y representan los balances que existen.
Valor correcto de los registros Los controles sobre el valor correcto son diseados
para asegurar que:
Los elementos de datos claves son registrados e introducidos al computador con el
valor correcto.
Los cambios a los datos existentes son introducidos con el valor correcto.
Todas las transacciones introducidas y aceptadas para procesamiento actualizan con
precisin el archivo de datos apropiado.
Validez de los registros Los controles sobre la validez de los registros son diseados
para asegurar que:
Las transacciones son autorizadas.
7

Las transacciones no son ficticias y estn relacionadas con el cliente.
Los cambios a los datos existentes son autorizados, y una vez introducidos, no son
cambiados sin autorizacin.
Acceso restringido a los activos y registros Los controles para restringir al acceso
son diseados para:
Proteger contra enmiendas de datos no autorizadas.
Asegurar la confidencialidad de los datos.
Proteger los activos fsicos tales como el efectivo y el inventario.
Los controles de aplicacin pueden ser procedimientos manuales llevados a cabo por los
usuarios de procedimientos automatizados desarrollados por los programas de
computacin.

1.3.2. CONTROLES GENERALES
Los Controles Generales son Controles diseados e implantados para asegurar que el
ambiente computadorizado de la organizacin sea estable y adecuadamente
administrado a fin de reforzar la efectividad de los controles de aplicacin.
Los controles generales (a veces denominados tambin controles de la organizacin IT)
fueron agrupados en las siguientes categoras:
Controles sobre la Seguridad de la Informacin
Controles sobre la operacin del Computador
Controles sobre las Actividades de Mantenimiento de Sistemas
Controles sobre el desarrollo e implementacin de nuevos sistemas

8

CAPITULO 2 MODELO COBIT

2.1. INTRODUCCION - MODELO COBIT

La Misin de COBIT: Investigar, desarrollar, publicar y promover un conjunto de
objetivos de control en tecnologa de informacin con autoridad, actualizados, de
carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de
empresas y auditores.
COBIT ha sido desarrollado como un estndar generalmente aplicable y aceptado para
las buenas prcticas de seguridad y control en Tecnologa de Informacin (IT). -
COBIT es la herramienta innovadora para el gobierno
3
de IT -.
COBIT se fundamenta en los Objetivos de Control existentes de la Information Systems
Audit and Control Foundation (ISACF), mejorados a partir de estndares
internacionales tcnicos, profesionales, regulatorios y especficos para la industria, tanto
existentes como en surgimiento. Los Objetivos de Control resultantes han sido
desarrollados para su aplicacin en sistemas de informacin en toda la empresa. El
trmino "generalmente aplicables y aceptados" es utilizado explcitamente en el
mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o
GAAP por sus siglas en ingls). Para propsitos del proyecto, "buenas prcticas"
significa consenso por parte de los expertos.
Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y
responder, en la medida de lo posible, a las necesidades de negocio, manteniendo al
mismo tiempo una independencia con respecto a las plataformas tcnicas de IT
adoptadas en una organizacin. El proporcionar indicadores de desempeo (normas,
reglas, etc.), ha sido identificado como prioridad para las mejoras futuras que se
realizarn al marco referencial.
El desarrollo de COBIT ha trado como resultado la publicacin del Marco Referencial
general y de los Objetivos de Control detallados, y le seguirn actividades educativas.
Estas actividades asegurarn el uso general de los resultados del Proyecto de
Investigacin COBIT.
Sin excluir ningn otro estndar aceptado en el campo del control de sistemas de

9

3
Gobierno: Governance. Sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.
Trmino aplicado para definir un control total.

informacin que pudiera emitirse durante el permanente desarrollo, las fuentes para el
desarrollo del Modelo COBIT han sido identificadas inicialmente como:
Estndares Tcnicos de ISO, EDIFACT, etc.;
Cdigos de Conducta emitidos por el Council of Europe, OECD, ISACA, etc.;
Criterios de Calificacin para sistemas y procesos de IT: ITSEC, ISO9000, SPICE,
lickIT, etc.;
Estndares Profesionales para control interno y auditora: reporte COSO, GAO,
IFAC, IIA, ISACA, estndares CPA, etc.;
Prcticas y requerimientos de la Industria de foros industriales (ESF, 14) y
plataformas patrocinadas por el gobierno (IBAG, NIST, DTI); y
Nuevos requerimientos especficos de la industria de la banca y manufactura de IT.
(Ver Anexo 1 Glosario de Trminos para definiciones de siglas)

2.2. CONTENIDO (PRODUCTOS COBIT)

El desarrollo de COBIT ha resultado en la publicacin de:
un Resumen Ejecutivo el cual, adicionalmente a esta seccin de antecedentes,
consiste en un Sntesis Ejecutiva (que proporciona a la alta gerencia entendimiento y
conciencia sobre los conceptos clave y principios de COBIT) y el Marco Referencial (el
cual proporciona a la alta gerencia un entendimiento ms detallado de los conceptos
clave y principios de COBIT e identifica los cuatro dominios de COBIT y los
correspondientes 34 procesos de IT);
el Marco Referencial que describe en detalle los 34 objetivos de control de alto
nivel e identifica los requerimientos de negocio para la informacin y los recursos de IT
que son impactados en forma primaria por cada objetivo de control;
Objetivos de Control, los cuales contienen declaraciones de los resultados deseados
o propsitos a ser alcanzados mediante la implementacin de 302 objetivos de control
detallados y especficos a travs de los 34 procesos de IT;
Guas de Auditora, las cuales contienen los pasos de auditora correspondientes a
cada uno de los 34 objetivos de control de IT de alto nivel para proporcionar asistencia
a los auditores de sistemas en la revisin de los procesos de IT con respecto a los 302
objetivos detallados de control recomendados para proporcionar a la gerencia certeza o
10

recomendaciones de mejoramiento;
un Conjunto de Herramientas de Implementacin, el cual proporciona lecciones
aprendidas por organizaciones que han aplicado COBIT rpida y exitosamente en sus
ambientes de trabajo.
El Conjunto de Herramientas de Implementacin incluye la Sntesis Ejecutiva,
proporcionando a la alta gerencia conciencia y entendimiento de COBIT. Tambin
incluye una gua de implementacin con dos tiles herramientas - Diagnstico de la
Conciencia de la Gerencia
4
y el Diagnstico de Control de TI
5
- para proporcionar
asistencia en el anlisis del ambiente de control en IT de una organizacin. Tambin se
incluyen varios casos de estudio que detallan como organizaciones en todo el mundo
han implementado COBIT exitosamente. Adicionalmente, se incluyen respuestas a las
25 preguntas ms frecuentes acerca de COBIT y varias presentaciones para distintos
niveles jerrquicos y audiencias dentro de las organizaciones.

2.3. ALCANCE Y RESUMEN EJECUTIVO
6
COBIT

COBIT evolucionar a travs de los aos y ser el fundamento de investigaciones
futuras. Por lo tanto, se generar una familia de productos COBIT y al ocurrir esto, las
tareas y actividades que sirven como la estructura para organizar los Objetivos de
Control de IT, sern refinadas posteriormente, tambin ser revisado el balance entre los
dominios y los procesos a la luz de los cambios en la industria.
Las investigaciones y publicaciones han sido posible gracias a contribuciones de
Unysis, Unitech Systems, Inc., MIS Training Institute, Zergo, Ltd. y Coopers &
Lybrand. El Forum Europeo de Seguridad (European Security Forum -ESF-)

4
Diagnstico de la Conciencia de la Gerencia: Management Awareness Diagnostic
5
Diagnstico de Control de IT: IT Control Diagnostic

6
Acuerdo de Licencia (disclosure)
Copyright 1996, 1998 de la Information Systems Audit and Control Foundation (ISACF). La reproduccin para fines comerciales
no est permitida sin el previo consentimiento por escrito de la ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el
Marco Referencial y los Objetivos de Control para uso interno no comercial, incluyendo almacenamiento en medios de recuperacin
de datos y transmisin en cualquier medio, incluyendo electrnico, mecnico, grabado u otro medio. Todas las copias del Resumen
Ejecutivo, el Marco Referencial y los Objetivos de Control deben incluir el siguiente reconocimiento y leyenda de derechos de
autor:
Copyright 1996, 1998 Information Systems Audit and Control Foundation, reimpreso con la autorizacin de la Information
Systems Audit and Control Foundation. Ningn otro derecho o permiso relacionado con esta obra es otorgado.
Las Guas de Auditora y el conjunto de herramientas de implementacin no pueden ser reproducidos, almacenados en un sistema de
recuperacin de datos o transmitido en ninguna forma ni por ningn medio - electrnico, mecnico, fotocopiado, grabado u otro
medio- sin la previa autorizacin por escrito de la ISACF.
Excepto por lo indicado, no se otorga ningn otro derecho o permiso relacionado con esta obra.
11

amablemente puso a disposicin material para el proyecto. Otras donaciones fueron
recibidas de captulos miembros de ISACA de todo el mundo.

RESUMEN EJECUTIVO
Un elemento crtico para el xito y la supervivencia de las organizaciones, es la
administracin efectiva de la informacin y de la Tecnologa de Informacin (IT)
relacionada. En esta sociedad global (donde la informacin viaja a travs del
"ciberespacio" sin las restricciones de tiempo, distancia y velocidad) esta criticalidad
emerge de:
la creciente dependencia en informacin y en los sistemas que proporcionan dicha
informacin.
la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las "ciber
amenazas" y la guerra de informacin
7

la escala y el costo de las inversiones actuales y futuras en informacin y en
tecnologa de informacin;
el potencial que tienen las tecnologas para cambiar radicalmente las organizaciones
y las prcticas de negocio, crear nuevas oportunidades y reducir costos.
Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan
los activos ms valiosos de la empresa.
Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la gerencia
ha incrementado sus expectativas relacionadas con la entrega de servicios de IT.
Verdaderamente, la informacin y los sistemas de informacin son "penetrantes" en las
organizaciones (desde la plataforma del usuario hasta las redes locales o amplias, cliente
servidor y equipos Mainframe. Por lo tanto, la administracin requiere niveles de
servicio que presenten incrementos en calidad, en funcionalidad y en facilidad de uso,
as como un mejoramiento continuo y una disminucin de los tiempos de entrega) al
tiempo que demanda que esto se realice a un costo ms bajo. Muchas organizaciones
reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las
organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos
asociados con la implementacin de nueva tecnologa. Por lo tanto, la administracin
debe tener una apreciacin por, y un entendimiento bsico de los riesgos y limitantes del

12

7
Guerra de informacin: Information warfare

empleo de la tecnologa de informacin para proporcionar una direccin efectiva y
controles adecuados. COBIT ayuda a salvar las brechas existentes entre riesgos de
negocio, necesidades de control y aspectos tcnicos. Proporciona "prcticas sanas" a
travs de un Marco Referencial de dominios y procesos y presenta actividades en una
estructura manejable y lgica. Las prcticas sanas de COBIT representan el consenso
de los expertos (le ayudarn a optimizar la inversin en informacin, pero an ms
importante, representan aquello sobre lo que usted ser juzgado si las cosas salen mal.
Las organizaciones deben cumplir con requerimientos de calidad, de reportes fiduciarios
y de seguridad, tanto para su informacin, como para sus activos. La administracin
deber obtener un balance adecuado en el empleo de sus recursos disponibles, los cuales
incluyen: personal, instalaciones, tecnologa, sistemas de aplicacin y datos. Para
cumplir con esta responsabilidad, as como para alcanzar sus expectativas, la
administracin deber establecer un sistema adecuado de control interno. Por lo tanto,
este sistema o marco referencial deber existir para proporcionar soporte a los procesos
de negocio y debe ser preciso en la forma en la que cada actividad individual de control
satisface los requerimientos de informacin y puede impactar a los recursos de IT. El
impacto en los recursos de IT es enfatizado en el Marco Referencial de COBIT
conjuntamente a los requerimientos de informacin del negocio que deben ser
alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad,
cumplimiento y confiabilidad. El control, que incluye polticas, estructuras, prcticas y
procedimientos organizacionales, es responsabilidad de la administracin.
Un Objetivo de Control en IT es una definicin del resultado o propsito que se
desea alcanzar implementando procedimientos de control especficos dentro de
una actividad de IT.
La orientacin a negocios es el tema principal de COBIT. Esta diseado no solo para ser
utilizado por usuarios y auditores, sino que en forma ms importante, esta diseado para
ser utilizado como una lista de verificacin
8
detallada para los propietarios de los
procesos de negocio.
COBIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha
existente entre los requerimientos de control, aspectos tcnicos y riesgos de negocio.
COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de IT
a travs de organizaciones, en el mbito mundial. El objetivo de COBIT es proporcionar

13

8
Lista de verificacin: Check List

estos objetivos de control, dentro del marco referencial definido, y obtener la
aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en
todo el mundo.
Por lo tanto, COBIT esta orientado a ser la herramienta de gobierno de IT que
ayude al entendimiento y a la administracin de riesgos asociados con tecnologa
de informacin y con tecnologas relacionadas.

2.4. MARCO REFERENCIAL

El Marco Referencial de COBIT proporciona herramientas al propietario de procesos de
negocio que facilitan el cumplimiento de esta responsabilidad. El Marco Referencial
comienza con una premisa simple y prctica:
Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus
objetivos, los recursos de IT deben ser administrados por un conjunto de procesos de
IT agrupados en forma natural.
Contina con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno
de los Procesos de IT, agrupados en cuatro dominios: planeacin & organizacin,
adquisicin & implementacin, entrega (de servicio) y monitoreo. Esta estructura cubre
todos los aspectos de informacin y de la tecnologa que la soporta. Dirigiendo estos 34
Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar
que se proporciona un sistema de control adecuado para el ambiente de tecnologa de
informacin. Adicionalmente, correspondiendo a cada uno de los 34 objetivos de
control de alto nivel, existe una gua de auditora o de aseguramiento que permite la
revisin de los procesos de IT contra los 302 objetivos detallados de control
recomendados por COBIT para proporcionar a la Gerencia la certeza de su
cumplimiento y/o una recomendacin para su mejora.
El Marco Referencial COBIT otorga especial importancia al impacto sobre los recursos
de IT, as como a los requerimientos de negocios en cuanto a efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad que deben
ser satisfechos. Adems, el Marco Referencial proporciona definiciones para los
requerimientos de negocio que son derivados de objetivos de control superiores en lo
referente a calidad, seguridad y reportes fiduciarios en tanto se relacionen con
Tecnologa de Informacin.
14

La administracin de una empresa requiere de prcticas generalmente aplicables y
aceptadas de control y gobierno en IT para medir en forma comparativa tanto su
ambiente de IT existente, como su ambiente planeado.
El desarrollo de este Marco Referencial de objetivos de control para IT, conjuntamente
con una investigacin continua aplicada a controles de IT constituyen el fundamento
para el progreso efectivo en el campo de los controles de sistemas de informacin.
Por otro lado, hemos sido testigos del desarrollo y publicacin de modelos de control
generales de negocios como COSO [Committee of Sponsoring Organisations of the
Treadway Commisssion Internal Control-Integrated Framework, 1992] en los EUA,
Cadbury en el Reino Unido y CoCo en Canad y King en Sudfrica. Por otro lado,
existe un nmero importante de modelos de control ms enfocados al nivel de
tecnologa de informacin. Algunos buenos ejemplos de esta ltima categora son el
Security Code of Conduct del DTI (Department of Trade and Industry, Reino Unido) y
el Security Handbook de NIST (National Institute of Standards and Technology, EUA).
Sin embargo, estos modelos de control con orientacin especfica no proporcionan un
modelo de control completo y utilizable sobre tecnologa de informacin como soporte
para los procesos de negocio. El propsito de COBIT es el cubrir este vaco
proporcionando una base que est estrechamente ligada a los objetivos de negocio, al
mismo tiempo que se enfoca a la tecnologa de informacin.

AUDIENCIA: ADMINISTRACION, USUARIOS & AUDITORES
COBIT esta diseado para ser utilizado por tres audiencias distintas:
Administracin: Para ayudarlos a lograr un balance entre los riesgos y las inversiones
en control en un ambiente de tecnologa de informacin frecuentemente impredecible.
Usuarios: Para obtener una garanta en cuanto a la seguridad y controles de los
servicios de tecnologa de informacin proporcionados internamente o por terceras
partes.
Auditores de sistemas de informacin: Para brindar soporte a las opiniones mostradas
a la administracin sobre los controles internos.
Adems de responder a las necesidades de la audiencia inmediata de la Alta Gerencia, a
los auditores y a los profesionales dedicados al control y seguridad, COBIT puede ser
utilizado dentro de las empresas por el propietario de procesos de negocio en su
responsabilidad de control sobre los aspectos de informacin del proceso, y por todos
15

aqullos responsables de IT en la empresa.

DEFINICIONES
Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La
definicin de "Control" est adaptada del reporte COSO [Committee of Sponsoring
Organisations of the Treadway Commission. Internal Control-Integrated Framework,
1992 y la definicin para "Objetivo de Control de IT" ha sido adaptada del reporte SAC
(Systems Auditability and Control Report). The Institute of Internal Auditors Research
Foundation, 1991 y 1994.

Control se
define como
Las polticas, procedimientos, prcticas y estructuras
organizacionales diseadas para garantizar
razonablemente que los objetivos del negocio sern
alcanzados y que eventos no deseables sern prevenidos
o detectados y corregidos
Objetivo de control
en IT se define como
Una definicin del resultado o propsito que se desea
alcanzar implementando procedimientos de control en
una actividad de IT particular

PRINCIPIOS DEL MARCO REFERENCIAL
Existen dos clases distintas de modelos de control disponibles actualmente, aqullos de
la clase del "modelo de control de negocios" (por ejemplo COSO) y los "modelos ms
enfocados a IT" (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los
dos. Debido a esto, COBIT se posiciona como una herramienta ms completa para la
Administracin y para operar a un nivel superior que los estndares de tecnologa para
la administracin de sistemas de informacin.
El concepto fundamental del marco referencial COBIT se refiere a que el enfoque del
control en IT se lleva a cabo visualizando la informacin necesaria para brindar soporte
a los procesos de negocio y considerando a la informacin como el resultado de la
aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que
deben ser administrados por procesos de IT.
16

La informacin que los procesos de negocio necesitan es proporcionada a travs del
empleo de recursos de IT. Con el fin de asegurar que los requerimientos de negocio para
la informacin son satisfechos, deben definirse, implementarse y monitorearse medidas
de control adecuadas para estos recursos.
Cmo pueden entonces las empresas estar satisfechas respecto a que la informacin
obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de un
sano marco referencial de Objetivos de Control para IT. El diagrama mostrado a
continuacin ilustra este concepto.

Los servicios de consultora se diferencian fundamentalmente de las funciones del CPA
por attesting (la emisin de una opinin) de las aserciones de otras grupos (terceros).
En un servicio de attest (emisin de opiniones), el practicante expresa una conclusin
relacionada a la confiabilidad de un escrito de asercin; el escrito es realizado bajo la
responsabilidad de otro grupo, el asertor. En un servicio de consultora, el practicante
desarrolla los hallazgos, conclusiones y recomendaciones presentadas. La naturaleza y
el alcance del trabajo es determinado solamente por un acuerdo entre el practicante y el
cliente. Generalmente, el trabajo es realizado nicamente para uso y beneficio del
cliente.
17

El marco referencial consta de Objetivos de Control de IT de alto nivel y de una
estructura general para su clasificacin y presentacin. La teora subyacente para la
clasificacin seleccionada se refiere a que existen, en esencia, tres niveles de actividades
de IT al considerar la administracin de sus recursos.
Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar
un resultado medible. Las actividades cuentan con un concepto de ciclo de vida,
mientras que las tareas son consideradas ms discretas. El concepto de ciclo de vida
cuenta tpicamente con requerimientos de control diferentes a los de actividades
discretas. Algunos ejemplos de esta categora son las actividades de desarrollo de
sistemas, administracin de la configuracin y manejo de cambios. La segunda
categora incluye tareas llevadas a cabo como soporte para la planeacin estratgica de
IT, evaluacin de riesgos, planeacin de la calidad, administracin de la capacidad y el
desempeo.
Los procesos se definen entonces en un nivel superior como una serie de actividades o
tareas conjuntas con "cortes" naturales (de control).
Al nivel ms alto, los procesos son agrupados de manera natural en dominios. Su
agrupamiento natural es confirmado frecuentemente como dominios de responsabilidad
en una estructura organizacional, y est en lnea con el ciclo administrativo o ciclo de
vida aplicable a los procesos de IT.

Por lo tanto, el marco referencial conceptual puede ser enfocado desde tres puntos
estratgicos: (1) recursos de IT, (2) requerimientos de negocio para la informacin y (3)
procesos de IT. Estos puntos de vista diferentes permiten al marco referencial ser
accedido eficientemente.
18

Por ejemplo, los gerentes de la empresa pueden interesarse en un enfoque de calidad,
seguridad o fiduciario (traducido por el marco referencial en siete requerimientos de
informacin especficos). Un Gerente de IT puede desear considerar recursos de IT por
los cuales es responsable. Propietarios de procesos, especialistas de IT y usuarios
pueden tener un inters en procesos particulares. Los auditores podrn desear enfocar el
marco referencial desde un punto de vista de cobertura de control. Estos tres puntos
estratgicos son descritos en el Cubo COBIT que se muestra a continuacin:

Con lo anterior como marco de referencia, los dominios son identificados utilizando las
palabras que la gerencia utilizara en las actividades cotidianas de la organizacin -y no
la jerga del auditor -. Por lo tanto, cuatro grandes dominios son identificados:
planeacin y organizacin, adquisicin e implementacin; entrega y soporte y
monitoreo.
Las definiciones para los dominios mencionados son las siguientes:

Planeacin y
Organizacin
Este dominio cubre la estrategia y las tcticas y se refiere a
la identificacin de la forma en que la tecnologa de
informacin puede contribuir de la mejor manera al logro de
los objetivos del negocio. Adems, la consecucin de la
visin estratgica necesita ser planeada, comunicada y
administrada desde diferentes perspectivas. Finalmente,
debern establecerse una organizacin y una infraestructura
tecnolgica apropiadas.
19

Adquisicin e
Implementacin
Para llevar a cabo la estrategia de IT, las soluciones de IT
deben ser identificadas, desarrolladas o adquiridas, as como
implementadas e integradas dentro del proceso del negocio.
Adems, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.

Entrega y
Soporte
En este dominio se hace referencia a la entrega de los
servicios requeridos, que abarca desde las operaciones
tradicionales hasta el entrenamiento, pasando por seguridad
y aspectos de continuidad. Con el fin de proveer servicios,
debern establecerse los procesos de soporte necesarios. Este
dominio incluye el procesamiento de los datos por sistemas
de aplicacin, frecuentemente clasificados como controles
de aplicacin

Monitoreo
Todos los procesos necesitan ser evaluados regularmente a
travs del tiempo para verificar su calidad y suficiencia en
cuanto a los requerimientos de control.

En resumen, los Recursos de IT necesitan ser administrados por un conjunto de
procesos agrupados en forma natural, con el fin de proporcionar la informacin que la
empresa necesita para alcanzar sus objetivos.
El siguiente diagrama ilustra este concepto:
(Vase pgina siguiente)

20

Debe tomarse en cuenta que estos procesos pueden ser aplicados a diferentes niveles
dentro de una organizacin. Por ejemplo, algunos de estos procesos sern aplicados al
nivel corporativo, otros al nivel de la funcin de servicios de informacin, otros al nivel
del propietario de los procesos de negocio.
Tambin debe ser tomado en cuenta que el criterio de efectividad de los procesos que
planean o entregan soluciones a los requerimientos de negocio, cubrirn algunas veces
los criterios de disponibilidad, integridad y confidencialidad. - en la prctica, se han
convertido en requerimientos del negocio. Por ejemplo, el proceso de "identificar
soluciones automatizadas" deber ser efectivo en el cumplimiento de requerimientos de
disponibilidad, integridad y confidencialidad.

2.5. OBJETIVOS DE CONTROL

COBIT como se presenta en los Objetivos de Control, refleja el compromiso continuo
21

de ISACF por mejorar y mantener el cuerpo comn de conocimientos requeridos para
apoyar la actividad de auditora y control de sistemas de informacin. As como el
marco de Referencia de COBIT se encuentra enfocado a controles de alto nivel para
cada proceso. Los Objetivos de Control se concentra en objetivos detallados de
control especficos, asociados con cada uno de los procesos de IT. Para cada uno de los
34 procesos de IT del Marco de Referencia, existen de tres a 30 Objetivos de Control
detallados. Los Objetivos de Control alinean el Marco de Referencia general con los
Objetivos de Control detallados a partir de 36 fuentes primarias que comprenden los
estndares internacionales de hecho y de derecho y las regulaciones relacionadas con
IT. Este contiene la relacin de los resultados o propsitos que desean alcanzarse a
travs de la implementacin de procedimientos de control especficos dentro de una
actividad de IT y, de esta manera, proporcionar una poltica clara y una mejor prctica
9
para el control de IT en toda la industria, en el mbito mundial.
Los Objetivos de Control estn dirigidos a la gerencia y al personal de los servicios de
informacin, controles, funciones de auditora y, lo ms importante, a los propietarios
de los procesos de negocios. Los Objetivos de Control proporcionan un documento de
trabajo de escritorio para estas personas. Se presentan definiciones precisas y claras de
un conjunto mnimo de controles para asegurar la eficacia, la eficiencia y la economa
en la utilizacin de recursos. Para cada proceso, se identifican Objetivos de Control
detallados como los controles mnimos que necesita encontrarse establecidos (aquellos
controles que cuya suficiencia ser evaluada por el profesional en control). Existen 302
objetivos de control detallados que proporcionan una visin detallada sobre las
relaciones dominio/proceso/objetivo de control.
Los objetivos de control permiten la traduccin de los conceptos presentados en el
marco de Referencia en controles especficos aplicados para cada proceso de IT, ver
Tabla Resumen en Anexo 2.

22

9
Mejor prctica (best practice)

CAPITULO 3 CASO PRACTICO

3.1. LA EMPRESA SUJETO DE ESTUDIO

La empresa RESULTSYS Consultora Profesional Ca Ltda. es una empresa privada que
ofrece servicios de tercerizacin de la gestin financiera contable en las reas de
Contabilidad, Nmina, Administracin de Inventarios, Tesorera, Facturacin,
Cobranzas, Administracin de Activos Fijos, Tasaciones y Valoraciones.
RESULTSYS Consultora Profesional Ca Ltda. constituida en 1978 tiene por objeto la
prestacin de servicios de asesoramiento y consultora administrativa y empresarial para
instituciones y empresas pblicas, semipblicas, mixtas y privadas.
RESULTSYS es una empresa que se ha comprometido a realizar cambios de alto
impacto para crear y mantener ventajas competitivas, tomando en cuenta que el entorno
actual y futuro de la industria ecuatoriana est direccionado por los factores:
competencia, globalizacin, polticas de cambio, rentabilidad del crecimiento y servicio
al cliente.
Es necesario entonces determinar con claridad su estructura, para tener los elementos
necesarios que permitan identificar el alcance de la auditora de sistemas.
La estructura orgnico funcional de RESULTSYS se puede observar en la siguiente
figura:


23

24

Soporte a Usuarios
Consultora
RESULTSY Consultora Profesional Ca. Ltda.
Estructura orgnico funcional
Marketing
Secretara
Contabilidad Digitacin
Consultora
Actualizado diciembre/2002
Secretara General Asesora Legal
Mantenimiento de
Equipo Electrnico
Administracin de
Bases de Datos
Administracin de
Redes
Desarrollo de
Talentos
Nmina
Tesorera
Finanzas
Aquisiciones y
servicios generales
Gerencia de Recursos
Humanos
Gerencia
Administrativ
a Financiera
Gerencia de
Soluciones
Tecnolgicas
Gerencia de
Activos Fijos/
Inventarios
Gerencia de
Outsourcing
Nmina
Gerencia de
Outsourcing
Contabilidad
Gerencia General
Presidencia
Junta General de
Accionistas

RESULTSYS tiene tres departamentos para los servicios de tercerizacin que ofrece,
stos son: Nmina, Contabilidad y Activos Fijos e Inventarios. Los departamentos de
apoyo a la gestin de servicio son: los departamentos Administrativo Financiero,
Soluciones de Tecnologa (Informtica), y Recursos Humanos, Secretara General,
Marketing y Asesora Legal.

Los servicios de tercerizacin que RESULTSYS ofrece son:
CONTABILIDAD.- Elaboracin de estados financieros bajo normas locales, US GAAP,
declaraciones tributarias, indicadores de gestin.
TESORERA, FACTURACIN, COBRANZAS.- Gestin de cobranzas, pagos, control de
cuentas bancarias, anlisis financiero, etc.
NMINA.- Manejo integral de la nmina del personal, declaracin de impuestos,
cumplimiento de obligaciones sociales, indicadores de gestin.
ADMINISTRACIN DE INVENTARIOS.- Mtodo de valuacin, implantacin de nuevos
sistemas, planificacin y control de inventarios.
ADMINISTRACIN DE ACTIVOS FIJOS.- Inventarios y conciliacin, mtodos de
valuacin, depreciaciones, implantacin de base de datos, manual de procedimientos.

3.1.1. DESCRIPCION DE FUNCIONES DEL NIVEL DIRECTIVO
Se considera importante hacer una descripcin general de las funciones de quienes
trabajan en la empresa especialmente en el nivel ejecutivo de los departamentos con
incidencia relevante en el desarrollo de la auditora de sistemas.
GERENTE GENERAL
Ejecutar las polticas, normas y procedimientos de la empresa.
Dirigir la marcha institucional, coordina y evala las actividades tcnicas y
administrativas de RESULTSYS.
Cumplir y hacer cumplir los reglamentos, estatutos y dems normas vigentes de la
empresa.
Analizar y aprobar los estados financieros de la empresa.
Aplicar reglamentos, manuales, procedimientos tcnicos y administrativo
financieros de la empresa.
Coordinar la ejecucin de los programas y/o proyectos, y evaluar su cumplimiento.
25

Determinar polticas sobre el desarrollo de la Empresa y la administracin de sus
recursos.
Dirigir la planificacin estratgica, tcnica, econmica, financiera y administrativa
de RESULTSYS.
Implementar polticas para el mejoramiento funcional de la empresa.
GERENTE DE OUTSOURCING
Vigilar el cumplimiento de los contratos.
Autoriza y fijar los precios de los proyectos.
Revisar y entregar los proyectos
Preparar y actualizar el presupuesto de los proyectos.
Cumplir y hace cumplir las polticas establecidas por la empresa y dems
actividades que le asigne el jefe inmediato superior.
Reportar sus actividades al gerente general y su principal objetivo es dirigir,
controlar, capacitar, y planificar para que la empresa obtenga los mximos
resultados.
GERENTE ADMINISTRATIVO FINANCIERO
Ejecutar la direccin y control de la administracin financiera de la empresa.
Dirigir la formulacin del presupuesto de gasto y participar en el control de su
aplicacin posterior.
Colaborar y supervisar la preparacin de reportes financieros de verificacin de
resultados reales y presupuestados.
Colaborar y supervisar la preparacin de reportes financieros de verificacin de
resultados reales y presupuestados.
Mantener constante correspondencia y comunicacin con bancos
Organizar, planificar y controlar el flujo de fondos
Revisar y aprobar la emisin anual de balances, en cumplimiento con los
requerimientos y regulaciones legales vigentes.
Elaborar reportes financieros locales y al exterior.

3.1.2. ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMAS
RESULTSYS cuenta con un departamento de sistemas, que forma parte de los equipos
de Administracin de Redes, Administracin de Bases de Datos, Soporte al usuario
26

final y Mantenimiento de equipo electrnico, cuyo principal objetivo es asesorar y
asistir tcnicamente en lo correspondiente al campo tecnolgico informtico, y tiene
asociados de negocios para reas como las de desarrollo y renta de equipos de
computacin.

ORGANIGRAMA ESTRUCTURAL GENERAL
GERENCIA DE SOLUCIONES TECNOLGICAS

Administrador de red Administrador
de Base de datos
Tcnico de Mantenimiento Soporte a Usuarios
Gerente de Soluciones
Tecnolgicas
Gerente General

El departamento de sistemas se le denomina GTS (Global Technology Solutions),
brinda soporte a oficinas ubicadas en las ciudades de Quito y Guayaquil, actualmente
est estructurado de la siguiente manera:
- Ral Arteaga (Gerente General)
- Adriana Snchez (Supervisora)
- Viviana Crdoba (Help Desk Quito)
- Lenin Robalino (Mantenimiento Electrnico Quito)
- Juan Carlos Viera (Aplicaciones Administrativo Financieras Quito)
- Erick Paredes (Administrador de Red Guayaquil)
- Ronald Suquilanda (Help Desk Guayaquil


27

3.1.3. CARACTERISTICAS DE LOS SISTEMAS Y AMBIENTE
COMPUTARIZADO
RESULTSYS tiene dos oficinas una en la ciudad de Quito y otra en la ciudad de
Guayaquil. En los dos casos son edificios de hormign, relativamente nuevos, con
instalaciones elctricas adecuadas, disponen de generadores de energa, disponen de
salas de servidores con aire acondicionado.
En el edificio en Quito se dispone de un UPS que abarca el 30% de los equipos de
computacin entre ellos la sala de servidores, central telefnica y equipos activos
(Switchs, hubs, routers, etc.) que es administrado para todo el edificio en forma
centralizada por el arrendatario.
Tambin se dispone de guardias de seguridad que controlan el acceso edificio, y los
empleados disponen de tarjetas magnticas para ingreso a las oficinas. Se dispone de
extintores en las oficinas como en la sala de servidores.
En el edificio en Guayaquil se dispone de un UPS de uso exclusivo para la sala de
servidores, central telefnica y equipos activos (Switchs, hubs routers, etc.) que es
administrado por RESULTSYS.
28

El cableado estructurado es categora 5e marca IBM y disponen de certificaciones de
cada una de las oficinas por parte de IBM como fabricante.
Se dispone de varios extintores en las oficinas y especialmente en la sala de servidores y
reas como la central telefnica.
RESULTSYS cuenta con un contrato para servicios de VPN para permitir el acceso
remoto de los usuarios en cualquier ciudad del mundo.

Estructura de hardware: RESULTSYS Consultora Profesional Ca. Ltda. posee:
SERVIDOR DE BASE DE DATOS
CARACTERSTICAS:
(Proceso individual de la informacin contable de las empresas a las cuales se presta
servicio).
2 procesadores Pentium III 700 Mhz c/u
Memoria RAM: 384 MB
Nmero de usuarios: 30 (Quito y Guayaquil)
Sistema operativo: Windows NT 4.0
Espacio total en disco duro: 45 GB
Ubicacin: oficina Quito
SERVIDORES DE ARCHIVOS.
CARACTERSTICAS:
1 procesador Pentium III 500 Mhz
Memoria RAM: 256 MB
Sistema operativo: Netware 5.1
Ubicacin: uno en la oficina de Quito y otro en la oficina de Guayaquil.
SERVIDOR DE CORREO ELECTRNICO
CARACTERSTICAS:
2 procesadores Xeon Pentium III 850 Mhz
Memoria RAM: 384 MB
29

Ubicacin: oficina Quito y otro en la oficina de Guayaquil de caractersticas menores.
OTROS SERVIDORES
CARACTERSTICAS:
Para servicios de DHCP/DNS, ArcsServer (software para backup), para manejo de
colas de impresin
Procesadores Pentium II y III 250 Mhz
Memoria RAM: 256 MB
Ubicacin: Oficinas de Quito y Guayaquil
ESTACIONES DE TRABAJO
COMPAQ e IBM
Tipo: notebooks y desktops
Memoria RAM: Mnima: 64MB
Procesador Mnimo: Pentium III 700 Mhz
Tiene una red UTP de categora 5e con Hubs y Switch a 10 y 100Mbps

Estructura de Comunicaciones: En lo que respecta a comunicaciones se tiene
habilitado el acceso remoto tipo dial-up, y lneas de comunicacin dedicadas entre las
oficinas de Quito y Guayaquil, la autenticacin remota es a travs de un Username y
Passwords nicos para cada persona.

Estructura de Software: RESULTSYS cuenta con el siguiente software.
SISTEMA OPERATIVO EN LAS ESTACIONES:
Windows XP, Windows 2000, Windows 95 (idioma: ingls)
SOFTWARE UTILITARIO
Entre los principales utilitarios utilizados en RESULTSYS Consultora Profesional Cia.
Ltda. podemos mencionar:
Lotus Notes para correo electrnico y con base de datos de uso general y
especializado.
Microsoft Office 97 Profesional
Microsoft Project 98
Adobe Acrobat
30

WinZip
Antivirus la empresa cuenta con MacAfee.
Visio
Todo el software se encuentra debidamente licenciado.

Software de aplicacin: La aplicacin utilizada por RESULTSYS Consultora
Profesional Cia. Ltda. para el procesamiento de la informacin contable de los clientes
es un ERP (Enterprise Resource Planning) de mediano rango denominado Gestor,
sistema cuya base de datos es Oracle y su front-end est desarrollado en Developer 6.0
y otras herramienta de Oracle.
Gestor posee los mdulos de Contabilidad, Nmina, Caja/Bancos, Cuentas por Cobrar,
Cuentas por Pagar, Tesorera, Activos Fijos, Facturacin e Inventarios.
Platinum for Windows, con los mdulos de: Contabilidad, Cuentas por cobrar y Pagar,
Libro Bancos entre otros. En base de datos PSQL (Pervasive SQL), que es el software
utilizado para la gestin administrativa interna.
WIP, software propietario para control de Proyectos

3.2. APLICACION DEL MODELO COBIT

3.2.1. JUSTIFICACION DE LA APLICACION DE COBIT
Basadas en la creciente competencia y complejidad de los negocios y en el permanente
desarrollo tecnolgico que soporta y crea nuevas oportunidades y desafos,
RESULTSYS ha visto la necesidad de contar con sistemas de informacin que manejen
y automaticen las distintas actividades, tanto claves como de soporte, generando
eficiencia y productividad, pero al mismo tiempo estructurando ambientes tecnolgicos
cada vez ms complejos. Aspectos como (i) alta sistematizacin de los procesos, (ii)
automatizacin de los controles, (iii) integracin de la informacin, (iv) importancia
fundamental de la informacin para la toma de decisiones, exponen a las organizaciones
a nuevos riesgos que deben ser adecuadamente administrados.
Consciente de esta situacin, RESULTSYS, por medio de su rea de Sistemas ha visto
la necesidad de afrontar un proyecto de Auditora de Sistemas, cuyos resultados le
permitirn entre otras cosas:
31

Promover una cultura de conciencia del riesgo asociado a los sistemas y tecnologa
de la informacin.
Implementar mecanismos de control para una adecuada administracin de las
actividades de sistemas.
Implementar polticas y procedimientos que permitan una adecuada administracin
de las distintas actividades y recursos tecnolgicos.
Incrementar la calidad del servicio que el Area de Sistemas brinda a los usuarios.
Enfocar las actividades hacia los objetivos estratgicos del negocio.
Optimizar la utilizacin de los recursos tecnolgicos.
Mejorar la gestin de los sistemas informticos, para obtener informacin confiable
y de calidad.
Mejorar la calidad de los servicios tecnolgicos proporcionados por terceros.
La Auditora de Sistemas, por lo tanto, constituye para RESULTSYS en una decisin
estratgica, puntualizada como resultado de todo un proceso de anlisis, definiciones y
pruebas a travs de la aplicacin del modelo COBIT, marco referencial que nos provee
una serie de objetivos de control necesarios para evaluar y reforzar al ambiente de
control IT. Mayor informacin sobre el modelo COBIT se describe en el captulo 2.

3.2.2. PLANIFICACIN DEL TRABAJO (PROPUESTA)
Con base en la compresin de stos requerimientos y de la importancia del proyecto
para RESULTSYS, presentamos el alcance, esquema de trabajo, procedimientos (con
base en el Modelo COBIT) y productos a generarse como resultado de la ejecucin de
este trabajo.

3.2.2.1. OBJETIVO
Efectuar una Auditora de Sistemas relacionada con la Evaluacin de los Servicios de
Tecnologa de la Informacin, proporcionados por el AREA DE SISTEMAS de
RESULTSYS.

3.2.2.2. ALCANCE
De acuerdo a los requerimientos acordados con RESULTSYS, hemos definido la
evaluacin de las siguientes etapas.

32

1. Estructura Organizacional del Area de Sistemas
1.1.
1.2.
1.3.
2.1.
2.2.
2.3.
3.1.
4.1.
4.2.
1.
1.1.
Estructura de Personal
Evaluacin de Gestin del rea
Atencin al usuario
2. Gestin de los Sistemas Informticos
Desarrollo, Operacin y Mantenimiento de Aplicaciones
Administracin de las Bases de Datos (DBA)
Gestin y Explotacin de las Aplicaciones
3. Plataformas y Comunicaciones
Plataforma Tecnolgica, Redes y Comunicaciones
4. Evaluacin de Seguridades y Procedimientos de Continuidad
Seguridades: Fsicas, Lgicas y de Comunicaciones
Plan de Contingencias
(Ver Anexo 4 Glosario de Trminos Tecnolgicos)

3.2.2.3. METODO DE TRABAJO Y PROCEDIMIENTOS A EJECUTAR
El enfoque de trabajo considerar las siguientes etapas:
Estructura Organizacional (Controles sobre las actividades IT)
En sta etapa las tareas a ejecutarse son:
Anlisis de Situacin Actual
Entrevistas con los funcionarios del rea de Informtica y reas usuarias destinadas
a evaluar el ambiente general de control en materia de tecnologa existente.
Relevamiento de actividades y procesos (con el alcance mnimo necesario para
determinar segregacin de funciones).
Revisin de los procedimientos de control implantados.
Reunin de Validacin.
Elaboracin de mejoras potenciales
Compilacin Basada en estndares de control COBIT.
Reuniones de validacin y discusin.
Procedimientos Detallados
Se ejecutarn los siguientes procedimientos:
Dependencia, roles y responsabilidades del personal del rea informtica.
33

Evaluacin de la segregacin de funciones.
Anlisis del perfil de cada cargo tipo y sus ocupantes (experiencia, capacitacin y
escolaridad).
Evaluacin de la Gestin 1.2.
1.3.
2.1.
Evaluar los procesos y estndares y probar su cumplimiento.
Evaluar el proceso de planeamiento y la razonabilidad del plan informtico respecto
a los objetivos de la organizacin.
Evaluar los procedimientos de asignacin de recursos y la elaboracin y
administracin de presupuestos, as como la razonabilidad de los recursos
asignados.
Atencin al Usuario
Anlisis del procedimiento establecido para asegurar que el servicio sea acorde con
las necesidades de los usuarios.
Evaluacin de los procedimientos de atencin a usuarios y administracin de
problemas.
Relevamiento detallado de la funcionalidad implantada.
Caractersticas generales de las aplicaciones (tablas, reportes).
Seguridades.
Elaboracin de conclusiones y recomendaciones, a partir del material relevado y
estndares de control, utilizando herramientas de anlisis de riesgos y objetivos de
control para cada aplicacin.
Revisar y evaluar la metodologa de desarrollo de aplicaciones existente.
Relevar los procedimientos para desarrollo de aplicaciones utilizados.
Evaluar los procedimientos e iniciativas de investigacin y desarrollo.
34

Evaluar los procedimientos para pasar los programas de ambiente de desarrollo a
produccin.
Revisar la documentacin de la planificacin de mantenimiento / mejora de
aplicaciones, as como la documentacin que sustenta la prueba y otros procesos de
recepcin por parte del usuario.
Evaluar los procedimientos de operacin.
Revisar las bitcoras de operacin.
Revisar los procedimientos de schedulling y revisar las bitcoras de ejecucin de
los procesos batch.
Revisar los procedimientos vigentes para backup de informacin (tipo de
informacin, periodicidad, lugar de almacenamiento y pruebas peridicas de los
respaldos).
Administracin de la Base de Datos (Dba) 2.2.
2.3.
Evaluar los procedimientos de administracin de la base de datos.
Revisar el sistema de documentacin de la base de datos (nivel de detalle y
actualizacin de la informacin).
Analizar roles y responsabilidades de la administracin de la base de datos.
Relevar informacin relativa a las aplicaciones como:
- Caractersticas generales.
- Responsables.
- Plataforma tecnolgica.
- Principales mdulos.
- Mecanismos de seguridad disponibles.
- Documentacin existente.
- Interfaces con otros sistemas.
- Implantaciones en curso.
Evaluar la seguridad y control de cada aplicacin.
Relevamiento detallado de HW utilizado en cada aplicacin.
35

Anlisis de niveles de servicio (capacidad, velocidad, tiempos de parada).
Elaboracin de conclusiones y recomendaciones, a partir del material relevado y de
las prcticas comunes en compaas de tamao similar y estndares de control
COBIT.
Plataforma Tecnolgica, Redes y Comunicaciones 3.1.
Revisin de los procedimientos de medicin del rendimiento. Anlisis de los
informes de rendimiento disponibles.
Revisin de los procedimientos relativos al monitoreo de la red. Anlisis de la
bitcora de problemas.
Anlisis de los mecanismos de comunicacin y acceso a los datos de la red desde el
punto de vista de disponibilidad.
Relevar las herramientas de monitoreo de hardware y software existentes, y
compararlas con las disponibles en el mercado.
Revisar procedimientos de respaldo (mirroring, lneas de comunicacin
alternativas).
Relevamiento de la arquitectura del sistema, incluyendo:
- Servicios de red implementados.
- Diagrama de la red.
- Servidores.
- Equipos de redes LAN.
- Cableado estructurado.
- Enlaces WAN.
- PC's por localidad.
Revisin de seguridad de las plataformas utilizando herramientas especficas.
Evaluacin del Plan de Contingencias.
36


Se efectuarn mediante:
Elaboracin de conclusiones y recomendaciones, a partir del material relevado y de
las prcticas comunes en compaas de tamao similar y estndares de control
COBIT.
Seguridades: Fsicas, Lgicas y Comunicaciones 4.1.
4.2.
Evaluar las polticas y procedimientos de seguridad vigentes.
Revisar la seguridad lgica implantada en los servidores, as como los parmetros de
seguridad relativos a las claves de acceso, utilizando la herramienta de software
especficas para cada plataforma Esto comprende, entre otros:
Tipo y longitud mnima y mxima de las claves de acceso.
Manejo de claves de acceso histricas.
Encriptacin de claves.
Administracin de claves de acceso por servicio.
Rotacin de claves de acceso (automtico o manual) y periodicidad.
Nmero de intentos fallidos antes de ingresar al sistema.
Nmero de sesiones simultneas por usuario.
Nmero de perfiles de usuario.
Tiempo permitido de inactividad en el sistema (time out).
Verificar la activacin y revisin de logs y pistas de auditora.
Revisar las seguridades de accesos remotos (dial up, internet, intranet).
Evaluar los mecanismos de proteccin antivirus.
Evaluar los mecanismos de seguridad fsica existentes, incluyendo contratos de
seguros existentes.
Evaluar la estrategia de recuperacin, infraestructura tecnolgica y las facilidades
para la continuidad del procesamiento.
Evaluar los procedimientos de recuperacin y operacin durante la emergencia,
tomando en cuenta: responsables, actualizacin, pruebas peridicas, metodologa para
la determinacin de los procedimientos.

37

3.2.2.4. PRODUCTOS A ENTREGAR Y PRESUPUESTO
En cada una de las etapas descritas anteriormente se generarn:
- Resumen Ejecutivo
Conclusiones Significativas
Otras recomendaciones de la Etapa
INFORME FINAL
- Resumen ejecutivo.
- Descripcin del trabajo efectuado.
- Anexos - Informe de las recomendaciones acordadas con la administracin.
Conclusiones Significativas de cada Etapa
Informe detallado y Recomendaciones de cada Etapa

3.2.2.5. HERRAMIENTAS A UTILIZAR
Su utilizacin garantiza que el trabajo sea realizado con los ms altos estndares
internacionales.
38

BindView es una herramienta automatizada que permite la revisin de seguridades en
redes LAN de mltiples proveedores, incluyendo Unix, NDS, Windows 2000, NetWare
3, NetWare 4, Netware 5 y Windows NT.
BindView proporciona de manera automtica resultados relacionados con Auditora de
Seguridad, Administracin y Configuracin general del sistema operativo.
La arquitectura de BindView est diseada para entregar soluciones para 4 aspectos
crticos de la administracin de red:
Acceso: Acceso transparente a informacin de los recursos de su organizacin.
Anlisis: Robusta herramienta de anlisis diseada para contestar preguntas acerca de
los recursos de la organizacin.
Reportes : Herramienta poderosa y flexible para la elaboracin de reportes y resultados
de las evaluaciones realizadas.
Administracin: Permite organizar, actualizar e interpretar los resultados del anlisis.

3.3. EJECUCION DEL TRABAJO

3.3.1. IDENTIFICACIN DE RIESGOS IT CRTICOS.
Los procedimientos a ejecutar como parte de la auditora de sistemas se detallan a
continuacin, con asociacin al Dominio y Objetivo de control del modelo COBIT
aplicado para la evaluacin e identificacin de debilidades. Los Objetivos de Control
detallados utilizados en el proyecto se incluyen en el Anexo 3.
39

3.3.1.1. ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMA (CONTROLES SOBRE LAS ACTIVIDADES IT)

3.3.1.1.1. ESTRUCTURA DE PERSONAL
COBIT
10

Procedimiento Dominio Cdigo Objetivo de Control
Dependencia, roles y responsabilidades del personal
del rea informtica.
Planeacin y
Organizacin
PO4 Definicin de la Organizacin y de las
Relaciones IT
Evaluacin de la segregacin de funciones. Planeacin y
Organizacin
PO4 Definicin de la Organizacin y de las
Relaciones IT Segregacin de Funciones
(4.10)
Anlisis del perfil de cada cargo tipo y sus
ocupantes (experiencia, capacitacin y escolaridad).
Planeacin y
Organizacin
PO7 Administracin de Recursos Humanos

3.3.1.1.2. EVALUACIN DE GESTIN
COBIT
10

Evaluar los procesos y estndares y probar su Planeacin y PO6 Comunicacin de la direccin y aspiraciones

10
La relacin Dominio y Cdigo de COBIT, as como su simbologa se detalla en el Anexo 2.
40
Ver Anexo 4 Glosario de Trminos Tecnolgicos.

COBIT
10

cumplimiento. Organizacin de la gerencia Comunicacin de las
polticas de la organizacin (6.3)
Evaluar el proceso de planeamiento y la
razonabilidad del plan informtico respecto a los
objetivos de la organizacin.
Planeacin y
Organizacin
PO1 Definicin de un Plan Estratgico de
Tecnologa de Informacin
Evaluar los procedimientos de asignacin de
recursos y la elaboracin y administracin de
presupuestos, as como la razonabilidad de los
recursos asignados.
Planeacin y
Organizacin
PO10 Administracin de proyectos

3.3.1.1.3. ATENCIN AL USUARIO
COBIT
10

Anlisis del procedimiento establecido para
asegurar que el servicio sea acorde con las
necesidades de los usuarios.
Entrega de
servicios y
Soporte
DS8 Apoyo y Asistencia a los Clientes de
Evaluacin de los procedimientos de atencin a
usuarios y administracin de problemas.
Entrega de
servicios y
Soporte
DS10 Administracin de problemas e Incidentes
41

3.3.1.2. GESTIN DE LOS SISTEMAS INFORMTICOS

3.3.1.2.1. DESARROLLO, OPERACIN Y MANTENIMIENTO DE APLICACIONES
COBIT
10

Revisar y evaluar la metodologa de desarrollo de
aplicaciones existente.
Planeacin y
Organizacin
PO11 Administracin de Calidad Metodologa
del Ciclo de Vida de Desarrollo de Sistemas
(11.5)
Relevar los procedimientos para desarrollo de
aplicaciones utilizados.
Planeacin y
Organizacin
PO11 Administracin de Calidad
Evaluar los procedimientos e iniciativas de
investigacin y desarrollo.
Planeacin y
Organizacin
PO10 Administracin de proyectos
Evaluar los procedimientos para pasar los
programas de ambiente de desarrollo a produccin.
Adquisicin e
Implementacin
AI5 Instalacin y Acreditacin de Sistemas
Revisar la documentacin de la planificacin de
mantenimiento / mejora de aplicaciones, as como
la documentacin que sustenta la prueba y otros
procesos de recepcin por parte del usuario.
Adquisicin e
Implementacin
AI2 Adquisicin y Mantenimiento de Software
de Aplicacin
Evaluar los procedimientos de operacin. Adquisicin e AI4 Desarrollo y Mantenimiento de
42

COBIT
10

Implementacin Procedimientos relacionados con Tecnologa
de Informacin
Revisar las bitcoras de operacin. Planeacin y
Organizacin
AI4 Desarrollo y Mantenimiento de
Procedimientos relacionados con Tecnologa
de Informacin
Revisar los procedimientos de schedulling y revisar
las bitcoras de ejecucin de los procesos batch.
Entrega de
servicios y
Soporte
DS13 Administracin de Operaciones.
Revisar los procedimientos vigentes para backup de
informacin (tipo de informacin, periodicidad,
lugar de almacenamiento y pruebas peridicas de
los respaldos).
Entrega de
servicios y
Soporte
DS11 Administracin de la Informacin

3.3.1.2.2. ADMINISTRACIN DE LAS BASES DE DATOS (DBA)
COBIT
10

Evaluar los procedimientos de administracin de la
base de datos.
Planeacin y
organizacin
PO2 Definicin de la Arquitectura de
Informacin
Revisar el sistema de documentacin de la base de Planeacin y PO2 Definicin de la Arquitectura de
43

COBIT
10

datos (nivel de detalle y actualizacin de la
informacin).
organizacin Informacin
Analizar roles y responsabilidades de la
administracin de la base de datos.
Planeacin y
organizacin
PO2 Definicin de la Arquitectura de
Informacin

3.3.1.2.3. GESTIN Y EXPLOTACIN DE LAS APLICACIONES
COBIT
10

Relevar informacin relativa a las aplicaciones
como:
- Caractersticas generales
- Responsables
- Plataforma tecnolgica
- Principales mdulos
- Mecanismos de seguridad disponibles
- Documentacin existente
- Interfaces con otros sistemas
- Implantaciones en curso
Adquisicin e
implementacin
AI2 Adquisicin y Mantenimiento de Software
de Aplicacin
Evaluar la seguridad y control de cada aplicacin. Entrega de DS5 Garantizar la Seguridad de Sistemas
44

COBIT
10

Servicios y
Soporte

3.3.1.3. PLATAFORMAS Y COMUNICACIONES

3.3.1.3.1. PLATAFORMA TECNOLGICA, REDES Y COMUNICACIONES
COBIT
10

Revisin de los procedimientos de medicin del
rendimiento. Anlisis de los informes de
rendimiento disponibles.
Entrega de
Servicios y
Soporte
DS3 Administracin de Desempeo y Capacidad
Revisin de los procedimientos relativos al
monitoreo de la red. Anlisis de la bitcora de
problemas.
Entrega de
Servicios y
Soporte
Anlisis de los mecanismos de comunicacin y
acceso a los datos de la red desde el punto de vista
de disponibilidad.
Entrega de
Servicios y
Soporte
Relevar las herramientas de monitoreo de hardware Entrega de DS3 Administracin de Desempeo y Capacidad
45

COBIT
10

y software existentes, y compararlas con las
disponibles en el mercado.
Servicios y
Soporte
Revisar procedimientos de respaldo (mirroring,
lneas de comunicacin alternativas).
Entrega de
Servicios y
Soporte
DS4 Aseguramiento de Servicio Continuo
Relevamiento de la arquitectura del sistema,
incluyendo:
- Servicios de red implementados
- Diagrama de la red
- Servidores
- Equipos de redes LAN
- Cableado estructurado
- Enlaces WAN
- PC's por localidad
Entrega de
Servicios y
Soporte
DS9 Administracin de la Configuracin

3.3.1.4. EVALUACIN DE SEGURIDADES Y PROCEDIMIENTOS DE CONTINUIDAD

46

3.3.1.4.1. SEGURIDADES: FSICAS, LGICAS Y DE COMUNICACIONES
COBIT
10

Evaluar las polticas y procedimientos de seguridad
vigentes.
Entrega de
Servicios y
Soporte
DS5 Garantizar la Seguridad de Sistemas
Revisar la seguridad lgica implantada en los
servidores, as como los parmetros de seguridad
relativos a las claves de acceso, utilizando la
herramienta de software especficas para cada
plataforma Esto comprende, entre otros:
Tipo y longitud mnima y mxima de las claves
de acceso.
Manejo de claves de acceso histricas.
Encriptacin de claves.
Administracin de claves de acceso por servicio.
Rotacin de claves de acceso (automtico o
manual) y periodicidad.
Nmero de intentos fallidos antes de ingresar al
sistema.
Nmero de sesiones simultneas por usuario.
Entrega de
Servicios y
Soporte
47

COBIT
10

Nmero de perfiles de usuario.
Tiempo permitido de inactividad en el sistema (time
out).
Entrega de
Servicios y
Soporte
Verificar la activacin y revisin de logs y pistas de
auditora.
Adquisicin e
Implementacin
AI1 Identificacin de Soluciones de
Automatizacin Diseo de Pistas de
Auditora (1.10)
Revisar las seguridades de accesos remotos (dial up,
internet, intranet).
Entrega de
Servicios y
Soporte
Evaluar los mecanismos de proteccin antivirus. Entrega de
Servicios y
Soporte
Evaluar los mecanismos de seguridad fsica
existentes, incluyendo contratos de seguros
existentes.
Entrega de
Servicios y
Soporte
DS12 Administracin de Instalaciones

48

3.3.1.4.2. PLAN DE CONTINGENCIAS
COBIT
10

Evaluar la estrategia de recuperacin,
infraestructura tecnolgica y las facilidades para la
continuidad del procesamiento.
Entrega de
Servicios y
Soporte
Evaluar los procedimientos de recuperacin y
operacin durante la emergencia, tomando en
cuenta: responsables, actualizacin, pruebas
peridicas, metodologa para la determinacin de
los procedimientos.
Entrega de
Servicios y
Soporte
49

3.3.2. CONFIRMACIN DE RIESGOS CRTICOS IT CON LA
ADMINISTRACIN
De acuerdo al enfoque de trabajo propuesto y acordado con RESULTSYS, como
resultado de la ejecucin de los procedimientos de cada una de las etapas, se efectuaron
Reuniones de validacin y discusin con la administracin.
Las reuniones tienen como objetivo la validacin y confirmacin con la administracin
de los hallazgos y recomendaciones sugeridas, los documentos presentados en estas
reuniones incluyen la siguiente aclaracin:
BORRADOR PARA DISCUSION UNICAMENTE: El presente documento es de
carcter preliminar. Su contenido podra ser modificado como resultado de las
informaciones o evidencias que se presenten durante su anlisis y discusin con el
destinatario. Bajo ninguna circunstancia, debe ser utilizado o considerado como
documento final. Este borrador no debe ser fotocopiado y deber ser devuelto en el
momento en que se emita el documento final.
Los resultados en cada una de las reuniones fueron estructurados bajo el siguiente
esquema:
RESUMEN DE LA SITUACION ACTUAL
- Resumen Ejecutivo
Conclusiones Significativas
Otras recomendaciones de la Etapa

Las Reuniones de Validacin y discusin generan los siguientes cursos de accin:
Relevar informacin adicional con personal responsable de esas funciones.

Anlisis y evaluacin de documentacin soporte entregada.
Confirmacin de los resultados de la evaluacin de seguridades lgicas.

Una vez confirmado con la administracin los resultados finales del trabajo, el Informe
Final del proyecto se lo adjunta en el captulo 4 del presente trabajo.
50

CAPITULO 4 INFORME Y RESULTADOS DEL CASO
PRACTICO

4.1. INTRODUCCION.

Seor
Ral Arteaga
Gerente General
RESULTSYS
Ciudad

Quito, 13 de abril de 2003

ESTRICTAMENTE CONFIDENCIAL

De mis consideraciones:

Conforme a lo acordado en la propuesta de trabajo, se procedi a efectuar en
RESULTSYS la Auditora de Sistemas relacionada con la Evaluacin de los Servicios
de Tecnologa de Informacin. En tal virtud se cubrirn los siguientes aspectos:

1. Evaluacin de la Estructura Organizacional del Area de Sistemas

2. Evaluacin de los Sistemas Informticos

3. Evaluacin de las Plataformas y Comunicaciones


51

Este informe es para uso de la Administracin de RESULTSYS y no debe ser utilizado
por quienes no han determinado los procedimientos y asumido responsabilidad por la
suficiencia de los mismos para sus propsitos. No asumiremos ninguna responsabilidad
en el caso de que nuestro informe se destine a un uso distinto al indicado.

El contenido del presente informe ha sido desglosado en las siguientes secciones:
- Resumen ejecutivo.
- Descripcin del trabajo efectuado.
- Resultados - Informe de las recomendaciones acordadas con la
administracin.
Conclusiones Significativas de cada Etapa
Informe detallado y Recomendaciones de cada Etapa

Estoy a su disposicin para cualquier aclaracin o informacin adicional respecto al
contenido de este informe.

Atentamente,

Diego Cevallos A.

52

4.2. RESUMEN EJECUTIVO.

Como resultado del proyecto de Auditora de Sistemas de los Servicios de Tecnologa
de Informacin, se detallan los problemas ms relevantes que inciden globalmente en la
eficacia y eficiencia de los servicios tecnolgicos requeridos por RESULTSYS:

- Comit de Sistemas
Estructurar y formalizar las actividades del Comit de Sistemas, el cual deber ser el
encargado de la planificacin, supervisin y priorizacin de las distintas actividades que
realiza el Area Tecnolgica.

- Administracin de Seguridades
Definir las funciones de Administracin de Seguridades independiente del Area de
Sistemas, que ser responsable del desarrollo, implantacin y monitoreo de todas las
polticas y procedimientos de seguridad.

- Esquema de Seguridades
Definir un esquema estndar de seguridades para todas las aplicaciones, as como
mejorar las reglas de construccin de claves.

- Atencin al Usuario
Reorganizar el Area de Atencin al Usuario, estableciendo un canal de comunicacin
nico, facilitando de esta manera la atencin, seguimiento y solucin de los
requerimientos de los usuarios.
Asimismo, es necesario establecer una poltica clara, en donde se detallen las tareas que
estn asignadas al responsable de atencin al usuario (Help Desk) con sus prioridades
de solucin y herramientas para atencin y seguimiento.

- Polticas y Procedimientos
Desarrollar polticas y procedimientos formales que le permitan a la gerencia controlar y
supervisar las distintas actividades del Area de Sistemas.
Ejemplos:
Procedimientos para la ejecucin de procesos Batch
53

Procedimientos de Atencin al usuario
Procedimientos para el monitoreo del rendimiento de los equipos y base de datos

- Recuperacin ante interrupciones
Elaborar e Implementar procedimientos alternativos de operacin durante fallas de tal
manera de brindar un mejor y continuo servicio a los clientes, los procedimientos deben
estar acordes a la estructura tecnolgica, riesgos y servicios de la compaa.

4.3.
1.4.
1.5.
1.6.
2.4.
2.5.
2.6.
3.2.
4.3.
4.4.
4.4.
DESCRIPCION DEL TRABAJO EFECTUADO.

Se efectu una Auditora de Sistemas de los Servicios de Tecnologa de Informacin,
para lo cual describimos con mayor detalle los aspectos cubiertos en nuestra evaluacin.

1. Estructura Organizacional del Area de Sistemas
Evaluacin de Gestin del rea
Atencin al usuario
Administracin de las Bases de Datos (DBA)
Plataforma Tecnolgica, Redes y Comunicaciones
Seguridades: Fsicas, Lgicas y de Comunicaciones

RESULTADOS - INFORME DE LAS RECOMENDACIONES
ACORDADAS CON LA ADMINISTRACIN.

54

55
Auditora de Sistemas de los Servicios de
CONCLUSIONES SIGNIFICATIVAS
Etapa A Etapa A
Estructura
Organizacional del Area
de Sistemas

56
Recomendaciones significativas de la etapa
C Formalizar la actividad de un Comit de Sistemas.
C Redefinir la estructura del Departamento GTS.
C Reorganizar el rea de Atencin al Usuario.
Nivel de Criticidad

57
C Formalizar las actividades del Comit de Sistemas, el cual sea el
encargado de priorizar y supervisar las actividades que realiza.
Riesgos Identificados
Carencia de un Plan Estratgico de Sistemas, el cual est
alineado con los Objetivos y plan de Negocios de la
Compaa.
Asignacin de prioridades de los proyectos.
Control y Supervisin a las actividades del departamento
de Sistemas.

58
Inadecuada segregacin de funciones.
No existe una funcin de Administracin de Seguridades
independiente al departamento de sistemas.
El organigrama formal no se corresponde totalmente con
las funciones efectivamente realizadas por el personal.
C Redefinir la estructura del Departamento GTS.

59
C Redefinir la Estructura actual del Area de Sistemas, con el fin de
optimizar los servicios que presta a RESULTSYS.
Recomendacin
GTS (Global Technology Solutions) - Propuesto
Ronald Suquilanda
Help Desk
Guayaquil
Erick Paredes
Administrador de
Red
Guayaquil
Viviana Crdoba
Help Desk
Quito
Lenin Robalino
Mantenimiento
Electrnico
Quito
Juan Carlos Viera
Aplicaciones
Quito
Adriana Snchez
Supervisora GTS
Alejandro Guichn
Gerente General
Administrador de
Seguridades

60
C Reorganizar el rea de Atencin al Usuario.
liberando al encargado del Help Desk de procesos y otras
tareas que actualmente realizan.
optimizando el uso del sistema para registro de
requerimientos.
utilizando los requerimientos solucionados como fuente
para mejorar la capacitacin de los usuarios y para
generar nuevos proyectos de adecuacin de los sistemas.

61
Otras recomendaciones de la etapa
Nivel de Criticidad
C Establecer una funcin independiente de
administracin de seguridades.
C Elaborar un plan formal de capacitacin del
personal de RESULTSYS.
C Establecer una funcin de Auditora Interna de
Sistemas.
C Elaborar el manual de funciones detallado para
RESULTSYS.

62
INFORME DETALLADO Y
RECOMENDACIONES
Etapa A Etapa A
Estructura
Organizacional del Area
de Sistemas

RESULTSYS S.A.
Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin
ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT)
Requerimiento: Estructura de Personal
Objetivo de Control COBIT: Definicin de la Organizacin y de las Relaciones IT / PO4
Definicin de la Organizacin y de las Relaciones IT Segregacin de Funciones (4.10) / PO4
Procedimiento: Dependencia, Roles y Responsabilidades del personal del rea informtica.
Evaluacin de la segregacin de funciones.

63
Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Recomendacin Prioridad
Entrevista con Adriana
Snchez (Supervisora GTS).

Revisin del organigrama de
la Compaa.
RESULTSYS cuenta con un
departamento de sistemas, que son
parte de los equipos de
Administracin de Redes,
Administracin de Bases de Datos,
Soporte al usuario final y
Mantenimiento de equipo
electrnico, cuyo principal
objetivo es asesorar y asistir
tcnicamente en lo correspondiente
al campo tecnolgico informtico,
y tiene asociados de negocios para
reas como las de desarrollo y renta
de equipos de computacin.

La Compaa no cuenta con un
Manual de Funciones formalizado,
en el que se detalle las tareas que
debe realizar cada miembro del
departamento de sistemas.

documento en el que se especifica
de manera general las funciones de
cada rea sin embargo no existe un
Manual de Funciones detallado
para los miembros del
departamento de sistemas.

Bajo

Elaborar el Manual de Funciones
detallado para RESULTSYS.
Baja
RESULTSYS S.A.
Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Revisin con base a
entrevistas de las funciones
que cumple el personal de
sistemas.
Existen actividades bajo la
responsabilidad de sistemas y
efectuados por su personal que no
estn acorde a sus funciones y
responsabilidades.

Las funciones de Administracin
de Seguridades actualmente son
realizadas por personal de
Sistemas, lo cual no garantiza una
adecuada segregacin de funciones.

Alto

Redefinir la Estructura actual del
Area de Sistemas, con el fin de
optimizar los servicios que
presta a RESULTSYS.
Alta
RESUTSYS no cuenta con la
funcin de Auditora de Sistemas.
No existe una Funcin de Auditora
de Sistemas.
Medio

Implementar la funcin de
Auditora de Sistemas, la cual
supervisar las actividades del
Administrador de Seguridades, y
del rea de Sistema en general.

Media

64
RESULTSYS S.A.
Requerimiento: Estructura de Personal
Objetivo de Control COBIT: Administracin de Recursos Humanos / PO7
Procedimiento: Anlisis del perfil de cada cargo tipo y sus ocupantes (experiencia, capacitacin y escolaridad).

Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Revisin de las hojas de vida
de todo el personal de la
Compaa.
Anlisis del perfil de cada
empleado, nivel de
experiencia y capacitacin
recibida.

Analizamos cada uno de las hojas
de vida, identificando lo siguiente:

El departamento de Recursos
Humanos, nos proporcion las
hojas de vida del personal.

Un alto porcentaje del personal
tiene experiencia previa a su
contratacin, ya que han trabajado
en Compaas similares o han
ejercido tareas similares a las que
estn ejecutando actualmente.

No existe un registro individual de
la capacitacin recibida. La
mayora del personal tienen
experiencia previo a su ingreso.

RESULTSYS no ha desarrollado
un Plan de Capacitacin Tcnico
para el prximo ao, el mismo
debera depender de las
necesidades tecnolgicas que tenga
la compaa.

Bajo Elaborar un plan formal de
capacitacin del personal.
Baja
Recursos Humanos efecta
evaluaciones anuales de personal la
cual considera muchos aspectos
relacionados con el desempeo,
evaluacin y necesidades del
empleado.

Adems se efectan evaluaciones

65

RESULTSYS S.A.
Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
mensuales para determinar el
porcentaje de cumplimiento de
metas.

66
RESULTSYS S.A.

Requerimiento: Evaluacin de la Gestin
Objetivo de Control COBIT: Comunicacin de la direccin y aspiraciones de la gerencia Comunicacin de las polticas de la organizacin
(6.3) / PO6
Procedimiento: Evaluar los procesos y estndares y probar su cumplimiento.

Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo

Existen reuniones con el gerente
para definir planes y presupuestos
del rea, adems, es necesario
efectuar revisiones formales
semestralmente.

El Comit Gerencial no efecta
reuniones peridicas.

Alta

Formalizar las actividades del
Comit de Sistemas, el cual sea
el encargado de priorizar y
supervisar las actividades que
realiza.

Alta
Revisin de las bases de
datos de polticas y
procedimientos.
Existen bases de datos corporativas
y locales relacionadas con las
polticas y procedimientos de
seguridad y operacin.

Adems se cuenta con
procedimiento de difusin
permanente de la informacin
contenida en las bases de datos.

67
RESULTSYS S.A.

Objetivo de Control COBIT: Definicin de un Plan Estratgico de Tecnologa de Informacin / PO1
Procedimiento: Evaluar el proceso de planeamiento y la razonabilidad del plan informtico respecto a los objetivos de la
organizacin.

Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Snchez (Supervisora
GTSs).

El plan Estratgico no contiene la
informacin detallada necesaria
para prever cuales sern los
productos y tipos de servicios que
se brindarn a los clientes. Esta
situacin impide prever los
proyectos de Sistemas que se
estarn realizando a mediano y
largo plazo as como las
tecnologas que sern necesarias
para brindar estos nuevos servicios.

Lectura del Plan Estratgico
de RESULTSYS.

GTS posee un Plan Estratgico de
Sistemas, en el cual se detallan los
objetivos, riesgos internos y
externos, etc., pero este documento
no especifica el plan de accin o
tareas que van a realizar para
cumplir los objetivos y metas de la
compaa.

RESULTSYS no cuenta con un
Plan Estratgico que considere los
aspectos Tecnolgicos y de
Sistemas que permitan cumplir los
objetivos del negocio.
Alto Obtener de la compaa un Plan
de Negocios con el suficiente
nivel de detalle que permita
identificar los productos y
servicios que se brindarn a los
clientes.

Asignar al Comit de Sistemas la
tarea de elaborar un Plan
Estratgico de Sistemas
totalmente alineado con el Plan
de Negocios de la compaa.
Alta

68
RESULTSYS S.A.
Objetivo de Control COBIT: Administracin de proyectos / PO10
Procedimiento: Evaluar los procedimientos de asignacin de recursos y la elaboracin y administracin de presupuestos, as
como la razonabilidad de los recursos asignados.

Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Revisin de la
documentacin soporte (Plan
Estratgico de GTS,
Cronogramas de tareas
asignadas).
Poseen un cronograma de las
actividades de cada miembro de
GTS, en el cual se asignan las
tareas que deben cumplirse para
RESULTSYS, tiempo, recursos,
etc.

69
RESULTSYS S.A.
Requerimiento: Atencin al usuario
Objetivo de Control COBIT: Apoyo y Asistencia a los Clientes de Tecnologa de Informacin / DS8
Procedimiento: Anlisis del procedimiento establecido para asegurar que el servicio sea acorde con las necesidades de los
usuarios.

Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Snchez (Supervisora GTS)
y Viviana Crdoba (Help
Desk) para conocer como
est estructurada el rea de
Servicio al Usuario.
Servicio que brinda para
solucin a los
requerimientos realizados
por los usuarios.
Evaluar si la estructura
actual es adecuada.
La Atencin a Usuarios est a
cargo de la persona responsable de
Hep Desk, sin embargo, en
ocasiones algunos requerimientos
de usuario son solicitados y
solucionadas por cualquier
miembro del departamento GTS.

No existen procedimientos
adecuados relacionados con la
recepcin de requerimientos de los
usuarios.
Medio El Area de Atencin al Usuario
deber formalizar los
procedimientos para:

- Adecuada administracin de
problemas.
- Establecer prioridades y
tiempos para la solucin de
problemas.
- Escalamiento de problemas.
- Seguimiento y notificacin a
los usuarios de las soluciones a
sus problemas.
- Adems deber asegurar el
cumplimiento de los
procedimientos anteriormente
enumerados, evaluando
peridicamente el desempeo de

Media
Entrevista con Viviana
Crdoba Help Desk de GTS,
para determinar el
procedimiento de recepcin
de requerimientos de ayuda
a usuarios, para asegurar que
los mismos sean registrados,
analizados y resueltos
oportunamente

Dado al elevado nmero de
solicitudes de soporte la mayora
no se registran, solamente se
detallan en un papel sin un formato
establecido.

No se ha optimizado el uso del
Sistema de Administracin de
Problemas Help Desk, ya que no se
registran la mayora de los
requerimientos de usuario en el
Sistema, ni se actualiza el estado a
los requerimientos que han sido
solucionados, por lo que los
reportes que se preparan en Base de
Alto

Optimizar la utilizacin del
Sistema Help Desk,
considerando aspectos como:

- Registrar todos los
requerimientos de soporte a
usuario, incluyendo los que
se escalan, as como la hora
(puede ser automtica),
Alta

70
RESULTSYS S.A.
Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo

71

Lectura del informe resumen
de actividad elaborado por
Help Desk para una semana
Datos Lotus Notes, con base a la
informacin registrada no
presentan resultados reales.

Adems, no se han implementado
en el Sistema, reportes que
permitan realizar un adecuado
control del desempeo del Help
Desk.

usuario, tipo de problema,
responsable de su solucin,
prioridad y descripcin.

- Registrar la solucin de
los problemas, la hora
(puede ser automtica),
procedimiento utilizado,
responsable de su solucin.

- Crear un mecanismo de
notificacin de asignacin
de tarea a la persona que va
ser responsable de resolver
los problemas (puede ser
notificado automticamente
y consultado va sistemas).

- Definir un
procedimiento de
seguimiento de tareas
asignadas, con el fin de
asegurar que todos los
requerimientos son
solucionados.

- Implementar reportes
que permitan evaluar las
actividades que se llevan a
cabo dentro del rea,
disponer de estadsticas que
permitan determinar el curso
de accin para aquellos
problemas recurrentes.

RESULTSYS S.A.
Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Crdoba Help Desk de GTS,
para relevar y evaluar el
procedimiento de solucin
de requerimientos a
usuarios.
Previamente a la solucin del
requerimiento se identifica si el
mismo es un "Problema" o
"Requerimiento".

De tratarse de problemas Help
Desk se encarga de resolverlo
inmediatamente o escalar.

Si es un requerimiento los cuales
tiene relacin con: creacin de
usuarios, accesos a bases de datos,
acceso a determinados recursos de
la red, se debe solicitar una
autorizacin del jefe de rea del
respectivo usuario.
No existe una poltica claramente
definida, en donde se describan las
actividades que debe cumplir Help
Desk, y cuales deben ser escaladas
a otras reas

Medio

Liberar a Help Desk de tareas
que no estn acordes a su
funcin

Se debera establecer una
poltica clara, en donde se
detallen las tareas que estn
asignadas a Help Desk, con sus
prioridades de solucin.

Asimismo es conveniente que
estas polticas sean de
conocimiento de todos los
usuarios, para que puedan
direccionar sus requerimientos
nicamente a la persona
adecuada.
Media
No todos los problemas
solucionados se registran en el
sistema, motivo por el cul el
estatus de los problemas no est
actualizado.

No se registran los totalidad de los
problemas solucionados en el
sistema.
Medio

Sistema Help Desk.

La persona responsable de Help
Desk a ms de actualizar la
informacin en el sistema,
deber ser el canal de
comunicacin con el usuario de
tal manera de notificar el estatus
de los problemas, as como
efectuar seguimientos
posteriores a la solucin
proporcionada.

Media

72
RESULTSYS S.A.
Requerimiento: Atencin al usuario
Objetivo de Control COBIT: Administracin de problemas e Incidentes / DS10
Procedimiento: Evaluacin de los procedimientos de atencin a usuarios y administracin de problemas.

Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Revisin de los
procedimientos formales
para atencin al Usuario
No se cuenta con informacin
estadstica ntegra del nmero y
tipo de problemas que son
requerido y notificados al Area de
Servicio al usuario, nicamente
existe ciertos reportes en donde se
enumeran los tipos de problemas de
acuerdo a la importancia que Help
Desk debera otorgarles.

Entrevista Adriana Snchez
(Supervisora GTS) para
conocer como se definen
prioridades para la solucin
de requerimientos de
usuario, verificar su
cumplimiento y evaluar si
son o no adecuadas.

Estos niveles de servicio no han
sido definidos formalmente, es
decir no ha existido un acuerdo con
niveles gerenciales para determinar
las prioridades, los tiempos de
atencin mnimos y escalamiento
dependiendo del tipo y el nivel de
servicio requerido.

El rea de Servicio al Usuario no
cuenta con polticas y
procedimientos formales para:

- Atencin y registro de
requerimientos.
- Asignacin de prioridades y
tiempos.
- Escalamiento de problemas
Medio Definir formalmente polticas
y procedimientos de
administracin de problemas
para asegurar que:

Los eventos operacionales que
no forman parte de la
operacin estndar
(incidentes, problemas,
errores) sean registrados,
analizados y resueltos
oportunamente.
Las prioridades sean
establecidas adecuadamente y
de la manera ms eficaz.

El escalamiento de los
problemas se realiza de forma
oportuna y al responsable
adecuado.
Media
Crdoba (Help Desk), para
revisar y evaluar el
procedimiento de
escalamiento de problemas.

El sistema Help Desk permite
escalar la solucin de los
problemas hacia el responsable
respectivo, sin embargo se prefiere
comunicar los requerimientos por
telfono y va mail.
Observacin de los
procedimientos llevados a

Una vez solventado el problema,
No se utiliza adecuadamente el
Sistema Help Desk por parte de los
usuarios.

Medio

Sistema Help Desk y del
tiempo del personal de Help
Desk, estableciendo polticas
y prcticas sobre los temas
que razonablemente debera
solucionar Help Desk y
aquellos que debera escalar
Media

73
RESULTSYS S.A.
Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo

74
cabo. las personas que realizaron esta
tarea deberan registrar la solucin
en el sistema, lo que no se realiza la
mayora de las veces.

directamente.
y Viviana Crdoba (Help
Desk) para relevar los
procedimientos de
evaluacin del servicio a
usuario.
No se han implementado
procedimientos para la evaluacin
del desempeo del rea de Servicio
al Usuario.

Adems, no se realizan encuestas
peridicas a los usuarios para
obtener informacin sobre el nivel
de satisfaccin de los mismos.
Medio

Implementar procedimientos
formales para la evaluacin
del Servicio a Usuario.

Realizar evaluaciones
peridicas de la actividad del
rea de Servicios al Usuario,
considerando que sta es la
base para la medicin del
rendimiento de la tecnologa
informtica actual, as como
del nivel de conocimiento
tanto del personal IT como del
usuario.

Nos permitimos sugerir
algunos de los seguimientos
que se deben hacer sobre el
rea:

- Estado de requerimientos
registrado, escalado, en
revisin, solucionado.
- Tiempos de solucin de
requerimientos.

- Clasificacin de
requerimientos escalados
y solucionados por
Media
RESULTSYS S.A.
Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo

- Horas pico de congestin
de solicitudes, para
controlar y planificar la
ejecucin de
procedimientos
operativos.

- Clasificacin de
problemas registrados
(Hardware, Software de
oficina, Aplicaciones
Generales, Aplicaciones
Especializadas, Redes,
Comunicaciones,
Mantenimiento de
Aplicaciones, etc.), con el
fin de evaluar el nivel de
Servicio que estn
brindando, la tecnologa
disponible en el Grupo, la
Prioridad de
Mantenimiento de
Aplicaciones ya
desarrolladas y sugerir
planes de capacitacin a
los usuarios.

75

76
Etapa B Etapa B
Gestin de los sistemas
Informticos

77
C Mejorar el procedimiento de generacin, almacenamiento y
recuperacin de respaldos de la informacin.
C Asignar las funciones y el perfil de Administrador de la base de datos
nicamente al responsable de estas funciones.
C Elaborar e implantar procedimientos para documentacin de la base
de datos.
C Definir un esquema de seguridades estndar para todas las
aplicaciones.
Nivel de Criticidad
Solicitar al proveedor la documentacin de todas las aplicaciones
utilizadas.
C Mejorar las reglas de construccin y cambio de claves de las
aplicaciones.

78
Hallazgos Identificados
No existen rutinas que aseguren un back-up ntegro de la informacin de
todos los usuarios.
No existe una bitcora de los respaldos realizados.
No se realizan pruebas peridicas para asegurar la adecuada generacin
de los respaldos.
C Mejorar el procedimiento de generacin, almacenamiento y
recuperacin de respaldos de la informacin.

79
Existen varios perfiles de usuario con capacidades de Administrador de
la Base de Datos.
Al menos una de las claves de Administrador de la Base de Datos es
conocida y compartida con otros miembros del departamento.
C Asignar las funciones y el perfil de Administrador de la base de datos
nicamente al responsable de estas funciones.

80
La Documentacin de la base de datos no se encuentra
actualizada para todos los mdulos (Diccionario de datos,
Modelo Entidad Relacin, Modelo Conceptual).
No se cuenta con procedimientos formales de actualizacin y
que sean parte del desarrollo o ejecucin de proyectos.
C Elaborar e implantar procedimientos para documentacin de la
base de datos.

81
C Definir un esquema de seguridades estndar para todas las
aplicaciones.
Cada aplicacin posee su propio mdulo de seguridad. No existe un
esquema de seguridad nico para todas las aplicaciones, lo que obliga
a la utilizacin de claves por cada aplicacin.
La administracin de perfiles de usuarios de las aplicaciones se
encuentra a cargo del administrador de aplicaciones y del
administrador de red.

82
Las claves pueden contener caracteres repetidos.
No es obligatoria la inclusin de caracteres numricos.
Al cambiar la clave puede definirse como nueva clave la misma
anterior.
No se exige a los nuevos usuarios como primera actividad el
cambio de la clave que les fue asignada.
C Mejorar las reglas de construccin y cambio de claves de las aplicaciones.

83
Existe documentacin tcnica nicamente de algunas
aplicaciones, sin mantener un estndar definido.
No se utiliza una metodologa formal para la elaboracin de la
documentacin tcnica de las aplicaciones.
Solicitar al proveedor la documentacin de todas las aplicaciones
utilizadas.

84
Nivel de Criticidad
C Elaborar un manual de procedimientos que detalle las
responsabilidades y actividades a realizarse para ejecutar los
procesos batch.
C Definir formalmente un procedimiento para la recepcin y/o
solicitud de requerimientos de usuarios relacionado con las
aplicaciones utilizadas por la compaa
C Establecer procedimientos para definir y seleccionar
proveedores de aplicaciones con base a un perfil claramente
establecido y en funcin de las necesidades de la compaa.
C Definir un ambiente de pruebas ntegro
C Mejorar las prcticas actualmente empleadas para la prueba

85
Etapa B Etapa B
Gestin de los sistemas
Informticos
INFORME DETALLADO Y
RECOMENDACIONES

RESULTSYS S.A.
GESTION DE LOS SISTEMAS INFORMATICOS
Requerimiento: Desarrollo, Operacin y Mantenimiento de Aplicaciones
Objetivo de Control COBIT: Administracin de Calidad Metodologa del Ciclo de Vida de Desarrollo de Sistemas (11.5) / PO11
Administracin de Calidad / PO11
Procedimiento: Revisar y evaluar la metodologa de desarrollo de aplicaciones existente.
Relevar los procedimientos para desarrollo de aplicaciones utilizados.

Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
y Juan Carlos Viera
(Administrador de
Aplicaciones).

RESULTSYS no posee una
metodologa formal para el
desarrollo de aplicaciones, por
cuanto no es una actividad
significativa para la compaa, el
soporte se lo solicita directamente a
proveedores.
Revisin de la Metodologa
y los procedimiento para
desarrollo de aplicaciones.
No existe un procedimiento formal
para solicitud de nuevos
requerimientos y/o modificaciones
menores sobre las aplicaciones
utilizadas.

La priorizacin de requerimientos
no son comunicados sistemtica y
formalmente a los usuarios
involucrados.
Medio

Definir formalmente un
procedimiento para la recepcin
y/o solicitud de requerimientos
de usuarios relacionado con las
aplicaciones utilizadas por la
compaa, el procedimiento debe
considerar la utilizacin de
formularios, aprobaciones
respectivas, as como,
notificacin a los usuarios de las
prioridades asignadas a los
requerimientos.

Cambios a las prioridades
debern ser notificados a los
usuarios involucrados.

Media

86
RESULTSYS S.A.
Objetivo de Control COBIT: Administracin de proyectos /PO10
Instalacin y Acreditacin de Sistemas / AI5
Adquisicin y Mantenimiento de Software de Aplicacin / AI2
Procedimiento: Evaluar los procedimientos e iniciativas de investigacin y desarrollo.
Evaluar los procedimientos para pasar los programas de ambiente de desarrollo a produccin.
Revisar la documentacin de la planificacin de mantenimiento / mejora de aplicaciones, as como la
documentacin que sustenta la prueba y otros procesos de recepcin por parte del usuario.

Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo

Anlisis y Diseo

Entrevista con Juan Carlos
Viera (Administrador de
Aplicaciones).

Revisin de la metodologa
para el anlisis y diseo de
sistemas.

Revisin de los
procedimientos para el
anlisis y diseo de
sistemas.

Se efectan desarrollos menores
con patrones comunes de
desarrollo.

Todo el desarrollo de sistemas se lo
terceriza con proveedores de este
servicio.

No existen procedimientos
definidos para la seleccin de
proveedores de servicios de
desarrollo de aplicaciones.

Adems, no existe control que
aseguren la aplicacin de una
Metodologa formal para desarrollo
y mantenimiento de aplicaciones
por parte de los proveedores.

Medio Establecer procedimientos para
definir y seleccionar proveedores
de aplicaciones con base a un
perfil claramente establecido y
en funcin de las necesidades de
la compaa.

Adems, ser necesario
establecer controles relacionados
con:
Formulario de solicitud de
requerimientos / proyectos.
Establecer controles de
ejecucin y cumplimiento
de contratos con
proveedores de estos
servicios.
Solicitar la aplicacin y
cumplimientos de una
metodologa forma de
desarrollo de sistemas.

Media
87
RESULTSYS S.A.
Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo

Construccin

Relevamiento de las
prcticas para construccin
de sistemas.
RESULTSYS utiliza algunos
lineamientos para la construccin
(desarrollo) de aplicaciones
(formatos de variables, nombres de
programas, etc.), sin embargo,
desarrollos significativos estn a
cargo de proveedores externos.

La metodologa de desarrollo de
aplicaciones es la definida por el
proveedor del servicio.

No existen manuales tcnicos de
las aplicaciones, ya que el
mantenimiento de las mismas son
realizadas por los proveedores.
Los manuales tcnicos de las
aplicaciones no se encuentran
actualizados.

Medio

Solicitar a los proveedores del
servicio la actualizacin de la
informacin de los manuales
tcnicos y documentacin de los
sistemas, con un adecuado nivel
de detalle, de forma que sirvan
como referencia para futuras
modificaciones en los mismos
Media

Integracin y Pruebas

88
RESULTSYS S.A.
Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo

Aplicaciones).

Relevar los lineamientos
para Integracin y pruebas
de los nuevos desarrollos de
sistemas.
El proveedor de aplicaciones se
encarga de efectuar las pruebas de
los requerimientos, sin embargo no
se cuenta con procedimientos
detallados de pruebas ni las
condiciones que asegurar una
prueba integra de la aplicacin.

No se ha elaborado una
metodologa de pruebas a los
cambios / desarrollo de los
programas tanto interna como por
parte de los proveedores de
aplicaciones.
Alto Elaborar una metodologa de
pruebas que considere las
diversas condiciones y
requerimientos que debern
tomarse en cuenta. Esta
metodologa deber considerar la
elaboracin de planes de prueba
para cada caso.

Alta
Las pruebas son realizadas en el
ambiente de desarrollo de
proveedor.

RESULTSYS no cuenta con un
ambiente de pruebas definido.

Una vez entregado los programas
por parte del proveedor, las pruebas
con los usuarios son realizadas
directamente en produccin.

Alto La metodologa de pruebas
debera especificar la utilizacin
de ambientes separadas para
desarrollo pruebas y produccin,
adems, contar con un ambiente
de pruebas ntegro que permita
recrear las mismas condiciones
del ambiente de produccin y
asegurar el completo y adecuado
funcionamiento de los sistemas.

Alta

Implantacin de Sistemas

Aplicaciones).

Los programas nuevos son
copiados a los servidores de
produccin y se procede a realizar
pruebas en conjunto con los
usuarios. Si es aprobado se
reproduce en todos los servidores.

La compaa no cuenta con un
procedimiento formal para el paso
de programas a produccin.
Bajo

Implementar procedimientos
formales para el paso de
programas a Produccin que
sean revisado y aprobados por el
personal de nivel jerrquico
adecuado.
Baja

89
RESULTSYS S.A.
Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Revisin de los lineamientos
para implantar los
cambios/desarrollo de
sistemas.

Una vez concluido los cambios o
desarrollos existe una aprobacin
formal por parte de los usuarios
como constancia de la satisfaccin
y aceptacin del trabajo realizado
por el proveedor.

90
RESULTSYS S.A.
Objetivo de Control COBIT: Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnologa de Informacin /AI4
Administracin de Operaciones /DS13
Procedimiento: Evaluar los procedimientos de operacin.
Revisar las bitcoras de operacin.
Revisar los procedimientos de schedulling y revisar las bitcoras de ejecucin de los procesos batch.

Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Revisar los lineamientos
para la ejecucin de
procesos batch.
Revisar la bitcora para
control de procesos.

Existe una rutina de ejecucin de
procesos en batch, la cual es
ejecutada diariamente, sin embargo
este proceso no se encuentra
formalmente documentado.

Los procesos batch ejecutados son
principalmente rplicas de las
distintas bases de datos de Lotus
Note.

Adicionalmente, por requerimiento
de los usuarios se realizan rplicas
de bases manualmente.

Los procesos batch dejan como
evidencia un log histrico el cul
no es revisado peridicamente.

En el caso de excepciones,
reportadas en los procesos batch
cualquier persona del departamento
GTS procede a solucionar a travs
de rplicas manuales.
No existe un procedimiento
formalmente documentado sobre la
ejecucin y control de los procesos
batch de la compaa.

Bajo Elaborar un manual de
procedimientos en el cual se
detalle las responsabilidades y
actividades a realizarse para
ejecutar los procesos batch.

Entre otras cosas, el
procedimiento debera
considerar: responsables,
horarios, rutinas a ser ejecutadas,
posibles cursos de accin en
casos de problemas, etc.
Baja

91
RESULTSYS S.A.
Objetivo de Control COBIT: Administracin de la Informacin /DS11
Procedimiento: Revisar los procedimientos vigentes para backup de informacin (tipo de informacin, periodicidad, lugar de
almacenamiento y pruebas peridicas de los respaldos).

Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Revisar los lineamientos
para la obtencin de
respaldos.

Existe una rutina de generacin de
los respaldos de la informacin,
ejecutada diariamente, sin embargo
este procedimiento no est
formalmente documentado.

Existen respaldos diarios y
mensuales.

Se realizan respaldos diariamente
la informacin del correo
electrnico, servidores de archivos
y base de datos de clientes.

Los respaldos son completos (full)
con reutilizacin de las cintas.

Las cintas utilizadas son DLT
40/80 GB.

Estas cintas pueden ser reutilizadas
hasta 24 veces.

Los respaldos diarios son
realizados por los administradores
de red.

Los respaldos de las Base de Datos
es responsabilidad del
No todos los datos de la
informacin que se respalda
No poseen un procedimiento
formalmente documentado para el
proceso de obtencin de respaldos
de la informacin.

Es un proceso definido
informalmente.

Medio

Alto

Alto

Elaborar un manual de
procedimientos en el cual se
detalle el proceso de obtencin
de respaldos de la informacin,
incluyendo: servidores, tipo de
informacin, frecuencia,
responsables, bitcora de
novedades, etc.

Establecer, difundir y hacer
cumplir normas de trabajo a los
usuarios que generan o procesan
informacin sensitiva en
utilitarios de oficina, como por
ejemplo:

- Asignar espacios definidos
para cada usuario en los
discos de los servidores.
- Aplicar normas que
obliguen a los usuarios a
mantener y efectuar copias
peridicas de archivos en el
servidor.

Mejorar el procedimiento de
generacin de respaldos de la
Media

Alta

Alta

92
RESULTSYS S.A.
Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Administrador de Base de Datos.

El software utilizado para la
generacin de los respaldos es
ArcServer.

Las cintas se almacenan durante la
semana en la oficina del Area IT, al
final de la semana son almacenados
en una oficina externa.

Mensualmente una versin se
archiva en el casillero del Banco
Internacional.

No poseen un procedimiento de
prueba de los respaldos. Slo son
probados en el momento que
realizan un requerimiento de
restauracin, y luego son
almacenados.

(mdulos o aplicaciones) son
detallados en la bitcora de
respaldos.

No se realizan pruebas peridicas
para asegurar la adecuada
generacin de los respaldos.

informacin, en el cual se
incluya los siguientes aspectos:

1. Bitcora de los respaldos
realizados. Esta bitcora
deber incluir entre otras
cosas:

Listado de servidores /
unidades a ser respaldadas.
Detalle del tipo de
informacin a ser
respaldada (base de datos,
programas, etc.)
Horario de ejecucin de
respaldo.
Responsables.
Nmero de cintas utilizadas.
Cdigo o numeracin de
cintas.
Observaciones.

2. Establecer un procedimiento
de prueba peridica de los
respaldos, el cual garantice
que la informacin que se
encuentre en las cintas sea
completa e ntegra. El
objetivo es probar la calidad
del soporte, las condiciones
de almacenamiento y
validez del proceso de
respaldo. Para ello
sugerimos restaurar al
menos una vez por mes un

93
RESULTSYS S.A.
Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
respaldo reciente.


Revisar las actividades que
realiza como medidas de
respaldo de los servidores y
las comunicaciones.

Los procedimientos para recuperar
un servidor, en caso de ocurrir una
falla, no se encuentran formalmente
documentados.

Los servidores principales cuentan
con arreglos de discos (storage
arrays) y con raid 5 tolerancia a
fallas.

Adicionalmente, los equipos
Compaq poseen el software
Netintelligent de monitoreo de
errores en los dispositivos fsicos
(disco duro, tarjetas, main board,
ventiladores, etc.), el cual indica
constantemente los errores en los
servidores.
No poseen procedimientos
formalmente definidos para
recuperacin y respaldo de
servidores y comunicaciones.

Medio Definir y documentar los
requerimientos de
telecomunicaciones necesarios
para soportar el funcionamiento
de las aplicaciones y servicios
crticos estableciendo medios de
comunicacin alternativos
(backups).

Media

94
RESULTSYS S.A.

Requerimiento: Administracin de las Bases de Datos (DBA)
Objetivo de Control COBIT: Definicin de la Arquitectura de Informacin / PO2
Procedimiento: Evaluar los procedimientos de administracin de la base de datos.

Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo

Revisin de los
procedimientos de seguridad
de la Base de Datos.

Existe 1 persona que posee
privilegios de Administrador de la
Base de Datos en el ambiente de
Produccin (Juan Carlos Viera).

Revisin de las seguridades
de la Base de Datos
siguiendo los puntos de
enfoque recomendados por
GRMS Da
Environment Control
Features Review Plan
Practice Aid de
PricewaterhouseCoopers
tabase

El proceso de conexin entre la
Base de Datos y las aplicaciones
consiste en:

Todos los usuarios de aplicaciones
acceden a la Base de Datos a travs
de un usuario (no loggable) de
conectividad comn (US), el cual
permite enlazar el usuario de la
aplicacin con la Base de Datos.

1. El usuario ingresa a la
aplicacin.
2. Ingresa su login y password
(de la aplicacin).
3. Realiza la operacin requerida
en la aplicacin.
4. De manera transparente al
usuario, la aplicacin se
conecta a la Base de Datos
haciendo uso del usuario
comn (US), el cual provee la
conectividad entre la Base de
Datos y la aplicacin.
Existen varias personas con perfil
de DBA dentro de la compaa.
Adicionalmente la clave del
Administrador de la Base de Datos
es conocida y compartida con otros
miembros del departamentos GTS.

Alto

Asignar las funciones y el perfil
de Administrador de la Bases de
Datos nicamente al responsable
de estas funciones.

Redefinir los perfiles del
personal de sistemas,
asignndoles nicamente los
permisos y accesos a las bases
de datos requeridos para sus
funciones.

Recomendamos almacenar en un
sobre cerrado y en un sitio
seguro clave del DBA como
medida de respaldo.

Alta

95
RESULTSYS S.A.
Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
5. Una vez realizada la conexin,
cada aplicacin tiene una tabla
de autenticacin en la Base de
Datos, la cual contiene el
nombre del usuario, login y
password, accesos permitidos
y estado del usuario.
6. La Base de Datos revisa: a)
usuario; b) contrasea; c)
estado del usuario (A: Activo,
B: Inactivo); y d) Privilegios
de la cuenta.
7. Al pasar exitosamente los
cuatro chequeos se permite que
las operaciones sean
registradas en la Base de
Datos.

El usuario comn de conectividad
habilita concurrentemente muchos
canales de comunicacin, sin
reducir el tiempo de respuesta de la
Base de Datos.

Actualmente slo los usuarios del
departamento de Finanzas tienen
un usuario de conectividad para
cada usuario de la aplicacin.

96
RESULTSYS S.A.
Procedimiento: Revisar el sistema de documentacin de la base de datos (nivel de detalle y actualizacin de la informacin).

Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Entrevista con el
Administrador de la Base de
Datos (Juan Carlos Viera)

Actualmente el Administrador de la
Base de Datos se encuentra
mejorando los procedimientos de
documentacin de la base de datos. Revisin de los
procedimientos para
documentacin de la Base de
Datos.

No todos los cambios a la Base de
Datos, son actualizados en la
documentacin: Diccionario de
Datos, Modelo Entidad Relacin y
el Modelo Conceptual.

No poseen procedimientos
formales para documentar los
cambios realizados a la Base de
Datos.

El Diccionario de Datos, Modelo
Entidad Relacin y el Modelo
Conceptual de algunos Mdulos no
se encuentran actualizados.

Medio

Elaborar un manual de
procedimientos que aseguren
una adecuada y permanente
actualizacin de la
documentacin de la Base de
Datos, especificando, entre otras
cosas, responsables, documentos
a ser actualizados, mtodo de
actualizacin, etc.

Media

97
RESULTSYS S.A.

Procedimiento: Analizar roles y responsabilidades de la administracin de la base de datos.

Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Entrevista con el
Administrador de la Base de
Datos (Juan Carlos Viera).
La Administracin de la Base de
Datos est a cargo de Juan Carlos
Viera.

Evaluar los roles y
responsabilidades asignadas
al DBA vs. las funciones
efectivamente realizadas.

Se efecta un monitoreo peridico
del rendimiento de las Bases de
Datos.

98
RESULTSYS S.A.
Requerimiento: Gestin y Explotacin de las Aplicaciones
Objetivo de Control COBIT: Adquisicin y Mantenimiento de Software de Aplicacin / AI2
Garantizar la Seguridad de Sistemas / DS5
Procedimiento: Relevar informacin relativa a las aplicaciones como: caractersticas generales, responsables, plataforma
tecnolgica, principales mdulos, mecanismos de seguridad disponibles, documentacin existente, interfaces con
otros sistemas e implantaciones en curso.
Evaluar la seguridad y control de cada aplicacin.

RESULTSYS tiene como estrategia empresarial la adquisicin de aplicaciones, as como la tercerizacin del mantenimiento de sistemas con
distintos proveedores. Solamente se realizan desarrollos menores, los principales sistemas en produccin son:

#

Aplicacin

Funcionalidad

Responsable

Sites Abarcados
1 Gestor Sistema utilizado para proveer servicio
de tercerizacin a clientes (Contabilidad /
Nmina)
Juan Carlos Viera Quito / Guayaquil
2 Platinum Sistema Administrativo Financiero
Interno
Juan Carlos Viera Centralizado en Quito
3 WIP
Sistema para Control de Proyectos (Clientes)
Juan Carlos Viera Quito / Guayaquil
4 Sistema de Reporte de
Impuestos
Sistema de reportes para el Impuesto al Valor
Agregado IVA e impuesto a la Renta para el SRI
Juan Carlos Viera Centralizado en Quito
5 Otras aplicaciones menores
- Inventarios de Computadores, Requisiciones,
Ranking de clientes, etc. (Lotus Notes)
- Sistema Integrado de Legislacin
Ecuatoriana
- Sistema de Remuneraciones Salariales
(Encuestas)
Responsable de las Areas
Usuarias
Quito / Guayaquil

99
RESULTSYS S.A.

Debilidades
Identificadas
Nivel de Riesgo Recomendacin Prioridad
Seguridades

1. Aunque todas las aplicaciones
poseen un mdulo de seguridad, no
se han definido reglas para la
construccin y cambio de claves.
Existe nicamente reglas con
respecto al tamao y periodicidad
de cambio.

2. Cada aplicacin posee su propio
mdulo de seguridad, es decir, no
existe un esquema de seguridad
nico para todas las aplicaciones, lo
que obliga a la utilizacin de claves
por cada aplicacin.

3. La administracin de perfiles de
usuarios de las aplicaciones se
encuentra a cargo del administrador
de aplicaciones y del administrador
de red.

Alto

Definir un esquema de seguridades
estndar para las aplicaciones, en donde
se tomen en cuenta:
Alta

Utilizacin de perfiles de usuarios
predefinidos para todas las
aplicaciones.

Definir un esquema nico de
seguridades para todas las
aplicaciones, de tal manera que
permita a los usuarios utilizar un solo
perfil de acceso para todas las
aplicaciones requeridas.
Asignar las funciones de
administrador de seguridades de las
aplicaciones al personal apropiado.

Adicionalmente se debera considerar
mejorar las reglas de construccin y
cambio de claves de las aplicaciones,
tomando en cuenta aspectos como:

Longitud mnima de claves

No permitir el uso de caracteres
repetidos en las claves
Considerar la inclusin de caracteres
numricos

No permitir el uso de la misma clave
de forma consecutiva.

Solicitar a los nuevos usuarios como

100
RESULTSYS S.A.
Debilidades
Identificadas
Nivel de Riesgo Recomendacin Prioridad

Documentacin existente
El proveedor no ha proporcionado
manuales tcnicos y de usuario para
algunas aplicaciones.

Medio

primera actividad el cambio de la
clave que les fue asignada.

Este esquema deber aplicarse tanto para
aplicaciones desarrolladas como para las
adquiridas.

Solicitar a los proveedores de
aplicaciones actualizar los manuales de
usuarios y tcnicos de las distintas
aplicaciones utilizadas, tarea que debera
ser considerada parte de la metodologa
de desarrollo.

Media

101

102
Etapa C Etapa C
Plataformas y
Comunicaciones

103
C Monitorear el Rendimiento y Capacidad de los
componentes de la red.
Nivel de Criticidad
C Implementar herramientas que permitan agilitar el
registro, control de los equipos, software y sus
respectivas licencias.

104
No existe un adecuado monitoreo sobre el trfico de red y
comunicaciones.
No se emiten reportes para el anlisis del rendimiento de los servidores y
dems componentes de la red.
Porcentajes bajos de espacio disponible en los discos de los Servidores.
C Monitorear el Rendimiento y Capacidad de los
componentes de la red.

105
No existe herramientas para control del software existente.
C Implementar herramientas que permitan agilitar el registro,
control de los equipos, software y sus respectivas licencias.

106
Nivel de Criticidad
C Desarrollar un Website acorde al perfil e
imagen de la compaa.

107
Etapa C Etapa C
Plataformas y
Comunicaciones
INFORME DETALLADO Y
RECOMENDACIONES

RESULTSYS S.A.
PLATAFORMAS Y COMUNICACIONES
Requerimiento: Plataforma Tecnolgica, Redes y Comunicaciones
Objetivo de Control COBIT: Administracin de Desempeo y Capacidad / DS3
Procedimiento: Revisin de los procedimientos de medicin del rendimiento. Anlisis de los informes de rendimiento disponibles.

Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Snchez para relevar los
procedimientos de
monitoreo y rendimiento del
Trfico de la Red.

No se realizan reportes de
rendimiento ni anlisis del trfico
de la red.

El monitoreo de la red WAN lo
realiza la oficina central de Sao
Paulo.

Sobre la red local se realiza anlisis
a travs de una herramienta de
3COM limitada.

No se ha desarrollado un Plan de
Administracin de Capacidad de
Recursos.

Procedimientos para anlisis de
trfico en la red y generacin de
reportes de rendimiento no han sido
definidos.

Medio Desarrollar un Plan de
Administracin de Capacidad de
Recursos, en donde se establezca
un proceso de revisin del
desempeo y capacidad del
hardware, redes y
comunicaciones con el fin de
asegurar que siempre existe una
capacidad justificable
econmicamente para procesar
las cargas de trabajo y
proporcionar un desempeo
acorde a las necesidades del
negocio.

El plan de capacidad deber
cubrir escenarios mltiples y
procedimientos formales para el
monitoreo y anlisis de trfico
en la red.

Media

108
RESULTSYS S.A.
Procedimiento: Revisin de los procedimientos relativos al monitoreo de la red. Anlisis de la bitcora de problemas.
Anlisis de los mecanismos de comunicacin y acceso a los datos de la red desde el punto de vista de
disponibilidad.

109
Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Snchez para conocer los
parmetros de disponibilidad
utilizados para el control y
monitoreo de la red y
comunicaciones.

El control y monitoreo se efecta a
la red de acuerdo a parmetros
establecidos por la organizacin
global.

Snchez para conocer y
evaluar los lineamientos y
herramientas que se utilizan
para el control y monitoreo
de la red y comunicaciones.
No se dispone localmente de
herramientas para monitoreo.

No se cuenta con procedimientos
formales para el control de eventos
en la red.

No se emiten reportes peridicos
del monitoreo a la red y
comunicaciones.

Adems, no se utiliza software para
el monitoreo de las red y
comunicaciones.

Alto Implementar procedimientos de
Monitoreo y Reporte de Eventos
de la Red y las Comunicaciones.
Asimismo, las excepciones
debern ser reportadas y
registradas en una bitcora de
problemas de manera oportuna y
completa.

Los reportes debern incluir la
capacidad de pronstico para
permitir que los problemas sean
solucionados antes que afecten
en forma perceptible el
desempeo del sistema de
informacin.

Nos permitimos sugerir se
utilicen las siguientes
herramientas.

Alta
RESULTSYS S.A.
Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Monitor del Sistema de
Windows NT4.0
HP Open View, herramienta
compatible con Compaq
Insight Manager, que posee
entre otras las siguientes
utilidades:
Monitoreo de
Comunicaciones
Monitoreo de
Infraestructura de Internet.
Administracin de Redes
LAN.
Administracin de recursos
y rendimiento.

Entrevista con Lenn
Robalino para conocer los
procedimientos de
mantenimiento preventivo
de equipos.

El rea de Soporte Tcnico cuenta
con una planificacin del
mantenimiento rutinario y
peridico del hardware con el fin
de reducir la frecuencia y el
impacto de fallas de rendimiento de
los equipos.

110
RESULTSYS S.A.
Procedimiento: Relevar las herramientas de monitoreo de hardware y software existentes, y compararlas con las disponibles en
el mercado.

Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Snchez para conocer los
mecanismos para el control
de Hardware y Software.
El control del hardware y software
utilizados se lo lleva en una base de
datos en Lotus Notes.
No existen herramientas para
control de software existente.

Medio

Implementar herramientas que
permitan agilitar el registro,
control de los equipos, software
y sus respectivas licencias.

Nos permitimos sugerir las
siguientes herramientas de
control.

Control de Hardware y
Software

ASAP eSMART

(http://www.asap.com/eSMART
/index.htm)

AssetMetrix

System Management Server
2.0

http://www.microsoft.com/pirac
y

http://www.assetmetrix.com/

Media

111
RESULTSYS S.A.
Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo

Control de Software y
Licenciamiento

GASP5 Suite

http://www.attest.com/

Express Software Manager

http://www.expressmetrix.com/

The Microsoft Software
Inventory Analyzer (MSIA)

http://www.microsoft.com/pirac
y/msia/

EasyVista

http://www.easyvista.com/.

112
RESULTSYS S.A.
Objetivo de Control COBIT: Administracin de la Configuracin / DS9
Aseguramiento de Servicio Continuo / DS4
Procedimiento: Relevamiento de la arquitectura del sistema
Revisar procedimientos de respaldo (mirroring, lneas de comunicacin alternativas).

113
Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Determinar si la
Arquitectura Actual se
encuentra enmarcada
dentro de un Plan de
Infraestructura
tecnolgica.

La arquitectura del sistema
actualmente utilizada por la
compaa est enmarcada en las
definiciones y polticas de la
organizacin.

Snchez para conocer y
evaluar la documentacin
interna disponible con
relacin a la Infraestructura
Tecnolgica.

Existe documentacin de
diagramas, configuraciones y
procedimientos de
administracin de red y
comunicaciones.

Solicitar a Adriana
Snchez listado con las
caractersticas de los
servidores.
Realizar un anlisis de sus
caractersticas en relacin
con su funcionalidad.

Los servidores instalados en el
RESULTSYS poseen las
siguientes caractersticas:

- Marca: Compaq
- Lneas: ML530
- RAM: Desde 256MB hasta
1GB.
- Disco Duro: Array 5 con 4
HD 9.1 GB de capacidad.
Adems, se pudo determinar
que diversos servidores,
mantienen ms del 85% de
capacidad de disco utilizada.

Alto Deber efectuarse un
monitoreo del espacio
disponible en los discos de
los servidores, procurando
mantener un porcentaje
mnimo del 15% de su
capacidad total.
Alta
RESULTSYS S.A.
Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
- Procesadores : Pentium y
Pentium III desde 400MHz
a 2.2 GHz.

Solicitar a Viviana
Crdoba, un listado con
las caractersticas de las
estaciones de trabajo.
Realizar un anlisis de sus
caractersticas.

El estndar para nuevas
adquisiciones de estaciones de
trabajo es el siguiente:

Procesadores: Pentium IV
2GHz
Lneas: Dektop
RAM: 256 MB.
Disco Duro: Desde 2GB a 40
GB.

Existe un contrato de leasing
con la empresa SONDA.

Snchez para recopilar
informacin relacionada
con el software bsico
estndar utilizado.
El software bsico est
totalmente estandarizado por
lineamientos corporativos,
adems, se siguen normas para
evitar la instalacin de software
no autorizado por parte de los
usuarios.

114
RESULTSYS S.A.
Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Snchez para conocer las
caractersticas del website
de la compaa.

No existe un website de la
compaa.
No existe un website de la
compaa.
Bajo Desarrollar un Website
acorde al perfil e imagen de la
compaa.

Baja

115

116
Etapa D Etapa D
Evaluacin de
Seguridades y
Procedimientos de
Continuidad

117
C Redefinir las seguridades lgicas del Sistema
Operativo.
C Elaborar e implantar procedimientos alternativos de
operacin durante fallas.
Nivel de Criticidad

118
C Redefinir las seguridades lgicas del Sistema Operativo.
Usuarios: 2 Administradores, 6 usuarios con password sin tiempo de expiracin, 10
deshabilitados que no han sido eliminados, 7 Inactivos por ms de 90 das que no han
sido deshabilitados, 5 usuarios definidos que nunca no se han conectado a la red, 15
password igual al nombre del usuario, 8 usuarios genricos.
DUPLICADOR 2066 Day(s) 1 Hr. 18 Min. 10 Sec. No X X X
SMSUSER 1106 Day(s) 20 Hr. 59 Min. 19 Sec. No X X X
Usuario Duracin Actual del Password Password
Expirado
Password Configurado
para Nunca Expirar
Password Igual que
Nombre de Usuario
Administrador

119
C Redefinir las seguridades lgicas del Sistema Operativo.
Grupos: No existe una planificacin formal para la creacin de grupos de usuario en el
sistema operativo (Existen usuarios que forman parte de grupos no acorde a sus
funciones).
Auditora: No se realiza ninguna revisin sobre los log de auditora activados. Adems,
los mismos no se encuentran activados individualmente en todos los servidores.

120
Elaborar un Plan de contingencias adecuadamente estructurado acorde a la
estructura tecnolgica, riesgos y servicios que la Compaa brinda.
Disear Procedimientos que permitan la continuidad de la operacin del
negocio ante cualquier incidente o falla.
Se deberan considerar procedimientos como:
Operacin durante fallas en las comunicaciones.
Mirroring para los discos de todos los servidores.
Equipos de reemplazo y dems componentes de la red.
Hot sites disponibles y probados.
Mecanismos de comunicacin alternativos.
Back ups almacenados en -o cerca del - potencial hot site.
C Elaborar e implantar procedimientos alternativos de operacin
durante fallas.

121
Nivel de Criticidad
C Establecer un procedimiento formal para altas, bajas y
modificaciones de usuarios en coordinacin con el Area de
Recursos Humanos.
C Revisar los niveles de acceso fsico al rea de servidores.
C Hacer uso de carteles que recuerden a los funcionarios las
prohibiciones de NO FUMAR" o "NO INGERIR ALIMENTOS
EN EL REA".
C Extraer cualquier tipo de material inflamable (papeles,
cartones, etc.) del piso del departamento de sistemas y del
cuarto de servidores.
C Efectuar pruebas peridicas del plan de contingencias para
asegurar su efectividad.

122
INFORME DETALLADO Y
RECOMENDACIONES
Etapa D Etapa D
Evaluacin de
Seguridades y
Procedimientos de
Continuidad
RESULTSYS S.A.
EVALUACION DE SEGURIDADES Y PROCEDIMIENTOS DE CONTINUIDAD
Requerimiento: Seguridades: Fsicas, Lgicas y de Comunicaciones
Objetivo de Control COBIT: Garantizar la Seguridad de Sistemas / DS5
Identificacin de Soluciones de Automatizacin Diseo de Pistas de Auditora (1.10) / AI1
Procedimiento: Evaluar las polticas y procedimientos de seguridad vigentes.
Revisar la seguridad lgica implantada en los servidores.
Tiempo permitido de inactividad en el sistema (time out).
Verificar la activacin y revisin de logs y pistas de auditora.

123
Trabajo Realizado Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
POLITICAS Y
PROCEDIMIENTOS DE
SEGURIDAD.

Se han definido los siguientes
niveles de seguridad:

Snchez para conocer las
polticas y procedimientos
de seguridad vigentes.

Aplicaciones: Los Sistemas de
Informacin permiten crear
perfiles de acceso, por medio
de los cuales se asigna o
restringe al usuario ciertas
opciones.

Sistema Operativo: Se han
configurado parmetros de
seguridad propios del sistema
operativo y se ha asignado un
nombre de usuario y password
para el acceso a los recursos
(red, impresoras, etc.).

En cuanto a formalizacin, se
elabor un manual completo de
polticas y procedimiento de
seguridad con base a lineamiento
corporativos.

RESULTSYS S.A.
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
124
Esta informacin est a
disponibilidad de los usuarios en
bases de datos Lotus Notes.

ROLES Y
RESPONSABILIDADES DE
SEGURIDAD Y CONTROL
IT
Los roles estn distribuidos de la
siguiente manera:

Snchez para conocer como
se han determinado roles y
responsabilidades de
seguridad y control IT.

Administracin de Bases de
Datos: Juan Carlos Viera.

Mediante el software
Bindview se revis quienes
tienen privilegios de
administrador dentro de
Novell Netware.

Administracin de seguridades
a nivel de Red,
Comunicaciones y Centro de
Cmputo: Adriana Snchez.

De la revisin del Sistema Operativo
con BindView pudimos observar
que de los 2 usuarios detallados,
nicamente 1 justifica la utilizacin
de este privilegio, ya que l cumple
las funciones de Administrador de
Red.
Autorizacin para Creacin de
Usuarios en la Red y
Aplicaciones (Gerentes de
cada Area).
Creacin de Usuarios, en la red
y Aplicaciones (Adriana
Snchez).
Acceso Correo Electrnico
Interno y Externo, Adriana
Snchez.
Acceso a Internet, Adriana
Snchez.
Administrador de claves de los
Sistemas: Juan Carlos Viera

RESULTSYS no ha definido roles
de una manera formal.

Alto Dentro de las Polticas de
Seguridad se deben establecer
roles y responsabilidades
adecuadas para la seguridad de
la informacin. Adems, se
debern desarrollar
procedimientos adecuados. Esto
incluye entre otras cosas:

- Propiedad de la
informacin.
- Roles y responsabilidades
relativos a la seguridad
fsica de los equipos de
computacin.
- Por ltimo se debe redefinir
los privilegios configurados
en el Sistema Operativo.

Alta
RESULTSYS S.A.
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
125
EDUCACION Y
CAPACITACION DE
SEGURIDAD

Se nos coment que se realiza
charlas de induccin a los
empleados nuevos y se enva una
serie de documentos referentes a
las polticas de uso de los recursos
tecnolgicos en general.

Snchez, conocer la
capacitacin que se ha dado
a los empleados de
RESULTSYS, referente a
Seguridad y Control IT.

SEGURIDAD DE USUARIO
Mediante el software Bindview
se revis las polticas de
seguridad configuradas en el
Sistema Operativo, siguiendo los
puntos de enfoque recomendados
por GRMS Novell Netware
Practice Aid.

Consultas ejecutadas:

1. Detalle de Configuracin de
Passwords en las Cuentas de
Usuario.

2. Polticas de cuenta de
Dominio.

3. Usuarios sin password.

4. Usuarios Deshabilitados.

1. Los reportes obtenidos
incluyen informacin de:

a. Opcin para Expiracin de
password activada.
b. Opcin de cambio de clave por
el propio usuario.
c. Password Expirado
d. Password debe ser cambiado
en la siguiente sesin
e. Intentos fallidos de acceso.

2. Los resultados obtenidos
fueron:

- Longitud Mnima de
password: 8 (Notes) 6 (Novell)
BD Oracle (6)

- Duracin Mxima del
password: 50 das (Novell y
BD)

Se encontraron 2 usuarios que:

a. Su Password nunca expira

b. Adems de los usuarios cuyo
password nunca expira, la
opcin de cambio de clave por
el usuario no se encuentra
activada.

c. Usuarios con Password
expirado

d. Usuarios que tiene configurado
el cambio de password en la
siguiente sesin.

Existen 7 usuarios inactivos por
ms de 90 das que no han sido
deshabilitados o eliminados

Alto

Implementar procedimientos de
Seguridad de Usuario
(Identificacin, Autenticacin y
Acceso) en el sistema operativo,
dichos mecanismos debern
evitar que personal no
autorizado tenga acceso a los
recursos IT, de igual manera se
deber minimizar la necesidad
de utilizar mltiples nombres de
usuario y contraseas.

Asimismo, debern definirse
polticas de configuracin a
nivel de Sistema Operativo para
conservar la efectividad de los
mecanismos de autenticacin y
acceso:

- Activar la expiracin de
password.
- Permitir el cambio de clave

Alta
RESULTSYS S.A.
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
5. Usuarios Bloqueados

6. Usuarios Inactivos por ms
de 90 das que no han sido
deshabilitados.

7. Usuarios Habilitados que
nunca se han conectado a la
red, verificando que no
correspondan a usuarios
deshabilitados, bloqueados o
inactivos.

8. Usuarios cuyo password es
igual al nombre de su
identificacin.

9. Usuarios cuyo nombre de
Cuenta no es apropiado.

10. Usuarios repetidos en el
domino.

11. Usuarios sin descripcin de
cuenta.

12. Usuarios con nombres
genricos.
- Nmero de passwords
diferentes: 10

3. No se encontraron usuarios sin
password.

4. Se encontraron un total de diez
usuarios deshabilitados.

5. Existen 25 cuentas de usuario
bloqueadas.

6. Existen 5 usuarios habilitados
que nunca se han conectado a
la red.

7. Existen 15 usuarios cuyo
password es idntico al
nombre de su identificacin.

8. No se encontraron usuarios
repetidos.

9. Existen cuatro usuarios sin
descripcin de la cuenta.

10. Existen 8 usuarios con nombre
de cuenta genrico, es decir
que no se puede establecer la
persona propietaria de la
cuenta.

Existen 5 usuarios que nunca se
han conectado a la red.

Existen 15 usuarios cuyos
passwords son iguales al
nombre de usuario.

a los usuarios.
- Limitar el nmero de
Intentos fallidos de
conexin a 3.
- El password no debe ser
igual al nombre de usuario
- Mantener descripciones de
todas las cuentas.
- Renombrar las cuentas
creadas por defecto por el
sistema operativo, en
especial las de
administrador e invitado.
- Se recomienda que no se
puedan repetir caracteres en
la nueva contrasea.

Adems, se deben establecer
procedimientos de:

- Altas, bajas, bloqueos,
deshabilitacin, eliminacin
de cuentas de usuario.
- Procedimiento que debera
considerar una aprobacin
formal por parte del
propietario de los datos y de
la persona que otorga los
privilegios de acceso. Todo
esto podra ser coordinado
por el departamento de
Recursos Humanos.
- Revisin y depuracin de
cuentas bloqueadas,
deshabilitadas o inactivas
por ms de 90 das. Adems
126
RESULTSYS S.A.

se deber contar con
procesos de control para
confirmar los derechos de
acceso.
- Revisin de usuarios que no
se han conectado a la red.
- Renombrar las cuentas de
usuario con nombre
genrico.

SEGURIDAD DE GRUPOS

Indagar con Adriana
Snchez la funcionalidad de
cada uno de los Grupos
configurados en Novell
Netware.
Mediante el software
Bindview se revis las
polticas de seguridad de
Grupos configuradas en el
Sistema Operativo,
siguiendo los puntos de
enfoque recomendados por
GRMS Novell Netware
Practice Aid.


1. Grupos Locales

2. Grupos Globales

3. Membresa de Grupos, con
Los grupos son creados de acuerdo
a las reas definidas en
RESULTSYS.

No existe una adecuada planeacin
para la definicin de grupos y
asignacin de usuarios acorde a las
funciones que realiza.

Asimismo, algunos usuarios forman
parte de Grupos que no les
corresponden, de acuerdo a su
funcionalidad.

Alto RESULTSYS no posee una
planificacin formal para la
creacin de grupos. Sin una
adecuada planificacin, existe el
riesgo de implementar grupos
redundantes o no autorizados

Para la planificacin se debe
tomar en cuenta las mejores
prcticas como:

- Los Grupos Globales deben
ser utilizadas para organizar
cuentas de usuario de
dominio, los cuales deben
ser organizados por
localizacin o funcin.

- Los Grupos Locales deben
ser usados para proveer
acceso a recursos y derechos
para efectuar tareas del
sistema.

Asimismo, es importante
Alta
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
127
RESULTSYS S.A.
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
esta consulta se verific que
los usuarios formen parte de
los grupos de acuerdo a sus
funciones.

mantener registros (justificacin,
descripcin, derechos) de los
grupos agregados a los ya
definidos por el sistema
operativo.

OPCIONES DE AUDITORIA Y
LOG DE EVENTOS

seguridad de Auditora y Log de
Eventos configuradas en el
Sistema Operativo, siguiendo los
puntos de enfoque recomendados
por GRMS Novell Netware
Practice Aid.


1. Servidores sin Log de
Auditora Habilitado.

2. Servidores que arrancaron
sin memoria libre.

3. Posible corrupcin de
registros.

Adems se solicitaron bitcoras
resultado del monitoreo de los
logs de auditora y de eventos.

1. Se obtuvo un detalle de los
servidores sin el log de
auditora activado.

2. No se encontraron sucesos de
servidores arrancados sin
memoria

3. No se encontraron registros
corruptos.

No se realiza ninguna revisin
sobre los logs de auditora
activados.
Los servidores individualmente
no tienen activado el log de
Auditora.

Medio

Se debe implementar un
procedimiento de revisin
peridica de los logs de eventos,
asegurando que las actividades
de seguridad, sean registradas,
revisadas y escaladas
apropiadamente en forma regular
para identificar y resolver
incidentes que involucren
actividades no autorizadas.

Para algunas funciones
especficas (Administracin de
Bases de Datos, Ejecucin de
Procesos batch) es recomendable
activar el log individual del
servidor, para que el responsable
del mismo lo revise
detalladamente.

Media
128
RESULTSYS S.A.
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
129
SEGURIDAD DE
DIRECTORIOS Y
ARCHIVOS
1. Se obtuvo un reporte de los
recursos compartidos en los
servidores.

seguridad en Directorios y
archivos (acceso a datos
configurados en el Sistema
Operativo), siguiendo los puntos
de enfoque recomendados por
GRMS Novell Netware Practice
Aid.


1. Recursos Compartidos con
acceso total para todos.

2. Directorios de Usuario
Compartidos con acceso
total para todos

3. Directorios que pueden ser
propiedad de usuarios
borrados.

4. Directorios que ocupan ms
de 10 MB.

5. Directorios con ms de 100
archivos.

6. Directorios vacos.

2. Se obtuvo un detalle de los
directorios de usuario
asignados al servidor, que se
encuentran compartidos y con
acceso total para todos los
usuarios.

3. Se obtuvo un reporte con todos
los archivos de usuario
propiedad de un usuario
borrado y no hubo hallazgos al
respecto.

4. Se obtuvo un reporte de 16
directorios que ocupan ms de
50 MB en disco.

5. Se obtuvo un reporte de 5
directorios con ms de 100
archivos.

6. Se obtuvo un listado de 34
directorios que se encuentran
vacos.

1. Se encontraron 5 directorios
compartidos

2. Directorios que ocupan ms de
50 MB en disco.
3. Directorios que contienen ms
de 100 archivos.

4. Directorios de Usuario con 0
archivos.
Alto Se recomienda implementar
polticas de control de permisos
de acceso a archivos sensitivos y
de usuario, as como a
informacin sensitiva y personal.

Adems, es importante
establecer normas de utilizacin
de los directorios de usuario para
optimizar el espacio en disco
disponible en los servidores, y
evitar la posible manipulacin de
informacin no autorizada (de
otros usuarios).

Alta
RESULTSYS S.A.
Objetivo de Control COBIT: Garantizar la Seguridad de Sistemas / DS5
Procedimiento: Revisar las seguridades de accesos remotos (dial up, internet, intranet).
Evaluar los mecanismos de proteccin antivirus.

Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Snchez, para conocer
procedimientos de
restriccin de navegacin en
Internet a los usuarios.

Se ha restringido el acceso a
Internet a ciertos funcionarios de la
compaa, mediante un Proxy.
Adems, se ha restringido la
navegacin a ciertas pginas web
con Firewall One.
Comprobar las restricciones
de navegacin, mediante el
acceso a Internet con un
usuario de la red.

Snchez, encargado de la
administracin y monitoreo
de las comunicaciones.
Firewall One que sirve como
mecanismo de proteccin a la red.

Se realiza revisiones del log del
firewall de forma peridica.

El firewall registra en su log file
todo intento de acceso no
autorizado o cualquier vulneracin
de los puertos.

130
RESULTSYS S.A.
Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
RESULTSYS utiliza McAfee Virus
Scan w/SP, el cual es instalado en
todos los microcomputadores y
servidores de la compaa.

Las actualizaciones se realizan
peridicamente a travs de
procedimientos automticos.

131
RESULTSYS S.A.
Objetivo de Control COBIT: Administracin de Instalaciones / DS12
Procedimiento: Evaluar los mecanismos de seguridad fsica existentes, incluyendo contratos de seguros existentes.

Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
y Wilfrido Carranza
(Recursos Humanos).
Todos los funcionarios de la
compaa poseen una tarjeta
magntica codificada que les
permite ingresar a las reas de
trabajo previamente asignadas a
cada uno de ellos. Estos accesos se
encuentran definidos en la consola
con que cuenta el Edificio de IBM
(lugar donde se encuentran las
oficinas de RESULTSYS).

Esta maneja el software propio de
IBM que le permite realizar
monitoreo permanente de los
accesos a las diversas reas del
edificio.

Los niveles de acceso se
encuentran definidos por las
funciones realizadas por el
personal. Adems, se observaron
dos equipos adicionales que
realizan las siguientes tareas:
Equipo 1: Realiza monitoreo
de alarmas (detectores de
movimiento), electricidad,
cambios de voltaje, luces y
ventilacin.
Equipo 2: Realiza monitoreo
de las alarmas contra incendio

132
RESULTSYS S.A.
Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
instaladas.

Recursos humanos es el
responsable de la asignacin de
tarjetas y accesos fsicos para cada
empleado.

Revisin de los accesos a
las instalaciones fsicas.
Se realiz un recorrido por el
Departamento de Sistemas y cuarto
de servidores, para ingresar al
mismo no es necesario contar con
una tarjeta magntica.

Sin embargo, para ingresar al
departamento de sistemas existe
una puerta de seguridad que est
bajo control exclusivo del personal
de sistemas.

El ingreso al cuarto de servidores
es permitido nicamente a personal
del rea de sistemas, sin embargo,
no existen mecanismos de
seguridad especficos
Medio Recomendamos revisar los
niveles de acceso fsico al rea
de servidores. Este, debera ser
permitido nicamente al
personal responsable de la
operacin y mantenimiento de
los servidores.
Media
133
RESULTSYS S.A.
Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Entrevista con Wilfrido
Carranza responsable de
recursos humanos de la
compaa.

En caso de prdida de las tarjetas
de acceso, el funcionario debe
comunicar personalmente con
Recursos Humanos para proceder
a su inmediato bloqueo en el
sistema.

Al presentarse cualquier salida
definitiva de un funcionario,
Recursos Humanos solicita al
mismo la devolucin de su tarjeta
de acceso. No se utiliza el mismo
procedimiento en casos de
presentarse vacaciones.

No existe un documento formal que
detalle polticas y procedimientos
de acceso a las instalaciones de la
compaa.
En caso de que un funcionario
tome vacaciones el mismo no
efecta la devolucin de su tarjeta
codificada de acceso, razn por la
que su cuenta o acceso no es
desactivado.

No se cuenta con polticas formales
para el acceso a las instalaciones de
la compaa.
Medio

Se recomienda solicitar a todo
funcionario que se encuentra de
vacaciones haga devolucin de
su tarjeta de acceso.

En caso de que el funcionario
desee ingresar temporalmente a
las oficinas durante sus
vacaciones deber hacerlo
utilizando una tarjeta de visitante
o una auxiliar. De igual manera
recomendamos que se elaboren
procedimientos de notificacin
de salidas de empleados ya sea
por vacaciones, despido o
renuncia por parte de Recursos
Humanos y se los haga conocer
al departamento de Sistemas.

Adems, elaborar polticas y
procedimientos de acceso a las
instalaciones y a los diferentes
departamentos. Asimismo,
dichos documentos se deberan
poner a disposicin de todos los
funcionarios haciendo uso de la
Intranet existente.

Media
134
RESULTSYS S.A.

Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Durante nuestro recorrido se
observ el piso del departamento
de sistemas se encuentra
adecuadamente diseado. De igual
manera, existe una pequea
extensin del piso del cuarto de
servidores que se encuentra
alfombrado.

Durante nuestro recorrido por las
instalaciones se observ la
presencia de extintores de incendio
y water supplier.

Dentro del departamento de
sistemas se observ extintores de
incendio

135
RESULTSYS S.A.
Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Se realiz un recorrido por
las instalaciones del
Departamento de Sistemas
con la finalidad de verificar
su estructura, organizacin y
distribucin fsica.

Durante nuestra visita no
observamos letreros que indiquen
"NO FUMAR" o "NO INGERIR
ALIMENTOS EN EL REA".

Bajo Creemos es necesario hacer uso
de carteles que recuerden a los
funcionarios las prohibiciones
mencionadas.
Baja
Revisin de las instalaciones
fsicas del departamento de
sistemas.
Durante nuestro recorrido
observamos papeles y cartones en
el piso del departamento de
sistemas. De igual manera se
observ dicho material pero en
menor cantidad en el cuarto de
servidores.
Existe material inflamable cerca
del cuarto de servidores.

Alto

Se recomienda extraer cualquier
tipo de material inflamable
(papeles, cartones, etc.) del piso
del departamento de sistemas y
del cuarto de servidores pues
incrementan los riesgos de que
exista algn incendio en los
interiores del departamento.

Alta

136
RESULTSYS S.A.

Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Revisin del rea de
servidores.
El Area de servidores fue realmente
diseada para ese propsito.

El cuarto de servidores cuenta con
un aire acondicionado, la
temperatura promedio en el cuarto
de servidores est programada para
16 grados centgrados.

El cuarto de servidores cuenta
adems con un extractor de aire
alterno en el caso de fallas del aire
acondicionado principal, este
equipo alterno mantiene una
temperatura promedio de 20 grados
centgrados.

137
RESULTSYS S.A.

Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Revisin de las
caractersticas de
seguridades fsicas
implementadas en el cuarto
de servidores.

El rea de servidores se encuentra
conformado por 4 paredes de
hormign, el piso y el tumbado son
falsos, adems de materiales como
fibra de vidrio y aluminio.

Revisin de los mecanismos
de seguridad
implementados.

Durante nuestro recorrido por las
instalaciones del edificio
observamos instaladas cmaras de
vigilancia conectados a una alarma
principal.

138
RESULTSYS S.A.
Trabajo
Realizado
Resultado
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Revisin de los mecanismos
de seguridad
implementados.

En el cuarto de servidores cuenta
con UPS administrada por el
edificio central IBM que
proporcionan suministro de energa
elctrica en el caso de fallas.

139
RESULTSYS S.A.
Requerimiento: Plan de Contingencias
Objetivo de Control COBIT: Aseguramiento de Servicio Continuo / DS4
Procedimiento: Evaluar la estrategia de recuperacin, infraestructura tecnolgica y las facilidades para la continuidad del
procesamiento.
Evaluar los procedimientos de recuperacin y operacin durante la emergencia, tomando en cuenta:
responsables, actualizacin, pruebas peridicas, metodologa para la determinacin de los procedimientos.

140
Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Snchez para relevar los
procedimientos de
contingencia.

RESULTSYS posee un Plan de
Contingencias, elaborado por el
Supervisor de Sistemas. El mismo
contempla los siguientes escenarios
y componentes: Servidores,
Software y Comunicaciones,
contingencias que se presenten en
el Centro de cmputo considerando
lo siguiente:
Evaluacin de la
documentacin y
procedimientos de
contingencia a travs del
BCP Checklist.

- Servidores.- Se poseen
procedimientos de recuperacin,
en caso de fallas de discos.

- Software.- Se desarrollaron
procedimientos para
contingencias en caso de falla
de: sistema operativo, bases de
datos (transaccionales y correo)
- Comunicaciones: Solo se
establecen los posibles
escenarios y no el procedimiento
de recuperacin.

- Fenmenos Naturales: Se
detallan los posibles fenmenos
naturales, y no el procedimiento
No se han realizado pruebas del
Plan de Contingencias que permita
continuidad en la operacin del
negocio en caso de presentarse un
incidente.

Alto Efectuar pruebas del Plan de
Contingencias acorde a la
estructura tecnolgica, riesgo y
servicios que la compaa
brinda.

El plan debera garantizar la
continuidad de la operacin del
negocio ante cualquier incidente
o falla.

Desarrollar un Plan de
Contingencias adecuado, con
base a un marco de referencia de
continuidad que defina los roles,
responsabilidades, el enfoque
basado en riesgo y la estructura
para documentar el plan, tipos de
escenario tpicos (cadas de
comunicaciones, colapso de
servidores, falta de energa), as
como los procedimientos de
aprobacin.

Este Plan debe estar acorde con
el Plan de mediano y largo plazo
de la tecnologa de la
informacin.
Alta
RESULTSYS S.A.
Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
de recuperacin.

Adems se posee un listado de los
nmeros de telfono de los
funcionarios y de los proveedores
de la compaa. Sin embargo, no
existe un instructivo que explique
qu hacer con los mismos.

Adems de lo mencionado existen
ciertos procedimientos de
contingencia que lleva a cabo, por
ejemplo:

- Obtencin peridica de
respaldos.
- Configuracin de los
servidores, con la finalidad de
que, en el caso de daarse
alguno de los discos el servidor
contine funcionando.

Nos permitimos sugerir que se
desarrolle un plan conteniendo
lo siguiente:

Guas sobre la utilizacin
del Plan de Continuidad.
Procedimientos de
emergencia para asegurar la
integridad de todo el
personal afectado.
Procedimientos de respuesta
definidos para regresar al
negocio al estado en que se
encontraba antes del
incidente o desastre.
Procedimientos para
salvaguardar y reconstruir
las instalaciones.
Procedimiento de
coordinacin con las
autoridades pblicas
Procedimientos de
comunicacin con los
interesados: empleados,
clientes clave, proveedores
crticos (Internet,
comunicaciones),
accionistas y gerencia.
Informacin crtica sobre
grupos de continuidad,
personal afectado, clientes,
proveedores, autoridades
pblicas y medios de
comunicacin.
141
RESULTSYS S.A.
Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
Se debe definir objetivos de
tiempo de recuperacin para
los procesos crticos del
negocio.
Deber determinar el
impacto econmico para los
procesos crticos del Grupo.
Definir y documentar los
requerimientos de
telecomunicaciones
necesarios para soportar el
funcionamiento de las
aplicaciones crticas y
establecer medios de
comunicacin alternativa
(backups)

Principalmente debera contarse
con procedimientos de:

Establecer configuraciones
tipo mirror o RAID en todos
los servidores, para evitar
prdidas de informacin en
caso de dao de algn disco
de los servidores.
Mantener contratos con
proveedores para la
reposicin inmediata de
equipos, en caso de
contingencia.
Establecer sitios alternativos
de procesamiento (hot sites)
Implementar
procedimientos adecuados
142
RESULTSYS S.A.
Trabajo
Realizado
Resultados
Obtenidos
Debilidades
Identificadas
Nivel de
Riesgo
de respaldo de la
informacin.
Procurar mantener un juego
de respaldos de la
informacin en o cerca del
potencial hot site.

Asimismo, es importante que
establezcan procedimientos
alternativos en caso de algn
incidente.

Todos los componentes del Plan
deben ser probados
peridicamente incluyendo
procedimientos de notificacin y
lneas de comunicacin.
143

ANEXOS
ANEXO 1 GLOSARIO DE TERMINOS ORIGINALES
AICPA Instituto Americano de Contadores Pblicos Certificado. (American Institute of
Certified Public Accountants)
CCEB Criterios comunes para seguridad en tecnologa de informacin. (Common
Criteria for Information Technology Security)
CICA Instituto Canadiense de Contadores. (Canadian Institute of Chartered
Accountants)
CISA Auditor Certificado de Sistemas de Informacin. (Certified Information Systems
Auditor)
Control Polticas, procedimientos, prcticas y estructuras organizacionales, diseados
para proporcionar una seguridad razonable de que los objetivos del negocio sern
alcanzados y que eventos no deseados sern prevenidos o detectados y corregidos.
COSO Comit de Organizaciones Patrocinadoras de la Comisin de Intercambio.
"Tradeway" (Committee of Sponsoring Organisations of the Tradeway Commission).
DRI Instituto Internacional de Recuperacin de Desastres. (Disaster Recovery
Institute International)
DTI Departamento de Comercio e Industria del Reino Unido. (Department of Trade
and Industry of the United Kingdom)
EDIFACT Intercambio Electrnico de Datos para la Administracin, el Comercio y la
Industria (Electronic Data Interchange for Administration, Commerce and Trade)
EDPAF Fundacin de Auditores de Procesamiento Electrnico de Datos (Electronic
Data Processing Auditors Foundation), ahora ISACF.
ESF Foro Europeo de Seguridad (European Security Forum), cooperacin de 70+
multinacionales europeas principalmente con el propsito de investigar problemas de
seguridad y control comunes de IT.
GAO Oficina General de Contabilidad de los EUA. (U.S. General Accounting Office)
I4 Instituto Internacional de Integridad de Informacin. (International Information
Integrity Institute), asociacin similar a ESF, con metas similares, pero con base
principalmente en los Estados Unidos y dirigida por el Instituto de Investigaciones de
Stanford (Stanford Research Institute)
IBAG Grupo Consultivo de Negocios Infosec (Infosec Business Advisory Group),
representantes de la industria que asesoran al Comit Infosec. Este Comit est compuesto
1

por funcionarios de los gobiernos de la Comunidad Europea y asesora a la Comisin
Europea sobre cuestiones de seguridad de IT.
IFAC Federacin Internacional de Contadores. (International Federation of
Accountants)
IIA Instituto de Auditores Internos. (Institute of Internal Auditors)
INFOSEC Comit Consultivo para la Comisin Europea en Materia de Seguridad IT.
(Advisory Committee for IT Security Matters to the European Commission)
ISACA Asociacin para la Auditora y Control de Sistemas de Informacin.
(Information Systems Audit and Control Foundation)
ISACF Fundacin para la Auditora y Control de Sistemas de Informacin. (Information
Systems Audit and Control Foundation)
ISO Organizacin de Estndares Internacionales. (International Standards
Organisation) (con oficinas en Gnova, Suiza)
ISO9000 Estndares de manejo y aseguramiento de la calidad definidos por ISO.
ITIL Biblioteca de Infraestructura de Tecnologa de Informacin. (Information
Technology Infrastructure Library)
ITSEC Criterios de Evaluacin de Seguridad de Tecnologa de Informacin
(Information Technology Security Evaluation Criteria). Combinacin de los criterios de
Francia, Alemania, Holanda y Reino Unido, soportadas consecuentemente por la Comisin
Europea (ver tambin TCSEC, el equivalente en los Estados Unidos).
NBS Departamento Nacional de Estndares de los Estados Unidos (National Bureau
of Standards of the U.S.)
NIST (antes NBS) Instituto Nacional de Estndares y Tecnologa. (National Institute
of Standards and Technology), con base en Washington D.C.
NSW Nueva Gales del Sur, Australia. (New South Wales, Australia)
Objetivo de Declaracin del resultado deseado o propsito a ser alcanzado al
implementar
Control de IT procedimientos de control en una actividad particular de IT.
OECD Organizacin para la Cooperacin y el Desarrollo Econmico. (Organisation for
Economic Cooperation and Development)
OSF Fundacin de Software Pblico (Open Software Foundation)
PCIE Consejo Presidencial de Integridad y Eficiencia. (Presidents Council on
Integrity and Efficiency)
2

TCSEC Criterios de Evaluacin de Sistemas Computarizados Confiables. (Trusted
Computer System Evaluation Criteria), conocido tambin como "The Orange Book".
Criterios de evaluacin de seguridad para sistemas computarizados definidos originalmente
por el Departamento de Defensa de los Estados Unidos. Ver tambin ITSEC, el
equivalente europeo.
TickIT Gua para la Construccin y Certificacin de Sistemas de Administracin de
Calidad. (Guide to Software Quality Management System Construction and Certification)
3

ANEXO 2
La siguiente tabla proporciona una indicacin, por proceso y dominio de IT, de cules criterios
de informacin tienen impacto en los objetivos de ato nivel, as como una indicacin de cules
recursos de IT son aplicables.
LEYENDA
Criterios deformacin Recursos de IT
E EFECTIVIDAD P RECURSOS HUMANOS
E EFICIENCIA
A SISTEMAS DE
INFORMACION
C
CONFIDENCIALIDA
D
T TECNOLOGIA
I INTEGRIDAD F INSTALACIONES
A DISPONIBILIDAD D DATOS
C CUMPLIMIENTO
TABLA RESUMEN
R CONFIABILIDAD
Criterios de
Informacin
Recursos de IT
DOMINIO PROCESO
E E C I A C R P A T F D
PO1 Definir un plan estratgico de sistemas P S X X X X X
PO2 Definir la arquitectura de informacin P S S S X X
PO3 Determinar la direccin tecnolgica P S X X
PO4 Definir la organizacin y sus relaciones P S X
PO5 Administrar las inversiones (en IT) P P S X X X X
PO6
Comunicar la direccin y objetivos de la
gerencia
P S X
PO7 Administrar los recursos humanos P P X
PO8 Asegurar el apego a disposiciones externas P P S X X X
PO9 Evaluar riesgos S S P P P S S X X X X X
PO10 Administrar proyectos P P X X X X
Planeacin y
Organizacin
PO11 Administrar calidad P P P S X X
AI1 Identificar soluciones de automatizacin P S X X X
AI2 Adquirir y mantener software de aplicacin P P S S S X
AI3
Adquirir y mantener la arquitectura
tecnolgica
P P S X
AI4
Desarrollar y mantener procedimientos
P P S S S X X X X
AI5 Instalar y acreditar sistemas de informacin P S S X X X X X
Adquisicin e
Implementacin
AI6 Administrar cambios P P P P S X X X X X
DS1 Definir niveles de servicio P P S S S S S X X X X X
DS2 Administrar servicios de terceros P P S S S S S X X X X X
Entrega de
servicios
y Soporte
DS3 Administrar desempeo y capacidad P P S

X X X
1

LEYENDA
Criterios deformacin Recursos de IT
E EFECTIVIDAD P RECURSOS HUMANOS
E EFICIENCIA
A SISTEMAS DE
INFORMACION
C
CONFIDENCIALIDA
D
T TECNOLOGIA
I INTEGRIDAD F INSTALACIONES
A DISPONIBILIDAD D DATOS
C CUMPLIMIENTO
TABLA RESUMEN
R CONFIABILIDAD
Criterios de
Informacin
Recursos de IT
DOMINIO PROCESO
E E C I A C R P A T F D
DS4 Asegurar continuidad de servicio P S P X X X X X
DS5 Garantizar la seguridad de sistemas P P S S S X X X X X
DS6 Identificar y asignar costos P P X X X X X
DS7 Educar y capacitar a usuarios P S X
DS8 Apoyar y orientar a clientes P X X
DS9 Administrar la configuracin P S S X X X
DS10 Administrar problemas e incidentes P P S X X X X X
DS11 Administrar la informacin P P X
DS12 Administrar las instalaciones P P X
DS13 Administrar la operacin P P S S X X X X
M1 Monitorear el proceso P S S S S S S X X X X X
M2 Evaluar lo adecuado del control interno P P S S S S S X X X X X
M3 Obtener aseguramiento independiente P P S S S S S X X X X X
Monitoreo
M4 Proporcionar auditora independiente P P S S S S S X X X X X

2

ANEXO 3
RELACIONES DE OBJETIVOS DE CONTROL
DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL

PLANEACIN Y ORGANIZACIN (Cdigo COBIT: PO)
1.0 Definicin de un Plan Estratgico de Tecnologa de Informacin (PO1)
1.1 Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo
plazo
1.2 Plan a largo plazo de Tecnologa de Informacin
1.3 Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura
1.4 Cambios al Plan a largo plazo de Tecnologa de Informacin
1.5 Planeacin a corto plazo para la funcin de Servicios de Informacin
1.6 Evaluacin de sistemas existentes
2.0 Definicin de la Arquitectura de Informacin (PO2)
2.1 Modelo de la Arquitectura de Informacin
2.2 Diccionario de Datos y Reglas de cinta de datos de la corporacin
2.3 Esquema de Clasificacin de Datos
2.4 Niveles de Seguridad
4.0 Definicin de la Organizacin y de las Relaciones de IT (PO4)
4.1 Comit de planeacin o direccin de la funcin de servicios de informacin
4.2 Ubicacin de los servicios de informacin en la organizacin
4.3 Revisin de Logros Organizacionales
4.4 Funciones y Responsabilidades
4.5 Responsabilidad del aseguramiento de calidad
4.6 Responsabilidad de la seguridad lgica y fsica
4.7 Propiedad y Custodia
4.8 Propiedad de Datos y Sistemas
4.9 Supervisin
4.10 Segregacin de Funciones
4.11 Asignacin de Personal para Tecnologa de Informacin
4.12 Descripcin de Puestos para el Personal de la Funcin de IT
4.13 Personal clave de IT
1

4.14 Procedimientos para personal por contrato
4.15 Relaciones
6.0 Comunicacin de la direccin y aspiraciones de la gerencia (PO6)
6.1 Ambiente positivo de control de la informacin
6.2 Responsabilidad de la Gerencia en cuanto a Polticas
6.3 Comunicacin de las Polticas de la Organizacin
6.4 Recursos para la implementacin de Polticas
6.5 Mantenimiento de Polticas
6.6 Cumplimiento de Polticas, Procedimientos y Estndares
6.7 Compromiso con la Calidad
6.8 Poltica sobre el Marco de Referencia para la Seguridad y el Control Interno
6.9 Derechos de propiedad intelectual
6.10 Polticas Especficas
6.11 Comunicacin de Conciencia de Seguridad en IT
7.0 Administracin de Recursos Humanos (PO7)
7.1 Reclutamiento y Promocin de Personal
7.2 Personal Calificado
7.3 Entrenamiento de Personal
7.4 Entrenamiento Cruzado o Respaldo de Personal
7.5 Procedimientos de Acreditacin de Personal
7.6 Evaluacin de Desempeo de los Empleados
7.7 Cambios de Puesto y Despidos
10.0 Administracin de proyectos (PO10)
10.1 Marco de Referencia para la Administracin de Proyectos
10.2 Participacin del Departamento Usuario en la Iniciacin de Proyectos
10.3 Miembros y Responsabilidades del Equipo del Proyecto
10.4 Definicin del Proyecto
10.5 Aprobacin del Proyecto
10.6 Aprobacin de las Fases del Proyecto
10.7 Plan Maestro del Proyecto
10.8 Plan de Aseguramiento de la Calidad de Sistemas
10.9 Planeacin de Mtodos de Aseguramiento
10.10 Administracin Formal de Riesgos de Proyectos
10.11 Plan de Prueba
2

10.12 Plan de Entrenamiento
10.13 Plan de Revisin Post Implementacin
11.0 Administracin de Calidad (PO11)
11.1 Plan General de Calidad
11.2 Enfoque de Aseguramiento de Calidad
11.3 Planeacin del Aseguramiento de Calidad
11.4 Revisin de Aseguramiento de Calidad sobre el Cumplimiento de Estndares y
Procedimientos de la Funcin de Servicios de Informacin
11.5 Metodologa del Ciclo de Vida de Desarrollo de Sistemas
11.6 Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la
Tecnologa Actual
11.7 Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas
11.8 Coordinacin y Comunicacin
11.9 Marco de Referencia de Adquisicin y Mantenimiento para la Infraestructura de
Tecnologa
11.10 Relaciones con Terceras Partes como Implementadores
11.11 Estndares para la Documentacin de Programas
11.12 Estndares para Pruebas de Programas
11.13 Estndares para Pruebas de Sistemas
11.14 Pruebas Piloto/En Paralelo
11.15 Documentacin de las Pruebas del Sistema
11.16 Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndar de
Desarrollo
11.17 Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de la
Funcin de Servicios de Informacin
11.18 Mtricas de Calidad
11.19 Reportes de Revisiones de Aseguramiento de la Calidad

ADQUISICIN E IMPLEMENTACIN (Cdigo COBIT: AI)
1.0 Identificacin de Soluciones (AI1)
1.1 Definicin de Requerimientos de Informacin
1.2 Formulacin de Acciones Alternativas
1.3 Formulacin de Estrategias de Adquisicin.
1.4 Requerimientos de Servicios de Terceros
3

1.5 Estudio de Factibilidad Tecnolgica
1.6 Estudio de Factibilidad Econmica
1.7 Arquitectura de Informacin
1.8 Reporte de Anlisis de Riesgos
1.9 Controles de Seguridad Econmicos
1.10 Diseo de Pistas de Auditora
1.11 Ergonoma
1.12 Seleccin de Software de Sistema
1.13 Control de Abastecimiento
1.14 Adquisicin de Productos de Software
1.15 Mantenimiento de Software de Terceras Partes
1.16 Contratos de Programacin de Aplicaciones
1.17 Aceptacin de Instalaciones
1.18 Aceptacin de Tecnologa
2.0 Adquisicin y Mantenimiento de Software de Aplicacin (AI2)
2.1 Mtodos de Diseo
2.2 Cambios Significativos a Sistemas Actuales
2.3 Aprobacin del Diseo
2.4 Definicin y Documentacin de Requerimientos de Archivos
2.5 Especificaciones de Programas
2.6 Diseo para la Recopilacin de Datos Fuente
2.7 Definicin y Documentacin de Requerimientos de Entrada de Datos
2.8 Definicin de Interfaces
2.9 Interfaces Usuario - Mquina
2.10 Definicin y Documentacin de Requerimientos de Procesamiento
2.11 Definicin y Documentacin de Requerimientos de Salida de Datos
2.12 Controlabilidad
2.13 Disponibilidad como Factor Clave de Diseo
2.14 Estipulacin de Integridad de IT en programas de software de aplicaciones
2.15 Pruebas de Software de Aplicacin
2.16 Materiales de Consulta y Soporte para Usuario
2.17 Reevaluacin del Diseo del Sistema

4

4.0 Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnologa de
Informacin (AI4)
4.1 Futuros Requerimientos y Niveles de Servicios Operacionales
4.2 Manual de Procedimientos para Usuario
4.3 Manual de Operacin
4.4 Material de Entrenamiento
5.0 Instalacin y Acreditacin de Sistemas (AI5)
5.1 Entrenamiento
5.2 Adecuacin del Desempeo del Software de Aplicacin
5.3 Conversin
5.4 Pruebas de Cambios
5.5 Criterios y Desempeo de Pruebas en Paralelo/Piloto
5.6 Prueba de Aceptacin Final
5.7 Pruebas y Acreditacin de Seguridad
5.8 Prueba Operacional
5.9 Promocin a Produccin
5.10 Evaluacin de la Satisfaccin de los Requerimientos del Usuario
5.11 Revisin Gerencial Post - Implementacin

ENTREGA DE SERVICIOS Y SOPORTE (Cdigo COBIT: DS)
3.0 Administracin de Desempeo y Capacidad (DS3)
3.1 Requerimientos de Disponibilidad y Desempeo
3.2 Plan de Disponibilidad
3.3 Monitoreo y Reporte
3.4 Herramientas de Modelado
3.5 Manejo de Desempeo Proactivo
3.6 Pronstico de Carga de Trabajo
3.7 Administracin de Capacidad de Recursos
3.8 Disponibilidad de Recursos
3.9 Calendarizacin de recursos
4.0 Aseguramiento de Servicio Continuo (DS4)
4.1 Marco de Referencia de Continuidad de Tecnologa de Informacin
4.2 Estrategia y Filosofa de Continuidad de Tecnologa de Informacin
4.3 Contenido del Plan de Continuidad de Tecnologa de Informacin
5

4.4 Minimizacin de requerimientos de Continuidad de Tecnologa de Informacin
4.5 Mantenimiento del Plan de Continuidad de Tecnologa de Informacin
4.6 Pruebas del Plan de Continuidad de Tecnologa de Informacin
4.7 Capacitacin sobre el Plan de Continuidad de Tecnologa de Informacin
4.8 Distribucin del Plan de Continuidad de Tecnologa de Informacin
4.9 Procedimientos de Respaldo de Procesamiento para Departamentos Usuarios
4.10 Recursos crticos de Tecnologa de Informacin
4.11 Centro de Cmputo y Hardware de respaldo
4.12 Procedimientos de Refinamiento del Plan de Continuidad de IT
5.0 Garantizar la Seguridad de Sistemas (DS5)
5.1 Administrar Medidas de Seguridad
5.2 Identificacin, Autenticacin y Acceso
5.3 Seguridad de Acceso a Datos en Lnea
5.4 Administracin de Cuentas de Usuario
5.5 Revisin Gerencial de Cuentas de Usuario
5.6 Control de Usuarios sobre Cuentas de Usuario
5.7 Vigilancia de Seguridad
5.8 Clasificacin de Datos
5.9 Administracin Centralizada de Identificacin y Derechos de Acceso
5.10 Reportes de Violacin y de Actividades de Seguridad
5.11 Manejo de Incidentes
5.12 Re-acreditacin
5.13 Confianza en Contrapartes
5.14 Autorizacin de Transacciones
5.15 No Rechazo
5.16 Sendero Seguro
5.17 Proteccin de funciones de seguridad
5.18 Administracin de Llave Criptogrfica
5.19 Prevencin, Deteccin y Correccin de Software Malicioso
5.20 Arquitecturas de FireWalls y conexin a redes pblicas
5.21 Proteccin de Valores Electrnicos
8.0 Apoyo y Asistencia a los Clientes de Tecnologa de Informacin (DS8)
8.1 Bur de Ayuda
8.2 Registro de Preguntas del Usuario
6

8.3 Escalamiento de Preguntas del Cliente
8.4 Monitoreo de Atencin a Clientes
8.5 Anlisis y Reporte de Tendencias
9.0 Administracin de la Configuracin (DS9)
9.1 Registro de la Configuracin
9.2 Base de la Configuracin
9.3 Registro de Estatus
9.4 Control de la Configuracin
9.5 Software no Autorizado
9.6 Almacenamiento de Software
10.0 Administracin de Problemas e Incidentes (DS10)
10.1 Sistema de Administracin de Problemas
10.2 Escalamiento de Problemas
10.3 Seguimiento de Problemas y Pistas de Auditora
11.0 Administracin de Datos (DS11)
11.1 Procedimientos de Preparacin de Datos
11.2 Procedimientos de Autorizacin de Documentos Fuente
11.3 Recopilacin de Datos de Documentos Fuente
11.4 Manejo de Errores de Documentos Fuente
11.5 Retencin de Documentos Fuente
11.6 Procedimientos de Autorizacin de Entrada de Datos
11.7 Chequeos de Exactitud, Suficiencia y Autorizacin
11.8 Manejo de Errores en la Entrada de Datos
11.9 Integridad de Procesamiento de Datos
11.10 Validacin y Edicin de Procesamiento de Datos
11.11 Manejo de Error en el Procesamiento de Datos
11.12 Manejo y Retencin de Salida de Datos
11.13 Distribucin de Salida de Datos
11.14 Balanceo y Conciliacin de Datos de Salida
11.15 Revisin de Salida de Datos y Manejo de Errores
11.16 Provisiones de Seguridad para Reportes de Salida
11.17 Proteccin de Informacin Sensible durante transmisin y transporte
11.18 Proteccin de Informacin Crtica a ser Desechada
11.19 Administracin de Almacenamiento
7

11.20 Perodos de Retencin y Trminos de Almacenamiento
11.21 Sistema de Administracin de la Librera de Medios
11.22 Responsabilidades de la Administracin de la Librera de Medios
11.23 Respaldo y Restauracin
11.24 Funciones de Respaldo
11.25 Almacenamiento de Respaldo
11.26 Archivo
11.27 Proteccin de Mensajes Sensitivos
11.28 Autenticacin e Integridad
11.29 Integridad de Transacciones Electrnicas
11.30 Integridad Continua de Datos Almacenados
12.0 Administracin de Instalaciones (DS12)
12.1 Seguridad Fsica
12.2 Discrecin de las Instalaciones de Tecnologa de Informacin
12.3 Escolta de Visitantes
12.4 Salud y Seguridad del Personal
12.5 Proteccin contra Factores Ambientales
12.6 Suministro Ininterrumpido de Energa
13.0 Administracin de Operaciones (DS13)
13.1 Manual de procedimientos de Operacin e Instrucciones
13.2 Documentacin del Proceso de Inicio y de Otras Operaciones
13.3 Calendarizacin de Trabajos
13.4 Salidas de la Calendarizacin de Trabajos Estndar
13.5 Continuidad de Procesamiento
13.6 Bitcoras de Operacin
13.7 Operaciones Remotas
8

ANEXO 4 GLOSARIO DE TERMINOS TECNOLOGICOS

Administracin de Base de datos (DBA). Un funcionario de cierta jerarqua que trabaja
en forma independiente tanto del departamento usuario como de los programadores,
responsable por el diseo y administracin de la base de datos.
Aplicacin / Sistemas Informticos. Actividad especfica que hace uso de un
computador.
Atencin al usuario / Actividades. Procedimientos o mecanismos para cubrir
requerimientos de soporte tecnolgico requerido por los usuarios de los sistemas de
informacin.
Desarrollo y Mantenimiento de Aplicaciones. Conjunto de polticas y procedimientos
utilizados por personal informtico para efectuar desarrollo y mantenimiento de
aplicaciones (Sistemas Informticos).
Operacin. Conjunto de polticas y procedimientos que permiten la ejecucin de los
distintos procesos informticos como: generacin de respaldos, cierres, rplicas de datos,
etc.
Plataformas Tecnolgica. Equipo principal utilizado para el procesamiento de
informacin.
Redes. Coleccin de computadoras interconectadas, en donde cada equipo es autnomo y
adems puede compartir diferentes recursos tecnolgicos.
Comunicaciones. El proceso de transmisin de datos de un punto a otro mediante el uso
de circuitos telefnicos, teletipos u otros tipos de equipos electrnicos.
Contrasea. Cdigo alfabtico o numrico que representa la identificacin confidencial
del operador. Se ingresa a travs de la terminal y es controlado por el computador mediante
la utilizacin de una tabla apropiada, a fin de garantizar que nicamente el personal
debidamente autorizado podr ejecutar las funciones que hayan sido restringidas.
Procedimientos de Continuidad / Plan de Contingencias. Conjunto de procedimientos
que permiten garantizar la continuidad del procesamiento de informacin a travs de la
restauracin de: hardware, comunicaciones, aplicaciones y procesos, durante una
determinada interrupcin del procesamiento.

1

2

Caso Practivo

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Caso Practivo

Caricato da

Copyright:

Formati disponibili

UNIVERSIDAD TECNOLOGICA EQUINOCCIAL

ESCUELA DE CONTABILIDAD Y AUDITORIA

Potrebbero piacerti anche