Sei sulla pagina 1di 80

RESULTADOS DE LA AUDITORIA

DICTAMEN DE LA AUDITORIA

Para elaborar el dictamen de la auditoría, el auditor debe tener en cuenta los hallazgos
encontrados en el proceso evaluado y los controles existentes. El dictamen es el concepto del
auditor sobre el nivel de madurez en el que se encuentra el proceso evaluado respecto de la
norma. La escala de medición se encuentra en la norma CobIT 4.1, los valores son de tipo
cuantitaivo, pero se convierten a cualitativos para explicar el porque de esa valoración.

A continuación se presenta un ejemplo de la valoración de dos procesos evaluados en un sistema y


la escala de medición:

DICTAMEN DE LA AUDITORÍA

A continuación se presentan los resultados definitivos de la auditoria y las recomendaciones de


mejoramiento por cada proceso COBIT auditado, una vez revisadas las observaciones y
aclaraciones hechas por la empresa al grupo auditor:1[1]

PROCESO COBIT: PO4: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DEL SISTEMA DE
INFORMACIÓN DE LA EMPRESA.

a. Objetivo de la Auditoria: Conceptuar sobre organización y relaciones entre el personal, los


recursos de hardware y software, los documentos soporte, el centro de cómputo con el fin
de establecer el grado de eficiencia de los procesos que ejecutan en el sistema.

b. Dictamen:Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos,


organización y relaciones del área evaluada están contenidos en un manual de procesos y
los recursos de hardware y software son adecuados. Sin embargo, este manual no se ha
actualizado con respecto a la evolución que ha tenido el Sistema, lo que hace que no sea
posible medirlo y redefinirlo. En procesos clave de administración del sistema se observa
excesiva dependencia en la capacidad y conocimiento que empleados clave tienen del
sistema.
c. Hallazgos que soportan el Dictamen:

 El manual de procesos y perfiles no se ha actualizado de acuerdo a los módulos del


sistema, acorde con la estructura de cargos de la empresa lo que dificulta ejecutar planes
de contingencia y capacitación cruzada, en caso de necesidad de reemplazar o rotar
personal clave en las operaciones y administración del sistema.

 Se encontró que la empresa contratista del sistema ejecuta labores de captura de la


información, operación directa sobre tablas de la base de datos. Igualmente, realiza
labores de auditoría y también administra el sistema operativo, la aplicación y la base de
datos. Se considera un nivel de acceso amplio que dificulta establecer controles por parte
de la empresa.

 Se encontró que el funcionario encargado del módulo de auditoría, realiza solamente el


control de usuarios con niveles de seguridad inmediatamente inferiores a él, pero nadie
realiza auditoria a las entradas de los súper usuarios del sistema.

d. Recomendaciones:

 Diseñar Bitácora de procesos y perfiles de acuerdo al manual actualizado de funciones y


procedimientos del Área Comercial.

 Documentar los procesos de consulta, lecturas y facturación realizados por fuera del
software, para que sean integrados al software. Implementar registro de solicitudes de
modificaciones y diseño de soluciones y actualizaciones.

 Documentar y diferenciar en forma precisa los procesos, políticas administrativas y


procedimientos de la administración de riesgos, la seguridad de la información, la
propiedad de datos y del sistema. Esto es, separar completamente en diferentes
responsables los procesos de captura de lecturas, correcciones masivas sobre las tablas de
la base de datos, administración de la base de datos, auditoria.
 Asignar funciones de auditoría a uno de los funcionarios que esté en capacidad de
registrar los movimientos realizados por los súper usuarios del sistema, pudiendo el
mismo realizar auditorías y ejerciendo controles adecuados sobre la seguridad del servidor
e producción y sobre la base de datos.

PROCESO COBIT: P09: EVALUAR Y ADMINISTRAR LOS RIESGOS DEL SIC.

a. Objetivo de la Auditoria: Medir los riesgos, su probabilidad e impacto sobre el aplicativo,


personal, recursos, procesos, soportes

b. Dictamen:Se estableció un nivel de madurez 2 REPETIBLE por cuanto se hacen análisis y


evaluación al Sistema, pero no son permanentes, ni se ha documentado suficientemente.
Además, falta capacitación del personal encargado. La detección de riesgos y el
establecimiento de controles se hacen, en gran parte, por iniciativa propia de los
empleados, y no en un procedimiento regular de auditoría.

c. Hallazgos que soportan el Dictamen:

 Aunque existe documentación sobre auditorias anteriores y análisis y evaluación de


riesgos sobre el sistema, no se ha destinado personal para establecer un plan de controles
sobre el mismo, lo que impide prevenir posibles fraudes, inconsistencias o pérdidas de
información y económicas. Los riesgos tampoco se han clasificado por niveles de criticidad,
no se han establecido riesgos residuales.

 No se encontró una política claramente documentada para el manejo de riesgos que


presentan nivel de criticidad medio o moderada en el sistema, tales como: infección por
virus, plan para enfrentar contingencias en el sistema, plan para detectar y corregir
debilidades o huecos en las operaciones, y errores de digitación de datos por parte de los
usuarios, generación de pistas de administración y auditoria de datos, actividades de
supervisión para detectar el nivel de confianza en los controles automatizados, difusión y
adopción de las políticas de seguridad en el procesamiento de datos, revisión
metodológica del sistema para proponer mejoras al diseño inadecuado o cuestionable de
algunos módulos, corrección de las deficiencias u obsolescencias de los mecanismos de
control interno del sistema, determinación de especificaciones técnicas inapropiadas,
detección de deficiencias en el entrenamiento de los funcionarios que ejecutan los
procesos, determinación de estándares de control de calidad de la información de la base
de datos, análisis de cumplimiento de la validación de las reglas del negocio en el sistema,
Cumplimiento normativo y de las políticas internas en el proceso del área comercial a
cargo del sistema.

d. Recomendaciones:

· Implementar el software de administración de riesgos y establecimiento de controles al sistema en


general, como parte de la Función del SGSI.

· Capacitar al personal encargado de auditar el sistema, sobre la identificación de riesgos, medición e


implementación de controles, enfocada en la seguridad de acceso e integridad de la base de datos.

· Implementar un estándar como metodología para el análisis y la evaluación de riesgos informáticos,


que permita que este proceso se lleve a cabo de manera adecuada se debe tener en cuenta que
los estándares son apropiados a ciertos tipos de evaluación, algunos de ellos son: MAGERIT, ISO
27005, OCTAVE que nos brindan los estándares y las escalas de evaluación.

· Retomar las recomendaciones que han realizado en las auditorias anteriores para realizar el
análisis, evaluación y gestión de los riesgos encontrados; establecer un sistema de control
adecuado al sistema de información y trabajar en la documentación del proceso.

PLAN DE PRUEBAS

PLAN DE PRUEBAS

El plan de pruebas debe prepararse y ejecutarse con anticipación para poder hacer la solicitudes
de permiso al área informática o al administrador del sistema que será evaluado. Las pruebas
deben llevarse a cabo en el tiempo que demore la auditoría y habrá algunas pruebas que
requieran más tiempo, por lo tanto esas pruebas quedarán dentro de las recomendaciones para
que sean ejecutadas posterior a la auditoría.

Cada uno de los auditores debe planear las pruebas para cada uno de los procesos de acuerdo a
los aspectos que se requiera evaluar, por lo tanto es responsabilidad del auditor determinar las
pruebas que sirvan para soportar el dictamen de la auditoría en cada uno de los procesos.

GUÍA DE PRUEBA P1.


Aulas de informática Institución Educativa R/PT: C1

Guía de Pruebas P1

Dominio Adquisición e Implementación

Proceso AI3: Adquirir y mantener la arquitectura tecnológica

Objetivo de Control Evaluación de Hardware

Riesgos Asociados R15, R16, R18, R19

No Evidencia Descripción

1 No hay bitácoras En las aulas de informática no se lleva un registro de


de mantenimiento mantenimiento y de cambios de hardware

GUÍA DE PRUEBA P2.

Aulas de informática Institución Educativa R/PT: C2

Guía de Pruebas P2

Dominio Adquisición e Implementación

Proceso AI3: Adquirir y mantener la arquitectura tecnológica

Objetivo de Control Mantenimiento Preventivo para Hardware

Riesgos Asociados R15, R16, R18, R19

No Evidencia Descripción

1 No se programan La Institución educativa no tiene programados jornadas de


mantenimientos mantenimiento estas están sujetas a las programaciones a nivel
nacional

2 No se sugieren La Institución educativa solamente da de baja equipos no


cambios de funcionales, pero no hace solicitudes de cambio de nuevos equipos
equipos o ya que el nuevo hardware está supeditado a los envíos que realiza
solicitudes de la sede central
nuevos equipos

GUÍA DE PRUEBA P3.

Aulas de informática Institución Educativa R/PT: C3

Guía de Pruebas P3

Dominio Entrega de Servicios y Soportes

Proceso DS12: Administración de Instalaciones

Objetivo de Control Escolta de Visitantes

Riesgos Asociados R20,R21,R2

No Evidencia Descripción

1 Img-01: Aula de No hay una buena identificación de las aulas de informática de la


informática 1 Institución educativa

2 Img-04: Área no No existen identificación de áreas restringidas dentro de las salas


Restringida de informática

3 Img-05: No existen No existen ningún tipo de detectores de humo, temperatura


ningún tipo de dentro de las aulas de informática
detectores

4 Img-06: No hay Las señalización para salidas de emergencia no están instaladas o


señalización no existen

5 Img-11: Los interruptores de emergencia no están debidamente


Interruptores de identificados
Emergencia 1

6 Img-12: Los interruptores de emergencia no están debidamente


Interruptores de identificados
Emergencia 2

GUÍA DE PRUEBA P4.


Aulas de informática Institución Educativa R/PT: C4

Guía de Pruebas P4

Dominio Entrega de Servicios y Soportes

Proceso Protección contra Factores Ambientales

Objetivo de Control Controles Ambientales

Riesgos Asociados R17

No Evidencia Descripción

1 Img-02: Ventilación Solo una de las salas de informática tiene ventilación, la cual
presenta ruido alto en su funcionamiento y balanceo

GUÍA DE PRUEBA P5.

Aulas de informática Institución Educativa R/PT: C5

Guía de Pruebas P5

Dominio Entrega de Servicios y Soportes

Proceso DS12: Administración de Instalaciones

Objetivo de Control Suministro Ininterrumpido de Energía

Riesgos Asociados R1,R2,R3,R4,R5,R6

No Evidencia Descripción

1 Img-08: Existen cables en el suelo que estorban a los usuarios


Instalaciones
Eléctricas 1

2 Img-09: Existen en el techo de las salas cables sueltos sin marcar


Instalaciones
Eléctricas 2

3 Img-10: Existen conexiones de 220 voltios sin sellar junto a las fuentes
Instalaciones reguladas
Eléctricas 3

GUÍA DE PRUEBA P6.

Aulas de informática Institución Educativa R/PT: C6

Guía de Pruebas P6

Dominio Entrega de Servicios y Soportes

Proceso DS12: Administración de Instalaciones

Objetivo de Control Seguridad Física

Riesgos Asociados R12, R13

No Evidencia Descripción

1 Cables de red de datos aéreos sin protección

Img-17: Canales
Redundantes 1

2 Img-19: Canales Canaletas plásticas sin protección


Redundantes 3

3 Img-20: Estándar Existen cables de red de datos sin protección, sin gabinetes y sin
de cableado normas apropiadas

ANALISIS Y EVALUACIÓN DE RIESGOS

ANÁLISIS Y EVALUACIÓN DE RIESGOS

Para este proceso tan importante dentro de la auditoría es necesario que ya se haya identificado
inicialmente las vulnerabilidades y amenazas existentes en cada uno de los procesos evaluados, y
que se hay definido los riesgos existentes a causa de esas debilidades.
Una vez se identifican los riesgos se procede a hacer un análisis y evaluación de los mismos, en el
análisis hay que determinar como se esta presentando el riesgo, las causas posibles que lo
originan, en que procesos se presentan y quien es el personal involucrado en cada uno de ellos.

Una vez analizados los riesgos se procede a hacer la evaluación teniendo en cuenta los criterios de
frecuencia con que se presenta el riesgo en el tiempo (probabilidad) y el impacto que ellos pueden
causar de llegar a concretarse (impacto). Para cada uno de estos criterios existen unas escalas de
valoración de tipo cualitativo que pueden tener una lectura cuantitativa para poder determinar la
probabilidad e impacto de estos riesgos.

Este proceso puede llevarse a cabo inicialmente para determinar una lista de riesgos iniciales
general y proponer el objetivo de la auditoría de acuerdo a los resultados, si se observa que los
problemas se originan en la infraestructura tecnológica entonces la auditoría deberá orientarse
hacia el análisis de dicha infraestructura. Una vez iniciado el proceso de auditoría el proceso de
análisis y evaluación de riesgos me permite evaluar cada uno de los dominios y procesos (CobIT)
que se han seleccionado para la valoración de los riesgos en dicho proceso.

A continuación se muestra un ejemplo de aplicación de dicho proceso, inicialmente se presenta un


listado de vulnerabilidades, amenazas y riesgos, posteriormente se presenta la matriz general que
será usada para la medición de los riesgos donde se presentan las escalas de probabilidad e
impacto y finalmente se hace la valoración con este ejemplo concreto.

VULNERABILIDADES:

1. No existencia de inventario de hardware y redes

2. No se hace mantenimiento preventivo solo se hace manteniemiento correctivo

3. Irregularidad en el servicio de internet por la ubicación de la empresa

4. Obsolescencia de tecnología de hardware de servidores, equipos y redes

5. Obsolescencia en el cableado estructurado

AMENAZA:
1. Poca seguridad en el acceso físico al hardware

2. Equipos de cómputo que no soportan sistemas operativos

3. Existe peligro en la continuidad de los servicos en línea

4. No hay sistemas de vigilancia y monitoreo dentro de la empresa

5. No existe sistema de protección en caídas de energía para protección de equipos

6. No existen sistemas contra incendios

7. Posibles fallos en la conectividad de la red de datos e internet

RIESGOS:

1. No existe restricciones para el acceso a personal externo a los equipos de cómputo

2. Equipos con bajo rendimientopara las operaciones que se deben desarrollar

3. Daño en los equipos por caidas en el fluido eléctrico

4. Insatisfacción por parte de los usurios respecto al servicios internet

5. No se han levantado hojas de vida de los equipos existentes

6. La señal de los operadores de internet presenta fallas por la ubicación de la empresa

7. Se presentan problemas de conexión en la intranet y a internet

8. Se han presentado hurtos y robo de partes de los equipos de cómputo

9. No existen controles y responsables de los equipos de cómputo

MATRIZ DE PROBABILIDAD DE IMPACTO

Esta matriz fue creada para catalogar un riesgo y saber qué clase de daño puede causar un mal
procedimiento en el proceso auditado. En la matriz existe la columna de probabilidad de
ocurrencia donde se pondrá el valor del porcentaje de riesgo según su resultado. Luego se deberá
determinar el impacto según la relevancia del proceso, esta clasificación será hecha por el equipo
auditor basándose en el conocimiento de la entidad y del proceso auditado. Una vez hechos estos
procedimientos se podrá clasificar el riesgo para su mejor entendimiento en la matriz gráfica.

Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso

Zona de Riesgo Zona de riesgo Zona de riesgo

Alto Moderado Importante Inaceptable

61-100%

Medio Zona de riesgo Zona de riesgo Zona de riesgo

31-60% Tolerable Moderado Importante

Bajo Zona de riesgo Zona de riesgo Zona de riesgo Moderado

0-30% Aceptable Tolerable

Leve Moderado Catastrófico


PROBABILIDAD

IMPACTO

EVALUACIÓN DE RIESGOS

N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrófico


R1 No existe restricciones para X X
el acceso a personal externo
a los equipos de cómputo

R2 Equipos con bajo X X


rendimientopara las
operaciones que se deben
desarrollar

R3 Daño en los equipos por X X


caidas en el fluido eléctrico

R4 Insatisfacción por parte de X X


los usurios respecto al
servicios internet

R5 No se han levantado hojas de X X


vida de los equipos existentes

R6 La señal de los operadores de X X


internet presenta fallas por la
ubicación de la empresa

R7 Se presentan problemas de X X
conexión en la intranet y a
internet

R8 Se han presentado hurtos y X X


robo de partes de los equipos
de cómputo

R9 No existen controles y X X
responsables de los equipos
de cómputo

MATRIZ DE RIESGOS

R4, R7 R1
OB

DA
AB
PR

ILI

D
Alto

61-100%

Medio R2, R5 R6

31-60%

Bajo R3, R8 R9

0-30%

Leve Moderado Catastrófico

IMPACTO

En la matriz se oberva las escalas de la probabilidad de ocurrencia y el impacto que pueden causar
en la organización de llegar a concretarse esos riesgos, a continuación se dará una breve
interpretación de cada una de las escalas y su significado.

Escala de probabilidad:

Bajo: Cuando el riesgo se presenta esporádicamente 1 0 2 veces en el año

Medio: Cuando el riesgos se presenta cada mes

Alto: Cuando el riesgo se presenta todas las semanas

Fijense que lo importante es la unidad de tiempo en que se mide, en un sistema puede que se
presenten errores todo los días o varias veces en una hora, por lo tanto la medición de be hacerse
de acuerdo al proceso evaluado y a los riesgos que pueden presentarse, también hay que tener en
cuenta si se está evaluado el área informática, sus activos de hardware, el personal o uno de los
sistemas específicamente.
Escala de impacto:

Leve: Cuando el riesgo afecta a una sola persona o dependencia de la organización

Moderado: Cuando el riesgo afecta a un grupo de personas o a toda una dependencia

Catastrófico: Cuando se paraliza completamente la actividad en la organización

LISTAS DE CHEQUEO O CHECKLIST PARA ÁREAS DE CÓMPUTO

LISTAS DE CHEQUEO

la listas de chequeo tiene como objetivo fundamental la verificación de la existencia de controles


en cada uno de los procesos evaluados, para la construcción de las preguntas de la lista de
chequeo es necesario conocer los objetivos de control en cada proceso, en esos objetivos de
control están descritos los controles en cada proceso de acuerdo al estándar aplicado en la
auditoría.

Las listas de chequeo en general se usarán también para verificar el cumplimiento de una norma
estándar que se debe evaluar en la auditoría, por ejemplo el cumplimiento de normas RETIE de
instalaciones eléctricas o el cumplimiento de normas de cableado estructurado TIA/EIA, o
cualquier otro estándar.

Para el caso del estándar CobIT 4.1, la estructura de la norma se divide en 4 dominios, 32 procesos
y 334 objetivos de control, donde cada dominio se divide en procesos y en cada proceso existen
varios objetivos de control. En cada objetivo de control están descritos los controles generales que
debería existir, por lo tanto las preguntas de la lsita de chequeo deben ser solamente de existencia
de esos controles en el proceso evaluado.

Las respuestas a esas preguntas de la lista de chequeo para cada proceso deben responderse
marcando solemente la respuesta SI o NO o N/A (SI/NO/NA) o cumple totalemente, cumple
parcialmente o no cumple (CT/CP/NC).

A continuación se presenta un modelo de formato para las listas de chequeo para los procesos del
estándar CobIT:

Lista de chequeo Aulas de informática Institución Educativa R/PT


Cuestionario de Control LC1
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Evaluación de Nuevo Hardware
Cuestionario
Pregunta SI NO N/A
¿Se cuenta con un inventario de todos los equipos que integran el
centro de cómputo?
¿Con cuanta frecuencia se revisa el inventario?
¿Se posee de bitácoras de fallas detectadas en los equipos?
Características de la bitácora (señale las opciones).
 ¿La bitácora es llenada por personal especializado?
 ¿Señala fecha de detección de la falla?
 ¿Señala fecha de corrección de la falla y revisión de que el
equipo funcione correctamente?
 ¿Se poseen registros individuales de los equipos?
 ¿La bitácora hace referencia a hojas de servicio, en donde se
detalla la falla, y las causas que la originaron, así como las
refacciones utilizadas?

¿Se lleva un control de los equipos en garantía, para que a la


finalización de ésta, se integren a algún programa de mantenimiento?
¿Se cuenta con servicio de mantenimiento para todos los equipos?
¿Con cuanta frecuencia se realiza mantenimiento a los equipos?
¿Se cuenta con procedimientos definidos para la adquisición de nuevos
equipos?
¿Se tienen criterios de evaluación para determinar el rendimiento de
los equipos a adquirir y así elegir el mejor?
Documentos probatorios presentados:

LISTA DE CHEQUEO 2

Lista de chequeo Aulas de informática Institución Educativa R/PT


Cuestionario de Control LC2
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Mantenimiento Preventivo para Hardware
Cuestionario
Pregunta SI NO N/A
¿Se lleva un control de los equipos en garantía, para que a la
finalización de ésta, se integren a algún programa de mantenimiento?
¿Se cuenta con servicio de mantenimiento para todos los equipos?
¿Con cuanta frecuencia se realiza mantenimiento a los equipos?
¿Se cuenta con procedimientos definidos para la adquisición de nuevos
equipos?
¿Se tienen criterios de evaluación para determinar el rendimiento de
los equipos a adquirir y así elegir el mejor?
Documentos probatorios presentados:
lISTA DE CHEQUEO 3

Aulas de informática Institución Educativa R/PT


Lista de chequeo LC3
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administración de Instalaciones.
Objetivo de Control Escolta de Visitantes
Cuestionario
Pregunta SI NO N/A
¿Las instalaciones (aulas, cubículos y oficinas) fueron diseñadas o
adaptadas específicamente para funcionar como un centro de
cómputo?
¿Se tiene una distribución del espacio adecuada, de forma tal que
facilite el trabajo y no existan distracciones?
¿Existe suficiente espacio dentro de las instalaciones de forma que
permita una circulación fluida?
¿Existen lugares de acceso restringido?
¿Se cuenta con sistemas de seguridad para impedir el paso a lugares de
acceso restringido?
¿Se cuenta con sistemas de emergencia como son detectores de humo,
alarmas, u otro tipo de censores?
¿Existen señalizaciones adecuadas en las salidas de emergencia y se
tienen establecidas rutas de evacuación?
¿Se tienen medios adecuados para extinción de fuego en el centro de
cómputo?
¿Se cuenta con iluminación adecuada y con iluminación de emergencia
en casos de contingencia?
¿Se tienen sistemas de seguridad para evitar que se sustraiga equipo de
las instalaciones?
¿Se tiene un lugar asignado para papelería y utensilios de trabajo?
¿Son funcionales los muebles instalados dentro del centro de cómputo:
cintoteca, Discoteca, archiveros, mesas de trabajo, etc?
¿Existen prohibiciones para fumar, consumir alimentos y bebidas?
¿Se cuenta con suficientes carteles en lugares visibles que recuerdan
estas prohibiciones?
¿Con cuanta frecuencia se limpian las instalaciones?
¿Con cuanta frecuencia se limpian los ductos de aire y la cámara de aire
que existe debajo del piso falso (si existe)?
Documentos probatorios presentados:

lISTA DECHEQUEO 4

Aulas de informática Institución Educativa R/PT


Lista de chequeo LC4
Dominio Entrega de Servicios y Soportes
Proceso Protección contra Factores Ambientales
Objetivo de Control Controles Ambientales
Cuestionario
Pregunta SI NO N/A
¿El centro de cómputo tiene alguna sección con sistema de
refrigeración?

¿Con cuanta frecuencia se revisan y calibran los controles ambientales?


¿Se tiene contrato de mantenimiento para los equipos que
proporcionan el control ambiental?
¿Se tienen instalados y se limpian regularmente los filtros de aire?
¿Con cuanta frecuencia se limpian los filtros de aire?
¿Se tiene plan de contingencia en caso de que fallen los controles
ambientales?
Documentos probatorios presentados:

LISTA DE CHEQUEO 5

Aulas de informática Institución Educativa R/PT


Lista de chequeo LC5
Dominio Entrega de Servicios y Soportes
Proceso DS12 Administración de Instalaciones.
Objetivo de Control Suministro Ininterrumpido de Energía
Cuestionario
Pregunta SI NO N/A
¿Se cuenta con instalación con tierra física para todos los equipos?
¿La instalación eléctrica se realizó específicamente para el centro de
cómputo?
¿Se cuenta con otra Instalación dentro el centro de cómputo, diferente
de la que alimenta a los equipos de cómputo?
¿La acometida llega a un tablero de distribución?
¿El tablero de distribución esta en la sala, visible y accesible?
¿El tablero considera espacio para futuras ampliaciones de hasta de un
30 % (Considerando que se dispone de espacio físico para la instalación
de más equipos)?
¿La Instalación es independiente para el centro de cómputo?
¿La misma instalación con tierra física se ocupa en otras partes del
edificio?
¿La iluminación está alimentada de la misma acometida que los
equipos?
¿Las reactancias (balastros de las lámparas) están ubicadas dentro de la
sala?
¿Los ventiladores y aire acondicionado están conectados en la misma
instalación de los equipos a la planta de emergencia?
¿Los ventiladores y aire acondicionado están conectados en la misma
instalación de los equipos a los no-brake?
¿Se cuenta con interruptores generales?
¿Se cuenta con interruptores de emergencia en serie al interruptor
general?
¿Se cuenta con interruptores por secciones ó aulas?
¿Se tienen los interruptores rotulados adecuadamente?
¿Se tienen protecciones contra corto circuito?
¿Se tiene implementado algún tipo de equipo de energía auxiliar?
¿Se cuenta con Planta de emergencia?
¿Se tienen conectadas algunas lámparas del centro de cómputo a la
planta de emergencia?
¿Qué porcentaje de lámparas: % están conectadas a la planta de
emergencia (recomendable el 25 %)?
Documentos probatorios presentados:

LISTA DE CHEQUEO 6

Lista de chequeo Aulas de informática Institución Educativa R/PT


Cuestionario de Control LC6
Dominio Entrega de Servicios y Soportes
Proceso Protección contra Factores Ambientales
Objetivo de Control Seguridad Física
Cuestionario
Pregunta SI NO N/A
¿Se tienen lugares de acceso restringido?
¿Se poseen mecanismos de seguridad para el acceso a estos lugares?
¿A este mecanismo de seguridad se le han detectado debilidades?
¿Tiene medidas implementadas ante la falla del sistema de seguridad?
¿Con cuanta frecuencia se actualizan las claves o credenciales de
acceso?
¿Se tiene un registro de las personas que ingresan a las instalaciones?
Documentos probatorios presentados:

PAPELES DE TRABAJO - DISEÑO DE FORMATOS PARA AUDITORÍA

DISEÑO DE FORMATOS PARA AUDITORÍA DE SISTEMAS


Para la planeación del proceso de auditoría es necesario el diseño de los formatos para el proceso
de recolección de información y la presentación de los resultados de la auditoría, estos
documentos denominados papeles de trabajo finalmente son organizados por cada proceso
evaluado y al final se presenta el dictamen y el informe final de resultados.

A continuación se presentará algunos de los formatos que se usan en el proceso de auditoría


FORMATO DE DEFINICION DE FUENTES DE CONOCIMIENTO

Los formatos de fuentes de conocimiento son usados para especificar quienes tiene la información
o que docuemntos la poseen y las pruebas de análisis o ejecución que deberán practicarse en cada
proceso que sea evaluado.

REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO

PAGINA
ENTIDAD AUDITADA
1 DE 1
PROCESO AUDITADO
RESPONSABLE
MATERIAL DE SOPORTE COBIT
DOMINIO
PROCESO

REPOSITORIO DE PRUEBAS APLICABLES


FUENTES DE CONOCIMIENTO
DE ANALISIS DE EJECUCION

AUDITOR RESPONSABLE:

En este formato se observa los siguientes campos que deben ser diligenciados por el auditor para
cada uno de los procesos evaluados.

REF: Se refiere al ID del elemento.

ENTIDAD AUDITADA: En este espacio se indicara el nombre de la entidad a la cual se le está


realizando el proceso de auditoría.

PROCESO AUDITADO: En este espacio se indicara el nombre del proceso objeto de la auditoria,
para el caso será Contratación TI.

RESPONSABLE: En este espacio se indicaran los nombres del equipo auditor que está llevando a
cabo el proceso de auditoría.

MATERIAL DE SOPORTE: En este espacio se indicara el nombre del material que soporta el
proceso, para el caso será COBIT.

DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se está evaluando.
PROCESO: Espacio reservado para el nombre del proceso en especifico que se está auditando
dentro de los dominios del COBIT.

REF
ENTREVISTA I

FUENTES DE CONOCIMIENTO: Espacio donde se indicara la fuente de donde proviene la


información (documento, plano, manual, entrevista con la persona, otra fuente).

REPOSITORIO DE PRUEBAS APLICABLES: Pruebas que serán aplicadas en cada uno de los procesos
de acuerdo a los objetivos de control que pretendan evaluarse.

PRUEBAS DE ANÁLISIS: Las pruebas de análisis hacen referencia a las pruebas que pueden
aplicarse en el proceso mediante comparación (benchmarking) o por revisión y análisis
documental.

PRUEBAS DE EJECUCIÓN: Las pruebas de ejecución hacen referencia a las pruebas que se pueden
hacer en caliente sobre los sistemas o software que se pretende auditar. Estas pruebas
generalmente se hacen sobre los sistemas en producción en las auditorías de seguridad (redes,
base de datos, seguridad lógica, sistemas operativos), auditorias a la funcionalidad del software y
las entradas y salidas del sistema.

FORMATO DE ENTREVISTA

Las entrevistas son una fuente deinformación importante dentro de la audtoría, en ellas se refleja
la opinión de los auditados acerca del tema tratado y en muchas ocasiones las grabaciones son la
fuente de evidencia que soporta la auditoría. la entrevista puede aplicarse al inicio de la auditoría
para conocer los aspectos generales y durante el proceso de auditoría con la intención de conocer
en profundidad el tema evaluado. La entrevista generalmente se aplica solo al personal clave
(administrador del sistema, usuarios de mayor experiencia, administrador del área informática,
otros).
PAGINA
ENTIDAD AUDITADA
DE
AREA AUDITADA
SISTEMA
OBJETIVO ENTREVISTA

ENTREVISTADO

CARGO
TEMA1:

1. ¿PREGUNTA?
_________________________________________________________________
_________________________________________________________________

TEMA 2:
2. ¿ ?
_________________________________________________________________
_________________________________________________________________

TEMA 3:
3. ¿ ?
_________________________________________________________________
_________________________________________________________________

FECHA dd/mm/aaaa
AUDITORES APLICACIÓN

REF: Se refiere al ID del elemento.

ENTIDAD AUDITADA: En este espacio se indicara el nombre de la entidad a la cual se le está


realizando el proceso de auditoría.
ÁREA O SISTEMA AUDITADO: En este espacio se indicara el área o sistema auditado.

RESPONSABLES: En este espacio se indicaran los nombres del equipo auditor que está llevando a
cabo el proceso de auditoría.

OBJETIVO DE LA ENTREVISTA: En este espacio se hace una breve referencia al objetivo que se
pretende con la aplicación de la entrevista y el proceso COBIT que se está revisando.

ENTREVISTADO: Espacio destinado al nombre de la persona entrevistada.

CARGO: Espacio destinado para el nombre del cargo de la persona que será entrevistada.

TEMA: Los temas que serán tratados en la entrevista por parate del auditor

PREGUNTA: Espacio donde se indicara la descripción de la consulta de la cual se indagara.

AUDITORES: Información de quien será el auditor que aplica la entrevista.

FECHA DE APLICACIÓN: Fecha en que se aplica la entrevista

FORMATO DE CUESTIONARIO

El formato del cuestionario tiene dos objetivos, en primer lugar la confirmación de los riesgos ya
detectados anteriormente y en segurndo lugar descubrir nuevos riesgos que aún no se haya
detectado. El cuestionario se aplica solamente al personal clave que posee la información para
responderlo, por eso es necesario identificar las personas que puedan dar respuesta a los
interrogantes planteados en el cuestionario. Las preguntas en el cuestionario son de dos tipos, el
primer tipo son las preguntas sobre la existencia de controles o riesgos, y el sugundo tipo son las
de completitud que tienen por objetivo saber si se esta aplicando completamente los controles o
de manera parcial.

Al responder cada una de las preguntas no solamente se debe marcar la respuesta de SI o NO con
una XX sino que se debe dar un valor cuantitativo en una escala de 1 a 5, donde el valor más bajo
1,2,3 son valores de la poca importancia de la existencia de controles y 4, 5 que son los valores
más altos en la escala significan que tienen mayor importancia para el auditor. Mediante estas
calificaciones se trata de medir el grado del riesgo a que se ve expuesto el proceso que esta siendo
evaluado.

A continuación se muestra el diseño de formatos para los cuestionarios:


PLAN

R
E
F

ENTIDAD AUDITADA PAGINA


1 DE 1
PROCESO AUDITADO
RESPONSABLE
MATERIAL DE SOPORTE COBIT
DOMINIO PROCESO

PREGUNTA SI NO NA REF FUENTE


1. ¿ ?

2. ¿ ?

TOTALES
TOTAL CUESTIONARIO
PORCENTAJE DE RIESGO
AUDITOR RESPONSABLE

Este cuestionario cuantitativo está conformado por los siguientes ítems:

REF: Se refiere al ID del elemento.


ENTIDAD AUDITADA: En este espacio se indicara el nombre de la entidad a la cual se le está
realizando el proceso de auditoría.

PROCESO AUDITADO: En este espacio se indicara el nombre del proceso objeto de la auditoria,
para el caso será Contratación TI.

RESPONSABLES: En este espacio se indicaran los nombres del equipo auditor que está llevando a
cabo el proceso de auditoría.

DESCRIPCIÓN DE ACTIVIDAD/PRUEBA: En este espacio se hace una breve referencia al objetivo


del proceso seleccionado dentro de los dominios del COBIT que se está revisando.

MATERIAL DE SOPORTE: En este espacio se indicara el nombre del material que soporta el
proceso, para el caso será COBIT.

DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se está evaluando.

PROCESO: Espacio reservado para el nombre del proceso en especifico que se está auditando
dentro de los dominios del COBIT.

PREGUNTA: Espacio donde se indicara la descripción de la consulta de la cual se indagara.

SI – NO: Posibilidades de respuesta cuantitativa (1,2,3,4,5) para medicipon del nivel de riesgo.

REF: referencia a la evidencia o el hallazgo que se obtuvo después de indagar.

PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea afectado por
las acciones de las cuales se está indagando, entre mas alto el porcentaje mayor probabilidad de
riesgo tiene el proceso de salir perjudicado.
El cálculo de este porcentaje se hace de la siguiente forma:

Porcentaje de riesgo parcial = (Total SI * 100) / Total


Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo
considerado de poca importancia y cinco el máximo considerado de mucha importancia.

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización:


1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto

CUESTIONARIO PARA HARDWARE


Aulas De Informática Facultad De Ingeniería
Cuestionario de Control: C1
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Pregunta Si No OBSERVACIONES
¿Se cuenta con un inventario de equipos de cómputo? 4
¿Si existe inventario contiene los siguientes ítems?
Número del computador
Fecha
Ubicación
Responsable
Características(memoria, procesador, monitor, disco duro)
Se lleva una hoja de vida por equipo
¿La hoja de vida del equipo tiene los datos? 5
Numero de hoja de vida
Número del computador correspondiente
Falla reportada
Diagnóstico del encargado
Solución que se le dio
¿Se posee un registro de fallas detectadas en los equipos? 4
¿En el registro de fallas se tiene en cuenta con los siguientes
datos?
Fecha
Hora
Número de registro
Número del computador
Encargado
¿Al momento de presentar una falla en el equipo, la De 1 a 5 dias
atención que se presta es?
Inmediata
De una a 24 horas
De un día a 5 días
Más de 5 días
¿Se cuenta con servicio de mantenimiento para todos los 4 Semestral
equipos?
¿Qué tipo de mantenimiento se lleva a cabo? Correctivo
Mantenimiento preventivo
Mantenimiento correctivo
¿Profesores y/o estudiantes pueden instalar y desinstalar 4
programas en el computador?
¿Al finalizar el horario de clase en dichas aulas, se hace una 3
revisión de los equipos?
¿El personal que se encarga del mantenimiento es personal 4
capacitado?
¿Se lleva un procedimiento para la adquisición de nuevos 3
equipos?
¿La infraestructura tecnológica de los equipos soporta la 3
instalación de diferentes sistemas operativos?
¿Son compatibles software y hardware? 5
TOTALES 19 20

La escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación puede ir en el


SI, en el NO, donde 1 significa que no es importante tener el control para el auditor y 5 significa
que es importante que se tenga el control, el auditor debe tratar de dar estas calificaciones lo más
objetivamente posible para aplicar la fórmula y calcular el porcentaje de riesgo.
Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo
considerado de poca importancia y cinco el máximo considerado de mucha importancia.

PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea afectado por
las acciones de las cuales se está indagando, entre mas alto el porcentaje mayor probabilidad de
riesgo tiene el proceso de salir perjudicado.

PREGUNTA: Espacio donde se indicara la descripción de la consulta de la cual se indagara.

SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la entidad.

El cálculo de este porcentaje se hace de la siguiente forma:

Porcentaje de riesgo parcial = (Total SI * 100) / Total


Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Porcentaje de riesgo parcial = (19 * 100) / 39 = 48.71


Porcentaje de riesgo = 100 – 48.71 = 51.28

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización:


1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:
Porcentaje de riesgo parcial: 48.71
Porcentaje de riesgo = 51.28
Impacto según relevancia del proceso: Riesgo Medio

FORMATO DE HALLAZGOS

Una vez los riesgos han sido conformados mediante pruebas y evidaneias, estos riesgos parasn a
denominarse hallazgos. Los formatos de los hallazgos son de suma importancia en la auditoría ya
que llevan la información de todo el proceso realizado y una descripción de como se esta
presentando el riesgo y sus consecuencias para la medición o valoración de los riesgos en el
proceso de evaluación de riesgos que se lleva a cabo posteriormente. Además en el formato de
hallazgos se puede encontrar la información de las recomendaciones para determinar los posibles
controles para mitigarlos.

REF
HALLAZGO

PÁGINA
PROCESO AUDITADO Funcionamiento de la red de datos
1 DE 1
RESPONSABLE
MATERIAL DE SOPORTE COBIT
DOMINIO PROCESO

DESCRIPCIÓN:

REF_PT:

CONSECUENCIAS:

RIESGO:

RECOMENDACIONES:

Esta información será desglosada de la siguiente manera:


REF: Se refiere al ID del elemento.

ENTIDAD AUDITADA: En este espacio se indicara el nombre de la entidad a la cual se le está


realizando el proceso de auditoría.

PROCESO AUDITADO: En este espacio se indicara el nombre del proceso objeto de la auditoria,
para el caso será Contratación TI.

RESPONSABLES: En este espacio se indicaran los nombres del equipo auditor que está llevando a
cabo el proceso de auditoría.

MATERIAL DE SOPORTE: En este espacio se indicara el nombre del material que soporta el
proceso, para el caso será COBIT.

DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se está evaluando.

PROCESO: Espacio reservado para el nombre del proceso en especifico que se está auditando
dentro de los dominios del COBIT.

HALLAZGO: Aquí se encontrara la descripción de cada hallazgo, así como la referencia al


cuestionario cuantitativo que lo soporta.

CONSECUENCIAS Y RIESGOS: En este apartado se encuentra la descripción de las consecuencias


del hallazgo así como la cuantificación del riesgo encontrado.

EVIDENCIAS: Aquí encontramos en nombre de la evidencia y el numero del anexo donde ésta se
encuentra.
RECOMENDACIONES: En este último apartado se hace una descripción de las recomendaciones
que el equipo auditor ha presentado a las entidades auditadas.

Ejemplo Hallazgos

Tabla Hallazgo 1

REF
HALLAZGO 1
HHDN_O1

Funcionamiento del aspecto físico de la red de PÁGINA


PROCESO AUDITADO
datos 1 DE 1
RESPONSABLE Francisco Solarte
MATERIAL DE SOPORTE COBIT
Definir un plan
Planear y Organizar
DOMINIO PROCESO estratégico de TI
(PO)
(PO1)

DESCRIPCIÓN:

· No existe un grupo encargado de evaluar y estudiar el desempeño de la red de datos en su


aspecto físico.
· No existen políticas ni procedimientos relacionados con la conformación adecuada de la
arquitectura y del aspecto físico de la red de datos.

Esto es debido a la falta del manual de funciones donde se especifique el personal a cargo de la
red de datos ni los procedimientos que se realizaran por parte de los funcionarios.

REF_PT:

CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
E_AUDIO/A_CHDN_01

CONSECUENCIAS:

 Al no existir un grupo encargado de evaluar y estudiar el desempeño del aspecto físico de


la red de datos se pierde la claridad para tomar decisiones pertinentes en caso de un
desempeño no aceptado de la red de datos.
 Al no existir políticas ni procedimientos relacionados con la conformación de la
arquitectura y del aspecto físico de la red de datos se pierde la opción de ajustar a las
condiciones adecuadas que necesita la entidad los servicios de red de datos.

RIESGO:
· Probabilidad de ocurrencia: Media
· Impacto según relevancia del proceso: Moderado

RECOMENDACIONES:

· Conformar un grupo determinado de funcionarios que evalúen y estudien el desempeño de la


red física de datos para con ello tomen decisiones oportunas y adecuadas en la eventualidad de no
cumplir objetivos planteados.
· Elaborar e implementar políticas y procedimientos relacionados con la conformación de la
arquitectura y del aspecto físico de la red de datos para ajustar los servicios de red a las
necesidades propias que necesite la entidad.

PROGRAMA DE AUDITORIA – COBIT

El programa de auditoría hace referencia a la programación de las actividades y asignación de los


procesos a auditar a cada uno de los miembros del equipo auditor, por lo tanto inicialmente se
debe determinar el estándar que se va a aplicar, quienes serán los miembros del equipo auditor y
la especialidad de cada uno de ellos, y posteriormente se hace la asiganación de las tareas para
cada uno de ellos.

Para este caso se usará el estándar CobIT 4.1 de donde se tomará los procesos y objetivos de
control relacionados directamente con el objetivo general y alcances que fueron determinados en
el plan de auditoría.

Cabe mencionar que dentro de cada proceso existen varios objetivos de control y que no se debe
seleccionar solo un objetivo de control sino que pueden ser todos o aquellos que más estén
relacionados con los alcances de la auditoría.

Ejemplo de programa de auditoría para un sistema de información.


Incialmente hay que tener en cuenta el plan de auditoría porque allí se tiene el objetivo que se
pretende en la auditoría y los alcances de cada uno de los ítem evaluados.

Plan de auditoría

Objetivo general: Evaluar el sistema de información de usado para el sistema de matrícula para
garantizar la seguridad en cuanto a confidencialidad, integridad y disponibilidad que permitan el
mejoramiento del sistema de control existente.

Alcances: En cuanto a los alcances de la auditoría se trabajará el módulo de matrícula académica


en línea, incluyendo los procesos de registro y control, y el sistema de control interno que maneja
la dependencia para la protección de los datos e información.

Del módulo de matrícula académica se evaluará: Asignaturas a matricular del Pensum,


Asignaturas a matricular de formación humanística, Matricular idiomas extranjeros, Cancelación
de asignaturas del Pensum, Cancelación de formación humanísticas, Cancelación idiomas
extranjeros, Autorizaciones, Reporte de Matrícula, Actualización de información, Calificaciones,
Calendario Horarios, Horarios Humanística.

En cuanto al hardware: En cuanto al hardware se evaluará el inventario de hardware de


servidores, equipos y redes, incluyendo los procesos mantenimiento, adquisición y actualización
de los mismos.

En cuanto al sistema: En cuanto al sistema se evaluará la funcionalidad, procesamiento, seguridad


perimetral del sistema, seguridad interna del sistema, entradas y salidas generadas por el sistema,
calidad de los datos de entrada, la configuración del sistema, la administración del sistema, planes
de contingencias.

En cuanto a la operatividad del sistema: En cuanto a la operatividad del sistema se evaluará los
usuarios que manejan la información, la administración del sistema y el monitoreo del sistema.

Teniendo en cuenta el objetivo y los alcances especificados anteriormente, y una vez seleccionado
el estándar a trabajar (CobIT 4.1), se selecciona los dominios y procesos del estándar que tengan
relación directa con el objetivo y los alcances.
PROGRAMA DE AUDITORÍA

Para realizar el proceso de auditoría al Sistema de información de Registro y control académico, se


utilizará el estándar de mejores práctica en el uso de Tecnología de información (TI) COBIT
(Objetivos de Control para la Información y Tecnologías Relacionadas), donde se especifica el
dominio, el proceso y los objetivos de control que se debe trabaar en relación directa con el
objetivo y alcances, dentro de ellos se elegiría los siguientes:

Dominio: Planeación Y Organización (PO). Este dominio cubre las estrategias y las tácticas, tiene
que ver con identificar la manera en que las tecnologías de información pueden contribuir de la
mejor manera al logro de los objetivos de una entidad.

Los procesos seleccionados que se revisará y los objetivos de control a verificar son los siguientes:

Proceso: PO1 Definir un Plan Estratégico de TI: La definición de un plan estratégico de tecnología
de información, permite la gestión y dirección de los recursos de TI de acuerdo a las estrategias y
requerimientos de la dependencia.

Los objetivos de control relacionados con los alcances de la auditoría son los siguientes:

PO1.3 Ecaluación del desempeño y la capacidad actual: La dependencia de registro y control


académico manteiene una evaluación períodica del desempeño de los planes institucionales y de
los sistemas de información encaminados a la contribución del cumplimiento de los objetivos de la
dependencia.

PO2 Definir la Arquitectura de la Información: Permite definir un modelo de información, con el


fin de integrar de forma transparente las aplicaciones dentro de los procesos de la dependencia.

Los objetivos de control que se evaluaran son los siguientes:


PO2.2 Diccionario de datos y reglas de sintaxis de datos: Es necesario la existencia de un
diccionario de datos del sistema en la dependencia y las actualizaciones que se hayan realizado al
mismo en las actualizaciones del sistema de acuerdo a los nuevos requerimientos.

PO2.3 Esquema de clasificación de los datos: Se debe establecer un marco de referencia de los
datos, clasificándolos por categorias, y con la definición de normas y políticas de acceso a dichos
datos.

PO2.4 Administración de la integridad de datos: Los desarrolladores de la aplicación deben


garantizar la integridad y consistencia de los datos almacenados mediante la creación de procesos
y procedimientos.

PO4 Definir los Procesos, Organización y Relaciones de TI: Dentro del área de sistemas debe estar
claro y definido el personal de la tecnología de la información, los roles, las funciones y
responsabilidades, permitiendo el buen funcionamiento de servicios que satisfagan los objetivos
de la Institución.

Los objetivos de control que se evaluarán son los siguientes:

PO4.6 Establecer roles y responsabilidades: Evaluar el comportameinto de los roles y las


responsabilidades definidas para el personal de TI, el el área informática (administradores de la
red. administrador de sistema, supervisor de los indicadores de cumplimiento, otros)

PO4.7 Responsabilidad del aseguramiento de la calidad de TI: Se debe asignar la responsabilidad


para el desempñeo de la función de aseguramiento de la calidad (QA) proporcionando el grupo QA
del área informática los controles y la experiencia para comunicarlos. Ademas se debe asegurar
que la ubicación organizacional, la responsabilidades y el tamaño del grupo de QA satisfacen los
requerimientos de la dependencia.

PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento: Se debe establecer la


propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel superior apropiado.
Definir y asignar roles críticos para administrar los riesgos de TI, incluyendo la responsabilidad
específica de la seguridad de la información, la seguridad física y el cumplimiento. Establecer
responsabilidad sobre la adminsitración del riesgo y la seguridad a nivel de toda la dependencia
para manejar los problemas a nivel institucional. Es necesario asignar responsabilidades
adicionales de administración de la seguridad a nivel del sistema específico para manejar
problemas relacionados con la seguridad.

PO4.9 Propiedad de datos y del sistema: Proporcionar a la dependencia de registro y control los
procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad
sobre los datos y los sistemas de información.

PO4.13 Personal clave de TI: Definir e identificar el personal clave de TI y minimizar la dependencia
de una sola persona desempeñando la función de trabajo crítico.

PO8 Administrar la Calidad: Se debe elaborar y mantener un sistema de administración de


calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. Esto se
facilita por medio de la planeación, implantación y mantenimiento del sistema de administración
de calidad, proporcionando requerimientos, procedimientos y políticas claras de calidad. Los
requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y
alcanzables. La mejora continua se logra por medio del constante monitoreo, corrección de
desviaciones y la comunicación de los resultados a los interesados. La administración de calidad es
esencial para garantizar que TI está dando valor a la información de la dependencia, mejora
continua y transparencia para los interesados.

Los objetivos de control que serán evaluados son los siguientes:

PO8.3 Estándares de desarrollo y de adquisición: Adoptar y mantener estándares para desarrollo y


adquisición que siga el ciclo de vida, hasta los entregables finales incluyendo la aprobación o no en
puntos clave con base en los criterios de aceptación acordados. Los temas a considerar incluyen
los estándares de codificación del software, normas de nomenclatura, los formatos de archivos,
estándares de diseño para los esquemas y diccionarios de datos, estándares para interfaz de
ususrio, inter operatividad, eficiencia en el desempaño del sistema, escalabilidad, estándares para
el desarrollo y pruebas, validación de los requerimientos, planes de pruebas, pruebas unitarias, y
de integración.
PO8.5 Mejora continua: Mantener y comunicar regularmente un plan global de calidad que
promueva la mejora contínua.

PO9 Evaluar y administrar los riesgos de TI: Encargado de identificar, analizar y comunicar los
riesgos de TI y su impacto potencial sobre los procesos y metas de la dependencia, con el objetivo
de asegurar el logro de los objetivos de TI.

PO9.1 Marco de trabajo de administración de riesgos: Se debe establecer un marco de referencia


de evaluación sistemática de riesgos que contenga una evaluación regular de los riesgos de la
parte física de las comunicaciones, servidores y equipos con indicadores de cumplimiento.

PO9.3 Identificación de eventos: Identificar los riesgos (una amenaza explota las vulnerabilidades
existentes), clasificandolas si son relevantes y en que medida afectan al área informática y la
dependencia de registro y control donde se maneja el sistema de información.

PO9.4 Evaluación de los riesgos de TI: Medir los riesgos a través de la evaluación periódica de la
probabilidad e impacto de los riesgos identificados, usando métodos cuantitativos y cualitativos,
que permitan la medición del riesgo encontrado.

PO9.5 Respuesta a los riesgos: Definir un plan de acción contra riesgos, el proceso de respuesta a
riesgos debe identificar las estrategias tales como evitar, reducir, compartir o aceptar los riesgos
determinando los niveles de tolerancia a los riesgos y los controles para mitigarlos.

PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos: Priorizar y planear las


actividades de control y respuesta a la solución de riesgos encontrados, teniendo en cuenta
también la parte económica de la solución de esta prioridad. Monitorear la ejecucción de los
planes y reportar cualquier desviciación a la alta dirección.

Dominio: Adquirir e implementar (AI) Para llevar a cabo la estrategia TI, se debe identificar las
soluciones, desarrollarlas y adquirirlas, así como implementarlas e integrarlas en la empresa, esto
para garantizar que las soluciones satisfaga los objetivos de la empresa.
De este dominio se ha seleccionado los siguientes procesos y objetivos de control:

AI2 Adquirir y Mantener Software Aplicativo: Las aplicaciones deben estar disponibles de acuerdo
con los requerimientos de la dependencia. Este proceso cubre el diseño de las aplicaciones, la
inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la
configuración en sí de acuerdo a los estándares. Esto permite apoyar la operatividad de la
dependencia de forma apropiada con las aplicaciones automatizadas correctas.

AI2.1 Diseño de Alto Nivel: Traducir los requerimientos a una especificación de diseño de alto nivel
para la adquisición de software, teniendo en cuenta las directivas tecnológicas y la arquitectura de
información dentro de la dependencia. Tener aprobadas las especificaciones de diseño por la
dependencia para garantizar que el diseño de alto nivel responde a los requerimientos. Reevaluar
cuando sucedan discrepancias significativas técnicas o lógicas durante el desarrollo o
mantenimiento.

AI2.2 Diseño Detallado: Preparar el diseño detallado y los requerimientos técnicos del software de
aplicación. Definir el criterio de aceptación de los requerimientos. Aprobar los requerimientos
para garantizar que corresponden al diseño de alto nivel. Realizar reevaluaciones cuando sucedan
discrepancias significativas técnicas o lógicas durante el desarrollo o mantenimiento.

AI2.3 Control y Posibilidad de Auditar las Aplicaciones: Implementar controles de aplicación


automatizados tal que el procesamiento sea exacto, completo, oportuno, autorizado y auditable.

AI2.4 Seguridad y Disponibilidad de las Aplicaciones: Abordar la seguridad de las aplicaciones y los
requerimientos de disponibilidad en respuesta a los riesgos identificados y en línea con la
clasificación de datos, la arquitectura de la información, la arquitectura de seguridad de la
información y la tolerancia a riesgos de la organización.

AI2.5 Configuración e Implantación de Software Aplicativo Adquirido: Configurar e implementar


software de aplicaciones adquiridas para conseguir los objetivos de negocio.
AI2.6 Actualizaciones Importantes en Sistemas Existentes: En caso de cambios importantes a los
sistemas existentes que resulten en cambios significativos al diseño actual y/o funcionalidad,
seguir un proceso de desarrollo similar al empleado para el desarrollo de sistemas nuevos.

AI2.7 Desarrollo de Software Aplicativo: Garantizar que la funcionalidad de automatización se


desarrolla de acuerdo con las especificaciones de diseño, los estándares de desarrollo y
documentación, los requerimientos de calidad y estándares de aprobación. Asegurar que todos los
aspectos legales y contractuales se identifican y direccionan para el software aplicativo
desarrollado por terceros.

AI2.9 Administración de los Requerimientos de Aplicaciones: Seguir el estado de los requerimientos


individuales durante el diseño, desarrollo e implementación, y aprobar los cambios a los
requerimientos a través de un proceso de gestión de cambios establecido.

AI2.10 Mantenimiento de Software Aplicativo: Desarrollar una estrategia y un plan para el


mantenimiento de aplicaciones de software.

AI3 Adquirir y Mantener Infraestructura Tecnológica: Las Dependencias deben contar con
procesos para adquirir, Implementar y actualizar la infraestructura tecnológica. Esto requiere de
un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las
estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto
garantiza que exista un soporte tecnológico en la organización.

AI3.1 Plan de Adquisición de Infraestructura Tecnológica: Generar un plan para adquirir,


Implementar y mantener la infraestructura tecnológica que satisfaga los requerimientos
establecidos funcionales y técnicos que esté de acuerdo con la dirección tecnológica de la
dependencia. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de
transición, riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología.
Evaluar los costos de complejidad y la viabilidad del software al añadir nueva capacidad técnica.

AI3.2 Protección y Disponibilidad del Recurso de Infraestructura: Implementar medidas de control


interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento del
hardware y del software de la infraestructura para proteger los recursos y garantizar su
disponibilidad e integridad. Se deben definir y comprender claramente las responsabilidades al
utilizar componentes de infraestructura sensitivos por todos aquellos que desarrollan e integran
los componentes de infraestructura. Se debe monitorear y evaluar su uso.

AI3.3 Mantenimiento de la Infraestructura: Desarrollar una estrategia y un plan de mantenimiento


de la infraestructura y garantizar que se controlan los cambios, de acuerdo con el procedimiento
de administración de cambios de la dependencia. Incluir una revisión periódica contra las
necesidades, administración de parches y estrategias de actualización, riesgos, evaluación de
vulnerabilidades y requerimientos de seguridad.

AI3.4 Ambiente de Prueba de Factibilidad: Establecer el ambiente de desarrollo y pruebas para


soportar la efectividad y eficiencia de las pruebas de factibilidad e integración de aplicaciones e
infraestructura, en las primeras fases del proceso de adquisición y desarrollo. Hay que considerar
la funcionalidad, la configuración de hardware y software, pruebas de integración y desempeño,
migración entre ambientes, control de la versiones, datos y herramientas de prueba y seguridad.

AI6 Administrar cambios: Para realizar algún cambio bien sea de software, de hardware de
comunicaciones o de servidores, debe existir un proceso que administre formalmente y
controladamente dichos cambios, cada cambio debe seguir un proceso de recepción, evaluación,
prioridad y autorización previo a la implantación, sin obviar la constatación o revisión después del
cambio, esto con el fin de reducir riesgos que impacten negativamente la estabilidad o integridad
del ambiente del buen funcionamiento de las comunicaciones y servidores.

AI6.3 Cambios de emergencia: La Dependencia debe tener establecido un proceso para definir,
plantear, evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio
establecido. La documentación y pruebas se realizan, posiblemente, después de la implantación
del cambio de emergencia.

AI6.4 Seguimiento y reporte del estatus de cambio: Se debe hacer un seguimiento a través de un
reporte de las solicitudes de cambio, de solución y autorización.

AI6.5 Cierre y documentación del cambio: Establecer un proceso de revisión para garantizar la
implantación completa de los cambios.
Dominio Entregar Y Dar Soporte (DS). Encargado de garantizar la entrega de los servicios
requeridos por la empresa, dentro de este dominio se evaluará los siguientes procesos y objetivos
de control:

DS4 Garantizar la Continuidad del Servicio: Es importante que dentro de la dependencia se


garantice la continuidad de los servicios de TI, para ello es importante desarrollar, mantener y
probar planes de continuidad y así asegurar el mínimo impacto en caso de una interrupción de
servicios TI, esto se logra con el desarrollo y mantenimiento (mejorado) de los planes de
contingencia de TI, con entrenamiento y pruebas de los planes de contingencia de TI y guardando
copias de los planes de contingencia.

DS4.2 Planes de continuidad de TI: La metodología de continuidad debe ser diseñado para reducir
el impacto de un desastre, debe presentar diferentes alternativas de recuperación inmediata de
los servicios, también debe cubrir los lineamientos de uso, los roles y responsabilidades, los
procedimientos, los procesos de comunicación y el enfoque de pruebas.

DS4.3 Recursos críticos de TI: Revisar si se lleva un control de los planes de continuidad, de acuerdo
al nivel de prioridad, asegurarse de que la respuesta y la recuperación están alineadas con las
necesidades prioritarias de la dependencia y considerar los requerimientos de resistencia,
respuesta y recuperación para diferentes niveles de prioridad.

DS4.4 Mantenimiento del plan de continuidad de TI: Se debe mantener el plan de continuidad
activo, vigente y actualizado y que refleje de manera continua los requerimientos actuales del
Área Informática y de la dependencia de registro y control.

DS4.5 Pruebas del plan de continuidad de TI: Es importante que dentro de la dependencia el plan
de continuidad sea conocido por todas las partes interesadas, es esencial que los cambios en los
procedimientos y las responsabilidades sean comunicados de forma clara y oportuna. Hacer
pruebas de continuidad de forma regular para asegurar que los procesos de TI pueden ser
recuperados de forma efectiva y así probar que el plan es efectivo o sino corregir deficiencias en el
plan, y así ejecutar un plan de acción para permitir que el plan permanezca aplicable.

DS4.6 Entrenamiento del plan de continuidad de TI: La organización debe asegurarse que todos las
partes involucradas reciban capacitaciones de forma regular respecto a los procesos y sus roles y
responsabilidades en caso de incidente o desastre. Verificar e incrementar el entrenamiento de
acuerdo con los resultados de las pruebas de contingencia.

DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones: Almacenar fuera de las


instalaciones todos los medios de respaldo, documentación y otros recursos de TI críticos,
necesarios para la recuperación de TI y para los planes de continuidad de la dependencia. El
contenido de los respaldos a almacenar debe determinarse en conjunto entre los responsables de
los procesos de la dependencia y el personal de TI. La administración del sitio de almacenamiento
externo a las instalaciones, debe apegarse a la política de clasificación de datos y a las prácticas de
almacenamiento de datos de la organización. Las directivas de TI debe asegurar que los acuerdos
con sitios externos sean evaluados periódicamente, al menos una vez por año, respecto al
contenido, a la protección ambiental y a la seguridad. Asegurarse de la compatibilidad del
hardware y del software para poder recuperar los datos archivados y periódicamente probar y
renovar los datos archivados.

DS4.10 Revisión Post Reanudación: Una vez lograda una exitosa reanudación de las funciones de TI
después de un desastre, determinar si las directivas de TI ha establecido procedimientos para
valorar lo adecuado del plan y actualizar el plan en consecuencia.

DS5 Garantizar la seguridad de los sistemas: Garantizar la protección de la información e


infraestructura de TI con el fin de minimizar el impacto causado por violaciones o debilidades de
seguridad de la TI.

Los objetivos de control que se evaluarán son los siguientes:

DS5.2 Plan de Seguridad de TI: Trasladar los requerimientos de la dependencia, riesgos y


cumplimiento dentro de un plan de seguridad de TI completo, teniendo en consideración la
infraestructura de TI y la cultura de seguridad. Asegurar que el plan esta implementado en las
políticas y procedimientos de seguridad junto con las inversiones apropiadas en los servicios,
personal, software y hardware. Comunicar las políticas y procedimientos de seguridad a los
interesados y a los usuarios.

DS5.3 Administración de Identidad: Asegurar que todos los usuarios (internos, externos y
temporales) y su actividad en sistemas de TI (Entorno de TI, operación de sistemas, desarrollo y
mantenimiento) deben ser identificables de manera única. Permitir que el usuario se identifique a
través de mecanismos de autenticación. Confirmar que los permisos de acceso del usuario al
sistema y los datos están en línea con las necesidades del módulo definidas y documentadas y que
los requerimientos de trabajo están adjuntos a las identidades del usuario. Asegurar que los
derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el
responsable del sistema e implementado por la persona responsable de la seguridad. Las
identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se
despliegan técnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados
para establecer la identificación del usuario, realizar la autenticación y habilitar los derechos de
acceso.

DS5.4 Administración de Cuentas del Usuario: Garantizar que la solicitud, establecimiento, emisión,
suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean
tomados en cuenta por un conjunto de procedimientos. Debe incluirse un procedimiento de
aprobación que describa al responsable de los datos o del sistema otorgando los privilegios de
acceso. Estos procedimientos deben aplicarse a todos los usuarios, incluyendo administradores,
usuarios externos e internos, para casos normales y de emergencia. Los derechos y obligaciones
relativos al acceso a los sistemas e información del módulo deben acordarse contractualmente
para todos los tipos de usuarios. Realizar revisiones regulares de la gestión de todas las cuentas y
los privilegios asociados.

DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad: Garantizar que la implementación de la


seguridad en TI sea probada y monitoreada de forma pro-activa. La seguridad en TI debe ser re-
acreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado. Una
función de ingreso al sistema (loggin) y de monitoreo permite la detección oportuna de
actividades inusuales o anormales que pueden requerir atención.

DS5.6 Definición de Incidente de Seguridad: Implementar procedimientos para atender casos de


incidentes, mediante el uso de una plataforma centralizada con suficiente experiencia y equipada
con instalaciones de comunicación rápidas y seguras. Igualmente establecer las responsabilidades
y procedimientos para el manejo de incidentes.

DS5.7 Protección de la Tecnología de Seguridad: Garantizar que la tecnología relacionada con la


seguridad sea resistente al sabotaje y no revele documentación de seguridad innecesaria.
DS5.8 Administración de Llaves Criptográficas: Asegurar que la información de transacciones (datos,
password, llaves criptográficas) es enviada y recibida por canales confiables (trustedpaths),
mediante encriptamiento de sistemas y usuarios.

DS5.9 Prevención, Detección y Corrección de Software Malicioso: Garantizar procedimientos para el


manejo y corrección de problemas ocasionados por software malicioso generalmente en el caso
de virus.

DS5.10 Seguridad de la Red: En la organización al existir conexión a la red de internet se debe


implementar el uso de técnicas de seguridad y procedimientos de administración asociados como
firewalls, para proteger los recursos informáticos y dispositivos de seguridad.

DS7 Educar y Entrenar a los Usuarios: Para una educación efectiva de todos los usuarios de
sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar las necesidades de
entrenamiento de cada grupo de usuarios. Además de identificar las necesidades, este proceso
incluye la definición y ejecución de una estrategia para llevar a cabo un entrenamiento efectivo y
para medir los resultados. Un programa efectivo de entrenamiento incrementa el uso efectivo de
la tecnología al disminuir los errores, incrementando la productividad y el cumplimiento de los
controles clave tales como las medidas de seguridad de los usuarios.

Para ello se tomaran en cuenta los siguientes objetivos de control:

DS7.1 Identificación de Necesidades de Entrenamiento y Educación: Establecer y actualizar de


forma regular un programa de entrenamiento para cada grupo objetivo de empleados, que
incluya: Implementar procedimientos junto con el plan de largo plazo, valores sistémicos (valores
éticos, cultura de control y seguridad, otros), implementación de nuevo software e infraestructura
de TI (paquetes y aplicaciones), perfiles de competencias y certificaciones actuales y/o
credenciales necesarias, metodos de impartir la capacitación, tamaño del grupo, accesibilidad y
tiempo.

DS7.3 Evaluación del Entrenamiento Recibido: Al finalizar el entrenamiento, evaluar el contenido


del entrenamiento respecto a la relevancia, calidad, efectividad, percepción y retención del
conocimiento, costo y valor. Los resultados de esta evaluación deben contribuir en la definición
futura de los planes de estudio y de las sesiones de entrenamiento.
DS8 Administrar la Mesa de Servicio y los Incidentes: asegurar que cualquier problema
experimentado por los usuarios o estudiantes sea atendido apropiadamente realizando una mesa
de ayuda que proporcione soporte y asesoría de primera línea.

DS8.1 Mesa de Servicios: Establecer la función de mesa de servicio, la cual es la conexión del
usuario con TI, para registrar, comunicar, atender y analizar todas las llamadas, incidentes
reportados, requerimientos de servicio y solicitudes de información. Deben existir procedimientos
de monitoreo y escalamiento basados en los niveles de servicio acordados en los SLAs, que
permitan clasificar y priorizar cualquier problema reportado como incidente, solicitud de servicio o
solicitud de información. Medir la satisfacción del usuario final respecto a la calidad de la mesa de
servicios y de los servicios de TI.

DS8.3 Escalamiento de Incidentes: Establecer procedimientos de mesa de servicios de manera que


los incidentes que no puedan resolverse de forma inmediata sean escalados apropiadamente de
acuerdo con los límites acordados en el SLA y, si es adecuado, brindar soluciones alternas.
Garantizar que la asignación de incidentes y el monitoreo del ciclo de vida permanecen en la mesa
de servicios, independientemente de qué grupo de TI esté trabajando en las actividades de
resolución.

DS8.4 Cierre de Incidentes: Establecer procedimientos para el monitoreo puntual de la resolución


de consultas de los usuarios. Cuando se resuelve el incidente la mesa de servicios debe registrar la
causa raíz, si la conoce, y confirmar que la acción tomada fue acordada con el usuario.

DS8.5 Análisis de Tendencias: Emitir reportes de la actividad de la mesa de servicios para permitir a
la dependencia medir el desempeño del servicio y los tiempos de respuesta, así como para
identificar tendencias de problemas recurrentes de forma que el servicio pueda mejorarse de
forma continua.

DS9 Administración de la Configuración: Mantener un depósito centralizado donde se almacene


la información de configuración de software y hardware, ofreciendo así mayor disponibilidad a los
usuarios y administradores del sistema, además de mantener un inventario actualizado de la
existencia física de TI.
El objetivo de control que se evalua es el siguiente:

DS9.3 Revisión de Integridad de la Configuración: El Área Informática debe revisar periódicamente


los datos de configuración para verificar y confirmar la integridad de la configuración actual y
ejecuta rutinas de revisión de software instalado para establecer inconsistencias o desviaciones
que perjudiquen los intereses de la organización o que violen políticas de uso.

DS12 Administración del Ambiente Físico: La protección del equipo de cómputo y del personal,
requiere de instalaciones bien diseñadas y bien administradas. El proceso de administrar el
ambiente físico incluye la definición de los requerimientos físicos del centro de datos (site), la
selección de instalaciones apropiadas y el diseño de procesos efectivos para monitorear factores
ambientales y administrar el acceso físico. La administración efectiva del ambiente físico reduce
las interrupciones del módulo ocasionadas por daños al equipo de cómputo y al personal.

DS12.1 Selección y Diseño del Centro de Datos: Registro y control y el Área Informática deben
definir y seleccionar los centros de datos físicos para el equipo de TI para soportar la estrategia de
tecnología ligada a la estrategia del negocio. Esta selección y diseño del esquema de un centro de
datos debe tomar en cuenta el riesgo asociado con desastres naturales y causados por el hombre.
También debe considerar las leyes y regulaciones correspondientes, tales como regulaciones de
seguridad y de salud en el trabajo.

DS12.2 Medidas de Seguridad Física: Evaluar las medidas de seguridad físicas alineadas con los
requerimientos de la organización. Las medidas deben incluir, zonas de seguridad, la ubicación de
equipo crítico y de las áreas de envío y recepción. En particular mantenga un perfil bajo respecto a
la presencia de operaciones críticas de TI. Deben establecerse las responsabilidades sobre el
monitoreo y los procedimientos de reporte y de resolución de incidentes de seguridad física.

DS12.3 Acceso Físico: Evaluar e implementar procedimientos para otorgar, limitar y revocar el
acceso a locales, edificios y áreas de emergencias. El acceso a locales, edificios y áreas debe
justificarse, autorizarse, registrarse y monitorearse. Esto aplica para todas las personas que
accedan a las instalaciones, incluyendo personal, estudiantes, visitantes o cualquier tercera
persona.
DS12.4 Protección Contra Factores Ambientales: Diseñar e implementar medidas de protección
contra factores ambientales. Deben instalarse dispositivos y equipo especializado para monitorear
y controlar el ambiente.

DS12.5 Administración de Instalaciones Físicas: Se debe administrar las instalaciones, incluyendo el


equipo de comunicaciones y de suministro de energía, de acuerdo con las leyes y los reglamentos,
los requerimientos técnicos y de la institución, las especificaciones del proveedor y los
lineamientos de seguridad y salud.

DS13 Administración de Operaciones: Se requiere de una efectiva administración protección de


datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware
en la organización.

Para ello se evalua el siguiente objetivo de control:

DS13.5 Mantenimiento Preventivo del Hardware: Evaluar los procedimientos para garantizar el
mantenimiento oportuno de la infraestructura para reducir la frecuencia y el impacto de las fallas
o de la disminución del desempeño.

Dominio Monitorear Y Evaluar (ME). Todos los procesos del módulo de matrícula necesitan ser
evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control, integridad y confidencialidad, por tal se evaluara el sigueinte proceso:

ME2 Monitorear y Evaluar el Control Interno: Se debe proporcionar e incrementar los niveles de
confianza entre la organización, empleados y clientes con respecto a las operaciones eficientes y
efectivas dentro del módulo.

ME2.3 Excepciones de Control: Identificar los incidentes, analizar e identificar sus causas raíz
subyacentes para establecer acciones correctivas necesarias y verificar si los resultados de los
controles, son reportados y analizados rápidamente, para evitar errores e inconsistencias y que
sean corregidos a tiempo.
Finalmente se establecerá las responsabilidades de cada integrante del grupo auditor respecto a
los procesos que serán evaluados y se crea un cronograma de las actividades de evaluación que
se realizarán en el proceso de auditoría.

PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN

Una vez se haya seleccionado la empresa, el área o sistema a evaluar lo primero que se debe hacer
es determinar el objetivo que se pretende en la auditoría.

En general quien contrata el proceso de auditoría es que define cuál es el objetivo de la auditoría,
pero cuando se trata de seleccionar el objetivo primero se hace un reconocimiento de la empresa,
el área o sistema mediante visitas de campo para determinar cuáles son las vulnerabilidades,
amenazas y riesgos a que se enfrenta la organización.

El objetivo se definirá teniendo en cuenta el área o sistema donde se presentan mayores


dificultades, ya sea por la probabilidad de ocurrencia de los riesgos o por el impacto que estos
pueden causar de llegar a concretarse el riesgo.

INDICACIONES PARA ELABORAR EL PLAN DE AUDITORIA

Una vez conocido el área auditada o sistema de información en la fase de conocimiento, se


pueden evidenciar las vulnerabilidades y amenazas de manera preliminar que pueden ser las
fuentes de riesgos potenciales, lo ideal es que cada miembro del equipo de trabajo haga una lista
de los problemas observados y que posteriormente en reuniones del equipo auditor se pueda
analizar lo observado por cada integrante y hacer un listado consolidado de los problemas
observados.

El objetivo general de la auditoría tendrá en cuenta la fuente que origina el proceso de auditoría y
los problemas que se evidencian en la realidad, de esta manera el objetivo quedará definido en
concordancia con lo que desea quien origina el proceso y dará solución a los problemas que se
están presentando.

Una vez definido el objetivo de la auditoría, se desglosa los ítems que serán evaluados (hardware,
software, redes, sistemas de información, bases de datos, seguridad física, seguridad lógica, otros)
y de cada uno de ellos se debe definir el alcance donde se especifica que aspectos se tendrán en
cuanta en cada ítem evaluado. Una vez está definido el objetivo general, para alcanzarlo se
definen los objetivos específicos teniendo en cuenta la metodología de la auditoría que se
descompone en tres o cuatro fases dependiendo si es una auditoría interna o es una auditoría
externa, para cada fase será necesario definir un objetivo específico que permita cumplirlo. Como
se puede mirar en el cuadro anterior las fases de la auditoría en general son las siguientes:
conocer el sistema, planear la auditoría, ejecutar la auditoría, y la fase de resultados, para cada
fase se define un objetivo específico.
Por ejemplo, si la fuente de la auditoría es el gerente, el informará que aspectos quiere que sean
auditados y la intencionalidad de llevar a cabo el proceso, una vez conocidos los aspectos que se
desea sean auditados, se procede a realizar visitas al sitio "in situ" a el área o sistema para hacer la
observación y entrevistas con el administrador del área informática, los empleados de dicha área,
los sistemas de información y usuarios para detectar posibles vulnerabilidades y amenazas que
puedan ocasionar riesgos potenciales.

Si las vulnerabilidades y amenazas se presentan en las redes, conectividad y el servicio de internet


y en la infraestructura tecnológica de hardware, el objetivo podría ser: Realizar la auditoría a la
red de datos y la infraestructura de hardware que soportan los sistemas de información en la
empresa "xxxxxx" de la ciudad de "xxxxxx".

De acuerdo a este objetivo se definen los objetivos específicos teniendo en cuanta las etapas de la
auditoría, por ejemplo:

Objetivo 1: Conocer las redes de datos y la infraestructura tecnológica que soportan los
sistemas de información con el fin de analizar los riesgos que puedan presentarse en la
funcionalidad de los sistemas de información y servicios que se prestan mediante visitas a la
empresa y entrevistas con empleados y usuarios.

Objetivo 2: Elaborar el plan de auditoría, y programa de auditoría teniendo en cuenta los


estándares que serán aplicados para hacer el diseño de los instrumentos de recolección y plan
de pruebas que serán aplicados en el proceso de auditoría con el fin de obtener una información
confiable para realizar el dictamen.

Objetivo 3: Aplicar los instrumentos de recolección de información y pruebas que se han


diseñado para determinar los riesgos existentes en la red de datos y la infraestructura
tecnológica de acuerdo a las vulnerabilidades y amenazas que se han evidenciado
preliminarmente con el fin de hacer la valoración de los riesgos que permitan medir la
probabilidad de ocurrencia y el impacto que causa en la organización.

Objetivo 4: De acuerdo a los hallazgos comprobados mediante pruebas, elaborar el dictamen de


la auditoría de acuerdo al nivel de madurez en los procesos evaluados, determinar el
tratamiento de los riesgos y definir posibles soluciones que serán recomendadas en el informe
final para se entrega a quien originó la auditoría.

Una vez definidos los objetivos de la auditoría, para cada ítem se menciona los aspectos más
relevantes que serán evaluados en cada uno de ellos. Por ejemplo, los alcances serían:

De la red de datos se evaluará los siguientes aspectos:

- El inventario hardware de redes


- La obsolescencia del hardware y cableado estructurado
- El cumplimiento de la norma de cableado estructurado
- La seguridad en la red de datos
- Del servicio de internet se evaluará:
- El contrato con la empresa que presta el servicio de internet
- La seguridad que brinda el operador para el servicio de internet
- La seguridad de la red inalámbrica wifi
- La monitorización de la red por parte del administrador

Estos son algunos de los aspectos elegidos para ser evaluados en cuanto a la red, lo mismo debe
hacerse para el hardware de servidores y equipos terminales que soportan los sistemas y algo
importante es la opinión de los usuarios respecto a los problemas que se están presentando a
causa de la infraestructura tecnológica y la red que soportan los sistemas.

La intención es que los integrantes del grupo de auditoría se distribuyan las actividades de acuerdo
a su especialidad y se pueda concretar los aspectos a evaluar y las pruebas que se pueden realizar
para poder evidenciar las vulnerabilidades, amenazas y riesgos encontrados inicialmente.

Posteriormente se debe especificar la metodología donde se trata de especificar las actividades


para lograr cada uno de los objetivos específicos propuestos anteriormente, aquí cada objetivo
específico se descompone en actividades generales que se deberán realizar para poder cumplirlos.

A continuación se presenta un ejemplo con el primer objetivo formulado:

Metodología para Objetivo 1: Conocer las redes de datos que soportan la infraestructura
tecnológica con el fin de analizar algunos de los riesgos que puedan presentarse realizando visitas
a la empresa y entrevistas con los usuarios.

 Solicitar la documentación de los planos de la red


 Solicitar el inventario del hardware de las redes
 Realizar una entrevista inicial con el encargado de administrar la red
 Realizar pruebas de seguridad en las redes para determinar las vulnerabilidades
 Conocer los problemas más frecuentes en la red por parte de los usuarios

- Estas son las actividades para lograr el primer objetivo, de la misma manera se hace para los otros
objetivos específicos planteados.

Posteriormente se hace una relación de los recursos que uno necesita para desarrollar la auditoría,
en este caso los recursos se dividen en talento humano que serán los integrantes del equipo
auditor, los recursos físicos que son el sitio o empresa donde se llevará a cabo la auditoría, los
recursos tecnológicos (el hardware, cámaras, grabadoras digitales, memorias, celulares y el
software que se necesite para pruebas) y los recursos económicos que se presentan en una tabla
de presupuesto.

Recursos humanos: Nombres y apellidos del grupo auditor

Recursos físicos: La auditoría se llevará a cabo en el área informática de la empresa xxxxx.

Recursos tecnológicos: grabadora digital para entrevistas, cámara fotográfica para pruebas que
servirán de evidencia, computador portátil, software para pruebas de auditoría sobre escaneo y
tráfico en la red

Recursos económicos:

Ítem Cantidad subtotal

Computador 2 1200

Cámara digital 1 300

Grabadora digital 1 120

otros …. ….

Total 0000000000

Y finalmente se hace el cronograma de actividades, mediante un diagrama de GANNT, para


construirlo se toman las actividades que han sido definidas para cumplir cada objetivo y se
especifica el tiempo de duración de cada actividad en el tiempo. El tiempo se debe definir desde
ahora hasta la entrega final del informe de auditoría.

A continuación se presenta un ejemplo completo de un plan de auditoría o memorando de


planeación donde se muestra los contenidos de cada uno de los ítems:

Plan de Auditoria

Antecedentes: En las Aulas de informática de una Institución educativa se realiza anualmente un


plan de seguimiento a todos los procesos técnicos y académicos de la institución, esto debido a
que las instituciones requieren la acreditación de calidad en el manejo de sus procesos y para ello
se hace necesario realizar auditorías internas permanentes y de tipo externo periódicamente para
lograrlo.
Uno de los recursos tecnológicos disponibles en las instituciones educativas es el de la red de
datos que opera en las diferentes sedes y que generalmente se encuentra certificada bajo la
normas de la IEEE\EIA\TIA, las cuales se deben cumplir estrictamente.

Objetivos

· Objetivo general: Realizar la revisión y verificación del cumplimiento de normas mediante una
auditoría a la infraestructura física de la red de datos en una de las instituciones educativas.

· Objetivos específicos:

· Planificar la auditoría que permita identificar las condiciones actuales de la red de datos de la
institución educativa.

· Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de auditoría COBIT
como herramienta de apoyo en el proceso inspección de la red de datos de la institución
educativa.

· Identificar las soluciones para la construcción de los planes de mejoramiento a la red de la


institución educativa de acuerdo a los resultados obtenidos en la etapa de aplicación del modelo
de auditoría.

Alcance y delimitación: La presente auditoria pretende identificar las condiciones actuales del
hardware, la red de datos y eléctrica de la institución educativa, con el fin de verificar el
cumplimiento de normas y la prestación del servicio de internet para optimizar el uso de los
recursos existentes para mejorar el servicio a los usuarios.

Los puntos a evaluar serán los siguientes:

De las instalaciones físicas se evaluará:

 Instalaciones eléctricas
 Instalación cableado de la red de datos
 Sistemas de protección eléctricos
 Seguridad de acceso físico a las instalaciones

De equipos o hardware se evaluará:

 Inventarios de hardware de redes y equipos


 Mantenimiento preventivo y correctivo de equipos y redes
 Hojas de vida de los equipos de cómputo y redes
 Los programas de mantenimiento de los equipos de cómputo y redes
 Revisión de informes de mantenimiento
 Personal encargado de mantenimiento
 Obsolescencia de la tecnología
Metodología: Para el cumplimiento de los objetivos planteados en la auditoría, se realizaran las
siguientes actividades:

1. Investigación preliminar: visitas a la institución para determinar el estado actual de la


organización, entrevistas con administradores y usuarios de las redes para determinar posibles
fallas, entrevistas con administrador y usuarios para determinar la opinión frente al hardware
existente y obsolecencia de equipos.

2. Recolectar información: Diseño de formatos de entrevistas, diseño de formatos para listas de


chequeo, diseño de formatos para cuestionarios, diseño del plan de pruebas, selección del
estándar a aplicar, elaboración del programa de auditoría, distribución de actividades para los
integrantes del grupo de trabajo.

3. Aplicación de instrumentos: Aplicar entrevistas al administrador y usuarios, aplicar listas de


chequeo para verificar controles, aplicar cuestionarios para descubrir nuevos riesgos y conformar
los que han sido detectados anteriormente.

4. Ejecución de las pruebas: ejecutar las pruebas para determinar la obsolescencia del hardware,
ejecutar pruebas sobre la red, ejecutar pruebas para comprobar la correspondencia de los
inventarios con la realidad.

5. Realizar el proceso de análisis y evaluación de riesgos: elaborar el cuadro de vulnerabilidades y


amenazas a que se ven enfrentados, determinar los riesgos a que se ven expuestos, hacer la
evaluación de riesgos, elaborar el mapa o matriz de riesgos.

6. Tratamiento de riesgos: determinar el tratamiento de los riesgos de acuerdo a la matriz de


riesgos, proponer controles de acuerdo a la norma de buenas práctica aplicada, definir las posibles
soluciones

7. Dictamen de la auditoría: Determinar el grado de madurez de la empresa en el manejo de cada


uno de los procesos evaluados, medir el grado de madurez de acuerdo a los hallazgos detectados
en cada proceso.

8. Informe final de auditoría: elaboración del borrador del informe técnico de auditoría para
confrontarlo con los auditados, elaboración del informe técnico final, elaboración del informe
ejecutivo, organización de papeles de trabajo para su entrega.
Recursos:

· Humanos: La auditoría se llevará a cabo por el grupo de auditores especializados en redes de


datos con la asesoría metodológica de un Ingeniero Auditor.

· Físicos: Instalaciones de la institución educativa, aulas de informática y dispositivos de red.

· Tecnológicos: equipos de cómputo, software instalado para la red, cámara digital, Intranet
institución educativa

Presupuesto:

Ítem Valor

Útiles y Papelería $ 2000.oo

Equipos de Oficina $ 1800.oo

Medios de almacenamiento magnético como: 1 caja de CD, 1 caja DVD, discos $ 500.oo
externos

Gastos generales: Cafetería, imprevistos, transporte, etc. $300.oo

Pago de Honorarios (2000 mensual x c/u) $4.000.oo

Total presupuesto $8600.oo

Cronograma

Mes 1 Mes 2 Mes 3


Actividad
1 2 3 4 1 2 3 4 1 2 3 4

Estudio Preliminar
Planificar la
auditoría Determinación de Áreas
Críticas de Auditoria

Elaboración de Programa
Aplicar el de Auditoria
modelo de
auditoria Evaluación de Riesgos

Ejecución de Pruebas y
Obtención de Evidencias

Construir los Elaboración de Informe


planes de
mejoramiento Sustentación de Informe

METODOLOGÍA PARA REALIZAR AUDITORÍA

Etapa de Planeación de la Auditoria

El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a ejecutar la
auditoria, donde se debe identificar de forma clara las razones por las que se va a realizar la
auditoria, la determinación del objetivo de la misma, el diseño de métodos, técnicas y
procedimientos necesarios para llevarla a cabo y para la solicitud de documentos que servirán de
apoyo para la ejecución, terminando con la elaboración de la documentación de los planes,
programas y presupuestos para llevarla a cabo.

Identificar el origen de la auditoria: Este es el primer paso para iniciar la planeación de la


auditoria, en esta se debe determinar por qué surge la necesidad o inquietud de realizar una
auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿porqué?, ¿Quién? o ¿para qué? Se
quiere hacer la evaluación de algún aspecto de los sistemas de la empresa.

Visita Preliminar al Área informática: Este es el segundo paso en la planeación de la auditoria y


consiste en realizar una visita preliminar al área de informática que será auditada, luego de
conocer el origen de la petición de realizar la auditoria y antes de iniciarla formalmente; el
propósito es el de tener un primer contacto con el personal asignado a dicha área, conocer la
distribución de los sistemas y donde se localizan los servidores y equipos terminales en el centro
de cómputo, sus características, las medidas de seguridad y otros aspectos sobre que
problemáticas que se presentan en el área auditada.

Aquí se deben tener en cuenta aspectos tales como:

- La visita inicial para el arranque de la auditoria cuya finalidad es saber ¿Cómo se encuentran
distribuidos los equipos en el área?, ¿Cuántos, cuáles, cómo y de que tipo son los servidores y
terminales que existen en el área?, ¿Qué características generales de los sistemas que serán
auditados?, ¿Qué tipo de instalaciones y conexiones físicas existen en el área?, ¿Cuál es la reacción
del personal frente al auditor?, ¿Cuáles son las medidas de seguridad física existentes en el área?,
y ¿Qué limitaciones se observan para realizar la auditoria?. Con esta información el auditor podrá
diseñar las medidas necesarias para una adecuada planeación de la auditoria y establecer algunas
acciones concretas que le ayuden al desarrollo de la evaluación.

Establecer los Objetivos de la Auditoria: Los objetivos de la planeación de la auditoria son:


- El objetivo general que es el fin global de lo que se pretende alcanzar con el desarrollo de la
auditoría informática y de sistemas, en el se plantean todos los aspectos que se pretende evaluar.

- Los objetivos específicos que son los fines individuales que se pretenden para el logro del
objetivo general, donde se señala específicamente los sistemas, componentes o elementos
concretos que deben ser evaluados.

Determinar los Puntos que serán evaluados: Una vez determinados los objetivos de la auditoria
se debe relacionar los aspectos que serán evaluados, y para esto se debe considerar aspectos
específicos del área informática y de los sistemas computacionales tales como: la gestión
administrativa del área informática y el centro de cómputo, el cumplimiento de las funciones del
personal informático y usuarios de los sistemas, los sistemas en desarrollo, la operación de los
sistemas en producción, los programas de capacitación para el personal del área y usuarios de los
sistemas, protección de las bases de datos, datos confidenciales y accesos a las mismas, protección
de las copias de seguridad y la restauración de la información, entre otros aspectos.

Elaborar Planes, programas y Presupuestos para Realizar la auditoria: Para realizar la planeación
formal de la auditoria informática y de sistemas, en la cual se concretan los planes, programas y
presupuestos para llevarla a cabo se debe elaborar los documentos formales para el desarrollo de
la auditoria, donde se delimiten las etapas, eventos y actividades y los tiempos de ejecución para
el cumplimiento del objetivo, anexando el presupuesto con los costos de los recursos que se
utilizarán para llevarla a cabo.

Algunos de los aspectos a tener en cuenta serán: Las actividades que se van a realizar, los
responsables de realizarlas, los recursos materiales y los tiempos; El flujo de eventos que sirven de
guía; la estimación de los recursos humanos, materiales e informáticos que serán utilizados; los
tiempos estimados para las actividades y para la auditoria; los auditores responsables y
participantes de las actividades; Otras especificaciones del programa de auditoría.

Identificar y seleccionar los Métodos, herramientas, Instrumentos y Procedimientos necesarios


para la Auditoria: En este se determina la documentación y medios necesarios para llevar a cabo
la revisión y evaluación en la empresa, seleccionando o diseñando los métodos, procedimientos,
herramientas, e instrumentos necesarios de acuerdo a los planes, presupuestos y programas
establecidos anteriormente para la auditoria. Para ello se debe considerar los siguientes puntos:
establecer la guía de ponderación de cada uno de los puntos que se debe evaluar; Elaborar una
guía de la auditoria; elaborar el documento formal de la guía de auditoría; determinar las
herramientas, métodos y procedimientos para la auditoria de sistemas; Diseñar los sistemas,
programas y métodos de pruebas para la auditoria.

Asignar los Recursos y Sistemas computacionales para la auditoria: Finalmente se debe asignar
los recursos que serán utilizados para realizar la auditoria. Con la asignación de estos recursos
humanos, informáticos, tecnológicos y de cualquier otro tipo se llevará a cabo la auditoria.

Etapa de Ejecución de la Auditoria


La siguiente etapa después de la planeación de la auditoria es la ejecución de la misma, y está
determinada por las características propias, los puntos elegidos y los requerimientos estimados en
la planeación.

Etapa de Dictamen de la Auditoria

La tercera etapa Lugo de la planeación y ejecución es emitir el dictamen, que es el resultado final
de la auditoria, donde se presentan los siguientes puntos: la elaboración del informe de las
situaciones que se han detectado, la elaboración del dictamen final y la presentación del informe
de auditoría.

Analizar la información y elaborar un informe de las situaciones detectadas: Junto con la


detección de las oportunidades de mejoramiento se debe realizar el análisis de los papeles de
trabajo y la elaboración del borrador de las oportunidades detectadas, para ser discutidas con los
auditados, después se hacen las modificaciones necesarias y posteriormente el informe final de las
situaciones detectadas.

Elaborar el Dictamen Final: El auditor debe terminar la elaboración del informe final de auditoría y
complementarlo con el dictamen final, para después presentarlo a los directivos del área auditada
para que conozcan la situación actual del área, antes de presentarlo al representante o gerente de
la empresa.

Una vez comentadas las desviaciones con los auditados, se elabora el informe final, lo cual es
garantía de que los auditados ya aceptaron las desviaciones encontradas y que luego se llevan a
documentos formales.

Elaborar el Dictamen Formal: El último paso de esta metodología es presentar formalmente el


informe y el dictamen de la auditoria al más alto de los directivos de la empresa donde se informa
de los resultados de la auditoria. Tanto el informe como el dictamen deben presentarse en forma
resumida, correcta y profesional. La presentación de la misma se hace en una reunión directiva y
por eso es indispensable usar un lenguaje claro tanto en el informe como en la exposición del
mismo. El informe debe contener los siguientes puntos: la carta de presentación, el dictamen de la
auditoria, el informe de situaciones relevantes y los anexos y cuadros estadísticos.

Al elaborar el dictamen formal se hace tomando en cuenta el informe comentado a los directivos,
junto al formato de hallazgos o desviaciones y los papeles de trabajo de cada uno de los auditores.
La integración del dictamen y el informe final de auditoría deben ser elaborados con la máxima
perfección, tratando de evitar errores. También deben contener de manera clara y concreta, las
desviaciones detectadas en la evaluación.

Tabla 1: Etapas proceso de autoría de sistemas

FASE ACTIVIDADES
Conocimiento 1. Identificar el origen de la auditoria.
del sistema o
área auditada 2. Realizar visitas para conocer procesos, activos informáticos, procesos y
organización del área auditada.

3. Determinar las vulnerabilidades, y amenazas informáticas a que está


expuesta la organización.

4. Determinar el objetivo de la auditoría de acuerdo a las vulnerabilidades, y


amenazas informáticas encontradas.

1. Elaborar el plan de auditoría

2. Seleccionar los estándares a utilizar de acuerdo al objetivo (CobIT, MAGERIT,


ISO/IEC 27001, ISO/IEC 27002, otro)

3. De acuerdo al estándar elegido, seleccionar los ítems que serán evaluados


que estén en relación directa con el objetivo y alcances definidos en el plan.
Planeación de
la Auditoria de
4. Seleccionar el equipo de trabajo y asignar tareas específicas
Sistemas
5. Determinar las actividades que se llevarán a cabo y los tiempos en que serán
llevadas a cabo en cada ítem evaluado. (Programa de auditoría)

6. Diseñar instrumentos para recolección de información (formatos de


entrevistas, formatos de listas de chequeo, formatos de cuestionarios)

7. Diseñar el plan de pruebas (formato pruebas)

1. Aplicar los instrumentos de recolección de información diseñados

2. Ejecutar las pruebas del plan de pruebas

3. Levantar la información de activos informáticos de la organización auditada

Ejecución de la
4. Determinar las vulnerabilidades y amenazas informáticas aplicando una
Auditoria de metodología (MAGERIT)
Sistemas
5. Realizar la valoración de las amenazas y vulnerabilidades encontradas y
probadas

6. Realizar el proceso de evaluación de riesgos

7. Determinar el tratamiento de los riesgos


1. Determinar las soluciones para los hallazgos encontrados (controles)

2. Elaborar el Dictamen para cada uno de los procesos evaluados.


Resultados de
la Auditoria de
3. Elaborar el informe final de auditoría para su presentación y sustentación
Sistemas
4. Integrar y organizar los papeles de trabajo de la auditoria

5. Diseñar las políticas y procedimientos integrando los controles definidos

COBIT (Objetivos de Control para la información y Tecnologías relacionadas)

Las mejores prácticas en auditoria recomiendan Cobit como la herramienta estándar para
tecnologías de información más utilizada en la ejecución de auditorías; a continuación se explica
detalladamente algunos conceptos manejados por ésta y los dominios, procesos y actividades que
lo conforman:

Efectividad. Se refiere a que la información relevante sea pertinente para el proceso del
negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable.

Eficiencia. Se refiere a la provisión de información a través de la utilización óptima (más productiva


y económica) de recursos.

Confidencialidad. Se refiere a la protección de información sensible contra divulgación no


autorizada.

Integridad. Se refiere a la precisión y suficiencia de la información, así como a su validez de


acuerdo con los valores y expectativas del negocio.

Disponibilidad. Se refiere a la disponibilidad de la información cuando ésta es requerida por el


proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos
necesarios y capacidades asociadas.

Cumplimiento. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales


a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos
externamente.

Confiabilidad de la información. Se refiere a la provisión de información apropiada para la


administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes
financieros y de cumplimiento.

Datos. Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos),
estructurados y no estructurados, gráficos, sonido, etc.

Aplicaciones. Se entiende como sistemas de aplicación la suma de procedimientos manuales y


programados.
Tecnología. La tecnología cubre hardware, software, sistemas operativos, sistemas de
administración de bases de datos, redes, multimedia, etc.

Instalaciones. Recursos para alojar y dar soporte a los sistemas de información.

Personal. Habilidades del personal, conocimiento, conciencia y productividad para planear,


organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de
información.

Niveles de Cobit: La estructura del estándar Cobit se divide en dominios que son agrupaciones de
procesos que corresponden a una responsabilidad personal, procesos que son una serie de
actividades unidas con delimitación o cortes de control y objetivos de control o actividades
requeridas para lograr un resultado medible.

3.1.1 Distribución de los dominios y procesos de COBIT

TABLA DE CLASIFICACION DE DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL – COBIT 4.1

DOMINIOS PROCESOS OBJETIVOS DE CONTROL

PO1.1 Administración del Valor de TI

PO1.2 Alineación de TI con el Negocio

PO1.3 Evaluación del Desempeño y la


Capacidad Actual
PO1 Definir un Plan
Estratégico de TI PO1.4 Plan Estratégico de TI

PO1.5 Planes Tácticos de TI

PO1.6 Administración del Portafolio de TI

PO2.1 Modelo de Arquitectura de Información


PLANIFICAR
Empresarial
Y
PO2 Definir la PO2.2 Diccionario de Datos Empresarial y
ORGANIZAR Arquitectura de la Reglas de Sintaxis de Datos
Información
PO2.3 Esquema de Clasificación de Datos
PO2.4 Administración de Integridad

PO3.1 Planeación de la Dirección Tecnológica

PO3.2 Plan de Infraestructura Tecnológica

PO3.3 Monitoreo de Tendencias y


PO3 Determinar la Regulaciones Futuras
Dirección Tecnológica
PO3.4 Estándares Tecnológicos

PO3.5 Consejo de Arquitectura de TI

PO4.1 Marco de Trabajo de Procesos de TI

PO4.2 Comité Estratégico de TI

PO4.3 Comité Directivo de TI

PO4.4 Ubicación Organizacional de la Función


de TI

PO4.5 Estructura Organizacional

PO4.6 Establecimiento de Roles y


Responsabilidades

PO4.7 Responsabilidad de Aseguramiento de


Calidad TI

PO4.8 Responsabilidad sobre el Riesgo, la


Seguridad y el Cumplimiento
PO4 Definir los
Procesos, Organización PO4.9 Propiedad de Datos y de Sistema
y Relaciones de TI
PO4.10 Supervisión

PO4.11 Segregación de Funciones

PO4.12 Personal de TI

PO4.13 Personal Clave de TI

PO4.14 Políticas y Procedimientos para


Personal Contratado

PO4.15 Relaciones
PO5.1 Marco de Trabajo para la
Administración Financiera

PO5.2 Prioridades Dentro del Presupuesto de


TI
PO5 Administrar la
Inversión en TI PO5.3 Proceso Presupuestal

PO5.4 Administración de Costos de TI

PO5.5 Administración de Beneficios

PO6.1 Ambiente de Políticas y de Control

PO6.2 Riesgo Corporativo y Marco de


Referencia de Control Interno de TI
PO6 Comunicar las
Aspiraciones y la PO6.3 Administración de Políticas para TI
Dirección de la
PO6.4 Implantación de Políticas de TI
Gerencia
PO6.5 Comunicación de los Objetivos y la
Dirección de TI

PO7.1 Reclutamiento y Retención del Personal

PO7.2 Competencias del Personal

PO7.3 Asignación de Roles

PO7.4 Entrenamiento del Personal de TI

PO7.5 Dependencia Sobre los Individuos

PO7 Administrar PO7.6 Procedimientos de Investigación del


Recursos Humanos de Persona
TI
PO7.7 Evaluación del Desempeño del
Empleado

PO7.8 Cambios y Terminación de Trabajo

PO8.1 Sistema de Administración de Calidad

PO8.2 Estándares y Prácticas de Calidad

PO8 Administrar la PO8.3 Estándares de Desarrollo y de


Calidad Adquisición

PO8.4 Enfoque en el Cliente de TI

PO8.5 Mejora Continua

PO8.6 Medición, Monitoreo y Revisión de la


Calidad

PO9.1 Marco de Trabajo de Administración de


Riesgos

PO9.2 Establecimiento del Contexto del Riesgo

PO9.3 Identificación de Eventos

PO9 Evaluar y PO9.4 Evaluación de Riesgos de TI


Administrar los Riesgos
de TI PO9.5 Respuesta a los Riesgos

PO9.6 Mantenimiento y Monitoreo de un Plan


de Acción de Riesgos

PO10.1 Marco de Trabajo para la


Administración de Programas

PO10.2 Marco de Traba

PO10.3 Enfoque de Administración de


Proyectos

PO10.4 Compromiso de los Interesados

PO10.5 Declaración de Alcance del Proyecto

PO10.6 Inicio de las Fases del Proyecto

PO10.7 Plan Integrado del Proyecto

PO10.8 Recursos del Proyecto


PO10 Administrar
Proyectos PO10.9 Administración de Riesgos del
Proyecto

PO10.10 Plan de Calidad del Proyecto

PO10.11 Control de Cambios del Proyecto


PO10.13 Medición del Desempeño, Reporte y
Monitoreo del Proyecto

PO10.14 Cierre del Proyecto

AI1.1 Definición y Mantenimiento de los


Requerimientos Técnicos y Funcionales del
Negocio

AI1 Identificar AI1.2 Reporte de Análisis de Riesgos


soluciones
automatizadas AI1.3 Estudio de Factibilidad y Formulación de
Cursos de Acción Alternativos

AI1.4 Requerimientos, Decisión de Factibilidad


y Aprobación

AI2.1 Diseño de Alto Nivel

AI2.2 Diseño Detallado

AI2.3 Control y Posibilidad de Auditar las


Aplicaciones

AI2.4 Seguridad y Disponibilidad de las


Aplicaciones

AI2.5 Configuración e Implementación de


Software Aplicativo Adquirido

ADQUIRIR AI2.6 Actualizaciones Importantes en Sistemas


AI2 Adquirir y
Existentes
E IMPLEMENTAR Mantener Software
Aplicativo AI2.7 Desarrollo de Software Aplicativo

AI2.8 Aseguramiento de la Calidad del


Software

AI2.9 Administración de los Requerimientos de


Aplicaciones

AI2.10 Mantenimiento de Software Aplicativo

AI3 Adquirir y AI3.1 Plan de Adquisición de Infraestructura


Mantener Tecnológica
Infraestructura AI3.2 Protección y Disponibilidad del Recurso
Tecnológica de Infraestructura

AI3.3 Mantenimiento de la infraestructura

AI3.4 Ambiente de Prueba de Factibilidad

AI4.1 Plan para Soluciones de Operación

AI4.2 Transferencia de Conocimiento a la


Gerencia del Negocio

AI4 Facilitar la AI4.3 Transferencia de Conocimiento a


Operación y el Uso Usuarios Finales

AI4.4 Transferencia de Conocimiento al


Personal de Operaciones y Soporte

AI5.1 Control de Adquisición

AI5.2 Administración de Contratos con


AI5 Adquirir Recursos Proveedores
de TI
AI5.3 Selección de Proveedores

AI5.4 Adquisición de Recursos TI

AI6.1 Estándares y Procedimientos para


Cambios

AI6.2 Evaluación de Impacto, Priorización y


Autorización

AI6.3 Cambios de Emergencia


AI6 Administrar
Cambios AI6.4 Seguimiento y Reporte del Estatus de
Cambio

AI6.5 Cierre y Documentación del Cambio

AI7.1 Entrenamiento

AI7.2 Plan de Prueba


AI7 Instalar y Acreditar
AI7.3 Plan de Implementación
Soluciones y Cambios
AI7.4 Ambiente de Prueba
AI7.5 Conversión de Sistemas y Datos

AI7.6 Pruebas de Cambios

AI7.7 Prueba de Aceptación Final

AI7.8 Promoción a Producción

AI7.9 Revisión Posterior a la Implantación

DS1.1 Marco de Trabajo de la Administración


de los Niveles de Servicio

DS1.2 Definición de Servicios

DS1 Definir y DS1.3 Acuerdos de Niveles de Servicio


administrar los niveles DS1.4 Acuerdos de Niveles de Operación
de servicio
DS1.5 Monitoreo y Reporte del Cumplimiento
de los Niveles de Servicio

DS1.6 Revisión de los Acuerdos de Niveles de


Servicio y de los Contratos

DS2.1 Identificación de Todas las Relaciones


con Proveedores

DS2.2 Gestión de Relaciones con Proveedores


DS2 Administrar los
Servicios de Terceros DS2.3 Administración de Riesgos del
Proveedor

DS2.4 Monitoreo del Desempeño del


Proveedor

ENTREGAR Y DAR DS3.1 Planeación del Desempeño y la


SOPORTE Capacidad

DS3 Administrar el DS3.2 Capacidad y Desempeño Actual


Desempeño y la
DS3.3 Capacidad y Desempeño Futuros
Capacidad
DS3.4 Disponibilidad de Recursos de TI

DS3.5 Monitoreo y Reporte


DS4.1 Marco de Trabajo de Continuidad de TI

DS4.2 Planes de Continuidad de TI

DS4.3 Recursos Críticos de TI

DS4.4 Mantenimiento del Plan de Continuidad


de TI

DS4.5 Pruebas del Plan de Continuidad de TI

DS4.6 Entrenamiento del Plan de Continuidad


de TI
DS4 Garantizar la
DS4.7 Distribución del Plan de Continuidad de
Continuidad del
TI
Servicio
DS4.8 Recuperación y Reanudación de los
Servicios de TI

DS4.9 Almacenamiento de Respaldos Fuera de


las Instalaciones

DS4.10 Revisión Post Reanudación

DS5.1 Administración de la Seguridad de TI

DS5.2 Plan de Seguridad de TI

DS5.3 Administración de Identidad

DS5.4 Administración de Cuentas del Usuario

DS5.5 Pruebas, Vigilancia y Monitoreo de la


Seguridad

DS5.6 Definición de Incidente de Seguridad


DS5 Garantizar la
DS5.7 Protección de la Tecnología de
Seguridad de los
Seguridad
Sistemas
DS5.8 Administración de Llaves Criptográficas

DS5.9 Prevención, Detección y Corrección de


Software Malicioso

DS5.10 Seguridad de la Red


DS5.11 Intercambio de Datos Sensitivos

DS6.1 Definición de Servicios

DS6 Identificar y DS6.2 Contabilización de TI


Asignar Costos DS6.3 Modelación de Costos y Cargos

DS6.4 Mantenimiento del Modelo de Costos

DS7.1 Identificación de Necesidades de


Entrenamiento y Educación
DS7 Educar y Entrenar a
DS7.2 Impartición de Entrenamiento y
los Usuarios
Educación

DS7.3 Evaluación del Entrenamiento Recibido

DS8.1 Mesa de Servicios

DS8.2 Registro de Consultas de Clientes


DS8 Administrar la
Mesa de Servicio y los DS8.3 Escalamiento de Incidentes
Incidentes
DS8.4 Cierre de Incidentes

DS8.5 Análisis de Tendencias

DS9.1 Repositorio y Línea Base de


Configuración

DS9 Administrar la DS9.2 Identificación y Mantenimiento de


Configuración Elementos de Configuración

DS9.3 Revisión de Integridad de la


Configuración

DS10.1 Identificación y Clasificación de


Problemas

DS10 Administración de DS10.2 Rastreo y Resolución de Problemas


Problemas DS10.3 Cierre de Problemas

DS10.4 Integración de las Administraciones de


Cambios, Configuración y Problemas

DS11.1 Requerimientos del Negocio para


Administración de Datos

DS11 Administración de DS11.2 Acuerdos de Almacenamiento y


Datos Conservación

DS11.3 Sistema de Administración de Librerías


de medios

DS11.4 Eliminación

DS11.5 Respaldo y Restauración

DS11.6 Requerimientos de Seguridad para la


Administración de Datos

DS12.1 Selección y Diseño del Centro de Datos

DS12.2 Medidas de Seguridad Física

DS12 Administración DS12.3 Acceso Físico


del Ambiente Físico
DS12.4 Protección Contra Factores
Ambientales

DS12.5 Administración de Instalaciones Físicas

DS13.1 Procedimientos e Instrucciones de


Operación

DS13.2 Programación de Tareas

DS13 Administración de DS13.3 Monitoreo de la Infraestructura de TI


Operaciones
DS13.4 Documentos Sensitivos y Dispositivos
de Salida

DS13.5 Mantenimiento Preventivo del


Hardware

ME1.1 Enfoque del Monitoreo


ME1 Monitorear y
ME1.2 Definición y Recolección de Datos de
Evaluar el Desempeño
Monitoreo
de TI
ME1.3 Método de Monitoreo

ME1.4 Evaluación del Desempeño


ME1.5 Reportes al Consejo Directivo y a
Ejecutivos

ME1.6 Acciones Correctivas

ME2.1 Monitoreo del Marco de Trabajo de


Control Interno

ME2.2 Revisiones de Auditoría


MONITOREAR Y
ME2.3 Excepciones de Control
EVALUAR
ME2 Monitorear y
Evaluar el Control ME2.4 Control de Auto Evaluación
Interno ME2.5 Aseguramiento del Control Interno

ME2.6 Control Interno para Terceros

ME2.7 Acciones Correctivas

ME3.1 Identificar los Requerimientos de las


Leyes, Regulaciones y Cumplimientos
Contractuales

ME3.2 Optimizar la Respuesta a


ME3 Garantizar el Requerimientos Externos
Cumplimiento con
Requerimientos ME3.3 Evaluación del Cumplimiento con
Externos Requerimientos Externos

ME3.4 Aseguramiento Positivo del


Cumplimiento

ME3.5 Reportes Integrados

ME4.1 Establecimiento de un Marco de


Gobierno de TI

ME4.2 Alineamiento Estratégico

ME4 Proporcionar ME4.3 Entrega de Valor


Gobierno de TI
ME4.4 Administración de Recursos

ME4.5 Administración de Riesgos

ME4.6 Medición del Desempeño


ME4.7 Aseguramiento Independiente

Fuente: Estándar de mejores prácticas COBIT 4.1

Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos
procesos están agrupados en cuatro grandes dominios que se describen a continuación junto con
sus procesos y una descripción general de las actividades de cada uno:

Dominio: Planificación y Organización

Cubre la estrategia y las tácticas, se refiere a la identificación de la forma en que la tecnología


información puede contribuir de la mejor manera al logro de los objetivos de la organización. La
consecución de la visión estratégica debe ser planeada, comunicada y administrada desde
diferentes perspectivas y debe establecerse una organización y una infraestructura tecnológica
apropiadas.

Procesos:

PO1 Definición de un plan Estratégico: El objetivo es lograr un balance óptimo entre las
oportunidades de tecnología de información y los requerimientos de TI de negocio, para asegurar
sus logros futuros.

PO2 Definición de la arquitectura de Información: El objetivo es satisfacer los requerimientos de


la organización, en cuanto al manejo y gestión de los sistemas de información, a través de la
creación y mantenimiento de un modelo de información de la organización.

PO3 Determinación de la dirección tecnológica: El objetivo es aprovechar al máximo de la


tecnología disponible o tecnología emergente, satisfaciendo los requerimientos de la organización,
a través de la creación y mantenimiento de un plan de infraestructura tecnológica.

PO4 Definición de la organización y de las relaciones de TI: El objetivo es la prestación de


servicios de TI, por medio de una organización conveniente en número y habilidades, con tareas y
responsabilidades definidas y comunicadas.

PO5 Manejo de la inversión: El objetivo es la satisfacción de los requerimientos de la organización,


asegurando el financiamiento y el control de desembolsos de recursos financieros.

PO6 Comunicación de la dirección y aspiraciones de la gerencia: El objetivo es asegurar el


conocimiento y comprensión de los usuarios sobre las aspiraciones de la gerencia, a través de
políticas establecidas y transmitidas a la comunidad de usuarios, necesitándose para esto
estándares para traducir las opciones estratégicas en reglas de usuario prácticas y utilizables.

PO7 Administración de recursos humanos: El objetivo es maximizar las contribuciones del


personal a los procesos de TI, satisfaciendo así los requerimientos de negocio, a través de técnicas
sólidas para administración de personal.
PO8 Asegurar el cumplimiento con los requerimientos Externos: El objetivo es cumplir con
obligaciones legales, regulatorias y contractuales, para ello se realiza una identificación y análisis
de los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las medidas
apropiadas para cumplir con ellos.

PO9 Evaluación de riesgos: El objetivo es asegurar el logro de los objetivos de TI y responder a las
amenazas hacia la provisión de servicios de TI, mediante la participación de la propia organización
en la identificación de riesgos de TI y en el análisis de impacto, tomando medidas económicas para
mitigar los riesgos.

PO10 Administración de proyectos: El objetivo es establecer prioridades y entregar servicios


oportunamente y de acuerdo al presupuesto de inversión, para ello se realiza una identificación y
priorización de los proyectos en línea con el plan operacional por parte de la misma organización.
Además, la organización deberá adoptar y aplicar sólidas técnicas de administración de proyectos
para cada proyecto emprendido.

PO11 Administración de calidad: El objetivo es satisfacer los requerimientos del cliente. Mediante
una planeación, implementación y mantenimiento de estándares y sistemas de administración de
calidad por parte de la organización.

Dominio: Adquisición e implementación

Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o
adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este
dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

Procesos:

AI1 Identificación de Soluciones Automatizadas: El objetivo es asegurar el mejor enfoque para


cumplir con los requerimientos del usuario, mediante un análisis claro de las oportunidades
alternativas comparadas contra los requerimientos de los usuarios.

AI2 Adquisición y mantenimiento del software aplicativo: El objetivo es proporcionar funciones


automatizadas que soporten efectivamente la organización mediante declaraciones específicas
sobre requerimientos funcionales y operacionales y una implementación estructurada con
entregables claros.

AI3 Adquisición y mantenimiento de la infraestructura tecnológica: El objetivo es proporcionar


las plataformas apropiadas para soportar aplicaciones de negocios mediante la realización de una
evaluación del desempeño del hardware y software, la provisión de mantenimiento preventivo de
hardware y la instalación, seguridad y control del software del sistema.

AI4 Desarrollo y mantenimiento de procedimientos: El objetivo es asegurar el uso apropiado de


las aplicaciones y de las soluciones tecnológicas establecidas, mediante la realización de un
enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para
usuarios, requerimientos de servicio y material de entrenamiento.

AI5 Instalación y aceptación de los sistemas: El objetivo es verificar y confirmar que la solución
sea adecuada para el propósito deseado mediante la realización de una migración de instalación,
conversión y plan de aceptaciones adecuadamente formalizadas.

AI6 Administración de los cambios: El objetivo es minimizar la probabilidad de interrupciones,


alteraciones no autorizadas y errores, mediante un sistema de administración que permita el
análisis, implementación y seguimiento de todos los cambios requeridos y llevados a cabo a la
infraestructura de TI actual.

Dominio: Servicios y soporte

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las
operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de
continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte
necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación,
frecuentemente clasificados como controles de aplicación.

Procesos

DS1 Definición de niveles de servicio: El objetivo es establecer una comprensión común del nivel
de servicio requerido, mediante el establecimiento de convenios de niveles de servicio que
formalicen los criterios de desempeño contra los cuales se medirá la cantidad y la calidad del
servicio.

DS2 Administración de servicios prestados por terceros: El objetivo es asegurar que las tareas y
responsabilidades de las terceras partes estén claramente definidas, que cumplan y continúen
satisfaciendo los requerimientos, mediante el establecimiento de medidas de control dirigidas a la
revisión y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y
suficiencia, con respecto a las políticas de la organización.

DS3 Administración de desempeño y capacidad: El objetivo es asegurar que la capacidad


adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño
deseado, realizando controles de manejo de capacidad y desempeño que recopilen datos y
reporten acerca del manejo de cargas de trabajo, tamaño de aplicaciones, manejo y demanda de
recursos.

DS4 Asegurar el Servicio Continuo: El objetivo es mantener el servicio disponible de acuerdo con
los requerimientos y continuar su provisión en caso de interrupciones, mediante un plan de
continuidad probado y funcional, que esté alineado con el plan de continuidad del negocio y
relacionado con los requerimientos de negocio.
DS5 Garantizar la seguridad de sistemas: El objetivo es salvaguardar la información contra uso no
autorizados, divulgación, modificación, daño o pérdida, realizando controles de acceso lógico que
aseguren que el acceso a sistemas, datos y programas está restringido a usuarios autorizados.

DS6 Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estén
haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades
involucrados realizando un plan completo de entrenamiento y desarrollo.

DS7 Identificación y asignación de costos: El objetivo es asegurar un conocimiento correcto


atribuido a los servicios de TI realizando un sistema de contabilidad de costos asegure que éstos
sean registrados, calculados y asignados a los niveles de detalle requeridos.

DS8 Apoyo y asistencia a los clientes de TI: El objetivo es asegurar que cualquier problema
experimentado por los usuarios sea atendido apropiadamente realizando una mesa de ayuda que
proporcione soporte y asesoría de primera línea.

DS9 Administración de la configuración: El objetivo es dar cuenta de todos los componentes de TI,
prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el
sano manejo de cambios realizando controles que identifiquen y registren todos los activos de TI
así como su localización física y un programa regular de verificación que confirme su existencia.

DS10 Administración de Problemas: El objetivo es asegurar que los problemas e incidentes sean
resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder implementando
un sistema de manejo de problemas que registre y haga seguimiento a todos los incidentes.

DS11 Administración de Datos: El objetivo es asegurar que los datos permanezcan completos,
precisos y válidos durante su entrada, actualización, salida y almacenamiento, a través de una
combinación efectiva de controles generales y de aplicación sobre las operaciones de TI.

DS12 Administración de las instalaciones: El objetivo es proporcionar un ambiente físico


conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor
excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y
ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado
definiendo procedimientos que provean control de acceso del personal a las instalaciones y
contemplen su seguridad física.

DS13 Administración de la operación: El objetivo es asegurar que las funciones importantes de


soporte de TI estén siendo llevadas a cabo regularmente y de una manera ordenada a través de
una calendarización de actividades de soporte que sea registrada y completada en cuanto al logro
de todas las actividades.

Dominio: Monitoreo
Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo
para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y
confidencialidad.

Procesos

M1 Monitoreo del Proceso: El objetivo es asegurar el logro de los objetivos establecidos para los
procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de
desempeño gerenciales y la implementación de sistemas de soporte así como la atención regular a
los reportes emitidos.

M2 Evaluar lo adecuado del Control Interno: El objetivo es asegurar el logro de los objetivos de
control interno establecidos para los procesos de TI.

M3 Obtención de Aseguramiento Independiente: El objetivo es incrementar los niveles de


confianza entre la organización, clientes y proveedores externos. Este proceso se lleva a cabo a
intervalos regulares de tiempo.

M4 Proveer Auditoria Independiente: El objetivo es incrementar los niveles de confianza y


beneficiarse de recomendaciones basadas en mejores prácticas de su implementación, lo que se
logra con el uso de auditorías independientes desarrolladas a intervalos regulares de tiempo.

RECOLECCIÓN DE INFORMACIÓN PARA AUDITORÍA INFORMÁTICA Y DE SISTEMAS

Observación

Es una de las técnicas más utilizadas para examinar los diferentes aspectos que intervienen en el
funcionamiento del área informática y los sistemas software, permite recolectar la información
directamente sobre el comportamiento de los sistemas, del área de informática, de las funciones y
actividades, los procedimientos y operación de los sistemas, y de cualquier hecho que ocurra en el
área. En el caso específico de la auditoria se aplica para observar todo lo relacionado con el área
informática y los sistemas de una organización con el propósito de percibir, examinar, o analizar
los eventos que se presentan en el desarrollo de las actividades del área o de un sistema que
permita evaluar el cumplimiento de las funciones, operaciones y procedimientos.

Entrevistas

Esta técnica es la más utilizada por los auditores ya que a través de esta se obtiene información
sobre lo que esta auditando, además de tips que permitirán conocer más sobre los puntos
a evaluar o analizar. La entrevista en general es un medio directo para la recolección de
información para la captura de los datos informados por medio de grabadoras digitales o cualquier
otro medio. En la entrevista, el auditor interroga, investiga y conforma directamente sobre los
aspectos que se está auditando. En su aplicación se utiliza una guía general de la entrevista, que
contiene una serie de preguntas sobre los temas que se quiere tocar, y que a medida que avanza
pueden irse adaptando para profundizar y preguntar sobre el tema.
Cuestionarios

Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado responde de
acuerdo a su criterio, de esta manera el auditor obtiene información que posteriormente puede
clasificar e interpretar por medio de la tabulación y análisis, para evaluar lo que se está auditando
y emitir una opinión sobre el aspecto evaluado.

Encuestas

Las encuestas son utilizadas frecuentemente para recolectar información sobre aspectos como el
servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, entre
otros juicios de la función informática. No existen reglas para el uso de las encuestas, solo los que
regulan los aspectos técnicos y estadísticos tales como la elección del universo y la muestra, que
se contemplan dentro de la aplicación de métodos probabilísticas y estadísticos para hacer la
mejor elección de las muestras y recolección de opiniones.

Inventarios

Consiste en hacer el recuento físico de lo que se está auditando, con el fin de compararla con la
que existe en los documentos en la misma fecha. Consiste en comparar las cantidades reales
existentes con las que debería haber para comprobar que sean iguales, de lo contrario iniciar la
investigación de la diferencia para establecer las causas. Con la aplicación de esta herramienta de
la auditoria tradicional, el auditor de sistemas también puede examinar las existencias de los
elementos disponibles para el funcionamiento del área informática o del sistema, contabilizando
los equipos de cómputo, la información y los datos de la empresa, los programas, periféricos,
consumibles, documentos, recursos informáticos, y demás aspectos que se desee conocer, con el
fin de comparar la cantidad real con las existencias que se registra en los documentos.

TÉCNICAS E INSTRUMENTOS PARA REALIZAR AUDITORIA INFORMÁTICA Y DE SISTEMAS

Evaluación

Consiste en analizar mediante pruebas la calidad y cumplimiento de funciones, actividades y


procedimientos que se realizan en una organización o área. Las evaluaciones se utilizan para
valorar registros, planes, presupuestos, programas, controles y otros aspectos que afectan la
administración y control de una organización o las áreas que la integran. La evaluación se aplica
para investigar algún hecho, comprobar alguna cosa, verificar la forma de realizar un proceso,
evaluar la aplicación de técnicas, métodos o procedimientos de trabajo, verificar el resultado de
una transacción, comprobar la operación correcta de un sistema software entre otros muchos
aspectos.

Inspección
La inspección permite evaluar la eficiencia y eficacia del sistema, en cuanto a operación y
procesamiento de datos para reducir los riesgos y unificar el trabajo hasta finalizarlo. La
inspección se realiza a cualquiera de las actividades, operaciones y componentes que rodean los
sistemas.

Confirmación

El aspecto más importante en la auditoria es la confirmación de los hechos y la certificación de los


datos que se obtienen en la revisión, ya que el resultado final de la auditoria es la emisión de un
dictamen donde el auditor expone sus opiniones, este informe es aceptado siempre y cuando los
datos sean veraces y confiables. No se puede dar un dictamen en base a suposiciones o emitir
juicios que no sean comprobables.

Comparación

Otra de las técnicas utilizadas en la auditoria es la comparación de los datos obtenidos en un área
o en toda la organización y cotejando esa información con los datos similares o iguales de otra
organización con características semejantes. En auditoria a los sistemas software se realiza la
comparación de los resultados obtenidos con el sistema y los resultados con el procesamiento
manual, el objetivo de dicha comparación es comprobar si los resultados son iguales, o determinar
las posibles desviaciones, y errores entre ellos.

Revisión Documental

Otra de las herramientas utilizadas en la auditoria es la revisión de documentos que soportan los
registros de operaciones y actividades de una organización. Aquí se analiza el registro de
actividades y operaciones plasmadas en documentos y archivos formales, con el fin de que el
auditor sepa cómo fueron registrados las operaciones, resultados y otros aspectos inherentes al
desarrollo de las funciones y actividades normales de la organización. En esta evaluación se
revisan manuales, instructivos, procedimientos, funciones y actividades. El registro de resultados,
estadísticas, la interpretación de acuerdos, memorandos, normas, políticas y todos los aspectos
formales que se asientan por escrito para el cumplimiento de las funciones y actividades en la
administración de las organizaciones.

Matriz de Evaluación

Es uno de los documentos de mayor utilidad para recopilar información relacionada con la
actividad, operación o función que se realiza en el área informática, así como también se puede
observar anticipadamente su cumplimiento. La escala de valoración puede ir desde la mínima con
puntaje 1 (baja, deficiente) hasta la valoración máxima de 5(superior, muy bueno, excelente).
Cada una de estas valoraciones deberá tener asociado la descripción del criterio por el cual se da
ese valor. Esta matriz permite realizar la valoración del cumplimiento de una función específica de
la administración del centro de cómputo, en la verificación de actividades de cualquier función del
área de informática, del sistema software, del desarrollo de proyectos software, del servicio a los
usuarios del sistema o cualquier otra actividad del área de informática en la organización.
Matriz DOFA

Este es un método de análisis y diagnóstico usado para la evaluación de un centro de cómputo,


que permite la evaluación del desempeño de los sistemas software, aquí se evalúan los factores
internos y externos, para que el auditor puede evaluar el cumplimiento de la misión y objetivo
general del área de informática de la organización.

CONCEPTOS APLICABLES A LA AUDITORÍA

Control

“Es el conjunto de normas, técnicas, acciones y procedimientos que interrelacionados e


interactuando entre sí con los sistemas y subsistemas organizacionales y administrativos, permite
evaluar, comparar y corregir aquellas actividades que se desarrollan en las organizaciones,
garantizando la ejecución de los objetivos y el logro de las metas institucionales”[1].

[1] Auditoría de Sistemas – Una visión práctica, pag.14.

Control interno

Se ejerce con el fin de lograr el cumplimiento de los objetivos de la empresa, y es el proceso que
se realiza al interior de ellas y es impulsado por las directivas y administradores quien designa
para que lo ejerza a una persona que posee la suficiente ética, moral y formación académica que
le amerita credibilidad.

Control externo

Es aquel ejercido por personal externo a la empresa y su propósito es evaluar en qué proporción
las metas y objetivos trazados en las políticas, planes, programas por la administración de la
misma se están cumpliendo.

Control Interno Informático

El establecimiento de controles internos en el área informática y los sistemas de información es


muy importante y ayuda a la evaluación de la eficiencia y eficacia de la gestión administrativa,
dependiendo de los objetivos que se pretenda con dichos controles. Además el control interno es
indispensable en la protección de los bienes y el buen desarrollo de las actividades y operación de
los sistemas.

A través del control interno se pretende la aplicación de los siguientes objetivos específicos:

· Establecer como prioridad la seguridad y protección de los bienes informáticos, la


información y los sistemas de información.
· Promover la confiabilidad, oportunidad y veracidad de la captura de datos, su procesamiento y
la emisión de reportes en la empresa.

· Implementar los métodos, técnicas y procedimientos necesarios para contribuir al desarrollo


eficiente de las funciones, actividades, y tareas de los servicios que presta el área informática
para satisfacer las necesidades de la empresa.

· Instaurar y hacer cumplir las normas, políticas y procedimientos que regulen las actividades de
sistematización de la empresa.

· Establecer acciones necesarias para el buen desarrollo del software, a fin de que presten un
buen servicio en la empresa.

Papeles de trabajo

Son la herramienta y soporte en la planeación, organización y coordinación del examen de


auditoría, y a su vez brindan respaldo a la opinión del auditor. Estos se preparan de acuerdo al
criterio, experiencia y preferencia del auditor y se organizan teniendo en cuenta su uso y
contenido. Según José Dagoberto Pinilla[1] Define los papeles de trabajo así: “comprende el
conjunto de cédulas preparadas por el auditor y/o personal colaborador, con motivo del desarrollo
del programa de auditoría para obtener evidencia comprobatoria suficiente y competente, que
sirva como base objetiva para emitir una opinión independiente sobre el objeto auditado”.

Los papeles de trabajo son registros que mantiene el auditor de los procedimientos aplicados,
pruebas desarrolladas, información obtenida y conclusiones pertinentes a que se llegó en el
trabajo. Algunos ejemplos de papeles de trabajo son los programas de auditoría, los análisis, los
memorandos, las cartas de confirmación y declaración, resúmenes de documentos de la compañía
y cédulas o comentarios preparados u obtenidos por el auditor. Los papeles de trabajo también
pueden obtener la forma de información almacenada en cintas, películas u otros medios.

Objetivos de los papeles de trabajo

 Proporcionar la información básica y fundamental necesaria para facilitar la planeación,


organización y desarrollo de todas las etapas del proceso de auditoría.
 Respaldar la opinión del auditor permitiendo realizar un examen de supervisión y
proporcionando los informes suficientes y necesarios que serán incluidos en el informe
de auditoría, además, sirve como evidencia en caso de presentarse alguna demanda.
 Permiten demostrar si el trabajo del auditor fue debidamente planeado, determinando
su eficiencia y eficacia.
 Permiten establecer un registro histórico disponible permanentemente en caso que se
presente algún requerimiento.
 Servir como punto de referencia para posteriores auditorías.
 Servir de puente entre el informe de auditoría y las áreas auditadas.

Tipos de papeles de trabajo


 Archivo permanente: La información que aquí se almacena cubre varios períodos de la
auditoria y son de utilidad en exámenes posteriores, representando interés para el
administrador de la aplicación y fuente de consulta de aspectos como la naturaleza y
justificación de la aplicación, reseña de la aplicación, estructura organizacional respecto al
manejo de la aplicación, interacción con otras aplicaciones, documentación de entrada y
salidas, diccionario de datos, programas, menús, diagramas del sistema, naturaleza y
definición de cada proceso.

 Archivo corriente: Se almacena la información correspondiente al periodo auditado,


constituyéndose en evidencia del trabajo desarrollado por el auditor, mostrando todas sus
fases y sirviendo como respaldo para presentar los informes respectivos., Como ejemplo
se tiene: el programa de trabajo, utilización de datos de prueba, verificación al contenido
de archivos, utilización de programas de auditoría, revisión lógica a los programas del área
auditada.