AI6 Administrar cambios:

Se debe establecer como prioridad el análisis correspondiente para

ejecutar cualquier cambio en software y hardware, se debe realizar la
verificación de compatibilidades y análisis de impacto de riesgos
asumidos con dicha variación.

Esto se establece como parte fundamental del proceso y se destaca

como prioridad ya que afecta directamente la Matriz del Proceso.

 AI6.3 Cambios de Emergencia: El área a realizar el cambio debe

establecer el protocolo y análisis de riesgo para implementar
cambios que puedan afectar o llevar a una desviación en el
procedimiento. Esto aplica a cambios y contingencias de
Emergencia.

 AI6.4 Seguimiento y reporte del estatus de Cambio: Se debe

hacer un seguimiento a través de un reporte de las solicitudes de
cambio, de solución y autorización.

 AI6.5 Cierre y Documentación del Cambio: se debe garantizar la

correcta funcionalidad del cambio, sin afectar los procesos y
requerimientos. Para dar finalidad a la implementación .

Dominio Entregar Y Dar Soporte (DS). Encargado de garantizar la

entrega de los servicios requeridos por la empresa y se evalúan los
siguientes:

DS2: Administrar los Servicios de Terceros

Se establece la necesidad de verificar la prestación de los servicios que provienen

de terceros, realizar la Medición del riesgo y del impacto que genera. Estabilidad y
garantía.
DS4 Garantizar la Continuidad del Servicio:

Se establece la necesidad de Garantizar la continuidad del servicio como

objetivo primordial, establecer procedimientos de continuidad de los
procesos en Contingencia en caso de concretarse alguna amenaza.

Generalizar y optimizar protocolos de asistencia en caso de interrupción

o siniestro.

DS4.2 Planes de Continuidad de TI: la metodología debe ser

diseñada enfocada en la continuidad de los servicios de forma eficiente
en el momento de presentarse un desastre y reducir su impacto.
Enfocando en la restauración de procesos por medio de procedimientos
de contingencia

DS4.3 Mantenimiento del Plan de Continuidad de TI. Verificar si

existe este plan de continuidad debe ser revisado, mantenido y
actualizado constantemente, enfocado a cambios según la evolución del
hardware y software, así como de la infraestructura de redes con la que
cuenta el Proceso.

Revisar si se lleva un control de los planes de continuidad, de

acuerdo al nivel de prioridad, asegurarse de que la respuesta y la
recuperación están alineadas con las necesidades prioritarias de la
dependencia y considerar los requerimientos de resistencia,
respuesta y recuperación para diferentes niveles de prioridad.

DS4.4 Pruebas del plan de continuidad de TI: el plan de

contingencia y continuidad del Negocio debe estar socializado a los
directamente Responsables de mantener la estabilidad y la
continuidad del proceso en caso de emergencias asumiendo el rol
indicado y garantizando el debido proceso.

DS4.9 Almacenamiento de Respaldos Fuera de las

Instalaciones: Almacenar fuera de las instalaciones todos los
medios de respaldo, documentación y otros recursos de TI críticos,
 necesarios para la recuperación de TI y para los planes de
continuidad de la dependencia. El contenido de los respaldos a
almacenar debe determinarse en conjunto entre los responsables
de los procesos de la dependencia y el personal de TI. La
administración del sitio de almacenamiento externo a las
instalaciones, debe apegarse a la política de clasificación de datos
y a las prácticas de almacenamiento de datos de la Universidad.
Las directivas de TI debe asegurar que los acuerdos con sitios
externos sean evaluados periódicamente, al menos una vez por
año, respecto al contenido, a la protección ambiental y a la
seguridad. Asegurarse de la compatibilidad del hardware y del
software para poder recuperar los datos archivados y
periódicamente probar y renovar los datos archivados.

DS4.10 Revisión Post Reanudación: Una vez lograda una

exitosa reanudación de las funciones de TI después de un
desastre, determinar si las directivas de TI ha establecido
procedimientos para valorar lo adecuado del plan y actualizar el
plan en consecuencia.

DS5 Garantizar la seguridad de los sistemas: Garantizar la

protección de la información e infraestructura de TI con el fin de
minimizar el impacto causado por violaciones o debilidades de seguridad
de la TI. Los objetivos de control que se evaluarán son los siguientes:

DS5.2 Plan de Seguridad de Ti: Es de Vital Importancia tener el control

de la situación en las variaciones que puedan afectar la seguridad, para
eso se deben implementar planes de acción relacionados con el
aseguramiento de los recursos y la información.

Esto se logra plasmando un plan de Seguridad acorde a la

infraestructura y control de la Información, asignado los recursos
idóneos para tener este plan funcionando y así evitar violaciones y
contener las amenazas que pudieran evidenciarse y minimizando
vulnerabilidades.

DS5.3 Administración de Identidad: Asegurar que todos los

usuarios (internos, externos y temporales) y su actividad en
sistemas de TI (Entorno de TI, operación de sistemas, desarrollo y
mantenimiento) deben ser identificables de manera única. Permitir
que el usuario se identifique a través de mecanismos de
autenticación. Confirmar que los permisos de acceso del usuario al
sistema y los datos están en línea con las necesidades del módulo
definidas y documentadas y que los requerimientos de trabajo
están adjuntos a las identidades del usuario. Asegurar que los
derechos de acceso del usuario se solicitan por la gerencia del
usuario, aprobados por el responsable del sistema e implementado
por la persona responsable de la seguridad. Las identidades del
usuario y los derechos de acceso se mantienen en un repositorio
central. Se despliegan técnicas efectivas en coste y
procedimientos rentables, y se mantienen actualizados para
establecer la identificación del usuario, realizar la autenticación y
habilitar los derechos de acceso.

DS5.4 Administración de Cuentas del Usuario: Asegurar el

procedimiento correspondiente al manejo de los usuarios con
atributos para el manejo correspondiente y acertado de la
información, establecer prioridades y jerarquías con restricciones
y privilegios según el rol del funcionario asignado, llevar el control
utilizando procedimientos adecuados para otorgar, modificar,
signar o eliminar controles de accesos y cuentas.

DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad:

Garantizar que la implementación de la seguridad en TI sea
probada y monitoreada de forma pro-activa. La seguridad en TI
debe ser re-acreditada periódicamente para garantizar que se
mantiene el nivel seguridad aprobado. Una función de ingreso al
sistema (logging) y de monitoreo permite la detección oportuna de
actividades inusuales o anormales que pueden requerir atención.

Verificar instalación de dispositivos de control de acceso, entre

ellos biometricos, controles y circuitos cerrados, dispositivos según
el área y el nivel de la seguridad que se necesite.
 DS5.8 Administración de Llaves Criptográficas: Asegurar que
la información de transacciones (datos, password, llaves
criptográficas) es enviada y recibida por canales confiables
(trustedpaths), mediante encriptamiento de sistemas y usuarios.

DS5.9 Prevención, Detección y Corrección de Software

Malicioso Garantizar procedimientos para el manejo y corrección
de problemas ocasionados por software malicioso generalmente
en el caso de virus

DS5.10 Seguridad de la Red: Al existir conexión a la red de

internet se debe implementar el uso de técnicas de seguridad y
procedimientos de administración asociados como firewalls, para
proteger los recursos informáticos y dispositivos de seguridad.

Implementacion de patrones de seguridad, segmentos de red y

aisalamiento de la parte operacional de la comercial.

Nombre Auditor Proceso auditado Objetivos de control

CobIT proceso elegido
DS4.2 Planes de
Continuidad de TI
DS4.3 Mantenimiento
del Plan de Continuidad
de TI
DS4.4 Pruebas
del plan de
continuidad de
DS4 Garantizar la TI
RICARDO ENRIQUE
Continuidad del DS4.9
HERRERA CASTAÑO Almacenamiento
Servicio
de Respaldos
Fuera de las
Instalaciones
DS4.10 Revisión
Post
Reanudación

………
Pruebas a realizar

Proceso CobIT Descripción Tipo prueba Nombre auditor

prueba
La intención de
la prueba a
Realizar esta Interrupción de
basada en la Servicio. Por
evaluación de Hardware y
respuesta Software.
durante y
después del Prueba Física y
DS.4. Garantizar incidente. Documentación.
Ricardo Enrique
la continuidad Herrera
Esto pretende
del servicio Castaño.
Medir el nivel de
impacto y la
Garantía de
Continuidad del
Servicio.
Realizar
medición de
Resiliencia
BIBLIOGRAFIA

Ataleit. 2017. Ejecutar pruebas, dar mantenimiento y revisar la

continuidad del negocio . Recuperado
de:https://www.atalait.com/blog/ejecutar-pruebas-dar-mantenimiento-
y-revisar-la-continuidad-del-negocio

https://sites.google.com/site/cobitprys/entregar-y-dar-soporte#DS4

http://www.eafit.edu.co/escuelas/administracion/consultorio-
contable/Documents/boletines/auditoria-control/b13.pdf