DILIGENCIAMIENTO DE INSTRUMENTOS DE AUDITORIA

Fuentes de conocimiento: PO2 Definir la arquitectura de la información

REF
CUADRO DE DEFINICION DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

PAGINA
ENTIDAD AUDITADA Just IT
1 DE 1
PROCESO AUDITADO Modelo de arquitectura de información empresarial
RESPONSABLE Camilo Hernando Mora Ruiz
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Planear y Organizar (PO)

PROCESO PO2 Definir la arquitectura de la información

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
 Diccionario de datos • Gestión de los datos y la  Inventario de activos
y reglas de sintaxis información  Políticas de control de
de datos • Consideraciones acceso
 marco de referencia tecnológicas
de los datos,
clasificándolos por
categorías
 Manuales de
procesos y
procedimientos
Entrevista: Evaluar y administrar los riesgos de TI

ENTREVISTA

PO2 Definir la
Planear y Organizar
DOMINIO PROCESO Arquitectura de la
(PO)
Información

OBJETIVO DE CONTROL

Nº CUESTIONARIO RESPUESTA

El proceso de recuperación se
lleva a cabo mediante consultas a
¿El sistema cuenta con recuperación de
1 la base de datos donde se
la información?
almacena la información
estructurada

Algunos puntos críticos están

¿Se tiene un control de puntos críticos controlados algunos aun
2
frente a factores externos? necesitan de verificación
profunda

Solo los encargados de manejar

¿Los clientes internos conocen la
3 información del cliente externo
sintaxis de los datos de la organización?
saben el proceso de custodia

¿Implementan métodos para mantener No todos solo los necesarios,

4 la integridad de bases de datos y están como donde está ubicada la
documentados? información y a quien pertenece

¿Si no se conoce un procedimiento y se El sistema no avisa de errores hay

5 comete un error el sistema lo permite o que estar pendiente al momento
de algún modo notifica la equivocación? de subir información

¿La empresa tiene un área encargada La mayoría son proveedores

internamente de la arquitectura de la externos que nos ayudan con las
6
información o son entidades externas a mayorías de tareas de
la organización? administración

¿El sistema maneja la autenticación de Solo cuando ingresamos a

7
contraseñas regularmente? servidores en la nube
 No regularmente, solo monitoreo
¿Se realizan informes periódicos acerca
8 de los servidores, pero no se
del funcionamiento del sitio?
documenta todo

¿Se realizan evaluaciones de aceptación Se trata de escuchar opiniones de

9 a los funcionarios con el fin de hacer los empleados para buscar
mejoras? mejoras

¿Manejan procesos para optimizar el Se manejan cuando es necesario

10 peso de archivos, bases de datos y ampliar el tamaño de los
demás información? servidores de almacenamiento

Lista chequeo: Evaluar y administrar los riesgos de TI

LISTA CHEQUEO

PO2 Definir la
Planear y Organizar
DOMINIO PROCESO Arquitectura de la
(PO)
Información

PO2.1: Modelo de arquitectura de información

OBJETIVO DE CONTROL
empresarial
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO

¿Se tiene un control de puntos críticos

1 x
frente a factores externos?

¿La información posee un control de

2 X
acceso?

¿Maneja controles de protección a la

3 X
información?

¿Los sitios web están diseñados con

4 X
una interfaz flexible?
OBJETIVO DE CONTROL PO2.3 Esquema de clasificación de datos

5 ¿Existe el diccionario de Datos? X

¿El diccionario de datos contiene

6 X
Relaciones?

¿El diccionario de datos contiene

Descripción del personal encargado de la
7 función de dar mantenimiento del X
diccionario de datos?

¿El diccionario de datos contiene

Clasificación de usuarios, niveles de
8 acceso y restricciones? X

OBJETIVO DE CONTROL PO2.4 Administración de la integridad

¿Existen políticas y procedimientos en

9 relación con el modelo de arquitectura de X
información?

¿El modelo de arquitectura de

10 información tiene en cuenta X
Identificación de entrada?

¿El modelo de arquitectura de

11 información tiene en cuenta X
Identificación de procesos?

¿El modelo de arquitectura de

12 información tiene en cuenta Definición de X
usuarios finales?
Cuestionario: Evaluar y administrar los riesgos de TI

CUESTIONARIO CUANTITATIVO REF

ENTIDAD Just IT PAGINA

AUDITADA
1 DE 1

PROCESO Proceso de gestión de riesgos informáticos

AUDITADO

RESPONSABLES Camilo Hernando Mora

MATERIAL DE COBIT 4.1

SOPORTE

DOMINIO Planear y Organizar PROCESO PO2 Definir la

(PO) Arquitectura de la
Información

OBJETIVO DE CONTROL

N PREGUNTA SI NO NA REF

1 ¿Existe un manual del sistema (software)? 4

2 ¿El manual del sistema contiene 4

requerimientos del software y hardware para
su funcionamiento?

3 ¿El manual del sistema contiene descripción de 4

la configuración?

4 ¿El manual del sistema contiene descripción de 4

operación de cada botón y elementos del
módulo?

5 ¿El manual del sistema contiene diagramas de 4

flujo de datos o pseudocódigo de las partes del
módulo?
 6 ¿El manual del sistema contiene descripción y 3
catálogo de reportes?

7 ¿El manual de sistema del módulo se cambia 4

cada vez que realizan actualizaciones?

8 ¿Existe algún procedimiento establecido para 4

mantener actualizado el manual de soporte del
módulo?

9 ¿Existe el diccionario de Datos? 3

10 ¿El diccionario de datos contiene Tablas? 3

TOTAL 10 27

TOTAL CUESTIONARIO 37

Porcentaje de riesgo parcial = (10 * 100) / 37 = 27,02

Porcentaje de riesgo total = 100 – 27,02 = 72,98

PORCENTAJE RIESGO 73% (Riesgo Alto)

Respecto a la Arquitectura de la Información.

Hallazgos

 El desarrollador no entrego un diccionario de datos donde se recolecte, confirme y se

especifique entradas y salidas de datos
 No existen diagramas de flujo de los módulos del software
 No existen esquemas de diseño donde se detallen la lógica de los procesos que se
administran desde el software

Recomendaciones

 Documentar el diccionario de datos de los módulos del software

 Incorporar dentro del diccionario de datos, una descripción detallada del ingeniero
encargado de actualizar el diccionario de datos, la clasificación de tipos de usuarios, los
niveles de acceso y las restricciones para el ingreso de estos.
 Tener actualizado el diccionario de datos ante cambios o implementación de nuevas
funcionalidades.
 Hallazgos

 No existe un manual de diseño del software donde se especifiquen requerimientos del

software y hardware para su funcionamiento.
 No existe documentación donde se describa la configuración y funcionamiento del
software.
 No existen documentación de cambio o movimiento de información

Recomendaciones

 Implementar planes de seguridad con el fin de garantizar que la información almacenada

en la base de datos permanezca inalterada a menos que sea modificado por personal
autorizado manteniendo así la integridad de la información.
 Garantizar la integridad de los datos mediante la implementación de:

 Reglas de normalización de datos.

 Integridad referencial
 Validación de los datos.

Hallazgos

 No existen esquemas de clasificación de la información basada en que tan confidencial son los
datos administrados por la aplicación.
 No existen diagramas de flujo de datos o pseudocódigo de las partes de los módulos y sus
especificaciones.
 No existen esquemas donde se definan niveles apropiados de seguridad y de controles de
protección de datos como controles de accesos

Recomendaciones

 Diseñar un plan de administración de seguridad de la información que proporcionen los

controles de seguridad suficientes que protejan los activos de información.
 Tener adecuadas políticas, procedimientos relacionados con la seguridad de los activos,
considerando que la información debe estar clasificada según la necesidad de acceso.
 Verificar que los controles de información garanticen que la información sea accesible y
utilizable solo por el personal autorizado.
 Revisar y evaluar el desempeño (eficiencia y eficacia) del plan de seguridad implementado.