Caso Practivo
-
Upload
carolinarobayo22 -
Category
Documents
-
view
24 -
download
0
Transcript of Caso Practivo
-
UNIVERSIDAD TECNOLOGICA EQUINOCCIAL
ESCUELA DE CONTABILIDAD Y AUDITORIA
TESIS PREVIA A LA OBTENCION DEL TITULO DE MASTER EN
CONTABILIDAD Y AUDITORIA CONTADOR PUBLICO (CPA)
TEMA:
APLICACION DEL MODELO COBIT (Control Objectives For
Information and Related Technology) EN LA AUDITORIA DE
SISTEMAS. CASO PRACTICO
AUTOR:
DIEGO RAMON CEVALLOS AGUILAR
DIRECTOR DE TESIS:
M.F.E. MARICELA GALARZA M.
JUNIO 2003
-
AGRADECIMIENTO Nada de lo que vale la pena hacer puede hacerse solo, sino que debe hacerse en colaboracin con otros. Por ello deseo expresar mi profundo agradecimiento al grupo de personas cuya orientacin y apoyo resultaron imprescindibles para la realizacin de esta tesis. De manera especial mi agradecimiento a la Seora Adriana Snchez, Supervisora GTS, quien con su apoyo tcnico ha facilitado la ejecucin del presente trabajo. Tambin, un agradecimiento a la Universidad Tecnolgica Equinoccial y de manera muy especial a Maricela Galarza Directora de Tesis, quien orient mi trabajo y permiti lograr una coherencia a lo largo de cada uno de los captulos. Por ltimo, nuestro eterno agradecimiento a Dios, mis hijos y esposa quienes siempre estuvieron junto a m para apoyarme y comprender en todos los momentos.
i
-
DEDICATORIA A mi padre quin durante este perodo de estudios enfrent una situacin difcil, pero con la bendicin y Confianza en Dios nos demostr valor y actitud para salir adelante. Mi padre quien es el artfice de mi formacin y con quien compartiremos todos los xitos.
DIEGO R. CEVALLOS A.
ii
-
CONTENIDO
CAPITULO 1 - AUDITORIA INFORMATICA 1.1. INTRODUCCION. 1
1.2. EL PROCESO DE LA AUDITORIA INFORMATICA...... 3
1.2.1. PLANIFICACION DE LA AUDITORIA INFORMATICA 4
1.2.2. EJECUCION DE LA AUDITORIA INFORMATICA. 5
1.2.3. FINALIZACION DE LA AUDITORIA INFORMATICA.. 5
1.3. CLASIFICACION DE LOS CONTROLES IT 7
1.3.1. CONTROLES DE APLICACION 7
1.3.2. CONTROLES GENERALES 8
CAPITULO 2 MODELO COBIT 2.1. INTRODUCCION 9
2.2. CONTENIDO (PRODUCTOS COBIT) 10
2.3. ALCANCE Y RESUMEN EJECUTIVO COBIT 11
2.4. MARCO REFERENCIAL 14
2.5. OBJETIVOS DE CONTROL 21
CAPITULO 3 CASO PRACTICO 3.1. LA EMPRESA SUJETO DE ESTUDIO 23
3.1.1. DESCRIPCION DE FUNCIONES DEL NIVEL DIRECTIVO. 25
3.1.2. ESTRUCTURA ORGANIZATIVA DEL AREA DE SISTEMAS 26
3.1.3. CARACTERISTICAS DE LOS SISTEMAS Y AMBIENTE
COMPUTARIZADO 28
3.2. APLICACION DEL MODELO COBIT... 31
3.2.1. JUSTIFICACION DE LA APLICACION DE COBIT 31
3.2.2. PLANIFICACION DEL TRABAJO (PROPUESTA).. 32
3.2.2.1. OBJETIVO... 32
3.2.2.2. ALCANCE... 32
3.2.2.3. METODO DE TRABAJO Y PROCEDIMIENTOS A EJECUTAR. 33
3.2.2.4. PRODUCTOS A ENTREGAR Y PRESUPUESTO 38
3.2.2.5. HERRAMIENTAS A UTILIZAR 38
3.3. EJECUCION DEL TRABAJO. 39
3.3.1. IDENTIFICACIN DE RIESGOS IT CRTICOS 39
iii
-
3.3.1.1. ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMAS. 40
3.3.1.1.1 ESTRUCTURA DE PERSONAL 40
3.3.1.1.2 EVALUACIN DE GESTIN... 40
3.3.1.1.3 ATENCIN AL USUARIO 41
3.3.1.2. GESTIN DE LOS SISTEMAS INFORMTICOS. 42
3.3.1.2.1 DESARROLLO, OPERACIN Y MANTENIMIENTO DE
APLICACIONES 42
3.3.1.2.2 ADMINISTRACIN DE LAS BASES DE DATOS (DBA). 43
3.3.1.2.3 GESTIN Y EXPLOTACIN DE LAS APLICACIONES.. 44
3.3.1.3. PLATAFORMAS Y COMUNICACIONES 45
3.3.1.3.1 PLATAFORMA TECNOLGICA, REDES Y
COMUNICACIONES. 45
3.3.1.4. EVALUACIN DE SEGURIDADES Y PROCEDIMIENTOS DE
CONTINUIDAD 46
3.3.1.4.1 SEGURIDADES: FSICAS, LGICAS Y DE
COMUNICACIONES.. 47
3.3.1.4.2 PLAN DE CONTINGENCIAS 49
3.3.2. CONFIRMACIN DE RIESGOS CRTICOS IT CON LA
ADMINISTRACIN.. 50
CAPITULO 4 INFORME Y RESULTADOS DEL CASO
PRACTICO 4.1.
4.2.
4.3.
4.4.
INTRODUCCION. 51
RESUMEN EJECUTIVO.. 53
DESCRIPCION DEL TRABAJO EFECTUADO. 54
RESULTADOS INFORME DE LAS RECOMENDACIONES ACORDADAS
CON LA ADMINISTRACION. 54
ANEXOS
iv
-
CAPITULO 1 AUDITORIA INFORMATICA
1.1. INTRODUCCION Una de las caractersticas o principales rasgos de las sociedades avanzadas es el caudal
de informacin que se desprende. Para que dicha informacin, suponga una respuesta
adecuada, es decir, sea la correcta, es necesario que est adornada de ciertas garantas
que haga creer en ella, es necesario que una tercera persona, como es el auditor nos
garantice que se puede creer esa informacin.
A pesar de que la Auditora ha existido siempre, la auditoria, tal y como nosotros la
podemos entender data en torno a la revolucin industrial.
El concepto de auditora ha evolucionado en tres fases:
1) A principios de la revolucin industrial, no hay grandes transacciones, la misin del
auditor era buscar si se haba cometido fraude en ese negocio, estos negocios eran
pequeos.
2) Las empresas son ms grandes, se comienza a separar el capital y la propiedad del
negocio, es decir, la Administracin. El auditor sin dejar de hacer lo que realizaba
en la primera fase, tiene una nueva actividad que es la de verificar, certificar, la
informacin de esos administradores.
3) Aparecen nuevas tecnologas, ordenadores, etc. Las transacciones a lo largo del ao
son bastante voluminoso. Esto hace que el Auditor revise las cuentas, el sistema de
control interno de la empresa. Sigue revisando que la informacin contable refleja la
imagen fiel de la empresa conforme a lo acontecido y revisa adems el control del
sistema interno de la empresa.
Bajo estas consideraciones, existen diferente criterios para clasificar la auditora, sin
embargo, conceptos modernos permiten identificar globalmente los siguientes tipos de
auditora:
Auditora Financiera
Es el examen o verificacin de los estados contables, llevada a cabo por profesionales
competentes y mediante la aplicacin de procedimientos sujetos a normas de auditores
aceptadas, que se plasma en un documento que se llama informe de auditora y donde se
muestra la situacin financiera de la empresa, el resultado de sus operaciones, la
conformidad de los principios contables aceptados. 1
-
Auditoria Operativa
Es la valoracin independiente de todas las operaciones de una empresa, en forma
analtica objetiva y sistemtica, para determinar si se llevan a cabo. Polticas y
procedimientos aceptables; si se siguen las normas establecidas si se utilizan los
recursos de forma eficaz y econmica y si los objetivos de la Organizacin se han
alcanzado para as maximizar resultados que fortalezcan el desarrollo de la empresa.
Auditora de Gestin
La auditoria de gestin, es el examen sistemtico y profesional, efectuado por un equipo
multidisciplinario, con el propsito de evaluar la eficacia de la gestin de una entidad,
programa, proyecto u operacin, con relacin a sus objetivos y metas; de determinar el
grado de economa y eficiencia en el uso de los recursos disponibles; y, de medir la
calidad de los servicios, obras o bienes ofrecidos, y, el impacto socio-econmico
derivado de sus actividades.
Auditora Informtica
La auditora informtica consiste en la revisin de controles generales, centros de
cmputo y seguridad, recuperacin de desastres, revisin de sistemas operativos y de
controles en las aplicaciones, por medio de la ejecucin de procedimientos y tcnicas de
auditora de sistemas.
(Segn A.J.Thomas) Es el estudio de sistemas, controles organizativos y operativos de
la informtica.
(Segn Miguel ngel Ramn) Es la revisin de la informtica y su entorno
- Anlisis de riesgo
- Planes de contingencia
- Desarrollo de aplicaciones
- Paquetes de seguridad
- Revisin de estndares, controles y cumplimiento
- Evaluacin de la gestin de los recursos informticos
Con estos antecedentes y basados en el permanente desarrollo tecnolgico las
compaas han visto la necesidad de implantar sistemas de informacin que manejen y
automaticen las distintas actividades operativas, estructurando ambientes tecnolgicos
cada vez ms complejos. Aspectos como:
- Alta sistematizacin de las organizaciones
- Nuevas tecnologas
2
-
- Automatizacin de los controles
- Integracin de la Informacin
- Importancia de la informacin para la toma de decisiones
Exponen a las organizaciones a nuevos riesgos que deben ser adecuadamente
administrados. Esta situacin incrementa la necesidad de contar con personal
especializado en la identificacin, administracin y evaluacin de controles tendientes a
minimizar los riesgos a los cuales organizaciones con alto nivel de automatizacin y
complejas estructuras se exponen.
Por lo tanto, la participacin de especialistas o auditores informticos se hace cada vez
ms necesaria para:
- Apoyar en el cumplimiento de los objetivos y metas de la organizacin
- Colaborar en el cumplimiento de los procesos de planeacin, desarrollo,
mantenimiento y operacin de los sistemas procesados por computador.
- Evaluar la satisfaccin de los usuarios, las medidas de seguridad existente y la
exactitud y razonabilidad de los datos procesados.
Obtener mayor valor agregado del trabajo de auditora de sistemas requiere no
solamente entender la organizacin, sino los riesgos principales a los cuales se enfrenta
la gerencia, el ambiente IT1 y las diversas necesidades de los usuarios. Estas
necesidades determinan el perfil del riesgo del rea IT y el enfoque estratgico,
organizacin, recursos y prcticas de un departamento de sistemas eficiente.
El resultado es una evaluacin de sistemas a medida y enfocada estratgicamente hacia
los riesgos y objetivos propios del Area de Sistemas.
El objetivo principal de este captulo es brindar una idea de los aspectos de control que
podr encontrar en los diversos sistemas electrnicos de procesamiento de datos
(EDP2)actualmente en uso. El desarrollo acelerado de la tecnologa de computacin y la
significativa expansin del uso de computadores para realizar tareas contables, ha
aumentado considerablemente la necesidad que se tiene de conocer en profundidad los
diversos sistemas de computacin comnmente en uso y los correspondientes
procedimientos de control.
1.2. EL PROCESO DE AUDITORIA INFORMATICA 1 IT: INFORMATION TECHNOLOGY Tecnologa de Informacin
3
-
Auditora informtica es (i)la revisin y la evaluacin de los controles, sistemas y
procedimientos de informtica; (ii) de los equipos de cmputo, su utilizacin, eficiencia
y seguridad, y (iii) de la organizacin que participan en el procesamiento de la
informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una
utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma
de decisiones.
La auditora informtica debe comprender no slo la evaluacin de los equipos de
cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar
los sistemas de informacin en general desde sus entradas, procedimientos, controles,
archivos, seguridad y obtencin de informacin.
La auditora informtica es de vital importancia para el buen desempeo de los sistemas
de informacin ya que proporciona los controles necesarios para que los sistemas sean
confiables y que tengan un buen nivel de seguridad.
1.2.1. PLANIFICACION DE LA AUDITORIA INFORMATICA El auditor de sistemas de informacin deber planificar el trabajo de auditora de los
sistemas de informacin para satisfacer los objetivos de la auditora y para cumplir con
las normas aplicables de auditora profesional.
Para realizar una adecuada planeacin de la auditora informtica, es necesario seguir
una serie de pasos previos que permitirn dimensionar el tamao y caractersticas del
rea dentro del organismo a auditar, sus sistemas, organizacin y equipo.
En el caso de la auditora informtica, la planeacin es fundamental, pues habr que
hacerla desde el punto de vista de los dos objetivos:
Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo.
Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin
general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es
preciso realizar una investigacin preliminar y algunas entrevistas previas, y con base
en la informacin obtenida planear el programa de trabajo, el cual deber incluir tiempo,
costo, personal necesario y documentos auxiliares a solicitar o formular durante el
desarrollo de la misma.
4
2 EDP: ELECTRONIC DATA PROCESSING - Se utilizar en adelante dicha sigla al hacerse referencia al "Procesamiento Electrnico de Datos".
-
En todo proceso de auditora informtica tanto interna como externa, es necesario
iniciar con una planificacin preliminar cuyo objetivo principal es ayudar al proceso de
determinacin de la estrategia para cada ciclo auditable (en el caso de auditora externa)
y/o proporcionar informacin para la Evaluacin de Riesgo que permita determinar
el enfoque del trabajo (en el caso de auditora interna/consultora).
La planificacin preliminar permitir conocer:
- Nivel de Automatizacin de las organizaciones.
- Deficiencias en los controles sobre la funcin de IT.
- Indicios de problemas fundamentales en relacin con la calidad de la informacin
gerencial que podran cuestionar la confiabilidad de los controles.
- El impacto que tienen los cambios en los sistemas o en los ambientes
computadorizados.
- El grado de participacin de especialistas en sistemas.
- La evaluacin y clasificacin de los Riesgos IT (Alto, Medio, Bajo) que permitan
determinar el enfoque de trabajo en funcin de las reas de riesgo identificadas.
1.2.2. EJECUCION DE LA AUDITORIA INFORMATICA Las fases o etapas a seguir durante la ejecucin de una auditora informtica estarn en
funcin del objetivo del proyecto, es decir, el mtodo de trabajo se lo definir acorde a
las expectativas y alcance que se esperan alcanzar.
En la etapa de ejecucin el personal de auditora de sistemas de informacin debe
recibir la supervisin apropiada para proporcionar la garanta de que se cumpla con los
objetivos de la auditora.
Durante el transcurso de una auditora, el auditor de sistemas de informacin deber
obtener evidencia suficiente, confiable, relevante y til para lograr de manera eficaz los
objetivos de la auditora. Los hallazgos y conclusiones de la auditora se debern apoyar
por medio de un anlisis e interpretacin apropiados de dicha evidencia.
1.2.3. FINALIZACION DE LA AUDITORIA INFORMATICA Los informes a generar en un proyecto de auditora informtica dependern de las
necesidades y resultados esperados, es decir, los proyectos de consultora basados en la
ejecucin de procedimientos de auditora informticas generan los resultados (informes)
con la estructura acordada previamente con los usuarios de los informes.
5
-
El proceso de emisin de informes en un trabajo de Auditora Informtica puede ser
analizado bajo los siguientes estndares:
AICPA (Instituto Americano de Contadores Pblicos Certificados)
Los estndares profesionales del AICPA hacen referencia la norma CS 100 (Consulting
Services Servicios de Consultora) aplicables para contadores en la cual se especifica
la naturaleza del informe a emitir en este tipo de servicios:
CS Seccin 100
.02 Los servicios de consultora se diferencian fundamentalmente de las funciones
del CPA por atestiguar (attest) de las aserciones de terceros. En un servicio
attest, se expresa una conclusin relacionada a la confiabilidad de una
asercin realizada bajo la responsabilidad de otro grupo. En un servicio de
consultora, el practicante informa los hallazgos, conclusiones y
recomendaciones presentadas. La naturaleza y el alcance del trabajo es
determinado solamente por un acuerdo entre el practicante y el cliente.
Generalmente, el trabajo es realizado nicamente para uso y beneficio del
cliente.
ISACA (Asociacin de Auditora y Control de Sistemas de Informacin)
Los normas promulgadas por la Asociacin de Auditora y Control de Sistemas de
Informacin son aplicables al trabajo de auditora informtica realizado por miembros
ISACA y por las personas que han recibido la designacin de Auditor de Sistemas de
Informacin Certificado (CISA).
Con relacin al informe a emitir la Asociacin menciona:
070 Informes
En el momento de completar el trabajo de auditora, el auditor de sistemas de
informacin deber proporcionar un informe, de formato apropiado, a los
destinatarios en cuestin. El informe de auditora deber enunciar el alcance,
los objetivos, el perodo de cobertura y la naturaleza y amplitud del trabajo de
auditora realizado. El informe deber identificar la organizacin, los
destinatarios en cuestin y cualquier restriccin con respecto a su circulacin.
El informe deber enunciar los hallazgos, las conclusiones y las
recomendaciones, y cualquier reserva o consideracin que tuviera el auditor
6
-
respecto a la auditora.
1.3. CLASIFICACION DE LOS CONTROLES IT
Los controles IT se dividen en dos categoras: los que se refieren a un sistema especfico
(Controles de Aplicacin), y los que se relacionan con el procesamiento general de
datos (Controles Generales).
1.3.1. CONTROLES DE APLICACION Los controles de aplicacin son procedimientos diseados para asegurar la integridad de
los registros contables. Los controles de aplicacin brindan soporte directamente a los
objetivos de control de integridad, valor correcto, validez y acceso restringido, como se
define ms adelante:
Integridad de los registros Los controles sobre la integridad se disean para asegurar
que:
Todas las transacciones son registradas, introducidas y aceptadas para procesamiento solo por una vez.
Todas las transacciones introducidas y aceptadas para procesamiento son actualizadas con los archivos de datos apropiados.
Una vez que los datos son actualizados contra el archivo, estos permanecen correctos y corrientes en el archivo, y representan los balances que existen.
Valor correcto de los registros Los controles sobre el valor correcto son diseados
para asegurar que:
Los elementos de datos claves son registrados e introducidos al computador con el valor correcto.
Los cambios a los datos existentes son introducidos con el valor correcto. Todas las transacciones introducidas y aceptadas para procesamiento actualizan con
precisin el archivo de datos apropiado.
Validez de los registros Los controles sobre la validez de los registros son diseados
para asegurar que:
Las transacciones son autorizadas.
7
-
Las transacciones no son ficticias y estn relacionadas con el cliente. Los cambios a los datos existentes son autorizados, y una vez introducidos, no son
cambiados sin autorizacin.
Acceso restringido a los activos y registros Los controles para restringir al acceso
son diseados para:
Proteger contra enmiendas de datos no autorizadas. Asegurar la confidencialidad de los datos. Proteger los activos fsicos tales como el efectivo y el inventario. Los controles de aplicacin pueden ser procedimientos manuales llevados a cabo por los
usuarios de procedimientos automatizados desarrollados por los programas de
computacin.
1.3.2. CONTROLES GENERALES Los Controles Generales son Controles diseados e implantados para asegurar que el
ambiente computadorizado de la organizacin sea estable y adecuadamente
administrado a fin de reforzar la efectividad de los controles de aplicacin.
Los controles generales (a veces denominados tambin controles de la organizacin IT)
fueron agrupados en las siguientes categoras:
Controles sobre la Seguridad de la Informacin Controles sobre la operacin del Computador Controles sobre las Actividades de Mantenimiento de Sistemas Controles sobre el desarrollo e implementacin de nuevos sistemas
8
-
CAPITULO 2 MODELO COBIT
2.1. INTRODUCCION - MODELO COBIT
La Misin de COBIT: Investigar, desarrollar, publicar y promover un conjunto de
objetivos de control en tecnologa de informacin con autoridad, actualizados, de
carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de
empresas y auditores.
COBIT ha sido desarrollado como un estndar generalmente aplicable y aceptado para
las buenas prcticas de seguridad y control en Tecnologa de Informacin (IT). -
COBIT es la herramienta innovadora para el gobierno3 de IT -.
COBIT se fundamenta en los Objetivos de Control existentes de la Information Systems
Audit and Control Foundation (ISACF), mejorados a partir de estndares
internacionales tcnicos, profesionales, regulatorios y especficos para la industria, tanto
existentes como en surgimiento. Los Objetivos de Control resultantes han sido
desarrollados para su aplicacin en sistemas de informacin en toda la empresa. El
trmino "generalmente aplicables y aceptados" es utilizado explcitamente en el
mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o
GAAP por sus siglas en ingls). Para propsitos del proyecto, "buenas prcticas"
significa consenso por parte de los expertos.
Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y
responder, en la medida de lo posible, a las necesidades de negocio, manteniendo al
mismo tiempo una independencia con respecto a las plataformas tcnicas de IT
adoptadas en una organizacin. El proporcionar indicadores de desempeo (normas,
reglas, etc.), ha sido identificado como prioridad para las mejoras futuras que se
realizarn al marco referencial.
El desarrollo de COBIT ha trado como resultado la publicacin del Marco Referencial
general y de los Objetivos de Control detallados, y le seguirn actividades educativas.
Estas actividades asegurarn el uso general de los resultados del Proyecto de
Investigacin COBIT.
Sin excluir ningn otro estndar aceptado en el campo del control de sistemas de
9
3 Gobierno: Governance. Sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin. Trmino aplicado para definir un control total.
-
informacin que pudiera emitirse durante el permanente desarrollo, las fuentes para el
desarrollo del Modelo COBIT han sido identificadas inicialmente como:
Estndares Tcnicos de ISO, EDIFACT, etc.; Cdigos de Conducta emitidos por el Council of Europe, OECD, ISACA, etc.; Criterios de Calificacin para sistemas y procesos de IT: ITSEC, ISO9000, SPICE,
lickIT, etc.;
Estndares Profesionales para control interno y auditora: reporte COSO, GAO, IFAC, IIA, ISACA, estndares CPA, etc.;
Prcticas y requerimientos de la Industria de foros industriales (ESF, 14) y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI); y
Nuevos requerimientos especficos de la industria de la banca y manufactura de IT. (Ver Anexo 1 Glosario de Trminos para definiciones de siglas)
2.2. CONTENIDO (PRODUCTOS COBIT)
El desarrollo de COBIT ha resultado en la publicacin de:
un Resumen Ejecutivo el cual, adicionalmente a esta seccin de antecedentes, consiste en un Sntesis Ejecutiva (que proporciona a la alta gerencia entendimiento y
conciencia sobre los conceptos clave y principios de COBIT) y el Marco Referencial (el
cual proporciona a la alta gerencia un entendimiento ms detallado de los conceptos
clave y principios de COBIT e identifica los cuatro dominios de COBIT y los
correspondientes 34 procesos de IT);
el Marco Referencial que describe en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos de negocio para la informacin y los recursos de IT
que son impactados en forma primaria por cada objetivo de control;
Objetivos de Control, los cuales contienen declaraciones de los resultados deseados o propsitos a ser alcanzados mediante la implementacin de 302 objetivos de control
detallados y especficos a travs de los 34 procesos de IT;
Guas de Auditora, las cuales contienen los pasos de auditora correspondientes a cada uno de los 34 objetivos de control de IT de alto nivel para proporcionar asistencia
a los auditores de sistemas en la revisin de los procesos de IT con respecto a los 302
objetivos detallados de control recomendados para proporcionar a la gerencia certeza o
10
-
recomendaciones de mejoramiento;
un Conjunto de Herramientas de Implementacin, el cual proporciona lecciones aprendidas por organizaciones que han aplicado COBIT rpida y exitosamente en sus
ambientes de trabajo.
El Conjunto de Herramientas de Implementacin incluye la Sntesis Ejecutiva,
proporcionando a la alta gerencia conciencia y entendimiento de COBIT. Tambin
incluye una gua de implementacin con dos tiles herramientas - Diagnstico de la
Conciencia de la Gerencia4 y el Diagnstico de Control de TI5 - para proporcionar
asistencia en el anlisis del ambiente de control en IT de una organizacin. Tambin se
incluyen varios casos de estudio que detallan como organizaciones en todo el mundo
han implementado COBIT exitosamente. Adicionalmente, se incluyen respuestas a las
25 preguntas ms frecuentes acerca de COBIT y varias presentaciones para distintos
niveles jerrquicos y audiencias dentro de las organizaciones.
2.3. ALCANCE Y RESUMEN EJECUTIVO6 COBIT COBIT evolucionar a travs de los aos y ser el fundamento de investigaciones
futuras. Por lo tanto, se generar una familia de productos COBIT y al ocurrir esto, las
tareas y actividades que sirven como la estructura para organizar los Objetivos de
Control de IT, sern refinadas posteriormente, tambin ser revisado el balance entre los
dominios y los procesos a la luz de los cambios en la industria.
Las investigaciones y publicaciones han sido posible gracias a contribuciones de
Unysis, Unitech Systems, Inc., MIS Training Institute, Zergo, Ltd. y Coopers &
Lybrand. El Forum Europeo de Seguridad (European Security Forum -ESF-)
4 Diagnstico de la Conciencia de la Gerencia: Management Awareness Diagnostic 5 Diagnstico de Control de IT: IT Control Diagnostic 6 Acuerdo de Licencia (disclosure) Copyright 1996, 1998 de la Information Systems Audit and Control Foundation (ISACF). La reproduccin para fines comerciales no est permitida sin el previo consentimiento por escrito de la ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el Marco Referencial y los Objetivos de Control para uso interno no comercial, incluyendo almacenamiento en medios de recuperacin de datos y transmisin en cualquier medio, incluyendo electrnico, mecnico, grabado u otro medio. Todas las copias del Resumen Ejecutivo, el Marco Referencial y los Objetivos de Control deben incluir el siguiente reconocimiento y leyenda de derechos de autor: Copyright 1996, 1998 Information Systems Audit and Control Foundation, reimpreso con la autorizacin de la Information Systems Audit and Control Foundation. Ningn otro derecho o permiso relacionado con esta obra es otorgado. Las Guas de Auditora y el conjunto de herramientas de implementacin no pueden ser reproducidos, almacenados en un sistema de recuperacin de datos o transmitido en ninguna forma ni por ningn medio - electrnico, mecnico, fotocopiado, grabado u otro medio- sin la previa autorizacin por escrito de la ISACF. Excepto por lo indicado, no se otorga ningn otro derecho o permiso relacionado con esta obra.
11
-
amablemente puso a disposicin material para el proyecto. Otras donaciones fueron
recibidas de captulos miembros de ISACA de todo el mundo.
RESUMEN EJECUTIVO
Un elemento crtico para el xito y la supervivencia de las organizaciones, es la
administracin efectiva de la informacin y de la Tecnologa de Informacin (IT)
relacionada. En esta sociedad global (donde la informacin viaja a travs del
"ciberespacio" sin las restricciones de tiempo, distancia y velocidad) esta criticalidad
emerge de:
la creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin.
la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las "ciber amenazas" y la guerra de informacin 7
la escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin;
el potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos.
Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan
los activos ms valiosos de la empresa.
Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la gerencia
ha incrementado sus expectativas relacionadas con la entrega de servicios de IT.
Verdaderamente, la informacin y los sistemas de informacin son "penetrantes" en las
organizaciones (desde la plataforma del usuario hasta las redes locales o amplias, cliente
servidor y equipos Mainframe. Por lo tanto, la administracin requiere niveles de
servicio que presenten incrementos en calidad, en funcionalidad y en facilidad de uso,
as como un mejoramiento continuo y una disminucin de los tiempos de entrega) al
tiempo que demanda que esto se realice a un costo ms bajo. Muchas organizaciones
reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las
organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos
asociados con la implementacin de nueva tecnologa. Por lo tanto, la administracin
debe tener una apreciacin por, y un entendimiento bsico de los riesgos y limitantes del
12
7 Guerra de informacin: Information warfare
-
empleo de la tecnologa de informacin para proporcionar una direccin efectiva y
controles adecuados. COBIT ayuda a salvar las brechas existentes entre riesgos de
negocio, necesidades de control y aspectos tcnicos. Proporciona "prcticas sanas" a
travs de un Marco Referencial de dominios y procesos y presenta actividades en una
estructura manejable y lgica. Las prcticas sanas de COBIT representan el consenso
de los expertos (le ayudarn a optimizar la inversin en informacin, pero an ms
importante, representan aquello sobre lo que usted ser juzgado si las cosas salen mal.
Las organizaciones deben cumplir con requerimientos de calidad, de reportes fiduciarios
y de seguridad, tanto para su informacin, como para sus activos. La administracin
deber obtener un balance adecuado en el empleo de sus recursos disponibles, los cuales
incluyen: personal, instalaciones, tecnologa, sistemas de aplicacin y datos. Para
cumplir con esta responsabilidad, as como para alcanzar sus expectativas, la
administracin deber establecer un sistema adecuado de control interno. Por lo tanto,
este sistema o marco referencial deber existir para proporcionar soporte a los procesos
de negocio y debe ser preciso en la forma en la que cada actividad individual de control
satisface los requerimientos de informacin y puede impactar a los recursos de IT. El
impacto en los recursos de IT es enfatizado en el Marco Referencial de COBIT
conjuntamente a los requerimientos de informacin del negocio que deben ser
alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad,
cumplimiento y confiabilidad. El control, que incluye polticas, estructuras, prcticas y
procedimientos organizacionales, es responsabilidad de la administracin.
Un Objetivo de Control en IT es una definicin del resultado o propsito que se
desea alcanzar implementando procedimientos de control especficos dentro de
una actividad de IT.
La orientacin a negocios es el tema principal de COBIT. Esta diseado no solo para ser
utilizado por usuarios y auditores, sino que en forma ms importante, esta diseado para
ser utilizado como una lista de verificacin 8 detallada para los propietarios de los
procesos de negocio.
COBIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha
existente entre los requerimientos de control, aspectos tcnicos y riesgos de negocio.
COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de IT
a travs de organizaciones, en el mbito mundial. El objetivo de COBIT es proporcionar
13
8 Lista de verificacin: Check List
-
estos objetivos de control, dentro del marco referencial definido, y obtener la
aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en
todo el mundo.
Por lo tanto, COBIT esta orientado a ser la herramienta de gobierno de IT que
ayude al entendimiento y a la administracin de riesgos asociados con tecnologa
de informacin y con tecnologas relacionadas.
2.4. MARCO REFERENCIAL
El Marco Referencial de COBIT proporciona herramientas al propietario de procesos de
negocio que facilitan el cumplimiento de esta responsabilidad. El Marco Referencial
comienza con una premisa simple y prctica:
Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus
objetivos, los recursos de IT deben ser administrados por un conjunto de procesos de
IT agrupados en forma natural.
Contina con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno
de los Procesos de IT, agrupados en cuatro dominios: planeacin & organizacin,
adquisicin & implementacin, entrega (de servicio) y monitoreo. Esta estructura cubre
todos los aspectos de informacin y de la tecnologa que la soporta. Dirigiendo estos 34
Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar
que se proporciona un sistema de control adecuado para el ambiente de tecnologa de
informacin. Adicionalmente, correspondiendo a cada uno de los 34 objetivos de
control de alto nivel, existe una gua de auditora o de aseguramiento que permite la
revisin de los procesos de IT contra los 302 objetivos detallados de control
recomendados por COBIT para proporcionar a la Gerencia la certeza de su
cumplimiento y/o una recomendacin para su mejora.
El Marco Referencial COBIT otorga especial importancia al impacto sobre los recursos
de IT, as como a los requerimientos de negocios en cuanto a efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad que deben
ser satisfechos. Adems, el Marco Referencial proporciona definiciones para los
requerimientos de negocio que son derivados de objetivos de control superiores en lo
referente a calidad, seguridad y reportes fiduciarios en tanto se relacionen con
Tecnologa de Informacin. 14
-
La administracin de una empresa requiere de prcticas generalmente aplicables y
aceptadas de control y gobierno en IT para medir en forma comparativa tanto su
ambiente de IT existente, como su ambiente planeado.
El desarrollo de este Marco Referencial de objetivos de control para IT, conjuntamente
con una investigacin continua aplicada a controles de IT constituyen el fundamento
para el progreso efectivo en el campo de los controles de sistemas de informacin.
Por otro lado, hemos sido testigos del desarrollo y publicacin de modelos de control
generales de negocios como COSO [Committee of Sponsoring Organisations of the
Treadway Commisssion Internal Control-Integrated Framework, 1992] en los EUA,
Cadbury en el Reino Unido y CoCo en Canad y King en Sudfrica. Por otro lado,
existe un nmero importante de modelos de control ms enfocados al nivel de
tecnologa de informacin. Algunos buenos ejemplos de esta ltima categora son el
Security Code of Conduct del DTI (Department of Trade and Industry, Reino Unido) y
el Security Handbook de NIST (National Institute of Standards and Technology, EUA).
Sin embargo, estos modelos de control con orientacin especfica no proporcionan un
modelo de control completo y utilizable sobre tecnologa de informacin como soporte
para los procesos de negocio. El propsito de COBIT es el cubrir este vaco
proporcionando una base que est estrechamente ligada a los objetivos de negocio, al
mismo tiempo que se enfoca a la tecnologa de informacin.
AUDIENCIA: ADMINISTRACION, USUARIOS & AUDITORES
COBIT esta diseado para ser utilizado por tres audiencias distintas:
Administracin: Para ayudarlos a lograr un balance entre los riesgos y las inversiones
en control en un ambiente de tecnologa de informacin frecuentemente impredecible.
Usuarios: Para obtener una garanta en cuanto a la seguridad y controles de los
servicios de tecnologa de informacin proporcionados internamente o por terceras
partes.
Auditores de sistemas de informacin: Para brindar soporte a las opiniones mostradas
a la administracin sobre los controles internos.
Adems de responder a las necesidades de la audiencia inmediata de la Alta Gerencia, a
los auditores y a los profesionales dedicados al control y seguridad, COBIT puede ser
utilizado dentro de las empresas por el propietario de procesos de negocio en su
responsabilidad de control sobre los aspectos de informacin del proceso, y por todos
15
-
aqullos responsables de IT en la empresa.
DEFINICIONES
Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La
definicin de "Control" est adaptada del reporte COSO [Committee of Sponsoring
Organisations of the Treadway Commission. Internal Control-Integrated Framework,
1992 y la definicin para "Objetivo de Control de IT" ha sido adaptada del reporte SAC
(Systems Auditability and Control Report). The Institute of Internal Auditors Research
Foundation, 1991 y 1994.
Control se
define como
Las polticas, procedimientos, prcticas y estructuras
organizacionales diseadas para garantizar
razonablemente que los objetivos del negocio sern
alcanzados y que eventos no deseables sern prevenidos
o detectados y corregidos
Objetivo de control
en IT se define como
Una definicin del resultado o propsito que se desea
alcanzar implementando procedimientos de control en
una actividad de IT particular
PRINCIPIOS DEL MARCO REFERENCIAL
Existen dos clases distintas de modelos de control disponibles actualmente, aqullos de
la clase del "modelo de control de negocios" (por ejemplo COSO) y los "modelos ms
enfocados a IT" (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los
dos. Debido a esto, COBIT se posiciona como una herramienta ms completa para la
Administracin y para operar a un nivel superior que los estndares de tecnologa para
la administracin de sistemas de informacin.
El concepto fundamental del marco referencial COBIT se refiere a que el enfoque del
control en IT se lleva a cabo visualizando la informacin necesaria para brindar soporte
a los procesos de negocio y considerando a la informacin como el resultado de la
aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que
deben ser administrados por procesos de IT.
16
-
La informacin que los procesos de negocio necesitan es proporcionada a travs del
empleo de recursos de IT. Con el fin de asegurar que los requerimientos de negocio para
la informacin son satisfechos, deben definirse, implementarse y monitorearse medidas
de control adecuadas para estos recursos.
Cmo pueden entonces las empresas estar satisfechas respecto a que la informacin
obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de un
sano marco referencial de Objetivos de Control para IT. El diagrama mostrado a
continuacin ilustra este concepto.
Los servicios de consultora se diferencian fundamentalmente de las funciones del CPA
por attesting (la emisin de una opinin) de las aserciones de otras grupos (terceros).
En un servicio de attest (emisin de opiniones), el practicante expresa una conclusin
relacionada a la confiabilidad de un escrito de asercin; el escrito es realizado bajo la
responsabilidad de otro grupo, el asertor. En un servicio de consultora, el practicante
desarrolla los hallazgos, conclusiones y recomendaciones presentadas. La naturaleza y
el alcance del trabajo es determinado solamente por un acuerdo entre el practicante y el
cliente. Generalmente, el trabajo es realizado nicamente para uso y beneficio del
cliente.
17
-
El marco referencial consta de Objetivos de Control de IT de alto nivel y de una
estructura general para su clasificacin y presentacin. La teora subyacente para la
clasificacin seleccionada se refiere a que existen, en esencia, tres niveles de actividades
de IT al considerar la administracin de sus recursos.
Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar
un resultado medible. Las actividades cuentan con un concepto de ciclo de vida,
mientras que las tareas son consideradas ms discretas. El concepto de ciclo de vida
cuenta tpicamente con requerimientos de control diferentes a los de actividades
discretas. Algunos ejemplos de esta categora son las actividades de desarrollo de
sistemas, administracin de la configuracin y manejo de cambios. La segunda
categora incluye tareas llevadas a cabo como soporte para la planeacin estratgica de
IT, evaluacin de riesgos, planeacin de la calidad, administracin de la capacidad y el
desempeo.
Los procesos se definen entonces en un nivel superior como una serie de actividades o
tareas conjuntas con "cortes" naturales (de control).
Al nivel ms alto, los procesos son agrupados de manera natural en dominios. Su
agrupamiento natural es confirmado frecuentemente como dominios de responsabilidad
en una estructura organizacional, y est en lnea con el ciclo administrativo o ciclo de
vida aplicable a los procesos de IT.
Por lo tanto, el marco referencial conceptual puede ser enfocado desde tres puntos
estratgicos: (1) recursos de IT, (2) requerimientos de negocio para la informacin y (3)
procesos de IT. Estos puntos de vista diferentes permiten al marco referencial ser
accedido eficientemente.
18
-
Por ejemplo, los gerentes de la empresa pueden interesarse en un enfoque de calidad,
seguridad o fiduciario (traducido por el marco referencial en siete requerimientos de
informacin especficos). Un Gerente de IT puede desear considerar recursos de IT por
los cuales es responsable. Propietarios de procesos, especialistas de IT y usuarios
pueden tener un inters en procesos particulares. Los auditores podrn desear enfocar el
marco referencial desde un punto de vista de cobertura de control. Estos tres puntos
estratgicos son descritos en el Cubo COBIT que se muestra a continuacin:
Con lo anterior como marco de referencia, los dominios son identificados utilizando las
palabras que la gerencia utilizara en las actividades cotidianas de la organizacin -y no
la jerga del auditor -. Por lo tanto, cuatro grandes dominios son identificados:
planeacin y organizacin, adquisicin e implementacin; entrega y soporte y
monitoreo.
Las definiciones para los dominios mencionados son las siguientes:
Planeacin y
Organizacin
Este dominio cubre la estrategia y las tcticas y se refiere a
la identificacin de la forma en que la tecnologa de
informacin puede contribuir de la mejor manera al logro de
los objetivos del negocio. Adems, la consecucin de la
visin estratgica necesita ser planeada, comunicada y
administrada desde diferentes perspectivas. Finalmente,
debern establecerse una organizacin y una infraestructura
tecnolgica apropiadas.
19
-
Adquisicin e
Implementacin
Para llevar a cabo la estrategia de IT, las soluciones de IT
deben ser identificadas, desarrolladas o adquiridas, as como
implementadas e integradas dentro del proceso del negocio.
Adems, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.
Entrega y
Soporte
En este dominio se hace referencia a la entrega de los
servicios requeridos, que abarca desde las operaciones
tradicionales hasta el entrenamiento, pasando por seguridad
y aspectos de continuidad. Con el fin de proveer servicios,
debern establecerse los procesos de soporte necesarios. Este
dominio incluye el procesamiento de los datos por sistemas
de aplicacin, frecuentemente clasificados como controles
de aplicacin
Monitoreo
Todos los procesos necesitan ser evaluados regularmente a
travs del tiempo para verificar su calidad y suficiencia en
cuanto a los requerimientos de control.
En resumen, los Recursos de IT necesitan ser administrados por un conjunto de
procesos agrupados en forma natural, con el fin de proporcionar la informacin que la
empresa necesita para alcanzar sus objetivos.
El siguiente diagrama ilustra este concepto:
(Vase pgina siguiente)
20
-
Debe tomarse en cuenta que estos procesos pueden ser aplicados a diferentes niveles
dentro de una organizacin. Por ejemplo, algunos de estos procesos sern aplicados al
nivel corporativo, otros al nivel de la funcin de servicios de informacin, otros al nivel
del propietario de los procesos de negocio.
Tambin debe ser tomado en cuenta que el criterio de efectividad de los procesos que
planean o entregan soluciones a los requerimientos de negocio, cubrirn algunas veces
los criterios de disponibilidad, integridad y confidencialidad. - en la prctica, se han
convertido en requerimientos del negocio. Por ejemplo, el proceso de "identificar
soluciones automatizadas" deber ser efectivo en el cumplimiento de requerimientos de
disponibilidad, integridad y confidencialidad.
2.5. OBJETIVOS DE CONTROL COBIT como se presenta en los Objetivos de Control, refleja el compromiso continuo
21
-
de ISACF por mejorar y mantener el cuerpo comn de conocimientos requeridos para
apoyar la actividad de auditora y control de sistemas de informacin. As como el
marco de Referencia de COBIT se encuentra enfocado a controles de alto nivel para
cada proceso. Los Objetivos de Control se concentra en objetivos detallados de
control especficos, asociados con cada uno de los procesos de IT. Para cada uno de los
34 procesos de IT del Marco de Referencia, existen de tres a 30 Objetivos de Control
detallados. Los Objetivos de Control alinean el Marco de Referencia general con los
Objetivos de Control detallados a partir de 36 fuentes primarias que comprenden los
estndares internacionales de hecho y de derecho y las regulaciones relacionadas con
IT. Este contiene la relacin de los resultados o propsitos que desean alcanzarse a
travs de la implementacin de procedimientos de control especficos dentro de una
actividad de IT y, de esta manera, proporcionar una poltica clara y una mejor prctica 9 para el control de IT en toda la industria, en el mbito mundial.
Los Objetivos de Control estn dirigidos a la gerencia y al personal de los servicios de
informacin, controles, funciones de auditora y, lo ms importante, a los propietarios
de los procesos de negocios. Los Objetivos de Control proporcionan un documento de
trabajo de escritorio para estas personas. Se presentan definiciones precisas y claras de
un conjunto mnimo de controles para asegurar la eficacia, la eficiencia y la economa
en la utilizacin de recursos. Para cada proceso, se identifican Objetivos de Control
detallados como los controles mnimos que necesita encontrarse establecidos (aquellos
controles que cuya suficiencia ser evaluada por el profesional en control). Existen 302
objetivos de control detallados que proporcionan una visin detallada sobre las
relaciones dominio/proceso/objetivo de control.
Los objetivos de control permiten la traduccin de los conceptos presentados en el
marco de Referencia en controles especficos aplicados para cada proceso de IT, ver
Tabla Resumen en Anexo 2.
22
9 Mejor prctica (best practice)
-
CAPITULO 3 CASO PRACTICO
3.1. LA EMPRESA SUJETO DE ESTUDIO La empresa RESULTSYS Consultora Profesional Ca Ltda. es una empresa privada que
ofrece servicios de tercerizacin de la gestin financiera contable en las reas de
Contabilidad, Nmina, Administracin de Inventarios, Tesorera, Facturacin,
Cobranzas, Administracin de Activos Fijos, Tasaciones y Valoraciones.
RESULTSYS Consultora Profesional Ca Ltda. constituida en 1978 tiene por objeto la
prestacin de servicios de asesoramiento y consultora administrativa y empresarial para
instituciones y empresas pblicas, semipblicas, mixtas y privadas.
RESULTSYS es una empresa que se ha comprometido a realizar cambios de alto
impacto para crear y mantener ventajas competitivas, tomando en cuenta que el entorno
actual y futuro de la industria ecuatoriana est direccionado por los factores:
competencia, globalizacin, polticas de cambio, rentabilidad del crecimiento y servicio
al cliente.
Es necesario entonces determinar con claridad su estructura, para tener los elementos
necesarios que permitan identificar el alcance de la auditora de sistemas.
La estructura orgnico funcional de RESULTSYS se puede observar en la siguiente
figura:
(Vase pgina siguiente)
23
-
24
Soporte a Usuarios
Consultora
RESULTSY Consultora Profesional Ca. Ltda.Estructura orgnico funcional
Marketing
Secretara
ContabilidadDigitacin
Consultora
Actualizado diciembre/2002
Secretara General Asesora Legal
Mantenimiento deEquipo Electrnico
Administracin deBases de Datos
Administracin deRedes
Desarrollo deTalentos
Nmina
Tesorera
Finanzas
Aquisiciones yservicios generales
Gerencia de RecursosHumanos
GerenciaAdministrativa Financiera
Gerencia deSoluciones
Tecnolgicas
Gerencia deActivos Fijos/Inventarios
Gerencia deOutsourcing
Nmina
Gerencia de Outsourcing Contabilidad
Gerencia General
Presidencia
Junta General de Accionistas
-
RESULTSYS tiene tres departamentos para los servicios de tercerizacin que ofrece,
stos son: Nmina, Contabilidad y Activos Fijos e Inventarios. Los departamentos de
apoyo a la gestin de servicio son: los departamentos Administrativo Financiero,
Soluciones de Tecnologa (Informtica), y Recursos Humanos, Secretara General,
Marketing y Asesora Legal.
Los servicios de tercerizacin que RESULTSYS ofrece son:
CONTABILIDAD.- Elaboracin de estados financieros bajo normas locales, US GAAP,
declaraciones tributarias, indicadores de gestin.
TESORERA, FACTURACIN, COBRANZAS.- Gestin de cobranzas, pagos, control de
cuentas bancarias, anlisis financiero, etc.
NMINA.- Manejo integral de la nmina del personal, declaracin de impuestos,
cumplimiento de obligaciones sociales, indicadores de gestin.
ADMINISTRACIN DE INVENTARIOS.- Mtodo de valuacin, implantacin de nuevos
sistemas, planificacin y control de inventarios.
ADMINISTRACIN DE ACTIVOS FIJOS.- Inventarios y conciliacin, mtodos de
valuacin, depreciaciones, implantacin de base de datos, manual de procedimientos.
3.1.1. DESCRIPCION DE FUNCIONES DEL NIVEL DIRECTIVO Se considera importante hacer una descripcin general de las funciones de quienes
trabajan en la empresa especialmente en el nivel ejecutivo de los departamentos con
incidencia relevante en el desarrollo de la auditora de sistemas.
GERENTE GENERAL
Ejecutar las polticas, normas y procedimientos de la empresa. Dirigir la marcha institucional, coordina y evala las actividades tcnicas y
administrativas de RESULTSYS.
Cumplir y hacer cumplir los reglamentos, estatutos y dems normas vigentes de la empresa.
Analizar y aprobar los estados financieros de la empresa. Aplicar reglamentos, manuales, procedimientos tcnicos y administrativo
financieros de la empresa.
Coordinar la ejecucin de los programas y/o proyectos, y evaluar su cumplimiento.
25
-
Determinar polticas sobre el desarrollo de la Empresa y la administracin de sus recursos.
Dirigir la planificacin estratgica, tcnica, econmica, financiera y administrativa de RESULTSYS.
Implementar polticas para el mejoramiento funcional de la empresa. GERENTE DE OUTSOURCING
Vigilar el cumplimiento de los contratos. Autoriza y fijar los precios de los proyectos. Revisar y entregar los proyectos Preparar y actualizar el presupuesto de los proyectos. Cumplir y hace cumplir las polticas establecidas por la empresa y dems
actividades que le asigne el jefe inmediato superior.
Reportar sus actividades al gerente general y su principal objetivo es dirigir, controlar, capacitar, y planificar para que la empresa obtenga los mximos
resultados.
GERENTE ADMINISTRATIVO FINANCIERO
Ejecutar la direccin y control de la administracin financiera de la empresa. Dirigir la formulacin del presupuesto de gasto y participar en el control de su
aplicacin posterior.
Colaborar y supervisar la preparacin de reportes financieros de verificacin de resultados reales y presupuestados.
Colaborar y supervisar la preparacin de reportes financieros de verificacin de resultados reales y presupuestados.
Mantener constante correspondencia y comunicacin con bancos Organizar, planificar y controlar el flujo de fondos Revisar y aprobar la emisin anual de balances, en cumplimiento con los
requerimientos y regulaciones legales vigentes.
Elaborar reportes financieros locales y al exterior.
3.1.2. ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMAS RESULTSYS cuenta con un departamento de sistemas, que forma parte de los equipos
de Administracin de Redes, Administracin de Bases de Datos, Soporte al usuario
26
-
final y Mantenimiento de equipo electrnico, cuyo principal objetivo es asesorar y
asistir tcnicamente en lo correspondiente al campo tecnolgico informtico, y tiene
asociados de negocios para reas como las de desarrollo y renta de equipos de
computacin.
ORGANIGRAMA ESTRUCTURAL GENERAL
GERENCIA DE SOLUCIONES TECNOLGICAS
Administrador de red Administradorde Base de datos
Tcnico de Mantenimiento Soporte a Usuarios
Gerente de SolucionesTecnolgicas
Gerente General
El departamento de sistemas se le denomina GTS (Global Technology Solutions),
brinda soporte a oficinas ubicadas en las ciudades de Quito y Guayaquil, actualmente
est estructurado de la siguiente manera:
- Ral Arteaga (Gerente General)
- Adriana Snchez (Supervisora)
- Viviana Crdoba (Help Desk Quito)
- Lenin Robalino (Mantenimiento Electrnico Quito)
- Juan Carlos Viera (Aplicaciones Administrativo Financieras Quito)
- Erick Paredes (Administrador de Red Guayaquil)
- Ronald Suquilanda (Help Desk Guayaquil
(Vase pgina siguiente)
27
-
3.1.3. CARACTERISTICAS DE LOS SISTEMAS Y AMBIENTE COMPUTARIZADO
RESULTSYS tiene dos oficinas una en la ciudad de Quito y otra en la ciudad de
Guayaquil. En los dos casos son edificios de hormign, relativamente nuevos, con
instalaciones elctricas adecuadas, disponen de generadores de energa, disponen de
salas de servidores con aire acondicionado.
En el edificio en Quito se dispone de un UPS que abarca el 30% de los equipos de
computacin entre ellos la sala de servidores, central telefnica y equipos activos
(Switchs, hubs, routers, etc.) que es administrado para todo el edificio en forma
centralizada por el arrendatario.
Tambin se dispone de guardias de seguridad que controlan el acceso edificio, y los
empleados disponen de tarjetas magnticas para ingreso a las oficinas. Se dispone de
extintores en las oficinas como en la sala de servidores.
En el edificio en Guayaquil se dispone de un UPS de uso exclusivo para la sala de
servidores, central telefnica y equipos activos (Switchs, hubs routers, etc.) que es
administrado por RESULTSYS.
28
-
El cableado estructurado es categora 5e marca IBM y disponen de certificaciones de
cada una de las oficinas por parte de IBM como fabricante.
Se dispone de varios extintores en las oficinas y especialmente en la sala de servidores y
reas como la central telefnica.
RESULTSYS cuenta con un contrato para servicios de VPN para permitir el acceso
remoto de los usuarios en cualquier ciudad del mundo.
Estructura de hardware: RESULTSYS Consultora Profesional Ca. Ltda. posee:
SERVIDOR DE BASE DE DATOS
CARACTERSTICAS:
(Proceso individual de la informacin contable de las empresas a las cuales se presta
servicio).
2 procesadores Pentium III 700 Mhz c/u
Memoria RAM: 384 MB
Nmero de usuarios: 30 (Quito y Guayaquil)
Sistema operativo: Windows NT 4.0
Espacio total en disco duro: 45 GB
Ubicacin: oficina Quito
SERVIDORES DE ARCHIVOS.
CARACTERSTICAS:
1 procesador Pentium III 500 Mhz
Memoria RAM: 256 MB
Sistema operativo: Netware 5.1
Espacio total en disco duro: 27 GB
Nmero de usuarios: 35 (Quito y Guayaquil)
Ubicacin: uno en la oficina de Quito y otro en la oficina de Guayaquil.
SERVIDOR DE CORREO ELECTRNICO
CARACTERSTICAS:
2 procesadores Xeon Pentium III 850 Mhz
Memoria RAM: 384 MB
Sistema operativo: Windows NT 4.0
Espacio total en disco duro: 91 GB
Nmero de usuarios: 30 (Quito y Guayaquil)
29
-
Ubicacin: oficina Quito y otro en la oficina de Guayaquil de caractersticas menores.
OTROS SERVIDORES
CARACTERSTICAS:
Para servicios de DHCP/DNS, ArcsServer (software para backup), para manejo de
colas de impresin
Procesadores Pentium II y III 250 Mhz
Memoria RAM: 256 MB
Sistema operativo: Windows NT 4.0
Espacio total en disco duro: 27 GB
Ubicacin: Oficinas de Quito y Guayaquil
ESTACIONES DE TRABAJO
COMPAQ e IBM
Tipo: notebooks y desktops
Memoria RAM: Mnima: 64MB
Procesador Mnimo: Pentium III 700 Mhz
Tiene una red UTP de categora 5e con Hubs y Switch a 10 y 100Mbps
Estructura de Comunicaciones: En lo que respecta a comunicaciones se tiene
habilitado el acceso remoto tipo dial-up, y lneas de comunicacin dedicadas entre las
oficinas de Quito y Guayaquil, la autenticacin remota es a travs de un Username y
Passwords nicos para cada persona.
Estructura de Software: RESULTSYS cuenta con el siguiente software.
SISTEMA OPERATIVO EN LAS ESTACIONES:
Windows XP, Windows 2000, Windows 95 (idioma: ingls)
SOFTWARE UTILITARIO
Entre los principales utilitarios utilizados en RESULTSYS Consultora Profesional Cia.
Ltda. podemos mencionar:
Lotus Notes para correo electrnico y con base de datos de uso general y especializado.
Microsoft Office 97 Profesional Microsoft Project 98 Adobe Acrobat
30
-
WinZip Antivirus la empresa cuenta con MacAfee. Visio Todo el software se encuentra debidamente licenciado.
Software de aplicacin: La aplicacin utilizada por RESULTSYS Consultora
Profesional Cia. Ltda. para el procesamiento de la informacin contable de los clientes
es un ERP (Enterprise Resource Planning) de mediano rango denominado Gestor,
sistema cuya base de datos es Oracle y su front-end est desarrollado en Developer 6.0
y otras herramienta de Oracle.
Gestor posee los mdulos de Contabilidad, Nmina, Caja/Bancos, Cuentas por Cobrar,
Cuentas por Pagar, Tesorera, Activos Fijos, Facturacin e Inventarios.
Platinum for Windows, con los mdulos de: Contabilidad, Cuentas por cobrar y Pagar,
Libro Bancos entre otros. En base de datos PSQL (Pervasive SQL), que es el software
utilizado para la gestin administrativa interna.
WIP, software propietario para control de Proyectos
3.2. APLICACION DEL MODELO COBIT
3.2.1. JUSTIFICACION DE LA APLICACION DE COBIT Basadas en la creciente competencia y complejidad de los negocios y en el permanente
desarrollo tecnolgico que soporta y crea nuevas oportunidades y desafos,
RESULTSYS ha visto la necesidad de contar con sistemas de informacin que manejen
y automaticen las distintas actividades, tanto claves como de soporte, generando
eficiencia y productividad, pero al mismo tiempo estructurando ambientes tecnolgicos
cada vez ms complejos. Aspectos como (i) alta sistematizacin de los procesos, (ii)
automatizacin de los controles, (iii) integracin de la informacin, (iv) importancia
fundamental de la informacin para la toma de decisiones, exponen a las organizaciones
a nuevos riesgos que deben ser adecuadamente administrados.
Consciente de esta situacin, RESULTSYS, por medio de su rea de Sistemas ha visto
la necesidad de afrontar un proyecto de Auditora de Sistemas, cuyos resultados le
permitirn entre otras cosas:
31
-
Promover una cultura de conciencia del riesgo asociado a los sistemas y tecnologa de la informacin.
Implementar mecanismos de control para una adecuada administracin de las actividades de sistemas.
Implementar polticas y procedimientos que permitan una adecuada administracin de las distintas actividades y recursos tecnolgicos.
Incrementar la calidad del servicio que el Area de Sistemas brinda a los usuarios. Enfocar las actividades hacia los objetivos estratgicos del negocio. Optimizar la utilizacin de los recursos tecnolgicos. Mejorar la gestin de los sistemas informticos, para obtener informacin confiable
y de calidad.
Mejorar la calidad de los servicios tecnolgicos proporcionados por terceros. La Auditora de Sistemas, por lo tanto, constituye para RESULTSYS en una decisin
estratgica, puntualizada como resultado de todo un proceso de anlisis, definiciones y
pruebas a travs de la aplicacin del modelo COBIT, marco referencial que nos provee
una serie de objetivos de control necesarios para evaluar y reforzar al ambiente de
control IT. Mayor informacin sobre el modelo COBIT se describe en el captulo 2.
3.2.2. PLANIFICACIN DEL TRABAJO (PROPUESTA) Con base en la compresin de stos requerimientos y de la importancia del proyecto
para RESULTSYS, presentamos el alcance, esquema de trabajo, procedimientos (con
base en el Modelo COBIT) y productos a generarse como resultado de la ejecucin de
este trabajo.
3.2.2.1. OBJETIVO Efectuar una Auditora de Sistemas relacionada con la Evaluacin de los Servicios de
Tecnologa de la Informacin, proporcionados por el AREA DE SISTEMAS de
RESULTSYS.
3.2.2.2. ALCANCE De acuerdo a los requerimientos acordados con RESULTSYS, hemos definido la
evaluacin de las siguientes etapas.
32
-
1. Estructura Organizacional del Area de Sistemas 1.1.
1.2.
1.3.
2.1.
2.2.
2.3.
3.1.
4.1.
4.2.
1.
1.1.
Estructura de Personal
Evaluacin de Gestin del rea
Atencin al usuario
2. Gestin de los Sistemas Informticos Desarrollo, Operacin y Mantenimiento de Aplicaciones
Administracin de las Bases de Datos (DBA)
Gestin y Explotacin de las Aplicaciones
3. Plataformas y Comunicaciones Plataforma Tecnolgica, Redes y Comunicaciones
4. Evaluacin de Seguridades y Procedimientos de Continuidad Seguridades: Fsicas, Lgicas y de Comunicaciones
Plan de Contingencias
(Ver Anexo 4 Glosario de Trminos Tecnolgicos)
3.2.2.3. METODO DE TRABAJO Y PROCEDIMIENTOS A EJECUTAR El enfoque de trabajo considerar las siguientes etapas:
Estructura Organizacional (Controles sobre las actividades IT)
En sta etapa las tareas a ejecutarse son:
Anlisis de Situacin Actual
Entrevistas con los funcionarios del rea de Informtica y reas usuarias destinadas a evaluar el ambiente general de control en materia de tecnologa existente.
Relevamiento de actividades y procesos (con el alcance mnimo necesario para determinar segregacin de funciones).
Revisin de los procedimientos de control implantados. Reunin de Validacin. Elaboracin de mejoras potenciales
Compilacin Basada en estndares de control COBIT. Reuniones de validacin y discusin. Procedimientos Detallados
Se ejecutarn los siguientes procedimientos:
Estructura de Personal
Dependencia, roles y responsabilidades del personal del rea informtica. 33
-
Evaluacin de la segregacin de funciones. Anlisis del perfil de cada cargo tipo y sus ocupantes (experiencia, capacitacin y
escolaridad).
Evaluacin de la Gestin 1.2.
1.3.
2.1.
Evaluar los procesos y estndares y probar su cumplimiento. Evaluar el proceso de planeamiento y la razonabilidad del plan informtico respecto
a los objetivos de la organizacin.
Evaluar los procedimientos de asignacin de recursos y la elaboracin y administracin de presupuestos, as como la razonabilidad de los recursos
asignados.
Atencin al Usuario
Anlisis del procedimiento establecido para asegurar que el servicio sea acorde con las necesidades de los usuarios.
Evaluacin de los procedimientos de atencin a usuarios y administracin de problemas.
2. Gestin de los Sistemas Informticos En sta etapa las tareas a ejecutarse son:
Anlisis de Situacin Actual
Relevamiento detallado de la funcionalidad implantada. Caractersticas generales de las aplicaciones (tablas, reportes). Seguridades. Elaboracin de mejoras potenciales
Elaboracin de conclusiones y recomendaciones, a partir del material relevado y estndares de control, utilizando herramientas de anlisis de riesgos y objetivos de
control para cada aplicacin.
Reuniones de validacin y discusin. Procedimientos Detallados
Se ejecutarn los siguientes procedimientos:
Desarrollo, Operacin y Mantenimiento de Aplicaciones
Revisar y evaluar la metodologa de desarrollo de aplicaciones existente. Relevar los procedimientos para desarrollo de aplicaciones utilizados. Evaluar los procedimientos e iniciativas de investigacin y desarrollo.
34
-
Evaluar los procedimientos para pasar los programas de ambiente de desarrollo a produccin.
Revisar la documentacin de la planificacin de mantenimiento / mejora de aplicaciones, as como la documentacin que sustenta la prueba y otros procesos de
recepcin por parte del usuario.
Evaluar los procedimientos de operacin. Revisar las bitcoras de operacin. Revisar los procedimientos de schedulling y revisar las bitcoras de ejecucin de
los procesos batch.
Revisar los procedimientos vigentes para backup de informacin (tipo de informacin, periodicidad, lugar de almacenamiento y pruebas peridicas de los
respaldos).
Administracin de la Base de Datos (Dba) 2.2.
2.3.
Evaluar los procedimientos de administracin de la base de datos. Revisar el sistema de documentacin de la base de datos (nivel de detalle y
actualizacin de la informacin).
Analizar roles y responsabilidades de la administracin de la base de datos. Gestin y Explotacin de las Aplicaciones
Relevar informacin relativa a las aplicaciones como: - Caractersticas generales.
- Responsables.
- Plataforma tecnolgica.
- Principales mdulos.
- Mecanismos de seguridad disponibles.
- Documentacin existente.
- Interfaces con otros sistemas.
- Implantaciones en curso.
Evaluar la seguridad y control de cada aplicacin. 3. Plataformas y Comunicaciones En sta etapa las tareas a ejecutarse son:
Anlisis de Situacin Actual
Relevamiento detallado de HW utilizado en cada aplicacin.
35
-
Anlisis de niveles de servicio (capacidad, velocidad, tiempos de parada). Elaboracin de mejoras potenciales
Elaboracin de conclusiones y recomendaciones, a partir del material relevado y de las prcticas comunes en compaas de tamao similar y estndares de control
COBIT.
Reuniones de validacin y discusin. Procedimientos Detallados
Se ejecutarn los siguientes procedimientos:
Plataforma Tecnolgica, Redes y Comunicaciones 3.1.
Revisin de los procedimientos de medicin del rendimiento. Anlisis de los informes de rendimiento disponibles.
Revisin de los procedimientos relativos al monitoreo de la red. Anlisis de la bitcora de problemas.
Anlisis de los mecanismos de comunicacin y acceso a los datos de la red desde el punto de vista de disponibilidad.
Relevar las herramientas de monitoreo de hardware y software existentes, y compararlas con las disponibles en el mercado.
Revisar procedimientos de respaldo (mirroring, lneas de comunicacin alternativas).
Relevamiento de la arquitectura del sistema, incluyendo: - Servicios de red implementados.
- Diagrama de la red.
- Servidores.
- Equipos de redes LAN.
- Cableado estructurado.
- Enlaces WAN.
- PC's por localidad.
4. Evaluacin de Seguridades y Procedimientos de Continuidad En sta etapa las tareas a ejecutarse son:
Anlisis de Situacin Actual
Revisin de seguridad de las plataformas utilizando herramientas especficas. Evaluacin del Plan de Contingencias.
36
Elaboracin de mejoras potenciales
-
Se efectuarn mediante:
Elaboracin de conclusiones y recomendaciones, a partir del material relevado y de las prcticas comunes en compaas de tamao similar y estndares de control
COBIT.
Reuniones de validacin y discusin. Procedimientos Detallados
Se ejecutarn los siguientes procedimientos:
Seguridades: Fsicas, Lgicas y Comunicaciones 4.1.
4.2.
Evaluar las polticas y procedimientos de seguridad vigentes. Revisar la seguridad lgica implantada en los servidores, as como los parmetros de
seguridad relativos a las claves de acceso, utilizando la herramienta de software
especficas para cada plataforma Esto comprende, entre otros:
Tipo y longitud mnima y mxima de las claves de acceso.
Manejo de claves de acceso histricas.
Encriptacin de claves.
Administracin de claves de acceso por servicio.
Rotacin de claves de acceso (automtico o manual) y periodicidad.
Nmero de intentos fallidos antes de ingresar al sistema.
Nmero de sesiones simultneas por usuario.
Nmero de perfiles de usuario.
Tiempo permitido de inactividad en el sistema (time out). Verificar la activacin y revisin de logs y pistas de auditora. Revisar las seguridades de accesos remotos (dial up, internet, intranet). Evaluar los mecanismos de proteccin antivirus. Evaluar los mecanismos de seguridad fsica existentes, incluyendo contratos de
seguros existentes.
Plan de Contingencias
Evaluar la estrategia de recuperacin, infraestructura tecnolgica y las facilidades
para la continuidad del procesamiento.
Evaluar los procedimientos de recuperacin y operacin durante la emergencia,
tomando en cuenta: responsables, actualizacin, pruebas peridicas, metodologa para
la determinacin de los procedimientos.
37
-
3.2.2.4. PRODUCTOS A ENTREGAR Y PRESUPUESTO En cada una de las etapas descritas anteriormente se generarn:
9 Resumen Ejecutivo Conclusiones Significativas Otras recomendaciones de la Etapa
INFORME FINAL
9 Resumen ejecutivo. 9 Descripcin del trabajo efectuado. 9 Anexos - Informe de las recomendaciones acordadas con la administracin.
Conclusiones Significativas de cada Etapa Informe detallado y Recomendaciones de cada Etapa
3.2.2.5. HERRAMIENTAS A UTILIZAR Su utilizacin garantiza que el trabajo sea realizado con los ms altos estndares
internacionales.
38
-
BindView es una herramienta automatizada que permite la revisin de seguridades en
redes LAN de mltiples proveedores, incluyendo Unix, NDS, Windows 2000, NetWare
3, NetWare 4, Netware 5 y Windows NT.
BindView proporciona de manera automtica resultados relacionados con Auditora de
Seguridad, Administracin y Configuracin general del sistema operativo.
La arquitectura de BindView est diseada para entregar soluciones para 4 aspectos
crticos de la administracin de red:
Acceso: Acceso transparente a informacin de los recursos de su organizacin.
Anlisis: Robusta herramienta de anlisis diseada para contestar preguntas acerca de
los recursos de la organizacin.
Reportes : Herramienta poderosa y flexible para la elaboracin de reportes y resultados
de las evaluaciones realizadas.
Administracin: Permite organizar, actualizar e interpretar los resultados del anlisis.
3.3. EJECUCION DEL TRABAJO
3.3.1. IDENTIFICACIN DE RIESGOS IT CRTICOS. Los procedimientos a ejecutar como parte de la auditora de sistemas se detallan a
continuacin, con asociacin al Dominio y Objetivo de control del modelo COBIT
aplicado para la evaluacin e identificacin de debilidades. Los Objetivos de Control
detallados utilizados en el proyecto se incluyen en el Anexo 3.
39
-
3.3.1.1. ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMA (CONTROLES SOBRE LAS ACTIVIDADES IT) Se ejecutarn los siguientes procedimientos:
3.3.1.1.1. ESTRUCTURA DE PERSONAL
COBIT10
Procedimiento Dominio Cdigo Objetivo de Control
Dependencia, roles y responsabilidades del personal
del rea informtica.
Planeacin y
Organizacin
PO4 Definicin de la Organizacin y de las
Relaciones IT
Evaluacin de la segregacin de funciones. Planeacin y
Organizacin
PO4 Definicin de la Organizacin y de las
Relaciones IT Segregacin de Funciones
(4.10)
Anlisis del perfil de cada cargo tipo y sus
ocupantes (experiencia, capacitacin y escolaridad).
Planeacin y
Organizacin
PO7 Administracin de Recursos Humanos
3.3.1.1.2. EVALUACIN DE GESTIN
COBIT10
Procedimiento Dominio Cdigo Objetivo de Control
Evaluar los procesos y estndares y probar su Planeacin y PO6 Comunicacin de la direccin y aspiraciones
10 La relacin Dominio y Cdigo de COBIT, as como su simbologa se detalla en el Anexo 2.
40 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
-
COBIT10
Procedimiento Dominio Cdigo Objetivo de Control
cumplimiento. Organizacin de la gerencia Comunicacin de las
polticas de la organizacin (6.3)
Evaluar el proceso de planeamiento y la
razonabilidad del plan informtico respecto a los
objetivos de la organizacin.
Planeacin y
Organizacin
PO1 Definicin de un Plan Estratgico de
Tecnologa de Informacin
Evaluar los procedimientos de asignacin de
recursos y la elaboracin y administracin de
presupuestos, as como la razonabilidad de los
recursos asignados.
Planeacin y
Organizacin
PO10 Administracin de proyectos
3.3.1.1.3. ATENCIN AL USUARIO
COBIT10
Procedimiento Dominio Cdigo Objetivo de Control
Anlisis del procedimiento establecido para
asegurar que el servicio sea acorde con las
necesidades de los usuarios.
Entrega de
servicios y
Soporte
DS8 Apoyo y Asistencia a los Clientes de
Tecnologa de Informacin
Evaluacin de los procedimientos de atencin a
usuarios y administracin de problemas.
Entrega de
servicios y
Soporte
DS10 Administracin de problemas e Incidentes
41 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
-
3.3.1.2. GESTIN DE LOS SISTEMAS INFORMTICOS Se ejecutarn los siguientes procedimientos:
3.3.1.2.1. DESARROLLO, OPERACIN Y MANTENIMIENTO DE APLICACIONES
COBIT10
Procedimiento Dominio Cdigo Objetivo de Control
Revisar y evaluar la metodologa de desarrollo de
aplicaciones existente.
Planeacin y
Organizacin
PO11 Administracin de Calidad Metodologa
del Ciclo de Vida de Desarrollo de Sistemas
(11.5)
Relevar los procedimientos para desarrollo de
aplicaciones utilizados.
Planeacin y
Organizacin
PO11 Administracin de Calidad
Evaluar los procedimientos e iniciativas de
investigacin y desarrollo.
Planeacin y
Organizacin
PO10 Administracin de proyectos
Evaluar los procedimientos para pasar los
programas de ambiente de desarrollo a produccin.
Adquisicin e
Implementacin
AI5 Instalacin y Acreditacin de Sistemas
Revisar la documentacin de la planificacin de
mantenimiento / mejora de aplicaciones, as como
la documentacin que sustenta la prueba y otros
procesos de recepcin por parte del usuario.
Adquisicin e
Implementacin
AI2 Adquisicin y Mantenimiento de Software
de Aplicacin
Evaluar los procedimientos de operacin. Adquisicin e AI4 Desarrollo y Mantenimiento de
42 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
-
COBIT10
Procedimiento Dominio Cdigo Objetivo de Control
Implementacin Procedimientos relacionados con Tecnologa
de Informacin
Revisar las bitcoras de operacin. Planeacin y
Organizacin
AI4 Desarrollo y Mantenimiento de
Procedimientos relacionados con Tecnologa
de Informacin
Revisar los procedimientos de schedulling y revisar
las bitcoras de ejecucin de los procesos batch.
Entrega de
servicios y
Soporte
DS13 Administracin de Operaciones.
Revisar los procedimientos vigentes para backup de
informacin (tipo de informacin, periodicidad,
lugar de almacenamiento y pruebas peridicas de
los respaldos).
Entrega de
servicios y
Soporte
DS11 Administracin de la Informacin
3.3.1.2.2. ADMINISTRACIN DE LAS BASES DE DATOS (DBA)
COBIT10
Procedimiento Dominio Cdigo Objetivo de Control
Evaluar los procedimientos de administracin de la
base de datos.
Planeacin y
organizacin
PO2 Definicin de la Arquitectura de
Informacin
Revisar el sistema de documentacin de la base de Planeacin y PO2 Definicin de la Arquitectura de
43 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
-
COBIT10
Procedimiento Dominio Cdigo Objetivo de Control
datos (nivel de detalle y actualizacin de la
informacin).
organizacin Informacin
Analizar roles y responsabilidades de la
administracin de la base de datos.
Planeacin y
organizacin
PO2 Definicin de la Arquitectura de
Informacin
3.3.1.2.3. GESTIN Y EXPLOTACIN DE LAS APLICACIONES
COBIT10
Procedimiento Dominio Cdigo Objetivo de Control
Relevar informacin relativa a las aplicaciones
como:
- Caractersticas generales
- Responsables
- Plataforma tecnolgica
- Principales mdulos
- Mecanismos de seguridad disponibles
- Documentacin existente
- Interfaces con otros sistemas
- Implantaciones en curso
Adquisicin e
implementacin
AI2 Adquisicin y Mantenimiento de Software
de Aplicacin
Evaluar la seguridad y control de cada aplicacin. Entrega de DS5 Garantizar la Seguridad de Sistemas
44 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
-
COBIT10
Procedimiento Dominio Cdigo Objetivo de Control
Servicios y
Soporte
3.3.1.3. PLATAFORMAS Y COMUNICACIONES Se ejecutarn los siguientes procedimientos:
3.3.1.3.1. PLATAFORMA TECNOLGICA, REDES Y COMUNICACIONES
COBIT10
Procedimiento Dominio Cdigo Objetivo de Control
Revisin de los procedimientos de medicin del
rendimiento. Anlisis de los informes de
rendimiento disponibles.
Entrega de
Servicios y
Soporte
DS3 Administracin de Desempeo y Capacidad
Revisin de los procedimientos relativos al
monitoreo de la red. Anlisis de la bitcora de
problemas.
Entrega de
Servicios y
Soporte
DS3 Administracin de Desempeo y Capacidad
Anlisis de los mecanismos de comunicacin y
acceso a los datos de la red desde el punto de vista
de disponibilidad.
Entrega de
Servicios y
Soporte
DS3 Administracin de Desempeo y Capacidad
Relevar las herramientas de monitoreo de hardware Entrega de DS3 Administracin de Desempeo y Capacidad
45 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
-
COBIT10
Procedimiento Dominio Cdigo Objetivo de Control
y software existentes, y compararlas con las
disponibles en el mercado.
Servicios y
Soporte
Revisar procedimientos de respaldo (mirroring,
lneas de comunicacin alternativas).
Entrega de
Servicios y
Soporte
DS4 Aseguramiento de Servicio Continuo
Relevamiento de la arquitectura del sistema,
incluyendo:
- Servicios de red implementados
- Diagrama de la red
- Servidores
- Equipos de redes LAN
- Cableado estructurado
- Enlaces WAN
- PC's por localidad
Entrega de
Servicios y
Soporte
DS9 Administracin de la Configuracin
3.3.1.4. EVALUACIN DE SEGURIDADES Y PROCEDIMIENTOS DE CONTINUIDAD Se ejecutarn los siguientes procedimientos:
46 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
-
3.3.1.4.1. SEGURIDADES: FSICAS, LGICAS Y DE COMUNICACIONES
COBIT10
Procedimiento Dominio Cdigo Objetivo de Control
Evaluar las polticas y procedimientos de seguridad
vigentes.
Entrega de
Servicios y
Soporte
DS5 Garantizar la Seguridad de Sistemas
Revisar la seguridad lgica implantada en los
servidores, as como los parmetros de seguridad
relativos a las claves de acceso, utilizando la
herramienta de software especficas para cada
plataforma Esto comprende, entre otros:
Tipo y longitud mnima y mxima de las claves
de acceso.
Manejo de claves de acceso histricas.
Encriptacin de claves.
Administracin de claves de acceso por servicio.
Rotacin de claves de acceso (automtico o
manual) y periodicidad.
Nmero de intentos fallidos antes de ingresar al
sistema.
Nmero de sesiones simultneas por usuario.
Entrega de
Servicios y
Soporte
DS5 Garantizar la Seguridad de Sistemas
47 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
-
COBIT10
Procedimiento Dominio Cdigo Objetivo de Control
Nmero de perfiles de usuario.
Tiempo permitido de inactividad en el sistema (time
out).
Entrega de
Servicios y
Soporte
DS5 Garantizar la Seguridad de Sistemas
Verificar la activacin y revisin de logs y pistas de
auditora.
Adquisicin e
Implementacin
AI1 Identificacin de Soluciones de
Automatizacin Diseo de Pistas de
Auditora (1.10)
Revisar las seguridades de accesos remotos (dial up,
internet, intranet).
Entrega de
Servicios y
Soporte
DS5 Garantizar la Seguridad de Sistemas
Evaluar los mecanismos de proteccin antivirus. Entrega de
Servicios y
Soporte
DS5 Garantizar la Seguridad de Sistemas
Evaluar los mecanismos de seguridad fsica
existentes, incluyendo contratos de seguros
existentes.
Entrega de
Servicios y
Soporte
DS12 Administracin de Instalaciones
48 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
-
3.3.1.4.2. PLAN DE CONTINGENCIAS
COBIT10
Procedimiento Dominio Cdigo Objetivo de Control
Evaluar la estrategia de recuperacin,
infraestructura tecnolgica y las facilidades para la
continuidad del procesamiento.
Entrega de
Servicios y
Soporte
DS4 Aseguramiento de Servicio Continuo
Evaluar los procedimientos de recuperacin y
operacin durante la emergencia, tomando en
cuenta: responsables, actualizacin, pruebas
peridicas, metodologa para la determinacin de
los procedimientos.
Entrega de
Servicios y
Soporte
DS4 Aseguramiento de Servicio Continuo
49 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
-
3.3.2. CONFIRMACIN DE RIESGOS CRTICOS IT CON LA ADMINISTRACIN
De acuerdo al enfoque de trabajo propuesto y acordado con RESULTSYS, como
resultado de la ejecucin de los procedimientos de cada una de las etapas, se efectuaron
Reuniones de validacin y discusin con la administracin.
Las reuniones tienen como objetivo la validacin y confirmacin con la administracin
de los hallazgos y recomendaciones sugeridas, los documentos presentados en estas
reuniones incluyen la siguiente aclaracin:
BORRADOR PARA DISCUSION UNICAMENTE: El presente documento es de
carcter preliminar. Su contenido podra ser modificado como resultado de las
informaciones o evidencias que se presenten durante su anlisis y discusin con el
destinatario. Bajo ninguna circunstancia, debe ser utilizado o considerado como
documento final. Este borrador no debe ser fotocopiado y deber ser devuelto en el
momento en que se emita el documento final.
L