Caso Practivo

UNIVERSIDAD TECNOLOGICA EQUINOCCIAL

ESCUELA DE CONTABILIDAD Y AUDITORIA

TESIS PREVIA A LA OBTENCION DEL TITULO DE MASTER EN

CONTABILIDAD Y AUDITORIA CONTADOR PUBLICO (CPA)

TEMA:

APLICACION DEL MODELO COBIT (Control Objectives For

Information and Related Technology) EN LA AUDITORIA DE

SISTEMAS. CASO PRACTICO

AUTOR:

DIEGO RAMON CEVALLOS AGUILAR

DIRECTOR DE TESIS:

M.F.E. MARICELA GALARZA M.

JUNIO 2003

AGRADECIMIENTO Nada de lo que vale la pena hacer puede hacerse solo, sino que debe hacerse en colaboracin con otros. Por ello deseo expresar mi profundo agradecimiento al grupo de personas cuya orientacin y apoyo resultaron imprescindibles para la realizacin de esta tesis. De manera especial mi agradecimiento a la Seora Adriana Snchez, Supervisora GTS, quien con su apoyo tcnico ha facilitado la ejecucin del presente trabajo. Tambin, un agradecimiento a la Universidad Tecnolgica Equinoccial y de manera muy especial a Maricela Galarza Directora de Tesis, quien orient mi trabajo y permiti lograr una coherencia a lo largo de cada uno de los captulos. Por ltimo, nuestro eterno agradecimiento a Dios, mis hijos y esposa quienes siempre estuvieron junto a m para apoyarme y comprender en todos los momentos.

i

DEDICATORIA A mi padre quin durante este perodo de estudios enfrent una situacin difcil, pero con la bendicin y Confianza en Dios nos demostr valor y actitud para salir adelante. Mi padre quien es el artfice de mi formacin y con quien compartiremos todos los xitos.

DIEGO R. CEVALLOS A.

ii

CONTENIDO

CAPITULO 1 - AUDITORIA INFORMATICA 1.1. INTRODUCCION. 1

1.2. EL PROCESO DE LA AUDITORIA INFORMATICA...... 3

1.2.1. PLANIFICACION DE LA AUDITORIA INFORMATICA 4

1.2.2. EJECUCION DE LA AUDITORIA INFORMATICA. 5

1.2.3. FINALIZACION DE LA AUDITORIA INFORMATICA.. 5

1.3. CLASIFICACION DE LOS CONTROLES IT 7

1.3.1. CONTROLES DE APLICACION 7

1.3.2. CONTROLES GENERALES 8

CAPITULO 2 MODELO COBIT 2.1. INTRODUCCION 9

2.2. CONTENIDO (PRODUCTOS COBIT) 10

2.3. ALCANCE Y RESUMEN EJECUTIVO COBIT 11

2.4. MARCO REFERENCIAL 14

2.5. OBJETIVOS DE CONTROL 21

CAPITULO 3 CASO PRACTICO 3.1. LA EMPRESA SUJETO DE ESTUDIO 23

3.1.1. DESCRIPCION DE FUNCIONES DEL NIVEL DIRECTIVO. 25

3.1.2. ESTRUCTURA ORGANIZATIVA DEL AREA DE SISTEMAS 26

3.1.3. CARACTERISTICAS DE LOS SISTEMAS Y AMBIENTE

COMPUTARIZADO 28

3.2. APLICACION DEL MODELO COBIT... 31

3.2.1. JUSTIFICACION DE LA APLICACION DE COBIT 31

3.2.2. PLANIFICACION DEL TRABAJO (PROPUESTA).. 32

3.2.2.1. OBJETIVO... 32

3.2.2.2. ALCANCE... 32

3.2.2.3. METODO DE TRABAJO Y PROCEDIMIENTOS A EJECUTAR. 33

3.2.2.4. PRODUCTOS A ENTREGAR Y PRESUPUESTO 38

3.2.2.5. HERRAMIENTAS A UTILIZAR 38

3.3. EJECUCION DEL TRABAJO. 39

3.3.1. IDENTIFICACIN DE RIESGOS IT CRTICOS 39

iii

3.3.1.1. ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMAS. 40

3.3.1.1.1 ESTRUCTURA DE PERSONAL 40

3.3.1.1.2 EVALUACIN DE GESTIN... 40

3.3.1.1.3 ATENCIN AL USUARIO 41

3.3.1.2. GESTIN DE LOS SISTEMAS INFORMTICOS. 42

3.3.1.2.1 DESARROLLO, OPERACIN Y MANTENIMIENTO DE

APLICACIONES 42

3.3.1.2.2 ADMINISTRACIN DE LAS BASES DE DATOS (DBA). 43

3.3.1.2.3 GESTIN Y EXPLOTACIN DE LAS APLICACIONES.. 44

3.3.1.3. PLATAFORMAS Y COMUNICACIONES 45

3.3.1.3.1 PLATAFORMA TECNOLGICA, REDES Y

COMUNICACIONES. 45

3.3.1.4. EVALUACIN DE SEGURIDADES Y PROCEDIMIENTOS DE

CONTINUIDAD 46

3.3.1.4.1 SEGURIDADES: FSICAS, LGICAS Y DE

COMUNICACIONES.. 47

3.3.1.4.2 PLAN DE CONTINGENCIAS 49

3.3.2. CONFIRMACIN DE RIESGOS CRTICOS IT CON LA

ADMINISTRACIN.. 50

CAPITULO 4 INFORME Y RESULTADOS DEL CASO

PRACTICO 4.1.

4.2.

4.3.

4.4.

INTRODUCCION. 51

RESUMEN EJECUTIVO.. 53

DESCRIPCION DEL TRABAJO EFECTUADO. 54

RESULTADOS INFORME DE LAS RECOMENDACIONES ACORDADAS

CON LA ADMINISTRACION. 54

ANEXOS

iv

CAPITULO 1 AUDITORIA INFORMATICA

1.1. INTRODUCCION Una de las caractersticas o principales rasgos de las sociedades avanzadas es el caudal

de informacin que se desprende. Para que dicha informacin, suponga una respuesta

adecuada, es decir, sea la correcta, es necesario que est adornada de ciertas garantas

que haga creer en ella, es necesario que una tercera persona, como es el auditor nos

garantice que se puede creer esa informacin.

A pesar de que la Auditora ha existido siempre, la auditoria, tal y como nosotros la

podemos entender data en torno a la revolucin industrial.

El concepto de auditora ha evolucionado en tres fases:

1) A principios de la revolucin industrial, no hay grandes transacciones, la misin del

auditor era buscar si se haba cometido fraude en ese negocio, estos negocios eran

pequeos.

2) Las empresas son ms grandes, se comienza a separar el capital y la propiedad del

negocio, es decir, la Administracin. El auditor sin dejar de hacer lo que realizaba

en la primera fase, tiene una nueva actividad que es la de verificar, certificar, la

informacin de esos administradores.

3) Aparecen nuevas tecnologas, ordenadores, etc. Las transacciones a lo largo del ao

son bastante voluminoso. Esto hace que el Auditor revise las cuentas, el sistema de

control interno de la empresa. Sigue revisando que la informacin contable refleja la

imagen fiel de la empresa conforme a lo acontecido y revisa adems el control del

sistema interno de la empresa.

Bajo estas consideraciones, existen diferente criterios para clasificar la auditora, sin

embargo, conceptos modernos permiten identificar globalmente los siguientes tipos de

auditora:

Auditora Financiera

Es el examen o verificacin de los estados contables, llevada a cabo por profesionales

competentes y mediante la aplicacin de procedimientos sujetos a normas de auditores

aceptadas, que se plasma en un documento que se llama informe de auditora y donde se

muestra la situacin financiera de la empresa, el resultado de sus operaciones, la

conformidad de los principios contables aceptados. 1

Auditoria Operativa

Es la valoracin independiente de todas las operaciones de una empresa, en forma

analtica objetiva y sistemtica, para determinar si se llevan a cabo. Polticas y

procedimientos aceptables; si se siguen las normas establecidas si se utilizan los

recursos de forma eficaz y econmica y si los objetivos de la Organizacin se han

alcanzado para as maximizar resultados que fortalezcan el desarrollo de la empresa.

Auditora de Gestin

La auditoria de gestin, es el examen sistemtico y profesional, efectuado por un equipo

multidisciplinario, con el propsito de evaluar la eficacia de la gestin de una entidad,

programa, proyecto u operacin, con relacin a sus objetivos y metas; de determinar el

grado de economa y eficiencia en el uso de los recursos disponibles; y, de medir la

calidad de los servicios, obras o bienes ofrecidos, y, el impacto socio-econmico

derivado de sus actividades.

Auditora Informtica

La auditora informtica consiste en la revisin de controles generales, centros de

cmputo y seguridad, recuperacin de desastres, revisin de sistemas operativos y de

controles en las aplicaciones, por medio de la ejecucin de procedimientos y tcnicas de

auditora de sistemas.

(Segn A.J.Thomas) Es el estudio de sistemas, controles organizativos y operativos de

la informtica.

(Segn Miguel ngel Ramn) Es la revisin de la informtica y su entorno

- Anlisis de riesgo

- Planes de contingencia

- Desarrollo de aplicaciones

- Paquetes de seguridad

- Revisin de estndares, controles y cumplimiento

- Evaluacin de la gestin de los recursos informticos

Con estos antecedentes y basados en el permanente desarrollo tecnolgico las

compaas han visto la necesidad de implantar sistemas de informacin que manejen y

automaticen las distintas actividades operativas, estructurando ambientes tecnolgicos

cada vez ms complejos. Aspectos como:

- Alta sistematizacin de las organizaciones

- Nuevas tecnologas

2

- Automatizacin de los controles

- Integracin de la Informacin

- Importancia de la informacin para la toma de decisiones

Exponen a las organizaciones a nuevos riesgos que deben ser adecuadamente

administrados. Esta situacin incrementa la necesidad de contar con personal

especializado en la identificacin, administracin y evaluacin de controles tendientes a

minimizar los riesgos a los cuales organizaciones con alto nivel de automatizacin y

complejas estructuras se exponen.

Por lo tanto, la participacin de especialistas o auditores informticos se hace cada vez

ms necesaria para:

- Apoyar en el cumplimiento de los objetivos y metas de la organizacin

- Colaborar en el cumplimiento de los procesos de planeacin, desarrollo,

mantenimiento y operacin de los sistemas procesados por computador.

- Evaluar la satisfaccin de los usuarios, las medidas de seguridad existente y la

exactitud y razonabilidad de los datos procesados.

Obtener mayor valor agregado del trabajo de auditora de sistemas requiere no

solamente entender la organizacin, sino los riesgos principales a los cuales se enfrenta

la gerencia, el ambiente IT1 y las diversas necesidades de los usuarios. Estas

necesidades determinan el perfil del riesgo del rea IT y el enfoque estratgico,

organizacin, recursos y prcticas de un departamento de sistemas eficiente.

El resultado es una evaluacin de sistemas a medida y enfocada estratgicamente hacia

los riesgos y objetivos propios del Area de Sistemas.

El objetivo principal de este captulo es brindar una idea de los aspectos de control que

podr encontrar en los diversos sistemas electrnicos de procesamiento de datos

(EDP2)actualmente en uso. El desarrollo acelerado de la tecnologa de computacin y la

significativa expansin del uso de computadores para realizar tareas contables, ha

aumentado considerablemente la necesidad que se tiene de conocer en profundidad los

diversos sistemas de computacin comnmente en uso y los correspondientes

procedimientos de control.

1.2. EL PROCESO DE AUDITORIA INFORMATICA 1 IT: INFORMATION TECHNOLOGY Tecnologa de Informacin

3

Auditora informtica es (i)la revisin y la evaluacin de los controles, sistemas y

procedimientos de informtica; (ii) de los equipos de cmputo, su utilizacin, eficiencia

y seguridad, y (iii) de la organizacin que participan en el procesamiento de la

informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una

utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma

de decisiones.

La auditora informtica debe comprender no slo la evaluacin de los equipos de

cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar

los sistemas de informacin en general desde sus entradas, procedimientos, controles,

archivos, seguridad y obtencin de informacin.

La auditora informtica es de vital importancia para el buen desempeo de los sistemas

de informacin ya que proporciona los controles necesarios para que los sistemas sean

confiables y que tengan un buen nivel de seguridad.

1.2.1. PLANIFICACION DE LA AUDITORIA INFORMATICA El auditor de sistemas de informacin deber planificar el trabajo de auditora de los

sistemas de informacin para satisfacer los objetivos de la auditora y para cumplir con

las normas aplicables de auditora profesional.

Para realizar una adecuada planeacin de la auditora informtica, es necesario seguir

una serie de pasos previos que permitirn dimensionar el tamao y caractersticas del

rea dentro del organismo a auditar, sus sistemas, organizacin y equipo.

En el caso de la auditora informtica, la planeacin es fundamental, pues habr que

hacerla desde el punto de vista de los dos objetivos:

Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo.

Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin

general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es

preciso realizar una investigacin preliminar y algunas entrevistas previas, y con base

en la informacin obtenida planear el programa de trabajo, el cual deber incluir tiempo,

costo, personal necesario y documentos auxiliares a solicitar o formular durante el

desarrollo de la misma.

4

2 EDP: ELECTRONIC DATA PROCESSING - Se utilizar en adelante dicha sigla al hacerse referencia al "Procesamiento Electrnico de Datos".

En todo proceso de auditora informtica tanto interna como externa, es necesario

iniciar con una planificacin preliminar cuyo objetivo principal es ayudar al proceso de

determinacin de la estrategia para cada ciclo auditable (en el caso de auditora externa)

y/o proporcionar informacin para la Evaluacin de Riesgo que permita determinar

el enfoque del trabajo (en el caso de auditora interna/consultora).

La planificacin preliminar permitir conocer:

- Nivel de Automatizacin de las organizaciones.

- Deficiencias en los controles sobre la funcin de IT.

- Indicios de problemas fundamentales en relacin con la calidad de la informacin

gerencial que podran cuestionar la confiabilidad de los controles.

- El impacto que tienen los cambios en los sistemas o en los ambientes

computadorizados.

- El grado de participacin de especialistas en sistemas.

- La evaluacin y clasificacin de los Riesgos IT (Alto, Medio, Bajo) que permitan

determinar el enfoque de trabajo en funcin de las reas de riesgo identificadas.

1.2.2. EJECUCION DE LA AUDITORIA INFORMATICA Las fases o etapas a seguir durante la ejecucin de una auditora informtica estarn en

funcin del objetivo del proyecto, es decir, el mtodo de trabajo se lo definir acorde a

las expectativas y alcance que se esperan alcanzar.

En la etapa de ejecucin el personal de auditora de sistemas de informacin debe

recibir la supervisin apropiada para proporcionar la garanta de que se cumpla con los

objetivos de la auditora.

Durante el transcurso de una auditora, el auditor de sistemas de informacin deber

obtener evidencia suficiente, confiable, relevante y til para lograr de manera eficaz los

objetivos de la auditora. Los hallazgos y conclusiones de la auditora se debern apoyar

por medio de un anlisis e interpretacin apropiados de dicha evidencia.

1.2.3. FINALIZACION DE LA AUDITORIA INFORMATICA Los informes a generar en un proyecto de auditora informtica dependern de las

necesidades y resultados esperados, es decir, los proyectos de consultora basados en la

ejecucin de procedimientos de auditora informticas generan los resultados (informes)

con la estructura acordada previamente con los usuarios de los informes.

5

El proceso de emisin de informes en un trabajo de Auditora Informtica puede ser

analizado bajo los siguientes estndares:

AICPA (Instituto Americano de Contadores Pblicos Certificados)

Los estndares profesionales del AICPA hacen referencia la norma CS 100 (Consulting

Services Servicios de Consultora) aplicables para contadores en la cual se especifica

la naturaleza del informe a emitir en este tipo de servicios:

CS Seccin 100

.02 Los servicios de consultora se diferencian fundamentalmente de las funciones

del CPA por atestiguar (attest) de las aserciones de terceros. En un servicio

attest, se expresa una conclusin relacionada a la confiabilidad de una

asercin realizada bajo la responsabilidad de otro grupo. En un servicio de

consultora, el practicante informa los hallazgos, conclusiones y

recomendaciones presentadas. La naturaleza y el alcance del trabajo es

determinado solamente por un acuerdo entre el practicante y el cliente.

Generalmente, el trabajo es realizado nicamente para uso y beneficio del

cliente.

ISACA (Asociacin de Auditora y Control de Sistemas de Informacin)

Los normas promulgadas por la Asociacin de Auditora y Control de Sistemas de

Informacin son aplicables al trabajo de auditora informtica realizado por miembros

ISACA y por las personas que han recibido la designacin de Auditor de Sistemas de

Informacin Certificado (CISA).

Con relacin al informe a emitir la Asociacin menciona:

070 Informes

En el momento de completar el trabajo de auditora, el auditor de sistemas de

informacin deber proporcionar un informe, de formato apropiado, a los

destinatarios en cuestin. El informe de auditora deber enunciar el alcance,

los objetivos, el perodo de cobertura y la naturaleza y amplitud del trabajo de

auditora realizado. El informe deber identificar la organizacin, los

destinatarios en cuestin y cualquier restriccin con respecto a su circulacin.

El informe deber enunciar los hallazgos, las conclusiones y las

recomendaciones, y cualquier reserva o consideracin que tuviera el auditor

6

respecto a la auditora.

1.3. CLASIFICACION DE LOS CONTROLES IT

Los controles IT se dividen en dos categoras: los que se refieren a un sistema especfico

(Controles de Aplicacin), y los que se relacionan con el procesamiento general de

datos (Controles Generales).

1.3.1. CONTROLES DE APLICACION Los controles de aplicacin son procedimientos diseados para asegurar la integridad de

los registros contables. Los controles de aplicacin brindan soporte directamente a los

objetivos de control de integridad, valor correcto, validez y acceso restringido, como se

define ms adelante:

Integridad de los registros Los controles sobre la integridad se disean para asegurar

que:

Todas las transacciones son registradas, introducidas y aceptadas para procesamiento solo por una vez.

Todas las transacciones introducidas y aceptadas para procesamiento son actualizadas con los archivos de datos apropiados.

Una vez que los datos son actualizados contra el archivo, estos permanecen correctos y corrientes en el archivo, y representan los balances que existen.

Valor correcto de los registros Los controles sobre el valor correcto son diseados

para asegurar que:

Los elementos de datos claves son registrados e introducidos al computador con el valor correcto.

Los cambios a los datos existentes son introducidos con el valor correcto. Todas las transacciones introducidas y aceptadas para procesamiento actualizan con

precisin el archivo de datos apropiado.

Validez de los registros Los controles sobre la validez de los registros son diseados

para asegurar que:

Las transacciones son autorizadas.

7

Las transacciones no son ficticias y estn relacionadas con el cliente. Los cambios a los datos existentes son autorizados, y una vez introducidos, no son

cambiados sin autorizacin.

Acceso restringido a los activos y registros Los controles para restringir al acceso

son diseados para:

Proteger contra enmiendas de datos no autorizadas. Asegurar la confidencialidad de los datos. Proteger los activos fsicos tales como el efectivo y el inventario. Los controles de aplicacin pueden ser procedimientos manuales llevados a cabo por los

usuarios de procedimientos automatizados desarrollados por los programas de

computacin.

1.3.2. CONTROLES GENERALES Los Controles Generales son Controles diseados e implantados para asegurar que el

ambiente computadorizado de la organizacin sea estable y adecuadamente

administrado a fin de reforzar la efectividad de los controles de aplicacin.

Los controles generales (a veces denominados tambin controles de la organizacin IT)

fueron agrupados en las siguientes categoras:

Controles sobre la Seguridad de la Informacin Controles sobre la operacin del Computador Controles sobre las Actividades de Mantenimiento de Sistemas Controles sobre el desarrollo e implementacin de nuevos sistemas

8

CAPITULO 2 MODELO COBIT

2.1. INTRODUCCION - MODELO COBIT

La Misin de COBIT: Investigar, desarrollar, publicar y promover un conjunto de

objetivos de control en tecnologa de informacin con autoridad, actualizados, de

carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de

empresas y auditores.

COBIT ha sido desarrollado como un estndar generalmente aplicable y aceptado para

las buenas prcticas de seguridad y control en Tecnologa de Informacin (IT). -

COBIT es la herramienta innovadora para el gobierno3 de IT -.

COBIT se fundamenta en los Objetivos de Control existentes de la Information Systems

Audit and Control Foundation (ISACF), mejorados a partir de estndares

internacionales tcnicos, profesionales, regulatorios y especficos para la industria, tanto

existentes como en surgimiento. Los Objetivos de Control resultantes han sido

desarrollados para su aplicacin en sistemas de informacin en toda la empresa. El

trmino "generalmente aplicables y aceptados" es utilizado explcitamente en el

mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o

GAAP por sus siglas en ingls). Para propsitos del proyecto, "buenas prcticas"

significa consenso por parte de los expertos.

Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y

responder, en la medida de lo posible, a las necesidades de negocio, manteniendo al

mismo tiempo una independencia con respecto a las plataformas tcnicas de IT

adoptadas en una organizacin. El proporcionar indicadores de desempeo (normas,

reglas, etc.), ha sido identificado como prioridad para las mejoras futuras que se

realizarn al marco referencial.

El desarrollo de COBIT ha trado como resultado la publicacin del Marco Referencial

general y de los Objetivos de Control detallados, y le seguirn actividades educativas.

Estas actividades asegurarn el uso general de los resultados del Proyecto de

Investigacin COBIT.

Sin excluir ningn otro estndar aceptado en el campo del control de sistemas de

9

3 Gobierno: Governance. Sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin. Trmino aplicado para definir un control total.

informacin que pudiera emitirse durante el permanente desarrollo, las fuentes para el

desarrollo del Modelo COBIT han sido identificadas inicialmente como:

Estndares Tcnicos de ISO, EDIFACT, etc.; Cdigos de Conducta emitidos por el Council of Europe, OECD, ISACA, etc.; Criterios de Calificacin para sistemas y procesos de IT: ITSEC, ISO9000, SPICE,

lickIT, etc.;

Estndares Profesionales para control interno y auditora: reporte COSO, GAO, IFAC, IIA, ISACA, estndares CPA, etc.;

Prcticas y requerimientos de la Industria de foros industriales (ESF, 14) y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI); y

Nuevos requerimientos especficos de la industria de la banca y manufactura de IT. (Ver Anexo 1 Glosario de Trminos para definiciones de siglas)

2.2. CONTENIDO (PRODUCTOS COBIT)

El desarrollo de COBIT ha resultado en la publicacin de:

un Resumen Ejecutivo el cual, adicionalmente a esta seccin de antecedentes, consiste en un Sntesis Ejecutiva (que proporciona a la alta gerencia entendimiento y

conciencia sobre los conceptos clave y principios de COBIT) y el Marco Referencial (el

cual proporciona a la alta gerencia un entendimiento ms detallado de los conceptos

clave y principios de COBIT e identifica los cuatro dominios de COBIT y los

correspondientes 34 procesos de IT);

el Marco Referencial que describe en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos de negocio para la informacin y los recursos de IT

que son impactados en forma primaria por cada objetivo de control;

Objetivos de Control, los cuales contienen declaraciones de los resultados deseados o propsitos a ser alcanzados mediante la implementacin de 302 objetivos de control

detallados y especficos a travs de los 34 procesos de IT;

Guas de Auditora, las cuales contienen los pasos de auditora correspondientes a cada uno de los 34 objetivos de control de IT de alto nivel para proporcionar asistencia

a los auditores de sistemas en la revisin de los procesos de IT con respecto a los 302

objetivos detallados de control recomendados para proporcionar a la gerencia certeza o

10

recomendaciones de mejoramiento;

un Conjunto de Herramientas de Implementacin, el cual proporciona lecciones aprendidas por organizaciones que han aplicado COBIT rpida y exitosamente en sus

ambientes de trabajo.

El Conjunto de Herramientas de Implementacin incluye la Sntesis Ejecutiva,

proporcionando a la alta gerencia conciencia y entendimiento de COBIT. Tambin

incluye una gua de implementacin con dos tiles herramientas - Diagnstico de la

Conciencia de la Gerencia4 y el Diagnstico de Control de TI5 - para proporcionar

asistencia en el anlisis del ambiente de control en IT de una organizacin. Tambin se

incluyen varios casos de estudio que detallan como organizaciones en todo el mundo

han implementado COBIT exitosamente. Adicionalmente, se incluyen respuestas a las

25 preguntas ms frecuentes acerca de COBIT y varias presentaciones para distintos

niveles jerrquicos y audiencias dentro de las organizaciones.

2.3. ALCANCE Y RESUMEN EJECUTIVO6 COBIT COBIT evolucionar a travs de los aos y ser el fundamento de investigaciones

futuras. Por lo tanto, se generar una familia de productos COBIT y al ocurrir esto, las

tareas y actividades que sirven como la estructura para organizar los Objetivos de

Control de IT, sern refinadas posteriormente, tambin ser revisado el balance entre los

dominios y los procesos a la luz de los cambios en la industria.

Las investigaciones y publicaciones han sido posible gracias a contribuciones de

Unysis, Unitech Systems, Inc., MIS Training Institute, Zergo, Ltd. y Coopers &

Lybrand. El Forum Europeo de Seguridad (European Security Forum -ESF-)

4 Diagnstico de la Conciencia de la Gerencia: Management Awareness Diagnostic 5 Diagnstico de Control de IT: IT Control Diagnostic 6 Acuerdo de Licencia (disclosure) Copyright 1996, 1998 de la Information Systems Audit and Control Foundation (ISACF). La reproduccin para fines comerciales no est permitida sin el previo consentimiento por escrito de la ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el Marco Referencial y los Objetivos de Control para uso interno no comercial, incluyendo almacenamiento en medios de recuperacin de datos y transmisin en cualquier medio, incluyendo electrnico, mecnico, grabado u otro medio. Todas las copias del Resumen Ejecutivo, el Marco Referencial y los Objetivos de Control deben incluir el siguiente reconocimiento y leyenda de derechos de autor: Copyright 1996, 1998 Information Systems Audit and Control Foundation, reimpreso con la autorizacin de la Information Systems Audit and Control Foundation. Ningn otro derecho o permiso relacionado con esta obra es otorgado. Las Guas de Auditora y el conjunto de herramientas de implementacin no pueden ser reproducidos, almacenados en un sistema de recuperacin de datos o transmitido en ninguna forma ni por ningn medio - electrnico, mecnico, fotocopiado, grabado u otro medio- sin la previa autorizacin por escrito de la ISACF. Excepto por lo indicado, no se otorga ningn otro derecho o permiso relacionado con esta obra.

11

amablemente puso a disposicin material para el proyecto. Otras donaciones fueron

recibidas de captulos miembros de ISACA de todo el mundo.

RESUMEN EJECUTIVO

Un elemento crtico para el xito y la supervivencia de las organizaciones, es la

administracin efectiva de la informacin y de la Tecnologa de Informacin (IT)

relacionada. En esta sociedad global (donde la informacin viaja a travs del

"ciberespacio" sin las restricciones de tiempo, distancia y velocidad) esta criticalidad

emerge de:

la creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin.

la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las "ciber amenazas" y la guerra de informacin 7

la escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin;

el potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos.

Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan

los activos ms valiosos de la empresa.

Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la gerencia

ha incrementado sus expectativas relacionadas con la entrega de servicios de IT.

Verdaderamente, la informacin y los sistemas de informacin son "penetrantes" en las

organizaciones (desde la plataforma del usuario hasta las redes locales o amplias, cliente

servidor y equipos Mainframe. Por lo tanto, la administracin requiere niveles de

servicio que presenten incrementos en calidad, en funcionalidad y en facilidad de uso,

as como un mejoramiento continuo y una disminucin de los tiempos de entrega) al

tiempo que demanda que esto se realice a un costo ms bajo. Muchas organizaciones

reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las

organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos

asociados con la implementacin de nueva tecnologa. Por lo tanto, la administracin

debe tener una apreciacin por, y un entendimiento bsico de los riesgos y limitantes del

12

7 Guerra de informacin: Information warfare

empleo de la tecnologa de informacin para proporcionar una direccin efectiva y

controles adecuados. COBIT ayuda a salvar las brechas existentes entre riesgos de

negocio, necesidades de control y aspectos tcnicos. Proporciona "prcticas sanas" a

travs de un Marco Referencial de dominios y procesos y presenta actividades en una

estructura manejable y lgica. Las prcticas sanas de COBIT representan el consenso

de los expertos (le ayudarn a optimizar la inversin en informacin, pero an ms

importante, representan aquello sobre lo que usted ser juzgado si las cosas salen mal.

Las organizaciones deben cumplir con requerimientos de calidad, de reportes fiduciarios

y de seguridad, tanto para su informacin, como para sus activos. La administracin

deber obtener un balance adecuado en el empleo de sus recursos disponibles, los cuales

incluyen: personal, instalaciones, tecnologa, sistemas de aplicacin y datos. Para

cumplir con esta responsabilidad, as como para alcanzar sus expectativas, la

administracin deber establecer un sistema adecuado de control interno. Por lo tanto,

este sistema o marco referencial deber existir para proporcionar soporte a los procesos

de negocio y debe ser preciso en la forma en la que cada actividad individual de control

satisface los requerimientos de informacin y puede impactar a los recursos de IT. El

impacto en los recursos de IT es enfatizado en el Marco Referencial de COBIT

conjuntamente a los requerimientos de informacin del negocio que deben ser

alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad,

cumplimiento y confiabilidad. El control, que incluye polticas, estructuras, prcticas y

procedimientos organizacionales, es responsabilidad de la administracin.

Un Objetivo de Control en IT es una definicin del resultado o propsito que se

desea alcanzar implementando procedimientos de control especficos dentro de

una actividad de IT.

La orientacin a negocios es el tema principal de COBIT. Esta diseado no solo para ser

utilizado por usuarios y auditores, sino que en forma ms importante, esta diseado para

ser utilizado como una lista de verificacin 8 detallada para los propietarios de los

procesos de negocio.

COBIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha

existente entre los requerimientos de control, aspectos tcnicos y riesgos de negocio.

COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de IT

a travs de organizaciones, en el mbito mundial. El objetivo de COBIT es proporcionar

13

8 Lista de verificacin: Check List

estos objetivos de control, dentro del marco referencial definido, y obtener la

aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en

todo el mundo.

Por lo tanto, COBIT esta orientado a ser la herramienta de gobierno de IT que

ayude al entendimiento y a la administracin de riesgos asociados con tecnologa

de informacin y con tecnologas relacionadas.

2.4. MARCO REFERENCIAL

El Marco Referencial de COBIT proporciona herramientas al propietario de procesos de

negocio que facilitan el cumplimiento de esta responsabilidad. El Marco Referencial

comienza con una premisa simple y prctica:

Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus

objetivos, los recursos de IT deben ser administrados por un conjunto de procesos de

IT agrupados en forma natural.

Contina con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno

de los Procesos de IT, agrupados en cuatro dominios: planeacin & organizacin,

adquisicin & implementacin, entrega (de servicio) y monitoreo. Esta estructura cubre

todos los aspectos de informacin y de la tecnologa que la soporta. Dirigiendo estos 34

Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar

que se proporciona un sistema de control adecuado para el ambiente de tecnologa de

informacin. Adicionalmente, correspondiendo a cada uno de los 34 objetivos de

control de alto nivel, existe una gua de auditora o de aseguramiento que permite la

revisin de los procesos de IT contra los 302 objetivos detallados de control

recomendados por COBIT para proporcionar a la Gerencia la certeza de su

cumplimiento y/o una recomendacin para su mejora.

El Marco Referencial COBIT otorga especial importancia al impacto sobre los recursos

de IT, as como a los requerimientos de negocios en cuanto a efectividad, eficiencia,

confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad que deben

ser satisfechos. Adems, el Marco Referencial proporciona definiciones para los

requerimientos de negocio que son derivados de objetivos de control superiores en lo

referente a calidad, seguridad y reportes fiduciarios en tanto se relacionen con

Tecnologa de Informacin. 14

La administracin de una empresa requiere de prcticas generalmente aplicables y

aceptadas de control y gobierno en IT para medir en forma comparativa tanto su

ambiente de IT existente, como su ambiente planeado.

El desarrollo de este Marco Referencial de objetivos de control para IT, conjuntamente

con una investigacin continua aplicada a controles de IT constituyen el fundamento

para el progreso efectivo en el campo de los controles de sistemas de informacin.

Por otro lado, hemos sido testigos del desarrollo y publicacin de modelos de control

generales de negocios como COSO [Committee of Sponsoring Organisations of the

Treadway Commisssion Internal Control-Integrated Framework, 1992] en los EUA,

Cadbury en el Reino Unido y CoCo en Canad y King en Sudfrica. Por otro lado,

existe un nmero importante de modelos de control ms enfocados al nivel de

tecnologa de informacin. Algunos buenos ejemplos de esta ltima categora son el

Security Code of Conduct del DTI (Department of Trade and Industry, Reino Unido) y

el Security Handbook de NIST (National Institute of Standards and Technology, EUA).

Sin embargo, estos modelos de control con orientacin especfica no proporcionan un

modelo de control completo y utilizable sobre tecnologa de informacin como soporte

para los procesos de negocio. El propsito de COBIT es el cubrir este vaco

proporcionando una base que est estrechamente ligada a los objetivos de negocio, al

mismo tiempo que se enfoca a la tecnologa de informacin.

AUDIENCIA: ADMINISTRACION, USUARIOS & AUDITORES

COBIT esta diseado para ser utilizado por tres audiencias distintas:

Administracin: Para ayudarlos a lograr un balance entre los riesgos y las inversiones

en control en un ambiente de tecnologa de informacin frecuentemente impredecible.

Usuarios: Para obtener una garanta en cuanto a la seguridad y controles de los

servicios de tecnologa de informacin proporcionados internamente o por terceras

partes.

Auditores de sistemas de informacin: Para brindar soporte a las opiniones mostradas

a la administracin sobre los controles internos.

Adems de responder a las necesidades de la audiencia inmediata de la Alta Gerencia, a

los auditores y a los profesionales dedicados al control y seguridad, COBIT puede ser

utilizado dentro de las empresas por el propietario de procesos de negocio en su

responsabilidad de control sobre los aspectos de informacin del proceso, y por todos

15

aqullos responsables de IT en la empresa.

DEFINICIONES

Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La

definicin de "Control" est adaptada del reporte COSO [Committee of Sponsoring

Organisations of the Treadway Commission. Internal Control-Integrated Framework,

1992 y la definicin para "Objetivo de Control de IT" ha sido adaptada del reporte SAC

(Systems Auditability and Control Report). The Institute of Internal Auditors Research

Foundation, 1991 y 1994.

Control se

define como

Las polticas, procedimientos, prcticas y estructuras

organizacionales diseadas para garantizar

razonablemente que los objetivos del negocio sern

alcanzados y que eventos no deseables sern prevenidos

o detectados y corregidos

Objetivo de control

en IT se define como

Una definicin del resultado o propsito que se desea

alcanzar implementando procedimientos de control en

una actividad de IT particular

PRINCIPIOS DEL MARCO REFERENCIAL

Existen dos clases distintas de modelos de control disponibles actualmente, aqullos de

la clase del "modelo de control de negocios" (por ejemplo COSO) y los "modelos ms

enfocados a IT" (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los

dos. Debido a esto, COBIT se posiciona como una herramienta ms completa para la

Administracin y para operar a un nivel superior que los estndares de tecnologa para

la administracin de sistemas de informacin.

El concepto fundamental del marco referencial COBIT se refiere a que el enfoque del

control en IT se lleva a cabo visualizando la informacin necesaria para brindar soporte

a los procesos de negocio y considerando a la informacin como el resultado de la

aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que

deben ser administrados por procesos de IT.

16

La informacin que los procesos de negocio necesitan es proporcionada a travs del

empleo de recursos de IT. Con el fin de asegurar que los requerimientos de negocio para

la informacin son satisfechos, deben definirse, implementarse y monitorearse medidas

de control adecuadas para estos recursos.

Cmo pueden entonces las empresas estar satisfechas respecto a que la informacin

obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de un

sano marco referencial de Objetivos de Control para IT. El diagrama mostrado a

continuacin ilustra este concepto.

Los servicios de consultora se diferencian fundamentalmente de las funciones del CPA

por attesting (la emisin de una opinin) de las aserciones de otras grupos (terceros).

En un servicio de attest (emisin de opiniones), el practicante expresa una conclusin

relacionada a la confiabilidad de un escrito de asercin; el escrito es realizado bajo la

responsabilidad de otro grupo, el asertor. En un servicio de consultora, el practicante

desarrolla los hallazgos, conclusiones y recomendaciones presentadas. La naturaleza y

el alcance del trabajo es determinado solamente por un acuerdo entre el practicante y el

cliente. Generalmente, el trabajo es realizado nicamente para uso y beneficio del

cliente.

17

El marco referencial consta de Objetivos de Control de IT de alto nivel y de una

estructura general para su clasificacin y presentacin. La teora subyacente para la

clasificacin seleccionada se refiere a que existen, en esencia, tres niveles de actividades

de IT al considerar la administracin de sus recursos.

Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar

un resultado medible. Las actividades cuentan con un concepto de ciclo de vida,

mientras que las tareas son consideradas ms discretas. El concepto de ciclo de vida

cuenta tpicamente con requerimientos de control diferentes a los de actividades

discretas. Algunos ejemplos de esta categora son las actividades de desarrollo de

sistemas, administracin de la configuracin y manejo de cambios. La segunda

categora incluye tareas llevadas a cabo como soporte para la planeacin estratgica de

IT, evaluacin de riesgos, planeacin de la calidad, administracin de la capacidad y el

desempeo.

Los procesos se definen entonces en un nivel superior como una serie de actividades o

tareas conjuntas con "cortes" naturales (de control).

Al nivel ms alto, los procesos son agrupados de manera natural en dominios. Su

agrupamiento natural es confirmado frecuentemente como dominios de responsabilidad

en una estructura organizacional, y est en lnea con el ciclo administrativo o ciclo de

vida aplicable a los procesos de IT.

Por lo tanto, el marco referencial conceptual puede ser enfocado desde tres puntos

estratgicos: (1) recursos de IT, (2) requerimientos de negocio para la informacin y (3)

procesos de IT. Estos puntos de vista diferentes permiten al marco referencial ser

accedido eficientemente.

18

Por ejemplo, los gerentes de la empresa pueden interesarse en un enfoque de calidad,

seguridad o fiduciario (traducido por el marco referencial en siete requerimientos de

informacin especficos). Un Gerente de IT puede desear considerar recursos de IT por

los cuales es responsable. Propietarios de procesos, especialistas de IT y usuarios

pueden tener un inters en procesos particulares. Los auditores podrn desear enfocar el

marco referencial desde un punto de vista de cobertura de control. Estos tres puntos

estratgicos son descritos en el Cubo COBIT que se muestra a continuacin:

Con lo anterior como marco de referencia, los dominios son identificados utilizando las

palabras que la gerencia utilizara en las actividades cotidianas de la organizacin -y no

la jerga del auditor -. Por lo tanto, cuatro grandes dominios son identificados:

planeacin y organizacin, adquisicin e implementacin; entrega y soporte y

monitoreo.

Las definiciones para los dominios mencionados son las siguientes:

Planeacin y

Organizacin

Este dominio cubre la estrategia y las tcticas y se refiere a

la identificacin de la forma en que la tecnologa de

informacin puede contribuir de la mejor manera al logro de

los objetivos del negocio. Adems, la consecucin de la

visin estratgica necesita ser planeada, comunicada y

administrada desde diferentes perspectivas. Finalmente,

debern establecerse una organizacin y una infraestructura

tecnolgica apropiadas.

19

Adquisicin e

Implementacin

Para llevar a cabo la estrategia de IT, las soluciones de IT

deben ser identificadas, desarrolladas o adquiridas, as como

implementadas e integradas dentro del proceso del negocio.

Adems, este dominio cubre los cambios y el mantenimiento

realizados a sistemas existentes.

Entrega y

Soporte

En este dominio se hace referencia a la entrega de los

servicios requeridos, que abarca desde las operaciones

tradicionales hasta el entrenamiento, pasando por seguridad

y aspectos de continuidad. Con el fin de proveer servicios,

debern establecerse los procesos de soporte necesarios. Este

dominio incluye el procesamiento de los datos por sistemas

de aplicacin, frecuentemente clasificados como controles

de aplicacin

Monitoreo

Todos los procesos necesitan ser evaluados regularmente a

travs del tiempo para verificar su calidad y suficiencia en

cuanto a los requerimientos de control.

En resumen, los Recursos de IT necesitan ser administrados por un conjunto de

procesos agrupados en forma natural, con el fin de proporcionar la informacin que la

empresa necesita para alcanzar sus objetivos.

El siguiente diagrama ilustra este concepto:

(Vase pgina siguiente)

20

Debe tomarse en cuenta que estos procesos pueden ser aplicados a diferentes niveles

dentro de una organizacin. Por ejemplo, algunos de estos procesos sern aplicados al

nivel corporativo, otros al nivel de la funcin de servicios de informacin, otros al nivel

del propietario de los procesos de negocio.

Tambin debe ser tomado en cuenta que el criterio de efectividad de los procesos que

planean o entregan soluciones a los requerimientos de negocio, cubrirn algunas veces

los criterios de disponibilidad, integridad y confidencialidad. - en la prctica, se han

convertido en requerimientos del negocio. Por ejemplo, el proceso de "identificar

soluciones automatizadas" deber ser efectivo en el cumplimiento de requerimientos de

disponibilidad, integridad y confidencialidad.

2.5. OBJETIVOS DE CONTROL COBIT como se presenta en los Objetivos de Control, refleja el compromiso continuo

21

de ISACF por mejorar y mantener el cuerpo comn de conocimientos requeridos para

apoyar la actividad de auditora y control de sistemas de informacin. As como el

marco de Referencia de COBIT se encuentra enfocado a controles de alto nivel para

cada proceso. Los Objetivos de Control se concentra en objetivos detallados de

control especficos, asociados con cada uno de los procesos de IT. Para cada uno de los

34 procesos de IT del Marco de Referencia, existen de tres a 30 Objetivos de Control

detallados. Los Objetivos de Control alinean el Marco de Referencia general con los

Objetivos de Control detallados a partir de 36 fuentes primarias que comprenden los

estndares internacionales de hecho y de derecho y las regulaciones relacionadas con

IT. Este contiene la relacin de los resultados o propsitos que desean alcanzarse a

travs de la implementacin de procedimientos de control especficos dentro de una

actividad de IT y, de esta manera, proporcionar una poltica clara y una mejor prctica 9 para el control de IT en toda la industria, en el mbito mundial.

Los Objetivos de Control estn dirigidos a la gerencia y al personal de los servicios de

informacin, controles, funciones de auditora y, lo ms importante, a los propietarios

de los procesos de negocios. Los Objetivos de Control proporcionan un documento de

trabajo de escritorio para estas personas. Se presentan definiciones precisas y claras de

un conjunto mnimo de controles para asegurar la eficacia, la eficiencia y la economa

en la utilizacin de recursos. Para cada proceso, se identifican Objetivos de Control

detallados como los controles mnimos que necesita encontrarse establecidos (aquellos

controles que cuya suficiencia ser evaluada por el profesional en control). Existen 302

objetivos de control detallados que proporcionan una visin detallada sobre las

relaciones dominio/proceso/objetivo de control.

Los objetivos de control permiten la traduccin de los conceptos presentados en el

marco de Referencia en controles especficos aplicados para cada proceso de IT, ver

Tabla Resumen en Anexo 2.

22

9 Mejor prctica (best practice)

CAPITULO 3 CASO PRACTICO

3.1. LA EMPRESA SUJETO DE ESTUDIO La empresa RESULTSYS Consultora Profesional Ca Ltda. es una empresa privada que

ofrece servicios de tercerizacin de la gestin financiera contable en las reas de

Contabilidad, Nmina, Administracin de Inventarios, Tesorera, Facturacin,

Cobranzas, Administracin de Activos Fijos, Tasaciones y Valoraciones.

RESULTSYS Consultora Profesional Ca Ltda. constituida en 1978 tiene por objeto la

prestacin de servicios de asesoramiento y consultora administrativa y empresarial para

instituciones y empresas pblicas, semipblicas, mixtas y privadas.

RESULTSYS es una empresa que se ha comprometido a realizar cambios de alto

impacto para crear y mantener ventajas competitivas, tomando en cuenta que el entorno

actual y futuro de la industria ecuatoriana est direccionado por los factores:

competencia, globalizacin, polticas de cambio, rentabilidad del crecimiento y servicio

al cliente.

Es necesario entonces determinar con claridad su estructura, para tener los elementos

necesarios que permitan identificar el alcance de la auditora de sistemas.

La estructura orgnico funcional de RESULTSYS se puede observar en la siguiente

figura:


23

24

Soporte a Usuarios

Consultora

RESULTSY Consultora Profesional Ca. Ltda.Estructura orgnico funcional

Marketing

Secretara

ContabilidadDigitacin

Consultora

Actualizado diciembre/2002

Secretara General Asesora Legal

Mantenimiento deEquipo Electrnico

Administracin deBases de Datos

Administracin deRedes

Desarrollo deTalentos

Nmina

Tesorera

Finanzas

Aquisiciones yservicios generales

Gerencia de RecursosHumanos

GerenciaAdministrativa Financiera

Gerencia deSoluciones

Tecnolgicas

Gerencia deActivos Fijos/Inventarios

Gerencia deOutsourcing

Nmina

Gerencia de Outsourcing Contabilidad

Gerencia General

Presidencia

Junta General de Accionistas

RESULTSYS tiene tres departamentos para los servicios de tercerizacin que ofrece,

stos son: Nmina, Contabilidad y Activos Fijos e Inventarios. Los departamentos de

apoyo a la gestin de servicio son: los departamentos Administrativo Financiero,

Soluciones de Tecnologa (Informtica), y Recursos Humanos, Secretara General,

Marketing y Asesora Legal.

Los servicios de tercerizacin que RESULTSYS ofrece son:

CONTABILIDAD.- Elaboracin de estados financieros bajo normas locales, US GAAP,

declaraciones tributarias, indicadores de gestin.

TESORERA, FACTURACIN, COBRANZAS.- Gestin de cobranzas, pagos, control de

cuentas bancarias, anlisis financiero, etc.

NMINA.- Manejo integral de la nmina del personal, declaracin de impuestos,

cumplimiento de obligaciones sociales, indicadores de gestin.

ADMINISTRACIN DE INVENTARIOS.- Mtodo de valuacin, implantacin de nuevos

sistemas, planificacin y control de inventarios.

ADMINISTRACIN DE ACTIVOS FIJOS.- Inventarios y conciliacin, mtodos de

valuacin, depreciaciones, implantacin de base de datos, manual de procedimientos.

3.1.1. DESCRIPCION DE FUNCIONES DEL NIVEL DIRECTIVO Se considera importante hacer una descripcin general de las funciones de quienes

trabajan en la empresa especialmente en el nivel ejecutivo de los departamentos con

incidencia relevante en el desarrollo de la auditora de sistemas.

GERENTE GENERAL

Ejecutar las polticas, normas y procedimientos de la empresa. Dirigir la marcha institucional, coordina y evala las actividades tcnicas y

administrativas de RESULTSYS.

Cumplir y hacer cumplir los reglamentos, estatutos y dems normas vigentes de la empresa.

Analizar y aprobar los estados financieros de la empresa. Aplicar reglamentos, manuales, procedimientos tcnicos y administrativo

financieros de la empresa.

Coordinar la ejecucin de los programas y/o proyectos, y evaluar su cumplimiento.

25

Determinar polticas sobre el desarrollo de la Empresa y la administracin de sus recursos.

Dirigir la planificacin estratgica, tcnica, econmica, financiera y administrativa de RESULTSYS.

Implementar polticas para el mejoramiento funcional de la empresa. GERENTE DE OUTSOURCING

Vigilar el cumplimiento de los contratos. Autoriza y fijar los precios de los proyectos. Revisar y entregar los proyectos Preparar y actualizar el presupuesto de los proyectos. Cumplir y hace cumplir las polticas establecidas por la empresa y dems

actividades que le asigne el jefe inmediato superior.

Reportar sus actividades al gerente general y su principal objetivo es dirigir, controlar, capacitar, y planificar para que la empresa obtenga los mximos

resultados.

GERENTE ADMINISTRATIVO FINANCIERO

Ejecutar la direccin y control de la administracin financiera de la empresa. Dirigir la formulacin del presupuesto de gasto y participar en el control de su

aplicacin posterior.

Colaborar y supervisar la preparacin de reportes financieros de verificacin de resultados reales y presupuestados.

Colaborar y supervisar la preparacin de reportes financieros de verificacin de resultados reales y presupuestados.

Mantener constante correspondencia y comunicacin con bancos Organizar, planificar y controlar el flujo de fondos Revisar y aprobar la emisin anual de balances, en cumplimiento con los

requerimientos y regulaciones legales vigentes.

Elaborar reportes financieros locales y al exterior.

3.1.2. ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMAS RESULTSYS cuenta con un departamento de sistemas, que forma parte de los equipos

de Administracin de Redes, Administracin de Bases de Datos, Soporte al usuario

26

final y Mantenimiento de equipo electrnico, cuyo principal objetivo es asesorar y

asistir tcnicamente en lo correspondiente al campo tecnolgico informtico, y tiene

asociados de negocios para reas como las de desarrollo y renta de equipos de

computacin.

ORGANIGRAMA ESTRUCTURAL GENERAL

GERENCIA DE SOLUCIONES TECNOLGICAS

Administrador de red Administradorde Base de datos

Tcnico de Mantenimiento Soporte a Usuarios

Gerente de SolucionesTecnolgicas

Gerente General

El departamento de sistemas se le denomina GTS (Global Technology Solutions),

brinda soporte a oficinas ubicadas en las ciudades de Quito y Guayaquil, actualmente

est estructurado de la siguiente manera:

- Ral Arteaga (Gerente General)

- Adriana Snchez (Supervisora)

- Viviana Crdoba (Help Desk Quito)

- Lenin Robalino (Mantenimiento Electrnico Quito)

- Juan Carlos Viera (Aplicaciones Administrativo Financieras Quito)

- Erick Paredes (Administrador de Red Guayaquil)

- Ronald Suquilanda (Help Desk Guayaquil


27

3.1.3. CARACTERISTICAS DE LOS SISTEMAS Y AMBIENTE COMPUTARIZADO

RESULTSYS tiene dos oficinas una en la ciudad de Quito y otra en la ciudad de

Guayaquil. En los dos casos son edificios de hormign, relativamente nuevos, con

instalaciones elctricas adecuadas, disponen de generadores de energa, disponen de

salas de servidores con aire acondicionado.

En el edificio en Quito se dispone de un UPS que abarca el 30% de los equipos de

computacin entre ellos la sala de servidores, central telefnica y equipos activos

(Switchs, hubs, routers, etc.) que es administrado para todo el edificio en forma

centralizada por el arrendatario.

Tambin se dispone de guardias de seguridad que controlan el acceso edificio, y los

empleados disponen de tarjetas magnticas para ingreso a las oficinas. Se dispone de

extintores en las oficinas como en la sala de servidores.

En el edificio en Guayaquil se dispone de un UPS de uso exclusivo para la sala de

servidores, central telefnica y equipos activos (Switchs, hubs routers, etc.) que es

administrado por RESULTSYS.

28

El cableado estructurado es categora 5e marca IBM y disponen de certificaciones de

cada una de las oficinas por parte de IBM como fabricante.

Se dispone de varios extintores en las oficinas y especialmente en la sala de servidores y

reas como la central telefnica.

RESULTSYS cuenta con un contrato para servicios de VPN para permitir el acceso

remoto de los usuarios en cualquier ciudad del mundo.

Estructura de hardware: RESULTSYS Consultora Profesional Ca. Ltda. posee:

SERVIDOR DE BASE DE DATOS

CARACTERSTICAS:

(Proceso individual de la informacin contable de las empresas a las cuales se presta

servicio).

2 procesadores Pentium III 700 Mhz c/u

Memoria RAM: 384 MB

Nmero de usuarios: 30 (Quito y Guayaquil)

Sistema operativo: Windows NT 4.0

Espacio total en disco duro: 45 GB

Ubicacin: oficina Quito

SERVIDORES DE ARCHIVOS.

CARACTERSTICAS:

1 procesador Pentium III 500 Mhz

Memoria RAM: 256 MB

Sistema operativo: Netware 5.1



Ubicacin: uno en la oficina de Quito y otro en la oficina de Guayaquil.

SERVIDOR DE CORREO ELECTRNICO

CARACTERSTICAS:

2 procesadores Xeon Pentium III 850 Mhz

Memoria RAM: 384 MB




29

Ubicacin: oficina Quito y otro en la oficina de Guayaquil de caractersticas menores.

OTROS SERVIDORES

CARACTERSTICAS:

Para servicios de DHCP/DNS, ArcsServer (software para backup), para manejo de

colas de impresin

Procesadores Pentium II y III 250 Mhz

Memoria RAM: 256 MB



Ubicacin: Oficinas de Quito y Guayaquil

ESTACIONES DE TRABAJO

COMPAQ e IBM

Tipo: notebooks y desktops

Memoria RAM: Mnima: 64MB

Procesador Mnimo: Pentium III 700 Mhz

Tiene una red UTP de categora 5e con Hubs y Switch a 10 y 100Mbps

Estructura de Comunicaciones: En lo que respecta a comunicaciones se tiene

habilitado el acceso remoto tipo dial-up, y lneas de comunicacin dedicadas entre las

oficinas de Quito y Guayaquil, la autenticacin remota es a travs de un Username y

Passwords nicos para cada persona.

Estructura de Software: RESULTSYS cuenta con el siguiente software.

SISTEMA OPERATIVO EN LAS ESTACIONES:

Windows XP, Windows 2000, Windows 95 (idioma: ingls)

SOFTWARE UTILITARIO

Entre los principales utilitarios utilizados en RESULTSYS Consultora Profesional Cia.

Ltda. podemos mencionar:

Lotus Notes para correo electrnico y con base de datos de uso general y especializado.

Microsoft Office 97 Profesional Microsoft Project 98 Adobe Acrobat

30

WinZip Antivirus la empresa cuenta con MacAfee. Visio Todo el software se encuentra debidamente licenciado.

Software de aplicacin: La aplicacin utilizada por RESULTSYS Consultora

Profesional Cia. Ltda. para el procesamiento de la informacin contable de los clientes

es un ERP (Enterprise Resource Planning) de mediano rango denominado Gestor,

sistema cuya base de datos es Oracle y su front-end est desarrollado en Developer 6.0

y otras herramienta de Oracle.

Gestor posee los mdulos de Contabilidad, Nmina, Caja/Bancos, Cuentas por Cobrar,

Cuentas por Pagar, Tesorera, Activos Fijos, Facturacin e Inventarios.

Platinum for Windows, con los mdulos de: Contabilidad, Cuentas por cobrar y Pagar,

Libro Bancos entre otros. En base de datos PSQL (Pervasive SQL), que es el software

utilizado para la gestin administrativa interna.

WIP, software propietario para control de Proyectos

3.2. APLICACION DEL MODELO COBIT

3.2.1. JUSTIFICACION DE LA APLICACION DE COBIT Basadas en la creciente competencia y complejidad de los negocios y en el permanente

desarrollo tecnolgico que soporta y crea nuevas oportunidades y desafos,

RESULTSYS ha visto la necesidad de contar con sistemas de informacin que manejen

y automaticen las distintas actividades, tanto claves como de soporte, generando

eficiencia y productividad, pero al mismo tiempo estructurando ambientes tecnolgicos

cada vez ms complejos. Aspectos como (i) alta sistematizacin de los procesos, (ii)

automatizacin de los controles, (iii) integracin de la informacin, (iv) importancia

fundamental de la informacin para la toma de decisiones, exponen a las organizaciones

a nuevos riesgos que deben ser adecuadamente administrados.

Consciente de esta situacin, RESULTSYS, por medio de su rea de Sistemas ha visto

la necesidad de afrontar un proyecto de Auditora de Sistemas, cuyos resultados le

permitirn entre otras cosas:

31

Promover una cultura de conciencia del riesgo asociado a los sistemas y tecnologa de la informacin.

Implementar mecanismos de control para una adecuada administracin de las actividades de sistemas.

Implementar polticas y procedimientos que permitan una adecuada administracin de las distintas actividades y recursos tecnolgicos.

Incrementar la calidad del servicio que el Area de Sistemas brinda a los usuarios. Enfocar las actividades hacia los objetivos estratgicos del negocio. Optimizar la utilizacin de los recursos tecnolgicos. Mejorar la gestin de los sistemas informticos, para obtener informacin confiable

y de calidad.

Mejorar la calidad de los servicios tecnolgicos proporcionados por terceros. La Auditora de Sistemas, por lo tanto, constituye para RESULTSYS en una decisin

estratgica, puntualizada como resultado de todo un proceso de anlisis, definiciones y

pruebas a travs de la aplicacin del modelo COBIT, marco referencial que nos provee

una serie de objetivos de control necesarios para evaluar y reforzar al ambiente de

control IT. Mayor informacin sobre el modelo COBIT se describe en el captulo 2.

3.2.2. PLANIFICACIN DEL TRABAJO (PROPUESTA) Con base en la compresin de stos requerimientos y de la importancia del proyecto

para RESULTSYS, presentamos el alcance, esquema de trabajo, procedimientos (con

base en el Modelo COBIT) y productos a generarse como resultado de la ejecucin de

este trabajo.

3.2.2.1. OBJETIVO Efectuar una Auditora de Sistemas relacionada con la Evaluacin de los Servicios de

Tecnologa de la Informacin, proporcionados por el AREA DE SISTEMAS de

RESULTSYS.

3.2.2.2. ALCANCE De acuerdo a los requerimientos acordados con RESULTSYS, hemos definido la

evaluacin de las siguientes etapas.

32

1. Estructura Organizacional del Area de Sistemas 1.1.

1.2.

1.3.

2.1.

2.2.

2.3.

3.1.

4.1.

4.2.

1.

1.1.

Estructura de Personal

Evaluacin de Gestin del rea

Atencin al usuario

2. Gestin de los Sistemas Informticos Desarrollo, Operacin y Mantenimiento de Aplicaciones

Administracin de las Bases de Datos (DBA)

Gestin y Explotacin de las Aplicaciones

3. Plataformas y Comunicaciones Plataforma Tecnolgica, Redes y Comunicaciones

4. Evaluacin de Seguridades y Procedimientos de Continuidad Seguridades: Fsicas, Lgicas y de Comunicaciones

Plan de Contingencias

(Ver Anexo 4 Glosario de Trminos Tecnolgicos)

3.2.2.3. METODO DE TRABAJO Y PROCEDIMIENTOS A EJECUTAR El enfoque de trabajo considerar las siguientes etapas:

Estructura Organizacional (Controles sobre las actividades IT)

En sta etapa las tareas a ejecutarse son:

Anlisis de Situacin Actual

Entrevistas con los funcionarios del rea de Informtica y reas usuarias destinadas a evaluar el ambiente general de control en materia de tecnologa existente.

Relevamiento de actividades y procesos (con el alcance mnimo necesario para determinar segregacin de funciones).

Revisin de los procedimientos de control implantados. Reunin de Validacin. Elaboracin de mejoras potenciales

Compilacin Basada en estndares de control COBIT. Reuniones de validacin y discusin. Procedimientos Detallados

Se ejecutarn los siguientes procedimientos:

Estructura de Personal

Dependencia, roles y responsabilidades del personal del rea informtica. 33

Evaluacin de la segregacin de funciones. Anlisis del perfil de cada cargo tipo y sus ocupantes (experiencia, capacitacin y

escolaridad).

Evaluacin de la Gestin 1.2.

1.3.

2.1.

Evaluar los procesos y estndares y probar su cumplimiento. Evaluar el proceso de planeamiento y la razonabilidad del plan informtico respecto

a los objetivos de la organizacin.

Evaluar los procedimientos de asignacin de recursos y la elaboracin y administracin de presupuestos, as como la razonabilidad de los recursos

asignados.

Atencin al Usuario

Anlisis del procedimiento establecido para asegurar que el servicio sea acorde con las necesidades de los usuarios.

Evaluacin de los procedimientos de atencin a usuarios y administracin de problemas.

2. Gestin de los Sistemas Informticos En sta etapa las tareas a ejecutarse son:


Relevamiento detallado de la funcionalidad implantada. Caractersticas generales de las aplicaciones (tablas, reportes). Seguridades. Elaboracin de mejoras potenciales

Elaboracin de conclusiones y recomendaciones, a partir del material relevado y estndares de control, utilizando herramientas de anlisis de riesgos y objetivos de

control para cada aplicacin.

Reuniones de validacin y discusin. Procedimientos Detallados


Desarrollo, Operacin y Mantenimiento de Aplicaciones

Revisar y evaluar la metodologa de desarrollo de aplicaciones existente. Relevar los procedimientos para desarrollo de aplicaciones utilizados. Evaluar los procedimientos e iniciativas de investigacin y desarrollo.

34

Evaluar los procedimientos para pasar los programas de ambiente de desarrollo a produccin.

Revisar la documentacin de la planificacin de mantenimiento / mejora de aplicaciones, as como la documentacin que sustenta la prueba y otros procesos de

recepcin por parte del usuario.

Evaluar los procedimientos de operacin. Revisar las bitcoras de operacin. Revisar los procedimientos de schedulling y revisar las bitcoras de ejecucin de

los procesos batch.

Revisar los procedimientos vigentes para backup de informacin (tipo de informacin, periodicidad, lugar de almacenamiento y pruebas peridicas de los

respaldos).

Administracin de la Base de Datos (Dba) 2.2.

2.3.

Evaluar los procedimientos de administracin de la base de datos. Revisar el sistema de documentacin de la base de datos (nivel de detalle y

actualizacin de la informacin).

Analizar roles y responsabilidades de la administracin de la base de datos. Gestin y Explotacin de las Aplicaciones

Relevar informacin relativa a las aplicaciones como: - Caractersticas generales.

- Responsables.

- Plataforma tecnolgica.

- Principales mdulos.

- Mecanismos de seguridad disponibles.

- Documentacin existente.

- Interfaces con otros sistemas.

- Implantaciones en curso.

Evaluar la seguridad y control de cada aplicacin. 3. Plataformas y Comunicaciones En sta etapa las tareas a ejecutarse son:


Relevamiento detallado de HW utilizado en cada aplicacin.

35

Anlisis de niveles de servicio (capacidad, velocidad, tiempos de parada). Elaboracin de mejoras potenciales

Elaboracin de conclusiones y recomendaciones, a partir del material relevado y de las prcticas comunes en compaas de tamao similar y estndares de control

COBIT.



Plataforma Tecnolgica, Redes y Comunicaciones 3.1.

Revisin de los procedimientos de medicin del rendimiento. Anlisis de los informes de rendimiento disponibles.

Revisin de los procedimientos relativos al monitoreo de la red. Anlisis de la bitcora de problemas.

Anlisis de los mecanismos de comunicacin y acceso a los datos de la red desde el punto de vista de disponibilidad.

Relevar las herramientas de monitoreo de hardware y software existentes, y compararlas con las disponibles en el mercado.

Revisar procedimientos de respaldo (mirroring, lneas de comunicacin alternativas).

Relevamiento de la arquitectura del sistema, incluyendo: - Servicios de red implementados.

- Diagrama de la red.

- Servidores.

- Equipos de redes LAN.

- Cableado estructurado.

- Enlaces WAN.

- PC's por localidad.

4. Evaluacin de Seguridades y Procedimientos de Continuidad En sta etapa las tareas a ejecutarse son:


Revisin de seguridad de las plataformas utilizando herramientas especficas. Evaluacin del Plan de Contingencias.

36

Elaboracin de mejoras potenciales

Se efectuarn mediante:

Elaboracin de conclusiones y recomendaciones, a partir del material relevado y de las prcticas comunes en compaas de tamao similar y estndares de control

COBIT.



Seguridades: Fsicas, Lgicas y Comunicaciones 4.1.

4.2.

Evaluar las polticas y procedimientos de seguridad vigentes. Revisar la seguridad lgica implantada en los servidores, as como los parmetros de

seguridad relativos a las claves de acceso, utilizando la herramienta de software

especficas para cada plataforma Esto comprende, entre otros:

Tipo y longitud mnima y mxima de las claves de acceso.

Manejo de claves de acceso histricas.

Encriptacin de claves.

Administracin de claves de acceso por servicio.

Rotacin de claves de acceso (automtico o manual) y periodicidad.

Nmero de intentos fallidos antes de ingresar al sistema.

Nmero de sesiones simultneas por usuario.

Nmero de perfiles de usuario.

Tiempo permitido de inactividad en el sistema (time out). Verificar la activacin y revisin de logs y pistas de auditora. Revisar las seguridades de accesos remotos (dial up, internet, intranet). Evaluar los mecanismos de proteccin antivirus. Evaluar los mecanismos de seguridad fsica existentes, incluyendo contratos de

seguros existentes.

Plan de Contingencias

Evaluar la estrategia de recuperacin, infraestructura tecnolgica y las facilidades

para la continuidad del procesamiento.

Evaluar los procedimientos de recuperacin y operacin durante la emergencia,

tomando en cuenta: responsables, actualizacin, pruebas peridicas, metodologa para

la determinacin de los procedimientos.

37

3.2.2.4. PRODUCTOS A ENTREGAR Y PRESUPUESTO En cada una de las etapas descritas anteriormente se generarn:

9 Resumen Ejecutivo Conclusiones Significativas Otras recomendaciones de la Etapa

INFORME FINAL

9 Resumen ejecutivo. 9 Descripcin del trabajo efectuado. 9 Anexos - Informe de las recomendaciones acordadas con la administracin.

Conclusiones Significativas de cada Etapa Informe detallado y Recomendaciones de cada Etapa

3.2.2.5. HERRAMIENTAS A UTILIZAR Su utilizacin garantiza que el trabajo sea realizado con los ms altos estndares

internacionales.

38

BindView es una herramienta automatizada que permite la revisin de seguridades en

redes LAN de mltiples proveedores, incluyendo Unix, NDS, Windows 2000, NetWare

3, NetWare 4, Netware 5 y Windows NT.

BindView proporciona de manera automtica resultados relacionados con Auditora de

Seguridad, Administracin y Configuracin general del sistema operativo.

La arquitectura de BindView est diseada para entregar soluciones para 4 aspectos

crticos de la administracin de red:

Acceso: Acceso transparente a informacin de los recursos de su organizacin.

Anlisis: Robusta herramienta de anlisis diseada para contestar preguntas acerca de

los recursos de la organizacin.

Reportes : Herramienta poderosa y flexible para la elaboracin de reportes y resultados

de las evaluaciones realizadas.

Administracin: Permite organizar, actualizar e interpretar los resultados del anlisis.

3.3. EJECUCION DEL TRABAJO

3.3.1. IDENTIFICACIN DE RIESGOS IT CRTICOS. Los procedimientos a ejecutar como parte de la auditora de sistemas se detallan a

continuacin, con asociacin al Dominio y Objetivo de control del modelo COBIT

aplicado para la evaluacin e identificacin de debilidades. Los Objetivos de Control

detallados utilizados en el proyecto se incluyen en el Anexo 3.

39

3.3.1.1. ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMA (CONTROLES SOBRE LAS ACTIVIDADES IT) Se ejecutarn los siguientes procedimientos:

3.3.1.1.1. ESTRUCTURA DE PERSONAL

COBIT10

Procedimiento Dominio Cdigo Objetivo de Control

Dependencia, roles y responsabilidades del personal

del rea informtica.

Planeacin y

Organizacin

PO4 Definicin de la Organizacin y de las

Relaciones IT

Evaluacin de la segregacin de funciones. Planeacin y

Organizacin

PO4 Definicin de la Organizacin y de las

Relaciones IT Segregacin de Funciones

(4.10)

Anlisis del perfil de cada cargo tipo y sus

ocupantes (experiencia, capacitacin y escolaridad).

Planeacin y

Organizacin

PO7 Administracin de Recursos Humanos

3.3.1.1.2. EVALUACIN DE GESTIN

COBIT10


Evaluar los procesos y estndares y probar su Planeacin y PO6 Comunicacin de la direccin y aspiraciones

10 La relacin Dominio y Cdigo de COBIT, as como su simbologa se detalla en el Anexo 2.

40 Ver Anexo 4 Glosario de Trminos Tecnolgicos.

COBIT10


cumplimiento. Organizacin de la gerencia Comunicacin de las

polticas de la organizacin (6.3)

Evaluar el proceso de planeamiento y la

razonabilidad del plan informtico respecto a los

objetivos de la organizacin.

Planeacin y

Organizacin

PO1 Definicin de un Plan Estratgico de

Tecnologa de Informacin

Evaluar los procedimientos de asignacin de

recursos y la elaboracin y administracin de

presupuestos, as como la razonabilidad de los

recursos asignados.

Planeacin y

Organizacin

PO10 Administracin de proyectos

3.3.1.1.3. ATENCIN AL USUARIO

COBIT10


Anlisis del procedimiento establecido para

asegurar que el servicio sea acorde con las

necesidades de los usuarios.

Entrega de

servicios y

Soporte

DS8 Apoyo y Asistencia a los Clientes de

Tecnologa de Informacin

Evaluacin de los procedimientos de atencin a

usuarios y administracin de problemas.

Entrega de

servicios y

Soporte

DS10 Administracin de problemas e Incidentes


3.3.1.2. GESTIN DE LOS SISTEMAS INFORMTICOS Se ejecutarn los siguientes procedimientos:

3.3.1.2.1. DESARROLLO, OPERACIN Y MANTENIMIENTO DE APLICACIONES

COBIT10


Revisar y evaluar la metodologa de desarrollo de

aplicaciones existente.

Planeacin y

Organizacin

PO11 Administracin de Calidad Metodologa

del Ciclo de Vida de Desarrollo de Sistemas

(11.5)

Relevar los procedimientos para desarrollo de

aplicaciones utilizados.

Planeacin y

Organizacin

PO11 Administracin de Calidad

Evaluar los procedimientos e iniciativas de

investigacin y desarrollo.

Planeacin y

Organizacin

PO10 Administracin de proyectos

Evaluar los procedimientos para pasar los

programas de ambiente de desarrollo a produccin.

Adquisicin e

Implementacin

AI5 Instalacin y Acreditacin de Sistemas

Revisar la documentacin de la planificacin de

mantenimiento / mejora de aplicaciones, as como

la documentacin que sustenta la prueba y otros

procesos de recepcin por parte del usuario.

Adquisicin e

Implementacin

AI2 Adquisicin y Mantenimiento de Software

de Aplicacin

Evaluar los procedimientos de operacin. Adquisicin e AI4 Desarrollo y Mantenimiento de


COBIT10


Implementacin Procedimientos relacionados con Tecnologa

de Informacin

Revisar las bitcoras de operacin. Planeacin y

Organizacin

AI4 Desarrollo y Mantenimiento de

Procedimientos relacionados con Tecnologa

de Informacin

Revisar los procedimientos de schedulling y revisar

las bitcoras de ejecucin de los procesos batch.

Entrega de

servicios y

Soporte

DS13 Administracin de Operaciones.

Revisar los procedimientos vigentes para backup de

informacin (tipo de informacin, periodicidad,

lugar de almacenamiento y pruebas peridicas de

los respaldos).

Entrega de

servicios y

Soporte

DS11 Administracin de la Informacin

3.3.1.2.2. ADMINISTRACIN DE LAS BASES DE DATOS (DBA)

COBIT10


Evaluar los procedimientos de administracin de la

base de datos.

Planeacin y

organizacin

PO2 Definicin de la Arquitectura de

Informacin

Revisar el sistema de documentacin de la base de Planeacin y PO2 Definicin de la Arquitectura de


COBIT10


datos (nivel de detalle y actualizacin de la

informacin).

organizacin Informacin

Analizar roles y responsabilidades de la

administracin de la base de datos.

Planeacin y

organizacin

PO2 Definicin de la Arquitectura de

Informacin

3.3.1.2.3. GESTIN Y EXPLOTACIN DE LAS APLICACIONES

COBIT10


Relevar informacin relativa a las aplicaciones

como:

- Caractersticas generales

- Responsables

- Plataforma tecnolgica

- Principales mdulos

- Mecanismos de seguridad disponibles

- Documentacin existente

- Interfaces con otros sistemas

- Implantaciones en curso

Adquisicin e

implementacin

AI2 Adquisicin y Mantenimiento de Software

de Aplicacin

Evaluar la seguridad y control de cada aplicacin. Entrega de DS5 Garantizar la Seguridad de Sistemas


COBIT10


Servicios y

Soporte

3.3.1.3. PLATAFORMAS Y COMUNICACIONES Se ejecutarn los siguientes procedimientos:

3.3.1.3.1. PLATAFORMA TECNOLGICA, REDES Y COMUNICACIONES

COBIT10


Revisin de los procedimientos de medicin del

rendimiento. Anlisis de los informes de

rendimiento disponibles.

Entrega de

Servicios y

Soporte

DS3 Administracin de Desempeo y Capacidad

Revisin de los procedimientos relativos al

monitoreo de la red. Anlisis de la bitcora de

problemas.

Entrega de

Servicios y

Soporte


Anlisis de los mecanismos de comunicacin y

acceso a los datos de la red desde el punto de vista

de disponibilidad.

Entrega de

Servicios y

Soporte


Relevar las herramientas de monitoreo de hardware Entrega de DS3 Administracin de Desempeo y Capacidad


COBIT10


y software existentes, y compararlas con las

disponibles en el mercado.

Servicios y

Soporte

Revisar procedimientos de respaldo (mirroring,

lneas de comunicacin alternativas).

Entrega de

Servicios y

Soporte

DS4 Aseguramiento de Servicio Continuo

Relevamiento de la arquitectura del sistema,

incluyendo:

- Servicios de red implementados

- Diagrama de la red

- Servidores

- Equipos de redes LAN

- Cableado estructurado

- Enlaces WAN

- PC's por localidad

Entrega de

Servicios y

Soporte

DS9 Administracin de la Configuracin

3.3.1.4. EVALUACIN DE SEGURIDADES Y PROCEDIMIENTOS DE CONTINUIDAD Se ejecutarn los siguientes procedimientos:


3.3.1.4.1. SEGURIDADES: FSICAS, LGICAS Y DE COMUNICACIONES

COBIT10


Evaluar las polticas y procedimientos de seguridad

vigentes.

Entrega de

Servicios y

Soporte

DS5 Garantizar la Seguridad de Sistemas

Revisar la seguridad lgica implantada en los

servidores, as como los parmetros de seguridad

relativos a las claves de acceso, utilizando la

herramienta de software especficas para cada

plataforma Esto comprende, entre otros:

Tipo y longitud mnima y mxima de las claves

de acceso.

Manejo de claves de acceso histricas.

Encriptacin de claves.

Administracin de claves de acceso por servicio.

Rotacin de claves de acceso (automtico o

manual) y periodicidad.

Nmero de intentos fallidos antes de ingresar al

sistema.

Nmero de sesiones simultneas por usuario.

Entrega de

Servicios y

Soporte



COBIT10


Nmero de perfiles de usuario.

Tiempo permitido de inactividad en el sistema (time

out).

Entrega de

Servicios y

Soporte


Verificar la activacin y revisin de logs y pistas de

auditora.

Adquisicin e

Implementacin

AI1 Identificacin de Soluciones de

Automatizacin Diseo de Pistas de

Auditora (1.10)

Revisar las seguridades de accesos remotos (dial up,

internet, intranet).

Entrega de

Servicios y

Soporte


Evaluar los mecanismos de proteccin antivirus. Entrega de

Servicios y

Soporte


Evaluar los mecanismos de seguridad fsica

existentes, incluyendo contratos de seguros

existentes.

Entrega de

Servicios y

Soporte

DS12 Administracin de Instalaciones


3.3.1.4.2. PLAN DE CONTINGENCIAS

COBIT10


Evaluar la estrategia de recuperacin,

infraestructura tecnolgica y las facilidades para la

continuidad del procesamiento.

Entrega de

Servicios y

Soporte


Evaluar los procedimientos de recuperacin y

operacin durante la emergencia, tomando en

cuenta: responsables, actualizacin, pruebas

peridicas, metodologa para la determinacin de

los procedimientos.

Entrega de

Servicios y

Soporte



3.3.2. CONFIRMACIN DE RIESGOS CRTICOS IT CON LA ADMINISTRACIN

De acuerdo al enfoque de trabajo propuesto y acordado con RESULTSYS, como

resultado de la ejecucin de los procedimientos de cada una de las etapas, se efectuaron

Reuniones de validacin y discusin con la administracin.

Las reuniones tienen como objetivo la validacin y confirmacin con la administracin

de los hallazgos y recomendaciones sugeridas, los documentos presentados en estas

reuniones incluyen la siguiente aclaracin:

BORRADOR PARA DISCUSION UNICAMENTE: El presente documento es de

carcter preliminar. Su contenido podra ser modificado como resultado de las

informaciones o evidencias que se presenten durante su anlisis y discusin con el

destinatario. Bajo ninguna circunstancia, debe ser utilizado o considerado como

documento final. Este borrador no debe ser fotocopiado y deber ser devuelto en el

momento en que se emita el documento final.

L

Caso Practivo

Documents

Transcript of Caso Practivo