Entendimiento de CGTIEntendimiento de los Dominios de CGTIGua para la siguiente tabla:ExplicacinNarrativa Controles claveEntender y documentar las actividades de control de TI esperables en el cliente. El auditor de TI debe determinar si esta actividad, o una variacin de la misma, est o no presente en el cliente en particular. Descripcin a detalle de la actividad que la compaa realiza. (Qu, Cmo, Quin, Dnde, Cundo. Evidencia. Supervisin y autorizacin. SoD )Evaluar la capacidad del control para cubrir el objetivo para el cul fue diseado. Seleccionar como clave el menor conjunto de controles que satisfagan los objetivos de control - comenzar con aquel control sin el cual no se podra vivir). Incluir en esta columna el ttulo del control. Crear un EGA por cada control clave identificado en esta columna

Actividades / TareasNarrativa - Descripcin de la actividad de control especfica (Qu, Cmo, Quin, Dnde, Cundo, Evidencia, Supervisin y autorizacin, S o D)

El objetivo principal de esta etapa es obtener un detalle acabado de la actividad de control que revisaremos, es decir, se pide, que el auditor comprenda el entorno en que se desarrolla el control, sus responsables, situaciones que puedan por algn motivo afectar el control, casos que a nuestro entender necesitan una explicasin del cliente de los motivos por los cuales no habra que incluirlos para ser testeados, dnde se efecta el control, con que periocidad, existe algun otro control en caso que ste falle?.

Se deben considerar stas recomendaciones y otras que el criterio del auditor considere incluir que permita asegurar que se tiene la debida comprensin del control y el entorno en que se desarrolla.Controles claveEvaluacin de diseo para cada control y conclusinAcceso a datos (Puntos de foco sugeridos - documentar lo que aplique al cliente e instalacin especficos)Administracin de actividades de seguridadAdministracin de la seguridad1) Existe un proceso de administracin de seguridad para agregar con oportunidad cuentas de aplicaciones con base en la autorizacin de los administradores de los procesos de negocio.

2) Existe un proceso de administracin de seguridad para cambiar con oportunidad cuentas de aplicaciones con base en la autorizacin de los administradores de los procesos de negocio.

3) Existe un proceso de administracin de seguridad para remover con oportunidad cuentas de aplicaciones con base en la autorizacin de los administradores de los procesos de negocio.

4) Los permisos de acceso de los usuarios a las aplicaciones son revisados peridicamente por los administradores de los procesos de negocio para asegurar que los accesos efectuados son requeridos por las responsabilidades laborales de los usuarios.

5) Se ha establecido un proceso de revisin de altas o cambios de perfiles en cuanto a potenciales conflictos a producirse. Seguridad de datos1) La administracin ha implementado un proceso de administracin de seguridad para otorgar el acceso de usuarios a nivel de base de datos que asegura accesos de acuerdo con las necesidades del negocio y buenas prcticas de control.

2) La administracin ha implementado un proceso de administracin de seguridad para cambiar el acceso de usuarios a nivel de base de datos que asegura accesos de acuerdo con las necesidades del negocio y buenas prcticas de control.

3) La administracin ha implementado un proceso de administracin de seguridad para remover oportunamente el acceso de usuarios a nivel de sistema operativo y base de datos que asegura accesos de acuerdo con las necesidades del negocio y buenas prcticas de control.

4) Los ambientes de datos de las aplicaciones han sido configurados apropiadamente para restringir el acceso directo a los datos a travs de conexiones directas a la Base de Datos.

5) Los cambios en los datos realizados fuera de la aplicacin (accesos directos) son debidamente controlados y autorizados.

6) Se realizan revisiones peridicas de los permisos de acceso directo a datos a fin de validar que los accesos se mantienen en base a las responsabilidades de los usuarios.

7) Los servidores son configurados con base en parmetros de seguridad (Revisin por WorkProgram base de datos)Seguridad de sistema operativo1) La administracin ha implementado un proceso de administracin de seguridad para otorgar el acceso de usuarios a nivel de sistema operativo que asegura accesos de acuerdo con las necesidades del negocio y buenas prcticas de control.

2) La administracin ha implementado un proceso de administracin de seguridad para cambiar el acceso de usuarios a nivel desistema operativo que asegura accesos de acuerdo con las necesidades del negocio y buenas prcticas de control.

3) La administracin ha implementado un proceso de administracin de seguridad para remover oportunamente el acceso de usuarios a nivel de sistema operativo y base de datos que asegura accesos de acuerdo con las necesidades del negocio y buenas prcticas de control.

4) Se ha implantado un procedimiento de control de cambios formal para modificaciones en los parmetros de sistema operativo con aprobacin de funcionarios de nivel apropiado.

5) Se realizan actividades peridicas de revisin de los parmetros de configuracin del sistema operativo.

6) Los servidores son configurados con base en parmetros de seguridad (Revisin por WorkProgram sistema operativo)

Seguridad de redSeguridad fsica1) El acceso fsico a las instalaciones de los servidores y datos es apropiadamente restringido.

Segregacin de funciones en Administracin de seguridad1) Las responsabilidades para gestin de la base de datos, administracin de sistemas operativos y administracin de la red han sido adecuadamente segregadas.Desarrollo de programas(Puntos de foco sugeridos - documentar lo que aplique al cliente e instalacin especficos)Actividades de implementacin y admistracin de desarrollosPlaneacin, anlisis y diseo1) La aprobacin del responsable del proyecto es requerida antes del inicio de la fase de construccin.

Construccin/seleccin de paquetes1) Existen ambientes separados de desarrollo, pruebas y produccin para las aplicaciones y su acceso ha sido restringido adecuadamente.

Validacin en ambientes de calidad y pruebas1) Se llevaron a cabo las pruebas suficientes y adecuadas de acuerdo a la relevancia de cada cambio. El usuario final es involucrado en las pruebas de cambios a los sistemas y se requiere la autorizacin del rea administrativa del usuario para la aceptacin del proyecto y se mantiene documentacin formal de las pruebas realizadas que incluyen: - Programas de prueba (scripts). - Descripcin de los escenarios de la prueba. - Datos de entrada. - Resultados esperados. - Resultados obtenidos. - Aislamiento de problemas y procedimientos de resolucin.Conversin de datos1) Existen procedimientos de prueba desarrollados por el usuario para asegurar la totalidad, exactitud y validez de la conversin (ejemplo: Reportes clave, comparacin de informacin, etc).Implementacin1) Los proyectos son autorizados por la administracin del negocio y por el jefe de proyecto antes de su implementacin en el ambiente de produccin.

Segregacin de funciones en desarrollo de programas respecto de:Codificacin de cambios o proyectosAcceso de Escritura Ambiente de DesarrolloTransferencia Archivos de PruebasEjecucin de PruebasAutorizacin de PruebasAcceso de Escritura Ambiente de PruebasTransferencia Archivos de ProduccinAcceso Escritura Ambiente de Produccin1) Existen ambientes separados de pruebas y produccin para las aplicaciones y su acceso ha sido restringido adecuadamente.

2) Las responsabilidades requeridas en el proceso de desarrollo e implantacin de sistemas han sido adecuadamente segregadas.Documentacin y capacitacinCambios a aplicaciones(Puntos de foco sugeridos - documentar lo que aplique al cliente e instalacin especficos)Actividades de mantenimientoEspecificacin, autorizacin y seguimiento de requerimientos de cambios1) Todos los requerimientos de cambios a programas y/o configuracin del aplicativo (RFC) son registrados en una bitcora y la gestin de la bitcora es llevada por personal independiente a los desarrolladores.

2) Todos los requerimientos de cambios a programas y/o configuracin del aplicativo (RFC) son autorizados por los dueos del proceso.

3) La implementacin de los cambios a programas y/o configuracin del aplicativo es llevada a cabo a travs de un proceso formal de implementacin. En el caso de los cambios con mayor impacto en la Totalidad, Exactitud y Validez de la informacin, se espera que dicho proceso considere:- Anlisis de impactos- Determinacin de reas y personas involucradas - Que exista un plan "de retorno"- Que prevean procedimientos y responsables de seguimiento.- Que exista un procedimiento de actualizacin e la documentacin de configuracin.

ConstruccinValidacin en ambientes de calidad y pruebas1) Para aquellos cambios a programas y/o configuracin del aplicativo que tengan impacto en la Totalidad, Exactitud o Validez de la informacin, existen planes formales de prueba que incluyen: - Programas de prueba - Descripcin de los escenarios de la prueba. - Datos de entrada. - Resultados esperados. - Resultados obtenidos. - Aislamiento de problemas y procedimientos de resolucin.

2) Se involucra a los usuarios en las pruebas de cambios y se requiere la autorizacin del rea administrativa del usuario para la aceptacin del cambio a programas y/o configuracin del aplicativo. - Existen evidencia de las pruebas de aceptacin por parte del usuario finalImplementacin1) Todos los cambios a programas y/o configuracin del aplicativo son autorizados por la administracin antes de su implementacin en el ambiente de produccin.

Documentacin y capacitacinSegregacin de funciones en cambios a aplicaciones:Codificacin de cambios o proyectosAcceso de Escritura Ambiente de DesarrolloTransferencia Archivos de PruebasEjecucin de PruebasAutorizacin de PruebasAcceso de Escritura Ambiente de PruebasTransferencia Archivos de ProduccinAcceso Escritura Ambiente de Produccin1) Las responsabilidades de autorizacin de implantacin de cambios a programas y/o configuracin del aplicativo y la liberacin de los mismos han sido adecuadamente segregadas.

2) Existen ambientes separados de pruebas y produccin para las aplicaciones y su acceso ha sido restringido adecuadamente.

3) Las responsabilidades requeridas en el proceso de desarrollo e implantacin de sistemas han sido adecuadamente segregadas.

Operaciones de cmputo(Puntos de foco sugeridos - documentar lo que aplique al cliente e instalacin especficos)

Administracin de operaciones de cmputoGestin de procesos batch1) Existen controles para asegurar que los procedimientos batch relevantes para el proceso y control de informacin financiera son ejecutados en su totalidad, en el orden definido y en horarios especficos (de ser aplicable).

Gestin de procesos en tiempo en real Procesamiento de respaldos1) Se han implantado procedimientos adecuados de resguardo de la informacin para asegurar la disponibilidad de la informacin histrica requerida por leyes y otras normas (p.e. back-ups, resguardo en sitio alterno, mantenimiento de toda la informacin en lnea, etc.)

Administracin de problemas (soporte)1) Existe un procedimiento para la resolucin de problemas operacionales (de usuarios), las fallas son registradas y se monitorea su resolucin.

2) Existe un procedimiento de resolucin de problemas con impacto en el reporte financiero definido y documentado y las fallas que pueden afectar la totalidad, exactitud o validez de la informacin son registradas y se monitorea su resolucin.Recuperacin de desastres)1) Se ha desarrollado un Disaster Recovery Plan formal basado en un anlisis de impacto al negocio (BIA) el cual es probado al menos una vez al ao y se encuentra adecuadamente difundido (aplica en el caso de entidades financieras)

2) Existen controles para la recuperacin de sistemas crticos en una localidad alterna en caso de algn evento o desastre, en cuanto a la integridad de datos y transacciones.

Segregacin de funciones en Operaciones de cmputo