Guia auditoria de sistemas by yulissa tovar

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

ELECTROLOBO LIMITADA

INTRODUCCIÓN

En la presente guía se desarrolla una estructura de auditoría de sistemas, que tiene como fin la elaboración de un plan de trabajo para aplicarlo en determinada empresa que requiera de estos servicios, mejorando así su calidad tecnológica, utilizando diferentes medios de investigación como los papeles de trabajo, que nos facilitará obtener la información necesaria en la área a estudiar, analizando el software y hardware de cada computador para dar a conocer cuáles son los riesgos a los que está sujeta la empresa, y de esta manera poder emitir un informe general de la situación en la que se encuentra la misma, recomendando algunas medidas correctivas a los interesados para perfeccionar la eficiencia y eficacia de la entidad. Todo este proceso se realiza bajo las normas ISO 19011 que es la Organización Internacional de Normalización, la ISO 27001 e ISO 27002 y COBIT 4.1 (Objetivos de Control para Información y Tecnologías Relacionadas), con el objetivo de que respondan en todo momento a las necesidades y exigencias actuales de esta guía.

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

CONTENIDO

TERMINOLOGÍA………………………………………………………………………….5 PRINCIPIOS DE AUDITORIA…………………………………………………………….7 PLAN DE AUDITORIA……………………………………………………………………9 PROGRAMA DE AUDITORIA…………………………………………………………..11 PAPELES DE TRABAJO…………………………………………………………………13 ENTREVISTA…………………………………………………………………………..13 INVENTARIO DE HARDWARE ................................................................................... 15 INVENTARIO DE SOFTWARE ..................................................................................... 16 HALLAZGOS DE LA AUDITORÍA ............................................................................... 17 LISTA DE VERIFICACIÓN............................................................................................ 18 LISTA DE CHEQUEO ..................................................................................................... 19 ANÁLISIS Y EVALUACIÓN DE RIESGOS…………………………………………..20 HOJA DE VIDA DE EQUIPOS DE CÓMPUTO............................................................... .23 COMPETENCIAS DEL AUDITOR .................................................................................... 25 INFORME DE AUDITORÍA INFORMÁTICA ............................................................... ...28 ANEXOS .......................................................................................................................... ....30

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

TERMINOLOGÍA

I II

Alcance de la auditoría: Extensión y límites de una auditoría. Auditado: Organización que es auditada.

III

Auditor: Persona con la competencia para llevar a cabo una auditoría.

Auditoría: Proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría.

V VI

VII

VIII

Cliente de la auditoría: Organización o persona que solicita una auditoría. Conclusiones de la auditoría: Resultado de una auditoría, que proporciona el equipo auditor tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría. Competencia: Atributos personales conocimientos y habilidades.

aptitud

demostrada

para

aplicar

Criterios de auditoría: Conjunto de políticas, procedimientos o requisitos.

Equipo auditor: Uno o más auditores que llevan a cabo una auditoría, con el apoyo, si es necesario, de expertos técnicos.

Evidencia de la auditoría: Registros, declaraciones de hechos o cualquier otra información que son pertinentes para los criterios de auditoría y que son verificables.

Experto técnico: Persona que aporta conocimientos o experiencia específicos al equipo auditor.

XII

Hallazgos de la auditoría: Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría.

XIII

Plan de auditoría: Descripción de las actividades y de los detalles acordados de una auditoría.

XIV

Programa de auditoría: Conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico.

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

PRINCIPIOS DE AUDITORIA La auditoría se caracteriza por depender de varios principios. Estos principios ayudan a hacer de la auditoría una herramienta eficaz y fiable en apoyo de las políticas y controles de gestión, proporcionando información sobre la cual una organización puede actuar para mejorar su desempeño. Estos principios de clasifican de la siguiente manera:

PRINCIPIOS REFERENTES A LOS AUDITORES

Conducta ética

Nuestros auditores actúan con profesionalismo, inspirando confianza a nuestros usuarios. Proceden con integridad en la ejecución de la auditoria, manejan la información con absoluta confidencialidad, y son discretos con los resultados obtenidos en los casos estudiados.

Presentación Ecuánime

Contamos un personal capaz de informar con veracidad y exactitud los hallazgos, conclusiones e informes que reflejan las actividades de la auditoría. Igualmente, informan los obstáculos significativos encontrados durante la auditoría y de las opiniones desiguales sin resolver entre auditores ELECTROLOBO y el auditado.

Debido cuidado Profesional

Auditores ELECTROLOBO procede con diligencia y juicio al auditar. Actúan con el debido cuidado, de acuerdo con la importancia de la tarea que desempeñan y la confianza depositada en ellos por el cliente de la auditoría y por otras partes interesadas.

PRINCIPIOS REFERENTES A LA AUDITORÍA

Independencia

Nuestro recurso humano ejecuta las auditorias con imparcialidad y objetividad sin dejarse influenciar por el medio. Son independientes en las actividades que realizan y están libres de sesgo y conflicto de intereses. Además, mantienen una actitud objetiva a lo largo del proceso de auditoría para asegurarse de que los hallazgos y conclusiones estarán basados sólo en la evidencia recolectada.

Enfoque basado En la evidencia

La evidencia de nuestras auditorías es verificable. Está basada en muestras de la información disponible, pues estas se llevan a cabo durante un período de tiempo delimitado y con recursos finitos. Tenemos en cuenta que la evidencia debe ser competente, es decir, con calidad y suficiente en términos de cantidad.

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

(Nombre de la empresa Auditora) Documento

(Programa de Auditoria) (Nombre de la Dependencia)

Código Fecha Revisión (Código) (DD/MM/AA) (Numeración) Dependencia Aprobado Pág. 1(1)

PLAN DE AUDITORIA

OBJETIVOS:

(Objetivos que se desean alcanzar con la auditoria)

ALCANCE:

(Actividades de la empresa que serán auditadas)

RECURSOS:

(Documentación y medios necesarios para llevar a cabo la revisión y evaluación en la empresa)

CRITERIOS:

(Políticas, prácticas, procedimientos o requisitos frente a los cuales se compara las evidencias recogidas)

RESPONSABLE:

(Grupo de Auditores)

METODO DE AUDITORIA:

(Técnicas para obtener y analizar la información)

IDENTIFICACIÓN DE RIESGOS:

(Posibles riesgos en el proceso de auditoria)

FECHA DE ELABORACION:

(DD/MM/AA)

FECHA DE ACTUALIZACIÓN:

(DD/MM/AA)

PRIMER CICLO:

(X)

SEGUNDO CICLO:

(X)

PROCESO A AUDITAR (Área a Auditar)

FECHA Y HORA (DD/MM/AA – HH)

OBSERVACIÓN: (Indagación en relación de los sistemas)

ELABORÓ: (Nombre y Firma)

APROBÓ: (Nombre y Firma)

GRUPO AUDITOR (Auditores encargados)

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

PROGRAMA DE AUDITORIA

EMPRESA (Nombre de la empresa a auditar)

FASE

DESCRIPCIÓN

ÁREA AUDITADA (Área a Auditar)

ACTIVIDAD

No. DEL PARTICIPA NTE

MES

AÑO

(DD)

(MM)

(AA)

PERIODO ESTIMADO Inicio

ELABORÓ (Nombre y Firma)

DÍA

Termino

APROBÓ (Nombre y Firma)

DÍAS HAB. EST

DÍAS HOM. EST

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

ENTREVISTA DIRIGIDA AL ENCARGADO DEL ÁREA DE REDES

Objetivo: Conocer y evaluar los procesos de datos de los equipos de cómputo, con controles, tipos y seguridad y el manejo de los mismos. Las preguntas son de opción múltiple, elija la que mejor describa lo que piensa usted. Marque con una “X” la opción elegida.

1. ¿Existe un programa de mantenimiento preventivo para cada computador? SI ___

NO ___

¿Por qué? ______________________________________________

2. ¿Los sistemas de Hardware se acoplan adecuadamente con la función del Software? SI ___

NO ___

3. ¿Se mantienen programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos? SI ___

NO ___

4. ¿Existen controles que garanticen el uso adecuado de discos y accesorios de almacenamiento masivo? SI ___

NO ___

5. ¿Existe legalidad de cada sistema operativo o programa? SI ___

NO ___

¿Por qué? ______________________________________________

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

ENTREVISTA DIRIGIDA AL RESPONSABLE DEL CENTRO DE CÓMPUTO

1. ¿El lugar dónde están ubicados los ordenadores está seguro de inundaciones, robo o cualquier otra situación que pueda ponerlos en peligro? SI ___

NO ___

2. ¿Es adecuada la iluminación del centro de cómputo? SI ___

NO ___

3. ¿Qué piensa de la red de la empresa? _____ No sirve _____ Puede mejorar _____ Muy buena _____ Inestable _____ Segura

4. ¿El color de las paredes es adecuado para el centro de cómputo? SI ___

NO ___

5. ¿Existe lugar suficiente para los equipos? SI ___

NO ___

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

INVENTARIO DE HARDWARE EMPRESA:

(Nombre de la empresa a Auditar)

ÁREA:

(Área a Auditar)

FECHA:

(DD/MM/AA)

N°

Descripción

Marca

Velocidad

Procesador

Capacidad RAM

Estatus OP: Operativo NP: No Operativo, No Instalado o en Depósito

AV: Averiado o en Reparación

Capacidad Disco Duro

Estatus

Fecha de Adquisición

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

INVENTARIO DE SOFTWARE EMPRESA:

(Nombre de la empresa a Auditar)

ÁREA:

(Área a Auditar)

FECHA:

(DD/MM/AA)

N°

Nombre

Tipo

Proveedor

Licencia

Departamento

Fecha de Adquisición

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

HALLAZGOS DE LA AUDITORÍA (Nombre de la empresa a Auditar)

R/PT: P1

HALLAZGOS DE LA AUDITORÍA

DOMINIO

(Nombre del dominio de COBIT que se está evaluando)

PROCESO

(Nombre del proceso que se está auditando dentro de los dominios del COBIT)

OBJETIVO DE CONTROL

(Enunciar el objetivo COBIT)

RESPONSABLE

(Nombre del Auditor Responsable) DESCRIPCIÓN

(Narrar detalladamente las falencias o la situación deficiente encontrada)

RECOMENDACIÓN (Establecer las recomendaciones para mejorar la situación deficiente)

CAUSA (Enunciar la(s) causa(s) que han producido la situación deficiente)

NIVEL DE RIESGO (Clasificar el riesgo entre bajo, medio y alto)

NOTA: Ver Anexo 1

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

LISTA DE VERIFICACIÓN ASPECTOS A EVALUAR Iluminación Existen lámparas suficiente en cantidad y calidad La iluminación está estratégicamente localizada Existe iluminación natural Ventilación Existe aire acondicionado Se maneja una temperatura adecuada Se hace mantenimiento periódico Espacios Son amplios y suficientes El piso se encuentra en buen estado Las paredes están en buen estado Existen extintores Los extintores están bien ubicados El cableado está bien ubicado La distribución de los equipos es la adecuada Equipos de Cómputo Los equipos se encuentran en buen estado Se hace mantenimiento periódico Permanecen limpios y libres de polvo Existe equipos suficientes Los equipos cuentan con clave de seguridad

REGULAR

OBSERVACIONES

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

LISTA DE CHEQUEO (Nombre del Área Auditada)

R/PT

CUESTIONARIO DE CONTROL

LC1

DOMINIO

(Nombre del dominio de COBIT que se está evaluando)

PROCESO

(Nombre del proceso que se está auditando dentro de los dominios del COBIT)

OBJETIVO DE CONTROL

(Enunciar el objetivo COBIT) CUESTIONARIO

PREGUNTA ¿Se cuenta con un inventario de todos los equipos que integran el centro de cómputo? ¿Con cuanta frecuencia se revisa el inventario? ¿Se lleva un control de los equipos en garantía, para que a la finalización de ésta, se integren a algún programa de mantenimiento? ¿Se cuenta con servicio de mantenimiento para todos los equipos? ¿Con cuanta frecuencia se realiza mantenimiento a los equipos? ¿Se cuenta con procedimientos definidos para la adquisición de nuevos equipos? ¿Se tienen criterios de evaluación para determinar el rendimiento de los equipos a adquirir y así elegir el mejor?

N/A

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

ANÁLISIS Y EVALUACIÓN DE RIESGOS

EVALUACIÓN DE RIESGOS N°

Descripción

No existen restricciones para el acceso a personal externo a los equipos de cómputo. Equipos con bajo rendimiento para las operaciones que se deben desarrollar. Daño en los equipos por caídas en el fluido eléctrico Insatisfacción por parte de los usuarios respecto al servicio de internet. No se han levantado hojas de vida de los equipos existentes. La señal de los operadores de internet presenta fallas por la ubicación de la empresa. Se presentan problemas de conexión en el internet. Se han presentado hurtos y robo de partes de los equipos de cómputo. No existen controles y responsables de los equipos de cómputo.

Probabilidad Impacto Baja Media Alta Leve Moderado Catastrófico

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

MATRIZ DE PROBABILIDAD DE IMPACTO

ALTO 61-100% MEDIO 31-60% PROBABILIDAD BAJO 0-30%

ZONA DE RIESGO MODERADO ZONA DE RIESGO TOLERABLE ZONA DE RIESGO ACEPTABLE LEVE

ZONA DE RIESGO IMPORTANTE ZONA DE RIESGO MODERADO ZONA DE RIESGO TOLERABLE

ZONA DE RIESGO INACEPTABLE ZONA DE RIESGO IMPORTANTE

MODERADO

CATASTROFICO

ZONA DE RIESGO MODERADO

IMPACTO

MATRIZ DE RIESGOS Alto 61-100% Medio 31-60% PROBABILIDAD

Bajo 0-30% Leve Moderado Catastrófico

IMPACTO Escala de probabilidad: Bajo: Cuando el riesgo se presenta esporádicamente 1 0 2 veces en el año Medio: Cuando el riesgos se presenta cada mes Alto: Cuando el riesgo se presenta todas las semanas Escala de impacto: Leve: Cuando el riesgo afecta a una sola persona o dependencia de la organización Moderado: Cuando el riesgo afecta a un grupo de personas o a toda una dependencia Catastrófico: Cuando se paraliza completamente la actividad en la organización

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

HOJA DE VIDA DE EQUIPOS DE

FECHA DE EMISIÓN

(DD/MM/AA)

CÓMPUTO

VERSIÓN

(Numeración)

Nombre PC 1. DATOS DEL EQUIPO Marca Proveedor 2. CONFIGURACION DE HARDWARE

Modelo

Placa Inventario Modelo CPU Serial CPU Procesador

Velocidad

Memoria RAM Disco Duro

Marca

3. CONFIGURACION DE RED Nombre del Equipo

Capacidad

En red SI NO

Tecnología IDE SATA

Dirección IP

Marca y/o modelo Monitor Serial Monitor Marca y/o modelo Teclado Serial Teclado Marca y/o modelo Mouse Serial Mouse Otro Dirección MAC

Marca

Velocidad

4. SISTEMA OPRATIVO INSTALADO Descripción 5. MANTENIMIENTOS PREVENTIVOS Fecha Realización

Mantenimiento Realizó Observaciones

Aceptación Empresa

Firma Nombre: Mantenimiento 6. Ubicación Actual Usuario Responsable

Ubicación dentro de la Empresa

Fecha DD / MM / AAAA DD / MM / AAAA DD / MM / AAAA

7. RECOMENDACIONES Y/O OBSERVACIONES

Firma Responsable

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

COMPETENCIAS DEL AUDITOR

Para que un auditor realice un proceso de auditoria según la ISO 19011 tiene que poseer la confianza y la capacidad para poder desarrollar cada uno de los objetivos planteados, dependiendo de la competencia que tenga los auditores que participe en la planificación y realización de las auditorias. La competencia deberá evaluarse mediante una serie de pasos donde se pueda verificar el comportamiento personal y la capacidad para aplicar los conocimientos y las habilidades adquiridos durante la formación como auditor y la experiencia en auditorías. No es necesario que cada auditor en el equipo de trabajo tenga la misma competencia; sin embargo, la competencia de cada uno necesita ser suficiente para que de esta manera se puedan lograr los objetivos propuestos en la auditoría. La evaluación de la competencia que se aplique al auditor deberá ser planifica con anterioridad, luego realizárselas y documentarla de acuerdo al programa de auditoria que se esté haciendo ,siempre y cuando se apliquen los procedimientos correctos para proveer un resultado que sea objetivo, coherente y fiable. El proceso de evaluación debería incluir cuatro pasos principales a. Determinar la competencia del personal de auditoría para cumplir las necesidades del programa de auditoría b. Establecer los criterios de evaluación c. Seleccionar el método de evaluación apropiado d. Realizar la evaluación. El resultado del proceso de evaluación debería proporcionar la base para lo siguiente:   

La selección de los miembros del equipo auditor. La determinación de la necesidad de mejorar la competencia La evaluación continua del desempeño de los auditores.

1. Atributos personales: Los auditores deberían poseer atributos personales que les permitan actuar de acuerdo con los principios de la auditoría como: a. b. c. d.

Ético De mentalidad abierta Diplomático Observador

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

2. Conocimientos y habilidades: Los auditores deberían tener conocimientos y habilidades en las siguientes áreas. a) Principios, procedimientos y técnicas de auditoría: le permiten al auditor aplicar aquellos principios, procedimientos o técnicas según la auditoria que se esté realizando y de esta manera asegurarse de que las auditorías se llevan a cabo de manera coherente. b) Documentos del sistema de gestión y de referencia: le permite al auditor comprender el alcance de la auditoría y aplicar los criterios de auditoría. c) Situaciones de la organización: permite al auditor entender el contexto de las operaciones de la organización. d) Leyes, reglamentos y otros requisitos aplicables pertinentes a la disciplina: le sirven al auditor para trabajar con ellos y ser consciente de los requisitos aplicables a la organización que se está auditando. 3. Educación, experiencia laboral, formación como auditor y experiencia en auditorías:  Auditores: Los auditores deberían tener la educación, experiencia laboral, formación y experiencia como haber completado una educación suficiente donde le haya permitido adquirir los conocimientos y habilidades.  Líder del equipo auditor: Un líder del equipo auditor debió haber actuado como líder del equipo auditor bajo la dirección y orientación de otro auditor competente como líder del equipo auditor. 4. Niveles de educación, experiencia laboral, formación como auditor y experiencia como auditor: Las organizaciones deberán establecer los niveles de educación, experiencia laboral, formación como auditor y experiencia como auditor.

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

INFORME DE AUDITORÍA INFORMÁTICA PROCESO AUDITADO

LÍDER DEL PROCESO

OBJETIVO DE LA AUDITORÍA

ALCANCE

CRITERIOS DE AUDITORÍA: AUDITOR LÍDER: EQUIPO AUDITOR: FECHA DE ENTREGA DEL INFORME:

FECHA DE AUDITORÍA: NOMBRE DEL AUDITADO

CARGO

RESULTADOS DE LA AUDITORÍA 1.

DESCRIPCIÓN DE LAS NC

FORTALEZAS DEL ÁREA O PROCESO

OPORTUNIDADES DE MEJORA

REQUISITO INCUMPLIDO

ELECTROLOBO LTDA. Guía Auditoría de Sistemas 4.

CONCLUSIONES DE LA AUDITORÍA

DOCUMENTOS REVISADOS

Previo a la auditoría:

Durante la auditoría:

FIRMA DEL AUDITOR LÍDER

FIRMA AUDITADO

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

ANEXOS Anexo 1. TABLA DE CLASIFICACION DE DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL – COBIT 4.1 DOMINIOS

PROCESOS

PO1 Definir un Plan Estratégico de TI

PO2 Definir la Arquitectura de la Información

PO3 Determinar la Dirección Tecnológica PLANIFICAR Y ORGANIZAR

PO4 Definir los Procesos, Organización y Relaciones de TI

OBJETIVOS DE CONTROL PO1.1 Administración del Valor de TI PO1.2 Alineación de TI con el Negocio PO1.3 Evaluación del Desempeño y la Capacidad Actual PO1.4 Plan Estratégico de TI PO1.5 Planes Tácticos de TI PO1.6 Administración del Portafolio de TI PO2.1 Modelo de Arquitectura de Información Empresarial PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos PO2.3 Esquema de Clasificación de Datos PO2.4 Administración de Integridad PO3.1 Planeación de la Dirección Tecnológica PO3.2 Plan de Infraestructura Tecnológica PO3.3 Monitoreo de Tendencias y Regulaciones Futuras PO3.4 Estándares Tecnológicos PO3.5 Consejo de Arquitectura de TI PO4.1 Marco de Trabajo de Procesos de TI PO4.2 Comité Estratégico de TI PO4.3 Comité Directivo de TI PO4.4 Ubicación Organizacional de la Función de TI PO4.5 Estructura Organizacional PO4.6 Establecimiento de Roles y Responsabilidades PO4.7 Responsabilidad de Aseguramiento de Calidad TI PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento PO4.9 Propiedad de Datos y de Sistema PO4.10 Supervisión PO4.11 Segregación de Funciones

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

PO5 Administrar la Inversión en TI

PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia

PO7 Administrar Recursos Humanos de TI

PO8 Administrar la Calidad

PO9 Evaluar y Administrar los Riesgos de TI

PO4.12 Personal de TI PO4.13 Personal Clave de TI PO4.14 Políticas y Procedimientos para Personal Contratado PO4.15 Relaciones PO5.1 Marco de Trabajo para la Administración Financiera PO5.2 Prioridades Dentro del Presupuesto de TI PO5.3 Proceso Presupuestal PO5.4 Administración de Costos de TI PO5.5 Administración de Beneficios PO6.1 Ambiente de Políticas y de Control PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI PO6.3 Administración de Políticas para TI PO6.4 Implantación de Políticas de TI PO6.5 Comunicación de los Objetivos y la Dirección de TI PO7.1 Reclutamiento y Retención del Personal PO7.2 Competencias del Personal PO7.3 Asignación de Roles PO7.4 Entrenamiento del Personal de TI PO7.5 Dependencia Sobre los Individuos PO7.6 Procedimientos de Investigación del Persona PO7.7 Evaluación del Desempeño del Empleado PO7.8 Cambios y Terminación de Trabajo PO8.1 Sistema de Administración de Calidad PO8.2 Estándares y Prácticas de Calidad PO8.3 Estándares de Desarrollo y de Adquisición PO8.4 Enfoque en el Cliente de TI PO8.5 Mejora Continua PO8.6 Medición, Monitoreo y Revisión de la Calidad PO9.1 Marco de Trabajo de Administración de Riesgos PO9.2 Establecimiento del Contexto del Riesgo PO9.3 Identificación de Eventos PO9.4 Evaluación de Riesgos de TI PO9.5 Respuesta a los Riesgos PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos PO10.1 Marco de Trabajo para la Administración de Programas

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

PO10 Administrar Proyectos

AI1 Identificar soluciones automatizadas

ADQUIRIR E IMPLEMENTAR

AI2 Adquirir y Mantener Software Aplicativo

AI3 Adquirir y Mantener Infraestructura Tecnológica

AI4 Facilitar la Operación y el Uso

PO10.2 Marco de Traba PO10.3 Enfoque de Administración de Proyectos PO10.4 Compromiso de los Interesados PO10.5 Declaración de Alcance del Proyecto PO10.6 Inicio de las Fases del Proyecto PO10.7 Plan Integrado del Proyecto PO10.8 Recursos del Proyecto PO10.9 Administración de Riesgos del Proyecto PO10.10 Plan de Calidad del Proyecto PO10.11 Control de Cambios del Proyecto PO10.13 Medición del Desempeño, Reporte y Monitoreo del Proyecto PO10.14 Cierre del Proyecto AI1.1 Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio AI1.2 Reporte de Análisis de Riesgos AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación AI2.1 Diseño de Alto Nivel AI2.2 Diseño Detallado AI2.3 Control y Posibilidad de Auditar las Aplicaciones AI2.4 Seguridad y Disponibilidad de las Aplicaciones AI2.5 Configuración e Implementación de Software Aplicativo Adquirido AI2.6 Actualizaciones Importantes en Sistemas Existentes AI2.7 Desarrollo de Software Aplicativo AI2.8 Aseguramiento de la Calidad del Software AI2.9 Administración de los Requerimientos de Aplicaciones AI2.10 Mantenimiento de Software Aplicativo AI3.1 Plan de Adquisición de Infraestructura Tecnológica AI3.2 Protección y Disponibilidad del Recurso de Infraestructura AI3.3 Mantenimiento de la infraestructura AI3.4 Ambiente de Prueba de Factibilidad AI4.1 Plan para Soluciones de Operación AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio AI4.3 Transferencia de Conocimiento a Usuarios Finales

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

AI5 Adquirir Recursos de TI

AI6 Administrar Cambios

AI7 Instalar y Acreditar Soluciones y Cambios

DS1 Definir y administrar los niveles de servicio

DS2 Administrar los Servicios de Terceros

ENTREGAR Y DAR SOPORTE

DS3 Administrar el Desempeño y la Capacidad

AI4.4 Transferencia de Conocimiento al Personal de Operaciones y Soporte AI5.1 Control de Adquisición AI5.2 Administración de Contratos con Proveedores AI5.3 Selección de Proveedores AI5.4 Adquisición de Recursos TI AI6.1 Estándares y Procedimientos para Cambios AI6.2 Evaluación de Impacto, Priorización y Autorización AI6.3 Cambios de Emergencia AI6.4 Seguimiento y Reporte del Estatus de Cambio AI6.5 Cierre y Documentación del Cambio AI7.1 Entrenamiento AI7.2 Plan de Prueba AI7.3 Plan de Implementación AI7.4 Ambiente de Prueba AI7.5 Conversión de Sistemas y Datos AI7.6 Pruebas de Cambios AI7.7 Prueba de Aceptación Final AI7.8 Promoción a Producción AI7.9 Revisión Posterior a la Implantación DS1.1 Marco de Trabajo de la Administración de los Niveles de Servicio DS1.2 Definición de Servicios DS1.3 Acuerdos de Niveles de Servicio DS1.4 Acuerdos de Niveles de Operación DS1.5 Monitoreo y Reporte del Cumplimiento de los Niveles de Servicio DS1.6 Revisión de los Acuerdos de Niveles de Servicio y de los Contratos DS2.1 Identificación de Todas las Relaciones con Proveedores DS2.2 Gestión de Relaciones con Proveedores DS2.3 Administración de Riesgos del Proveedor DS2.4 Monitoreo del Desempeño del Proveedor DS3.1 Planeación del Desempeño y la Capacidad DS3.2 Capacidad y Desempeño Actual DS3.3 Capacidad y Desempeño Futuros DS3.4 Disponibilidad de Recursos de TI DS3.5 Monitoreo y Reporte DS4.1 Marco de Trabajo de Continuidad de TI

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

DS4 Garantizar la Continuidad del Servicio

DS5 Garantizar la Seguridad de los Sistemas

DS6 Identificar y Asignar Costos DS7 Educar y Entrenar a los Usuarios DS8 Administrar la Mesa de Servicio y los Incidentes

DS9 Administrar la Configuración

DS4.2 Planes de Continuidad de TI DS4.3 Recursos Críticos de TI DS4.4 Mantenimiento del Plan de Continuidad de TI DS4.5 Pruebas del Plan de Continuidad de TI DS4.6 Entrenamiento del Plan de Continuidad de TI DS4.7 Distribución del Plan de Continuidad de TI DS4.8 Recuperación y Reanudación de los Servicios de TI DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones DS4.10 Revisión Post Reanudación DS5.1 Administración de la Seguridad de TI DS5.2 Plan de Seguridad de TI DS5.3 Administración de Identidad DS5.4 Administración de Cuentas del Usuario DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad DS5.6 Definición de Incidente de Seguridad DS5.7 Protección de la Tecnología de Seguridad DS5.8 Administración de Llaves Criptográficas DS5.9 Prevención, Detección y Corrección de Software Malicioso DS5.10 Seguridad de la Red DS5.11 Intercambio de Datos Sensitivos DS6.1 Definición de Servicios DS6.2 Contabilización de TI DS6.3 Modelación de Costos y Cargos DS6.4 Mantenimiento del Modelo de Costos DS7.1 Identificación de Necesidades de Entrenamiento y Educación DS7.2 Impartición de Entrenamiento y Educación DS7.3 Evaluación del Entrenamiento Recibido DS8.1 Mesa de Servicios DS8.2 Registro de Consultas de Clientes DS8.3 Escalamiento de Incidentes DS8.4 Cierre de Incidentes DS8.5 Análisis de Tendencias DS9.1 Repositorio y Línea Base de Configuración DS9.2 Identificación y Mantenimiento de Elementos de Configuración DS9.3 Revisión de Integridad de la Configuración

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

DS10 Administración de Problemas

DS11 Administración de Datos

DS12 Administración del Ambiente Físico

DS13 Administración de Operaciones

ME1 Monitorear y Evaluar el Desempeño de TI

MONITOREAR Y EVALUAR

ME2 Monitorear y Evaluar el Control Interno ME3 Garantizar el Cumplimiento

DS10.1 Identificación y Clasificación de Problemas DS10.2 Rastreo y Resolución de Problemas DS10.3 Cierre de Problemas DS10.4 Integración de las Administraciones de Cambios, Configuración y Problemas DS11.1 Requerimientos del Negocio para Administración de Datos DS11.2 Acuerdos de Almacenamiento y Conservación DS11.3 Sistema de Administración de Librerías de medios DS11.4 Eliminación DS11.5 Respaldo y Restauración DS11.6 Requerimientos de Seguridad para la Administración de Datos DS12.1 Selección y Diseño del Centro de Datos DS12.2 Medidas de Seguridad Física DS12.3 Acceso Físico DS12.4 Protección Contra Factores Ambientales DS12.5 Administración de Instalaciones Físicas DS13.1 Procedimientos e Instrucciones de Operación DS13.2 Programación de Tareas DS13.3 Monitoreo de la Infraestructura de TI DS13.4 Documentos Sensitivos y Dispositivos de Salida DS13.5 Mantenimiento Preventivo del Hardware ME1.1 Enfoque del Monitoreo ME1.2 Definición y Recolección de Datos de Monitoreo ME1.3 Método de Monitoreo ME1.4 Evaluación del Desempeño ME1.5 Reportes al Consejo Directivo y a Ejecutivos ME1.6 Acciones Correctivas ME2.1 Monitoreo del Marco de Trabajo de Control Interno ME2.2 Revisiones de Auditoría ME2.3 Excepciones de Control ME2.4 Control de Auto Evaluación ME2.5 Aseguramiento del Control Interno ME2.6 Control Interno para Terceros ME2.7 Acciones Correctivas ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones y

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

con Requerimientos Externos

ME4 Proporcionar Gobierno de TI

Fuente: Estándar de mejores prácticas COBIT 4.1

Cumplimientos Contractuales ME3.2 Optimizar la Respuesta a Requerimientos Externos ME3.3 Evaluación del Cumplimiento con Requerimientos Externos ME3.4 Aseguramiento Positivo del Cumplimiento ME3.5 Reportes Integrados ME4.1 Establecimiento de un Marco de Gobierno de TI ME4.2 Alineamiento Estratégico ME4.3 Entrega de Valor ME4.4 Administración de Recursos ME4.5 Administración de Riesgos ME4.6 Medición del Desempeño ME4.7 Aseguramiento Independiente

ELECTROLOBO LTDA. Guía Auditoría de Sistemas

Anexo 2. ETAPAS PROCESO DE AUTORÍA DE SISTEMAS

FASE

ACTIVIDADES

1. Identificar el origen de la auditoria. 2. Realizar visitas para conocer procesos, activos informáticos, procesos y Conocimiento organización del área auditada. del sistema o3. Determinar las vulnerabilidades, y amenazas informáticas a que está expuesta la área auditada organización. 4. Determinar el objetivo de la auditoría de acuerdo a las vulnerabilidades, y amenazas informáticas encontradas. 1. Elaborar el plan de auditoría 2. Seleccionar los estándares a utilizar de acuerdo al objetivo (COBIT, MAGERIT, ISO/IEC 27001, ISO/IEC 27002, otro) 3. De acuerdo al estándar elegido, seleccionar los ítems que serán evaluados que Planeación de estén en relación directa con el objetivo y alcances definidos en el plan. la Auditoria4. Seleccionar el equipo de trabajo y asignar tareas específicas de Sistemas5. Determinar las actividades que se llevarán a cabo y los tiempos en que serán llevadas a cabo en cada ítem evaluado. (Programa de auditoría) 6. Diseñar instrumentos para recolección de información (formatos de entrevistas, formatos de listas de chequeo, formatos de cuestionarios) 7. Diseñar el plan de pruebas (formato pruebas) 1. Aplicar los instrumentos de recolección de información diseñados 2. Ejecutar las pruebas del plan de pruebas Ejecución de3. Levantar la información de activos informáticos de la organización auditada 4. Determinar las vulnerabilidades y amenazas informáticas aplicando una la Auditoria metodología (MAGERIT) de Sistemas5. Realizar la valoración de las amenazas y vulnerabilidades encontradas y probadas 6. Realizar el proceso de evaluación de riesgos 7. Determinar el tratamiento de los riesgos 1. Determinar las soluciones para los hallazgos encontrados (controles) Resultados de2. Elaborar el Dictamen para cada uno de los procesos evaluados. la Auditoria3. Elaborar el informe final de auditoría para su presentación y sustentación de Sistemas4. Integrar y organizar los papeles de trabajo de la auditoria 5. Diseñar las políticas y procedimientos integrando los controles definidos

Fuente: Auditoría Informática y de Sistemas