Metodologa para realizar auditora

Etapa de planeacin

El primer paso para realizar una auditora de sistemas es la planeacin de cmo

se va a ejecutar la auditora, donde se debe identificar de forma clara las razones
por las que se va a realizar la auditora, la determinacin del objetivo de la misma,
el diseo de mtodos, tcnicas y procedimientos necesarios para llevarla a cabo y
para la solicitud de documentos que servirn de apoyo para la ejecucin,
terminando con la elaboracin de la documentacin de los planes, programas y
presupuestos para llevarla a cabo.

Identificar el origen: Este es el primer paso para iniciar la planeacin de la

auditora, en esta se debe determinar por qu surge la necesidad o inquietud de
realizar una auditora. Las preguntas que se deben contestar de dnde?, por
qu?, Quin? o para qu? Se quiere hacer la evaluacin de algn aspecto de
los sistemas de la empresa.

Visita preliminar al rea informtica: Este es el segundo paso en la planeacin

de la auditora y consiste en realizar una visita preliminar al rea de informtica
que ser auditada, luego de conocer el origen de la peticin de realizar la auditora
y antes de iniciarla formalmente; el propsito es el de tener un primer contacto con
el personal asignado a dicha rea, conocer la distribucin de los sistemas y donde
se localizan los servidores y equipos terminales en el centro de cmputo, sus
caractersticas, las medidas de seguridad y otros aspectos sobre que
problemticas que se presentan en el rea auditada.

Aqu se deben tener en cuenta aspectos tales como:

1
- La visita inicial para el arranque de la auditora cuya finalidad es saber Cmo se
encuentran distribuidos los equipos en el rea?, Cuntos, cules, cmo y de qu
tipo son los servidores y terminales que existen en el rea?, Qu caractersticas
generales de los sistemas que sern auditados?, Qu tipo de instalaciones y
conexiones fsicas existen en el rea?, Cul es la reaccin del personal frente al
auditor?, Cules son las medidas de seguridad fsica existentes en el rea?, y
Qu limitaciones se observan para realizar la auditora?. Con esta informacin el
auditor podr disear las medidas necesarias para una adecuada planeacin de la
auditora y establecer algunas acciones concretas que le ayuden al desarrollo de
la evaluacin.

Establecer los objetivos: Los objetivos de la planeacin de la auditora son:

- Objetivo general: Que se pretende alcanzar con el desarrollo de la auditora

informtica y de sistemas, en l se plantean todos los aspectos que se pretende
evaluar.

- Objetivo especfico: Se seala especficamente los sistemas, componentes o

elementos concretos que deben ser evaluados.

Determinar los puntos que sern evaluados: Una vez determinados los
objetivos de la auditora se debe relacionar los aspectos que sern evaluados, y
para esto se debe considerar aspectos especficos del rea informtica y de los
sistemas computacionales tales como: la gestin administrativa del rea
informtica y el centro de cmputo, el cumplimiento de las funciones del personal
informtico y usuarios de los sistemas, los sistemas en desarrollo, la operacin de
los sistemas en produccin, los programas de capacitacin para el personal del
rea y usuarios de los sistemas, proteccin de las bases de datos, datos
confidenciales y accesos a las mismas, proteccin de las copias de seguridad y la
restauracin de la informacin, entre otros aspectos.

2
Elaborar planes, programas y presupuestos: Para realizar la planeacin formal
de la auditora informtica y de sistemas, en la cual se concretan los planes,
programas y presupuestos para llevarla a cabo se debe elaborar los documentos
formales para el desarrollo de la auditora, donde se delimiten las etapas, eventos
y actividades y los tiempos de ejecucin para el cumplimiento del objetivo,
anexando el presupuesto con los costos de los recursos que se utilizarn para
llevarla a cabo.

Se toma en consideracin: las actividades que se van a realizar, los responsables

de realizarlas, los recursos materiales y los tiempos; el flujo de eventos que sirven
de gua; la estimacin de los recursos humanos, materiales e informticos que
sern utilizados; los tiempos estimados para las actividades y para la auditora; los
auditores responsables y participantes de las actividades; otras especificaciones
del programa de auditora.

Seleccionar los mtodos y procedimientos: En este se determina la

documentacin y medios necesarios para llevar a cabo la revisin y evaluacin en
la empresa, seleccionando o diseando los mtodos, procedimientos,
herramientas, e instrumentos necesarios de acuerdo a los planes, presupuestos y
programas establecidos anteriormente para la auditora. Se debe considerar:
establecer la gua de ponderacin de cada uno de los puntos que se debe evaluar;
elaborar una gua de la auditora; elaborar el documento formal de la gua de
auditora; determinar las herramientas, mtodos y procedimientos para la auditora
de sistemas; disear los sistemas, programas y mtodos de pruebas para la
auditora.

Asignar los recursos y sistemas computacionales: Finalmente se debe asignar

los recursos que sern utilizados para realizar la auditora.

Etapa de ejecucin de la auditora

La siguiente etapa despus de la planeacin de la auditora es la ejecucin de la

misma, y est determinada por las caractersticas propias, los puntos elegidos y
los requerimientos estimados en la planeacin.

3
Etapa de dictamen de la auditora

Luego de la planeacin y ejecucin es emitir el dictamen, que es el resultado final

de la auditora, donde se presentan los siguientes puntos: la elaboracin del
informe de las situaciones que se han detectado, la elaboracin del dictamen final
y la presentacin del informe de auditora.

Analizar la informacin y elaborar un informe de la situacin: Junto con la

deteccin de las oportunidades de mejoramiento se debe realizar el anlisis de
los papeles de trabajo y la elaboracin del borrador de las oportunidades
detectadas, para ser discutidas con los auditados, despus se hacen las
modificaciones necesarias y posteriormente el informe final de las situaciones
detectadas.

Elaborar el dictamen final: El auditor debe terminar la elaboracin del informe

final de auditora y complementarlo con el dictamen final. Una vez comentadas las
desviaciones con los auditados, se elabora el informe final, lo cual es garanta de
que los auditados ya aceptaron las desviaciones encontradas y que luego se
llevan a documentos formales.

Elaborar el informe Formal: El ltimo paso de esta metodologa es presentar

formalmente el informe y el dictamen de la auditora, tanto el informe como el
dictamen deben presentarse en forma resumida, correcta y profesional. La
presentacin de la misma se hace en una reunin directiva y por eso es
indispensable usar un lenguaje claro tanto en el informe como en la exposicin del
mismo. El informe debe contener: la carta de presentacin, el dictamen de la
auditora, el informe de situaciones relevantes y los anexos y cuadros estadsticos.

Al elaborar el dictamen formal se hace tomando en cuenta el informe comentado a

los directivos, junto al formato de hallazgos o desviaciones y los papeles de
trabajo de cada uno de los auditores. La integracin del dictamen y el informe final
de auditora deben ser elaborados con la mxima perfeccin, tratando de evitar

4
errores. Tambin deben contener de manera clara y concreta, las desviaciones
detectadas en la evaluacin.

Fuente: Esta investigacin

5
COBIT (Objetivos de Control para la informacin y Tecnologas relacionadas)

Las mejores prcticas en auditora recomiendan COBIT como la herramienta

estndar para tecnologas de informacin ms utilizada en la ejecucin de
auditoras.
Niveles de COBIT: La estructura del estndar COBIT se divide en dominios que
son agrupaciones de procesos que corresponden a una responsabilidad personal,
procesos que son una serie de actividades unidas con delimitacin o cortes de
control y objetivos de control o actividades requeridas para lograr un resultado
medible.

Se definen 34 objetivos de control generales, uno para cada uno de los procesos
de las TI. Estos procesos estn agrupados en cuatro grandes dominios que se
describen a continuacin junto con sus procesos y una descripcin general de las
actividades de cada uno:

Dominio: Planificacin y Organizacin

Cubre la estrategia y las tcticas, se refiere a la identificacin de la forma en que la

tecnologa informacin puede contribuir de la mejor manera al logro de los
objetivos de la organizacin. La consecucin de la visin estratgica debe ser
planeada, comunicada y administrada desde diferentes perspectivas y debe
establecerse una organizacin y una infraestructura tecnolgica apropiadas.

Procesos:

Definicin de un plan estratgico: Lograr un balance ptimo entre las

oportunidades y los requerimientos de TI de negocio, para asegurar sus
logros futuros.
Definicin de la arquitectura de Informacin: Satisfacer los
requerimientos de la organizacin, en cuanto al manejo y gestin de los

6
 sistemas de informacin, a travs de la creacin y mantenimiento de un
modelo de informacin de la organizacin.

Determinacin de la direccin tecnolgica: Aprovechar al mximo de la

tecnologa disponible o tecnologa emergente, satisfaciendo los
requerimientos de la organizacin, a travs de la creacin y mantenimiento
de un plan de infraestructura tecnolgica.
Definicin de la organizacin y de las relaciones de TI: Prestacin de
servicios de TI, por medio de una organizacin conveniente en nmero y
habilidades, con tareas y responsabilidades definidas y comunicadas.
Manejo de la inversin: Satisfaccin de los requerimientos de la
organizacin, asegurando el financiamiento y el control de desembolsos de
recursos financieros.
Comunicacin de la direccin y aspiraciones de la gerencia: Asegurar
el conocimiento y comprensin de los usuarios sobre las aspiraciones de la
gerencia, a travs de polticas y transmitidas a la comunidad de usuarios,
necesitndose para esto estndares para traducir las opciones estratgicas
en reglas de usuario prcticas y utilizables.
Administracin de recursos humanos: Maximizar las contribuciones del
personal a los procesos de TI, satisfaciendo as los requerimientos de
negocio, a travs de tcnicas slidas para administracin de personal.
Asegurar el cumplimiento con los requerimientos externos: Cumplir
con obligaciones legales, regulatorias y contractuales, para ello se realiza
una identificacin y anlisis de los requerimientos externos en cuanto a su
impacto en TI, llevando a cabo las medidas apropiadas para cumplir con
ellos.
Evaluacin de riesgos: Asegurar el logro de los objetivos de TI y
responder a las amenazas, mediante la participacin de la propia
organizacin en la identificacin de riesgos y en el anlisis de impacto,
tomando medidas econmicas para mitigar los riesgos.

7
 Administracin de proyectos: Establecer prioridades y entregar servicios
oportunamente, de acuerdo al presupuesto de inversin, para ello se realiza
una identificacin y priorizacin de los proyectos en lnea con el plan
operacional por parte de la misma organizacin. Adems deber adoptar y
aplicar slidas tcnicas para cada proyecto emprendido.
Administracin de calidad: Satisfacer los requerimientos del cliente.
Mediante una planeacin, implementacin y mantenimiento de estndares y
sistemas de calidad por parte de la organizacin.

Dominio: Adquisicin e implementacin

Para llevar a cabo la estrategia, las soluciones de TI deben ser identificadas,

desarrolladas o adquiridas, as como implementadas e integradas dentro del
proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.

Procesos:

Identificacin de soluciones automatizadas: Asegurar el mejor enfoque

para cumplir con los requerimientos del usuario, mediante un anlisis de las
oportunidades contra los requerimientos de los usuarios.
Adquisicin y mantenimiento del software aplicativo: Proporcionar
funciones automatizadas mediante declaraciones especficas sobre
requerimientos funcionales, operacionales y una implementacin
estructurada.
Adquisicin y mantenimiento de la infraestructura tecnolgica:
Proporcionar las plataformas apropiadas para soportar aplicaciones de
negocios mediante la realizacin de una evaluacin del desempeo,
mantenimiento preventivo, la instalacin, seguridad y control del software
del sistema.

8
 Desarrollo y mantenimiento de procedimientos: Asegurar el uso
apropiado de las tecnologas establecidas, mediante el desarrollo de
manuales de procedimientos de operaciones para usuarios, requerimientos
de servicio y material de entrenamiento.
Instalacin y aceptacin de los sistemas: Confirmar que la solucin sea
adecuada, mediante la realizacin de una migracin de instalacin,
conversin y plan de aceptacin adecuadamente formalizada.
Administracin de los cambios: Minimizar la probabilidad de
interrupciones, alteraciones no autorizadas, errores, mediante un sistema
de administracin que permita el anlisis, implementacin y seguimiento de
todos los cambios requeridos a la infraestructura de TI actual.

Dominio: Servicios y soporte

En este dominio se hace referencia a la entrega de los servicios requeridos, que

abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por
seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern
establecerse los procesos de soporte necesarios. Este dominio incluye el
procesamiento de los datos por sistemas de aplicacin, frecuentemente
clasificados como controles de aplicacin.

Procesos:

Definicin de niveles de servicio: Establecer una comprensin comn del

nivel de servicio requerido, mediante el establecimiento de convenios que
formalicen los criterios de desempeo contra los cuales se medir la
cantidad y la calidad del servicio.
Administracin de servicios prestados por terceros: Asegurar mediante
el establecimiento de medidas de control dirigidas a la revisin, monitoreo
de contratos y procedimientos existentes, para medir su efectividad y
suficiencia, con respecto a las polticas de la organizacin.

9
 Administracin de desempeo y capacidad: Realizar controles de
manejo de capacidad, desempeo que recopilen datos, manejo de cargas
de trabajo, tamao de aplicaciones, manejo y demanda de recursos.
Asegurar el servicio continuo: Mantener el servicio disponible de acuerdo
con los requerimientos y continuar su suministro en caso de interrupciones,
mediante un plan de continuidad probado, relacionado con los
requerimientos de negocio.
Garantizar la seguridad de sistemas: Realizar controles de acceso lgico
que aseguren sistemas, datos y programas a solo usuarios autorizados
para salvaguardar la informacin contra uso no autorizado, divulgacin,
modificacin, dao o prdida.
Educacin y entrenamiento de usuarios: Asegurar que los usuarios
estn haciendo un uso efectivo de la tecnologa, estn conscientes de los
riesgos, responsabilidades, realizando un plan completo de entrenamiento y
desarrollo.
Identificacin y asignacin de costos: Realizar un sistema de
contabilidad de costos que stos sean registrados, calculados y asignados
a los niveles de detalle requeridos.
Apoyo y asistencia a los clientes de TI: Asegurar que cualquier problema
experimentado por los usuarios sea atendido apropiadamente realizando
una mesa de ayuda que proporcione soporte y asesora de primera lnea.
Administracin de la configuracin: Dar cuenta de todos los
componentes de TI, prevenir alteraciones no autorizadas, verificar la
existencia fsica y proporcionar una base para el sano manejo de cambios,
realizando controles que identifiquen y registren todos los activos de TI, as
como su localizacin fsica y un programa regular de verificacin que
confirme su existencia.
Administracin de problemas: Asegurar que los problemas e incidentes
sean resueltos y sus causas sean investigadas para prevenir que vuelvan a
suceder implementando un sistema de manejo de problemas para registrar
y dar seguimiento a todos los incidentes.
Administracin de datos: Asegurar que los datos permanezcan
completos, precisos, vlidos durante su entrada, actualizacin, salida y

10
 almacenamiento, a travs de una combinacin efectiva de controles
generales y de aplicacin sobre las operaciones de TI.
Administracin de las instalaciones: Proporcionar un ambiente fsico
conveniente que proteja al equipo y al personal de TI contra peligros
naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace
posible con la instalacin de controles fsicos y ambientales adecuados que
sean revisados regularmente para su funcionamiento apropiado definiendo
procedimientos que provean control de acceso del personal a las
instalaciones y contemplen su seguridad fsica.
Administracin de la operacin: Asegurar que las funciones importantes
de soporte de TI estn siendo llevadas a cabo regularmente, de una
manera ordenada a travs de una calendarizacin de actividades de
soporte que sea registrada y completada.

Dominio: Monitoreo

Todos los procesos de una organizacin necesitan ser evaluados regularmente a

travs del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control, integridad y confidencialidad.

Procesos

Monitoreo del proceso: Asegurar el logro de los objetivos establecidos

para los procesos de TI, se define por parte de la gerencia reportes e
indicadores de desempeo gerenciales, la implementacin de sistemas de
soporte as como la atencin regular a los reportes emitidos.
Evaluar el control interno: Asegurar el logro de los objetivos de control
interno establecidos para los procesos de TI.
Obtencin de aseguramiento independiente: Incrementar los niveles de
confianza entre la organizacin, clientes y proveedores externos. Este
proceso se lleva a cabo a intervalos regulares de tiempo.
Proveer auditora independiente: Incrementar los niveles de confianza y
beneficiarse de recomendaciones basadas en mejores prcticas de su

11
 implementacin, lo que se logra con el uso de auditoras independientes
desarrolladas a intervalos regulares de tiempo.

Diseo de formatos para auditora de sistemas

Para la planeacin del proceso de auditora es necesario el diseo de los formatos

para el proceso de recoleccin de informacin y la presentacin de los resultados,
estos documentos denominados papeles de trabajo finalmente son organizados

12
por cada proceso es evaluado y al final se presenta el dictamen y el informe final
de resultados.

En los diferentes formatos se observa los siguientes campos que deben ser
diligenciados por el auditor para cada uno de los procesos evaluados:

o Ref.: Se refiere al ID del elemento.

o Entidad auditada: Nombre de la entidad a la cual se le est realizando el
proceso de auditora.
o Proceso auditado: Nombre del proceso objeto de la auditora.
o Responsable: Nombres del equipo auditor.
o Material de soporte: Nombre del material que soporta el proceso, (COBIT).
o Dominio: Nombre del dominio de COBIT que se est evaluando.
o Proceso: Nombre del proceso en especfico que se est auditando dentro
de los dominios del COBIT.
o Fuente de conocimiento: Se indicara la fuente de donde proviene la
informacin (documento, plano, manual, entrevista con la persona, otra
fuente).
o Repositorio prueba aplicable: Pruebas que sern aplicadas en cada uno
de los procesos de acuerdo a los objetivos de control que pretendan
evaluarse.
o Prueba de anlisis: Las pruebas de anlisis hacen referencia a las
pruebas que pueden aplicarse en el proceso mediante comparacin
(benchmarking) o por revisin y anlisis documental.

o Prueba de ejecucin: Hacen referencia a las pruebas que se pueden

hacer en caliente sobre los sistemas o software que se pretende auditar. Se
hacen sobre los sistemas en produccin en las auditoras de seguridad
(redes, base de datos, seguridad lgica, sistemas operativos), auditoras a
la funcionalidad del software y las entradas y salidas del sistema.
o rea o sistema auditado: Se indica el rea o sistema auditado.

13
 o Objetivo de la entrevista: Hace una breve referencia al objetivo que se
pretende con la aplicacin de la entrevista y el proceso COBIT que se est
revisando.
o Descripcin de actividad/prueba: Se hace una breve referencia al
objetivo del proceso seleccionado dentro de los dominios del COBIT que se
est revisando.
o Entrevistado: Nombre de la persona entrevistada.
o Cargo: Nombre del cargo de la persona que ser entrevistada.
o Tema: Los temas que sern tratados en la entrevista por parte del auditor.
o Pregunta: Espacio donde se indicara la descripcin de la consulta.
o Auditores: Informacin de quien ser el auditor que aplica la entrevista.
o Fecha aplicacin: Fecha en que se aplica la entrevista.
o Hallazgo: Aqu se encontrara la descripcin de cada hallazgo, as como la
referencia al cuestionario cuantitativo que lo soporta.
o Consecuencias y riesgos: En este apartado se encuentra la descripcin
de las consecuencias del hallazgo as como la cuantificacin del riesgo
encontrado.
o Evidencias: Aqu encontramos en nombre de la evidencia y el nmero del
anexo donde sta se encuentra.
o Recomendaciones: En este ltimo apartado se hace una descripcin de
las recomendaciones que el equipo auditor ha presentado a las entidades
auditadas

Formato de definicin de fuentes de conocimiento

Es usado para especificar quien tiene la informacin o que documento la posee y

las pruebas de anlisis o ejecucin que deber practicarse en cada proceso
evaluado.

14
Formato de entrevista

Fuente de informacin importante dentro de la auditora, en ellas se refleja la

opinin de los auditados acerca del tema tratado y en muchas ocasiones las
grabaciones son la fuente de evidencia que soporta la auditora. La entrevista

15
puede aplicarse al inicio de la auditora para conocer los aspectos generales y
durante el proceso de auditora con la intencin de conocer en profundidad el tema
evaluado. La entrevista generalmente se aplica solo al personal clave
(administrador del sistema, usuarios de mayor experiencia, administrador del rea
informtica, otros).

Formato cuestionario

El formato del cuestionario tiene dos objetivos, en primer lugar la confirmacin de

los riesgos ya detectados anteriormente y en segundo lugar descubrir nuevos

16
riesgos que an no se haya detectado. El cuestionario se aplica solamente al
personal clave que posee la informacin para responderlo, por eso es
necesario identificar las personas que puedan dar respuesta a los interrogantes
planteados en el cuestionario. Las preguntas en el cuestionario son de dos
tipos, el primer tipo son las preguntas sobre la existencia de controles o riesgos, y
el segundo tipo son las de completitud que tienen por objetivo saber si se est
aplicando completamente los controles o de manera parcial.

Al responder cada una de las preguntas no solamente se debe marcar la

respuesta de S o NO con una X sino que se debe dar un valor cuantitativo en
una escala de 1 a 5, donde el valor ms bajo 1, 2, 3 son valores de la poca
importancia de la existencia de controles y 4, 5 que son los valores ms altos en la
escala significan que tienen mayor importancia para el auditor. Mediante estas
calificaciones se trata de medir el grado del riesgo a que se ve expuesto el
proceso que est siendo evaluado.

Este cuestionario cuantitativo est conformado por los siguientes tems:

17
 o Descripcin de actividad/prueba: Se hace una breve referencia al
objetivo del proceso seleccionado dentro de los dominios del COBIT que se
est revisando.
o Material de soporte: Se indica el nombre del material que soporta el
proceso, para el caso ser COBIT.
o S No: Posibilidades de respuesta cuantitativa (1, 2, 3, 4, 5) para medicin
del nivel de riesgo.
o Porcentaje de riesgo: Hace referencia a la probabilidad de que el proceso
se vea afectado por las acciones de las cuales se est indagando, entre
mas alto el porcentaje mayor probabilidad de riesgo tiene el proceso de salir
perjudicado.

El clculo de este porcentaje se hace de la siguiente forma:

Porcentaje de riesgo parcial = (Total SI * 100) / Total

Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Las equivalencias utilizadas para la puntuacin sern de uno a cinco, siendo uno
el valor mnimo considerado de poca importancia y cinco el mximo considerado
de mucha importancia.

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente

categorizacin:

1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio

71% - 100% = Riesgo Alto

Formato de hallazgos

18
Una vez los riesgos han sido conformados mediante pruebas y evidencias, estos
riesgos pasan a denominarse hallazgos. Los formatos de los hallazgos son de
suma importancia en la auditora ya que llevan la informacin de todo el proceso
realizado y una descripcin de cmo se est presentando el riesgo, sus
consecuencias para la medicin o valoracin en el proceso de evaluacin de
riesgos que se lleva a cabo posteriormente. Adems en el formato de hallazgos se
puede encontrar la informacin de las recomendaciones para determinar los
posibles controles para mitigarlos.

Listas de chequeos

19
Tiene como objetivo fundamental la verificacin de la existencia de controles en
cada uno de los procesos evaluados. Se usa para verificar el cumplimiento de una
norma estndar que se debe evaluar en la auditora.

La norma se divide en 4 dominios, 32 procesos y 334 objetivos de control, donde

cada dominio se divide en procesos y en cada proceso existen varios objetivos de
control. En cada objetivo de control estn descritos los controles generales que
debera existir, por lo tanto las preguntas de la lista de chequeo deben ser
solamente de existencia de esos controles en el proceso evaluado.

Las respuestas a esas preguntas de la lista de chequeo para cada proceso deben
responderse marcando solamente la respuesta S o No o N/A (S/No/NA) o
cumple totalmente, cumple parcialmente o no cumple (CT/CP/NC).

Plan de pruebas

20
El plan de pruebas debe prepararse y ejecutarse con anticipacin para poder
hacer las solicitudes de permiso al rea informtica o al administrador del sistema
que ser evaluado. Las pruebas deben llevarse a cabo en el tiempo que demore la
auditora y habr algunas pruebas que requieran ms tiempo, por lo tanto esas
pruebas quedarn dentro de las recomendaciones para que sean ejecutadas
posterior a la auditora.

Cada uno de los auditores debe planear las pruebas para cada uno de los
procesos de acuerdo a los aspectos que se requiera evaluar, por lo tanto es
responsabilidad del auditor determinar las pruebas que sirvan para soportar el
dictamen de la auditora en cada uno de los procesos.

Anlisis y evaluacin de riesgos

21
Para este proceso tan importante dentro de la auditora es necesario que ya se
haya identificado inicialmente las vulnerabilidades y amenazas existentes en cada
uno de los procesos evaluados, y que se haya definido los riesgos existentes a
causa de esas debilidades.

Una vez se identifican los riesgos se procede a hacer un anlisis y evaluacin de

los mismos, en el anlisis hay que determinar cmo se est presentando el riesgo,
las causas posibles que lo originan, en que procesos se presentan y quien es el
personal involucrado en cada uno de ellos.

Una vez analizados los riesgos se procede a hacer la evaluacin teniendo en

cuenta los criterios de frecuencia con que se presenta el riesgo en el tiempo
(probabilidad) y el impacto que ellos pueden causar de llegar a concretarse
(impacto). Para cada uno de estos criterios existen unas escalas de valoracin de
tipo cualitativo que pueden tener una lectura cuantitativa para poder determinar la
probabilidad e impacto de estos riesgos.

Este proceso puede llevarse a cabo inicialmente para determinar una lista de
riesgos iniciales general y proponer el objetivo de la auditora de acuerdo a los
resultados, si se observa que los problemas se originan en la infraestructura
tecnolgica entonces la auditora deber orientarse hacia el anlisis de dicha
infraestructura. Una vez iniciado el proceso de auditora el proceso de anlisis y
evaluacin de riesgos me permite evaluar cada uno de los dominios y procesos
(COBIT) que se han seleccionado para la valoracin de los riesgos en dicho
proceso.

22
23
Matriz de probabilidad de impacto

Esta matriz fue creada para catalogar un riesgo y saber qu clase de dao puede
causar un mal procedimiento en el proceso auditado. En la matriz existe la
columna de probabilidad de ocurrencia donde se pondr el valor del porcentaje de
riesgo segn su resultado. Luego se deber determinar el impacto segn la
relevancia del proceso, esta clasificacin ser hecha por el equipo auditor
basndose en el conocimiento de la entidad y del proceso auditado. Una vez
hechos estos procedimientos se podr clasificar el riesgo para su mejor
entendimiento en la matriz grfica.

Escala de probabilidad:

Bajo.
Medio.
Alto.

Fjense que lo importante es la unidad de tiempo en que se mide, en un sistema

puede que se presenten errores todo los das o varias veces en una hora, por lo
tanto la medicin debe hacerse de acuerdo al proceso evaluado y a los riesgos
que pueden presentarse, tambin hay que tener en cuenta si se est evaluando el
rea informtica, sus activos de hardware, el personal o uno de los sistemas
especficamente.

24
Escala de impacto:

Leve: Cuando el riesgo afecta a una sola persona o dependencia de la

organizacin.
Moderado: Cuando el riesgo afecta a un grupo de personas o a toda una
dependencia.
Catastrfico: Cuando se paraliza completamente la actividad en la
organizacin.

Gua de hallazgo

Teniendo en cuenta la aplicacin de los instrumentos para recoleccin de

informacin, los objetivos planteados con anterioridad y los riesgos definidos en la
Matriz se obtienen las siguientes tablas de hallazgos para cada uno de ellos.

25
Resultados de la auditora

Dictamen de la auditora

Para elaborar el dictamen de la auditora, el auditor debe tener en cuenta los

hallazgos encontrados en el proceso evaluado y los controles existentes. El
dictamen es el concepto del auditor sobre el nivel de madurez en el que se
encuentra el proceso evaluado respecto de la norma. La escala de medicin se
encuentra en la norma COBIT, los valores son de tipo cuantitativo, pero se
convierten a cualitativos para explicar el porqu de esa valoracin.

El dictamen se clasificar en los siguientes niveles:

No existente: no se aplican procesos administrativos en lo absoluto

Inicial: Los procesos son espontneos y desorganizados. No se ha
implementado procesos estndar para el procesamiento de informacin.
Repetible: Los procesos siguen un patrn regular o estndar; pero no se
ha documentado suficientemente. Falta capacitacin del personal
encargado. La eficiencia y eficacia depende en gran parte del conocimiento
y profesionalismo de los empleados y contratistas.
Definido: Los procesos estn estandarizados, se documentan, se
comunican y se capacita al personal encargado; pero no se miden o se
hacen mediciones parciales de las metas.
Administrado: Los procesos estn estandarizados, se documentan, se
comunican, se capacita al personal, se monitorean y se miden: se utiliza
mtricas de rendimiento, se establecen metas de mejoramiento.
Optimizado: Las buenas prcticas se siguen y se automatizan. Los
controles son permanentes y se utiliza software para implementarlos.

Caso de emergencia del COBIT

26
2.2 Ejemplo de una auditora
Plan de Auditora

Antecedentes: En las aulas de informtica de una institucin educativa se realiza

anualmente un plan de seguimiento a todos los procesos tcnicos y acadmicos
de la institucin, esto debido a que las instituciones requieren la acreditacin de
calidad en el manejo de sus procesos y para ello se hace necesario realizar
auditoras internas permanentes y de tipo externo peridicamente para lograrlo.

Uno de los recursos tecnolgicos disponibles en las instituciones educativas es el

de la red de datos que opera en las diferentes sedes y que generalmente se
encuentra certificada bajo la normas de la IEEE\EIA\TIA, las cuales se deben
cumplir estrictamente.

Objetivos

Objetivo general:

Realizar la revisin y verificacin del cumplimiento de normas mediante una

auditora a la infraestructura fsica de la red de datos en una de las instituciones
educativas.

Objetivos especficos:

Planificar la auditora que permita identificar las condiciones actuales de la

red de datos de la institucin educativa.
Aplicar los procesos de auditora teniendo en cuenta el modelo estndar de
auditora COBIT como herramienta de apoyo en el proceso inspeccin de
la red de datos de la institucin educativa.
Identificar las soluciones para la construccin de los planes de
mejoramiento a la red de la institucin educativa de acuerdo a los
resultados obtenidos en la etapa de aplicacin del modelo de auditora.

27
Alcance y delimitacin: La presente auditora pretende identificar las condiciones
actuales del hardware, la red de datos y elctrica de la institucin educativa, con
el fin de verificar el cumplimiento de normas y la prestacin del servicio de internet
para optimizar el uso de los recursos existentes para mejorar el servicio a los
usuarios.

Los puntos a evaluar sern los siguientes:

De las instalaciones fsicas se evaluar:

Instalaciones elctricas
Instalacin cableada de la red de datos
Sistemas de proteccin elctricos.
Seguridad de acceso fsico a las instalaciones

De equipos o hardware se evaluar:

Inventarios de hardware de redes y equipos

Mantenimiento preventivo y correctivo de equipos y redes
Hojas de vida de los equipos de cmputo y redes
Los programas de mantenimiento de los equipos de cmputo y redes
Revisin de informes de mantenimiento.
Personal encargado de mantenimiento.
Obsolescencia de la tecnologa

Metodologa: Para el cumplimiento de los objetivos planteados en la auditora, se

realizaran las siguientes actividades:

1. Investigacin preliminar: visitas a la institucin para determinar el estado

actual de la organizacin, entrevistas con administradores y usuarios de las
redes para determinar posibles fallas, entrevistas con administrador y
usuarios para determinar la opinin frente al hardware existente y
obsolescencia de equipos.

2. Recolectar informacin: Diseo de formatos de entrevistas, diseo de

formatos para listas de chequeo, diseo de formatos para cuestionarios,
diseo del plan de pruebas, seleccin del estndar a aplicar, elaboracin
28
 del programa de auditora, distribucin de actividades para los integrantes
del grupo de trabajo.
3. Aplicacin de instrumentos: Aplicar entrevistas al administrador y usuarios,
aplicar listas de chequeo para verificar controles, aplicar cuestionarios para
descubrir nuevos riesgos y conformar los que han sido detectados
anteriormente.
4. Ejecucin de las pruebas: ejecutar las pruebas para determinar la
obsolescencia del hardware, ejecutar pruebas sobre la red, ejecutar
pruebas para comprobar la correspondencia de los inventarios con la
realidad.
5. Realizar el proceso de anlisis y evaluacin de riesgos: elaborar el cuadro
de vulnerabilidades y amenazas a que se ven enfrentados, determinar los
riesgos a que se ven expuestos, hacer la evaluacin de riesgos, elaborar el
mapa o matriz de riesgos.
6. Tratamiento de riesgos: determinar el tratamiento de los riesgos de acuerdo
a la matriz de riesgos, proponer controles de acuerdo a la norma de buenas
prctica aplicada, definir las posibles soluciones.
7. Dictamen de la auditora: Determinar el grado de madurez de la empresa en
el manejo de cada uno de los procesos evaluados, medir el grado de
madurez de acuerdo a los hallazgos detectados en cada proceso.
8. Informe final de auditora: elaboracin del borrador del informe tcnico de
auditora para confrontarlo con los auditados, elaboracin del informe
tcnico final, elaboracin del informe ejecutivo, organizacin de papeles de
trabajo para su entrega.

Recursos:

Humanos: La auditora se llevar a cabo por el grupo de auditores

especializados en redes de datos con la asesora metodolgica de un
Ingeniero Auditor.

29
 Fsicos: Instalaciones de la institucin educativa, aulas de informtica y
dispositivos de red.
Tecnolgicos: Equipos de cmputo, software instalado para la red, cmara
digital, Intranet institucin educativa.

Presupuesto:

Cronograma:

Plan de auditora

Objetivo general: Evaluar el sistema de informacin de usado para el sistema de

matrcula para garantizar la seguridad en cuanto a confidencialidad, integridad y
disponibilidad que permitan el mejoramiento del sistema de control existente.

30
Alcances: En cuanto a los alcances de la auditora se trabajar el mdulo de
matrcula acadmica en lnea, incluyendo los procesos de registro y control, y el
sistema de control interno que maneja la dependencia para la proteccin de los
datos e informacin. Del mdulo de matrcula acadmica se evaluar: Asignaturas
a matricular del Pensum, asignaturas a matricular de formacin humanstica,
matricular idiomas extranjeros, cancelacin de asignaturas del Pensum,
cancelacin de formacin humansticas, cancelacin idiomas extranjeros,
autorizaciones, reporte de matrcula, actualizacin de informacin, calificaciones,
calendario, horarios, horarios humanstica.

En cuanto al hardware: Se evaluar el inventario de hardware de servidores,

equipos y redes, incluyendo los procesos mantenimiento, adquisicin y
actualizacin de los mismos.

En cuanto al sistema: Se evaluar la funcionalidad, procesamiento, seguridad

perimetral del sistema, seguridad interna del sistema, entradas y salidas
generadas por el sistema, calidad de los datos de entrada, la configuracin del
sistema, la administracin del sistema, planes de contingencias.

En cuanto a la operatividad del sistema: Se evaluar los usuarios que manejan

la informacin, la administracin del sistema y el monitoreo del sistema.

Teniendo en cuenta el objetivo y los alcances especificados anteriormente, y una

vez seleccionado el estndar a trabajar (COBIT 4.1), se selecciona los dominios y
procesos del estndar que tengan relacin directa con el objetivo y los alcances.

Programa de auditora

Para realizar el proceso de auditora al sistema de informacin de registro y control

acadmico, se utilizar el estndar de mejores prctica en el uso de tecnologa de
informacin (TI) COBIT (Objetivos de Control para la Informacin y Tecnologas

31
Relacionadas), donde se especifica el dominio, el proceso y los objetivos de
control que se debe trabajar en relacin directa con el objetivo y alcances, dentro
de ellos se elegira los siguientes:

Dominio: Planeacin y Organizacin (PO). Este dominio cubre las estrategias y

las tcticas, tiene que ver con identificar la manera en que las tecnologas de
informacin pueden contribuir de la mejor manera al logro de los objetivos de una
entidad. Los procesos seleccionados que se revisar son los siguientes:

Procesos:

PO1 Definir un Plan Estratgico de TI: La definicin de un plan estratgico de

tecnologa de informacin, permite la gestin y direccin de los recursos de TI de
acuerdo a las estrategias y requerimientos de la dependencia. El objetivo de
control relacionado con el alcance de la auditora es el siguiente:

PO1.1 Evaluacin del desempeo y la capacidad actual : La dependencia de

registro y control acadmico mantiene una evaluacin peridica del desempeo de
los planes institucionales y de los sistemas de informacin encaminados a la
contribucin del cumplimiento de los objetivos de la dependencia.

PO2 Definir la arquitectura de la informacin: Permite definir un modelo de

informacin, con el fin de integrar de forma transparente las aplicaciones dentro de
los procesos de la dependencia. Los objetivos de control que se evaluaran son los
siguientes:

PO2.1 Diccionario de datos y reglas de sintaxis de datos: Es necesario la

existencia de un diccionario de datos del sistema en la dependencia y las
actualizaciones que se hayan realizado al mismo en las actualizaciones del
sistema de acuerdo a los nuevos requerimientos.

PO2.2 Esquema de clasificacin de los datos: Se debe establecer un marco de

referencia de los datos, clasificndolos por categoras, y con la definicin de
normas y polticas de acceso a dichos datos.

32
PO2.3 Administracin de la integridad de datos: Los desarrolladores de la
aplicacin deben garantizar la integridad y consistencia de los datos almacenados
mediante la creacin de procesos y procedimientos.

PO3 Definir los procesos, organizacin y relaciones de TI: Dentro del rea de
sistemas debe estar claro y definido el personal de la tecnologa de la informacin,
los roles, las funciones y responsabilidades, permitiendo el buen funcionamiento
de servicios que satisfagan los objetivos de la Institucin. Los objetivos de control
que se evaluarn son los siguientes:

PO3.1 Establecer roles y responsabilidades: Evaluar el comportamiento de los

roles y las responsabilidades definidas para el personal de TI, el rea informtica
(administradores de la red. administrador de sistema, supervisor de los
indicadores de cumplimiento, otros).

PO3.2 Responsabilidad del aseguramiento de la calidad de TI: Se debe asignar la

responsabilidad para el desempeo de la funcin de aseguramiento de la calidad
(QA) proporcionando el grupo QA del rea informtica los controles y la
experiencia para comunicarlos. Adems se debe asegurar que la ubicacin
organizacional, las responsabilidades y el tamao del grupo de QA satisfacen los
requerimientos de la dependencia.

PO3.3 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento: Se debe

establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a
un nivel superior apropiado. Definir y asignar roles crticos para administrar los
riesgos de TI, incluyendo la responsabilidad especfica de la seguridad de la
informacin, la seguridad fsica y el cumplimiento. Establecer la responsabilidad
sobre la administracin del riesgo y la seguridad a nivel de toda la dependencia
para manejar los problemas a nivel institucional. Es necesario asignar
responsabilidades adicionales de administracin de la seguridad a nivel del
sistema especfico para manejar problemas relacionados con la seguridad.

33
PO3.3 Propiedad de datos y del sistema: Proporcionar a la dependencia de
registro y control los procedimientos y herramientas que le permitan enfrentar sus
responsabilidades de propiedad sobre los datos y los sistemas de informacin.

PO3.4 Personal clave de TI: Definir e identificar el personal clave de TI y minimizar

la dependencia de una sola persona desempeando la funcin de trabajo crtico.

PO4 Administrar la Calidad: Se debe elaborar y mantener un sistema de

administracin de calidad, el cual incluya procesos y estndares probados de
desarrollo y de adquisicin. Esto se facilita por medio de la planeacin,
implantacin y mantenimiento del sistema de administracin de calidad,
proporcionando requerimientos, procedimientos y polticas claras de calidad.

Los requerimientos de calidad se deben manifestar y documentar con indicadores

cuantificables y alcanzables. La mejora continua se logra por medio del constante
monitoreo, correccin de desviaciones y la comunicacin de los resultados a los
interesados. La administracin de calidad es esencial para garantizar que TI est
dando valor a la informacin de la dependencia, mejora continua y transparencia
para los interesados. Los objetivos de control que sern evaluados son los
siguientes:

PO4.1 Estndares de desarrollo y de adquisicin: Adoptar y mantener estndares

para desarrollo y adquisicin que siga el ciclo de vida, hasta los entregables
finales incluyendo la aprobacin o no en puntos clave con base en los criterios de
aceptacin acordados. Los temas a considerar incluyen los estndares de
codificacin del software, normas de nomenclatura, los formatos de archivos,
estndares de diseo para los esquemas y diccionarios de datos, estndares para
interfaz de usuario, inter operatividad, eficiencia en el desempao del sistema,
estndares para el desarrollo y pruebas, validacin de los requerimientos, planes
de pruebas, pruebas unitarias, y de integracin.

PO4.2 Mejora continua: Mantener y comunicar regularmente un plan global de

calidad que promueva la mejora continua.

34
PO5 Evaluar y administrar los riesgos de TI: Encargado de identificar, analizar y
comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de
la dependencia, con el objetivo de asegurar el logro de los objetivos de TI. Los
objetivos de control que sern evaluados son los siguientes:

PO5.1 Marco de trabajo de administracin de riesgos: Se debe establecer un

marco de referencia de evaluacin sistemtica de riesgos que contenga una
evaluacin regular de los riesgos de la parte fsica de las comunicaciones,
servidores y equipos con indicadores de cumplimiento.

PO5.2 Identificacin de eventos: Identificar los riesgos (una amenaza explota las
vulnerabilidades existentes), clasificndolas si son relevantes y en qu medida
afectan al rea informtica y la dependencia de registro y control donde se maneja
el sistema de informacin.

PO5.3 Evaluacin de los riesgos de TI: Medir los riesgos a travs de la evaluacin
peridica de la probabilidad e impacto de los riesgos identificados, usando
mtodos cuantitativos y cualitativos, que permitan la medicin del riesgo
encontrado.

PO5.4 Respuesta a los riesgos: Definir un plan de accin contra riesgos, el

proceso de respuesta a riesgos debe identificar las estrategias tales como evitar,
reducir, compartir o aceptar los riesgos determinando los niveles de tolerancia a
los riesgos y los controles para mitigarlos.

PO5.5 Mantenimiento y monitoreo de un plan de accin de riesgos: Priorizar y

planear las actividades de control y respuesta a la solucin de riesgos
encontrados, teniendo en cuenta tambin la parte econmica de la solucin de
esta prioridad. Monitorear la ejecucin de los planes y reportar cualquier
desviacin a la alta direccin.

Dominio: Adquirir e implementar (AI) para llevar a cabo la estrategia TI, se debe
identificar las soluciones, desarrollarlas y adquirirlas, as como implementarlas e

35
integrarlas en la empresa, esto para garantizar que las soluciones satisfaga los
objetivos de la empresa. De este dominio se ha seleccionado los siguientes
procesos:

Procesos:

AI 1 Adquirir y mantener software aplicativo: Las aplicaciones deben estar

disponibles de acuerdo con los requerimientos de la dependencia. Este proceso
cubre el diseo de las aplicaciones, la inclusin apropiada de controles aplicativos
adems de requerimientos de seguridad, el desarrollo y la configuracin en s de
acuerdo a los estndares.

Esto permite apoyar la operatividad de la dependencia de forma apropiada con las

aplicaciones automatizadas correctas. Los objetivos de control que sern
evaluados son los siguientes:

AI 1.1 Diseo de alto nivel: Traducir los requerimientos a una especificacin de

diseo de alto nivel para la adquisicin de software, teniendo en cuenta las
directivas tecnolgicas y la arquitectura de informacin dentro de la dependencia.
Tener aprobadas las especificaciones de diseo por la dependencia para
garantizar que el diseo de alto nivel responde a los requerimientos. Reevaluar
cuando sucedan discrepancias significativas tcnicas o lgicas durante el
desarrollo o mantenimiento.

AI 1.2 Diseo detallado: Preparar el diseo detallado y los requerimientos

tcnicos del software de aplicacin. Definir el criterio de aceptacin de los
requerimientos. Aprobar los requerimientos para garantizar que corresponden al
diseo de alto nivel. Realizar reevaluaciones cuando sucedan discrepancias
significativas tcnicas o lgicas durante el desarrollo o mantenimiento.

AI 1.3 Control y posibilidad de auditar las aplicaciones: Implementar controles de

aplicacin automatizados tal que el procesamiento sea exacto, completo,
oportuno, autorizado y auditable.

36
AI 1.4 Seguridad y disponibilidad de las aplicaciones: Abordar la seguridad de las
aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos
identificados y en lnea con la clasificacin de datos, la arquitectura de la
informacin, la arquitectura de seguridad de la informacin y la tolerancia a riesgos
de la organizacin.

AI 1.5 Configuracin e implantacin de software aplicativo adquirido: Configurar e

implementar software de aplicaciones adquiridas para conseguir los objetivos de
negocio.

AI 1.6 Actualizaciones importantes en sistemas existentes: En caso de cambios

importantes a los sistemas existentes que resulten en cambios significativos al
diseo actual y/o funcionalidad, seguir un proceso de desarrollo similar al
empleado para el desarrollo de sistemas nuevos.

AI 1.7 Desarrollo de software aplicativo: Garantizar que la funcionalidad de

automatizacin se desarrolla de acuerdo con las especificaciones de diseo, los
estndares de desarrollo y documentacin, los requerimientos de calidad y
estndares de aprobacin. Asegurar que todos los aspectos legales y
contractuales se identifican y direccionan para el software aplicativo desarrollado
por terceros.

AI 1.8 Administracin de los requerimientos de aplicaciones: Seguir el estado de

los requerimientos individuales durante el diseo, desarrollo e implementacin, y
aprobar los cambios a los requerimientos a travs de un proceso de gestin de
cambios establecido.

AI 1.9 Mantenimiento de software aplicativo: Desarrollar una estrategia y un plan

para el mantenimiento de aplicaciones de software.

AI 2 Adquirir y mantener infraestructura tecnolgica: Las dependencias deben

contar con procesos para adquirir, implementar y actualizar la infraestructura
tecnolgica. Esto requiere de un enfoque planeado para adquirir, mantener y

37
proteger la infraestructura de acuerdo con las estrategias tecnolgicas convenidas
y la disposicin del ambiente de desarrollo y pruebas. Esto garantiza que exista un
soporte tecnolgico en la organizacin. Los objetivos de control que sern
evaluados son los siguientes:

AI 2.1 Plan de adquisicin de infraestructura tecnolgica: Generar un plan para

adquirir, implementar y mantener la infraestructura tecnolgica que satisfaga los
requerimientos establecidos funcionales y tcnicos que est de acuerdo con la
direccin tecnolgica de la dependencia.

El plan debe considerar extensiones futuras para adiciones de capacidad, costos

de transicin, riesgos tecnolgicos y vida til de la inversin para actualizaciones
de tecnologa. Evaluar los costos de complejidad y la viabilidad del software al
aadir nueva capacidad tcnica.

AI 2.2 Proteccin y disponibilidad del recurso de infraestructura: Implementar

medidas de control interno, seguridad y adaptabilidad durante la configuracin,
integracin, mantenimiento del hardware, del software de la infraestructura para
proteger los recursos y garantizar su disponibilidad e integridad. Se deben definir y
comprender claramente las responsabilidades al utilizar componentes de
infraestructura sensitivos por todos aquellos que desarrollan e integran los
componentes de infraestructura. Se debe monitorear y evaluar su uso.

AI 2.3 Mantenimiento de la infraestructura: Desarrollar una estrategia y un plan de

mantenimiento de la infraestructura y garantizar que se controlan los cambios, de
acuerdo con el procedimiento de administracin de cambios de la dependencia.
Incluir una revisin peridica contra las necesidades, administracin de parches y
estrategias de actualizacin, riesgos, evaluacin de vulnerabilidades y
requerimientos de seguridad.

38
AI 2.4 Ambiente de prueba de factibilidad: Establecer el ambiente de desarrollo y
pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e
integracin de aplicaciones e infraestructura, en las primeras fases del proceso de
adquisicin y desarrollo. Hay que considerar la funcionalidad, la configuracin de
hardware, software, pruebas de integracin, desempeo, migracin entre
ambientes, control de las versiones, datos y herramientas de prueba y seguridad.

AI 3 Administrar cambios: Para realizar algn cambio bien sea de software, de

hardware de comunicaciones o de servidores, debe existir un proceso que
administre formalmente, controladamente dichos cambios, cada cambio debe
seguir un proceso de recepcin, evaluacin, prioridad y autorizacin previo a la
implantacin, sin obviar la constatacin o revisin despus del cambio, esto con el
fin de reducir riesgos que impacten negativamente la estabilidad o integridad del
ambiente del buen funcionamiento de las comunicaciones y servidores. Los
objetivos de control que sern evaluados son los siguientes:

AI 3.1 Cambios de emergencia: La Dependencia debe tener establecido un

proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que
no sigan el proceso de cambio establecido. La documentacin y pruebas se
realizan, posiblemente, despus de la implantacin del cambio de emergencia.

AI 3.2 Seguimiento y reporte del estatus de cambio: Se debe hacer un seguimiento

a travs de un reporte de las solicitudes de cambio, de solucin y autorizacin.

AI 3.3 Cierre y documentacin del cambio: Establecer un proceso de revisin para

garantizar la implantacin completa de los cambios.

Dominio: Entregar y dar soporte (DS). Encargado de garantizar la entrega de los

servicios requeridos por la empresa, dentro de este dominio se evaluar los
siguientes procesos:

Procesos:

DS 1 Garantizar la continuidad del servicio: Es importante que dentro de la

dependencia se garantice la continuidad de los servicios de TI, para ello es

39
importante desarrollar, mantener y probar planes de continuidad y as asegurar el
mnimo impacto en caso de una interrupcin de servicios TI, esto se logra con el
desarrollo y mantenimiento (mejorado) de los planes de contingencia de TI, con
entrenamiento y pruebas de los planes de contingencia de TI y guardando copias
de los planes de contingencia. Los objetivos de control que sern evaluados son
los siguientes:

DS 1.1 Planes de continuidad de TI: La metodologa de continuidad debe ser

diseado para reducir el impacto de un desastre, debe presentar diferentes
alternativas de recuperacin inmediata de los servicios, tambin debe cubrir los
lineamientos de uso, los roles y responsabilidades, los procedimientos, los
procesos de comunicacin y el enfoque de pruebas.

DS 1.2 Recursos crticos de TI: Revisar si se lleva un control de los planes de

continuidad, de acuerdo al nivel de prioridad, asegurarse de que la respuesta y la
recuperacin estn alineadas con las necesidades prioritarias de la dependencia y
considerar los requerimientos de resistencia, respuesta y recuperacin para
diferentes niveles de prioridad.

DS 1.3 Mantenimiento del plan de continuidad de TI: Se debe mantener el plan de

continuidad activo, vigente, actualizado, que refleje de manera continua los
requerimientos actuales del rea informtica, de la dependencia de registro,
control.

DS 1.4 Pruebas del plan de continuidad de TI: Es importante que dentro de la

dependencia el plan de continuidad sea conocido por todas las partes interesadas,
es esencial que los cambios en los procedimientos, las responsabilidades sean
comunicados de forma clara y oportuna. Hacer pruebas de continuidad de forma
regular para asegurar que los procesos de TI pueden ser recuperados de forma
efectiva, para as probar que el plan es efectivo o sino corregir deficiencias en el
plan, y poder ejecutar un plan de accin para permitir que el plan permanezca
aplicable.

40
DS 1.5 Entrenamiento del plan de continuidad de TI: La organizacin debe
asegurarse que todos las partes involucradas reciban capacitaciones de forma
regular respecto a los procesos, sus roles y responsabilidades en caso de
incidente o desastre. Verificar e incrementar el entrenamiento de acuerdo con los
resultados de las pruebas de contingencia.

DS 1.6 Almacenamiento de respaldos fuera de las instalaciones: Almacenar fuera

de las instalaciones todos los medios de respaldo, documentacin y otros recursos
de TI crticos, necesarios para la recuperacin de TI, para los planes de
continuidad de la dependencia. El contenido de los respaldos a almacenar debe
determinarse en conjunto entre los responsables de los procesos de la
dependencia, el personal de TI. La administracin del sitio de almacenamiento
externo a las instalaciones, debe apegarse a la poltica de clasificacin de datos y
a las prcticas de almacenamiento de datos de la organizacin.

Las directivas de TI debe asegurar que los acuerdos con sitios externos sean
evaluados peridicamente, al menos una vez por ao, respecto al contenido, a la
proteccin ambiental y a la seguridad. Asegurarse de la compatibilidad del
hardware, del software para poder recuperar los datos archivados, peridicamente
probar y renovar los datos archivados.

DS 1.7 Revisin post reanudacin: Una vez lograda una exitosa reanudacin de
las funciones de TI despus de un desastre, determinar si las directivas de TI ha
establecido procedimientos para valorar lo adecuado del plan y actualizar el plan
en consecuencia.

DS 2 Garantizar la seguridad de los sistemas: Garantizar la proteccin de la

informacin e infraestructura de TI con el fin de minimizar el impacto causado por
violaciones o debilidades de seguridad de la TI. Los objetivos de control que se
evaluarn son los siguientes:

41
DS 2.1 Plan de seguridad de TI: Trasladar los requerimientos de la dependencia,
riesgos, cumplimiento dentro de un plan de seguridad de TI completo, teniendo en
consideracin la infraestructura de TI y la cultura de seguridad. Asegurar que el
plan esta implementado en las polticas, procedimientos de seguridad junto con las
inversiones apropiadas en los servicios, personal, software y hardware. Comunicar
las polticas, procedimientos de seguridad a los interesados y a los usuarios.

DS 2.2 Administracin de identidad: Asegurar que todos los usuarios (internos,

externos y temporales) su actividad en sistemas de TI (entorno de TI, operacin
de sistemas, desarrollo y mantenimiento) deben ser identificables de manera
nica. Permitir que el usuario se identifique a travs de mecanismos de
autenticacin. Confirmar que los permisos de acceso del usuario al sistema y los
datos estn en lnea con las necesidades del mdulo definidas y documentadas,
los requerimientos de trabajo estn adjuntos a las identidades del usuario.

Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del
usuario, aprobados por el responsable del sistema e implementado por la persona
responsable de la seguridad. Las identidades del usuario y los derechos de
acceso se mantienen en un repositorio central. Se despliegan tcnicas efectivas
en costos y procedimientos rentables, se mantienen actualizados para establecer
la identificacin del usuario, realizar la autenticacin y habilitar los derechos de
acceso.

DS 2.3 Administracin de cuentas del usuario: Garantizar que la solicitud,

establecimiento, emisin, suspensin, modificacin, cierre de cuentas de usuario y
de los privilegios relacionados, sean tomados en cuenta por un conjunto de
procedimientos. Debe incluirse un procedimiento de aprobacin que describa al
responsable de los datos o del sistema otorgando los privilegios de acceso. Estos
procedimientos deben aplicarse a todos los usuarios, incluyendo administradores,
usuarios externos e internos, para casos normales y de emergencia. Los
derechos, las obligaciones relativas al acceso a los sistemas e informacin del
mdulo deben acordarse contractualmente para todos los tipos de usuarios.

42
Realizar revisiones regulares de la gestin de todas las cuentas y los privilegios
asociados.

DS 2.4 Pruebas, vigilancia y monitoreo de la seguridad: Garantizar que la

implementacin de la seguridad en TI sea probada y monitoreada de forma pro-
activa. La seguridad en TI debe ser re-acreditada peridicamente para garantizar
que se mantiene el nivel seguridad aprobado. Una funcin de ingreso al sistema
(loggin) y de monitoreo permite la deteccin oportuna de actividades inusuales o
anormales que pueden requerir atencin.

DS 2.5 Definicin de incidente de seguridad: Implementar procedimientos para

atender casos de incidentes, mediante el uso de una plataforma centralizada con
suficiente experiencia y equipada con instalaciones de comunicacin rpidas y
seguras. Igualmente establecer las responsabilidades, procedimientos para el
manejo de incidentes.

DS 2.6 Proteccin de la tecnologa de seguridad: Garantizar que la tecnologa

relacionada con la seguridad sea resistente al sabotaje y no revele documentacin
de seguridad innecesaria.

DS 2.7 Administracin de llaves criptogrficas: Asegurar que la informacin de

transacciones (datos, password, llaves criptogrficas) es enviada y recibida por
canales confiables (trustedpaths), mediante encriptamiento de sistemas y
usuarios.

DS 2.8 Prevencin, deteccin y correccin de software malicioso: Garantizar

procedimientos para el manejo y correccin de problemas ocasionados por
software malicioso generalmente en el caso de virus.

DS 2.9 Seguridad de la red: En la organizacin al existir conexin a la red de

internet se debe implementar el uso de tcnicas de seguridad y procedimientos de
administracin asociados como firewalls, para proteger los recursos informticos y
dispositivos de seguridad.

43
DS 3 Educar y entrenar a los usuarios: Para una educacin efectiva de todos
los usuarios de sistemas de TI, incluyendo aquellos dentro de TI, se requieren
identificar las necesidades de entrenamiento de cada grupo de usuarios. Adems
de identificar las necesidades, este proceso incluye la definicin, ejecucin de una
estrategia para llevar a cabo un entrenamiento efectivo y para medir los
resultados. Un programa efectivo de entrenamiento incrementa el uso efectivo de
la tecnologa al disminuir los errores, incrementando la productividad, el
cumplimiento de los controles clave tales como las medidas de seguridad de los
usuarios. Para ello se tomaran en cuenta los siguientes objetivos de control:

DS 3.1 Identificacin de necesidades de entrenamiento y educacin: Establecer y

actualizar de forma regular un programa de entrenamiento para cada grupo
objetivo de empleados, que incluya: implementar procedimientos junto con el plan
de largo plazo, valores sistmicos (valores ticos, cultura de control y seguridad,
otros), implementacin de nuevo software e infraestructura de TI (paquetes y
aplicaciones), perfiles de competencias y certificaciones actuales y/o credenciales
necesarias, mtodos de impartir la capacitacin, tamao del grupo, accesibilidad y
tiempo.

DS 3.2 Evaluacin del entrenamiento recibido: Al finalizar el entrenamiento,

evaluar el contenido del entrenamiento respecto a la relevancia, calidad,
efectividad, percepcin, retencin del conocimiento, costo y valor. Los resultados
de esta evaluacin deben contribuir en la definicin futura de los planes de
estudio, adems de las sesiones de entrenamiento.

DS 4 Administrar la mesa de servicio y los incidentes: asegurar que cualquier

problema experimentado por los usuarios o estudiantes sea atendido
apropiadamente realizando una mesa de ayuda que proporcione soporte y
asesora de primera lnea. Los objetivos de control que sern evaluados son los
siguientes:

DS 4.1 Mesa de servicios: Establecer la funcin de mesa de servicio, la cual es la

conexin del usuario con TI, para registrar, comunicar, atender, analizar todas las

44
llamadas, incidentes reportados, requerimientos de servicios, solicitudes de
informacin. Deben existir procedimientos de monitoreo, de escalamiento basados
en los niveles de servicio acordados en los SLAs, que permitan clasificar y
priorizar cualquier problema reportado como incidente, solicitud de servicio o
solicitud de informacin. Medir la satisfaccin del usuario final respecto a la calidad
de la mesa de servicios y de los servicios de TI.

DS 4.2 Escalamiento de incidentes: Establecer procedimientos de mesa de

servicios de manera que los incidentes que no puedan resolverse de forma
inmediata sean escalados apropiadamente de acuerdo con los lmites acordados
en el SLA y, si es adecuado, brindar soluciones alternas. Garantizar que la
asignacin de incidentes, el monitoreo del ciclo de vida permanecen en la mesa de
servicios, independientemente de qu grupo de TI est trabajando en las
actividades de resolucin.

DS 4.3 Cierre de incidentes: Establecer procedimientos para el monitoreo puntual

de la resolucin de consultas de los usuarios. Cuando se resuelve el incidente la
mesa de servicios debe registrar la causa raz, si la conoce, y confirmar que la
accin tomada fue acordada con el usuario.

DS 4.4 Anlisis de tendencias: Emitir reportes de la actividad de la mesa de

servicios para permitir a la dependencia medir el desempeo del servicio, los
tiempos de respuesta, as como para identificar tendencias de problemas
recurrentes de forma que el servicio pueda mejorarse de forma continua.

DS 5 Administracin de la configuracin: Mantener un depsito centralizado

donde se almacene la informacin de configuracin de software, hardware,
ofreciendo as mayor disponibilidad a los usuarios, a los administradores del
sistema, adems de mantener un inventario actualizado de la existencia fsica de
TI. El objetivo de control que se evala es el siguiente:

45
DS 5.1 Revisin de integridad de la configuracin: El rea informtica debe revisar
peridicamente los datos de configuracin para verificar, confirmar la integridad de
la configuracin actual, ejecutar rutinas de revisin de software instalado para
establecer inconsistencias o desviaciones que perjudiquen los intereses de la
organizacin o que violen polticas de uso.

DS 6 Administracin del ambiente fsico: La proteccin del equipo de cmputo,

del personal, requiere de instalaciones bien diseadas y bien administradas. El
proceso de administrar el ambiente fsico incluye la definicin de los
requerimientos fsicos del centro de datos (site), la seleccin de instalaciones
apropiadas, el diseo de procesos efectivos para monitorear factores ambientales,
administrar el acceso fsico. La administracin efectiva del ambiente fsico reduce
las interrupciones del mdulo ocasionadas por daos al equipo de cmputo, al
personal. Los objetivos de control que sern evaluados son los siguientes:

DS 6.1 Seleccin y diseo del centro de datos: El registro, el control, y el rea

informtica deben definir, seleccionar los centros de datos fsicos para el equipo
de TI para soportar la estrategia de tecnologa ligada a la estrategia del negocio.

Esta seleccin, diseo del esquema de un centro de datos debe tomar en cuenta
el riesgo asociado con desastres naturales y causados por el hombre. Tambin
debe considerar las leyes, regulaciones correspondientes, tales como
regulaciones de seguridad y de salud en el trabajo.

DS 6.2 Medidas de seguridad fsica: Evaluar las medidas de seguridad fsicas

alineadas con los requerimientos de la organizacin. Las medidas deben incluir,
zonas de seguridad, la ubicacin de equipo crtico, reas de envo y recepcin. En
particular mantenga un perfil bajo respecto a la presencia de operaciones crticas
de TI. Deben establecerse las responsabilidades sobre el monitoreo,
procedimientos de reporte y de resolucin de incidentes de seguridad fsica.

DS 6.3 Acceso fsico: Evaluar e implementar procedimientos para otorgar, limitar,

revocar el acceso a locales, edificios y reas de emergencias. El acceso a locales,
edificios y reas debe justificarse, autorizarse, registrarse, monitorearse. Esto

46
aplica para todas las personas que accedan a las instalaciones, incluyendo
personal, estudiantes, visitantes o cualquier tercera persona.

DS 6.4 Proteccin contra factores ambientales: Disear e implementar medidas de

proteccin contra factores ambientales. Deben instalarse dispositivos, equipo
especializado para monitorear, controlar el ambiente.

DS 6.5 Administracin de instalaciones fsicas: Se debe administrar las

instalaciones, incluyendo el equipo de comunicaciones y de suministro de energa,
de acuerdo con las leyes, los reglamentos, los requerimientos tcnicos de la
institucin, las especificaciones del proveedor, los lineamientos de seguridad y
salud.

DS 7 Administracin de operaciones: Se requiere de una efectiva

administracin proteccin de datos de salida sensitivos, monitoreo de
infraestructura y mantenimiento preventivo de hardware en la organizacin. Para
ello se evala el siguiente objetivo de control:

DS 7.1 Mantenimiento preventivo del hardware: Evaluar los procedimientos para

garantizar el mantenimiento oportuno de la infraestructura para reducir la
frecuencia y el impacto de las fallas o de la disminucin del desempeo.

Dominio: Monitorear y evaluar (ME). Todos los procesos del mdulo de matrcula
necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad
y suficiencia en cuanto a los requerimientos de control, integridad,
confidencialidad, por tal se evaluara el siguiente proceso:

Proceso:

ME 1 Monitorear y evaluar el control interno: Se debe proporcionar e

incrementar los niveles de confianza entre la organizacin, empleados y clientes
con respecto a las operaciones eficientes y efectivas dentro del mdulo. El
objetivo de control que ser evaluado es el siguiente:

47
ME 1.2 Excepciones de control: Identificar los incidentes, analizar e identificar sus
causas raz subyacente para establecer acciones correctivas necesarias, verificar
si los resultados de los controles, son reportados, analizados rpidamente, para
evitar errores e inconsistencias y que sean corregidos a tiempo.

Finalmente se establecer las responsabilidades de cada integrante del grupo

auditor respecto a los procesos que sern evaluados y se crea un cronograma de
las actividades de evaluacin que se realizarn en el proceso de auditora.

A continuacin se presenta un ejemplo de la valoracin de dos procesos

evaluados en un sistema y la escala de medicin:

Dictamen de la auditora

A continuacin se presentan los resultados definitivos de la auditora y las

recomendaciones de mejoramiento por cada proceso COBIT auditado, una vez
revisadas las observaciones y aclaraciones hechas por la empresa al grupo
auditor:

PROCESO COBIT: PO4: Definir los procesos, organizacin y relaciones del

sistema de informacin de la empresa.

Objetivo de la auditora: Conceptuar sobre organizacin y relaciones entre el

personal, los recursos de hardware y software, los documentos soporte, el centro
de cmputo con el fin de establecer el grado de eficiencia de los procesos que
ejecutan en el sistema.

Dictamen: Se califica un nivel de madurez 3 definido, por cuanto los procesos,

organizacin y relaciones del rea evaluada estn contenidos en un manual de
procesos y los recursos de hardware y software son adecuados. Sin embargo,
este manual no se ha actualizado con respecto a la evolucin que ha tenido el
sistema, lo que hace que no sea posible medirlo y redefinirlo. En procesos clave
de administracin del sistema se observa excesiva dependencia en la capacidad y
conocimiento que empleados clave tienen del sistema.

48
Hallazgos que soportan el Dictamen:

El manual de procesos y perfiles no se ha actualizado de acuerdo a los

mdulos del sistema, acorde con la estructura de cargos de la empresa lo
que dificulta ejecutar planes de contingencia y capacitacin cruzada, en
caso de necesidad de reemplazar o rotar personal clave en las
operaciones y administracin del sistema.

Se encontr que la empresa contratista del sistema ejecuta labores de

captura de la informacin, operacin directa sobre tablas de la base de
datos. Igualmente, realiza labores de auditora y tambin administra el
sistema operativo, la aplicacin y la base de datos. Se considera un nivel de
acceso amplio que dificulta establecer controles por parte de la empresa.

Se encontr que el funcionario encargado del mdulo de auditora, realiza

solamente el control de usuarios con niveles de seguridad inmediatamente
inferiores a l, pero nadie realiza auditora a las entradas de los sper
usuarios del sistema.

Recomendaciones:

Disear bitcora de procesos y perfiles de acuerdo al manual actualizado

de funciones y procedimientos del rea comercial.

Documentar los procesos de consulta, lecturas y facturacin realizados por

fuera del software, para que sean integrados al software. Implementar
registro de solicitudes de modificaciones y diseo de soluciones y
actualizaciones.

Documentar y diferenciar en forma precisa los procesos, polticas

administrativas y procedimientos de la administracin de riesgos, la
seguridad de la informacin, la propiedad de datos y del sistema. Esto es,
separar completamente en diferentes responsables los procesos de captura
de lecturas, correcciones masivas sobre las tablas de la base de datos,
administracin de la base de datos, auditora.

49
 Asignar funciones de auditora a uno de los funcionarios que est en
capacidad de registrar los movimientos realizados por los sper usuarios
del sistema, pudiendo el mismo realizar auditoras y ejerciendo controles
adecuados sobre la seguridad del servidor e produccin y sobre la base de
datos.

PROCESO COBIT: P09: Evaluar y administrar los riesgos del sic.

Objetivo de la auditora: Medir los riesgos, su probabilidad e impacto sobre el

aplicativo, personal, recursos, procesos, soportes

Dictamen: Se estableci un nivel de madurez 2 repetible por cuanto se hacen

anlisis y evaluacin al sistema, pero no son permanentes, ni se ha documentado
suficientemente. Adems, falta capacitacin del personal encargado. La deteccin
de riesgos y el establecimiento de controles se hacen, en gran parte, por iniciativa
propia de los empleados, y no en un procedimiento regular de auditora.

Hallazgos que soportan el dictamen:

Aunque existe documentacin sobre auditoras anteriores y anlisis y

evaluacin de riesgos sobre el sistema, no se ha destinado personal para
establecer un plan de controles sobre el mismo, lo que impide prevenir
posibles fraudes, inconsistencias o prdidas de informacin y econmicas.
Los riesgos tampoco se han clasificado por niveles de criticidad, no se han
establecido riesgos residuales.

No se encontr una poltica claramente documentada para el manejo de

riesgos que presentan nivel de criticidad medio o moderada en el sistema,
tales como: infeccin por virus, plan para enfrentar contingencias en el
sistema, plan para detectar y corregir debilidades o huecos en las
operaciones, y errores de digitacin de datos por parte de los usuarios,
generacin de pistas de administracin y auditora de datos, actividades de
supervisin para detectar el nivel de confianza en los controles
automatizados, difusin y adopcin de las polticas de seguridad en el

50
 procesamiento de datos, revisin metodolgica del sistema para proponer
mejoras al diseo inadecuado o cuestionable de algunos mdulos,
correccin de las deficiencias u obsolescencias de los mecanismos de
control interno del sistema, determinacin de especificaciones tcnicas
inapropiadas, deteccin de deficiencias en el entrenamiento de los
funcionarios que ejecutan los procesos, determinacin de estndares de
control de calidad de la informacin de la base de datos, anlisis de
cumplimiento de la validacin de las reglas del negocio en el sistema,
cumplimiento normativo y de las polticas internas en el proceso del rea
comercial a cargo del sistema.

Recomendaciones:

Implementar el software de administracin de riesgos y establecimiento de

controles al sistema en general, como parte de la Funcin del SGSI.
Capacitar al personal encargado de auditar el sistema, sobre la
identificacin de riesgos, medicin e implementacin de controles, enfocada
en la seguridad de acceso e integridad de la base de datos.
Implementar un estndar como metodologa para el anlisis y la evaluacin
de riesgos informticos, que permita que este proceso se lleve a cabo de
manera adecuada se debe tener en cuenta que los estndares son
apropiados a ciertos tipos de evaluacin, algunos de ellos son: MAGERIT,
ISO 27005, OCTAVE que nos brindan los estndares y las escalas de
evaluacin.
Retomar las recomendaciones que han realizado en las auditoras
anteriores para realizar el anlisis, evaluacin y gestin de los riesgos
encontrados; establecer un sistema de control adecuado al sistema de
informacin y trabajar en la documentacin del proceso.

51
Lista de chequeo 2

52
Lista de chequeo 3

53
Lista de chequeo 4

54
Lista de chequeo 5

55
Lista de chequeo 6

56
Gua de prueba 1.

Gua de prueba 2.

Gua de prueba 4.

57
Gua de prueba 5.

Gua de prueba 6.

58
Gua de hallazgos 2.

Gua de hallazgos 3.

59
Gua de hallazgos 4.

60
Gua de hallazgos 5.

Gua de hallazgos 6.

61
62