Empresa a auditar Objetivo de Control Fecha Auditoria

Administrar la configuración 07 07 08

Juan David Giraldo Márquez

Auditores
Jimmy Alexander Muchachasoy
Responsable auditado David Elías Matta

El propósito de está auditoria es evaluar el objetivo de control Administrar la configuración

dentro de la empresa DayTec. Se busca identificar elementos de configuración y mantener la
información de la configuración, además de verificar la integridad de la información de las
configuraciones.
 CONTENIDO

1. DESCRIPCIÓN DEL PROCESO 3

1.1 OBJETIVO DE CONTROL DE ALTO NIVEL 3

1.2 OBJETIVOS DE CONTROL DETALLADOS 4
1.3 INFORMACIÓN DE APOYO 6
1.3.1 DIRECTRICES GENERALES 6
1.3.2 METAS Y MÉTRICAS 6
1.4 MODELO DE MADUREZ 7

2. GUÍA DE AUDITORIA 9

2.1 OBJETIVOS DE CONTROL 9

2.2 OBTENCIÓN DE CONOCIMIENTO 9
2.2.1 RECURSO HUMANO A CONSULTAR 9
2.2.2 INFORMACIÓN A CONOCER 10
2.3 ASPECTOS A EVALUAR 11
2.3.1 EVALUACIÓN DE LOS CONTROLES, CONSIDERANDO SI: 11
2.3.2 EVALUACIÓN DE LA SUFICIENCIA, PROBANDO QUE: 13
2.3.3 EVALUACIÓN DEL RIESGO 16
2.4 HERRAMIENTAS 17
Administrar la configuración
CHauditoria Consultores S.A.

1. DESCRIPCIÓN DEL PROCESO

1.1 Objetivo de control de alto nivel

Garantizar la integridad de las configuraciones de hardware y software requiere

establecer y mantener un repositorio de configuraciones completo y preciso. Este
proceso incluye la recolección de información de la configuración inicial, el
establecimiento de normas, la verificación y auditoría de la información de la
configuración y la actualización del repositorio de configuración conforme se
necesite.
Confidencialidad

Disponibilidad

Cumplimiento

Confiabilidad
Efectividad

Integridad
Eficiencia

P S S S

Satisface el requisito del negocio de TI para: optimizar la infraestructura,

recursos y capacidades de TI, y llevar registro de los activos de TI.

Enfocándose en: establecer y mantener un repositorio completo y preciso de

atributos de la configuración de los activos y de líneas base y compararlos contra
la configuración actual.

Se logra con:

Descripción del proceso Página 3 de 17

Administrar la configuración
CHauditoria Consultores S.A.

ƒ El establecimiento de un repositorio central de todos los elementos de la

configuración
ƒ La identificación de los elementos de configuración y su mantenimiento
ƒ Revisión de la integridad de los datos de configuración.

Y se mide con:
ƒ El número de problemas de cumplimiento del negocio debido a inadecuada
configuración de los activos.
ƒ El número de desviaciones identificadas entre el repositorio de
configuración y la configuración actual de los activos.
ƒ Porcentaje de licencias compradas y no registradas en el repositorio.

Focos de gobierno IT:

Primaria: Entrega de valor

Secundaria: Administración de riesgos.

Recursos de TI implicados:

ƒ Aplicaciones.
ƒ Información.
ƒ Infraestructura.

1.2 Objetivos de control detallados

DS9.1 Repositorio de configuración y línea base: Establecer un repositorio

central que contenga toda la información referente a los elementos de
configuración. Este repositorio incluye hardware, software aplicativo, middleware,
parámetros, documentación, procedimientos y herramientas para operar, acceder

Descripción del proceso Página 4 de 17

Administrar la configuración
CHauditoria Consultores S.A.

y utilizar los sistemas y los servicios. La información importante a considerar es el

nombre, números de versión y detalles de licenciamiento. Una línea base de
elementos de configuración debe mantenerse para cada sistema y servicio, como
un punto de control al cual regresar después de realizar cambios.

DS9.2 Identificación y mantenimiento de elementos de configuración: Contar

con procedimientos en orden para:

ƒ Identificar elementos de configuración y sus atributos

ƒ Registrar elementos de configuración nuevos, modificados y eliminados
ƒ Identificar y mantener las relaciones entre los elementos de configuración y
el repositorio de configuraciones.
ƒ Actualizar los elementos de configuración existentes en el repositorio de
configuraciones.
ƒ Prevenir la inclusión de software no-autorizado

Estos procedimientos deben brindar una adecuada autorización y registro de todas

las acciones sobre el repositorio de configuración y estar integrados de forma
apropiada con los procedimientos de administración de cambios y administración
de problemas.

DS9.3 Revisión de integridad de la configuración: Revisar y verificar de

manera regular, utilizando cuando sea necesario herramientas apropiadas, el
estatus de los elementos de configuración para confirmar la integridad de la
configuración de datos actual e histórica y para comparar con la situación actual.
Revisar periódicamente contra la política de uso de software, la existencia de
cualquier software personal o no autorizado de cualquier instancia de software por
encima de los acuerdos de licenciamiento actuales. Los errores y las desviaciones
deben reportarse, atenderse y corregirse.

Descripción del proceso Página 5 de 17

Administrar la configuración
CHauditoria Consultores S.A.

1.3 Información de apoyo

1.3.1 Directrices Generales

1.3.2 Metas y métricas

Descripción del proceso Página 6 de 17

Administrar la configuración
CHauditoria Consultores S.A.

1.4 Modelo de Madurez

La administración del proceso de administrar la configuración que satisfaga el

requerimiento de TI del negocio de optimizar la infraestructura, los recursos y las
capacidades de TI, y rendir cuantas de los activos de TI es:

0 No-existente, cuando la gerencia no valora los beneficios de tener un proceso

implementado que sea capaz de reportar y administrar las configuraciones de la
infraestructura de TI, tanto para configuraciones de hardware como de software.

1 Inicial/Ad Hoc, cuando se reconoce la necesidad de contar con una

administración de configuración. Se llevan a cabo tareas básicas de
administración de configuraciones, tales como mantener inventarios de hardware y
software pero de manera individual. No están definidas prácticas estandarizadas.

2 Repetible pero intuitivo, cuando la gerencia esta conciente de la necesidad de

controlar la configuración de TI y entiende los beneficios de mantener información
completa y precisa sobre las configuraciones, pero hay una dependencia implícita
del conocimiento y experiencia del personal técnico. Las herramientas para la
administración de configuraciones se utilizan hasta cierto grado, pero difieren entre
plataformas. Además no se han definido prácticas estandarizadas de trabajo. El
contenido de la información de la configuración es limitado y no lo utilizan los
procesos interrelacionados, tales como administración de cambios y
administración de problemas.

3 Proceso definido, cuando los procedimientos y las prácticas de trabajo se han

documentado, estandarizado y comunicado, pero la capacitación y la aplicación de
estándares dependen del individuo. Además se han implementado herramientas
similares de administración de configuración entre plataformas. Es poco probable
detectar las desviaciones de los procedimientos y las verificaciones físicas se

Descripción del proceso Página 7 de 17

Administrar la configuración
CHauditoria Consultores S.A.

realizan de manera inconsistente. Se lleva a cabo algún tipo de automatización

para ayudar a rastrear cambios en el software o en el hardware. La información de
la configuración es utilizada por los procesos interrelacionados.

4 Administrado y medible, cuando en todos los niveles de la organización se

reconoce la necesidad de administrar la configuración y las buenas prácticas
siguen evolucionando. Los procedimientos y los estándares se comunican e
incorporan a la capacitación y las desviaciones son monitoreadas, rastreadas y
reportadas. Se utilizan herramientas automatizadas para fomentar el uso de
estándares y mejorar la estabilidad. Los sistemas de administración de
configuraciones cubren la mayoría de los activos de TI y permiten una adecuada
administración de liberaciones y control de distribución. Los análisis de
excepciones, así como las verificaciones físicas, se aplican de manera consistente
y se investigan las causas desde su raíz.

5 Optimizado, cuando todos los activos de TI se administran en un sistema

central de configuraciones que contiene toda la información necesaria acerca de
los componentes, sus interrelaciones y eventos. La información de las
configuraciones está alineada con los catálogos de los proveedores. Hay una
completa integración de los procesos interrelacionados, y estos utilizan y
actualizan la información de la configuración de manera automática. Los reportes
de auditoría de los puntos de referencia, brindan información esencial sobre el
software y hardware con respecto a reparaciones, servicios, garantías,
actualizaciones y evaluaciones técnicas de cada unidad individual.

Se fomentan las reglas para limitar la instalación de software no autorizado. La

gerencia proyecta las reparaciones y las actualizaciones utilizando reportes de
análisis que proporcionan funciones de programación de actualizaciones y de
renovación de tecnología. El rastreo de activos y el monitoreo de activos
individuales de TI los protege y previene de robo, de mal uso y de abusos.

Descripción del proceso Página 8 de 17

Administrar la configuración
CHauditoria Consultores S.A.

2. GUÍA DE AUDITORIA

2.1 Objetivos de control

ƒ Registro de la Configuración.
ƒ Línea Base de la Configuración.
ƒ Contabilidad del Estado.
ƒ Control de la Configuración.
ƒ Software no Autorizado.
ƒ Almacenamiento de Software.
ƒ Procedimientos de Gestión de la Configuración.
ƒ Contabilidad Software.

2.2 Obtención de conocimiento

2.2.1 Recurso humano a consultar

ƒ Dirección de operaciones de los servicios de Información.

ƒ Dirección de soporte de los sistemas de los servicios de información.
ƒ Dirección de desarrollo de las aplicaciones de los servicios de información.
ƒ Administración de las instalaciones.
ƒ Personal soporte de los proveedores de software.
ƒ Personal de administración de activos relacionados con ordenadores.
ƒ Director de seguridad de la calidad.

Guía de Auditoria Página 9 de 17

Administrar la configuración
CHauditoria Consultores S.A.

2.2.2 Información a conocer

Un inventario de la configuración: hardware, software del sistema operativo,

software de aplicaciones, instalaciones y archivos de datos –dentro y fuera de las
instalaciones.

ƒ Políticas y procedimientos de la organización relacionados con la adquisición,

inventario y disposición de software y equipo informático comprado, o
arrendado.
ƒ Políticas de la organización relacionadas con la utilización del software o
equipo no autorizado.
ƒ Políticas y procedimientos de los servicios de información relacionados
específicamente con la adquisición, disposición y mantenimiento de los
recursos de la configuración.
ƒ Políticas y procedimientos de los servicios de información relacionados con
asegurar la calidad y el control de los cambios en cuanto a la transferencia
independiente y el registro de la migración del desarrollo del software nuevo y
modificado hacia los archivos y estado de producción.
ƒ Información sobre las líneas básicas de la configuración.
ƒ Registros contables de los activos fijos y arrendamientos relacionados con los
recursos de los sistemas.
ƒ Informes relacionados con adiciones, eliminaciones y cambios de la
configuración de los sistemas.
ƒ Listas del contenido de las distintas librerías – prueba, desarrollo y producción.
ƒ Inventario del contenido del almacenamiento fuera de las instalaciones –
equipo, archivos, manuales y formas – incluyendo material en manos de los
proveedores.

Guía de Auditoria Página 10 de 17

Administrar la configuración
CHauditoria Consultores S.A.

2.3 Aspectos a evaluar

2.3.1 Evaluación de los controles, considerando si:

El proceso para crear y controlar las bases de la configuración (el punto en el

diseño y desarrollo de un elemento de la configuración más allá del cual no se
producen más avances sin llevar a cabo un estricto control de la configuración) es
apropiado.

Existen funciones para mantener la base de la configuración.

Existe un proceso para controlar el estado de los recursos adquiridos y

arrendados, incluyendo entradas, salidas e integración con otros procesos.

Los procedimientos de control de la configuración incluyen:

ƒ Integridad en la base de la configuración.

ƒ Controles de autorización de acceso programados en el sistema de
administración de cambios.
ƒ La recuperación de los elementos de la configuración y las solicitudes de
cambios en cualquier momento.
ƒ La terminación de la configuración y de los informes que evalúan lo
adecuado de los procedimientos de registro de la configuración.
ƒ Evaluaciones periódicas del registro de la configuración.
ƒ El personal responsable de la revisión de que el control de la configuración
satisfaga los requerimientos de conocimientos, destrezas y habilidades.
ƒ La existencia de procedimientos para revisar el acceso a las bases del
software.
ƒ Los resultados de las revisiones proporcionados a la dirección para llevar a
cabo acciones correctivas.

Guía de Auditoria Página 11 de 17

Administrar la configuración
CHauditoria Consultores S.A.

Se lleva a cabo regularmente una revisión periódica de la configuración con

registros del inventario y de las cuentas. La configuración cuenta con historia
suficiente para realizar un seguimiento de los cambios. Existen procedimientos de
control de cambios del software para:

ƒ Establecer y mantener una librería de programas con licencia.

ƒ Asegurar que la librería de programas con licencia se controla
adecuadamente.
ƒ Asegurar la confiabilidad e integridad del inventario del software.
ƒ Asegurar la confiabilidad e integridad del inventario del software autorizado
y utilizado, y revisar la existencia del software no autorizado.
ƒ Asignar responsabilidades sobre el control del software no autorizado a un
miembro específico del personal.
ƒ Registrar el uso del software no autorizado e informar a la administración
para llevar a cabo acciones correctivas.
ƒ Determinar si la administración llevó a cabo acciones correctivas sobre las
violaciones.

Los procesos de migración de aplicaciones de desarrollo al entorno de pruebas y

finalmente al estado de producción interactúan con el informe de la configuración.
El proceso de almacenamiento del software incluye:

ƒ Definir un área segura de almacenamiento de los archivos (librería) válidos

para todo el software y las distintas fases del ciclo de vida de desarrollo de
los sistemas.
ƒ Solicitar separación de las librerías de almacenamiento del software entre
ellas y con respecto a las áreas de almacenamiento de los archivos de
desarrollo, pruebas y producción.

Guía de Auditoria Página 12 de 17

Administrar la configuración
CHauditoria Consultores S.A.

ƒ Requerir la existencia dentro de las librerías fuente que permiten la

colocación temporal de módulos fuente a transferirse al período del ciclo de
producción.
ƒ Solicitar que cada miembro de todas las librerías cuente con un propietario
designado.
ƒ Definir controles de acceso lógicos y físicos.
ƒ Establecer responsabilidades sobre el software.
ƒ Establecer un seguimiento de la auditoría.
ƒ Detectar, documentar e informar a la administración de todas las instancias
en las que no se cumple con este procedimiento.
ƒ Determinar si la administración llevó a cabo acciones correctivas.

Existe una coordinación entre el desarrollo de las aplicaciones, el proceso de

asegurar la calidad y las operaciones con respecto a la actualización de la
configuración base al realizarse cambios.

2.3.2 Evaluación de la suficiencia, probando que:

Todos los elementos de la configuración se encuentran bajo control.

Las políticas y procedimientos relacionados con el informe sobre la configuración

están actualizados y son precisos.

Se cumple con los estándares de resultado con respecto al mantenimiento e

informe de la configuración.

Se lleva a cabo una comparación entre el inventario físico del equipo y los
registros de contabilidad de los activos.

Guía de Auditoria Página 13 de 17

Administrar la configuración
CHauditoria Consultores S.A.

Existe independencia de la migración de pruebas a producción, y registro de los

cambios.

Para una selección de salidas básicas:

ƒ Se tiene una base precisa, apropiada y aprobada de los elementos de la

configuración.
ƒ Los registros de la configuración reflejan el estado actual de todos los
elementos de la configuración, incluyendo la historia de los cambios.
ƒ La administración revisa y evalúa periódicamente la consistencia de la
configuración, y que se lleven a cabo acciones correctivas.
ƒ Las librerías de archivos han sido definidas conveniente y adecuadamente
y en las diferentes fases del ciclo de vida de desarrollo de los sistemas.
ƒ Para todos los ordenadores personales que tienen software no autorizado
se informa sobre las violaciones y la administración lleva a cabo las
acciones correctivas oportunas.
ƒ Los registros de la configuración con respecto al producto, versión y
modificaciones de los recursos proporcionados por los proveedores son
precisos.
ƒ Los registros históricos de los cambios de la configuración son precisos.
ƒ Existen mecanismos para asegurar que no existe un software no autorizado
en los ordenadores, incluyendo:

o Políticas y estatutos.
o Formación y conciencia de las responsabilidades potenciales
(legales y de producto).
o Formas firmadas de cumplimiento por parte de todo el personal que
utilice
o los ordenadores.
o Control centralizado del software informático.

Guía de Auditoria Página 14 de 17

Administrar la configuración
CHauditoria Consultores S.A.

o Revisión continua del software informático.

o Informes de los resultados de la revisión.
o Acciones correctivas por parte de la administración basadas en los
resultados de las revisiones.
o El almacenamiento de programas de aplicación y código fuente se
define durante el ciclo de desarrollo y el impacto de los registros de
la configuración se ha determinado.
o La suficiencia e integridad de los registros de los proveedores
relacionados con la configuración, así como la precisión en los
registros de la configuración anticipados y considerados.
o Se definen procedimientos base de la configuración para:

ƒ Registrar lo que creó la base, el establecimiento de la base y los elementos

de la configuración que deben ser controlados.
ƒ Modificar la base, incluyendo la autoridad requerida para aprobar los
cambios base de la configuración aprobadas previamente.
ƒ Registrar los cambios base y los elementos de la configuración que deben
ser controlados.
ƒ Asegurar que todos los elementos de la configuración se registran dentro
de los productos.

Existe el informe de estado de la cuenta para:

ƒ El tipo de información que debe ser recopilada, almacenada, procesada y

transmitida (Esto deberá incluir el estado de la base, los hallazgos en las
revisiones, solicitudes de cambios y estados; revisión y aprobación, y
desaprobación del control de la configuración; modificaciones realizadas;
informes de los problemas y estado y la historia de la revisión de la
configuración).

Guía de Auditoria Página 15 de 17

Administrar la configuración
CHauditoria Consultores S.A.

ƒ La manera en la que los problemas de las solicitudes de cambio se

resuelven con un estado de cuenta incompleto.
ƒ Los tipos de informes de estado de cuenta generados y su frecuencia.
ƒ La manera en la que el acceso a estos datos de estado se controlan.

2.3.3 Evaluación del riesgo

2.3.3.1 Llevando a cabo:

Una revisión detallada de la frecuencia y la oportunidad de las revisiones
administrativas de los registros de la configuración, los cambios en los registros y
la conciliación de los registros de inventario, contabilidad y proveedores.

Un análisis del software de varias librerías en cuanto a posible duplicidad,

identificación del código objeto que falta y en cuanto a la eliminación de los
archivos de datos o programas innecesarios -- y su reflejo en los registros de la
configuración.

2.3.3.2 Identificando
Las debilidades en la conciencia y en el conocimiento de la administración y el
personal en cuanto a las políticas de la organización con respecto a:

ƒ Los registros de la configuración y los cambios realizados en estos

registros.
ƒ El establecimiento de los controles de configuración en el ciclo de vida de
desarrollo de los sistemas. La integración de los registros de configuración,
contabilización y proveedores.
ƒ La no utilización del software no autorizado en ordenadores personales.

Posibles mejoras inadecuadas de la efectividad y la eficiencia de la creación y

mantenimiento de la base de la configuración.

Guía de Auditoria Página 16 de 17

Administrar la configuración
CHauditoria Consultores S.A.

Deficiencias en los cambios de los proveedores al reflejarse en los registros de la

configuración, en los registros de seguridad, o cambios en los registros por parte
de los proveedores reflejados apropiadamente.

2.4 Herramientas

Las herramientas para esta auditoria están consignadas en Herramientas Auditoria

DS9

Guía de Auditoria Página 17 de 17