Auditora de

Sistemas

Ing. Jhonatan David Otrola Mescua

Reflexin
 APO 10 Gestin de
Servicios de Terceros
http://elcomercio.pe/lima/claro-disculpa-usuaria-groserias-asesor-linea-198615
RIESGOS DEL PROCESO

Prdidas financieras y
Servicios no acorde a la especficos:
Objetivos Sobrevaluacin en la
de reputacin debido a
necesidad de la contratacin de
la interrupcin en los
empresa servicios
servicios de terceos.

Imposibilidad de Filtracin de
realizar reclamos informacin sensible
debido a la ausencia de originado por servicios
contratos formales de terceros
CONTROLES ISO 27000
CONTROLES ISO 27000
CONTROLES COBIT 5
CONTROLES COBIT 5
CONTROLES COBIT 5
CONTROLES COBIT 5
CONTROLES COBIT 5
CONTROLES COBIT 5
CASO
Para el proceso de desarrollo de nuevas aplicaciones y para la ejecucin de cambios en las aplicaciones actuales, la gerencia de sistemas
utiliza eventualmente servicios de outsourcing de empresas ubicadas en Colombia, Chile y Per. Actualmente son 4 empresas (EP1, EP2,
EP3 y EP4) las que participan en diversos proyectos de desarrollo de aplicaciones.
Durante el primer semestre, la gerencia de operaciones inform a la gerencia de sistemas su malestar por las siguientes situaciones:
Los desarrollos son entregados fuera de fecha Objetivos especficos:
Los desarrollos entregados presentan una alta tasa de errores una vez instalados en las cajas de venta de la compaa

La Gerencia de Auditora inici trabajos de revisin y durante su entendimiento identific las siguientes actividades:
La contratacin de servicios o compra de bienes se realiza con la aprobacin de la Jefatura hasta por montos de USD 50 000 y con la
aprobacin de la Gerencia de Sistemas hasta USD$ 100 000 y para montos superiores con la aprobacin de la Gerencia General.
La Gerencia de Sistemas contrata proveedores previa licitacin y con la presentacin de por lo menos 3 proformas de proveedores
distintos a fin de elegir la mejor oferta. Los contratos son de 1 ao de soporte.
Los proveedores mantienen contratos formales con la compaa, o en su defecto existe una orden de servicio que sustenta el servicio
otorgado.
El pago a los proveedores es realizado por personal de Finanzas y requiere de la aprobacin de la Gerencia de Sistemas para su
ejecucin.
Los contratos con los proveedores no definen clusulas de confidencial, SLA y penalidades por incumplimiento. Por lo tanto
actividades de monitoreo no son realizadas.
Los proveedores no estn clasificados segn su nivel de riesgo en los servicios de sistemas.

Identifique los riesgos en el proceso de gestin de servicios de terceros

Identifique 3 actividades de control que se ejecutan en la gestin de servicios de terceros de la compaa y defina cul es el riesgo que
mitiga
Identifique 3 vulnerabilidades y defina que actividades de control debe implementar.
CASO

Para el proceso de desarrollo de nuevas aplicaciones y para la ejecucin de cambios en las aplicaciones actuales, la gerencia de
sistemas utiliza eventualmente servicios de outsourcing de empresas ubicadas en Colombia, Chile y Per. Actualmente son 4 empresas
(EP1, EP2, EP3 y EP4) las que participan en diversos proyectos de desarrollo de aplicaciones.
Durante el primer semestre, la gerencia de operaciones inform a la gerencia de sistemas su malestar por las siguientes situaciones:
Los desarrollos son entregados fuera de fecha Objetivos especficos:
Los desarrollos entregados presentan una alta tasa de errores una vez instalados en las cajas de venta de la compaa

La Gerencia de Auditora inici trabajos de revisin y durante su entendimiento identific las siguientes actividades:
La contratacin de servicios o compra de bienes se realiza con la aprobacin de la Jefatura hasta por montos de USD 50 000 y con
la aprobacin de la Gerencia de Sistemas hasta USD$ 100 000 y para montos superiores con la aprobacin de la Gerencia General.
La Gerencia de Sistemas contrata proveedores previa licitacin y con la presentacin de por lo menos 3 proformas de proveedores
distintos a fin de elegir la mejor oferta. Los contratos son de 1 ao de soporte.
Slo algunos proveedores mantienen contratos formales con la compaa, o en su defecto existe una orden de servicio que
sustenta el servicio otorgado.
El pago a los proveedores es realizado por personal de Finanzas y requiere de la aprobacin de la Gerencia de Sistemas para su
ejecucin.
Los contratos con los proveedores no definen clusulas de confidencial, SLA y penalidades por incumplimiento.
Los proveedores no estn clasificados segn su nivel de riesgo en los servicios de sistemas.

Identifique los riesgos en el proceso de gestin de servicios de terceros

Identifique 3 actividades de control que se ejecutan en la gestin de servicios de terceros de la compaa y defina cul es el riesgo
que mitiga
Identifique 3 vulnerabilidades y defina que actividades de control debe implementar.
Propuesta de Solucin
Vulnerabilidad Evento Control Sugerido
Los contratos con los Servicios de terceros no Definir Acuerdos de
proveedores no definen alineados a la necesidad Niveles de Servicio y
clusulas de confidencial, de la empresa Objetivos especficos:
definir penalidades para
SLA y penalidades por casos de incumplimiento
incumplimiento.
Los proveedores no estn Prdidas financieras y Clasificar a los
clasificados segn su nivel afectacin reputacional proveedores a fin de
de riesgo en los servicios debido a la interrupcin en identificar los proveedores
de sistemas. los servicios. crticos
Slo algunos proveedores Imposibilidad de realizar Formalizar los servicios
mantienen contratos reclamos debido a la con terceros mediante
formales con la compaa, ausencia de contratos contratos
o en su defecto existe una formales
orden de servicio que
sustenta el servicio
otorgado.
 DSS04 Auditora
Proceso de Respaldo
Objetivos de la gestin de
la continuidad del negocio

Estar mejor preparados y

organizados sobre cmo actuar
ante diferentes tipos de eventos.
Entregar al cliente una atencin y
un servicio de calidad,.
Tener control de toda la
informacin que se manejar
durante el evento (atenciones
realizadas, montos pagados,
documentacin recibida, etc.)
Controlar los costos del evento.
Ciclo de vida de la
GCN
La gestin de la continuidad del negocio busca asegurar la entrega de
nuestros productos y servicios ms crticos en situaciones de interrupcin
severa.

Identificar las Determinar las Establecer Documentar Ejecutar

reas ms crticas amenazas de estrategias de procedimientos simulacros y
del negocio interrupcin recuperacin de contingencia ejercicios
El Plan de Continuidad del
Negocio (PCN)
Plan de Emergencia
Salvaguardar a las personas, los
activos de la empresa y el medio
ambiente
Plan de Gestin de Crisis
Administrar el incidente y sus implican-
cias, desde una perspectiva estratgica:
Criterios de invocacin y activacin
Plan comunicacional
Administracin de los grupos de inters
Responsabilidad social
Plan de Recuperacin del Negocio
Estabilizar, restaurar y recuperar los
procesos crticos para el negocio
Plan de Recuperacin Tecnolgica
Recuperar y rehabilitar la
infraestructura fsica e informtica

ANTES DURANTE DESPUS

Programa de continuidad del negocio
Establecer y mantener un modelo
tctico y operativo para poder responder
ante un evento de interrupcin
Estrategias de recuperacin
definidas
Las estrategias de recuperacin se activan de forma autnoma por Equipos de Recuperacin del
Negocio.
Las reas a cargo de los procesos crticos cuentan con planes para reanudar su nivel de operacin mnimo dentro de los tiempos de
recuperacin establecidos.
Las reas de soporte, principalmente la Gerencia de Logstica y la Gerencia de Tecnologa, activan sus procedimientos de recuperacin
y restauracin de manera autnoma.

Indisponibilidad de la Indisponibilidad de la Indisponibilidad del Indisponibilidad de Evento catastrfico

sede de trabajo tecnologa personal clave proveedores (terremoto)

Sitios alternos de trabajo Procedimientos manuales, Cadena de backup del Proveedores alternativos, Sitios alternos, personal
(en Rimac o fuera de activacin de aplicaciones personal clave, en las contingencias previstas backup, proveedores
Rimac) en contingencia reas de negocio y fuera por el proveedor, u alternos, y/o centro de
de ellas operacin in-house cmputo alterno.
 RIESGOS DEL PROCESO

Posible interrupcin de procesos de

Posible prdida de Informacin
negocio por indisponibilidad de las
sensible de la empresa.
aplicaciones de soporte.
ACTIVIDADES DE CONTROL EN EL RESPALDO DE INFORMACION
COBIT 5
ACTIVIDADES DE CONTROL EN EL RESPALDO DE INFORMACION
COBIT 5
ACTIVIDADES DE CONTROL EN EL RESPALDO DE INFORMACION
COBIT 5
ACTIVIDADES DE CONTROL EN EL RESPALDO DE INFORMACION
COBIT 5
ACTIVIDADES DE CONTROL EN EL RESPALDO DE INFORMACION
COBIT 5
ACTIVIDADES DE CONTROL EN EL RESPALDO DE INFORMACION
COBIT 5
ACTIVIDADES DE CONTROL EN EL RESPALDO DE INFORMACION
COBIT 5
ACTIVIDADES DE CONTROL EN EL RESPALDO DE INFORMACION
COBIT 5
ACTIVIDADES DE CONTROL EN EL RESPALDO DE INFORMACION
COBIT 5
 Resumen de controles principales

Los medios (cintas backup)

Los acuerdos de almacenamiento considerando mecanismos de
Los medios (cintas backup) son
y conservacin son definidos de seguridad para su acceso (usuario
almacenadas en lugares distintos
acuerdo a la necesidad del y contrasea), almacenamiento
a su generacin.
negocio (encriptacin) y recuperacin
(acceso a recuperar)

La ejecucin de los cronogramas Los medios (cintas backup) son

La Eliminacin de medios de respaldo son registrados y probados para asegurar su
considera mecanismos para evitar monitoreados. Fallas con correcto funcionamiento durante
la recuperacin de la informacin alertadas y solucionadas un proceso de contingencia o
oportunamente recuperacin.
ACTIVIDADES DE CONTROL EN EL RESPALDO
DE LA INFORMACION
Durante las actividades de recuperacin de una empresa despus de un incendio que afect sus instalaciones, la gerencia de sistemas report
las siguientes situaciones:

1. Las cintas de respaldo son almacenadas en ubicaciones distintas al CPD.

2. Una poltica de datos esta definida y aprobada por la alta direccin.
3. Las cintas de respaldo son encriptadas y su acceso es restringido a personal autorizado

Del proceso de revisin de los controles declarados por el negocio como implementados se tiene:

1. Las cintas de respaldo, referidas a 2 de las 5 aplicaciones crticas, eran almacenados en el mismo edificio de la compaa lo cual motivo que
se perdieran durante el incendio. El resto de las cintas eran almacenadas en un proveedor externo llamado IRON a 10 km de distancia de la
sede.
2. De las 3 aplicaciones crticas respaldadas, se tuvieron cintas que no funcionaban correctamente. De la consulta realizada al administrador de
red, se tiene que no se realiza pruebas de recuperacin ni se validaba el tiempo de vida mximo de las cintas por lo que muchas de ellas
fallaron por exceder este tiempo.
3. Las cintas respaldo almacenan informacin encriptada lo que asegura su ilegibilidad en caso de robo.

IDENTIFICAR RIESGOS / VULNERABILIDADES Y ACTIVIDADES DE CONTROL DE MITIGACIN

VULNERABILIDAD RIESGO CONTROL MITIGATORIO