You are on page 1of 24

El contexto internacional: Riesgos y amenazas

SI-38 Seguridad y Auditora de Sistemas

En las ltimas dcadas, una serie de grandes escndalos financieros en grandes


empresas globales, han evidenciado la fragilidad de los controles operativos y
financieros en las empresas.

Grandes empresas de auditora internacionales se han visto envueltas por accin


u omisin en estos escndalos.

Como consecuencia, se ha reforzado a nivel internacional la exigencia de que las


empresas cumplan una serie de procedimientos y prcticas de control, a fin de
garantizar la transparencia y veracidad de sus operaciones y manejo financiero.
Ej: Sarbanes-Oxley Act (USA, 2002).

El soporte de tecnologa es clave para las operaciones y manejo financiero de las


empresas, la exigencia regulatoria sobre los controles de TI se ha incrementado
grandemente: COSO, COBIT, etc.

En Per la SBS ha establecido normativa para el control del riesgo operativo y de


TI en las empresas financieras

Cap. 1: El Proceso de Auditora de Sistemas de Informacin

UPC 2010 02

UPC 2010 02

El Capital de Informacin

El contexto internacional: Riesgos y amenazas


Atentado contra el World Trade Center, Washington (11/09/01): 8,000
servidores Intel, 5,000 servidores UNIX, 34,000 PCs, US$ 32 billones
para recuperar equipos y sistemas, 3500 vctimas y destruccin de
sedes corporativas de diversas empresas globales.
En 1998 se produjo una interrupcin de servicios de comunicaciones de
AT&T por fallas en un switch (software y procedimientos). Por 18 horas,
a nivel mundial, usuarios de tarjetas de crdito no pudieron usarlas.

Infraestructura
Tecnolgica

Bases de datos

Terremoto de Kobe, Japn (17/01/95): dur 20 seg., intensidad de 6.8


Richter. 40,000 victimas, 148 incendios y 6.513 edificios destruidos.
Sistemas de
Informacin

Empresa de Telecomunicaciones: Incendio daa instalaciones del


centro de cmputo, el cual es inundado por la accin de los bomberos.
Varios sistemas crticos quedan fuera de servicio por tres das.
Empresa de Cosmticos: Por cercana de su local a la Embajada de
Japn, el centro de cmputo queda inutilizable por 23 das. (11/12/96)

El capital de informacin junto con los dems activos intangibles influyen en el


desempeo de la empresa al mejorar los procesos internos ms importantes en la
creacin de valor para clientes y accionistas
Kaplan y Norton, Strategic Maps - 2004
UPC 2010 02

UPC 2010 02

La necesidad de la Auditora y el control interno en las empresas

Principales Amenazas al Capital de Informacin

Cmo debe enfrentar una empresa estos


riesgos?

Amenzas de
origen social

Divulgacin no autorizada
de informacin confidencial
Alteracin no autorizada de
informacin.

Con un proceso slido de Gestin de Riesgos

Accesos por proveedores


Fraudes por empleados
Espionaje por competidores

Bases de datos

Infraestructura
Tecnolgica

Violacin de derechos de
propiedad
Gestin deficiente de la
tecnologa

Amenazas de
origen tecnolgico

Inoperatividad de tecnologa
Virus, worms, spyware
Ataques de hackers.
Saturacin de servicios
Spam

Sistemas de
Informacin

Con un sistema de Control Interno eficiente


Con la ejecucin de auditoras eficaces

Amenazas de
origen natural

UPC 2010 02

Terremotos
Inundaciones
Incendios

Estrategia de mejora continua de la calidad en cuatro pasos

Auditora es la actividad consistente en la emisin de una opinin


profesional sobre si el objeto sometido a anlisis presenta adecuadamente
la realidad que pretende reflejar y/o cumple las condiciones que le han sido
prescritas.

Nivel de Madurez

Calidad:
Continuo control de la calidad y consolidacin

Alineacin
del Negocio TI

P
D

Mejoras
de calidad
efectivas

Plan: Plan de Proyecto


Do: Proyecto (Hacer)
Check: Auditoria
Act: Nuevas Acciones

Consolidacin del nivel conseguido

Definicin de Auditora

Modelo de Mejoramiento Continuo de la Calidad de Deming (PDCA)

Mejoras continuas
paso a paso

UPC 2010 02

Auditoria de
Sistemas /
Control Interno

Contenido

Una opinin

Condicin

Profesional

Justificacin

Sustentada en determinados procedimientos

Objeto

Determinada informacin obtenida de ciertas fuentes

Finalidad

Determinar si representa adecuadamente la realidad o responde a las


expectativas que le son atribudas, es decir, su fiabilidad

Escala de Tiempo
UPC 2010 02

UPC 2010 02

Clases de Auditora

Clases de Auditora
Algunos ejemplos:

El objeto y la finalidad de una auditora definen su tipo, los principales son:


Clase
Clase

Contenido

Objeto

Finalidad

Financiera

Opinin

Cuentas anuales

Presentan realidad

Informtica o
de Sistemas

Opinin

Sistemas de informacin,
recursos informticos, planes
de contingencia, etc.

Operatividad eficiente y
segn normas establecidas

Gestin

Opinin

Direccin

Eficacia, eficiencia.

Cumplimiento

Opinin

Normas establecidas

Las operaciones se adecan


a estas normas

Ejemplo

Financiera

Auditora de Estados Financieros de las empresas. Exigencia de entidades


reguladoras y financieras. Debe verificar que los EE.FF. muestren la
realidad de la empresa

Informtica o
de Sistemas

Auditora de controles de sistemas, requerida por las Auditoras


Financieras y entidades reguladoras

Gestin

Auditora de las gestin de una entidad pblica o privada, luego de un


cambio de los Directivos.

Cumplimiento

Cumplimiento de estndares de gestin de la calidad (ISO 9000),


estndares de gestin ambiental (ISO 14000), estndares de gestin de la
seguridad de informacin (ISO 27000)

El sector Financiero ha sido el principal usuario de los procedimientos de


auditora

UPC 2010 02

Procedimientos de Auditora

10

Definicin de Consultora

La opinin expresada en una auditora se fundamenta en el


cumplimiento de procedimientos especficos que deben proporcionar
una seguridad razonable de lo que se afirma
Existen auditoras altamente reglamentadas (las financieras) donde es
obligatorio aplicar Normas Tcnicas y procedimientos detallados.
En general, una auditora debe cumplir:
El trabajo debe ser planificado y supervisado adecuadamente
Se estudiar y evaluar el sistema de control interno
Se obtendr evidencia suficiente y adecuada
La evidencia debe colectarse en los documentos de trabajo del
auditor. Como justificacin y soporte del trabajo y de la opinin
emitida.

UPC 2010 02

UPC 2010 02

11

Consultora es dar asesoramiento o consejo sobre lo que se ha de hacer o


cmo llevar adecuadamente una determinada actividad para obtener los
fines deseados.
Contenido

Dar asesoramiento o consejo

Condicin

De carcter especializado

Justificacin

En base a un exmen o anlisis

Objeto

La actividad o cuestin sometida a consideracin

Finalidad

Establecer la manera de llevarla a cabo adecuadamente

UPC 2010 02

12

La Auditora de Sistemas

Necesidad de la Auditora de Sistemas

Y la auditora de Sistemas?.

UPC 2010 02

Hoy da, el procesamiento automatizado de la informacin a travs de


las computadoras, es indispensable en las empresas.
El alto desarrollo tecnolgico y la intensa competencia entre las
empresas las hace cada vez ms dependientes de los sistemas.
La informacin y, en general, todos los activos tecnolgicos son los
recursos o activos ms importantes de una empresa.
La informacin procesada es utilizada para tomar decisiones operativas,
tcticas y estratgicas.
La informacin debe ser preservada de cualquier mal uso que afecte su
integridad, privacidad o disponibilidad.
Las fallas o el mal uso de los sistemas puede afectar grandemente a la
sociedad (empresas y personas): mala asignacin de recursos, fraudes,
prdida de privacidad, etc.

13

Necesidad de la Auditora de Sistemas

UPC 2010 02

Necesidad de la Auditora de Sistemas


Prdida de datos

Dao o prdida de informacin: archivos de cuentas por cobrar,


cuentas por pagar, etc.

Mala toma de
decisiones

La informacin se utiliza para la toma de decisiones. Dependiendo de


si las decisiones son estratgicas, tctica u operativas, el impacto de
la calidad de los datos y la informacin provista por los sistemas
puede ser de mayor o menor impacto.

Uso indebido de la
tecnologa

Virus, hacking, acceso fsico ilegal, abuso de privilegios de acceso a


sistemas, etc. pueden originar prdidas importantes a las
organizaciones: destruccin o robo de activos o informacin,
alteracin indebida de datos, prdida de confidencialidad o
privacidad, interrupcin de operaciones, uso indebido de activos,
dao fsico del personal, etc.

Proteccin de la
inversin en
tecnologa y personal

Los montos invertidos en hardware y software son importantes. Su


dao o robo puede originar una prdida econmica importante,
interrupcin de operaciones, prdida de confidencialidad, prdida de
ingresos, etc.

Errores en
procesamiento de la
informacin

El mal funcionamiento de los sistemas puede originar fallas en los


procesos productivos, merma de la calidad, accidentes, incremento de
costos o prdida de ingresos, etc.

Confidencialidad y
privacidad

La liberacin de informacin confidencial puede originar importantes


prdidas econmicas y ventaja frente a la competencia, tambin
puede originar prdidas por denuncias de clientes afectados.

Factores que influencian hacia el control y auditora del uso de las computadoras
Costos por
prdida de
datos

Costos por
Costos por
mala toma de mal uso de
decisiones
tecnologa

Valor de
hardware,
software y
personal

Costos por mal Privacidad


de la
procesamiento
de informacin informacin

ORGANIZACIONES

Auditora y control de
sistemas de Informacin

UPC 2010 02

14

15

UPC 2010 02

16

Definicin de Auditora de Sistemas o Auditora Informtica

Objetivos de la Auditora de Sistemas

Es el proceso de recolectar, agrupar y evaluar evidencias para determinar


si un sistema informtico salvaguarda los activos de cmputo, mantiene
la integridad de los datos, utiliza eficientemente los recursos de la
organizacin y contribuye eficazmente a los objetivos de la organizacin.
La auditora de sistemas cumple dos clases de objetivos principales:
Objetivos de proteccin de activos e integridad de datos
Objetivos de gestin: eficacia y eficiencia en el cumplimiento de
metas empresariales
Auditora de sistemas de Informacin

Proteccin
de activos

Hardware, software, instalaciones, personas (conocimiento), archivos de


datos, documentacin de sistemas, formularios oficiales, suministros,
Riesgos: daos fsico, robo, uso indebido, etc.

Integridad
de datos

Mantener atributos de los datos: deben ser completos, veraces,


confiables.
Riesgos: incertidumbre sobre las operaciones de la empresa, prdida de
competitividad

Efectividad
de sistemas

Los sistemas deben cumplir/atender los objetivos/necesidades para los


que fueron implementados.
Riesgos: sistemas incompletos, no funcionales, complicados, costosos.

Eficiencia de
Sistemas

Un sistema eficiente utiliza la menor cantidad posible de recursos para


alcanzar sus objetivos: capacidad de procesamiento, software de base,
dispositivos de entrada/salida, operacin del sistema, etc.

ORGANIZACIONES

Proteccin de
activos

Asegurar integridad
de datos

Mejorar efectividad
de sistemas

Mejorar eficiencia
de sistemas

UPC 2010 02

17

Definicin de Auditora de Sistemas o Auditora Informtica

UPC 2010 02

18

ISACA

El auditor informtico evala y comprueba en determinados momentos


del tiempo los controles y procedimientos informticos existentes,
desarrollando y aplicando tcnicas de auditora, incluyendo de ser
necesario el uso de software especializado.
El auditor informtico es responsable de revisar e informar a la Direccin
de la organizacin sobre el diseo y funcionamiento de los controles
implantados y sobre la fiabilidad de la informacin suministrada.
El Informe de Auditora es el documento formal donde se comunican los
resultados de una auditora informtica.

Information System Audit and Control Asociation (ISACA) es una


asociacin internacional de profesionales relacionados a las tareas de
auditora de TI.
Se fund en 1967, cuando un conjunto de profesionales reconoci que
debido a la criticidad de la funcin de auditora de sistemas en las
organizaciones requera una fuente centralizada de informacin, guas de
trabajo y estndares. Tiene ms de 50,000 miembros en 140 pases.
ISACA provee una serie de estndares, guas y procedimientos que
deben seguirse para realizar auditoras de sistemas.
ISACA provee dos certificaciones internacionales a los profesionales que
cumplen los requisitos que establece:
CISA: Certified Information Systems Auditor
CISM: Certified Information Security Manager

UPC 2010 02

19

UPC 2010 02

20

Riesgos de Tecnologa

Amenzas de
origen social

Divulgacin no autorizada
de informacin confidencial
Alteracin no autorizada de
informacin.

Infraestructura
Tecnolgica

Accesos por proveedores

Bases de datos
Amenazas de
origen tecnolgico

Fraudes por empleados


Espionaje por competidores

SI-38 Seguridad y Auditora de Sistemas

Violacin de derechos de
propiedad

Cap. 1: El Proceso de Auditora de Sistemas de Informacin

Sistemas de
Informacin

Sabotaje / Terrorismo

Amenazas de
origen natural

Terremotos
Inundaciones
Incendios

Inoperatividad de tecnologa
Virus, worms, spyware
Ataques de hackers.
Saturacin de servicios
Spam

Vulnerabilidad: exposicin a una situacin adversa que podra ser explotada


intencional o accidentalmente y afectar negativamente el cumplimiento de los
objetivos de la organizacin.
Riesgo es el impacto neto proveniente de una vulnerabilidad, considerando
tanto su probabilidad de ocurrencia como el impacto que ocasionara en caso
de materializarse.
Riesgo = Probabilidad x Impacto

UPC 2010 02

21

Costos por
prdida de
datos

Costos por
Costos por
mala toma de mal uso de
decisiones
tecnologa

22

Tipos de Controles

Riesgos y Controles de Tecnologa


Valor de
hardware,
software y
personal

UPC 2010 02

Costos por mal Privacidad


de la
procesamiento
de informacin informacin

Preventivos, diseados para prevenir que ocurra un error, omisin o


prctica maliciosa. Ej: el uso de contraseas para acceder a un sistema.

Detectivos, en caso que los controles preventivos fallen, deben


identificar lo antes posible la ocurrencia de un hecho indebido. Ej:
registro de intentos de acceso fallidos para un sistema.

ORGANIZACIONES

Correctivos, ocurrida una incidencia deben reducir el impacto de la


misma y facilitar la vuelta a la normalidad. Ej: recuperar datos desde una
copia de seguridad (backup), un plan de contingencia, etc.

Auditora y control de
sistemas de Informacin

Los Riesgos se manejan estableciendo Controles.


Control es un sistema (polticas, procedimientos, prcticas y estructuras
organizacionales) diseados para garantizar razonablemente que los objetivos del
negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados
y corregidos.
UPC 2010 02

23

UPC 2010 02

24

El Sistema de Control Interno

El Sistema de Control Interno

Las organizaciones deben tener un Sistema de Control Interno que


asegure que sus controles sean los adecuados y funcionen
correctamente. Los componentes son:
Monitoring

Control activities
Information &
communication
Risk assessment
Control
environment

Seguimiento contnuo para asegurar que


las polticas y procedimientos funcionan
apropiadamente
Son los controles que permitirn asegurar
que las operaciones del negocio estn
funcionando de acuerdo a los objetivos de
la organizacin.
Incluye los controles que permitirn al
staff de TI recibir y controlar el flujo de
informacin de negocio.
Cubre la evaluacin de amenazas,
vulnerabilidades e impacto de las mismas,
para fijar eficientemente dnde deberan
establecerse los controles
Fijan parmetros generales para los
controles: polticas empresariales de alto
nivel, valores ticos, cultura y estructura
de Recursos Humanos.

UPC 2010 02

25

Controles de IT: Generales y de Aplicacin

Un sistema de control interno debe considerar las siguientes categoras:


Segregacin de actividades: una transaccin debe pasar por varias
etapas a cargo de personas distintas.
Responsabilidad y delegacin de autoridad
Personal: competente y confiable.
Procedimientos de Autorizacin: que aseguren los debidos niveles de
aprobacin y su registro adecuado.
Registro de actividades: proteccin y almacenamiento de documentos,
pistas de auditora, etc.
Control fsico sobre activos y registros: mecanismos apropiados para
evitar accesos no autorizados.
Adecuada supervisin: seguimiento cercano del supervisor para disuadir
o detectar actos indebidos.
Revisiones independientes de resultados.

UPC 2010 02

Controles Generales de IT

Un sistema de control interno debe considerar las siguientes categoras:

Incluyen los siguientes:

Controles Generales de IT:


Se ejecutan para asegurar que el desarrollo, implementacin, operacin y
mantenimiento de los sistemas de informacin se hace de una manera
planeada y controlada. En otras palabras, los controles generales de IT
permiten que se provea una infraestructura estable en la cual los sistemas
de informacin puedan construirse, operarse y modificarse de acuerdo a las
necesidades diarias y de acuerdo a los procedimientos establecidos.

Controles de aplicacin:
Se requieren para asegurar un procesamiento confiable de la informacin y
se aplican sobre transacciones individuales. Estos controles aseguran que
las transacciones sean vlidas, autorizadas y se registren apropiadamente.

UPC 2010 02

26

27

Organizacin y administracin, incluyendo plticas y estndares.


Segregacin de actividades.
Controles fsicos: accesos y ambientales.
Control de accesos lgicos: cuentas de usuario y contraseas
Desarrollo de sistemas y cambios a programas.
Controles sobre personal de sistemas, incluyendo programadores,
analistas y Operaciones y Soporte de TI. (tambin proveedores
externos).
Controles sobre disponibilidad y continuidad de sistemas. Por ejemplo
el plan de continuidad de negocios.
Controles sobre uso de computadoras por usuarios finales.

UPC 2010 02

28

Controles de Aplicacin

Controles de IT: Onion Model

Dado que se aplican sobre transacciones individuales, incluyen:

Controles sobre
Controles sobre
Controles sobre
Controles sobre

The IT controls framework

las entradas de transacciones


el procesamiento de transacciones.
la salida de transacciones
datos y archivos maestros.

Physical and environmental controls


System Security and Internal Audit

Staff selection, vetting and training


Network Access Controls
Operating system controls
APPLICATION CONTROLS
INPUT
PROCESS OUTPUT
Audit Trails

UPC 2010 02

29

La Auditora y los Controles de IT

UPC 2010 02

Standing Data

30

El Proceso de Auditora

La funcin de la auditora es determinar si existen los controles para


evitar eventos no deseados en los sistemas de TI y si estos controles
trabajan adecuadamente.
Eventualmente pueden existir eventos no deseados que no tengan un
control establecido. Esto slo debe ocurrir cuando no sea posible
implementar un control efectivo en trminos de costo-beneficio.

UPC 2010 02

31

UPC 2010 02

32

Planeamiento de la Auditora

Planeamiento de la Auditora

El objetivo de esta etapa es tomar conocimiento del cliente y de sus


sistemas de control interno. Temas a considerar son:
Necesidades del cliente para la auditora:
soporte a una auditora financiera
evaluacin de controles TI
necesidades regulatorias, etc.
Realidad del cliente:
organizacin y operaciones del negocio
hardware utilizado (servidores, PCs, redes, etc.)
software de sistemas (sistemas operativos, BDs, seguridad, redes,
etc.)
principales sistemas de informacin
personal de contacto en TI y en reas usuarias
problemas del cliente con sus aplicativos
cambios planeados en aplicativos o tecnologa, etc.
UPC 2010 02

33

Planeamiento de la Auditora

Fuentes de informacin:
informe y papeles de trabajo de auditoras anteriores
observacin de las instalaciones
entrevistas con personal de TI
documentos del cliente (plan estratgico de TI, plan del negocio,
documentacin de sistemas, etc.)
Necesidad de otros especialistas como ayuda a la auditora:
en caso de riesgos significativos detectados (sistemas, equipamiento,
procedimientos, seguridad de informacin, etc.),
por solicitud expresa del cliente
cuando existe considerable desarrollo interno de sistemas
en caso de existir planes de cambios importantes en infraestructura o
aplicativos.

UPC 2010 02

34

Planeamiento de la Auditora

Determinar alcance y tiempo de los procedimientos de auditora:


qu aplicativos se revisarn y qu tiempo ser necesario, en funcin
a su contribucin al negocio, tamao y complejidad de la plataforma
tecnolgica,
los objetivos de la auditora
reas crticas del negocio identificadas con el cliente
debilidades conocidas en los controles internos

Elaboracin de un Plan de Auditora, que contiene:


referencias del cliente y sus necesidades,
alcance y objetivos de la auditora a realizar
reas crticas a examinar
recursos necesarios
Cronograma

Determinacin de recursos necesarios:


cantidad de personal requerido, nivel de experiencia y disponibilidad
del mismo,
disponibilidad del personal del cliente
otros recursos: equipamiento, software especializado, manuales,
dinero para traslados/alojamiento.

UPC 2010 02

35

UPC 2010 02

36

Evaluar Controles Internos

El Proceso de Auditora

THE AUDIT PROCESS

Una vez que el auditor ha logrado un adecuado entendimiento de los


controles internos del cliente, debe decidir la manera como debe realizar
los siguientes pasos de la auditora:

PLANNING

EVALUATION OF
INTERNAL CONTROLS

Si considera que el riesgo de los controles vigente es inferior al mximo


aceptable, debe identificar los controles que justifican esto y evaluar si
estos funcionan adecuadamente. Se asume que si los controles operan
efectivamente, ser menor el esfuerzo posterior en hacer pruebas
sustantivas para alcanzar un juicio de auditora.

No: No reliance on
controls

Yes : Perform compliance


tests of controls

Si considera que el riesgo de los controles supera el mximo aceptable, el


auditor no verifica los controles pues supone que es probable que estos
no sean efectivos y por lo tanto su prueba no sera confiable para realizar
una auditora eficiente. En estos casos se decide por realizar pruebas
sustantivas.

Substantive testing

Review and evalaute

Report
UPC 2010 02

37

Tipos de Pruebas de Auditora

UPC 2010 02

38

Obtener evidencia de Auditora (Pruebas de Cumplimiento)

Para obtener las evidencias de la auditora se pueden ejecutar:


Pruebas de cumplimiento. Buscan determinar si el control existe en la
prctica y opera efectivamente durante el periodo objeto de la auditora.
Se requiere realizar un muestreo para determinar el alcance de la
prueba. Por ejemplo, para verificar los controles de tiempos de respuesta
para un sistema crtico, el auditor puede entrevistar al Jefe de Produccin
de Sistemas para determinar si se revisan los tiempos de respuesta con
regularidad y qu acciones se toman cuando estos no son aceptables.

En caso de que el auditor haya determinado realizar pruebas de


cumplimiento, estas se realizan con el objetivo de confirmar que los
controles sean realmente efectivos. Este tipo de pruebas tambin buscan
disminuir los costos de la auditora.
Puede ser necesario realizar muestreo de transacciones, uso de
herramientas de SW especializadas, hacer seguimiento de transacciones
durante el ciclo de negocio, reproducir resultados para verificar clculos
correctos, etc.

Pruebas sustantivas. Buscan confirmar los resultados esperados del


control, utilizando tcnicas de muestreo para identificar transacciones
significativas. En el ejemplo anterior, el auditor elegira un conjunto de
transacciones crticas y verificara sus tiempos de respuesta para
asegurarse que estn en los niveles aceptables.

UPC 2010 02

39

UPC 2010 02

40

10

Obtener evidencia de Auditora (Pruebas Sustantivas)

Revisin y evaluacin de Resultados

Se ejecutan para evaluar si errores o mal procesamiento de las


transacciones ha tenido un impacto significativo (materialidad) en las
operaciones o los estados financieros.
Una vez realizadas estas pruebas el auditor debe confirmar o revisar su
evaluacin inicial del riesgo de los controles. Esto puede implicar tanto,
disminuir las pruebas sustantivas a realizar posteriormente (en caso los
controles hayan sido eficientes) o incrementarlas en caso contrario.

UPC 2010 02

41

Elaborar Informe y Presentacin de Resultados

El auditor debe evaluar los hallazgos hechos en las pruebas realizadas y


emitir una opinin. Normalmente, el auditor se apoya en colegas o
supervisores para completar su opinin.
Los posible juicios a emitir son:
Abstenerse de opinin: cuando las verificaciones realizadas no le
permiten emitir una opinin.
Opinin adversa: cuando el auditor considera que existen prdidas
o problemas materiales detectados en la auditora.
Opinin calificada: cuando el auditor considera que se han
presentado prdidas o problemas, pero estos no se consideran
materiales.
Opinin favorable: cuando el auditor considera que no se han
presentado prdidas o problemas en los controles revisados.

UPC 2010 02

42

Emisin del Informe de Auditora

Se siguen los siguientes pasos:

El informe debe contener

Revisin de reportes preliminares


Primer borrador: para discusin con el cliente. Se precisa el
contenido del informe, se corrigen posibles errores y aclaran temas
necesarios.
Segundo borrador: primer informe formal para el cliente.
Comentarios del cliente: el cliente enva eventuales comentarios al
borrador formal recibido.
Tercer borrador: el auditor entrega el borrador final en el cual el
cliente debe responder las observaciones presentadas.

La carta de presentacin.
Propsito de la auditora y eventuales salvedades (disclaimers)
Qu sistemas fueron revisados
Contenido del informe detallado
Con quin se revis el informe
Opinin de la auditora realizada.
Indicacin de las observaciones includas en el informe detallado.
Agradecimiento a la empresa.

Revisin Interna: el auditor enva el informe para su validacin por


colegas o por su Supervisor. Se valida que cumpla con los estndares de
documentacin, posibles omisiones o errores, se discute los hallazgos con
colegas, etc.
UPC 2010 02

43

UPC 2010 02

44

11

Emisin del Informe de Auditora


El informe debe contener
El informe detallado.
Buenas prcticas de control y consideraciones sobre el riesgo de
negocio asociado con las deficiencias de los controles.
Detalle de los hallazgos u observaciones encontrados por el auditor,
incluyendo el riesgo asociado a los mismos. Es importante que lo
reportado sea la debilidad o problema raz detectado.
Recomendaciones, las que al ser implementadas reduciran los
riesgos. Deben ser recomendaciones factibles y eficientes.
Comentarios de la Gerencia, si la Gerencia ha considerado necesario
hacerlas a las observaciones de auditora.

UPC 2010 02

45

Infraestructura Tcnica y Operaciones de TI

Cap. 3: Infraestructura Tcnica y Prcticas Operativas

UPC 2010 02

46

Infraestructura Tcnica y Operaciones de TI

Consideremos la siguiente situacin:


Ud. acaba de ingresar a laborar a una prestigiosa firma de Auditora y le han
encargado realizar la revisin de Controles de la Infraestructura Tcnica y
Operaciones de TI.
La empresa a auditar es una entidad financiera local, ingresos anuales aprox.
de US$ 100 millones, operaciones a nivel nacional y con una infraestructura de
tecnologa variada y compleja, la cual Ud. an no conoce.

Qu controles seran los ms relevantes que Ud. debera considerar


en su revisin?
Qu evidencias debera solicitar para sustentar los controles
implementados?
Qu tcnicas utilizara para recabar la informacin que requiere para
su revisin?

UPC 2010 02

SI-38 Seguridad y Auditora de Sistemas

47

El trmino Operaciones de TI se refiere a los aspectos logsticos y


de infraestructura del hardware y software. La ejecucin apropiada de
estas funciones permite asegurar al usuario de TI que sus sistemas de
informacin estn disponibles en los horarios acordados, que operen
de acuerdo a lo esperado y que los resultados de su procesamiento
como reportes, transferencias de informacin, actualizacin de datos,
etc. se ejecuten puntualmente.
En una organizacin de TI que funcione adecuadamente, el auditor
debe encontrar que las Operaciones de TI sean transparentes a los
usuarios, pues su correcto funcionamiento est debidamente
soportado en el desempeo de los roles ya establecidos.
En resumen, el usuario se libera de las preocupaciones tcnicas de los
sistemas que utiliza y puede concentrarse en su debida utilizacin para
los fines del negocio.

UPC 2010 02

48

12

Infraestructura Tcnica de TI
Procesamiento
Minicomputadoras /
Mainframes
Servidores Intel: de torre, de
rack, blades

Almacenamiento
SAN
NAS
Unidades externas de disco
Almacenamiento interno

Seguridad
Firewalls
IDSs
VPNs
Tokens
Unidades de respaldo de
datos
Antivirus
SW de backup
Filtros de contenido
Antispam

Riesgos de un deficiente control de las Operaciones de TI


Comunicaciones
LAN: switches de core y de
piso.
WAN: routers
Centrales telefnicas
Servicios: carriers para
enlaces WAN e Internet,
telefona fija y celular

Computo Personal

Software de Base

PCs
Notebooks
PDAs
Impresoras personales y
departamentales

Sistemas Operativos:
Windows 2003 Server, AIX,
Linux, etc.
Base de datos: Oracle, DB2,
SQL Server, Sybase, etc.
Correo electrnico:
Exchange, Notes.
Servidores de aplicaciones.
Servidores Web

UPC 2010 02

49

Infraestructura Tcnica y Operaciones de TI

50

En una organizacin de sistemas mediana o grande, deberan existir


las siguientes funciones, realizadas por distinto personal:
Desarrollo y mantenimiento de aplicaciones: anlisis, diseo y
construccin de sistemas de informacin
Soporte de Sistemas: administracin y soporte tcnico del hardware
y software de base. Administracin de problemas.
Operaciones rutinarias de TI: encendido y apagado de equipos,
ejecucin de tareas programadas, backups, supervisin del centro
de cmputo.
Seguridad de Sistemas: administrar controles de seguridad,
incluyendo equipamiento y software, gestin de permisos de acceso
a aplicativos.
Administracin de Base de Datos: soporte y administracin de la
Base de datos de la empresa
Control de Cambios: administracin y ejecucin de las polticas y
procedimientos de control de cambios, tanto de aplicaciones como
de HW y SW base.

Administracin de procesos y tareas


Encendido, apagado y monitoreo de funcionamiento de equipos
Seguridad fsica de instalaciones
Help Desk y Administracin de Problemas
Mantenimiento de HW y SW
Administracin de medios de almacenamiento
Respaldo de informacin y recuperacin de desastres.
Administracin de capacidad
Monitoreo del rendimiento
Administracin y monitoreo de redes y comunicaciones.
Control de Cambios

UPC 2010 02

UPC 2010 02

Organizacin para las Operaciones de TI

Funciones includas en las Operaciones de TI:

Funcionamiento incorrecto de aplicaciones: operacin errada, mal


ingreso de parmetros, versiones incorrectas, etc.
Prdida o dao de datos debido a incorrecto o no autorizado uso de
software de sistemas.
Retraso o interrupciones en el procesamiento de informacin.
Elevados tiempos de no disponibilidad de sistemas, por fallas o
retrasos en la solucin de problemas.
Prdida de informacin por mala ejecucin de backups.
Deficiente capacidad de procesamiento en la infraestructura, malos
tiempos de respuesta, por inadecuado planeamiento de capacidad.
Problemas con usuarios finales por deficiente labor de help desk, se
afecta su productividad al no resolver oportunamente sus problemas.

51

UPC 2010 02

52

13

Operaciones TI: Administracin de Procesos y Tareas programadas


Como parte de las Operaciones de TI se realizan una serie de actividades
rutinarias pero indispensables para su adecuado funcionamiento:
Ejecucin programada de tareas o procesos requeridos por usuarios:
generacin de reportes, actualizacin de datos, envo de informacin a
terceros, etc.
Encendido y apagado de equipos: segn se requiera por el personal
autorizado
Ejecucin y verificacin de procesos de respaldo o recuperacin de
informacin.
Supervisin de instalaciones y seguridad del centro de cmputo
Dependiendo de la magnitud de las operaciones de TI en la empresa, estas
actividades puede ser realizadas por personal a dedicacin exclusiva o
como parte de otras actividades.

UPC 2010 02

53

Operaciones TI: Mantenimiento de Hardware y Software

El auditor de TI debe verificar, entre otros, lo siguiente:


Que los procedimientos de Operacin estn documentados,
actualizados y debidamente probados por los ejecutantes: manuales e
instrucciones.
Que exista una programacin autorizada y documentada de los
trabajos a realizar.
Que se documenten los resultados de procesos realizados, incluyendo
el VoBo del Operador y Supervisor respectivo.
Que exista una bitcora de Operacin: incidencias, problemas,
reportes, etc., a fin de poder reconstruir cualquier evento.
Que se realicen procedimientos de verificacin de la continuidad del
procesamiento y controles de cambo de turnos de operacin.
Que existan procedimientos documentados para el manejo de errores.
Que los niveles de acceso a los sistemas sean los apropiados para las
funciones del Operador.
UPC 2010 02

54

Operaciones TI: Mantenimiento de Hardware y Software

Tanto el equipamiento de hardware como el software de base utilizado


requieren de procedimientos de mantenimiento preventivo y correctivo
para asegurar su adecuado mantenimiento:
Hardware: revisin y limpieza de componentes, actualizacin de
firmware, correccin de fallas de HW y reemplazo de componentes
defectuosos.
Software: aplicacin de parches, actualizacin de versiones,
determinacin y correccin de fallas.
Normalmente, las empresas toman contratos con proveedores para
manejar estas necesidades:
Contrato de mantenimiento de HW: con o sin cobertura de repuestos,
con tiempos de respuesta comprometidos o a solicitud, preventivos
y/o correctivos.
Contratos de mantenimiento de SW: actualizacin de versiones,
soporte ante problemas, etc.
UPC 2010 02

Operaciones TI: Administracin de Procesos y Tareas programadas

55

El auditor de TI debe verificar:


Existencia de contratos de mantenimiento para equipos y servicios
crticos.
Contratos deben especificar niveles de servicio comprometidos y
penalidades ante incumplimientos del proveedor.
Existencia de cronograma de mantenimiento preventivo de equipos y
nivel de cumplimiento del mismo.
Procedimientos de correccin de versiones de SW de sistemas,
aplicacin de parches, actualizacin de versiones

UPC 2010 02

56

14

Operaciones TI: Respaldo de Informacin y Recuperacin ante Desastres

Operaciones TI: Respaldo de Informacin y Recuperacin ante Desastres

Copias de seguridad de datos y software disponible deben ejecutarse


regularmente por el personal de Operacin de Sistemas. Aspectos a
considerar:

Clasificacin por criticidad: de datos y de software base de sistemas.


Periodos de retencin (antiguedad) de copias.
Frecuencia de generacin de las copias.
Medios de almacenamiento a utilizar.
Lugar donde se conservarn las copias generadas.
Procedimientos de verificacin y recuperacin de la informacin.
Procedimientos de recuperacin de desastes. (a revisar en captulo
posterior del curso)

UPC 2010 02

57

Operaciones TI: Help Desk y Administracin de Problemas

La existencia y nivel de actualizacin de polticas de respaldo de


informacin.
Que se ejecuten pruebas y verificaciones de procedimientos de
respaldo y recuperacin de copias de seguridad.
Adecuado lugar de almacenamiento de las copias de seguridad: fuera
del datacenter, en ambientes seguros y con instalaciones apropiadas.
Ejecucin de procedimientos de control y descarte de los medios
magnticos.
Ejecucin de procedimientos de acceso y disposicin de las copias de
respaldo.

UPC 2010 02

58

Operaciones TI: Help Desk y Administracin de Problemas

El servicio del Help Desk/Service Desk es el vnculo ms directo entre los


usuarios con problemas de IT y el rea de Sistemas. Es la funcin ms
visible del rea de TI y es estratgicamente importante como imagen
de servicio al cliente.
El auditor de TI debe verificar:
Existencia y operacin de una mesa de servicio o unidad equivalente,
que haga las veces de punto nico de contacto con el usuario de TI
para el registro y seguimiento de incidentes o solicitudes de servicio.
Niveles de servicio acordados con el usuario para la priorizacin y
atencin de eventos y mediciones de calidad del servicio.
Procedimientos de escalamiento de incidentes para aquellos que no se
puedan resolver de manera inmediata. El control siempre debe
mantenerlo el Service Desk.
Procedimientos de cierre de incidentes y verificacin de conformidad.
Anlisis de tendencias para realizar soporte preventivo y mejorar
procesos.
UPC 2010 02

El auditor de TI debe verificar:

59

Un efectivo proceso de administracin de problemas mejora los niveles de


servicio, reduce costos y mejora la satisfaccin del usuario
El auditor de TI debe verificar:
Procedimiento de identificacin y clasificacin de problemas
Procedimiento de seguimiento y solucin de problemas
Procedimientos de cierre de problemas.
Estadsticas de cumplimiento de niveles de servicio

UPC 2010 02

60

15

Operaciones TI: Control de Cambios

Operaciones TI: Control de Cambios

Los cambios se hacen con el fin de: mejorar funcionalidad de


sistemas, incrementar eficiencia de operaciones de TI, incremento de
capacidad, solucin de problemas, mejorar seguridad, actualizacin de
versiones, cambios en requerimientos del usuario.
Todos los cambios, tanto de hardware, software de sistemas o
aplicativos, procesos y procedimientos, deben administrarse formal y
controladamente.
Un adecuado proceso de control de cambios reduce el riesgo de
impactos negativos sobre la estabilidad o integridad de los ambientes
de produccin.

UPC 2010 02

61

Operaciones TI: Control de Cambios

UPC 2010 02

62

Operaciones TI: Administracin del Rendimiento y Capacidad

El auditor de TI debe verificar:


Existencia y actualizacin de procedimientos de control de cambios.
Cumplimiento de procedimientos de control de cambios, verificando la
documentacin existente de los cambios. (aplicativo)
Evidencia de procedimientos de validacin del cambio en ambientes de
prueba, previos a la ejecucin del cambio.
Evidencia de la evaluacin del impacto del cambio por los respectivos
responsables.
Evidencia de las autorizaciones correspondientes de los responsables o
propietarios de los activos de TI a ser modificados. (usuarios o de TI)
Conservacin adecuada de los registros de los cambios.
Elaboracin de planes de reversin (para aplicar en caso de problemas
con el cambio).
Procedimientos para cambios de emergencia.

UPC 2010 02

El proceso de Control de Cambios debe contemplar:


Procedimientos formales para manejar todas las solicitudes de
cambios a aplicaciones, procedimientos, procesos, parmetros de
servicio y plataforma de hardware y software de sistemas.
Evaluacin de impacto, priorizacin y autorizacin por el respectivo
responsable.
Procedimiento para cambios de emergencia.
Seguimiento y reporte de estado del cambio.
Cierre y documentacin del cambio

63

Debe revisarse regularmente el desempeo actual y la capacidad de los


recursos de TI. Esto incluye el pronstico de las necesidades futuras,
basadas en los requerimientos de carga de trabajo, almacenamiento y
contingencias.
Asegura que los recursos de TI que soportan los requerimientos del
negocio estn disponibles de manera oportuna y continua.
Debe contemplarse:
Planeacin del desempeo y capacidad: actividades de revisin a fin
de asegurar la disponibilidad, con costos justificables, a fin de cumplir
los niveles de servicio acordados. Uso de tcnicas de modelado.
Medicin regular de capacidad y desempeo actual.
Pronostico de capacidad y desempeo futuros: a intervalos regulares,
a fin de minimizar interrupciones del servicio por falta de capacidad o
degradacin del desempeo.

UPC 2010 02

64

16

Operaciones TI: Administracin del Rendimiento y Capacidad

Operaciones TI: Administracin del Rendimiento y Capacidad

Gestin de la disponibilidad de recursos de TI: brindar capacidad y


desempeo requeridos tomando en cuenta cargas de trabajo normales
y picos. Asignacin de recursos, priorizacin de tareas, etc.
Monitoreo y Reporte regular a fin de recolectar datos que permitan:
mantener y poner a punto el desempeo de los recursos de TI y
reportar a la organizacin el cumplimiento de los SLAs acordados,
incluyendo recomendaciones para las corregir las excepciones
detectadas.

UPC 2010 02

65

Operaciones TI: Acuerdos de Niveles de Servicio

UPC 2010 02

66

Operaciones TI: Acuerdos de Niveles de Servicio

Los acuerdos de niveles de servicio (SLAs por sus siglas en ingls)


permiten a la organizacin de TI formalizar con sus usuarios los
trminos de calidad y cantidad de los servicios que se prestarn.
Un SLA tpico debe contener:
Descripcin de los servicios a brindar.
Horario de servicio, incluyendo fechas especiales o feriados.
Disponibilidad de servicios (porcentaje mximo de no disponibilidad,
mximo de interrupciones y mximo de duracin de los eventos)
Tiempos de respuesta.
Niveles de servicio de Help Desk
Procedimientos de contingencia.
Consideraciones de seguridad.

UPC 2010 02

El auditor de TI debe verificar:


Existencia y cumplimiento de procedimientos de medicin de la
capacidad y rendimiento:
Reportes de medicin de utilizacin de CPU en servidores crticos
Mediciones de tiempos de respuesta en sistemas crticos
Estadsticas de consumo de espacio en disco
Reportes de cantidad de transacciones ejecutadas
Reportes de cantidad de conexiones activas a los servidores crticos.
Existencia y cumplimiento de procedimientos de pronstico,
planeamiento y aprovisionamiento de capacidad de recursos de TI:
Modelos de estimacin de cargas de trabajo
Plan de repotenciacin de equipos
Presupuesto de inversiones
Encuestas de satisfaccin de usuarios
Informes peridicos de cumplimiento de niveles de servicio:
disponibilidad, tiempos de respuesta, etc.

67

El auditor de TI debe verificar


Existencia y actualizacin de los SLAs.
Reportes de cumplimiento de los mismos.
Que los SLAs establecidos soporten
requerimientos del negocio.

UPC 2010 02

adecuadamente

los

68

17

Operaciones TI: Administracin y monitoreo de redes y comunicaciones

Operaciones TI: Administracin y monitoreo de redes y comunicaciones

Prcticamente la totalidad de las organizaciones dependen para la


operacin de sus servicios de TI de las redes de comunicaciones.
Tanto las redes LAN, WAN y el acceso a Internet se han convertido en
el sistema nervioso de la plataforma de TI de una empresa.
El acceso a las redes de comunicaciones implica una serie de riesgos
que las organizaciones deben manejar con los controles adecuados:
Prdida de privacidad de informacin y/o uso no autorizado de
sistemas. Sistemas e informacin confidencial son accesibles a
travs de las redes.
Dao o prdida de datos, por accesos no autorizados a travs de la
red. Con los accesos a Internet, el acceso podra ser prcticamente
desde cualquier parte del mundo.
Prdida de continuidad de los servicios de TI, pues los enlaces de
las redes son susceptibles de interrupciones no programadas, sea
por fallas involuntarios o por accin deliberada de un saboteador.
Infecciones de virus, ataques de hackers, bloqueo de servicios, etc.
UPC 2010 02

69

Operaciones TI: Administracin y monitoreo de redes y comunicaciones

UPC 2010 02

70

Operaciones TI: Administracin y monitoreo de redes y comunicaciones

Controles que deben establecerse:


La red interna de una organizacin debe estar fsica y lgicamente
aisladas de internet y de otras conexiones por un firewall.
Los firewalls deben ser peridicamente probados para detectar y
corregir vulnerabilidades.
Los servidores accesibles desde Internet deben ser aislados de los
servidores de datos. (DMZ)
Deben existir polticas y procedimientos para establecer conectividad
con redes externas a la empresa.
Deben establecerse adecuados controles lgicos: cuentas de usuario,
niveles de acceso en los sistemas operativos de la red.
Deben establecerse el registro automtico de eventos de seguridad en
los sistemas operativos de la red y su revisin regular a fin de tomar
accin correctiva.
Debe monitorearse de manera especfica el trabajo de consultores y
proveedores externos. El uso que hagan estos de herramientas
especiales debe ser autorizado especficamente.
UPC 2010 02

Controles que deben establecerse:


Toda informacin sensitiva en la red debe protegerse a travs del uso
de tcnicas apropiadas.
Dispositivos crticos de red como routers, switches, etc. deben
protegerse adecuadamente contra daos fsicos. El acceso fsico a
estos dispositivos debe estar restringido.
La configuracin fsica y lgica de la red debe documentarse y
mantenerse actualizada.
Debe evaluarse el impacto y riesgos de los cambios en la red antes de
realizarse.
Debe monitorearse la operacin de las redes para detectar eventuales
incidentes de seguridad. Debe existir procedimientos de respuesta
antes estos.
Herramientas de diagnstico de redes como analizadores de protocolo
deben utilizarse segn se requiera.
Debe utilizarse un firewall para aislar la red de cualquier otra red
externa y para limitar una conexin a los fines autorizados.

71

El auditor debe verificar:


Existencia y cumplimiento de los procedimientos de control
mencionados anteriormente. Debe obtener evidencia de dicho
cumplimiento.
El auditor ejecuta una serie de herramienta de evaluacin y prueba de
los controles enunciados: configuracin de los sistemas operativos,
controles de acceso configurados, vulnerabilidades de seguridad en la
configuracin de los equipos, etc.

UPC 2010 02

72

18

Ejemplos de Evidencias para auditora

Recoleccin de evidencias

Perfomance y rendimiento: cuadros de control.


Planeamiento de capacidad: estadsticas de transacciones,
presupuesto y plan de compras
Niveles de Servicio: definicin y reportes de cumplimiento
Disponibilidad: cuadros de control
Mantenimiento de HW y SW: contratos con proveedores, cronograma
de mantenimiento.
Servidores y LAN: diagramas de diseo de la red, configuracin de
servidores principales, configuracin de equipos de comunicaciones,
log de eventos, etc.
Respaldo de informacin: polticas documentadas de backups y
reporte de control de ejecucin.
Control de cambios: registros del sistema de control de cambios,
aprobaciones, etc.
Operaciones rutinarias: reportes de ejecucin de tareas.
Ejemplos de evidencias:

Entrevistas
Se utilizan para adquirir conocimiento de la organizacin, sus
aplicaciones, estructura organizativa, niveles de riesgo de sus sistemas
y nivel de confiabilidad de los controles existentes.
Su puede recopilar informacin cualitativa y cuantitativa
La calidad de las respuestas depende de la seleccin adecuada del
entrevistado y de la percepcin que el entrevistado tenga sobre los
objetivos de la misma. En la medida que estos coincidan con los suyos
propios, el resultado ser mejor.
Debe manejarse el nivel de stress y duracin de las entrevistas.
La entrevista requiere ser preparada con anterioridad, conducida y
registrada adecuadamente y luego procesada la informacin a la
brevedad posible.
Hoja de clculo de
Microsoft Excel

C:\Documents and
Settings\Ronald\Mis doc

UPC 2010 02

73

UPC 2010 02

74

Recoleccin de evidencias
Cuestionarios
Se utilizan para recabar informacin de hechos concretos. Por ejemplo,
si un control existe en determinado sistema.
Deben disearse cuidadosamente: preguntas, escala de respuestas,
estructura y verificar su validez y confiabilidad.
Las preguntas deben ser concretas y motivar respuestas objetivas.
Los resultados deben interpretarse cuidadosamente para llegar a
conclusiones objetivas.
Pueden utilizarse como apoyo para una entrevista. Tambin para
recolectar informacin de ubicaciones fsicamente dispersas.

SI-38 Seguridad y Auditora de Sistemas


Cap. 2: Controles de Administracin, planeamiento y
organizacin de Sistemas

Hoja de clculo de
Microsoft Excel

UPC 2010 02

75

UPC 2010 02

76

19

La Auditora de Sistemas de Informacin

Controles del Planeamiento, Organizacin y Administracin de TI

Consideremos la siguiente situacin:

Controles a aplicar sobre la funcin de la Gerencia de TI

Ud. acaba de ingresar a laborar a una prestigiosa firma de Auditora y le han


encargado realizar la revisin de Controles de la Gerencia de TI
La empresa a auditar es una entidad financiera local, ingresos anuales aprox.
de US$ 100 millones, operaciones a nivel nacional y con una infraestructura de
tecnologa variada y compleja, la cual Ud. an no conoce.

Qu controles seran los ms relevantes que Ud. debera considerar


en su revisin?
Qu evidencias debera solicitar para sustentar los controles
implementados?
Qu tcnicas utilizara para recabar la informacin que requiere para
su revisin?

La complejidad de la funcin de la Gerencia de TI es alta y la


organizacin requiere asegurarse que est siendo ejecutada de una
manera correcta:
Evolucin acelerada de la tecnologa que soporta los sistemas de
informacin (HW y SW),y se requiere determinar las implicancias de
estos cambios en los sistemas de la empresa
Las relaciones de Sistemas con las reas de negocio pueden ser
difciles de gestionar y dada la criticidad de los sistemas para el
negocio, este soporte puede deteriorarse si las reas de negocio
consideran que Sistemas no les presta el apoyo adecuado.
El negocio requiere innovacin y sistemas es siempre visto como
una fuente de esta, a fin de proporcionar una ventaja competitiva.
El auditor debe estar en condiciones de evaluar cuan bien la Gerencia
de sistemas est ejecutando su rol en la empresa.

UPC 2010 02

77

Controles del Planeamiento, Organizacin y Administracin de TI

UPC 2010 02

Riesgos de un deficiente control

Una manera de que el auditor pueda evaluar el desempeo de la


Gerencia de TI es considerando las funciones principales que dicha
gerencia debe realizar:
Planear: determinar los objetivos de la funcin de TI y los medios
para alcanzar dichos objetivos.
Organizar: obtener, asignar y coordinar los recursos necesarios para
lograr los objetivos.
Liderar: motivar, dirigir y comunicarse con el personal.
Controlar: comparar el desempeo actual con el planeado, a fin de
determinar acciones correctiva a tomar.

UPC 2010 02

78

79

El auditor debe evaluar si la Gerencia de TI ha elaborado un plan


adecuado para las necesidades de la empresa. Si esto no ocurre, se
generan riesgos de diverso tipo:
Inadecuada funcin de la gerencia puede ocasionar un alejamiento de
los servicios de TI de los objetivos del negocio.
La gerencia es responsable de la proteccin de los activos de TI, de no
establecer adecuados controles, dichos activos pueden ponerse en
riesgo.
Estructuras organizativas deficientes pueden provocar una mala
provisin de los servicios de TI.
Ausencia de planeamiento puede exponer a la organizacin a
limitaciones producto de esta deficiencia. Por ejemplo: lentitud en los
sistemas por falta de capacidad en el la plataforma de hardware.
Personal de staff deficiente, sea por mal reclutamiento o supervisin
puede originar mayor riesgo de errores en el manejo de los sistemas.
Incremento de costos.

UPC 2010 02

80

20

Evaluar la funcin de Planeamiento

Evaluar la funcin de Planeamiento

La Gerencia de sistemas es responsable de elaborar un plan general


para la funcin de sistemas. Este plan debe cubrir tanto el largo como
el corto plazo para la direccin de los sistemas de informacin de la
empresa. Su elaboracin debe contemplar:
Reconocer oportunidades y problemas que confronta la
organizacin, para los cuales las tecnologas y los sistemas de
informacin pueden aplicarse de manera eficiente.
Identificar los recursos necesarios para proveer los requerimientos
de tecnologa y los sistemas de informacin.
Formular estrategias y tcticas para adquirir los recursos necesarios

Deben de prepararse dos tipos de planes para la funcin de Sistemas:


El plan estratgico, cubre el largo plazo (entre 3 y 5 aos) y contiene:
Evaluacin de la situacin actual de TI: sistemas y servicios
existentes, tecnologa de HW y SW disponibles, personal,
problemtica existente con la tecnologa, FODA.
Direccin estratgica: futuros sistemas a proveer, estrategias
generales internas y externas (con otras reas).
Desarrollo de la estrategia: definicin de la visin de TI en la
empresa, futuros sistemas, bases de datos, plataforma de HW/SW,
recursos de personal a requerirse, recursos financieros necesarios,
aproximacin al control de la implementacin de la estrategia.
Evidencia a validar: Plan Estratgico/largo plazo de Sistemas

UPC 2010 02

81

Evaluar la funcin de Planeamiento

UPC 2010 02

82

Consideraciones para el Planeamiento de TI

El plan operacional o tctico, cubre el corto plazo (entre 1 y 3 aos) y


contiene:
Reporte de avance: planes actuales en ejecucin o retrasados,
cambios mayores de HW/SW, otras iniciativas de importancia.
Iniciativas a desarrollar: sistemas a construir, HW/SW a
implementar, recursos de personal que sern necesarios, recursos
financieros, etc.
Plan de implementacin: fechas propuestas para los principales
proyectos, hitos de control, procedimientos de control a aplicar.
Tanto el plan estratgico como el operacional deben de ser revisados y
actualizados con regularidad. Su alineamiento con el plan general de
la organizacin debe tambin verificarse.

El Plan de TI debe estar alineado con las estrategias del negocio. (no
con los deseos del staff tcnico)
TI es visto como un generador importante de gastos. Mayores
inversiones/gastos en TI deben hacerse slo cuando pueda
demostrarse un slido caso de negocios.
El plan de TI debe difundirse al personal de Sistemas.
El Plan de TI debe ser aprobado por la Gerencia General
El esfuerzo desplegado en la funcin del planeamiento de TI,
depender del tipo de organizacin, el tamao y de la situacin de la
misma: empresas en un ambiente voltil y operaciones altamente
dependientes de TI requerirn alta concentracin en el planeamiento
para mantener su posicin competitiva en el mercado.
Segn sea el caso, el Auditor debe prestar el debido nivel de
importancia a la revisin de la funcin de planeamiento.

Evidencia a validar: planes de mediano plazo de sistemas

UPC 2010 02

83

UPC 2010 02

84

21

Evaluar la funcin de Organizacin

Evaluar la funcin de Organizacin

La funcin de Organizacin se encarga de conseguir, asignar y


estructurar los recursos para alcanzar los objetivos de la organizacin.
Si esto no se hace adecuadamente, la organizacin de TI no ser
efectiva ni eficiente. Los activos de TI tambin podran verse expuestos.
Obtencin de recursos
Hardware, software, personal, dinero, instalaciones. Los recursos
para compra e implementacin deben ser obtenidos oportunamente.
Los recursos deben aplicarse de acuerdo a un plan que asegure su
disponibilidad oportuna.
Definicin de necesidades, justificacin de las inversiones/gastos,
aprovisionamientos, establecer contratos, instalaciones, etc. Deben
hacerse de manera oportuna.
Si lo anterior no se hace correctamente, el auditor lo percibir de
varias formas: proyectos atrasados o cancelados por falta de
recursos humanos o de instalaciones, baja moral del personal,
problemas operativos en el da a da.
Evidencia a evaluar: presupuestos, control de gastos, evaluacin
de compras, etc.
UPC 2010 02

85

Evaluar la funcin de Organizacin

Importante por: a) efectividad de las funciones de TI dependen


principalmente de la calidad del personal, b) es complicado obtener
buen personal de TI y su rotacin es alta, c) uno de los mayores
riesgos de seguridad de TI es el personal interno.
Reclutamiento: debe evaluarse cuidadosamente la capacidad,
potencial e integridad de los postulantes, utilizando diversas
herramientas: entrevistas, pruebas tcnicas, de salud y psicolgicas,
revisin de antecedentes, etc. Los requerimientos a cumplir deben
estar formalizados en las descripciones de puestos.
Evidencia a evaluar: procedimiento de reclutamiento de personal

UPC 2010 02

86

Evaluar la funcin de Organizacin

Gestin del personal de TI


Desarrollo del personal: establecimiento de la lnea de carrera y
entrenamiento. Debe evaluarse peridicamente al personal para
determinar la idoneidad del mismo para ser promocionado, darle
oportunidades
de
desarrollo
personal
e
identificar
debilidades/fortalezas. El entrenamiento es crtico para la efectividad
de las operaciones de TI, debe existir un plan de capacitacin. La
ausencia de estas actividades desmotiva y origina rotacin del
personal.
Evidencia: plan de carrera de personal de Sistemas, plan de
capacitacin, etc.
Trmino de funciones: tanto si es voluntario como no, deben
realizarse ciertas acciones de control: desactivacin de accesos,
devolucin de identificaciones o equipos, documentacin, etc.
Evidencia: procedimientos de baja y desactivacin de accesos.
UPC 2010 02

Gestin del personal de TI

87

Estructura Organizativa
Comprende la definicin de las unidades de servicio en las cuales se
organiza la funcin de TI para cumplir sus objetivos y la descripcin
formal de roles y responsabilidades de los puestos de trabajo.
La organizacin de TI normalmente se presenta en funcin de las
actividades desarrolladas: desarrollo de sistemas, produccin de
sistemas, comunicaciones, base de datos, etc.
Sin embargo, esta organizacin puede variar grandemente
dependiendo de las particularidades de la empresa: tamao,
descentralizacin de la funcin de sistemas, etc.
El auditor debe evaluar dos aspectos principales: primero, deben
existir definiciones formales y claras de las responsabilidades de cada
puesto; adicionalmente, el personal debe conocerlas y comprenderlas
cabalmente. Segundo, la definicin de puestos de trabajo debe
preservar en lo posible la separacin de funciones. Ej: un
programador no puede administrar la base de datos, esto originara
inevitablemente modificaciones no autorizadas de programas.
Evidencia: Organigrama, Manual de organizacin y funciones, etc.
UPC 2010 02

88

22

Evaluar la funcin de Organizacin

Evaluar la funcin de Liderazgo

Ubicacin de la funcin de Sistemas


La ubicacin de Sistemas dentro de la jerarqua organizacional influye
grandemente en la efectividad de sus funciones.
El auditor debe determinar la importancia de la funcin de sistemas
dentro de la organizacin y luego evaluar si su ubicacin en la
estructura organizacional asegura suficiente independencia y
autoridad.
En una organizacin en la cual TI es parte importante de sus todas
sus operaciones, Sistemas se independiza de las reas usuarias y
reporta directamente a la Gerencia General. Ejemplo: bancos,
seguros, retail, etc.
En una organizacin donde TI es nicamente una funcin de soporte
operativo, sistemas reporta a un rea usuaria, normalmente a la
Gerencia Financiera. Ej: empresas de manufactura, construccin, etc.

UPC 2010 02

89

Evaluar la funcin de Control

UPC 2010 02

90

Evaluar la funcin de Control

La Gerencia de Sistemas debe cumplir labores de control a un nivel global


de la funcin de sistemas, a fin de asegurar que esta cumpla los
objetivos de la organizacin.
Control general de la funcin de sistemas: es adecuado el nivel de
gastos en Sistemas? los beneficios que obtiene la organizacin de
Sistemas corresponden a los niveles de gasto que se tienen?
Para la primera pregunta se utilizan las tcnicas del benchmarking con
otras organizaciones de la industria.
En el segundo caso, pueden realizarse evaluaciones postimplementacin de proyectos importantes. Tambin, se evalan los
objetivos alcanzados en base al plan estratgico y tctico.
Evidencia: control de gastos, informes de evaluacin de resultados,
etc.

UPC 2010 02

El propsito del liderazgo es alcanzar la armona entre los objetivos de


la organizacin y los de las personas. Esto requiere:
Motivar al personal: aplicar el argumento correcto para incentivar a
cada persona.
Hacer coincidir estilo de liderazgo con las personas y sus funciones:
dependiendo de la situacin y el tipo de trabajo el tipo de liderazgo
debe ser distinto. Tambin influye el estilo de las personas.
Comunicarse efectivamente con las personas: esencial para
entender los objetivos de la organizacin y para crear confianza
entre las personas. El auditor puede verificar si los elementos
formales como documentacin, comunicados, polticas, reuniones,
etc., se hacen efectivamente. Adicionalmente, temas informales
como el nivel de satisfaccin del personal, claridad y compromiso de
los objetivos deben de ser evaluados en entrevistas personales.
El auditor puede percibir problemas cuando se presenta; alta rotacin
de personal, ausentismo, fallas constantes en proyectos, prdida de
autoridad del supervisor, etc.

91

Control de las actividades de Sistemas: La Gerencia de TI toma control


de las actividades de su personal estableciendo polticas y estndares.
Estos deben ser debidamente comunicados, revisados y recordados
regularmente y evaluado su cumplimiento. Las principales polticas o
estndares son:
Estndares de mtodos: programacin, diseo, documentacin, etc.
Estndares de perfomance: tiempos de respuesta, horas de prueba,
etc.
Estndares de control de proyectos: mtodo para gestionar los
proyectos.
Estndares de cumplimiento de auditoras: actividades para revisin
de cumplimiento.
Polticas de seguridad
Polticas para contratacin de proveedores.
Evidencia: documentacin de los controles indicados.

UPC 2010 02

92

23

Evaluar la funcin de Control


Control de la utilizacin de los servicios de TI: La Gerencia de TI debe
desarrollar polticas y procedimientos para incentivar el uso eficiente y
efectivo de los servicios de TI por las reas usuarias. Se utilizan dos
tcnicas principales:
Revisin de requerimientos por un comit de usuarios y TI: se
revisa conveniencia y prioridad del requerimiento.
Costos de transferencia por los servicios prestados: se determinan
costos en funcin al consumo de recursos de las reas usuarias y
estos se cargan a ellas como parte de sus gastos operativos.
Evidencia: procedimientos documentados.

UPC 2010 02

93

24