Auditoría de Procesos Teoría.v0

1 Introduccin a la Auditora de Procesos de Sistemas de Informacin

Introduccin a la Auditora de

Procesos de Sistemas de Informacin

Damin Ruiz Soriano (CISA, CISSP, 27001 Lead Auditor) Departamento de Auditora de Produccin (rea de Auditora de Sistemas). Bankia [email protected] Noviembre 2011


Enfoque a procesos

Metodologa de

Auditora de Procesos

Estrategia Implantacin

de Auditora de Procesos

Auditora de SSII. Control. Misin. Funcin

Tipologas de auditoras

Por qu Auditora de Procesos?

Marcos de Referencia para gestin y control de SSII

Modelo de procesos genrico. Elementos

Ciclo bsico de un trabajo de auditora

Planificacin.

Trabajo de Campo.

Informe

Planificacin. Mapa Estratgico. Mapa Auditor

Proyecto de implantacin de Auditoras de Procesos

Ejercicio. Gestin de Acuerdo con Proveedores

Ejercicio. Gestin de Incidencias

Ejercicio. Programas de Trabajo

Ejercicio. Ejemplo de Informe

ndice




Enfoque a procesos Auditora de SSII. Control. Misin. Funcin Tipologas de auditoras Por qu Auditora de Procesos? Marcos de Referencia para gestin y control de SSII


La Auditora de Sistemas de Informacin es el proceso de recoger, agrupar y evaluar

evidencias para determinar si un Sistema de Informacin:

Protege adecuadamente los activos (hw, sw, personas, ficheros, info).

Alcanza sus objetivos dentro de la Organizacin de una manera efectiva.

Es utilizado eficaz y eficientemente.

Examen metdico del Servicio Informtico para determinar, por medio de la investigacin,

la adecuacin de los procedimientos establecidos, instrucciones, especificaciones,

estndares u otros requisitos, la adhesin a los mismos y la eficiencia de su implantacin.

La Auditora de SSII debe ofrecer informacin objetiva e independiente sobre

El grado de cumplimento de los controles (polticas y procedimientos)

La deteccin de los riesgos donde existan debilidades significativas de control

Recomendaciones para realizar acciones correctivas

La misin del Auditor de TI es evaluar el Control Interno e informar sobre sus conclusiones.

Convertirse en la referencia de la Alta Direccin de la organizacin, as como de las

unidades de negocio y soporte, en relacin al control, la integridad, confidencialidad y

disponibilidad de los sistemas de informacin,

Ser el proveedor de recomendaciones de control de alto valor aadido para el negocio

Especialmente en aquellas reas que puedan mitigar riesgos de ndole econmico, evaluar

la adaptacin de controles al marco legal vigente y a la normativa establecida.

Auditora de Sistemas de Informacin. Control. Misin. Funcin


Polticas, procedimientos, prcticas y estructuras organizacionales implementadas para

proveer una certeza razonable de que se alcanzarn los objetivos de negocio de una

organizacin y que los eventos de riesgo no deseados sern previstos o detectados.

El control es el medio por el cual se alcanza los objetivos de control.

Evaluar la estructura de control interno.

Fortalezas y debilidades materiales en el diseo e implementacin de controles internos

y su eficacia para alcanzar los objetivos de control

Un objetivo de control en TI es una definicin del resultado o propsito que se desea

alcanzar implementando prcticas de control (tcnicos, humanos, procedimentales)

en un proceso especfico de TI (o directamente con las actividades especficas dentro

del proceso)

Los objetivos de control son requisitos de alto nivel que deben ser considerados para

el control eficaz del proceso.

Auditora Informtica: Misin

Control. Prctica de control

Objetivo de Control Controles

Evaluar

Auditora de Sistemas de Informacin. Control. Misin. Funcin



Cumplimiento Normativo

Arquitecturas y Servicios

Aplicaciones

Seguridad Lgica

Seguridad Fsica

Mecanismos de Respaldo

Planes de Contingencia

Rastros de Auditora

Monitorizacin

Mecanismos de Alta Disponibilidad

Comunicaciones

Tipologa auditoras de SSII





Aplicaciones

Seguridad Lgica

Seguridad Fsica



Rastros de Auditora

Monitorizacin

Mecanismos de Alta Disponibilidad

Comunicaciones

Se

rvic

io A

Se

rvic

io N


8 Introduccin a la Auditora de Procesos de Sistemas de Informacin 8

Aplicaciones




MQ series. Dependiendo de

diversos parmetros (tipo de

transaccin, volumen de carga,

etc), las peticiones de cajero

sern dirigidas a Host o Tandem

Formado principalmente por- Un PC que presenta el interfaz al usuario y genera las transacciones.- Un EPP en el que son realizadas las operaciones criptogrficas. - Y en el caso de cajeros desplazados dispositivos de comunicaciones

SERMEPA

Comunicacin cifrada con Sermepa

a travs de claves compartidas para

validacin de PIN de tarjetas Caja

Madrid en cajeros externos y envo

de PIN de tarjetas externas usadas

en cajeros Caja Madrid.

Comunicaciones

(Oneclick)

Dispositivos

(Gasper)

Seguridad Fsica

(Central Receptora de Alarmas)

Entorno Tandem

Entorno Host

Arquitectura

Monitorizacin/Gestin

Cajero

Escalado eventos

(Centro de Atencin)

Granja Servidores

balanceados

Comunicacin cifrada

https

Sistema de Deteccin de

Intrusos



AUDITORA DE PLATAFORMAS

SOFTWARE BASE

SISTEMAS OPERATIVOS

WINDOWS

LINUX

UNIX

Z/OS - RACF

VMWare

IOS Cisco

IMS

SISTEMAS GESTORES DE BASES DE DATOS

DB2

DL1

Oracle

SQL

SYBASE

COMUNICACIONES

VOZ S/IP

MQ-SERIES

CORREO ELECTRNICO

TELEFONA MVIL

WIFI

DIRECTORIOS

SSA

DIRECTORIO ACTIVO

MIIS

SYSPLEX

Servicio del Centro de Atencin

AUDITORA DE SERVICIOS

Sistemas Comunes

Sistema de Informacin Contable

Sistema de Informacin de Personas

Sistemas de Captacin

Pasivo (ahorro, depsitos, cuentas...) Planes de Pensiones

Fondos de Inversin

Sistemas de Operaciones y Servicios

Compensacin Gestin del Efectivo

Sistemas de Financiacin (Banca Comercial)

Tramitacin de Activo Tarjetas

Prstamos Comercios

Cuentas de Crdito Valores

Sistemas de Financiacin

Prstamos Bilaterales y Sindicados Crditos Bilaterales y Sindicados

Avales Bilaterales y Sindicados

Sistemas de Mercados

Isis Kondor+

Teseo Murex

Posicin en divisa List

Sistemas de Informacin

NBA Recuperaciones

SIG Activos Adjudicados

Almacn de Datos Insolvencias

Riesgos (SGR, Scoring, Rating)

Sistemas Comerciales y de Distribucin

Servicios de la Oficina Internet Servicio de la Oficina Telefnica

Autoservicios

Sistemas de Recursos Humanos (Nminas, SVR, ePersonas, HR-Access)



Aplicaciones



Aplicaciones


Seguridad

Desarrollo

Produccin

Segregacin de funciones

Rastros de Auditora

Calidad de informacin

Coherencia de Procesos y Control de Errores


Procesos de negocio soportados

Mecanismos de alta disponibilidad

Monitorizacin

Seguridad Lgica

Proceso de desarrollo y pase a produccin


Seguridad FsicaAp

licacin

A

Ap

licacin

N





Aplicaciones


Dar respuesta a los requerimientos legales y obligaciones frente a los organismos reguladores y supervisores relacionados con la Auditora de SSII

OBLIGACIN REPORTE PERIDICO

Riesgo de Crdito (Anual) Riesgo Operacional (Anual)

BIS II

Circ. 6/2009

CNMV

(Anual)

LOPD

(Bienal)

NO OBLIGACIN REPORTE PERIDICO

LSSI - CE VISA FED

PCI-DSS MiFID



G E S T I N DE NIVE L E S DE S E R VIC IO DE L O S S IS T E MAS DE INF O R MAC I N

G E S T I N F INANC IE R A DE L O S S IS T E MAS DE INF O R MAC I N

P L AN DE C O NT ING E NC IAS INF O R MT IC AS

P L AN DE C O NT INUIDAD DE NE G O C IO

G E S T I N DE L A C O NT INUIDAD DE L O S S IS T E MAS DE INF O R MAC IN

G E S T I N DE L A DIS P ONIB IL IDAD DE L O S S IS T E MAS DE INF O R MAC I N

G E S T I N DE L A C AP AC IDAD DE L O S S IS T E MAS DE INF O R MAC I N

P R O VIS I N DE S E R VIC IO

G E S T I N DE L A C O NF IG UR AC I N DE L O S S IS T E MAS DE INF O R MAC I N

G estin de C ambios de E mergencia

G estin de C ambios

G E S T I N DE C AMB IO S E N L O S S IS T E MAS DE INF O R MAC I N

G E S T I N DE P R O B L E MAS E N L O S S IS T E MAS DE INF O R MAC I N

G E S T I N DE INC IDE NC IAS DE S E G UR IDAD

G E S T I N DE INC IDE NC IAS DE P R O DUC C I N

G E S T I N DE INC IDE NC IAS E N L O S S IS T E MAS DE INF O R MAC I N

S O P O R T E DE S E R VIC IO

P R O C E S O S DE P R O DUC C I N

AUDIT O R A DE P R O C E S O S DE S IS T E MAS DE INF O R MAC I N

G E S T I N DE NIVE L E S DE S E R VIC IO DE L O S S IS T E MAS DE INF O R MAC I N

G E S T I N F INANC IE R A DE L O S S IS T E MAS DE INF O R MAC I N

P L AN DE C O NT ING E NC IAS INF O R MT IC AS

P L AN DE C O NT INUIDAD DE NE G O C IO

G E S T I N DE L A C O NT INUIDAD DE L O S S IS T E MAS DE INF O R MAC IN

G E S T I N DE L A DIS P ONIB IL IDAD DE L O S S IS T E MAS DE INF O R MAC I N

G E S T I N DE L A C AP AC IDAD DE L O S S IS T E MAS DE INF O R MAC I N

P R O VIS I N DE S E R VIC IO

G E S T I N DE L A C O NF IG UR AC I N DE L O S S IS T E MAS DE INF O R MAC I N

G estin de C ambios de E mergencia

G estin de C ambios

G E S T I N DE C AMB IO S E N L O S S IS T E MAS DE INF O R MAC I N

G E S T I N DE P R O B L E MAS E N L O S S IS T E MAS DE INF O R MAC I N

G E S T I N DE INC IDE NC IAS DE S E G UR IDAD

G E S T I N DE INC IDE NC IAS DE P R O DUC C I N

G E S T I N DE INC IDE NC IAS E N L O S S IS T E MAS DE INF O R MAC I N

S O P O R T E DE S E R VIC IO

P R O C E S O S DE P R O DUC C I N

AUDIT O R A DE P R O C E S O S DE S IS T E MAS DE INF O R MAC I N

GESTIN DE COMPETENCIAS EDEA

GESTIN DE PROCESOS

SOPORTE ORGANIZACIONAL

GESTIN DE MTRICAS EN PROYECTOS EN DESARROLLO

ASEGURAMIENTO EN PROYECTOS EN DESARROLLO

GESTIN DE LA CONFIGURACIN EN PROYECTOS EN DESARROLLO

SOPORTE

GESTIN DE PROYECTOS EN DESARROLLO

GESTIN DE ACUERDOS CON PROVEEDORES EN PROYECTOS EN DESARROLLO

GESTIN DE LA PETICIN EN PROYECTOS EN DESARROLLO

GESTIN

DESARROLLO TCNICO DE PROYECTOS EN DESARROLLO

GESTIN DE REQUISITOS EN PROYECTOS EN DESARROLLO

GARANTA DE CALIDAD DE LOS PROYECTOS EN DESARROLLO

Ejecucin y Evaluacin de las Pruebas

Elaboracin del Plan de Pruebas / Preparacin del Entorno de Pruebas

GESTIN DE PRUEBAS EN PROYECTOS EN DESARROLLO

INGENIERA

PROCESOS DE SISTEMAS

AUDITORA DE PROCESOS DE SISTEMAS DE INFORMACIN

GESTIN DE COMPETENCIAS EDEA

GESTIN DE PROCESOS

SOPORTE ORGANIZACIONAL

GESTIN DE MTRICAS EN PROYECTOS EN DESARROLLO

ASEGURAMIENTO EN PROYECTOS EN DESARROLLO

GESTIN DE LA CONFIGURACIN EN PROYECTOS EN DESARROLLO

SOPORTE

GESTIN DE PROYECTOS EN DESARROLLO

GESTIN DE ACUERDOS CON PROVEEDORES EN PROYECTOS EN DESARROLLO

GESTIN DE LA PETICIN EN PROYECTOS EN DESARROLLO

GESTIN

DESARROLLO TCNICO DE PROYECTOS EN DESARROLLO

GESTIN DE REQUISITOS EN PROYECTOS EN DESARROLLO

GARANTA DE CALIDAD DE LOS PROYECTOS EN DESARROLLO

Ejecucin y Evaluacin de las Pruebas

Elaboracin del Plan de Pruebas / Preparacin del Entorno de Pruebas

GESTIN DE PRUEBAS EN PROYECTOS EN DESARROLLO

INGENIERA

PROCESOS DE SISTEMAS


Gestin de claves criptogrficas

Securizacin perimetral

Securizacin de Aplicaciones

Securizacin de Arquitecturas

Gestin de Usuarios

GESTIN DE LA SEGURIDAD

EVALUACIN Y ADMINISTRACIN DE RIESGOS DE TI

GESTIN DE RECURSOS HUMANOS DE TI

GESTIN DE PROYECTOS DE SISTEMAS DE INFORMACIN

PROCESO DE PLANIFICACIN ESTRATGICA DE SISTEMAS DE INFORMACIN

PROCESOS COMPLEMENTARIOS


Gestin de claves criptogrficas

Securizacin perimetral

Securizacin de Aplicaciones

Securizacin de Arquitecturas

Gestin de Usuarios

GESTIN DE LA SEGURIDAD

EVALUACIN Y ADMINISTRACIN DE RIESGOS DE TI

GESTIN DE RECURSOS HUMANOS DE TI

GESTIN DE PROYECTOS DE SISTEMAS DE INFORMACIN

PROCESO DE PLANIFICACIN ESTRATGICA DE SISTEMAS DE INFORMACIN

PROCESOS COMPLEMENTARIOS




Elementos de la arquitectura de TI IT Governance y su control Estructura de control Evolucin de la prctica Auditora de SSII



Informacin/aplicaciones. Datos en todas sus

formas procesados y generados por los sistemas

de informacin que son utilizados por el negocio.

Infraestructura. Tecnologa e instalaciones (hw,

ssoo, bbdd, redes, ubicaciones,etc) que permiten el procesamiento de la informacin.

Personas. Personal requerido para planear,

organizar, adquirir, implementar, entregar,

soportar, monitorear y evaluar los sistemas y

los servicios de informacin. Estas pueden ser

internas, por outsourcing o contratadas, de

acuerdo a como se requieran.

Conjunto de tareas, actividades o acciones interrelacionadas entre s que dan lugar a una

serie de productos/servicios finales o entradas a otros procesos (ej. procesos de negocio).

RECURSOS de TI

La organizacin de TI se organiza como un conjunto de procesos definidos que utiliza las habilidades de las

personas, y la infraestructura de tecnologa para proporcionar sistemas de informacin para el negocio.

Recursos y Procesos constituyen una arquitectura empresarial para TI.

PROCESOS de TI

Motivo #1: Los Procesos son elementos en una arquitectura de TI


Elementos de la Arquitectura empresarial para TI



Elementos de la Arquitectura empresarial para TI

Motivo #2: Los Procesos requieren controles

Monitorizar y Evaluar

Adquirir e

ImplementarEntrega y dar Soporte

Planificar y Organizar

Controles Generales de TI

Controles de Aplicacin

Controles de

Negocio

Controles de

Negocio

Servicios

Automatizados

Requerimientos

Funcionales

Requerimientos de

Control

Responsabilidades de

Negocio

Responsabilidades de

NegocioResponsabilidad de TI


Dentro del Gobierno Empresarial, el Gobierno de TI se est volviendo ms y ms importante y est definido como

una estructura de relaciones y procesos para dirigir y controlar a la empresa con el fin que sta pueda cumplir sus metas dando valor agregado mientras balancea sus riesgos versus el retorno sobre TI y sus procesos.

El Gobierno de TI es parte integral del xito de la Gerencia de la Empresa al asegurar mejoras

medibles, eficientes y efectivas de los procesos relacionados de la empresa.

El Gobierno de TI provee las estructuras que unen:

los procesos de TI, los recursos de TI y La informacin con las estrategias y los objetivos de la empresa.

Adems, el Gobierno de TI integra e institucionaliza buenas (o mejores) prcticas de:

Planificacin y organizacin, Adquisicin e implementacin, Entrega de servicios y soporte y Monitorizacin del desempeo de TI

El Gobierno de TI est orientado a asegurar que la informacin de la empresa y las tecnologas soportan sus objetivos del negocio.

El Gobierno de TI conduce a la empresa a tomar total ventaja de su informacin logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva.


IT Governance y su control


Objetivos/Metasde negocio

Procesos TI

Objetivos/Metas

TI

Indicadores Clave de

Desempeo

Indicadores Clave de

Meta

Modelos de madurez

ActividadesClave

Matriz de responsabilidades

RACI

Objetivos de Control

Prcticas de Control

Pruebas de Diseo del

Control

Informacin

Basado en

implem

entado con

Controlado por

Auditado

con

Med

ido po

r

Para madurez

Rend

imient

o / de

sempe

o

Para

resu

ltados

hecho efe

ctivo y ef

iciente co

n

real

izad

o po

r

Pruebas de resultado del

Control

Derivado de

Auditado p

or

Requerimientos


IT Governance y su control


Gestin

Control

Gestin

Gobierno

m

bit

os

IT Governance

Poltica Procesos

Procedimientos Guas Tcnicas

Configuraciones tcnicas Controles

Control

Cobit3 2000

Cobit4 2005

Cobit2 1998

Procesos:

elementos en una arquitectura de TI

que requieren controles

Procesos:

como elementos del IT Governance

Auditora de


Por qu Auditora de Procesos? Evolucin de la prctica auditora de SSII


Mejores prcticas

Cobit

ITIL

Marcos de referencia para gestin y control de SSII


Mejores prcticas: "una manera de hacer las cosas o un trabajo, aceptado ampliamente por la industria y

que funciona correctamente..." Aidan Lawes, CEO itSMF

"Las mejores prcticas" son la mejor identificacin de acercamiento a una situacin basada en

observaciones sobre organizaciones efectivas en similares circunstancias de negocio.

Un acercamiento a "las mejores prcticas"

significa la bsqueda de ideas y experiencias

que han funcionado con aquellos que emprendieron

actividades similares en el pasado y

se decide cul de esas prcticas son relevantes

con la situacin actual que se tiene.

"Las mejores prcticas" evitan "re-inventar la rueda",

sino que es el aprendizaje a travs de otros,

con implementaciones que han sido

desarrolladas para que funcionen correctamente.

Qu buscamos en Marcos de Control y Gestin?

Controles (Misin del auditor)

Procesos (mapas, actividades,)

Requerimientos de negocio.

Alineamientos Negocios con TI

Herramienta de comunicacin

Marcos de gestin y control de SSII

Mejores prcticas


Objetivos de Control para Tecnologa de Informacin

Qu es?: Un estndar de Controles y Auditora de Tecnologa Informtica

Un conjunto internacional y actualizado de objetivos de control para tecnologa de informacin que sea de uso cotidiano para gerentes, auditores.

Cobit

Gerencia (apoyo a decisiones de inversin en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control)

Auditores : soportar opiniones sobre los controles de los proyectos de TI , su impacto en la organizacin y determinar el control mnimo requerido.

Responsables de TI: para identificar los controles que requieren en sus reas

Define las actividades de TI de una organizacin, en un modelo genrico de procesos.

El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje comn para todos los implicados en los trabajos de la organizacin, con el fin de que visualicen y administren

las actividades de TI. La incorporacin de un modelo y un lenguaje comn para todas las partes de un

negocio involucradas en TI es uno de los pasos iniciales ms importantes hacia un buen gobierno.

Brinda un marco de trabajo para la medicin y monitorizacin del desempeo de las Tecnologas de Informacin, e integra las mejores prcticas administrativas.

Fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades. Determina las actividades y los riesgos que requieren ser administrados.

Marcos de gestin y control de SSII Cobit


Requerimientos de la informacin del negocio.

Recursos de Tecnologa Informtica

Procesos de Tecnologa Informtica

Pilares del Modelo CobiT

REQUERIMIENTOS

DE INFORMACIN

DEL NEGOCIO

RECURSOS

DE TI

PROCESOS

DE TI



Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada o desde el punto de vista del uso no autorizado.

Grado de proteccin que tiene la informacin y los sistemas de informacin para evitar el acceso no autorizado

Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con las expectativas de la empresa.

Que la informacin sea coherente, competa, fiable y veraz

Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos.

Que la informacin y los sistemas de informacin estn disponibles siempre que se necesiten

Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa.

Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en su debido momento oportuna, correcta, consistente y de manera utilizable .

Que los sistemas informticos sea suficientes para dar soporte a los procesos

Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica).

Que los costes en los que se incurre sean razonables y proporcionados a sus necesidades y que estn correctamente gestionados

Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.

Requerimientos de la Informacin del Negocio



Datos: Los objetos de informacin. Informacin interna y externa, estructurada o no, grficas, sonidos, etc. Informacin

Aplicaciones: Entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Aplicaciones propias, desarrolladas por terceras casa o compradas a terceros.

Tecnologa: Incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc.

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Infraestructura: Hardware, sistemas operativos, gestores de bases de datos, redes e instalaciones.

Recurso Humanos: Todo lo relacionado con la gestin de personal propio o subcontratado para planificar, adquirir, prestar servicios, dar soporte y monitorizar los sistemas de Informacin.




Procesos de TI :Los Tres Niveles

Dominios

Agrupacin Natural de procesos, normalmente corresponden a un dominio

o una responsabilidad organizacional

Procesos

Conjuntos o series de actividades unidas con

delimitacin o cortes de control.

Actividades o tareas

Acciones requeridas para lograr un resultado medible. Las

Actividades tienen un ciclo de vida mientras que las tareas

son discretas.

Planificacin y Organizacin (Planning and Organization)

Adquisicin e implementacin (Acquisition and Implementation)

Prestacin de Servicios y Soporte (Delivery and Support)

Seguimiento (monitoring)



OBJETIVOS DEL NEGOCIO

OBJETIVOS DE GOBIERNO

Eficiencia

Aplicaciones

Informacin

Infraestructura

Personas

ENTREGA

Y

SOPORTE

MONITORIZAR

Y

EVALUAR

ADQUISICIN

E

IMPLEMENTACIN

INFORMACION

RECURSOS

DE

TI

MARCO DE REFERENCIA

C O B I T

Efectividad Confidencialidad

Integridad

Disponibilidad

Cumplimiento

DS1 Definir y administrar niveles de servicio.

DS2 Administrar servicios de terceros.

DS3 Administrar desempeo y capacidad.

DS4 Asegurar continuidad de servicio.

DS5 Garantizar la seguridad de sistemas.

DS6 Identificar y asignar costos.

DS7 Educar y capacitar usuarios.

DS8 Administrar servicios de apoyo e incidentes.

DS9 Administrar la configuracin.

DS10 Administrar problemas.

DS11 Administrar datos.

DS12 Administrar el ambiente fsico.

DS13 Administrar operaciones.

ME1 Monitorear y Evaluar el desempeo de TI.

ME2 Monitorear y Evaluar el control interno.

ME3 Garantizar el cumplimiento regulatorio.

ME4 Proveer Gobierno de TI.

PO1 Definir un plan estratgico de TI.

PO2 Definir la arquitectura de informacin.

PO3 Determinar la direccin tecnolgica.

PO4 Definir los procesos de TI, la

organizacin y sus relaciones.

PO5 Administrar las inversiones en TI.

PO6 Comunicar la direccin y objetivos de la

gerencia.

PO7 Administrar los recursos humanos de TI.

PO8 Administrar calidad.

PO9 Evaluar y administrar riesgos de TI.

PO10 Administrar proyectos.

AI1 Identificar soluciones de automatizacin.

AI2 Adquirir y mantener software de aplicacin.

AI3 Adquirir y mantener la infraestructura tecnolgica.

AI4 Permitir la operacin y uso.

AI5 Obtener recursos de TI.

AI6 Administrar cambios.

AI7 Instalar y acreditar soluciones y cambios.

PLANIFICACIN

Y

ORGANIZACIN

Confiabilidad



Pro

ceso

s T

I Dominios

Procesos

Actividades

Criterios de la Informacin Relacin entre componentes

Requerimientos de la informacin del negocio.


Procesos de Tecnologa Informtica



DOMINIO PROCESOSEf

ectiv

idad

Efic

ienc

ia

Con

fiden

cial

idad

Inte

grid

ad

Dis

poni

bilid

ad

Cum

plim

ient

o

Con

fiabi

lidad

Pers

onas

Apl

icac

ione

s

Tecn

olog

a

inst

alac

ione

s

Dat

os

PLAN Y

ORGANIZACIN

PO1 Definir el plan estratgico de TI P S

PO2 Definir la Arquitectura de la informacin P S S S

PO3 Determinar la direccin tecnolgica P S

PO4 Definir procesos, organizacin y relaciones de TI P S

PO5 Administra la inversin en TI P P S

PO6 Comuinicar las aspiraciones y la direccin de Gerencia P S

PO7 Administrar Recursos Humanos de TI P P

PO8 Administrar calidad P P S

PO9 Evaluar y Administrar riesgos de TI P S P P P S S

PO10 Administrar proyectos P P

PO11 Administrar calidad P P P S

AI1 Identificar soluciones automatizadas P S

AI2 Adquiriri y mantener el Software aplicativo P P S S S

AI3 Adquiriri y mantener el la Infraestructura ttecnolgica P P S

AI4 Facilitar la operacin y el uso P P S S S

AI5 Adquirir recursos de TI P S S

AI6 Administrar Cambios P P P P S

DS1 Definir y administrar niveles de Servicio P P S S S S S

DS2 Administrar servicios de terceros P P S S S S S

DS3 Administrar desempeo y capacidad P P S

DS4 Garantizar la continuidad del Servicio P S P

DS5 Garantizar la seguridad de los sistemas P P S S S

DS6 Identificar y asignar costos P P

DS7 Educar y entrenar a los usuarios P S

DS8 Administrar la mesa de servicio y los incidentes P P

DS9 Administrar la configuracin P S S

DS10 Administrar los problemas P P S

DS11 Administrar los datos P P

DS12 Administrar el ambiente fsico P P

DS13 Administrar las operaciones P P S S

M1 Monitorear y evaluar el desempeo de TI P P S S S S S

M2 Monitorear y evaluaar el control interno P P S S S P S

M3 Garantizar cumplimiento interno P P S S S P S M4 Proporcionar Gobierno de TI P P S S S P S

ENTREGA Y SOPORTE

MONITORIZACIN Y

EVALUACIN

PLAN Y

ORGANIZACIN

ADQUISICIN E

IMPLEMENTACIN

Relacin entre componentes



DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeo y capacidad. DS4 Asegurar continuidad de servicio. DS5 Garantizar la seguridad de sistemas. DS6 Identificar y asignar costos. DS7 Educar y capacitar usuarios. DS8 Administrar servicios de apoyo e incidentes. DS9 Administrar la configuracin. DS10 Administrar problemas. DS11 Administrar datos. DS12 Administrar el ambiente fsico. DS13 Administrar operaciones.

Dominio: DS Entrega y Soporte

DS8.1 Mesa de Servicio (Service Desk)

DS8.2 Registros de consultas de clientes

DS8.3 Escalamiento de incidentes

DS8.4 Cierre de incidentes

DS8.5 Anlisis de tendencias

Pro

ceso

s del D

om

inio

Actividades del proceso de Administrar servicios de apoyo e

incidentes

Proceso

Actividad

Responder de manera oportuna y efectiva a las consultas y

problemas de los usuarios de TI, requiere de una mesa de servicio

bien diseada y bien ejecutada, y de un proceso de administracin

de incidentes.

Este proceso incluye la creacin de una funcin de mesa de servicio

con registro, escalamiento de incidentes, anlisis de tendencia,

anlisis causa-raiz y resolucin.

Los beneficios del negocio incluyen el incremento en la

productividad gracias a la resolucin rpida de consultas. Adems,

el negocio puede identificar la causa raz (tales como un pobre

entrenamiento a los usuarios) a travs de un proceso de reporte

efectivo.

Establecer procedimientos de mesa de servicios de manera que los

incidentes que no puedan resolverse de forma inmediata sean

escalados apropiadamente de acuerdo con los lmites acordados

en el SLA y, si es adecuado, brindar soluciones alternas.

Garantizar que la asignacin de incidentes y el monitoreo del ciclo

de vida permanecen en la mesa de servicios, independientemente

de qu grupo de TI est trabajando en las actividades de

resolucin

Objetivo de control de alto nivel para el proceso

Objetivo de control detallado para la actividad



COBIT 4.1



CoBIT Control Practices. Proporciona directivas para alcanzar los objetivos de control.

Documento detallado de ayuda para la justificacin y diseo de controles.

Asociado a cada OBJETIVO DE CONTROL

(1) Riesgos que se evitan

(2) Valor que se obtiene.

(3) PRACTICAS DE CONTROL. Instruccin para la consecucin del objetivo.

Control Objective

Actividad n (del proceso p)

Texto del Objetivo de Control

detallado para la actividad n

Value Drivers

Valores que se obtienen

cuando se cubre el

objetivo de control

Ejemplos de riesgos

que se evitan cunado

se cubre elobjetivo de

control

Risk Drivers

Control Practices

1.

2. Instrucciones para la consecucin del objetivo

3.

Proceso p



CoBIT Control Practices.

DS8 Administrar servicios de apoyo e incidentes

DS8.1 Servicio de apoyo (service desk)





DS8.3 Escalado de Incidentes





DS8.5 Reporte y anlisis de tendencias



IT Assurance Guide (Using COBIT). Gua de Aseguramiento de TI.

Reemplaza a un documento anterior de directrices de auditora.

Se trata de una gua sobre la forma en que COBIT puede servir de apoyo

para diversas actividades de aseguramiento y cmo se puede realizar una

revisin (auditora) del aseguramiento en cada uno de los procesos de TI.

Control Objective


Texto del Objetivo de Control detallado

para la actividad n

Value Drivers

Valores que se obtienen

cuando se cubre el

objetivo de control

Ejemplos de riesgos

que se evitan cunado

se cubre elobjetivo de

control

Risk Drivers

Test de Control Design

1.

2. Instrucciones para la revisin del diseo del control

3.

Proceso p

Texto del Objetivo de Control de alto nivel para el proceso p



IT Assurance Guide


DS8.3 Escalado de Incidentes



IT Assurance Guide


DS8.5 Reporte y anlisis de tendencias



Marcos de gestin y control de SSII ITIL

Qu es ITIL? IT Infrastructure Library

ITIL se define como una biblioteca que documenta las Buenas Prcticas de la Gestin de Servicios de TI para conseguir la eficiencia y la eficacia en la utilizacin de los sistemas de

informacin.

Es el marco de procesos de Gestin de Servicios de TI (administracin de procesos) ms aceptado.Standard de facto para Servicios de IT.

ITIL proporciona un conjunto de mejores prcticas, extradas de organismos punteros del sector pblico y privado a nivel internacional.

Por qu es til ITIL a Auditora Informtica?

Alinear la Tecnologa con el Negocio por medio de la Gestin del Servicio TI basado en procesos

Define las reas de enfoque, procesos de TI, y las interrelaciones requeridas para administrar el ciclo de vida de los servicios de TI. Puede

dar soporte para definir mapas de procesos de TI

Proveyendo sistemas de control para la mejora continua. Permite el benchmarking y anlisis de mejora continua de TI. Aporta descripciones cuantitativas de servicios informticos y descripcin cuantitativas de

calidad (disponibilidad, capacidad, seguridad, costes).


Marcos de gestin y control de SSII ITIL


Es el proceso encargado de restablecer el funcionamiento normal de los servicios de la forma ms rpida posible y de minimizar el impacto negativo en las operaciones de negocio

El funcionamiento normal de los servicios se define aqu como el funcionamiento de los servicios dentro de los lmites del acuerdo de nivel de servicio (Service Level Agreement, SLA)

Se ocupan de asegurar que el cliente o usuario tiene acceso a los servicios que utiliza. Se ubican a nivel

operacional y dan soporte a los cambios necesarios para el buen funcionamiento de los servicios (posibles

fallos, incidencias, configuracin, etc)

2. Gestin de incidencias

3. Gestin de problemas

Es una funcin del proceso de gestin de incidencias, pero su importancia determina que se trate como un elemento diferenciado

El Service Desk es el nico punto de contacto entre los proveedores y los receptores de los servicios

Su principales tareas son registrar, resolver y monitorizar incidencias y problemas, e informar a los usuarios

Tiene como finalidad minimizar el impacto negativo en el negocio de los incidentes y problemas provocados por errores en la infraestructura de TI, y evitar la repeticin de incidentes relacionados con estos errores

Se propone llegar a la causa ltima de estos incidentes y proponer soluciones para la mejora de la situacin

1. Service Desk

Marcos de gestin y control de SSII ITIL. Soporte de Servicios 1/2


4. Gestin de cambios

6. Gestin de la entrega

Tiene como finalidad gestionar los cambios la organizacin de TI de forma rpida y eficiente y minimizar el impacto en la calidad del servicio de los incidentes derivados de los cambios y as mejorar las operaciones diarias de la

organizacin

Debe dar una respuesta adecuada a la solicitud de cambio: enfoque ponderado de la necesidad del cambio, teniendo en cuenta el riesgo y el impacto del mismo

Proporciona un modelo lgico de la infraestructura o de un servicio, identificando, controlando, manteniendo y comprobando las versiones de los elementos de configuracin (EC) existentes y las relaciones entre los mismos.

Este modelo se almacena en la base de datos de gestin de la configuracin, conocida como CMDB (Configuration

Management Database)

Objetivos de este proceso son:

Mantener la relacin de todos los activos y configuraciones de las TI dentro de la organizacin y sus servicios

Proporcionar informacin precisa sobre los EC su documentacin

Proporcionar una base slida para la gestin de incidencias, la gestin de problemas, la gestin de cambios y la gestin de la entrega

Se encarga de la planificacin y supervisin del lanzamiento con xito del sw y hw relacionado

Disear e implantar procedimientos eficientes para la distribucin e instalacin de los cambios en los sistemas de TI

5. Gestin de la configuracin

Marcos de gestin y control de SSII ITIL. Soporte de Servicios 2/2


Relacin entre los procesos

Soporte de Servicios

Marcos de gestin y control de SSII ITIL. Soporte de Servicios


Se centran en las relaciones entre la organizacin de TI y sus clientes. Se analizan y evalan los

servicios, y se toman decisiones relativas a las posibilidades financieras y de infraestructura para

cubrir las necesidades del cliente

1. Gestin de niveles de servicio

Su objetivo es mantener y mejorar la calidad de los servicios de las TI, a travs de un ciclo constante de acuerdos, supervisin e informacin sobre los logros de los servicios de las TI y la promocin de acciones

para erradicar los servicios de mala calidad

ITIL recomienda el mantener un catlogo de servicios que servir de base para la formalizacin de acuerdos de nivel de servicio (SLA) . ITIL tambin recomienda que el concepto de acuerdo de nivel de servicio se

extienda al resto de la organizacin, as el acuerdo con unidades internas se denominan acuerdos de nivel

operativo (OLA). Los acuerdos con proveedores se denominan contratos de soporte

2. Gestin financiera

Se encarga de justificar los gastos de los servicios de TI y la imputacin de dichos gastos a los servicios prestados a los clientes de la organizacin

Administracin rentable de los activos y recursos de las TI

3. Gestin de la capacidad

Para ITIL, se resume en garantizar que existe siempre una capacidad de TI con costes justificables que coincida con las necesidades actuales y futuras del negocio

Procura predecir el comportamiento de los servicios de TI en una cantidad y variedad dada

Contempla la realizacin de actividades de monitorizacin, anlisis, gestin de la demanda, tcnicas de modelado, etc. A diferentes niveles: recursos propios, servicios, negocio

Marcos de gestin y control de SSII ITIL. Entrega de Servicios 1/2


3. Gestin de la disponibilidad

Su objetivo es optimizar la capacidad de las infraestructuras, los servicios y la organizacin de soporte de las TI, para ofrecer un nivel rentable y sostenido de disponibilidad que permita que el negocio alcance sus

objetivos

La disponibilidad es parte esencial del Negocio, y se enfoca exclusivamente en darle atencin al servicio acordado. Realiza las tareas y actividades necesarias para disminuir el riesgo de un corte en la disponibilidad

del Servicio

La disponibilidad o no disponibilidad son los indicadores principales de la calidad que el usuario percibe

4. Gestin de la continuidad

Gestin de los riesgos, de tal manera que, en caso de incidencia grave, el negocio pueda seguir funcionando dentro de unos niveles de servicio previamente acordados

Marcos de gestin y control de SSII ITIL. Entrega de Servicios 2/2


Relacin entre los procesos

Entrega de Servicios

Marcos de control y gestin ITIL. Entrega de Servicios


FFIEC IS Requeriments (Federal Financial Institutions Examination Councils)

El estndar utilizado por la Reserva Federal de EEUU como gua de trabajo para evaluar la idoneidad y adecuacin de los controles implantados sobre los sistemas de informacin de las Entidades Financieras que presentan oficinas en Estados Unidos.

Dispone de cuadernos de revisin (IT Examination Handbook):

IS- Information Security

AUD Audit

OT Outsourcing Technology Services

TSP Technology Services Provider

BCP Business Continuity Plan

Herramienta para identificar objetivos de control y controles dentro de los procesos a auditar.

Marcos de gestin y control de SSII FFIEC IS Requeriments




Metodologa de Auditoras de Procesos

Modelo de procesos genrico. Elementos Ciclo bsico de un trabajo de auditora

Planificacin.

Trabajo de Campo.

Informe

Ejercicio. Gestin de Acuerdo con Proveedores

Ejercicio. Gestin de Incidencias

Ejercicio. Programas de Trabajo

Ejercicio. Ejemplo de Informe


Caractersticas de un proceso Modelo de procesos genrico. Elementos

Cuando se auditen procesos debemos tener presente los fundamentos / principios de procesos para nuestros anlisis y la determinacin de fortalezas y debilidades.

En un proceso existen muchos elementos. Es conveniente identificarlos como elementos del proceso.

Para su identificacin podemos utilizar el siguiente modelo de procesos genrico que contienen todos los factores que conforman un proceso.

Sobre estos elementos se definen

Controles generales y

Controles especficos del proceso

Recursos Roles

Actividades y

Subprocesos

Gestor

Entradas y

Especificaciones de

entrada

Salidas y

Especificaciones

de salida

Objetivos del

Proceso

Propietario del

Proceso

Parmetros de calidad e Indicadores

Clave de Rendimiento

Control del Proceso

Proceso

Habilitadores del proceso


Proceso: Conjunto estructurado de actividades, realizadas por agentes determinados, orientadas a la consecucin de un objetivo determinado de una manera repetible y medible. El proceso define QU debe hacerse. Entradas. Salidas: Los Procesos requieren de una o ms entradas y producen una serie de salidas, ambas previamente definidas.

Actividad: Un conjunto de acciones diseadas para alcanzar un resultado especfico. Normalmente, las actividades se definen como parte del proceso y se documentan en procedimientos. Las actividades describen detalladamente las tareas y pasos para ejecutar procedimientos. Son las unidades de las que se componen stos.

Procedimientos. Serie de pasos que definen de una manera especfica cmo y por quin ha de realizarse una actividad. Un procedimiento define CMO debe hacerse. Los procedimientos pueden completarse con Instrucciones de trabajo

Instrucciones de trabajo. Instrucciones detalladas que describen exactamente cmo ha de ejecutarse una actividad.

Gestor: Los gestores del proceso son los responsables de realizar y estructurar los procesos e informar sobre ellos al propietario.

Recursos Roles

Actividades y

Subprocesos

Gestor

Entradas y

Especificaciones de

entrada

Salidas y

Especificaciones

de salida

Objetivos del

Proceso

Propietario del

Proceso



Control del Proceso

Proceso




Rol: Conjunto de actividades, responsabilidades y potestades concedidas a una persona o equipo. Una persona o equipo puede tener mltiples roles. Un Proceso suele incorporar la definicin de los Roles que intervienen. Para distribuir el trabajo en un proceso las actividades se agrupan en roles de proceso. Para desempear cada rol es necesario indicar qu conocimientos, habilidades y formacin son requeridos.

Recursos Roles

Actividades y

Subprocesos

Gestor

Entradas y

Especificaciones de

entrada

Salidas y

Especificaciones

de salida

Objetivos del

Proceso

Propietario del

Proceso



Control del Proceso

Proceso




Los datos entran en el proceso, se procesan, salen del proceso y el resultado se mide y revisa. Para que la gerencia controle un proceso o actividad, se debe de establecer un mtodo predeterminado. Sin l, no existen bases para controlar, ajustar o mejorar el proceso.

Objetivo del proceso. Un proceso se organiza siempre alrededor de un objetivo. El principal resultado del proceso es el resultado del objetivo.

Propietario del proceso. El propietario es el responsable del resultado del mismo.

Control del proceso: El proceso es objeto de controles de gestin (tiempo, coste y calidad) que suelen estar incorporados en su definicin. Los controles de gestin son necesarios para obtener las salidas de forma eficaz.

Mtodo 1/2. Procedimientos. Pueden considerarse mtodos de control: los propios procedimientos, instrucciones de trabajo, listas de verificacin, esquemas, diagramas de flujo,, mapas de proceso, etctera.

Mtodo 2/2. Parmetros de Calidad. Indicadores: Es necesario establecer los indicadores que nos permitirn, en base a los objetivos propuestos, evaluar el correcto funcionamiento del Proceso. Las medidas de estos indicadores se plasmarn en informes peridicos que se utilizarn para la evaluacin del proceso.

Recursos Roles

Actividades y

Subprocesos

Gestor

Entradas y

Especificaciones de

entrada

Salidas y

Especificaciones

de salida

Objetivos del

Proceso

Propietario del

Proceso



Control del Proceso

Proceso




Carctersticas de un proceso. Ejercicio. Proceso de Gestin de Incidencias de la empresa Infolabs Ejercicio. A partir del Modelo de Procesos Genrico identificar sus elementos

(ver tomo de ejercicios)


Obtener un entendimiento de los requerimientos del negocio, los riesgos relacionados, y las medidas de control relevantes.

Evaluar la conveniencia de los controles establecidos.

Evaluar el cumplimiento al probar si los controles establecidos estn funcionando como se espera, de manera consistente y continua.

Justificar el riesgo de que los objetivos de control no se estn cumpliendo mediante el uso de tcnicas analticas y/o consultando fuentes alternativas.

Se audita mediante los siguientes pasos:

Gua Genrica de Auditora


Evaluacin de los controles

Evaluar de la eficacia de las medidas de control establecidas o el grado en el que se logra el objetivo de control. Bsicamente, decidir qu se va a probar, si se va a probar y cmo se va a probar.

Evaluar la conveniencia de las medidas de control del proceso mediante la consideracin de los criterios identificados y las prcticas estndares de la industria, los Factores Crticos de xito (CSF) de las medidas de control y la aplicacin del juicio profesional de auditor.

Existen procesos documentados. Existen resultados apropiados. La responsabilidad y es clara y eficaz. Existen controles compensatorios donde es necesario.

Concluir el grado en el que se cumple el objetivo de control.

Obtener entendimiento

Documentar las actividades subyacentes a los objetivos de control, as como tambin identificar las medidas/procedimientos de control establecidas.

Lograr la comprensin de: Requerimientos del negocio y los riesgos asociados. Estructura organizacional. Roles y responsabilidades. Medidas de control establecidas. Actividad de reporte (estatus, desempeo, acciones).

Documentar los recursos de TI relacionados con el proceso que se ven afectados por el proceso bajo revisin. Confirmar el entendimiento del proceso bajo revisin, los KPI del proceso, las implicaciones de control, por ejemplo, mediante un seguimiento paso a paso del proceso.

Valoracin del cumplimiento

Asegurar que las medidas de control establecidas estn funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia de ambiente de control.

Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta.

Realizar una revisin de la suficiencia de los resultados del proceso.

Determinar nivel de pruebas justificantes y trabajo adicional necesario para asegurar que el proceso de TI es adecuado.

Justificar el riesgo

Justificar el riesgo de que no se cumpla el objetivo de control mediante el uso de tcnicas analticas y/o consultas a fuentes alternativas.

Documentar las debilidades del control y las amenazas y vulnerabilidades resultantes.

Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-raz.

Brindar informacin comparativa; por ejemplo, mediante puntos de referencia.

Gua Genrica de Auditora


Planificacin Trabajo de Campo

Elaboracin Informe

Metodologa auditoras de procesos Ciclo bsico de un trabajo de auditora

Se establecen los objetivos, alcance de las pruebas, fechas de realizacin y asignacin de recursos de cada trabajo de auditora.

La planificacin queda reflejada en dos documentos:

el proyecto de auditora y el programa de trabajo.

Durante la planificacin de la auditora, es preciso comunicar el inicio del trabajo y sus principales objetivos a las Direcciones de... afectadas.

La realizacin del trabajo de campo consiste bsicamente en la ejecucin de las pruebas establecidas en el programa de trabajo, analizando los resultados de las mismas para extraer las oportunas conclusiones y, en su caso, plantear recomendaciones.

El trabajo de campo quedar documentado en

los papeles de trabajo de auditora.

En el informe de auditora se recogen los objetivos, alcance del trabajo, los hechos observados, las conclusiones, recomendaciones y manifestaciones del centro auditado.

Objetivos

Mtodos y Medios

Pruebas

Evidencias de auditora Informe

Proyecto de Auditora Programa de Trabajo

Comunicacin Inicio Auditora

Informe

Comunicacin Informe

Manifestaciones auditado

Papeles de Trabajo



Objetivos

Mtodos y Medios

Pruebas

Evidencias de auditora

Proyecto de Auditora Programa de Trabajo

Comunicacin Inicio Auditora

Papeles de Trabajo

Alcance Objetivos Control

Modelo Madurez

Elaboracin Informe

Informe

Informe Comunicacin Informe

Manifestaciones auditado

Cobertura y Cumplimiento de controles

Marco general

Evaluacin riesgos

Evaluacin Proceso

Metodologa auditoras de procesos Ciclo bsico de un trabajo de auditora

Metas Mtricas

Mtricas


Identificacin del Alcance

Identificacin Objetivos Control

Elaboracin Modelo

Valoracin

Identificacin Prcticas de control

Identificacin Objetivos de

control Desarrollo del

Modelo de Madurez


Elaboracin Informe

Identificacin intervinientes

Diagrama del alcance

Obtener conocimiento

Validar

Metodologa auditoras de procesos Planificacin

Metas y Mtricas

Obtencin de parmetros de

logro y desempeo


Auditora de un proceso. Marco metodolgico Planificacin. Identificacin del alcance

Identificacin del Alcance

Identificacin intervinientes


Planificacin


Validar

Objetivo: Definir hasta donde se quiere llegar con la revisin, es decir, la amplitud y profundidad de las pruebas e investigaciones a realizar, identificando procesos, subprocesos, procedimientos y/o actividades de TI as como sus intervinientes.


Identificacin de Intervinientes

Definir hasta donde se quiere llegar con la revisin, es decir, la amplitud y profundidad de las pruebas e investigaciones a realizar.

Identificar responsables, gestores y participantes en el proceso.

Validar participantes, roles y responsables del proceso. Se identificarn los siguientes perfiles: Ejecucin, suministro de informacin, seguimiento, revisin, y aprobacin

Confirmar el entendimiento del proceso bajo revisin . Validar flujograma, tareas, procedimientos y salidas con los responsables del proceso. (ej. ejemplo, mediante un seguimiento paso a paso del proceso)

Conocer algn marco de referencia* (facilta la toma de datos con los intervinientes)

Recopilar toda la documentacin del proceso: procedimientos, actividades, salidas, etc...

Entrevistas para lograr la comprensin de:

- Requerimientos del negocio.

- Riesgos asociados.

- Estructura organizacional.

- Roles y responsabilidades.

- Las medidas de control establecidas.

- Actividades de reporte.


Validar

* Cobit, CMMI, ITIL, ISO


Identificacin Objetivos Control

Identificacin Prcticas de control

Identificacin Objetivos de

control

Auditora de un proceso. Marco metodolgico Planificacin. Objetivos de Control.Controles

Criterio auditor

Buenas prcticas

CISA

Procesos

definidos

ITIL

ISO 27001

COBIT

Controles/

Conceptos

Planificacin

Identificacin Objetivos de Control

Objetivo. Identificar objetivos de control y prcticas de control (controles)

En cualquier caso el Auditor debe estar capacitado para definir/exigir objetivos de control y prcticas de control a partir de modelos de buenas prcticas de gestin y control (ej. CoBIT, ITIL)

Identificacin de Prcticas de Control

Definir objetivos de control de alto nivel segn marcos de referencia.

Definir prcticas de control que den cobertura a los objetivos de control. Analizar los marcos de referencia.



Control Objective


Texto del Objetivo de Control detallado para la actividad n

Value Drivers

Valores que se obtienen cuando se cubre el objetivo de control

Ejemplos de riesgos que se evitan cunado se cubre elobjetivo de control

Risk Drivers

Control Practices

1.

2. Instrucciones para la consecucin del objetivo

3.

Proceso p

Control Objective


Value Drivers Risk

Drivers

Test de Control Design

1.

2. Instrucciones para la revisin del diseo del control

3.

Texto del Objetivo de Control de alto nivel para el proceso p


La necesidad de administrar el desempeo y la capacidad de los recursos de TI requiere de un proceso para revisar peridicamente el desempeo actual y la capacidad de los recursos de TI.

Este proceso incluye el pronstico de las necesidades futuras, basadas en los requerimientos de carga de trabajo, almacenamiento y contingencias.

Este proceso brinda la seguridad de que los recursos de informacin que soportan los requerimientos del negocio estn disponibles de manera continua.


Prcticas de Control. (Monitorizacin y reporte)

Debe establecerse un proceso de recopilacin de datos de monitorizacin y reporte sobre la disponibilidad, rendimiento y carga de trabajo de la capacidad de todos los recursos.

Se deben proporcionar reporte peridicos de resultados en una forma apropiada para la revisin por gestores de IT y negocio.

Las actividades de monitorizacin y reporte estn integradas en las actividades iterativas de gestin de la capacidad (monitorizacin, anlisis, tuning e implementaciones).

Los informes de la capacidad forman parte / alimentan los procesos presupuestarios.

Auditora de Gestin del Rendimiento y Capacidad

Objetivo de Control alto nivel (DS3). Objetivo de Control detallado (DS3.1). Planificacin

Objetivo de Control detallado (DS3.2). Capacidad y desempeo actual

Objetivo de Control detallado (DS3.3). Capacidad y desempeo futuros

Objetivo de Control detallado (DS3.4). Disponibilidad de recursos de TI

Objetivo de Control detallado (DS3.5). Monitorizacin y Reporte.

Se debe monitorizar continuamente el desempeo y la capacidad de los recursos de TI. La informacin reunida sirve para dos propsitos:

(1) Mantener y poner a punto el desempeo actual dentro de TI y atender temas como contingencia, cargas de trabajo actuales y proyectadas, planes de almacenamiento y adquisicin de recursos.

(2) Para reportar la disponibilidad hacia el negocio del servicio prestado como se requiere en los SLAs (en su caso). Acompaar todos los reportes de excepcin con recomendaciones para llevar a cabo acciones correctivas.


Auditora de un proceso. Marco metodolgico Planificacin. Modelo de valoracin. Modelo de Madurez

Elaboracin Modelo

Valoracin

Desarrollo del Modelo de Madurez

Planificacin

Objetivo: Elaboracin de criterios que nos permitan evaluar el proceso desde el punto de vista de la administracin y control de proceso.

Desarrollar un contenido del modelo de valoracin basado en Modelos de Madurez, a partir del cual se podr identificar el nivel de control interno del proceso auditado.

El enfoque de los Modelos de Madurez para el control sobre procesos de las TI consiste en el desarrollo de un mtodo de asignacin de puntuacin para que una organizacin, proceso o actividad pueda ser calificado.

Optimizado

Definido

Repetible

Inicial

Proceso autogestionado y basado en mejores prcticas

Proceso monitorizado y medible

Proceso formalizado y documentado

Proceso intuitivo y repetible

Proceso AdHoc y desorganizado

Caractersticas del proceso

Gestionado

Nivel de Madurez

Inexistente Proceso Inexistente

Utilizar modelos de madurez genricos (ej Cobit)

Utilizar modelos de madurez especficos del proceso auditado (fuente: Cobit)


Modelo de madurez. Genrico (modificado)

Inexistente Total falta de un proceso reconocible. No se ha identificado un proceso claramente definido. El proceso

no est implementado o falla en alcanzar su propsito .

Inicial Existen procesos especficos para tareas reconocidas pero no estn formalizados o documentados

formalmente. No hay procesos estandarizados aunque hay mtodos ad hoc que tienden a ser aplicados

en forma individual o caso por caso. El mtodo general de la administracin es desorganizado.

Repetible Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos

similares emprendiendo la misma tarea. No hay capacitacin o comunicacin formal de procedimientos

estndar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos

de las personas y por lo tanto es probable que haya errores.

Definido Los procedimientos estn estandarizados y documentados. Los procedimientos mismos no son

sofisticados sino que son la formalizacin de las prcticas existentes. Existe seguimiento de procesos por

parte de sus ejecutores que lo aplican de manera general.

Administrado Es posible monitorizar y medir el cumplimiento de los procedimientos y emprender accin donde los

procesos parecen no estar funcionando efectivamente. Existen registros de actividad de las tareas de los

procedimientos. Los procesos estn bajo constante mejoramiento y presentan buenas prcticas. Se usan

automatismos y herramientas en una forma limitada o fragmentada.

Optimizado Se efectan comprobaciones peridicas. Procesos refinados hasta un nivel de la mejor prctica, basados

en los resultados de mejoramiento continuo y diseo de la madurez con otras organizaciones. Se usan

herramientas en una forma integrada para automatizar el flujo de trabajo para mejorar la calidad y la

efectividad.



No-existente. Los gestores no reconocen que los procesos clave del negocio pueden requerir altos niveles de capacidad de TI o que el total de

los requerimientos de servicios de TI del negocio pueden exceder la capacidad. No se lleva cabo un proceso de planificacin de la capacidad.

Inicial/Ad Hoc. Con frecuencia se llevan a cabo soluciones alternas para resolver limitaciones de capacidad. Los responsables de los procesos

valoran poco la necesidad de llevar a cabo una planificacin de la capacidad. Las acciones para administrar la capacidad son tpicamente

reactivas. El proceso de planificacin de la capacidad es informal.

Repetible pero intuitivo. Existe conciencia de la necesidad de administrar la capacidad. Las necesidades se logran en base a evaluaciones de

sistemas, herramientas de monitorizacin, y el conocimiento de tcnicos; pero la consistencia de los resultados depende de la experiencia

(heurstica). Se utilizan herramientas para diagnosticar problemas de capacidad. No hay una evaluacin general de la capacidad o consideracin

sobre situaciones de carga pico y peor-escenario. Los problemas de disponibilidad son susceptibles de ocurrir de manera inesperada y aleatoria.

Proceso definido. Los requerimientos de capacidad estn definidos a lo largo del ciclo de vida del sistema. Hay mtricas y requerimientos de

niveles de servicio bien definidos, que pueden utilizarse para medir la capacidad operacional. Los pronsticos de la capacidad se modelan por

medio de un proceso definido. Los reportes se generan con estadsticas de capacidad. Los problemas relacionados con la capacidad siguen

siendo susceptibles a ocurrir y su resolucin sigue consumiendo tiempo.

Administrado y medible. Hay procesos y herramientas para medir la capacidad de los sistemas, y los resultados se comparan con metas

definidas. Hay informacin actualizada disponible, estadsticas estandarizadas que alertan sobre incidentes causados por falta de capacidad. Los

problemas se tratan de acuerdo con procedimientos definidos y estandarizados. Se utilizan herramientas automatizadas para monitorizar

recursos especficos. Las estadsticas de capacidad son reportadas en trminos de los procesos de negocio, de forma que los usuarios y los

clientes comprendan los niveles de servicio de TI. Se han acordado los KGIs y KPIs para medir el desempeo y la capacidad de TI, pero se

aplican de forma espordica e inconsistente.

Optimizado. Los planes de capacidad estn sincronizados con las proyecciones de demanda del negocio. La infraestructura y la demanda del

negocio estn sujetas a revisiones regulares para asegurar que se logre una capacidad ptima con el menor costo posible. Las herramientas de

monitorizacin para recursos crticos han sido estandarizadas y usadas a travs de diferentes plataformas y vinculadas a un sistema de

administracin de incidentes. Estas herramientas detectan problemas relacionados con la capacidad. Se llevan a cabo anlisis de tendencias, los

cuales muestran problemas de capacidad inminentes causados por incrementos en los volmenes de negocio, lo que permite planear y evitar

problemas inesperados. Las mtricas para medir la capacidad de TI han sido bien afinadas dentro de los KGIs y KPIs para todos los procesos de

negocio crticos y se miden de forma regular. La gerencia ajusta la planificacin de la capacidad siguiendo los anlisis de los KGIs y KPIs.

[1] Key Goal Indicator (Indicador Clave de Resultado). Key Performance Indicator Indicadores Claves de Desempeo).

Modelo de madurez. Especfico del proceso (modificado)



Adecuacin Descripcin y acciones necesarias

ptimo

Adems de cumplir las caractersticas del nivel elevado, existe una estrategia continua de mejoramiento de

controles.

Estn gestionada su eficacia y eficiencia mediante mtricas, cuadros de mando, etc

Elevado

Los controles que alcanzan el objetivo de control:

Estn perfectamente definidos. Estn implementados y operativos prevaleciendo controles automticos Son medibles.

Adecuado

Existe un control o conjunto de controles definidos, establecidos y operativos que dan cobertura al objetivo de

control.

Los controles pueden ser manuales y automticos y los procedimientos y operaciones son correctos

Razonable

Existen controles que alcanzan el objetivo de control.

Pero los procedimientos y operaciones asociados a los controles presentan deficiencias.

Mejorable

El objetivo de control no es alcanzado debido a:

la ausencia de algn control la presencia de controles inefectivos. Debilidades materiales en el diseo e implementacin

Deficiente

(o nulo)

El objetivo de control no es alcanzado debido a que

No existen control(es)

Auditora de un proceso. Marco metodolgico Planificacin. Modelo de valoracin. Escala personalizada


Planificacin

Auditora de un proceso. Marco metodolgico Planificacin. Metas y mtricas

Objetivo. Identificar un conjunto de posibles mtricas que proporcionen visin del desempeo del proceso.

Control del proceso: El proceso debe ser objeto de control de gestin. Es necesario establecer los indicadores que nos permitirn, en base a los objetivos propuestos para evaluar el correcto funcionamiento del Proceso.

El Auditor debe estar capacitado para recomendar la existencia de mtricas e indicadores de gestin.

Fuente. Modelos de buenas prcticas de gestin y control (ej. CoBIT, ITIL)

Metas y

Mtricas

Obtencin de parmetros de

logro y desempeo


Metodologa de auditora de proceso. Ejercicio. Auditora de Gestin de Acuerdos con Proveedores EJEMPLOS DE PROGRAMA DE TRABAJO o Ejemplo n1. Auditora de la empresa TeVeo o Ejemplo n2. CoBIT o Ejemplo n3. FFIEC

(ver tomo de ejercicios)

Identificacin

del Alcance

Identificacin

Objetivos Control

Elaboracin

Modelo

Valoracin

Identificacin

Prcticas de control

Identificacin

Objetivos de control Desarrollo del

Modelo de

Madurez

Planificacin Trabajo de

Campo

Elaboracin

Informe

Identificacin

intervinientes

Diagrama del

alcance

Obtener

conocimiento

Validar

Metas

y

Mtricas

Obtencin de

parmetros de

logro y

desempeo


Marco general de

control

Roles y Responsabilidades


Elaboracin Informe

Auditora de un proceso. Marco metodolgico

Trabajo de Campo

Mtricas

Esquema de medicin

Marco de gestin

Polticas y Procedimientos

Roles y responsabilidades

Marco general de control

Polticas y procedimientos

Controles especficos del proceso

Esquema de medicin

Mtricas

Marco de gestin

Cobertura y cumplimiento de controles

Identificacin de ausencia de controles

Seguimiento de medidas de

control



Trabajo de Campo. Marco general de control

Trabajo de Campo

Marco general de

control


Polticas y Procedimientos

Cada proceso debe tener un propietario.

El papel y las responsabilidades del propietario del proceso estn definidos. En particular en: (1) el diseo del proceso, (2) la interaccin con otros procesos, (3) la rendicin de cuentas sobre entregables del proceso, (4) medicin del rendimiento y (4) identificacin de mejoras.

El propietario del proceso tiene suficiente autoridad para ejecutar, conducir el proceso.

Dentro del proceso deben estar establecidas la propiedad, responsabilidad y mecanismo de seguimiento para los productos entregables.

Las actividades clave y los productos finales entregables del proceso estn definidos

Los roles y responsabilidades para la ejecucin de actividades clave deben: (1) estar asignadas y comunicadas de forma no ambigua, (2) documentadas y (3) sujetas a algn sistema que permita dar cuenta/explicar/responder por la consecucin de objetivos o entregables.

La asignaciones de propiedad, roles y responsabilidades de tareas crticas deben estar comunicadas y aceptadas de forma inequvoca.

Debe existir un registro/mapa documentado de las descripciones de roles y responsabilidades.


Cobertura. El esquema de polticas y procedimientos cubre toda la casustica del proceso.

Grado de definicin. Los procedimientos establecen las actividades del proceso, las responsabilidades en la ejecucin de las mismas, as como las salidas y registros a generar durante la ejecucin de dichas actividades.

Grado de actualizacin. El contenido de las polticas y procedimientos se encuentra actualizado.

Formalizacin. Las polticas y procedimientos tienen un esquema de revisin y aprobacin definido y ejecutado.

Publicitacin. Las polticas y procedimientos estn publicadas y accesibles a todos los intervinientes (desde usuarios finales hasta responsables).

Polticas y procedimientos


La matriz de la asignacin de responsabilidades (RACI por sus siglas en ingls) se utiliza generalmente para relacionar actividades con recursos (individuos o equipos de trabajo). De esta manera se logra asegurar que cada uno de los componentes del alcance est asignado a un individuo o a un equipo.

La matriz RASCI es una variacin de la RACI. La nica diferencia es la adicin de un nuevo rol: el de soporte. Las matrices RACI-VS o VARISC son otra variacin con los roles adicionales de verificador y firmante.

En esta matriz se asigna el rol que el recurso debe jugar para cada actividad dada. No es necesario que en cada actividad se asignen los cuatro roles, pero s por lo menos el de encargado y el de responsable. Estas matrices se pueden construir en alto nivel (reas generales) o en un nivel detallado (tareas de nivel bajo).

Rol Descripcin

R Responsible Encargado Realiza el trabajo y es responsable por su realizacin. Debe existir slo un R, si existe ms de uno,

entonces el trabajo debera ser subdividido a un nivel ms bajo.

A Accountable Responsable Se encarga de aprobar el trabajo finalizado y a partir de ese momento, se vuelve responsable por l.

Es ante quien "R" debe reportarse, quien debe firmar o aprobar el trabajo antes de que sea ACEPTADO.

S Supportive Soporte S = (puede ser de apoyo). puede proporcionar recursos o puede desempear un papel al apoyar la puesta

en prctica.

C Consulted Consultado Este rol posee la informacin o capacidad necesaria para terminar el trabajo.

Es quien debe ser consultado. Tiene la informacin y/o la capacidad necesarios para terminar el trabajo.

I Informed Informado Este rol debe ser informado sobre el progreso y los resultados del trabajo.

Debe ser notificado de los resultados, pero no necesita ser consultado.

V Verify Verificador Este rol se encarga de comprobar si el producto concuerda con los criterios de aceptacin establecidos

en la descripcin del producto.

S Sign Firmante Este rol se aprobar las decisiones de V y autorizar la salida del producto. Lo lgico es que el trabajo de un

S preceda siempre al de un A.




Pasos en un proceso RACI

1. Identifique todos los procesos / actividades implicadas en el lado izquierdo del grfico.

2. Identifique todos lo roles y enumrelos en el lado superior del grfico.

3. Complete las celdas del grfico: identifique quin tiene el rol de R, A, S, C, I para cada proceso.

4. Cada proceso debe preferiblemente tener uno y solamente un "R" como principio general.

Se da una brecha cuando existe un proceso sin un "R". Solucin. Donde no se ha identificado ningn rol "R" para un proceso, quien tenga la autoridad para la definicin del rol debe determinar qu rol existente o nuevo ser el responsable. Clarificar el rol con el individuo que asuma ese rol.

Se da un solapamiento cuando existen mltiples roles que tienen un "R" para un proceso dado. Solucin: Detallar an ms los procesos secundarios, para separar las responsabilidades individuales.




R Responsable de realizar/ejecutar tarea

A Responsable ltimo, puede delegar, debe supervisar

C Consultar antes de hacer

I Informar despus de hacer



EJ Ejecucin (EJ): Perfil encargado de ejecutar la actividad.

SI Suministro de informacin (SI): Perfil encargado de suministrar informacin necesaria para la ejecucin de la actividad.

SG Seguimiento (SG): Perfil informado del resultado de la actividad.

RV Revisin (RV): Perfil encargado verificar o validar algn resultado o producto de la actividad.

AP Aprobacin (AP): Perfil encargado de aprobar o rechazar algn resultado o producto de la actividad.

Acciones Participantes

EJ SI SG RV AP

1. Establecer requisitos ANS Responsable de Acuerdo Responsable de Acuerdo

2. Lanzar el ANS

Resp.de Gestin de Suministradores

Responsable de Acuerdo

3. Seguir cumplimiento ANS Responsable de Acuerdo Responsable de Acuerdo

4. Revisin de Contrato

Resp.de Gestin de Suministradores

Responsable de Acuerdo

5. Finalizacin del Servicio Responsable de Acuerdo Responsable de Acuerdo

5. Evaluacin del Servicio Responsable de Acuerdo Resp.de Gestin de Suministradores



Trabajo de Campo. Cobertura y cumplimiento de controles

Trabajo de Campo

Cobertura y cumplimiento de controles

Identificacin de ausencia de controles

Objetivo. Evaluar la conveniencia de las medidas de control mediante la consideracin de

(1) las prcticas de control implantadas y las prcticas estndares de la industria y

(2) el funcionamiento de las medidas de control implantadas. Evaluar el cumplimiento al probar si los controles establecidos estn funcionando como se espera, de manera consistente y continua.

Los objetivos de control. Pueden estar identificados (o no) e implementados (o no) mediante prcticas de control por parte del propietario del proceso.

En cualquier caso el Auditor debe estar capacitado para definir/exigir prcticas de control a partir de modelos de buenas prcticas de gestin y control (ej. CoBIT, ITIL)

Identificacin ausencias de prcticas de control

Analizar documentacin existente asociada al proceso a auditar, para identificar prcticas de control o tareas de las cuales se puedan inferir controles.

Mapear con las prcticas de controles obtenidas de los marcos de referencia en la etapa de Planificacin. Identificar ausencias.

Valoracin funcionamiento medidas de control

Los pasos de las medidas de control establecidas estn funcionando como es debido, de manera consistente y continua.

Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta.

Realizar una revisin de la suficiencia de los resultados del proceso.

Determinar el nivel de pruebas justificantes y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado.

Seguimiento de medidas de

control


Anlisis de los riesgos

Identificar y documentar

riesgos

Evaluacin del proceso

Evaluacin global del proceso

Identificacin recomenda-

ciones


Elaboracin Informe


Informe


Auditora de un proceso. Marco metodolgico Informe. Anlisis de riesgos

Elaboracin Informe

Anlisis de los riesgos

Identificar y documentar

riesgos

Identificar y documentar el riesgo

Objetivo. Identificar y documentar el riesgo de que los objetivos de control no se estn cumpliendo.

Documentar las debilidades del control y las amenazas y vulnerabilidades resultantes.

Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-raz.

Brindar informacin comparativa; por ejemplo, mediante puntos de referencia.

Control Objective


Texto del Objetivo de Control detallado para la actividad n

Value Drivers

Valores que se obtienen cuando se cubre el objetivo de control

Ejemplos de riesgos que se evitan cunado se cubre elobjetivo de control

Risk Drivers

Proceso p


Evaluacin Global del Proceso

Identificacin de Recomendaciones

Ponderar los controles evaluados y asignar una valoracin global del nivel de control del proceso auditado siguiendo la escala del Nivel de Madurez.

Identificacin de las principales conclusiones del trabajo realizado.

Identificar la posible ausencia de controles implantados, controles existentes que no cumplen adecuadamente su funcin o falta de evidencias de los controles existentes.

Identificar incumplimientos de normativas internas, incumplimientos regulatorios, o estndares aprobados en la Entidad.

Emitir recomendaciones sobre los incumplimientos detectados.

Evaluar, si es posible exigir, en el caso de procesos formalmente definidos, un nivel de madurez determinado.

Valorar los riesgos asociados a aspectos detectados que no suponen un incumplimiento ni estn formalmente definidos, decidiendo si es necesario emitir una recomendacin al respecto.

Evaluacin del proceso

Evaluacin global del proceso

Identificacin recomenda-

ciones

Elaboracin Informe

Objetivo. Obtener una valoracin global del proceso auditado en funcin del nivel de madurez de control identificado y emisin de recomendaciones


Informe. Evaluacin

79 Introduccin a la Auditora de

Auditoría de Procesos Teoría.v0

Documents

Transcript of Auditoría de Procesos Teoría.v0