1. David Acsaraya - Ingeniería de Sistemas
ESTRUCTURA DE LA AUDITORIA
BASADA EN COBIT
Objetivo: Establecer los pasos ha
seguir y los entregables de una
auditoría basada en COBIT
2. David Acsaraya - Ingeniería de Sistemas
1) SITUACION ACTUAL DE LA
EMPRESA
• Misión
• Visión
• Entorno general de la empresa
3. David Acsaraya - Ingeniería de Sistemas
2) SELECCIÓN DE RECURSOS DE TI
• Recursos de Hardware
• Recursos de software
• Aplicaciones
• Software en general
• Recursos de comunicaciones
• Recursos Humanos
• Recursos de infraestructura
4. David Acsaraya - Ingeniería de Sistemas
Mal uso de No existe un
Servidores recursos y documento específico
no
3) ANALISIS DE RIESGOS DE TI
MATRIZ DE EVALUACION DE RIESGOS
Nivel de
Recurso Amenaza Vulnerabilidad Control Existente Impacto Probabilidad Riesgo Recomendación
El dorumento de
El documento actual
Establecer un
Servidores y Mal uso de políticas de TI no procedimiento de
PC recursos cuenta con un proceso
de revisión definido.
~ políticas
actualizado.
no Bajo Media Bajo
actualización periódica
del documento.
Acceso no El dorumento de
El documento actual
Establecer un
Servidores y autorizado a políticas de TI no
de políticas Bajo Media Bajo
procedimiento de
PC información cuenta con un proceso actualización periódica
confidencial de revisión definido. actualizado. del dorumento.
Equipos de
El dorumento de
El documento actual
Establecer un
conexión de
Mal uso de políticas de TI no de políticas no Medio Media Medio
procedimiento de
red
recursos cuenta con un proceso
actualizado.
actualización periódica
de revisión definido. del documento.
y Definir un documento
Ninguno Alto Media Medio de políticas de
5. David Acsaraya - Ingeniería de Sistemas
PC acceso no de políticas de seguridad para TI.
autorizado seguridad de TI.
Equipos de
No existe un
Definir un documento
conexión de
Mal uso de documento específico
Ninguno Alto Media Medio de políticas de
red
recursos de políticas de
seguridad para TI.
seguridad de TI.
6. David Acsaraya - Ingeniería de Sistemas
Recurso Amenaza Vulnerabilidad
Control
Existente Impacto Probalj idad
Nivel de
Riesgo
Enlaces
UffimaMlla
Ataque a la red
y mal uso de
recursos
No e~ste un
procedimiento fonnal para
reportar losincidentes de
seguridadpor los canales
de administración
apropiados tan pronto
como sea posible.
Reportes
informales.
Alto Baja Bajo
Establecer un
procedimiento de formal
para reportar incidentes de
segundad.
PC
Carga de
software
malicioso
No e~ste un
procedimiento para
verificar todos los boletines
de advertencia e
infonnatrvos oon respecto
al uso de software
malicioso.
Se define
usuanos con
perfil limitado.
Bajo Media Bajo
Recomendación
Verificar periódicamente los
boletines y dar a conocer a
los usuarios.
7. David Acsaraya - Ingeniería de Sistemas
4) PLAN DE AUDITORIA
• Alcance
• Objetivos de la auditoría
• Identificación de los Dominios, Procesos y
objetivos de control Cobit aplicables
8. David Acsaraya - Ingeniería de Sistemas
P04
Planificación y
Definición de la Organización
Relaciones de TI.
y p s X
Organización
P06 Comunicación de la Dirección
Aspiraciones Gerenciales.
y p X
POS Asegurar de cumplimiento de
requerimientos extemos.
p s XX X
P09 Evaluación de Riesgos. SSPPPSS XXX X X
052 Administrar servicios de terceros PPSSSSS XXXX X
054 Asegurar continuidad de servicio PS XXXX X
Entrega de
Servicios y
055 Garantizar la seguridad de
sistemas
P P SS XXXX X
059. Administración de la Configuración. P s XX X
0511 Administración de Datos p p X
OBJETIVOS DE CONTROL COBIT-CRITERIOS Y RECURSOS TI AFECTADOS
Criterios de
Información
Recursos de
TI
DOMINIO PROCESO
s
p
Adquisición e Al3
Implementación
Adquirir y mantener la arquitectura
tecnológica
p p s X
P
S
Soporte
s
•Descripción de herramientas, documentos, estándares, directrices,
10. David Acsaraya - Ingeniería de Sistemas
5) PUESTA EN MARCHA DE LA
AUDITORIA
• Por cada objetivo de control de COBIT
identificar los factores de riesgo
12. David Acsaraya - Ingeniería de Sistemas
DOMINIO: ADQUISICION E IMPLEMEN
Al3Adquisicióny Mantenimientode la Infraestructura Tecnológica
TACION
Se refiere a la seguridad apropiadapara la infraestructura tecnológica (hardware y software) quetiene que ver con la actualización, mantenimiento y
adquisición.
OBJETIVO DE CONTROL DETALLADO FACTORES DE RIESGO
Al3.2 Mantenimiento preventivo para hardware
La Gerencia de la función de servicios de información deberá agendar o programarel
mantenimiento rutinario y periódico del hardware oon el fin de reducir la frea.1encia y el
impacto de fallas de rendimento.
r Daño permanente de los equipos.
r Fallo en el servido en caso de dañosde equipos de
interoonexión.
r lnaemento de gastos por reparación de equipos.
,, Usuarios insatisfechos.
13. David Acsaraya - Ingeniería de Sistemas
• Elaboración de matriz de pruebas para cada
objetivo de control
DOMINIO: PLANEACION Y ORGANIZACIÓN
P04 Definición de ta organización y de tas relaciones de TI
OBJETIVO DE CONTROL DETALLADO REVISION A TRAVES DE:
DESCRIPCION DE LA
PRUEBA
P04.6 Responsabilidad por la seguridad lógica y
física
La Gerencia deberá asignar formalmente la
responsabilidad de la seguridad lógica y física de los
activos de información de la organización a un
Gerente de seguridad de la información, quien reportará
a la alta gerencia.
Como mínimo, la responsabilidad de la Gerencia de
seguridad deberá establecerse a todos los niveles
de la organización para manejar los problemas
generales de seguridad en la organización.
En caso necesario, deberán asignarse
responsabilidades gerenciales de seguridad
adicionales a niveles específicos con el fin de
resolver los problemas de seguridad relacionados
con ellos.
Evaluaciónde controles:
Existen políticas que determinen los roles y responsabilidades para
todo el personal dentro de la organización con respecto a sistemas
de información, control interno y seguridad.
La Gerencia ha asignado formalmente la responsabilidad a lo largo
de toda la organización para la formuladóo de políticas y
procedimientos de control interno y seguridad (tanto lógicos como
físicos) a un oficial de seguridad.
El oficial de seguridad de la información comprende
adecuadamente sus funciones y responsabilidades y si éstas han
mostrado consistencia con respecto a la política de seguridad de la
información de la organización.
Las políticas de seguridad de la organizadoo definen claramente
las responsabilidades sobre la seguridad de la iníornacóo que
cada propietario de los activos (por ejemplo, usuarios,administración
y administradores de seguridad) debe llevar a cabo.
Revisioo del documento
de descripción de
funciones.
Entrevista al Gerente
de TI.
14. David Acsaraya - Ingeniería de Sistemas
DOMINIO: ADQUISICION E IMPLEMENTACION
AJ3 Adquisición y 11-,tenlm/entode la lnfr-ructur• Tecnológica
OBJETIVO DE CONTROL DETALLADO REVISION A TRA VES DE:
DESCRIPCION DE LA
PRUEBA
Al3..2 Martonlmlonto preventivo porta hardWare
La Gerencia de la fundón de servicios de
infonnación deberá agendar o programar el
mantenimiento rutslario y periódico del hardware oon
el m de reducir la frecuencia y el impacto de fallas
de rendiniento.
E.eluación de controles:
Existen polltlcas y procedimientos para el mantenimiento
preventiw de hardware (tantO el ope111do por la función de
servicios de información a,mo por las funciones de los usuarios
Entrevista al Gerente
da TI.
afectados) pe111 redueo-la frecuencia y el impacto de las faUas de Revisión del Contrato
desempeno Se o..impkt con los pasos y la frecuencia de de Mantenimiento de
mantonirriento preventiw prescrlos por el proveedor para cada Hardware.
dispositivo de hardware operado ¡x>r la función de servicicis de
ilfamación y los usuarios afectados se adhieren a elos.
Probando qve:
El calendaño de mantenimiento preventivo asegura que el
mantenimiento de hardwareprogramado no tendrá ningün impacto
negativosobre aplicaciones aitic:as o sensitivas.
El mantenimiento programado asegLWa que no ha sido planeado
pe111 periodos pico de carga de trabajo y que la función de servicios
de informadón y las operaciones de los grupos de usuarios
afectados son suficientemente ftexl)les para adaptar el
mantenimiento pre11Gntlw n.rtinario planeado.
L
"
o
'º
s programas operativos de servicios de información asegu111n
existen las preparaciones -cuadas para manejar
anticipadamente los tiempos muertos de hardware ocasionados por
mantenirrientono programado.
•Recolección de documentación: manuales, procedimientos,
funciones
15. David Acsaraya - Ingeniería de Sistemas
6) RESULTADOS DE LA APLICACIÓN DE
LA AUDITORIA
• Cuadros de evaluación para cada uno de los
objetivos de COBIT
EVALUACIÓN DE PRUEBAS P04.10
,.... DOMINIO: PLANEACION Y ORGANIZACIÓN
P04 De•nlclón de i,, OfVMll:mclón y de /a ,.,,,clones de TI
P04.10Segregación do funciones
REVISION A TRAVES DE:
DESCRIPCION
DE LA PRUEBA
EVALUACION
DOCUMENTOS
DE SOPORTE
RECOMENDACION
16. David Acsaraya - Ingeniería de Sistemas
Evallación do controles:
Existen politicas y procedimiontos que describan las
prádicas de supervisión para asegurar que las funciones y
resporasabilidados sean ojorcidas apropiadamentey que todo
el personal cuente con suficiente autoridad y recursos para
llevar a cabo sus ñ.Mlcionesy responsabilidades.
Existe una segregación de funciones entre los siguientes
pares de unida.dos:
. desarrollo y mantenimiento de sistemas
. desarrollo y operaciones de sistemas
. desarrollo/mantenimiento de sistemas y ~ñdad de la
información.
. operaciones y control de datos
. operaciones y usuarios
. operaciones y seguridad de la infonnación
Probando que:
Las descripciones de los puestos de trabajo tienen
claramente delimttada tanto la autoridad como la
resporasabilidad. La naturaleza y el alcance de la suficiencia
de la segregación de funciones deseada y de las limitaciones
de funciones dentro de TI.
Revisión del
dowmento
Oescripcióo de
Funciones del
Departa mento de
Sistemas.
Entrevista al
Gerente de TI.
EFECTIVO Descripción de
Funciones del
Personal del
De partamento de
TI.
17. David Acsaraya - Ingeniería de Sistemas
EVALUACIÓN DE PRUEBAS P04.6
DOMINIO: PI.ANEACION Y ORGANIZACIÓN
P04 Delnlción de la otgM11112clóny de la relaciones den
P04.6 Responsabilidad por la seguñdad lógica y fisica
REVISION A TRAVES DE:
DESCRIPCION
DE LA PRUEBA
EVALUACION
DOCUMENTOS
DE SOPORTE
RECOMENDACION
Ewluación de controles:
E»sten políticas que determinen los roles y
responsabilidades para todo el personal dentro de la
organización con respecto a sistemas de informad6n, control
i-.io y seguridad. La Gerencia ha asignado fcrmalmento la
responsabili<lad a lo largo de 10da la organización para la
lormAaci6n de polltic:as y procedimientos de control interno y
seguri<lad (tanlO lógicos como flsioos) a un oficial de
seguridad.
El oficial de seguridad de la infonnación comprende
adecuadamente sus funciones y responsabi.idados y si éstas
han mostrado mnsistencia con respecto a la polltica de
SE9Jridad de la información de la organización.
Las políticas de seguridad de la organización definen
claramente las responsabilidades sobre la seg.iridad de ta
irmmación "'8 cada propietaro de los activos (por ejemplo,
usuarios, admifistración y admilistradores de seguridad)
debe Uevar a cabo,
Probando que:
El personal de segtxidad revisa los sistemas operativos y los
sistemas de apicaoión esenciales.
Revisión del
doOJmento de
desaipci6n de
funciones.
Entrevisto al
Gerente de TI.
NO EFECTIVO De5a1>ción de
Fooáooes del
Personal del
Departamento do
TI.
No
existen documentos
especlñcos sobre
rosponsablldados de
seguridad. pero se
entiende
"'º la
rasponsablldad la
tiene el GeronlO de TI.
18. David Acsaraya - Ingeniería de Sistemas
• Análisis de resultados
20. David Acsaraya - Ingeniería de Sistemas
7) INFORME FINAL DE AUDITORIA
• Carta de entrega del informe
• Alcance
• Objetivos
• Listado de objetivos de control con:
– Observación
– Riesgo
– Recomendación