SlideShare una empresa de Scribd logo

Estructura auditoria cobit

David Acsaraya
David Acsaraya

COBIT

Ingeniería
1 de 22
Descargar para leer sin conexión
David Acsaraya - Ingeniería de Sistemas ESTRUCTURA DE LA AUDITORIA BASADA EN COBIT Objetivo: Establecer los pasos ha seguir y los entregables de una auditoría basada en COBIT
David Acsaraya - Ingeniería de Sistemas 1) SITUACION ACTUAL DE LA EMPRESA • Misión • Visión • Entorno general de la empresa
David Acsaraya - Ingeniería de Sistemas 2) SELECCIÓN DE RECURSOS DE TI • Recursos de Hardware • Recursos de software • Aplicaciones • Software en general • Recursos de comunicaciones • Recursos Humanos • Recursos de infraestructura
David Acsaraya - Ingeniería de Sistemas Mal uso de No existe un Servidores recursos y documento específico no 3) ANALISIS DE RIESGOS DE TI MATRIZ DE EVALUACION DE RIESGOS Nivel de Recurso Amenaza Vulnerabilidad Control Existente Impacto Probabilidad Riesgo Recomendación El dorumento de El documento actual Establecer un Servidores y Mal uso de políticas de TI no procedimiento de PC recursos cuenta con un proceso de revisión definido. ~ políticas actualizado. no Bajo Media Bajo actualización periódica del documento. Acceso no El dorumento de El documento actual Establecer un Servidores y autorizado a políticas de TI no de políticas Bajo Media Bajo procedimiento de PC información cuenta con un proceso actualización periódica confidencial de revisión definido. actualizado. del dorumento. Equipos de El dorumento de El documento actual Establecer un conexión de Mal uso de políticas de TI no de políticas no Medio Media Medio procedimiento de red recursos cuenta con un proceso actualizado. actualización periódica de revisión definido. del documento. y Definir un documento Ninguno Alto Media Medio de políticas de
David Acsaraya - Ingeniería de Sistemas PC acceso no de políticas de seguridad para TI. autorizado seguridad de TI. Equipos de No existe un Definir un documento conexión de Mal uso de documento específico Ninguno Alto Media Medio de políticas de red recursos de políticas de seguridad para TI. seguridad de TI.
David Acsaraya - Ingeniería de Sistemas Recurso Amenaza Vulnerabilidad Control Existente Impacto Probalj idad Nivel de Riesgo Enlaces UffimaMlla Ataque a la red y mal uso de recursos No e~ste un procedimiento fonnal para reportar losincidentes de seguridadpor los canales de administración apropiados tan pronto como sea posible. Reportes informales. Alto Baja Bajo Establecer un procedimiento de formal para reportar incidentes de segundad. PC Carga de software malicioso No e~ste un procedimiento para verificar todos los boletines de advertencia e infonnatrvos oon respecto al uso de software malicioso. Se define usuanos con perfil limitado. Bajo Media Bajo Recomendación Verificar periódicamente los boletines y dar a conocer a los usuarios.
David Acsaraya - Ingeniería de Sistemas 4) PLAN DE AUDITORIA • Alcance • Objetivos de la auditoría • Identificación de los Dominios, Procesos y objetivos de control Cobit aplicables
David Acsaraya - Ingeniería de Sistemas P04 Planificación y Definición de la Organización Relaciones de TI. y p s X Organización P06 Comunicación de la Dirección Aspiraciones Gerenciales. y p X POS Asegurar de cumplimiento de requerimientos extemos. p s XX X P09 Evaluación de Riesgos. SSPPPSS XXX X X 052 Administrar servicios de terceros PPSSSSS XXXX X 054 Asegurar continuidad de servicio PS XXXX X Entrega de Servicios y 055 Garantizar la seguridad de sistemas P P SS XXXX X 059. Administración de la Configuración. P s XX X 0511 Administración de Datos p p X OBJETIVOS DE CONTROL COBIT-CRITERIOS Y RECURSOS TI AFECTADOS Criterios de Información Recursos de TI DOMINIO PROCESO s p Adquisición e Al3 Implementación Adquirir y mantener la arquitectura tecnológica p p s X P S Soporte s •Descripción de herramientas, documentos, estándares, directrices,
David Acsaraya - Ingeniería de Sistemas etc
David Acsaraya - Ingeniería de Sistemas 5) PUESTA EN MARCHA DE LA AUDITORIA • Por cada objetivo de control de COBIT identificar los factores de riesgo
David Acsaraya - Ingeniería de Sistemas
David Acsaraya - Ingeniería de Sistemas DOMINIO: ADQUISICION E IMPLEMEN Al3Adquisicióny Mantenimientode la Infraestructura Tecnológica TACION Se refiere a la seguridad apropiadapara la infraestructura tecnológica (hardware y software) quetiene que ver con la actualización, mantenimiento y adquisición. OBJETIVO DE CONTROL DETALLADO FACTORES DE RIESGO Al3.2 Mantenimiento preventivo para hardware La Gerencia de la función de servicios de información deberá agendar o programarel mantenimiento rutinario y periódico del hardware oon el fin de reducir la frea.1encia y el impacto de fallas de rendimento. r Daño permanente de los equipos. r Fallo en el servido en caso de dañosde equipos de interoonexión. r lnaemento de gastos por reparación de equipos. ,, Usuarios insatisfechos.
David Acsaraya - Ingeniería de Sistemas • Elaboración de matriz de pruebas para cada objetivo de control DOMINIO: PLANEACION Y ORGANIZACIÓN P04 Definición de ta organización y de tas relaciones de TI OBJETIVO DE CONTROL DETALLADO REVISION A TRAVES DE: DESCRIPCION DE LA PRUEBA P04.6 Responsabilidad por la seguridad lógica y física La Gerencia deberá asignar formalmente la responsabilidad de la seguridad lógica y física de los activos de información de la organización a un Gerente de seguridad de la información, quien reportará a la alta gerencia. Como mínimo, la responsabilidad de la Gerencia de seguridad deberá establecerse a todos los niveles de la organización para manejar los problemas generales de seguridad en la organización. En caso necesario, deberán asignarse responsabilidades gerenciales de seguridad adicionales a niveles específicos con el fin de resolver los problemas de seguridad relacionados con ellos. Evaluaciónde controles: Existen políticas que determinen los roles y responsabilidades para todo el personal dentro de la organización con respecto a sistemas de información, control interno y seguridad. La Gerencia ha asignado formalmente la responsabilidad a lo largo de toda la organización para la formuladóo de políticas y procedimientos de control interno y seguridad (tanto lógicos como físicos) a un oficial de seguridad. El oficial de seguridad de la información comprende adecuadamente sus funciones y responsabilidades y si éstas han mostrado consistencia con respecto a la política de seguridad de la información de la organización. Las políticas de seguridad de la organizadoo definen claramente las responsabilidades sobre la seguridad de la iníornacóo que cada propietario de los activos (por ejemplo, usuarios,administración y administradores de seguridad) debe llevar a cabo. Revisioo del documento de descripción de funciones. Entrevista al Gerente de TI.
David Acsaraya - Ingeniería de Sistemas DOMINIO: ADQUISICION E IMPLEMENTACION AJ3 Adquisición y 11-,tenlm/entode la lnfr-ructur• Tecnológica OBJETIVO DE CONTROL DETALLADO REVISION A TRA VES DE: DESCRIPCION DE LA PRUEBA Al3..2 Martonlmlonto preventivo porta hardWare La Gerencia de la fundón de servicios de infonnación deberá agendar o programar el mantenimiento rutslario y periódico del hardware oon el m de reducir la frecuencia y el impacto de fallas de rendiniento. E.eluación de controles: Existen polltlcas y procedimientos para el mantenimiento preventiw de hardware (tantO el ope111do por la función de servicios de información a,mo por las funciones de los usuarios Entrevista al Gerente da TI. afectados) pe111 redueo-la frecuencia y el impacto de las faUas de Revisión del Contrato desempeno Se o..impkt con los pasos y la frecuencia de de Mantenimiento de mantonirriento preventiw prescrlos por el proveedor para cada Hardware. dispositivo de hardware operado ¡x>r la función de servicicis de ilfamación y los usuarios afectados se adhieren a elos. Probando qve: El calendaño de mantenimiento preventivo asegura que el mantenimiento de hardwareprogramado no tendrá ningün impacto negativosobre aplicaciones aitic:as o sensitivas. El mantenimiento programado asegLWa que no ha sido planeado pe111 periodos pico de carga de trabajo y que la función de servicios de informadón y las operaciones de los grupos de usuarios afectados son suficientemente ftexl)les para adaptar el mantenimiento pre11Gntlw n.rtinario planeado. L " o 'º s programas operativos de servicios de información asegu111n existen las preparaciones -cuadas para manejar anticipadamente los tiempos muertos de hardware ocasionados por mantenirrientono programado. •Recolección de documentación: manuales, procedimientos, funciones
David Acsaraya - Ingeniería de Sistemas 6) RESULTADOS DE LA APLICACIÓN DE LA AUDITORIA • Cuadros de evaluación para cada uno de los objetivos de COBIT EVALUACIÓN DE PRUEBAS P04.10 ,.... DOMINIO: PLANEACION Y ORGANIZACIÓN P04 De•nlclón de i,, OfVMll:mclón y de /a ,.,,,clones de TI P04.10Segregación do funciones REVISION A TRAVES DE: DESCRIPCION DE LA PRUEBA EVALUACION DOCUMENTOS DE SOPORTE RECOMENDACION
David Acsaraya - Ingeniería de Sistemas Evallación do controles: Existen politicas y procedimiontos que describan las prádicas de supervisión para asegurar que las funciones y resporasabilidados sean ojorcidas apropiadamentey que todo el personal cuente con suficiente autoridad y recursos para llevar a cabo sus ñ.Mlcionesy responsabilidades. Existe una segregación de funciones entre los siguientes pares de unida.dos: . desarrollo y mantenimiento de sistemas . desarrollo y operaciones de sistemas . desarrollo/mantenimiento de sistemas y ~ñdad de la información. . operaciones y control de datos . operaciones y usuarios . operaciones y seguridad de la infonnación Probando que: Las descripciones de los puestos de trabajo tienen claramente delimttada tanto la autoridad como la resporasabilidad. La naturaleza y el alcance de la suficiencia de la segregación de funciones deseada y de las limitaciones de funciones dentro de TI. Revisión del dowmento Oescripcióo de Funciones del Departa mento de Sistemas. Entrevista al Gerente de TI. EFECTIVO Descripción de Funciones del Personal del De partamento de TI.
David Acsaraya - Ingeniería de Sistemas EVALUACIÓN DE PRUEBAS P04.6 DOMINIO: PI.ANEACION Y ORGANIZACIÓN P04 Delnlción de la otgM11112clóny de la relaciones den P04.6 Responsabilidad por la seguñdad lógica y fisica REVISION A TRAVES DE: DESCRIPCION DE LA PRUEBA EVALUACION DOCUMENTOS DE SOPORTE RECOMENDACION Ewluación de controles: E»sten políticas que determinen los roles y responsabilidades para todo el personal dentro de la organización con respecto a sistemas de informad6n, control i-.io y seguridad. La Gerencia ha asignado fcrmalmento la responsabili<lad a lo largo de 10da la organización para la lormAaci6n de polltic:as y procedimientos de control interno y seguri<lad (tanlO lógicos como flsioos) a un oficial de seguridad. El oficial de seguridad de la infonnación comprende adecuadamente sus funciones y responsabi.idados y si éstas han mostrado mnsistencia con respecto a la polltica de SE9Jridad de la información de la organización. Las políticas de seguridad de la organización definen claramente las responsabilidades sobre la seg.iridad de ta irmmación "'8 cada propietaro de los activos (por ejemplo, usuarios, admifistración y admilistradores de seguridad) debe Uevar a cabo, Probando que: El personal de segtxidad revisa los sistemas operativos y los sistemas de apicaoión esenciales. Revisión del doOJmento de desaipci6n de funciones. Entrevisto al Gerente de TI. NO EFECTIVO De5a1>ción de Fooáooes del Personal del Departamento do TI. No existen documentos especlñcos sobre rosponsablldados de seguridad. pero se entiende "'º la rasponsablldad la tiene el GeronlO de TI.
David Acsaraya - Ingeniería de Sistemas • Análisis de resultados
David Acsaraya - Ingeniería de Sistemas
David Acsaraya - Ingeniería de Sistemas 7) INFORME FINAL DE AUDITORIA • Carta de entrega del informe • Alcance • Objetivos • Listado de objetivos de control con: – Observación – Riesgo – Recomendación
David Acsaraya - Ingeniería de Sistemas
David Acsaraya - Ingeniería de Sistemas

Recomendados

Trabajo
TrabajoTrabajo
TrabajoVanessa Carolina
 
UPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreoUPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreoJack Daniel Cáceres Meza
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónJack Daniel Cáceres Meza
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoriacesar209935
 
Auditoria en aplicaciones web
Auditoria en aplicaciones webAuditoria en aplicaciones web
Auditoria en aplicaciones webJuan Carlos Pérez Pardo
 
Plandecontingencia
PlandecontingenciaPlandecontingencia
PlandecontingenciaMiguel Diaz
 
redes y seguridad Evidencias 2
redes y seguridad Evidencias 2redes y seguridad Evidencias 2
redes y seguridad Evidencias 2Carlos Andres Perez Cabrales
 

Recomendados

Trabajo
TrabajoTrabajo
TrabajoVanessa Carolina
 
UPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreoUPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreoJack Daniel Cáceres Meza
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónJack Daniel Cáceres Meza
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoriacesar209935
 
Auditoria en aplicaciones web
Auditoria en aplicaciones webAuditoria en aplicaciones web
Auditoria en aplicaciones webJuan Carlos Pérez Pardo
 
Plandecontingencia
PlandecontingenciaPlandecontingencia
PlandecontingenciaMiguel Diaz
 
redes y seguridad Evidencias 2
redes y seguridad Evidencias 2redes y seguridad Evidencias 2
redes y seguridad Evidencias 2Carlos Andres Perez Cabrales
 
Portafolio adm cen_comp
Portafolio adm cen_compPortafolio adm cen_comp
Portafolio adm cen_compkratos205
 
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQAASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQApabloreyes154
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informaticaAd Ad
 
Auditoria+de+la+seguridad
Auditoria+de+la+seguridadAuditoria+de+la+seguridad
Auditoria+de+la+seguridadPaook
 
Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 UNEFA
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 
Fase de Ejecucion
Fase de EjecucionFase de Ejecucion
Fase de Ejecucionandersonrincones
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAfauscha
 
Metodología crmr
Metodología crmrMetodología crmr
Metodología crmrEdison Narvaez
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicacionesAndres Reyes
 
Tipos de auditoria informática
Tipos de auditoria informáticaTipos de auditoria informática
Tipos de auditoria informáticaEliana Marisol Monroy Matallana
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 
Administración de riesgos en informatica
Administración de riesgos en informaticaAdministración de riesgos en informatica
Administración de riesgos en informaticargabrielnaranjo
 
Auditoria Centro computo
Auditoria Centro computoAuditoria Centro computo
Auditoria Centro computokmiloguitar
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaJaider Quintero
 
Analisis y evaluación de riesgos de las plataformas educativas
Analisis y evaluación de riesgos de las plataformas educativasAnalisis y evaluación de riesgos de las plataformas educativas
Analisis y evaluación de riesgos de las plataformas educativasMiguel Acuña
 
Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuela
Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuelaAuditoria-metodologia agil-proyecto de auditoria-auditoria de escuela
Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuelamarimallol
 
Maricarmen
MaricarmenMaricarmen
MaricarmenItzeliithaa Bonyz
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informáticaNatii Rossales Hidrobo
 
Metodos de Auditoría Informatica 2
Metodos de Auditoría Informatica 2Metodos de Auditoría Informatica 2
Metodos de Auditoría Informatica 2UNEFA
 
redes y seguridad semana 2
redes y seguridad semana 2redes y seguridad semana 2
redes y seguridad semana 2Carlos Andrés Pérez Cabrales
 
Auditoria+de+la+seguridad
Auditoria+de+la+seguridadAuditoria+de+la+seguridad
Auditoria+de+la+seguridadPaook
 

Más contenido relacionado

La actualidad más candente

Portafolio adm cen_comp
Portafolio adm cen_compPortafolio adm cen_comp
Portafolio adm cen_compkratos205
 
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQAASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQApabloreyes154
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informaticaAd Ad
 
Auditoria+de+la+seguridad
Auditoria+de+la+seguridadAuditoria+de+la+seguridad
Auditoria+de+la+seguridadPaook
 
Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 UNEFA
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAfauscha
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicacionesAndres Reyes
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 
Administración de riesgos en informatica
Administración de riesgos en informaticaAdministración de riesgos en informatica
Administración de riesgos en informaticargabrielnaranjo
 
Auditoria Centro computo
Auditoria Centro computoAuditoria Centro computo
Auditoria Centro computokmiloguitar
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaJaider Quintero
 
Analisis y evaluación de riesgos de las plataformas educativas
Analisis y evaluación de riesgos de las plataformas educativasAnalisis y evaluación de riesgos de las plataformas educativas
Analisis y evaluación de riesgos de las plataformas educativasMiguel Acuña
 
Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuela
Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuelaAuditoria-metodologia agil-proyecto de auditoria-auditoria de escuela
Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuelamarimallol
 
Metodos de Auditoría Informatica 2
Metodos de Auditoría Informatica 2Metodos de Auditoría Informatica 2
Metodos de Auditoría Informatica 2UNEFA
 

La actualidad más candente (20)

Portafolio adm cen_comp
Portafolio adm cen_compPortafolio adm cen_comp
Portafolio adm cen_comp
 
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQAASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informatica
 
Auditoria+de+la+seguridad
Auditoria+de+la+seguridadAuditoria+de+la+seguridad
Auditoria+de+la+seguridad
 
Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datos
 
Fase de Ejecucion
Fase de EjecucionFase de Ejecucion
Fase de Ejecucion
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Metodología crmr
Metodología crmrMetodología crmr
Metodología crmr
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicaciones
 
Tipos de auditoria informática
Tipos de auditoria informáticaTipos de auditoria informática
Tipos de auditoria informática
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
 
Administración de riesgos en informatica
Administración de riesgos en informaticaAdministración de riesgos en informatica
Administración de riesgos en informatica
 
Auditoria Centro computo
Auditoria Centro computoAuditoria Centro computo
Auditoria Centro computo
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informática
 
Analisis y evaluación de riesgos de las plataformas educativas
Analisis y evaluación de riesgos de las plataformas educativasAnalisis y evaluación de riesgos de las plataformas educativas
Analisis y evaluación de riesgos de las plataformas educativas
 
Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuela
Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuelaAuditoria-metodologia agil-proyecto de auditoria-auditoria de escuela
Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuela
 
Maricarmen
MaricarmenMaricarmen
Maricarmen
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informática
 
Metodos de Auditoría Informatica 2
Metodos de Auditoría Informatica 2Metodos de Auditoría Informatica 2
Metodos de Auditoría Informatica 2
 

Similar a Estructura auditoria cobit

Auditoria+de+la+seguridad
Auditoria+de+la+seguridadAuditoria+de+la+seguridad
Auditoria+de+la+seguridadPaook
 
Metodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMetodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMaria Martinez
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de softwarebolacoandres
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1Andres1dz
 
auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redesJerich Chavarry
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de softwarebolacoandres
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de softwarebolacoandres
 
Ejemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docx
Ejemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docxEjemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docx
Ejemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docxDexieCabrera
 
Informe de auditoría creditsol
Informe de auditoría creditsolInforme de auditoría creditsol
Informe de auditoría creditsolRony Celis
 
Introduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complementoIntroduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complementoingenierocj
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informaticaWil Vin
 
Fisica explotacion
Fisica explotacionFisica explotacion
Fisica explotacionUNEFA
 
Lady Alvear Adquisicion e Implementacion.doc
Lady Alvear Adquisicion e Implementacion.docLady Alvear Adquisicion e Implementacion.doc
Lady Alvear Adquisicion e Implementacion.docLadycaro
 
SEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICANallely2017
 

Similar a Estructura auditoria cobit (20)

redes y seguridad semana 2
redes y seguridad semana 2redes y seguridad semana 2
redes y seguridad semana 2
 
Auditoria+de+la+seguridad
Auditoria+de+la+seguridadAuditoria+de+la+seguridad
Auditoria+de+la+seguridad
 
Metodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMetodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastres
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de software
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1
 
CLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinternoCLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinterno
 
auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redes
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de software
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de software
 
Ejemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docx
Ejemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docxEjemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docx
Ejemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docx
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Informe de auditoría creditsol
Informe de auditoría creditsolInforme de auditoría creditsol
Informe de auditoría creditsol
 
Introduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complementoIntroduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complemento
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 
Administracion seguridad
Administracion seguridadAdministracion seguridad
Administracion seguridad
 
Fisica explotacion
Fisica explotacionFisica explotacion
Fisica explotacion
 
Lady Alvear Adquisicion e Implementacion.doc
Lady Alvear Adquisicion e Implementacion.docLady Alvear Adquisicion e Implementacion.doc
Lady Alvear Adquisicion e Implementacion.doc
 
SEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICA
 
Cobit
CobitCobit
Cobit
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramillo
 

Último

Propuesta para la creación de un Centro de Innovación para la Refundación ...
Propuesta para la creación de un Centro de Innovación para la Refundación ...Propuesta para la creación de un Centro de Innovación para la Refundación ...
Propuesta para la creación de un Centro de Innovación para la Refundación ...Dr. Edwin Hernandez
 
clases de porcinos generales de porcinos
clases de porcinos generales de porcinosclases de porcinos generales de porcinos
clases de porcinos generales de porcinosDayanaCarolinaAP
 
COMPEDIOS ESTADISTICOS DE PERU EN EL 2023
COMPEDIOS ESTADISTICOS DE PERU EN EL 2023COMPEDIOS ESTADISTICOS DE PERU EN EL 2023
COMPEDIOS ESTADISTICOS DE PERU EN EL 2023RonaldoPaucarMontes
 
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdfECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdffredyflores58
 
PPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfPPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfalexquispenieto2
 
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxProcesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxJuanPablo452634
 
desarrollodeproyectoss inge. industrial
desarrollodeproyectoss inge. industrialdesarrollodeproyectoss inge. industrial
desarrollodeproyectoss inge. industrialGibranDiaz7
 
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASTEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASfranzEmersonMAMANIOC
 
NTP- Determinación de Cloruros en suelos y agregados (1) (1).pptx
NTP- Determinación de Cloruros en suelos y agregados (1) (1).pptxNTP- Determinación de Cloruros en suelos y agregados (1) (1).pptx
NTP- Determinación de Cloruros en suelos y agregados (1) (1).pptxBRAYANJOSEPTSANJINEZ
 
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONALCHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONALKATHIAMILAGRITOSSANC
 
Comite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptxComite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptxClaudiaPerez86192
 
Controladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y VentajasControladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y Ventajasjuanprv
 
01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt
01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt
01 MATERIALES AERONAUTICOS VARIOS clase 1.pptoscarvielma45
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfKEVINYOICIAQUINOSORI
 
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaSesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaXimenaFallaLecca1
 
hitos del desarrollo psicomotor en niños.docx
hitos del desarrollo psicomotor en niños.docxhitos del desarrollo psicomotor en niños.docx
hitos del desarrollo psicomotor en niños.docxMarcelaArancibiaRojo
 
osciloscopios Mediciones Electricas ingenieria.pdf
osciloscopios Mediciones Electricas ingenieria.pdfosciloscopios Mediciones Electricas ingenieria.pdf
osciloscopios Mediciones Electricas ingenieria.pdfIvanRetambay
 
INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICA
INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICAINTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICA
INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICAJOSLUISCALLATAENRIQU
 
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADO
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADOPERFORACIÓN Y VOLADURA EN MINERÍA APLICADO
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADOFritz Rebaza Latoche
 

Último (20)

VALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdf
VALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdfVALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdf
VALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdf
 
Propuesta para la creación de un Centro de Innovación para la Refundación ...
Propuesta para la creación de un Centro de Innovación para la Refundación ...Propuesta para la creación de un Centro de Innovación para la Refundación ...
Propuesta para la creación de un Centro de Innovación para la Refundación ...
 
clases de porcinos generales de porcinos
clases de porcinos generales de porcinosclases de porcinos generales de porcinos
clases de porcinos generales de porcinos
 
COMPEDIOS ESTADISTICOS DE PERU EN EL 2023
COMPEDIOS ESTADISTICOS DE PERU EN EL 2023COMPEDIOS ESTADISTICOS DE PERU EN EL 2023
COMPEDIOS ESTADISTICOS DE PERU EN EL 2023
 
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdfECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
 
PPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfPPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdf
 
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxProcesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
 
desarrollodeproyectoss inge. industrial
desarrollodeproyectoss inge. industrialdesarrollodeproyectoss inge. industrial
desarrollodeproyectoss inge. industrial
 
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASTEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
 
NTP- Determinación de Cloruros en suelos y agregados (1) (1).pptx
NTP- Determinación de Cloruros en suelos y agregados (1) (1).pptxNTP- Determinación de Cloruros en suelos y agregados (1) (1).pptx
NTP- Determinación de Cloruros en suelos y agregados (1) (1).pptx
 
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONALCHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
 
Comite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptxComite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptx
 
Controladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y VentajasControladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y Ventajas
 
01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt
01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt
01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdf
 
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaSesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
 
hitos del desarrollo psicomotor en niños.docx
hitos del desarrollo psicomotor en niños.docxhitos del desarrollo psicomotor en niños.docx
hitos del desarrollo psicomotor en niños.docx
 
osciloscopios Mediciones Electricas ingenieria.pdf
osciloscopios Mediciones Electricas ingenieria.pdfosciloscopios Mediciones Electricas ingenieria.pdf
osciloscopios Mediciones Electricas ingenieria.pdf
 
INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICA
INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICAINTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICA
INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICA
 
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADO
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADOPERFORACIÓN Y VOLADURA EN MINERÍA APLICADO
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADO
 

Estructura auditoria cobit

  • 1. David Acsaraya - Ingeniería de Sistemas ESTRUCTURA DE LA AUDITORIA BASADA EN COBIT Objetivo: Establecer los pasos ha seguir y los entregables de una auditoría basada en COBIT
  • 2. David Acsaraya - Ingeniería de Sistemas 1) SITUACION ACTUAL DE LA EMPRESA • Misión • Visión • Entorno general de la empresa
  • 3. David Acsaraya - Ingeniería de Sistemas 2) SELECCIÓN DE RECURSOS DE TI • Recursos de Hardware • Recursos de software • Aplicaciones • Software en general • Recursos de comunicaciones • Recursos Humanos • Recursos de infraestructura
  • 4. David Acsaraya - Ingeniería de Sistemas Mal uso de No existe un Servidores recursos y documento específico no 3) ANALISIS DE RIESGOS DE TI MATRIZ DE EVALUACION DE RIESGOS Nivel de Recurso Amenaza Vulnerabilidad Control Existente Impacto Probabilidad Riesgo Recomendación El dorumento de El documento actual Establecer un Servidores y Mal uso de políticas de TI no procedimiento de PC recursos cuenta con un proceso de revisión definido. ~ políticas actualizado. no Bajo Media Bajo actualización periódica del documento. Acceso no El dorumento de El documento actual Establecer un Servidores y autorizado a políticas de TI no de políticas Bajo Media Bajo procedimiento de PC información cuenta con un proceso actualización periódica confidencial de revisión definido. actualizado. del dorumento. Equipos de El dorumento de El documento actual Establecer un conexión de Mal uso de políticas de TI no de políticas no Medio Media Medio procedimiento de red recursos cuenta con un proceso actualizado. actualización periódica de revisión definido. del documento. y Definir un documento Ninguno Alto Media Medio de políticas de
  • 5. David Acsaraya - Ingeniería de Sistemas PC acceso no de políticas de seguridad para TI. autorizado seguridad de TI. Equipos de No existe un Definir un documento conexión de Mal uso de documento específico Ninguno Alto Media Medio de políticas de red recursos de políticas de seguridad para TI. seguridad de TI.
  • 6. David Acsaraya - Ingeniería de Sistemas Recurso Amenaza Vulnerabilidad Control Existente Impacto Probalj idad Nivel de Riesgo Enlaces UffimaMlla Ataque a la red y mal uso de recursos No e~ste un procedimiento fonnal para reportar losincidentes de seguridadpor los canales de administración apropiados tan pronto como sea posible. Reportes informales. Alto Baja Bajo Establecer un procedimiento de formal para reportar incidentes de segundad. PC Carga de software malicioso No e~ste un procedimiento para verificar todos los boletines de advertencia e infonnatrvos oon respecto al uso de software malicioso. Se define usuanos con perfil limitado. Bajo Media Bajo Recomendación Verificar periódicamente los boletines y dar a conocer a los usuarios.
  • 7. David Acsaraya - Ingeniería de Sistemas 4) PLAN DE AUDITORIA • Alcance • Objetivos de la auditoría • Identificación de los Dominios, Procesos y objetivos de control Cobit aplicables
  • 8. David Acsaraya - Ingeniería de Sistemas P04 Planificación y Definición de la Organización Relaciones de TI. y p s X Organización P06 Comunicación de la Dirección Aspiraciones Gerenciales. y p X POS Asegurar de cumplimiento de requerimientos extemos. p s XX X P09 Evaluación de Riesgos. SSPPPSS XXX X X 052 Administrar servicios de terceros PPSSSSS XXXX X 054 Asegurar continuidad de servicio PS XXXX X Entrega de Servicios y 055 Garantizar la seguridad de sistemas P P SS XXXX X 059. Administración de la Configuración. P s XX X 0511 Administración de Datos p p X OBJETIVOS DE CONTROL COBIT-CRITERIOS Y RECURSOS TI AFECTADOS Criterios de Información Recursos de TI DOMINIO PROCESO s p Adquisición e Al3 Implementación Adquirir y mantener la arquitectura tecnológica p p s X P S Soporte s •Descripción de herramientas, documentos, estándares, directrices,
  • 9. David Acsaraya - Ingeniería de Sistemas etc
  • 10. David Acsaraya - Ingeniería de Sistemas 5) PUESTA EN MARCHA DE LA AUDITORIA • Por cada objetivo de control de COBIT identificar los factores de riesgo
  • 11. David Acsaraya - Ingeniería de Sistemas
  • 12. David Acsaraya - Ingeniería de Sistemas DOMINIO: ADQUISICION E IMPLEMEN Al3Adquisicióny Mantenimientode la Infraestructura Tecnológica TACION Se refiere a la seguridad apropiadapara la infraestructura tecnológica (hardware y software) quetiene que ver con la actualización, mantenimiento y adquisición. OBJETIVO DE CONTROL DETALLADO FACTORES DE RIESGO Al3.2 Mantenimiento preventivo para hardware La Gerencia de la función de servicios de información deberá agendar o programarel mantenimiento rutinario y periódico del hardware oon el fin de reducir la frea.1encia y el impacto de fallas de rendimento. r Daño permanente de los equipos. r Fallo en el servido en caso de dañosde equipos de interoonexión. r lnaemento de gastos por reparación de equipos. ,, Usuarios insatisfechos.
  • 13. David Acsaraya - Ingeniería de Sistemas • Elaboración de matriz de pruebas para cada objetivo de control DOMINIO: PLANEACION Y ORGANIZACIÓN P04 Definición de ta organización y de tas relaciones de TI OBJETIVO DE CONTROL DETALLADO REVISION A TRAVES DE: DESCRIPCION DE LA PRUEBA P04.6 Responsabilidad por la seguridad lógica y física La Gerencia deberá asignar formalmente la responsabilidad de la seguridad lógica y física de los activos de información de la organización a un Gerente de seguridad de la información, quien reportará a la alta gerencia. Como mínimo, la responsabilidad de la Gerencia de seguridad deberá establecerse a todos los niveles de la organización para manejar los problemas generales de seguridad en la organización. En caso necesario, deberán asignarse responsabilidades gerenciales de seguridad adicionales a niveles específicos con el fin de resolver los problemas de seguridad relacionados con ellos. Evaluaciónde controles: Existen políticas que determinen los roles y responsabilidades para todo el personal dentro de la organización con respecto a sistemas de información, control interno y seguridad. La Gerencia ha asignado formalmente la responsabilidad a lo largo de toda la organización para la formuladóo de políticas y procedimientos de control interno y seguridad (tanto lógicos como físicos) a un oficial de seguridad. El oficial de seguridad de la información comprende adecuadamente sus funciones y responsabilidades y si éstas han mostrado consistencia con respecto a la política de seguridad de la información de la organización. Las políticas de seguridad de la organizadoo definen claramente las responsabilidades sobre la seguridad de la iníornacóo que cada propietario de los activos (por ejemplo, usuarios,administración y administradores de seguridad) debe llevar a cabo. Revisioo del documento de descripción de funciones. Entrevista al Gerente de TI.
  • 14. David Acsaraya - Ingeniería de Sistemas DOMINIO: ADQUISICION E IMPLEMENTACION AJ3 Adquisición y 11-,tenlm/entode la lnfr-ructur• Tecnológica OBJETIVO DE CONTROL DETALLADO REVISION A TRA VES DE: DESCRIPCION DE LA PRUEBA Al3..2 Martonlmlonto preventivo porta hardWare La Gerencia de la fundón de servicios de infonnación deberá agendar o programar el mantenimiento rutslario y periódico del hardware oon el m de reducir la frecuencia y el impacto de fallas de rendiniento. E.eluación de controles: Existen polltlcas y procedimientos para el mantenimiento preventiw de hardware (tantO el ope111do por la función de servicios de información a,mo por las funciones de los usuarios Entrevista al Gerente da TI. afectados) pe111 redueo-la frecuencia y el impacto de las faUas de Revisión del Contrato desempeno Se o..impkt con los pasos y la frecuencia de de Mantenimiento de mantonirriento preventiw prescrlos por el proveedor para cada Hardware. dispositivo de hardware operado ¡x>r la función de servicicis de ilfamación y los usuarios afectados se adhieren a elos. Probando qve: El calendaño de mantenimiento preventivo asegura que el mantenimiento de hardwareprogramado no tendrá ningün impacto negativosobre aplicaciones aitic:as o sensitivas. El mantenimiento programado asegLWa que no ha sido planeado pe111 periodos pico de carga de trabajo y que la función de servicios de informadón y las operaciones de los grupos de usuarios afectados son suficientemente ftexl)les para adaptar el mantenimiento pre11Gntlw n.rtinario planeado. L " o 'º s programas operativos de servicios de información asegu111n existen las preparaciones -cuadas para manejar anticipadamente los tiempos muertos de hardware ocasionados por mantenirrientono programado. •Recolección de documentación: manuales, procedimientos, funciones
  • 15. David Acsaraya - Ingeniería de Sistemas 6) RESULTADOS DE LA APLICACIÓN DE LA AUDITORIA • Cuadros de evaluación para cada uno de los objetivos de COBIT EVALUACIÓN DE PRUEBAS P04.10 ,.... DOMINIO: PLANEACION Y ORGANIZACIÓN P04 De•nlclón de i,, OfVMll:mclón y de /a ,.,,,clones de TI P04.10Segregación do funciones REVISION A TRAVES DE: DESCRIPCION DE LA PRUEBA EVALUACION DOCUMENTOS DE SOPORTE RECOMENDACION
  • 16. David Acsaraya - Ingeniería de Sistemas Evallación do controles: Existen politicas y procedimiontos que describan las prádicas de supervisión para asegurar que las funciones y resporasabilidados sean ojorcidas apropiadamentey que todo el personal cuente con suficiente autoridad y recursos para llevar a cabo sus ñ.Mlcionesy responsabilidades. Existe una segregación de funciones entre los siguientes pares de unida.dos: . desarrollo y mantenimiento de sistemas . desarrollo y operaciones de sistemas . desarrollo/mantenimiento de sistemas y ~ñdad de la información. . operaciones y control de datos . operaciones y usuarios . operaciones y seguridad de la infonnación Probando que: Las descripciones de los puestos de trabajo tienen claramente delimttada tanto la autoridad como la resporasabilidad. La naturaleza y el alcance de la suficiencia de la segregación de funciones deseada y de las limitaciones de funciones dentro de TI. Revisión del dowmento Oescripcióo de Funciones del Departa mento de Sistemas. Entrevista al Gerente de TI. EFECTIVO Descripción de Funciones del Personal del De partamento de TI.
  • 17. David Acsaraya - Ingeniería de Sistemas EVALUACIÓN DE PRUEBAS P04.6 DOMINIO: PI.ANEACION Y ORGANIZACIÓN P04 Delnlción de la otgM11112clóny de la relaciones den P04.6 Responsabilidad por la seguñdad lógica y fisica REVISION A TRAVES DE: DESCRIPCION DE LA PRUEBA EVALUACION DOCUMENTOS DE SOPORTE RECOMENDACION Ewluación de controles: E»sten políticas que determinen los roles y responsabilidades para todo el personal dentro de la organización con respecto a sistemas de informad6n, control i-.io y seguridad. La Gerencia ha asignado fcrmalmento la responsabili<lad a lo largo de 10da la organización para la lormAaci6n de polltic:as y procedimientos de control interno y seguri<lad (tanlO lógicos como flsioos) a un oficial de seguridad. El oficial de seguridad de la infonnación comprende adecuadamente sus funciones y responsabi.idados y si éstas han mostrado mnsistencia con respecto a la polltica de SE9Jridad de la información de la organización. Las políticas de seguridad de la organización definen claramente las responsabilidades sobre la seg.iridad de ta irmmación "'8 cada propietaro de los activos (por ejemplo, usuarios, admifistración y admilistradores de seguridad) debe Uevar a cabo, Probando que: El personal de segtxidad revisa los sistemas operativos y los sistemas de apicaoión esenciales. Revisión del doOJmento de desaipci6n de funciones. Entrevisto al Gerente de TI. NO EFECTIVO De5a1>ción de Fooáooes del Personal del Departamento do TI. No existen documentos especlñcos sobre rosponsablldados de seguridad. pero se entiende "'º la rasponsablldad la tiene el GeronlO de TI.
  • 18. David Acsaraya - Ingeniería de Sistemas • Análisis de resultados
  • 19. David Acsaraya - Ingeniería de Sistemas
  • 20. David Acsaraya - Ingeniería de Sistemas 7) INFORME FINAL DE AUDITORIA • Carta de entrega del informe • Alcance • Objetivos • Listado de objetivos de control con: – Observación – Riesgo – Recomendación
  • 21. David Acsaraya - Ingeniería de Sistemas
  • 22. David Acsaraya - Ingeniería de Sistemas