TESIS PREVIA A LA OBTENCION DEL TITULO DE MASTER EN CONTABILIDAD Y AUDITORIA CONTADOR PUBLICO (CPA)
TEMA:
APLICACION DEL MODELO COBIT (Control Objectives For Information and Related Technology) EN LA AUDITORIA DE SISTEMAS. CASO PRACTICO
AUTOR:
DIEGO RAMON CEVALLOS AGUILAR
DIRECTOR DE TESIS:
M.F.E. MARICELA GALARZA M.
JUNIO 2003
AGRADECIMIENTO
Nada de lo que vale la pena hacer puede hacerse solo, sino que debe hacerse en colaboracin con otros. Por ello deseo expresar mi profundo agradecimiento al grupo de personas cuya orientacin y apoyo resultaron imprescindibles para la realizacin de esta tesis.
De manera especial mi agradecimiento a la Seora Adriana Snchez, Supervisora GTS, quien con su apoyo tcnico ha facilitado la ejecucin del presente trabajo.
Tambin, un agradecimiento a la Universidad Tecnolgica Equinoccial y de manera muy especial a Maricela Galarza Directora de Tesis, quien orient mi trabajo y permiti lograr una coherencia a lo largo de cada uno de los captulos.
Por ltimo, nuestro eterno agradecimiento a Dios, mis hijos y esposa quienes siempre estuvieron junto a m para apoyarme y comprender en todos los momentos.
i
DEDICATORIA
A mi padre quin durante este perodo de estudios enfrent una situacin difcil, pero con la bendicin y Confianza en Dios nos demostr valor y actitud para salir adelante.
Mi padre quien es el artfice de mi formacin y con quien compartiremos todos los xitos.
DIEGO R. CEVALLOS A. ii
CONTENIDO CAPITULO 1 - AUDITORIA INFORMATICA 1.1. INTRODUCCION. 1 1.2. EL PROCESO DE LA AUDITORIA INFORMATICA...... 3 1.2.1. PLANIFICACION DE LA AUDITORIA INFORMATICA 4 1.2.2. EJECUCION DE LA AUDITORIA INFORMATICA. 5 1.2.3. FINALIZACION DE LA AUDITORIA INFORMATICA.. 5 1.3. CLASIFICACION DE LOS CONTROLES IT 7 1.3.1. CONTROLES DE APLICACION 7 1.3.2. CONTROLES GENERALES 8 CAPITULO 2 MODELO COBIT 2.1. INTRODUCCION 9 2.2. CONTENIDO (PRODUCTOS COBIT) 10 2.3. ALCANCE Y RESUMEN EJECUTIVO COBIT 11 2.4. MARCO REFERENCIAL 14 2.5. OBJETIVOS DE CONTROL 21 CAPITULO 3 CASO PRACTICO 3.1. LA EMPRESA SUJETO DE ESTUDIO 23 3.1.1. DESCRIPCION DE FUNCIONES DEL NIVEL DIRECTIVO. 25 3.1.2. ESTRUCTURA ORGANIZATIVA DEL AREA DE SISTEMAS 26 3.1.3. CARACTERISTICAS DE LOS SISTEMAS Y AMBIENTE COMPUTARIZADO 28 3.2. APLICACION DEL MODELO COBIT... 31 3.2.1. JUSTIFICACION DE LA APLICACION DE COBIT 31 3.2.2. PLANIFICACION DEL TRABAJO (PROPUESTA).. 32 3.2.2.1. OBJETIVO... 32 3.2.2.2. ALCANCE... 32 3.2.2.3. METODO DE TRABAJO Y PROCEDIMIENTOS A EJECUTAR. 33 3.2.2.4. PRODUCTOS A ENTREGAR Y PRESUPUESTO 38 3.2.2.5. HERRAMIENTAS A UTILIZAR 38 3.3. EJECUCION DEL TRABAJO. 39 3.3.1. IDENTIFICACIN DE RIESGOS IT CRTICOS 39 iii
3.3.1.1. ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMAS. 40 3.3.1.1.1 ESTRUCTURA DE PERSONAL 40 3.3.1.1.2 EVALUACIN DE GESTIN... 40 3.3.1.1.3 ATENCIN AL USUARIO 41 3.3.1.2. GESTIN DE LOS SISTEMAS INFORMTICOS. 42 3.3.1.2.1 DESARROLLO, OPERACIN Y MANTENIMIENTO DE APLICACIONES 42 3.3.1.2.2 ADMINISTRACIN DE LAS BASES DE DATOS (DBA). 43 3.3.1.2.3 GESTIN Y EXPLOTACIN DE LAS APLICACIONES.. 44 3.3.1.3. PLATAFORMAS Y COMUNICACIONES 45 3.3.1.3.1 PLATAFORMA TECNOLGICA, REDES Y COMUNICACIONES. 45 3.3.1.4. EVALUACIN DE SEGURIDADES Y PROCEDIMIENTOS DE CONTINUIDAD 46 3.3.1.4.1 SEGURIDADES: FSICAS, LGICAS Y DE COMUNICACIONES.. 47 3.3.1.4.2 PLAN DE CONTINGENCIAS 49 3.3.2. CONFIRMACIN DE RIESGOS CRTICOS IT CON LA ADMINISTRACIN.. 50 CAPITULO 4 INFORME Y RESULTADOS DEL CASO PRACTICO 4.1. 4.2. 4.3. 4.4. INTRODUCCION. 51 RESUMEN EJECUTIVO.. 53 DESCRIPCION DEL TRABAJO EFECTUADO. 54 RESULTADOS INFORME DE LAS RECOMENDACIONES ACORDADAS CON LA ADMINISTRACION. 54 ANEXOS iv
CAPITULO 1 AUDITORIA INFORMATICA
1.1. INTRODUCCION
Una de las caractersticas o principales rasgos de las sociedades avanzadas es el caudal de informacin que se desprende. Para que dicha informacin, suponga una respuesta adecuada, es decir, sea la correcta, es necesario que est adornada de ciertas garantas que haga creer en ella, es necesario que una tercera persona, como es el auditor nos garantice que se puede creer esa informacin. A pesar de que la Auditora ha existido siempre, la auditoria, tal y como nosotros la podemos entender data en torno a la revolucin industrial. El concepto de auditora ha evolucionado en tres fases: 1) A principios de la revolucin industrial, no hay grandes transacciones, la misin del auditor era buscar si se haba cometido fraude en ese negocio, estos negocios eran pequeos. 2) Las empresas son ms grandes, se comienza a separar el capital y la propiedad del negocio, es decir, la Administracin. El auditor sin dejar de hacer lo que realizaba en la primera fase, tiene una nueva actividad que es la de verificar, certificar, la informacin de esos administradores. 3) Aparecen nuevas tecnologas, ordenadores, etc. Las transacciones a lo largo del ao son bastante voluminoso. Esto hace que el Auditor revise las cuentas, el sistema de control interno de la empresa. Sigue revisando que la informacin contable refleja la imagen fiel de la empresa conforme a lo acontecido y revisa adems el control del sistema interno de la empresa. Bajo estas consideraciones, existen diferente criterios para clasificar la auditora, sin embargo, conceptos modernos permiten identificar globalmente los siguientes tipos de auditora: Auditora Financiera Es el examen o verificacin de los estados contables, llevada a cabo por profesionales competentes y mediante la aplicacin de procedimientos sujetos a normas de auditores aceptadas, que se plasma en un documento que se llama informe de auditora y donde se muestra la situacin financiera de la empresa, el resultado de sus operaciones, la conformidad de los principios contables aceptados. 1
Auditoria Operativa Es la valoracin independiente de todas las operaciones de una empresa, en forma analtica objetiva y sistemtica, para determinar si se llevan a cabo. Polticas y procedimientos aceptables; si se siguen las normas establecidas si se utilizan los recursos de forma eficaz y econmica y si los objetivos de la Organizacin se han alcanzado para as maximizar resultados que fortalezcan el desarrollo de la empresa. Auditora de Gestin La auditoria de gestin, es el examen sistemtico y profesional, efectuado por un equipo multidisciplinario, con el propsito de evaluar la eficacia de la gestin de una entidad, programa, proyecto u operacin, con relacin a sus objetivos y metas; de determinar el grado de economa y eficiencia en el uso de los recursos disponibles; y, de medir la calidad de los servicios, obras o bienes ofrecidos, y, el impacto socio-econmico derivado de sus actividades. Auditora Informtica La auditora informtica consiste en la revisin de controles generales, centros de cmputo y seguridad, recuperacin de desastres, revisin de sistemas operativos y de controles en las aplicaciones, por medio de la ejecucin de procedimientos y tcnicas de auditora de sistemas. (Segn A.J.Thomas) Es el estudio de sistemas, controles organizativos y operativos de la informtica. (Segn Miguel ngel Ramn) Es la revisin de la informtica y su entorno - Anlisis de riesgo - Planes de contingencia - Desarrollo de aplicaciones - Paquetes de seguridad - Revisin de estndares, controles y cumplimiento - Evaluacin de la gestin de los recursos informticos Con estos antecedentes y basados en el permanente desarrollo tecnolgico las compaas han visto la necesidad de implantar sistemas de informacin que manejen y automaticen las distintas actividades operativas, estructurando ambientes tecnolgicos cada vez ms complejos. Aspectos como: - Alta sistematizacin de las organizaciones - Nuevas tecnologas 2
- Automatizacin de los controles - Integracin de la Informacin - Importancia de la informacin para la toma de decisiones Exponen a las organizaciones a nuevos riesgos que deben ser adecuadamente administrados. Esta situacin incrementa la necesidad de contar con personal especializado en la identificacin, administracin y evaluacin de controles tendientes a minimizar los riesgos a los cuales organizaciones con alto nivel de automatizacin y complejas estructuras se exponen. Por lo tanto, la participacin de especialistas o auditores informticos se hace cada vez ms necesaria para: - Apoyar en el cumplimiento de los objetivos y metas de la organizacin - Colaborar en el cumplimiento de los procesos de planeacin, desarrollo, mantenimiento y operacin de los sistemas procesados por computador. - Evaluar la satisfaccin de los usuarios, las medidas de seguridad existente y la exactitud y razonabilidad de los datos procesados. Obtener mayor valor agregado del trabajo de auditora de sistemas requiere no solamente entender la organizacin, sino los riesgos principales a los cuales se enfrenta la gerencia, el ambiente IT 1 y las diversas necesidades de los usuarios. Estas necesidades determinan el perfil del riesgo del rea IT y el enfoque estratgico, organizacin, recursos y prcticas de un departamento de sistemas eficiente. El resultado es una evaluacin de sistemas a medida y enfocada estratgicamente hacia los riesgos y objetivos propios del Area de Sistemas. El objetivo principal de este captulo es brindar una idea de los aspectos de control que podr encontrar en los diversos sistemas electrnicos de procesamiento de datos (EDP 2 )actualmente en uso. El desarrollo acelerado de la tecnologa de computacin y la significativa expansin del uso de computadores para realizar tareas contables, ha aumentado considerablemente la necesidad que se tiene de conocer en profundidad los diversos sistemas de computacin comnmente en uso y los correspondientes procedimientos de control.
1.2. EL PROCESO DE AUDITORIA INFORMATICA
1 IT: INFORMATION TECHNOLOGY Tecnologa de Informacin 3
Auditora informtica es (i)la revisin y la evaluacin de los controles, sistemas y procedimientos de informtica; (ii) de los equipos de cmputo, su utilizacin, eficiencia y seguridad, y (iii) de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. La auditora informtica debe comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. La auditora informtica es de vital importancia para el buen desempeo de los sistemas de informacin ya que proporciona los controles necesarios para que los sistemas sean confiables y que tengan un buen nivel de seguridad.
1.2.1. PLANIFICACION DE LA AUDITORIA INFORMATICA El auditor de sistemas de informacin deber planificar el trabajo de auditora de los sistemas de informacin para satisfacer los objetivos de la auditora y para cumplir con las normas aplicables de auditora profesional. Para realizar una adecuada planeacin de la auditora informtica, es necesario seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas del rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. En el caso de la auditora informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos: Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso realizar una investigacin preliminar y algunas entrevistas previas, y con base en la informacin obtenida planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
4
2 EDP: ELECTRONIC DATA PROCESSING - Se utilizar en adelante dicha sigla al hacerse referencia al "Procesamiento Electrnico de Datos".
En todo proceso de auditora informtica tanto interna como externa, es necesario iniciar con una planificacin preliminar cuyo objetivo principal es ayudar al proceso de determinacin de la estrategia para cada ciclo auditable (en el caso de auditora externa) y/o proporcionar informacin para la Evaluacin de Riesgo que permita determinar el enfoque del trabajo (en el caso de auditora interna/consultora). La planificacin preliminar permitir conocer: - Nivel de Automatizacin de las organizaciones. - Deficiencias en los controles sobre la funcin de IT. - Indicios de problemas fundamentales en relacin con la calidad de la informacin gerencial que podran cuestionar la confiabilidad de los controles. - El impacto que tienen los cambios en los sistemas o en los ambientes computadorizados. - El grado de participacin de especialistas en sistemas. - La evaluacin y clasificacin de los Riesgos IT (Alto, Medio, Bajo) que permitan determinar el enfoque de trabajo en funcin de las reas de riesgo identificadas.
1.2.2. EJECUCION DE LA AUDITORIA INFORMATICA Las fases o etapas a seguir durante la ejecucin de una auditora informtica estarn en funcin del objetivo del proyecto, es decir, el mtodo de trabajo se lo definir acorde a las expectativas y alcance que se esperan alcanzar. En la etapa de ejecucin el personal de auditora de sistemas de informacin debe recibir la supervisin apropiada para proporcionar la garanta de que se cumpla con los objetivos de la auditora. Durante el transcurso de una auditora, el auditor de sistemas de informacin deber obtener evidencia suficiente, confiable, relevante y til para lograr de manera eficaz los objetivos de la auditora. Los hallazgos y conclusiones de la auditora se debern apoyar por medio de un anlisis e interpretacin apropiados de dicha evidencia.
1.2.3. FINALIZACION DE LA AUDITORIA INFORMATICA Los informes a generar en un proyecto de auditora informtica dependern de las necesidades y resultados esperados, es decir, los proyectos de consultora basados en la ejecucin de procedimientos de auditora informticas generan los resultados (informes) con la estructura acordada previamente con los usuarios de los informes. 5
El proceso de emisin de informes en un trabajo de Auditora Informtica puede ser analizado bajo los siguientes estndares:
AICPA (Instituto Americano de Contadores Pblicos Certificados) Los estndares profesionales del AICPA hacen referencia la norma CS 100 (Consulting Services Servicios de Consultora) aplicables para contadores en la cual se especifica la naturaleza del informe a emitir en este tipo de servicios: CS Seccin 100 .02 Los servicios de consultora se diferencian fundamentalmente de las funciones del CPA por atestiguar (attest) de las aserciones de terceros. En un servicio attest, se expresa una conclusin relacionada a la confiabilidad de una asercin realizada bajo la responsabilidad de otro grupo. En un servicio de consultora, el practicante informa los hallazgos, conclusiones y recomendaciones presentadas. La naturaleza y el alcance del trabajo es determinado solamente por un acuerdo entre el practicante y el cliente. Generalmente, el trabajo es realizado nicamente para uso y beneficio del cliente.
ISACA (Asociacin de Auditora y Control de Sistemas de Informacin) Los normas promulgadas por la Asociacin de Auditora y Control de Sistemas de Informacin son aplicables al trabajo de auditora informtica realizado por miembros ISACA y por las personas que han recibido la designacin de Auditor de Sistemas de Informacin Certificado (CISA). Con relacin al informe a emitir la Asociacin menciona: 070 Informes En el momento de completar el trabajo de auditora, el auditor de sistemas de informacin deber proporcionar un informe, de formato apropiado, a los destinatarios en cuestin. El informe de auditora deber enunciar el alcance, los objetivos, el perodo de cobertura y la naturaleza y amplitud del trabajo de auditora realizado. El informe deber identificar la organizacin, los destinatarios en cuestin y cualquier restriccin con respecto a su circulacin. El informe deber enunciar los hallazgos, las conclusiones y las recomendaciones, y cualquier reserva o consideracin que tuviera el auditor 6
respecto a la auditora.
1.3. CLASIFICACION DE LOS CONTROLES IT
Los controles IT se dividen en dos categoras: los que se refieren a un sistema especfico (Controles de Aplicacin), y los que se relacionan con el procesamiento general de datos (Controles Generales).
1.3.1. CONTROLES DE APLICACION Los controles de aplicacin son procedimientos diseados para asegurar la integridad de los registros contables. Los controles de aplicacin brindan soporte directamente a los objetivos de control de integridad, valor correcto, validez y acceso restringido, como se define ms adelante:
Integridad de los registros Los controles sobre la integridad se disean para asegurar que: Todas las transacciones son registradas, introducidas y aceptadas para procesamiento solo por una vez. Todas las transacciones introducidas y aceptadas para procesamiento son actualizadas con los archivos de datos apropiados. Una vez que los datos son actualizados contra el archivo, estos permanecen correctos y corrientes en el archivo, y representan los balances que existen. Valor correcto de los registros Los controles sobre el valor correcto son diseados para asegurar que: Los elementos de datos claves son registrados e introducidos al computador con el valor correcto. Los cambios a los datos existentes son introducidos con el valor correcto. Todas las transacciones introducidas y aceptadas para procesamiento actualizan con precisin el archivo de datos apropiado. Validez de los registros Los controles sobre la validez de los registros son diseados para asegurar que: Las transacciones son autorizadas. 7
Las transacciones no son ficticias y estn relacionadas con el cliente. Los cambios a los datos existentes son autorizados, y una vez introducidos, no son cambiados sin autorizacin. Acceso restringido a los activos y registros Los controles para restringir al acceso son diseados para: Proteger contra enmiendas de datos no autorizadas. Asegurar la confidencialidad de los datos. Proteger los activos fsicos tales como el efectivo y el inventario. Los controles de aplicacin pueden ser procedimientos manuales llevados a cabo por los usuarios de procedimientos automatizados desarrollados por los programas de computacin.
1.3.2. CONTROLES GENERALES Los Controles Generales son Controles diseados e implantados para asegurar que el ambiente computadorizado de la organizacin sea estable y adecuadamente administrado a fin de reforzar la efectividad de los controles de aplicacin. Los controles generales (a veces denominados tambin controles de la organizacin IT) fueron agrupados en las siguientes categoras: Controles sobre la Seguridad de la Informacin Controles sobre la operacin del Computador Controles sobre las Actividades de Mantenimiento de Sistemas Controles sobre el desarrollo e implementacin de nuevos sistemas
8
CAPITULO 2 MODELO COBIT
2.1. INTRODUCCION - MODELO COBIT
La Misin de COBIT: Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores. COBIT ha sido desarrollado como un estndar generalmente aplicable y aceptado para las buenas prcticas de seguridad y control en Tecnologa de Informacin (IT). - COBIT es la herramienta innovadora para el gobierno 3 de IT -. COBIT se fundamenta en los Objetivos de Control existentes de la Information Systems Audit and Control Foundation (ISACF), mejorados a partir de estndares internacionales tcnicos, profesionales, regulatorios y especficos para la industria, tanto existentes como en surgimiento. Los Objetivos de Control resultantes han sido desarrollados para su aplicacin en sistemas de informacin en toda la empresa. El trmino "generalmente aplicables y aceptados" es utilizado explcitamente en el mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o GAAP por sus siglas en ingls). Para propsitos del proyecto, "buenas prcticas" significa consenso por parte de los expertos. Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y responder, en la medida de lo posible, a las necesidades de negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas tcnicas de IT adoptadas en una organizacin. El proporcionar indicadores de desempeo (normas, reglas, etc.), ha sido identificado como prioridad para las mejoras futuras que se realizarn al marco referencial. El desarrollo de COBIT ha trado como resultado la publicacin del Marco Referencial general y de los Objetivos de Control detallados, y le seguirn actividades educativas. Estas actividades asegurarn el uso general de los resultados del Proyecto de Investigacin COBIT. Sin excluir ningn otro estndar aceptado en el campo del control de sistemas de
9
3 Gobierno: Governance. Sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin. Trmino aplicado para definir un control total.
informacin que pudiera emitirse durante el permanente desarrollo, las fuentes para el desarrollo del Modelo COBIT han sido identificadas inicialmente como: Estndares Tcnicos de ISO, EDIFACT, etc.; Cdigos de Conducta emitidos por el Council of Europe, OECD, ISACA, etc.; Criterios de Calificacin para sistemas y procesos de IT: ITSEC, ISO9000, SPICE, lickIT, etc.; Estndares Profesionales para control interno y auditora: reporte COSO, GAO, IFAC, IIA, ISACA, estndares CPA, etc.; Prcticas y requerimientos de la Industria de foros industriales (ESF, 14) y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI); y Nuevos requerimientos especficos de la industria de la banca y manufactura de IT. (Ver Anexo 1 Glosario de Trminos para definiciones de siglas)
2.2. CONTENIDO (PRODUCTOS COBIT)
El desarrollo de COBIT ha resultado en la publicacin de: un Resumen Ejecutivo el cual, adicionalmente a esta seccin de antecedentes, consiste en un Sntesis Ejecutiva (que proporciona a la alta gerencia entendimiento y conciencia sobre los conceptos clave y principios de COBIT) y el Marco Referencial (el cual proporciona a la alta gerencia un entendimiento ms detallado de los conceptos clave y principios de COBIT e identifica los cuatro dominios de COBIT y los correspondientes 34 procesos de IT); el Marco Referencial que describe en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos de negocio para la informacin y los recursos de IT que son impactados en forma primaria por cada objetivo de control; Objetivos de Control, los cuales contienen declaraciones de los resultados deseados o propsitos a ser alcanzados mediante la implementacin de 302 objetivos de control detallados y especficos a travs de los 34 procesos de IT; Guas de Auditora, las cuales contienen los pasos de auditora correspondientes a cada uno de los 34 objetivos de control de IT de alto nivel para proporcionar asistencia a los auditores de sistemas en la revisin de los procesos de IT con respecto a los 302 objetivos detallados de control recomendados para proporcionar a la gerencia certeza o 10
recomendaciones de mejoramiento; un Conjunto de Herramientas de Implementacin, el cual proporciona lecciones aprendidas por organizaciones que han aplicado COBIT rpida y exitosamente en sus ambientes de trabajo. El Conjunto de Herramientas de Implementacin incluye la Sntesis Ejecutiva, proporcionando a la alta gerencia conciencia y entendimiento de COBIT. Tambin incluye una gua de implementacin con dos tiles herramientas - Diagnstico de la Conciencia de la Gerencia 4 y el Diagnstico de Control de TI 5 - para proporcionar asistencia en el anlisis del ambiente de control en IT de una organizacin. Tambin se incluyen varios casos de estudio que detallan como organizaciones en todo el mundo han implementado COBIT exitosamente. Adicionalmente, se incluyen respuestas a las 25 preguntas ms frecuentes acerca de COBIT y varias presentaciones para distintos niveles jerrquicos y audiencias dentro de las organizaciones.
2.3. ALCANCE Y RESUMEN EJECUTIVO 6 COBIT
COBIT evolucionar a travs de los aos y ser el fundamento de investigaciones futuras. Por lo tanto, se generar una familia de productos COBIT y al ocurrir esto, las tareas y actividades que sirven como la estructura para organizar los Objetivos de Control de IT, sern refinadas posteriormente, tambin ser revisado el balance entre los dominios y los procesos a la luz de los cambios en la industria. Las investigaciones y publicaciones han sido posible gracias a contribuciones de Unysis, Unitech Systems, Inc., MIS Training Institute, Zergo, Ltd. y Coopers & Lybrand. El Forum Europeo de Seguridad (European Security Forum -ESF-)
4 Diagnstico de la Conciencia de la Gerencia: Management Awareness Diagnostic 5 Diagnstico de Control de IT: IT Control Diagnostic
6 Acuerdo de Licencia (disclosure) Copyright 1996, 1998 de la Information Systems Audit and Control Foundation (ISACF). La reproduccin para fines comerciales no est permitida sin el previo consentimiento por escrito de la ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el Marco Referencial y los Objetivos de Control para uso interno no comercial, incluyendo almacenamiento en medios de recuperacin de datos y transmisin en cualquier medio, incluyendo electrnico, mecnico, grabado u otro medio. Todas las copias del Resumen Ejecutivo, el Marco Referencial y los Objetivos de Control deben incluir el siguiente reconocimiento y leyenda de derechos de autor: Copyright 1996, 1998 Information Systems Audit and Control Foundation, reimpreso con la autorizacin de la Information Systems Audit and Control Foundation. Ningn otro derecho o permiso relacionado con esta obra es otorgado. Las Guas de Auditora y el conjunto de herramientas de implementacin no pueden ser reproducidos, almacenados en un sistema de recuperacin de datos o transmitido en ninguna forma ni por ningn medio - electrnico, mecnico, fotocopiado, grabado u otro medio- sin la previa autorizacin por escrito de la ISACF. Excepto por lo indicado, no se otorga ningn otro derecho o permiso relacionado con esta obra. 11
amablemente puso a disposicin material para el proyecto. Otras donaciones fueron recibidas de captulos miembros de ISACA de todo el mundo.
RESUMEN EJECUTIVO Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (IT) relacionada. En esta sociedad global (donde la informacin viaja a travs del "ciberespacio" sin las restricciones de tiempo, distancia y velocidad) esta criticalidad emerge de: la creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin. la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las "ciber amenazas" y la guerra de informacin 7
la escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin; el potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos. Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos ms valiosos de la empresa. Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de IT. Verdaderamente, la informacin y los sistemas de informacin son "penetrantes" en las organizaciones (desde la plataforma del usuario hasta las redes locales o amplias, cliente servidor y equipos Mainframe. Por lo tanto, la administracin requiere niveles de servicio que presenten incrementos en calidad, en funcionalidad y en facilidad de uso, as como un mejoramiento continuo y una disminucin de los tiempos de entrega) al tiempo que demanda que esto se realice a un costo ms bajo. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la implementacin de nueva tecnologa. Por lo tanto, la administracin debe tener una apreciacin por, y un entendimiento bsico de los riesgos y limitantes del
12
7 Guerra de informacin: Information warfare
empleo de la tecnologa de informacin para proporcionar una direccin efectiva y controles adecuados. COBIT ayuda a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos tcnicos. Proporciona "prcticas sanas" a travs de un Marco Referencial de dominios y procesos y presenta actividades en una estructura manejable y lgica. Las prcticas sanas de COBIT representan el consenso de los expertos (le ayudarn a optimizar la inversin en informacin, pero an ms importante, representan aquello sobre lo que usted ser juzgado si las cosas salen mal. Las organizaciones deben cumplir con requerimientos de calidad, de reportes fiduciarios y de seguridad, tanto para su informacin, como para sus activos. La administracin deber obtener un balance adecuado en el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa, sistemas de aplicacin y datos. Para cumplir con esta responsabilidad, as como para alcanzar sus expectativas, la administracin deber establecer un sistema adecuado de control interno. Por lo tanto, este sistema o marco referencial deber existir para proporcionar soporte a los procesos de negocio y debe ser preciso en la forma en la que cada actividad individual de control satisface los requerimientos de informacin y puede impactar a los recursos de IT. El impacto en los recursos de IT es enfatizado en el Marco Referencial de COBIT conjuntamente a los requerimientos de informacin del negocio que deben ser alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin. Un Objetivo de Control en IT es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una actividad de IT. La orientacin a negocios es el tema principal de COBIT. Esta diseado no solo para ser utilizado por usuarios y auditores, sino que en forma ms importante, esta diseado para ser utilizado como una lista de verificacin 8 detallada para los propietarios de los procesos de negocio. COBIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos tcnicos y riesgos de negocio. COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de IT a travs de organizaciones, en el mbito mundial. El objetivo de COBIT es proporcionar
13
8 Lista de verificacin: Check List
estos objetivos de control, dentro del marco referencial definido, y obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. Por lo tanto, COBIT esta orientado a ser la herramienta de gobierno de IT que ayude al entendimiento y a la administracin de riesgos asociados con tecnologa de informacin y con tecnologas relacionadas.
2.4. MARCO REFERENCIAL
El Marco Referencial de COBIT proporciona herramientas al propietario de procesos de negocio que facilitan el cumplimiento de esta responsabilidad. El Marco Referencial comienza con una premisa simple y prctica: Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de IT deben ser administrados por un conjunto de procesos de IT agrupados en forma natural. Contina con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de IT, agrupados en cuatro dominios: planeacin & organizacin, adquisicin & implementacin, entrega (de servicio) y monitoreo. Esta estructura cubre todos los aspectos de informacin y de la tecnologa que la soporta. Dirigiendo estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin. Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe una gua de auditora o de aseguramiento que permite la revisin de los procesos de IT contra los 302 objetivos detallados de control recomendados por COBIT para proporcionar a la Gerencia la certeza de su cumplimiento y/o una recomendacin para su mejora. El Marco Referencial COBIT otorga especial importancia al impacto sobre los recursos de IT, as como a los requerimientos de negocios en cuanto a efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad que deben ser satisfechos. Adems, el Marco Referencial proporciona definiciones para los requerimientos de negocio que son derivados de objetivos de control superiores en lo referente a calidad, seguridad y reportes fiduciarios en tanto se relacionen con Tecnologa de Informacin. 14
La administracin de una empresa requiere de prcticas generalmente aplicables y aceptadas de control y gobierno en IT para medir en forma comparativa tanto su ambiente de IT existente, como su ambiente planeado. El desarrollo de este Marco Referencial de objetivos de control para IT, conjuntamente con una investigacin continua aplicada a controles de IT constituyen el fundamento para el progreso efectivo en el campo de los controles de sistemas de informacin. Por otro lado, hemos sido testigos del desarrollo y publicacin de modelos de control generales de negocios como COSO [Committee of Sponsoring Organisations of the Treadway Commisssion Internal Control-Integrated Framework, 1992] en los EUA, Cadbury en el Reino Unido y CoCo en Canad y King en Sudfrica. Por otro lado, existe un nmero importante de modelos de control ms enfocados al nivel de tecnologa de informacin. Algunos buenos ejemplos de esta ltima categora son el Security Code of Conduct del DTI (Department of Trade and Industry, Reino Unido) y el Security Handbook de NIST (National Institute of Standards and Technology, EUA). Sin embargo, estos modelos de control con orientacin especfica no proporcionan un modelo de control completo y utilizable sobre tecnologa de informacin como soporte para los procesos de negocio. El propsito de COBIT es el cubrir este vaco proporcionando una base que est estrechamente ligada a los objetivos de negocio, al mismo tiempo que se enfoca a la tecnologa de informacin.
AUDIENCIA: ADMINISTRACION, USUARIOS & AUDITORES COBIT esta diseado para ser utilizado por tres audiencias distintas: Administracin: Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnologa de informacin frecuentemente impredecible. Usuarios: Para obtener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa de informacin proporcionados internamente o por terceras partes. Auditores de sistemas de informacin: Para brindar soporte a las opiniones mostradas a la administracin sobre los controles internos. Adems de responder a las necesidades de la audiencia inmediata de la Alta Gerencia, a los auditores y a los profesionales dedicados al control y seguridad, COBIT puede ser utilizado dentro de las empresas por el propietario de procesos de negocio en su responsabilidad de control sobre los aspectos de informacin del proceso, y por todos 15
aqullos responsables de IT en la empresa.
DEFINICIONES Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La definicin de "Control" est adaptada del reporte COSO [Committee of Sponsoring Organisations of the Treadway Commission. Internal Control-Integrated Framework, 1992 y la definicin para "Objetivo de Control de IT" ha sido adaptada del reporte SAC (Systems Auditability and Control Report). The Institute of Internal Auditors Research Foundation, 1991 y 1994.
Control se define como Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos Objetivo de control en IT se define como Una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control en una actividad de IT particular
PRINCIPIOS DEL MARCO REFERENCIAL Existen dos clases distintas de modelos de control disponibles actualmente, aqullos de la clase del "modelo de control de negocios" (por ejemplo COSO) y los "modelos ms enfocados a IT" (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los dos. Debido a esto, COBIT se posiciona como una herramienta ms completa para la Administracin y para operar a un nivel superior que los estndares de tecnologa para la administracin de sistemas de informacin. El concepto fundamental del marco referencial COBIT se refiere a que el enfoque del control en IT se lleva a cabo visualizando la informacin necesaria para brindar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que deben ser administrados por procesos de IT. 16
La informacin que los procesos de negocio necesitan es proporcionada a travs del empleo de recursos de IT. Con el fin de asegurar que los requerimientos de negocio para la informacin son satisfechos, deben definirse, implementarse y monitorearse medidas de control adecuadas para estos recursos. Cmo pueden entonces las empresas estar satisfechas respecto a que la informacin obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de un sano marco referencial de Objetivos de Control para IT. El diagrama mostrado a continuacin ilustra este concepto.
Los servicios de consultora se diferencian fundamentalmente de las funciones del CPA por attesting (la emisin de una opinin) de las aserciones de otras grupos (terceros). En un servicio de attest (emisin de opiniones), el practicante expresa una conclusin relacionada a la confiabilidad de un escrito de asercin; el escrito es realizado bajo la responsabilidad de otro grupo, el asertor. En un servicio de consultora, el practicante desarrolla los hallazgos, conclusiones y recomendaciones presentadas. La naturaleza y el alcance del trabajo es determinado solamente por un acuerdo entre el practicante y el cliente. Generalmente, el trabajo es realizado nicamente para uso y beneficio del cliente. 17
El marco referencial consta de Objetivos de Control de IT de alto nivel y de una estructura general para su clasificacin y presentacin. La teora subyacente para la clasificacin seleccionada se refiere a que existen, en esencia, tres niveles de actividades de IT al considerar la administracin de sus recursos. Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras que las tareas son consideradas ms discretas. El concepto de ciclo de vida cuenta tpicamente con requerimientos de control diferentes a los de actividades discretas. Algunos ejemplos de esta categora son las actividades de desarrollo de sistemas, administracin de la configuracin y manejo de cambios. La segunda categora incluye tareas llevadas a cabo como soporte para la planeacin estratgica de IT, evaluacin de riesgos, planeacin de la calidad, administracin de la capacidad y el desempeo. Los procesos se definen entonces en un nivel superior como una serie de actividades o tareas conjuntas con "cortes" naturales (de control). Al nivel ms alto, los procesos son agrupados de manera natural en dominios. Su agrupamiento natural es confirmado frecuentemente como dominios de responsabilidad en una estructura organizacional, y est en lnea con el ciclo administrativo o ciclo de vida aplicable a los procesos de IT.
Por lo tanto, el marco referencial conceptual puede ser enfocado desde tres puntos estratgicos: (1) recursos de IT, (2) requerimientos de negocio para la informacin y (3) procesos de IT. Estos puntos de vista diferentes permiten al marco referencial ser accedido eficientemente. 18
Por ejemplo, los gerentes de la empresa pueden interesarse en un enfoque de calidad, seguridad o fiduciario (traducido por el marco referencial en siete requerimientos de informacin especficos). Un Gerente de IT puede desear considerar recursos de IT por los cuales es responsable. Propietarios de procesos, especialistas de IT y usuarios pueden tener un inters en procesos particulares. Los auditores podrn desear enfocar el marco referencial desde un punto de vista de cobertura de control. Estos tres puntos estratgicos son descritos en el Cubo COBIT que se muestra a continuacin:
Con lo anterior como marco de referencia, los dominios son identificados utilizando las palabras que la gerencia utilizara en las actividades cotidianas de la organizacin -y no la jerga del auditor -. Por lo tanto, cuatro grandes dominios son identificados: planeacin y organizacin, adquisicin e implementacin; entrega y soporte y monitoreo. Las definiciones para los dominios mencionados son las siguientes:
Planeacin y Organizacin Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas. 19
Adquisicin e Implementacin Para llevar a cabo la estrategia de IT, las soluciones de IT deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
Entrega y Soporte En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin
Monitoreo Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
En resumen, los Recursos de IT necesitan ser administrados por un conjunto de procesos agrupados en forma natural, con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos. El siguiente diagrama ilustra este concepto: (Vase pgina siguiente)
20
Debe tomarse en cuenta que estos procesos pueden ser aplicados a diferentes niveles dentro de una organizacin. Por ejemplo, algunos de estos procesos sern aplicados al nivel corporativo, otros al nivel de la funcin de servicios de informacin, otros al nivel del propietario de los procesos de negocio. Tambin debe ser tomado en cuenta que el criterio de efectividad de los procesos que planean o entregan soluciones a los requerimientos de negocio, cubrirn algunas veces los criterios de disponibilidad, integridad y confidencialidad. - en la prctica, se han convertido en requerimientos del negocio. Por ejemplo, el proceso de "identificar soluciones automatizadas" deber ser efectivo en el cumplimiento de requerimientos de disponibilidad, integridad y confidencialidad.
2.5. OBJETIVOS DE CONTROL
COBIT como se presenta en los Objetivos de Control, refleja el compromiso continuo 21
de ISACF por mejorar y mantener el cuerpo comn de conocimientos requeridos para apoyar la actividad de auditora y control de sistemas de informacin. As como el marco de Referencia de COBIT se encuentra enfocado a controles de alto nivel para cada proceso. Los Objetivos de Control se concentra en objetivos detallados de control especficos, asociados con cada uno de los procesos de IT. Para cada uno de los 34 procesos de IT del Marco de Referencia, existen de tres a 30 Objetivos de Control detallados. Los Objetivos de Control alinean el Marco de Referencia general con los Objetivos de Control detallados a partir de 36 fuentes primarias que comprenden los estndares internacionales de hecho y de derecho y las regulaciones relacionadas con IT. Este contiene la relacin de los resultados o propsitos que desean alcanzarse a travs de la implementacin de procedimientos de control especficos dentro de una actividad de IT y, de esta manera, proporcionar una poltica clara y una mejor prctica 9 para el control de IT en toda la industria, en el mbito mundial. Los Objetivos de Control estn dirigidos a la gerencia y al personal de los servicios de informacin, controles, funciones de auditora y, lo ms importante, a los propietarios de los procesos de negocios. Los Objetivos de Control proporcionan un documento de trabajo de escritorio para estas personas. Se presentan definiciones precisas y claras de un conjunto mnimo de controles para asegurar la eficacia, la eficiencia y la economa en la utilizacin de recursos. Para cada proceso, se identifican Objetivos de Control detallados como los controles mnimos que necesita encontrarse establecidos (aquellos controles que cuya suficiencia ser evaluada por el profesional en control). Existen 302 objetivos de control detallados que proporcionan una visin detallada sobre las relaciones dominio/proceso/objetivo de control. Los objetivos de control permiten la traduccin de los conceptos presentados en el marco de Referencia en controles especficos aplicados para cada proceso de IT, ver Tabla Resumen en Anexo 2.
22
9 Mejor prctica (best practice)
CAPITULO 3 CASO PRACTICO
3.1. LA EMPRESA SUJETO DE ESTUDIO
La empresa RESULTSYS Consultora Profesional Ca Ltda. es una empresa privada que ofrece servicios de tercerizacin de la gestin financiera contable en las reas de Contabilidad, Nmina, Administracin de Inventarios, Tesorera, Facturacin, Cobranzas, Administracin de Activos Fijos, Tasaciones y Valoraciones. RESULTSYS Consultora Profesional Ca Ltda. constituida en 1978 tiene por objeto la prestacin de servicios de asesoramiento y consultora administrativa y empresarial para instituciones y empresas pblicas, semipblicas, mixtas y privadas. RESULTSYS es una empresa que se ha comprometido a realizar cambios de alto impacto para crear y mantener ventajas competitivas, tomando en cuenta que el entorno actual y futuro de la industria ecuatoriana est direccionado por los factores: competencia, globalizacin, polticas de cambio, rentabilidad del crecimiento y servicio al cliente. Es necesario entonces determinar con claridad su estructura, para tener los elementos necesarios que permitan identificar el alcance de la auditora de sistemas. La estructura orgnico funcional de RESULTSYS se puede observar en la siguiente figura:
(Vase pgina siguiente)
23
24
Soporte a Usuarios Consultora RESULTSY Consultora Profesional Ca. Ltda. Estructura orgnico funcional Marketing Secretara Contabilidad Digitacin Consultora Actualizado diciembre/2002 Secretara General Asesora Legal Mantenimiento de Equipo Electrnico Administracin de Bases de Datos Administracin de Redes Desarrollo de Talentos Nmina Tesorera Finanzas Aquisiciones y servicios generales Gerencia de Recursos Humanos Gerencia Administrativ a Financiera Gerencia de Soluciones Tecnolgicas Gerencia de Activos Fijos/ Inventarios Gerencia de Outsourcing Nmina Gerencia de Outsourcing Contabilidad Gerencia General Presidencia Junta General de Accionistas
RESULTSYS tiene tres departamentos para los servicios de tercerizacin que ofrece, stos son: Nmina, Contabilidad y Activos Fijos e Inventarios. Los departamentos de apoyo a la gestin de servicio son: los departamentos Administrativo Financiero, Soluciones de Tecnologa (Informtica), y Recursos Humanos, Secretara General, Marketing y Asesora Legal.
Los servicios de tercerizacin que RESULTSYS ofrece son: CONTABILIDAD.- Elaboracin de estados financieros bajo normas locales, US GAAP, declaraciones tributarias, indicadores de gestin. TESORERA, FACTURACIN, COBRANZAS.- Gestin de cobranzas, pagos, control de cuentas bancarias, anlisis financiero, etc. NMINA.- Manejo integral de la nmina del personal, declaracin de impuestos, cumplimiento de obligaciones sociales, indicadores de gestin. ADMINISTRACIN DE INVENTARIOS.- Mtodo de valuacin, implantacin de nuevos sistemas, planificacin y control de inventarios. ADMINISTRACIN DE ACTIVOS FIJOS.- Inventarios y conciliacin, mtodos de valuacin, depreciaciones, implantacin de base de datos, manual de procedimientos.
3.1.1. DESCRIPCION DE FUNCIONES DEL NIVEL DIRECTIVO Se considera importante hacer una descripcin general de las funciones de quienes trabajan en la empresa especialmente en el nivel ejecutivo de los departamentos con incidencia relevante en el desarrollo de la auditora de sistemas. GERENTE GENERAL Ejecutar las polticas, normas y procedimientos de la empresa. Dirigir la marcha institucional, coordina y evala las actividades tcnicas y administrativas de RESULTSYS. Cumplir y hacer cumplir los reglamentos, estatutos y dems normas vigentes de la empresa. Analizar y aprobar los estados financieros de la empresa. Aplicar reglamentos, manuales, procedimientos tcnicos y administrativo financieros de la empresa. Coordinar la ejecucin de los programas y/o proyectos, y evaluar su cumplimiento. 25
Determinar polticas sobre el desarrollo de la Empresa y la administracin de sus recursos. Dirigir la planificacin estratgica, tcnica, econmica, financiera y administrativa de RESULTSYS. Implementar polticas para el mejoramiento funcional de la empresa. GERENTE DE OUTSOURCING Vigilar el cumplimiento de los contratos. Autoriza y fijar los precios de los proyectos. Revisar y entregar los proyectos Preparar y actualizar el presupuesto de los proyectos. Cumplir y hace cumplir las polticas establecidas por la empresa y dems actividades que le asigne el jefe inmediato superior. Reportar sus actividades al gerente general y su principal objetivo es dirigir, controlar, capacitar, y planificar para que la empresa obtenga los mximos resultados. GERENTE ADMINISTRATIVO FINANCIERO Ejecutar la direccin y control de la administracin financiera de la empresa. Dirigir la formulacin del presupuesto de gasto y participar en el control de su aplicacin posterior. Colaborar y supervisar la preparacin de reportes financieros de verificacin de resultados reales y presupuestados. Colaborar y supervisar la preparacin de reportes financieros de verificacin de resultados reales y presupuestados. Mantener constante correspondencia y comunicacin con bancos Organizar, planificar y controlar el flujo de fondos Revisar y aprobar la emisin anual de balances, en cumplimiento con los requerimientos y regulaciones legales vigentes. Elaborar reportes financieros locales y al exterior.
3.1.2. ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMAS RESULTSYS cuenta con un departamento de sistemas, que forma parte de los equipos de Administracin de Redes, Administracin de Bases de Datos, Soporte al usuario 26
final y Mantenimiento de equipo electrnico, cuyo principal objetivo es asesorar y asistir tcnicamente en lo correspondiente al campo tecnolgico informtico, y tiene asociados de negocios para reas como las de desarrollo y renta de equipos de computacin.
ORGANIGRAMA ESTRUCTURAL GENERAL GERENCIA DE SOLUCIONES TECNOLGICAS
Administrador de red Administrador de Base de datos Tcnico de Mantenimiento Soporte a Usuarios Gerente de Soluciones Tecnolgicas Gerente General
El departamento de sistemas se le denomina GTS (Global Technology Solutions), brinda soporte a oficinas ubicadas en las ciudades de Quito y Guayaquil, actualmente est estructurado de la siguiente manera: - Ral Arteaga (Gerente General) - Adriana Snchez (Supervisora) - Viviana Crdoba (Help Desk Quito) - Lenin Robalino (Mantenimiento Electrnico Quito) - Juan Carlos Viera (Aplicaciones Administrativo Financieras Quito) - Erick Paredes (Administrador de Red Guayaquil) - Ronald Suquilanda (Help Desk Guayaquil
(Vase pgina siguiente)
27
3.1.3. CARACTERISTICAS DE LOS SISTEMAS Y AMBIENTE COMPUTARIZADO RESULTSYS tiene dos oficinas una en la ciudad de Quito y otra en la ciudad de Guayaquil. En los dos casos son edificios de hormign, relativamente nuevos, con instalaciones elctricas adecuadas, disponen de generadores de energa, disponen de salas de servidores con aire acondicionado. En el edificio en Quito se dispone de un UPS que abarca el 30% de los equipos de computacin entre ellos la sala de servidores, central telefnica y equipos activos (Switchs, hubs, routers, etc.) que es administrado para todo el edificio en forma centralizada por el arrendatario. Tambin se dispone de guardias de seguridad que controlan el acceso edificio, y los empleados disponen de tarjetas magnticas para ingreso a las oficinas. Se dispone de extintores en las oficinas como en la sala de servidores. En el edificio en Guayaquil se dispone de un UPS de uso exclusivo para la sala de servidores, central telefnica y equipos activos (Switchs, hubs routers, etc.) que es administrado por RESULTSYS. 28
El cableado estructurado es categora 5e marca IBM y disponen de certificaciones de cada una de las oficinas por parte de IBM como fabricante. Se dispone de varios extintores en las oficinas y especialmente en la sala de servidores y reas como la central telefnica. RESULTSYS cuenta con un contrato para servicios de VPN para permitir el acceso remoto de los usuarios en cualquier ciudad del mundo.
Estructura de hardware: RESULTSYS Consultora Profesional Ca. Ltda. posee: SERVIDOR DE BASE DE DATOS CARACTERSTICAS: (Proceso individual de la informacin contable de las empresas a las cuales se presta servicio). 2 procesadores Pentium III 700 Mhz c/u Memoria RAM: 384 MB Nmero de usuarios: 30 (Quito y Guayaquil) Sistema operativo: Windows NT 4.0 Espacio total en disco duro: 45 GB Ubicacin: oficina Quito SERVIDORES DE ARCHIVOS. CARACTERSTICAS: 1 procesador Pentium III 500 Mhz Memoria RAM: 256 MB Sistema operativo: Netware 5.1 Espacio total en disco duro: 27 GB Nmero de usuarios: 35 (Quito y Guayaquil) Ubicacin: uno en la oficina de Quito y otro en la oficina de Guayaquil. SERVIDOR DE CORREO ELECTRNICO CARACTERSTICAS: 2 procesadores Xeon Pentium III 850 Mhz Memoria RAM: 384 MB Sistema operativo: Windows NT 4.0 Espacio total en disco duro: 91 GB Nmero de usuarios: 30 (Quito y Guayaquil) 29
Ubicacin: oficina Quito y otro en la oficina de Guayaquil de caractersticas menores. OTROS SERVIDORES CARACTERSTICAS: Para servicios de DHCP/DNS, ArcsServer (software para backup), para manejo de colas de impresin Procesadores Pentium II y III 250 Mhz Memoria RAM: 256 MB Sistema operativo: Windows NT 4.0 Espacio total en disco duro: 27 GB Ubicacin: Oficinas de Quito y Guayaquil ESTACIONES DE TRABAJO COMPAQ e IBM Tipo: notebooks y desktops Memoria RAM: Mnima: 64MB Procesador Mnimo: Pentium III 700 Mhz Tiene una red UTP de categora 5e con Hubs y Switch a 10 y 100Mbps
Estructura de Comunicaciones: En lo que respecta a comunicaciones se tiene habilitado el acceso remoto tipo dial-up, y lneas de comunicacin dedicadas entre las oficinas de Quito y Guayaquil, la autenticacin remota es a travs de un Username y Passwords nicos para cada persona.
Estructura de Software: RESULTSYS cuenta con el siguiente software. SISTEMA OPERATIVO EN LAS ESTACIONES: Windows XP, Windows 2000, Windows 95 (idioma: ingls) SOFTWARE UTILITARIO Entre los principales utilitarios utilizados en RESULTSYS Consultora Profesional Cia. Ltda. podemos mencionar: Lotus Notes para correo electrnico y con base de datos de uso general y especializado. Microsoft Office 97 Profesional Microsoft Project 98 Adobe Acrobat 30
WinZip Antivirus la empresa cuenta con MacAfee. Visio Todo el software se encuentra debidamente licenciado.
Software de aplicacin: La aplicacin utilizada por RESULTSYS Consultora Profesional Cia. Ltda. para el procesamiento de la informacin contable de los clientes es un ERP (Enterprise Resource Planning) de mediano rango denominado Gestor, sistema cuya base de datos es Oracle y su front-end est desarrollado en Developer 6.0 y otras herramienta de Oracle. Gestor posee los mdulos de Contabilidad, Nmina, Caja/Bancos, Cuentas por Cobrar, Cuentas por Pagar, Tesorera, Activos Fijos, Facturacin e Inventarios. Platinum for Windows, con los mdulos de: Contabilidad, Cuentas por cobrar y Pagar, Libro Bancos entre otros. En base de datos PSQL (Pervasive SQL), que es el software utilizado para la gestin administrativa interna. WIP, software propietario para control de Proyectos
3.2. APLICACION DEL MODELO COBIT
3.2.1. JUSTIFICACION DE LA APLICACION DE COBIT Basadas en la creciente competencia y complejidad de los negocios y en el permanente desarrollo tecnolgico que soporta y crea nuevas oportunidades y desafos, RESULTSYS ha visto la necesidad de contar con sistemas de informacin que manejen y automaticen las distintas actividades, tanto claves como de soporte, generando eficiencia y productividad, pero al mismo tiempo estructurando ambientes tecnolgicos cada vez ms complejos. Aspectos como (i) alta sistematizacin de los procesos, (ii) automatizacin de los controles, (iii) integracin de la informacin, (iv) importancia fundamental de la informacin para la toma de decisiones, exponen a las organizaciones a nuevos riesgos que deben ser adecuadamente administrados. Consciente de esta situacin, RESULTSYS, por medio de su rea de Sistemas ha visto la necesidad de afrontar un proyecto de Auditora de Sistemas, cuyos resultados le permitirn entre otras cosas: 31
Promover una cultura de conciencia del riesgo asociado a los sistemas y tecnologa de la informacin. Implementar mecanismos de control para una adecuada administracin de las actividades de sistemas. Implementar polticas y procedimientos que permitan una adecuada administracin de las distintas actividades y recursos tecnolgicos. Incrementar la calidad del servicio que el Area de Sistemas brinda a los usuarios. Enfocar las actividades hacia los objetivos estratgicos del negocio. Optimizar la utilizacin de los recursos tecnolgicos. Mejorar la gestin de los sistemas informticos, para obtener informacin confiable y de calidad. Mejorar la calidad de los servicios tecnolgicos proporcionados por terceros. La Auditora de Sistemas, por lo tanto, constituye para RESULTSYS en una decisin estratgica, puntualizada como resultado de todo un proceso de anlisis, definiciones y pruebas a travs de la aplicacin del modelo COBIT, marco referencial que nos provee una serie de objetivos de control necesarios para evaluar y reforzar al ambiente de control IT. Mayor informacin sobre el modelo COBIT se describe en el captulo 2.
3.2.2. PLANIFICACIN DEL TRABAJO (PROPUESTA) Con base en la compresin de stos requerimientos y de la importancia del proyecto para RESULTSYS, presentamos el alcance, esquema de trabajo, procedimientos (con base en el Modelo COBIT) y productos a generarse como resultado de la ejecucin de este trabajo.
3.2.2.1. OBJETIVO Efectuar una Auditora de Sistemas relacionada con la Evaluacin de los Servicios de Tecnologa de la Informacin, proporcionados por el AREA DE SISTEMAS de RESULTSYS.
3.2.2.2. ALCANCE De acuerdo a los requerimientos acordados con RESULTSYS, hemos definido la evaluacin de las siguientes etapas.
32
1. Estructura Organizacional del Area de Sistemas 1.1. 1.2. 1.3. 2.1. 2.2. 2.3. 3.1. 4.1. 4.2. 1. 1.1. Estructura de Personal Evaluacin de Gestin del rea Atencin al usuario 2. Gestin de los Sistemas Informticos Desarrollo, Operacin y Mantenimiento de Aplicaciones Administracin de las Bases de Datos (DBA) Gestin y Explotacin de las Aplicaciones 3. Plataformas y Comunicaciones Plataforma Tecnolgica, Redes y Comunicaciones 4. Evaluacin de Seguridades y Procedimientos de Continuidad Seguridades: Fsicas, Lgicas y de Comunicaciones Plan de Contingencias (Ver Anexo 4 Glosario de Trminos Tecnolgicos)
3.2.2.3. METODO DE TRABAJO Y PROCEDIMIENTOS A EJECUTAR El enfoque de trabajo considerar las siguientes etapas: Estructura Organizacional (Controles sobre las actividades IT) En sta etapa las tareas a ejecutarse son: Anlisis de Situacin Actual Entrevistas con los funcionarios del rea de Informtica y reas usuarias destinadas a evaluar el ambiente general de control en materia de tecnologa existente. Relevamiento de actividades y procesos (con el alcance mnimo necesario para determinar segregacin de funciones). Revisin de los procedimientos de control implantados. Reunin de Validacin. Elaboracin de mejoras potenciales Compilacin Basada en estndares de control COBIT. Reuniones de validacin y discusin. Procedimientos Detallados Se ejecutarn los siguientes procedimientos: Estructura de Personal Dependencia, roles y responsabilidades del personal del rea informtica. 33
Evaluacin de la segregacin de funciones. Anlisis del perfil de cada cargo tipo y sus ocupantes (experiencia, capacitacin y escolaridad). Evaluacin de la Gestin 1.2. 1.3. 2.1. Evaluar los procesos y estndares y probar su cumplimiento. Evaluar el proceso de planeamiento y la razonabilidad del plan informtico respecto a los objetivos de la organizacin. Evaluar los procedimientos de asignacin de recursos y la elaboracin y administracin de presupuestos, as como la razonabilidad de los recursos asignados. Atencin al Usuario Anlisis del procedimiento establecido para asegurar que el servicio sea acorde con las necesidades de los usuarios. Evaluacin de los procedimientos de atencin a usuarios y administracin de problemas. 2. Gestin de los Sistemas Informticos En sta etapa las tareas a ejecutarse son: Anlisis de Situacin Actual Relevamiento detallado de la funcionalidad implantada. Caractersticas generales de las aplicaciones (tablas, reportes). Seguridades. Elaboracin de mejoras potenciales Elaboracin de conclusiones y recomendaciones, a partir del material relevado y estndares de control, utilizando herramientas de anlisis de riesgos y objetivos de control para cada aplicacin. Reuniones de validacin y discusin. Procedimientos Detallados Se ejecutarn los siguientes procedimientos: Desarrollo, Operacin y Mantenimiento de Aplicaciones Revisar y evaluar la metodologa de desarrollo de aplicaciones existente. Relevar los procedimientos para desarrollo de aplicaciones utilizados. Evaluar los procedimientos e iniciativas de investigacin y desarrollo. 34
Evaluar los procedimientos para pasar los programas de ambiente de desarrollo a produccin. Revisar la documentacin de la planificacin de mantenimiento / mejora de aplicaciones, as como la documentacin que sustenta la prueba y otros procesos de recepcin por parte del usuario. Evaluar los procedimientos de operacin. Revisar las bitcoras de operacin. Revisar los procedimientos de schedulling y revisar las bitcoras de ejecucin de los procesos batch. Revisar los procedimientos vigentes para backup de informacin (tipo de informacin, periodicidad, lugar de almacenamiento y pruebas peridicas de los respaldos). Administracin de la Base de Datos (Dba) 2.2. 2.3. Evaluar los procedimientos de administracin de la base de datos. Revisar el sistema de documentacin de la base de datos (nivel de detalle y actualizacin de la informacin). Analizar roles y responsabilidades de la administracin de la base de datos. Gestin y Explotacin de las Aplicaciones Relevar informacin relativa a las aplicaciones como: - Caractersticas generales. - Responsables. - Plataforma tecnolgica. - Principales mdulos. - Mecanismos de seguridad disponibles. - Documentacin existente. - Interfaces con otros sistemas. - Implantaciones en curso. Evaluar la seguridad y control de cada aplicacin. 3. Plataformas y Comunicaciones En sta etapa las tareas a ejecutarse son: Anlisis de Situacin Actual Relevamiento detallado de HW utilizado en cada aplicacin. 35
Anlisis de niveles de servicio (capacidad, velocidad, tiempos de parada). Elaboracin de mejoras potenciales Elaboracin de conclusiones y recomendaciones, a partir del material relevado y de las prcticas comunes en compaas de tamao similar y estndares de control COBIT. Reuniones de validacin y discusin. Procedimientos Detallados Se ejecutarn los siguientes procedimientos: Plataforma Tecnolgica, Redes y Comunicaciones 3.1. Revisin de los procedimientos de medicin del rendimiento. Anlisis de los informes de rendimiento disponibles. Revisin de los procedimientos relativos al monitoreo de la red. Anlisis de la bitcora de problemas. Anlisis de los mecanismos de comunicacin y acceso a los datos de la red desde el punto de vista de disponibilidad. Relevar las herramientas de monitoreo de hardware y software existentes, y compararlas con las disponibles en el mercado. Revisar procedimientos de respaldo (mirroring, lneas de comunicacin alternativas). Relevamiento de la arquitectura del sistema, incluyendo: - Servicios de red implementados. - Diagrama de la red. - Servidores. - Equipos de redes LAN. - Cableado estructurado. - Enlaces WAN. - PC's por localidad. 4. Evaluacin de Seguridades y Procedimientos de Continuidad En sta etapa las tareas a ejecutarse son: Anlisis de Situacin Actual Revisin de seguridad de las plataformas utilizando herramientas especficas. Evaluacin del Plan de Contingencias. 36
Elaboracin de mejoras potenciales
Se efectuarn mediante: Elaboracin de conclusiones y recomendaciones, a partir del material relevado y de las prcticas comunes en compaas de tamao similar y estndares de control COBIT. Reuniones de validacin y discusin. Procedimientos Detallados Se ejecutarn los siguientes procedimientos: Seguridades: Fsicas, Lgicas y Comunicaciones 4.1. 4.2. Evaluar las polticas y procedimientos de seguridad vigentes. Revisar la seguridad lgica implantada en los servidores, as como los parmetros de seguridad relativos a las claves de acceso, utilizando la herramienta de software especficas para cada plataforma Esto comprende, entre otros: Tipo y longitud mnima y mxima de las claves de acceso. Manejo de claves de acceso histricas. Encriptacin de claves. Administracin de claves de acceso por servicio. Rotacin de claves de acceso (automtico o manual) y periodicidad. Nmero de intentos fallidos antes de ingresar al sistema. Nmero de sesiones simultneas por usuario. Nmero de perfiles de usuario. Tiempo permitido de inactividad en el sistema (time out). Verificar la activacin y revisin de logs y pistas de auditora. Revisar las seguridades de accesos remotos (dial up, internet, intranet). Evaluar los mecanismos de proteccin antivirus. Evaluar los mecanismos de seguridad fsica existentes, incluyendo contratos de seguros existentes. Plan de Contingencias Evaluar la estrategia de recuperacin, infraestructura tecnolgica y las facilidades para la continuidad del procesamiento. Evaluar los procedimientos de recuperacin y operacin durante la emergencia, tomando en cuenta: responsables, actualizacin, pruebas peridicas, metodologa para la determinacin de los procedimientos.
37
3.2.2.4. PRODUCTOS A ENTREGAR Y PRESUPUESTO En cada una de las etapas descritas anteriormente se generarn: - Resumen Ejecutivo Conclusiones Significativas Otras recomendaciones de la Etapa INFORME FINAL - Resumen ejecutivo. - Descripcin del trabajo efectuado. - Anexos - Informe de las recomendaciones acordadas con la administracin. Conclusiones Significativas de cada Etapa Informe detallado y Recomendaciones de cada Etapa
3.2.2.5. HERRAMIENTAS A UTILIZAR Su utilizacin garantiza que el trabajo sea realizado con los ms altos estndares internacionales. 38
BindView es una herramienta automatizada que permite la revisin de seguridades en redes LAN de mltiples proveedores, incluyendo Unix, NDS, Windows 2000, NetWare 3, NetWare 4, Netware 5 y Windows NT. BindView proporciona de manera automtica resultados relacionados con Auditora de Seguridad, Administracin y Configuracin general del sistema operativo. La arquitectura de BindView est diseada para entregar soluciones para 4 aspectos crticos de la administracin de red: Acceso: Acceso transparente a informacin de los recursos de su organizacin. Anlisis: Robusta herramienta de anlisis diseada para contestar preguntas acerca de los recursos de la organizacin. Reportes : Herramienta poderosa y flexible para la elaboracin de reportes y resultados de las evaluaciones realizadas. Administracin: Permite organizar, actualizar e interpretar los resultados del anlisis.
3.3. EJECUCION DEL TRABAJO
3.3.1. IDENTIFICACIN DE RIESGOS IT CRTICOS. Los procedimientos a ejecutar como parte de la auditora de sistemas se detallan a continuacin, con asociacin al Dominio y Objetivo de control del modelo COBIT aplicado para la evaluacin e identificacin de debilidades. Los Objetivos de Control detallados utilizados en el proyecto se incluyen en el Anexo 3. 39
3.3.1.1. ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMA (CONTROLES SOBRE LAS ACTIVIDADES IT) Se ejecutarn los siguientes procedimientos:
3.3.1.1.1. ESTRUCTURA DE PERSONAL COBIT 10
Procedimiento Dominio Cdigo Objetivo de Control Dependencia, roles y responsabilidades del personal del rea informtica. Planeacin y Organizacin PO4 Definicin de la Organizacin y de las Relaciones IT Evaluacin de la segregacin de funciones. Planeacin y Organizacin PO4 Definicin de la Organizacin y de las Relaciones IT Segregacin de Funciones (4.10) Anlisis del perfil de cada cargo tipo y sus ocupantes (experiencia, capacitacin y escolaridad). Planeacin y Organizacin PO7 Administracin de Recursos Humanos
3.3.1.1.2. EVALUACIN DE GESTIN COBIT 10
Procedimiento Dominio Cdigo Objetivo de Control Evaluar los procesos y estndares y probar su Planeacin y PO6 Comunicacin de la direccin y aspiraciones
10 La relacin Dominio y Cdigo de COBIT, as como su simbologa se detalla en el Anexo 2. 40 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
COBIT 10
Procedimiento Dominio Cdigo Objetivo de Control cumplimiento. Organizacin de la gerencia Comunicacin de las polticas de la organizacin (6.3) Evaluar el proceso de planeamiento y la razonabilidad del plan informtico respecto a los objetivos de la organizacin. Planeacin y Organizacin PO1 Definicin de un Plan Estratgico de Tecnologa de Informacin Evaluar los procedimientos de asignacin de recursos y la elaboracin y administracin de presupuestos, as como la razonabilidad de los recursos asignados. Planeacin y Organizacin PO10 Administracin de proyectos
3.3.1.1.3. ATENCIN AL USUARIO COBIT 10
Procedimiento Dominio Cdigo Objetivo de Control Anlisis del procedimiento establecido para asegurar que el servicio sea acorde con las necesidades de los usuarios. Entrega de servicios y Soporte DS8 Apoyo y Asistencia a los Clientes de Tecnologa de Informacin Evaluacin de los procedimientos de atencin a usuarios y administracin de problemas. Entrega de servicios y Soporte DS10 Administracin de problemas e Incidentes 41 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
3.3.1.2. GESTIN DE LOS SISTEMAS INFORMTICOS Se ejecutarn los siguientes procedimientos:
3.3.1.2.1. DESARROLLO, OPERACIN Y MANTENIMIENTO DE APLICACIONES COBIT 10
Procedimiento Dominio Cdigo Objetivo de Control Revisar y evaluar la metodologa de desarrollo de aplicaciones existente. Planeacin y Organizacin PO11 Administracin de Calidad Metodologa del Ciclo de Vida de Desarrollo de Sistemas (11.5) Relevar los procedimientos para desarrollo de aplicaciones utilizados. Planeacin y Organizacin PO11 Administracin de Calidad Evaluar los procedimientos e iniciativas de investigacin y desarrollo. Planeacin y Organizacin PO10 Administracin de proyectos Evaluar los procedimientos para pasar los programas de ambiente de desarrollo a produccin. Adquisicin e Implementacin AI5 Instalacin y Acreditacin de Sistemas Revisar la documentacin de la planificacin de mantenimiento / mejora de aplicaciones, as como la documentacin que sustenta la prueba y otros procesos de recepcin por parte del usuario. Adquisicin e Implementacin AI2 Adquisicin y Mantenimiento de Software de Aplicacin Evaluar los procedimientos de operacin. Adquisicin e AI4 Desarrollo y Mantenimiento de 42 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
COBIT 10
Procedimiento Dominio Cdigo Objetivo de Control Implementacin Procedimientos relacionados con Tecnologa de Informacin Revisar las bitcoras de operacin. Planeacin y Organizacin AI4 Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnologa de Informacin Revisar los procedimientos de schedulling y revisar las bitcoras de ejecucin de los procesos batch. Entrega de servicios y Soporte DS13 Administracin de Operaciones. Revisar los procedimientos vigentes para backup de informacin (tipo de informacin, periodicidad, lugar de almacenamiento y pruebas peridicas de los respaldos). Entrega de servicios y Soporte DS11 Administracin de la Informacin
3.3.1.2.2. ADMINISTRACIN DE LAS BASES DE DATOS (DBA) COBIT 10
Procedimiento Dominio Cdigo Objetivo de Control Evaluar los procedimientos de administracin de la base de datos. Planeacin y organizacin PO2 Definicin de la Arquitectura de Informacin Revisar el sistema de documentacin de la base de Planeacin y PO2 Definicin de la Arquitectura de 43 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
COBIT 10
Procedimiento Dominio Cdigo Objetivo de Control datos (nivel de detalle y actualizacin de la informacin). organizacin Informacin Analizar roles y responsabilidades de la administracin de la base de datos. Planeacin y organizacin PO2 Definicin de la Arquitectura de Informacin
3.3.1.2.3. GESTIN Y EXPLOTACIN DE LAS APLICACIONES COBIT 10
Procedimiento Dominio Cdigo Objetivo de Control Relevar informacin relativa a las aplicaciones como: - Caractersticas generales - Responsables - Plataforma tecnolgica - Principales mdulos - Mecanismos de seguridad disponibles - Documentacin existente - Interfaces con otros sistemas - Implantaciones en curso Adquisicin e implementacin AI2 Adquisicin y Mantenimiento de Software de Aplicacin Evaluar la seguridad y control de cada aplicacin. Entrega de DS5 Garantizar la Seguridad de Sistemas 44 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
COBIT 10
Procedimiento Dominio Cdigo Objetivo de Control Servicios y Soporte
3.3.1.3. PLATAFORMAS Y COMUNICACIONES Se ejecutarn los siguientes procedimientos:
3.3.1.3.1. PLATAFORMA TECNOLGICA, REDES Y COMUNICACIONES COBIT 10
Procedimiento Dominio Cdigo Objetivo de Control Revisin de los procedimientos de medicin del rendimiento. Anlisis de los informes de rendimiento disponibles. Entrega de Servicios y Soporte DS3 Administracin de Desempeo y Capacidad Revisin de los procedimientos relativos al monitoreo de la red. Anlisis de la bitcora de problemas. Entrega de Servicios y Soporte DS3 Administracin de Desempeo y Capacidad Anlisis de los mecanismos de comunicacin y acceso a los datos de la red desde el punto de vista de disponibilidad. Entrega de Servicios y Soporte DS3 Administracin de Desempeo y Capacidad Relevar las herramientas de monitoreo de hardware Entrega de DS3 Administracin de Desempeo y Capacidad 45 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
COBIT 10
Procedimiento Dominio Cdigo Objetivo de Control y software existentes, y compararlas con las disponibles en el mercado. Servicios y Soporte Revisar procedimientos de respaldo (mirroring, lneas de comunicacin alternativas). Entrega de Servicios y Soporte DS4 Aseguramiento de Servicio Continuo Relevamiento de la arquitectura del sistema, incluyendo: - Servicios de red implementados - Diagrama de la red - Servidores - Equipos de redes LAN - Cableado estructurado - Enlaces WAN - PC's por localidad Entrega de Servicios y Soporte DS9 Administracin de la Configuracin
3.3.1.4. EVALUACIN DE SEGURIDADES Y PROCEDIMIENTOS DE CONTINUIDAD Se ejecutarn los siguientes procedimientos:
46 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
3.3.1.4.1. SEGURIDADES: FSICAS, LGICAS Y DE COMUNICACIONES COBIT 10
Procedimiento Dominio Cdigo Objetivo de Control Evaluar las polticas y procedimientos de seguridad vigentes. Entrega de Servicios y Soporte DS5 Garantizar la Seguridad de Sistemas Revisar la seguridad lgica implantada en los servidores, as como los parmetros de seguridad relativos a las claves de acceso, utilizando la herramienta de software especficas para cada plataforma Esto comprende, entre otros: Tipo y longitud mnima y mxima de las claves de acceso. Manejo de claves de acceso histricas. Encriptacin de claves. Administracin de claves de acceso por servicio. Rotacin de claves de acceso (automtico o manual) y periodicidad. Nmero de intentos fallidos antes de ingresar al sistema. Nmero de sesiones simultneas por usuario. Entrega de Servicios y Soporte DS5 Garantizar la Seguridad de Sistemas 47 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
COBIT 10
Procedimiento Dominio Cdigo Objetivo de Control Nmero de perfiles de usuario. Tiempo permitido de inactividad en el sistema (time out). Entrega de Servicios y Soporte DS5 Garantizar la Seguridad de Sistemas Verificar la activacin y revisin de logs y pistas de auditora. Adquisicin e Implementacin AI1 Identificacin de Soluciones de Automatizacin Diseo de Pistas de Auditora (1.10) Revisar las seguridades de accesos remotos (dial up, internet, intranet). Entrega de Servicios y Soporte DS5 Garantizar la Seguridad de Sistemas Evaluar los mecanismos de proteccin antivirus. Entrega de Servicios y Soporte DS5 Garantizar la Seguridad de Sistemas Evaluar los mecanismos de seguridad fsica existentes, incluyendo contratos de seguros existentes. Entrega de Servicios y Soporte DS12 Administracin de Instalaciones
48 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
3.3.1.4.2. PLAN DE CONTINGENCIAS COBIT 10
Procedimiento Dominio Cdigo Objetivo de Control Evaluar la estrategia de recuperacin, infraestructura tecnolgica y las facilidades para la continuidad del procesamiento. Entrega de Servicios y Soporte DS4 Aseguramiento de Servicio Continuo Evaluar los procedimientos de recuperacin y operacin durante la emergencia, tomando en cuenta: responsables, actualizacin, pruebas peridicas, metodologa para la determinacin de los procedimientos. Entrega de Servicios y Soporte DS4 Aseguramiento de Servicio Continuo 49 Ver Anexo 4 Glosario de Trminos Tecnolgicos.
3.3.2. CONFIRMACIN DE RIESGOS CRTICOS IT CON LA ADMINISTRACIN De acuerdo al enfoque de trabajo propuesto y acordado con RESULTSYS, como resultado de la ejecucin de los procedimientos de cada una de las etapas, se efectuaron Reuniones de validacin y discusin con la administracin. Las reuniones tienen como objetivo la validacin y confirmacin con la administracin de los hallazgos y recomendaciones sugeridas, los documentos presentados en estas reuniones incluyen la siguiente aclaracin: BORRADOR PARA DISCUSION UNICAMENTE: El presente documento es de carcter preliminar. Su contenido podra ser modificado como resultado de las informaciones o evidencias que se presenten durante su anlisis y discusin con el destinatario. Bajo ninguna circunstancia, debe ser utilizado o considerado como documento final. Este borrador no debe ser fotocopiado y deber ser devuelto en el momento en que se emita el documento final. Los resultados en cada una de las reuniones fueron estructurados bajo el siguiente esquema: RESUMEN DE LA SITUACION ACTUAL - Resumen Ejecutivo Conclusiones Significativas Otras recomendaciones de la Etapa
Las Reuniones de Validacin y discusin generan los siguientes cursos de accin: Relevar informacin adicional con personal responsable de esas funciones.
Anlisis y evaluacin de documentacin soporte entregada. Confirmacin de los resultados de la evaluacin de seguridades lgicas.
Una vez confirmado con la administracin los resultados finales del trabajo, el Informe Final del proyecto se lo adjunta en el captulo 4 del presente trabajo. 50
CAPITULO 4 INFORME Y RESULTADOS DEL CASO PRACTICO
4.1. INTRODUCCION.
Seor Ral Arteaga Gerente General RESULTSYS Ciudad
Quito, 13 de abril de 2003
ESTRICTAMENTE CONFIDENCIAL
De mis consideraciones:
Conforme a lo acordado en la propuesta de trabajo, se procedi a efectuar en RESULTSYS la Auditora de Sistemas relacionada con la Evaluacin de los Servicios de Tecnologa de Informacin. En tal virtud se cubrirn los siguientes aspectos:
1. Evaluacin de la Estructura Organizacional del Area de Sistemas
2. Evaluacin de los Sistemas Informticos
3. Evaluacin de las Plataformas y Comunicaciones
4. Evaluacin de Seguridades y Procedimientos de Continuidad
51
Este informe es para uso de la Administracin de RESULTSYS y no debe ser utilizado por quienes no han determinado los procedimientos y asumido responsabilidad por la suficiencia de los mismos para sus propsitos. No asumiremos ninguna responsabilidad en el caso de que nuestro informe se destine a un uso distinto al indicado.
El contenido del presente informe ha sido desglosado en las siguientes secciones: - Resumen ejecutivo. - Descripcin del trabajo efectuado. - Resultados - Informe de las recomendaciones acordadas con la administracin. Conclusiones Significativas de cada Etapa Informe detallado y Recomendaciones de cada Etapa
Estoy a su disposicin para cualquier aclaracin o informacin adicional respecto al contenido de este informe.
Atentamente,
Diego Cevallos A.
52
4.2. RESUMEN EJECUTIVO.
Como resultado del proyecto de Auditora de Sistemas de los Servicios de Tecnologa de Informacin, se detallan los problemas ms relevantes que inciden globalmente en la eficacia y eficiencia de los servicios tecnolgicos requeridos por RESULTSYS:
- Comit de Sistemas Estructurar y formalizar las actividades del Comit de Sistemas, el cual deber ser el encargado de la planificacin, supervisin y priorizacin de las distintas actividades que realiza el Area Tecnolgica.
- Administracin de Seguridades Definir las funciones de Administracin de Seguridades independiente del Area de Sistemas, que ser responsable del desarrollo, implantacin y monitoreo de todas las polticas y procedimientos de seguridad.
- Esquema de Seguridades Definir un esquema estndar de seguridades para todas las aplicaciones, as como mejorar las reglas de construccin de claves.
- Atencin al Usuario Reorganizar el Area de Atencin al Usuario, estableciendo un canal de comunicacin nico, facilitando de esta manera la atencin, seguimiento y solucin de los requerimientos de los usuarios. Asimismo, es necesario establecer una poltica clara, en donde se detallen las tareas que estn asignadas al responsable de atencin al usuario (Help Desk) con sus prioridades de solucin y herramientas para atencin y seguimiento.
- Polticas y Procedimientos Desarrollar polticas y procedimientos formales que le permitan a la gerencia controlar y supervisar las distintas actividades del Area de Sistemas. Ejemplos: Procedimientos para la ejecucin de procesos Batch 53
Procedimientos de Atencin al usuario Procedimientos para el monitoreo del rendimiento de los equipos y base de datos
- Recuperacin ante interrupciones Elaborar e Implementar procedimientos alternativos de operacin durante fallas de tal manera de brindar un mejor y continuo servicio a los clientes, los procedimientos deben estar acordes a la estructura tecnolgica, riesgos y servicios de la compaa.
4.3. 1.4. 1.5. 1.6. 2.4. 2.5. 2.6. 3.2. 4.3. 4.4. 4.4. DESCRIPCION DEL TRABAJO EFECTUADO.
Se efectu una Auditora de Sistemas de los Servicios de Tecnologa de Informacin, para lo cual describimos con mayor detalle los aspectos cubiertos en nuestra evaluacin.
1. Estructura Organizacional del Area de Sistemas Estructura de Personal Evaluacin de Gestin del rea Atencin al usuario 2. Gestin de los Sistemas Informticos Desarrollo, Operacin y Mantenimiento de Aplicaciones Administracin de las Bases de Datos (DBA) Gestin y Explotacin de las Aplicaciones 3. Plataformas y Comunicaciones Plataforma Tecnolgica, Redes y Comunicaciones 4. Evaluacin de Seguridades y Procedimientos de Continuidad Seguridades: Fsicas, Lgicas y de Comunicaciones Plan de Contingencias
RESULTADOS - INFORME DE LAS RECOMENDACIONES ACORDADAS CON LA ADMINISTRACIN.
54
55 Auditora de Sistemas de los Servicios de Tecnologa de Informacin CONCLUSIONES SIGNIFICATIVAS Etapa A Etapa A Estructura Organizacional del Area de Sistemas
56 Recomendaciones significativas de la etapa C Formalizar la actividad de un Comit de Sistemas. C Redefinir la estructura del Departamento GTS. C Reorganizar el rea de Atencin al Usuario. Nivel de Criticidad
57 C Formalizar las actividades del Comit de Sistemas, el cual sea el encargado de priorizar y supervisar las actividades que realiza. Riesgos Identificados Carencia de un Plan Estratgico de Sistemas, el cual est alineado con los Objetivos y plan de Negocios de la Compaa. Asignacin de prioridades de los proyectos. Control y Supervisin a las actividades del departamento de Sistemas. Recomendaciones significativas de la etapa
58 Riesgos Identificados Inadecuada segregacin de funciones. No existe una funcin de Administracin de Seguridades independiente al departamento de sistemas. El organigrama formal no se corresponde totalmente con las funciones efectivamente realizadas por el personal. Recomendaciones significativas de la etapa C Redefinir la estructura del Departamento GTS.
59 C Redefinir la Estructura actual del Area de Sistemas, con el fin de optimizar los servicios que presta a RESULTSYS. Recomendacin Recomendaciones significativas de la etapa GTS (Global Technology Solutions) - Propuesto Ronald Suquilanda Help Desk Guayaquil Erick Paredes Administrador de Red Guayaquil Viviana Crdoba Help Desk Quito Lenin Robalino Mantenimiento Electrnico Quito Juan Carlos Viera Aplicaciones Quito Adriana Snchez Supervisora GTS Alejandro Guichn Gerente General Administrador de Seguridades
60 C Reorganizar el rea de Atencin al Usuario. Recomendaciones significativas de la etapa liberando al encargado del Help Desk de procesos y otras tareas que actualmente realizan. optimizando el uso del sistema para registro de requerimientos. utilizando los requerimientos solucionados como fuente para mejorar la capacitacin de los usuarios y para generar nuevos proyectos de adecuacin de los sistemas. Riesgos Identificados
61 Otras recomendaciones de la etapa Nivel de Criticidad C Establecer una funcin independiente de administracin de seguridades. C Elaborar un plan formal de capacitacin del personal de RESULTSYS. C Establecer una funcin de Auditora Interna de Sistemas. C Elaborar el manual de funciones detallado para RESULTSYS.
62 Auditora de Sistemas de los Servicios de Tecnologa de Informacin INFORME DETALLADO Y RECOMENDACIONES Etapa A Etapa A Estructura Organizacional del Area de Sistemas
RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT) Requerimiento: Estructura de Personal Objetivo de Control COBIT: Definicin de la Organizacin y de las Relaciones IT / PO4 Definicin de la Organizacin y de las Relaciones IT Segregacin de Funciones (4.10) / PO4 Procedimiento: Dependencia, Roles y Responsabilidades del personal del rea informtica. Evaluacin de la segregacin de funciones.
63 Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Adriana Snchez (Supervisora GTS).
Revisin del organigrama de la Compaa. RESULTSYS cuenta con un departamento de sistemas, que son parte de los equipos de Administracin de Redes, Administracin de Bases de Datos, Soporte al usuario final y Mantenimiento de equipo electrnico, cuyo principal objetivo es asesorar y asistir tcnicamente en lo correspondiente al campo tecnolgico informtico, y tiene asociados de negocios para reas como las de desarrollo y renta de equipos de computacin.
La Compaa no cuenta con un Manual de Funciones formalizado, en el que se detalle las tareas que debe realizar cada miembro del departamento de sistemas.
RESULTSYS cuenta con un documento en el que se especifica de manera general las funciones de cada rea sin embargo no existe un Manual de Funciones detallado para los miembros del departamento de sistemas.
Bajo
Elaborar el Manual de Funciones detallado para RESULTSYS. Baja RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Revisin con base a entrevistas de las funciones que cumple el personal de sistemas. Existen actividades bajo la responsabilidad de sistemas y efectuados por su personal que no estn acorde a sus funciones y responsabilidades.
Las funciones de Administracin de Seguridades actualmente son realizadas por personal de Sistemas, lo cual no garantiza una adecuada segregacin de funciones.
Alto
Redefinir la Estructura actual del Area de Sistemas, con el fin de optimizar los servicios que presta a RESULTSYS. Alta RESUTSYS no cuenta con la funcin de Auditora de Sistemas. No existe una Funcin de Auditora de Sistemas. Medio
Implementar la funcin de Auditora de Sistemas, la cual supervisar las actividades del Administrador de Seguridades, y del rea de Sistema en general.
Media
64 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Requerimiento: Estructura de Personal Objetivo de Control COBIT: Administracin de Recursos Humanos / PO7 Procedimiento: Anlisis del perfil de cada cargo tipo y sus ocupantes (experiencia, capacitacin y escolaridad).
Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Revisin de las hojas de vida de todo el personal de la Compaa. Anlisis del perfil de cada empleado, nivel de experiencia y capacitacin recibida.
Analizamos cada uno de las hojas de vida, identificando lo siguiente:
El departamento de Recursos Humanos, nos proporcion las hojas de vida del personal.
Un alto porcentaje del personal tiene experiencia previa a su contratacin, ya que han trabajado en Compaas similares o han ejercido tareas similares a las que estn ejecutando actualmente.
No existe un registro individual de la capacitacin recibida. La mayora del personal tienen experiencia previo a su ingreso.
RESULTSYS no ha desarrollado un Plan de Capacitacin Tcnico para el prximo ao, el mismo debera depender de las necesidades tecnolgicas que tenga la compaa.
Bajo Elaborar un plan formal de capacitacin del personal. Baja Recursos Humanos efecta evaluaciones anuales de personal la cual considera muchos aspectos relacionados con el desempeo, evaluacin y necesidades del empleado.
Adems se efectan evaluaciones
65
RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad mensuales para determinar el porcentaje de cumplimiento de metas.
66 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin
Requerimiento: Evaluacin de la Gestin Objetivo de Control COBIT: Comunicacin de la direccin y aspiraciones de la gerencia Comunicacin de las polticas de la organizacin (6.3) / PO6 Procedimiento: Evaluar los procesos y estndares y probar su cumplimiento.
Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Adriana Snchez (Supervisora GTS).
Existen reuniones con el gerente para definir planes y presupuestos del rea, adems, es necesario efectuar revisiones formales semestralmente.
El Comit Gerencial no efecta reuniones peridicas.
Alta
Formalizar las actividades del Comit de Sistemas, el cual sea el encargado de priorizar y supervisar las actividades que realiza.
Alta Revisin de las bases de datos de polticas y procedimientos. Existen bases de datos corporativas y locales relacionadas con las polticas y procedimientos de seguridad y operacin.
Adems se cuenta con procedimiento de difusin permanente de la informacin contenida en las bases de datos.
67 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin
Requerimiento: Evaluacin de la Gestin Objetivo de Control COBIT: Definicin de un Plan Estratgico de Tecnologa de Informacin / PO1 Procedimiento: Evaluar el proceso de planeamiento y la razonabilidad del plan informtico respecto a los objetivos de la organizacin.
Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Adriana Snchez (Supervisora GTSs).
El plan Estratgico no contiene la informacin detallada necesaria para prever cuales sern los productos y tipos de servicios que se brindarn a los clientes. Esta situacin impide prever los proyectos de Sistemas que se estarn realizando a mediano y largo plazo as como las tecnologas que sern necesarias para brindar estos nuevos servicios.
Lectura del Plan Estratgico de RESULTSYS.
GTS posee un Plan Estratgico de Sistemas, en el cual se detallan los objetivos, riesgos internos y externos, etc., pero este documento no especifica el plan de accin o tareas que van a realizar para cumplir los objetivos y metas de la compaa.
RESULTSYS no cuenta con un Plan Estratgico que considere los aspectos Tecnolgicos y de Sistemas que permitan cumplir los objetivos del negocio. Alto Obtener de la compaa un Plan de Negocios con el suficiente nivel de detalle que permita identificar los productos y servicios que se brindarn a los clientes.
Asignar al Comit de Sistemas la tarea de elaborar un Plan Estratgico de Sistemas totalmente alineado con el Plan de Negocios de la compaa. Alta
68 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Requerimiento: Evaluacin de la Gestin Objetivo de Control COBIT: Administracin de proyectos / PO10 Procedimiento: Evaluar los procedimientos de asignacin de recursos y la elaboracin y administracin de presupuestos, as como la razonabilidad de los recursos asignados.
Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Revisin de la documentacin soporte (Plan Estratgico de GTS, Cronogramas de tareas asignadas). Poseen un cronograma de las actividades de cada miembro de GTS, en el cual se asignan las tareas que deben cumplirse para RESULTSYS, tiempo, recursos, etc.
69 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Requerimiento: Atencin al usuario Objetivo de Control COBIT: Apoyo y Asistencia a los Clientes de Tecnologa de Informacin / DS8 Procedimiento: Anlisis del procedimiento establecido para asegurar que el servicio sea acorde con las necesidades de los usuarios.
Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Adriana Snchez (Supervisora GTS) y Viviana Crdoba (Help Desk) para conocer como est estructurada el rea de Servicio al Usuario. Servicio que brinda para solucin a los requerimientos realizados por los usuarios. Evaluar si la estructura actual es adecuada. La Atencin a Usuarios est a cargo de la persona responsable de Hep Desk, sin embargo, en ocasiones algunos requerimientos de usuario son solicitados y solucionadas por cualquier miembro del departamento GTS.
No existen procedimientos adecuados relacionados con la recepcin de requerimientos de los usuarios. Medio El Area de Atencin al Usuario deber formalizar los procedimientos para:
- Adecuada administracin de problemas. - Establecer prioridades y tiempos para la solucin de problemas. - Escalamiento de problemas. - Seguimiento y notificacin a los usuarios de las soluciones a sus problemas. - Adems deber asegurar el cumplimiento de los procedimientos anteriormente enumerados, evaluando peridicamente el desempeo de Servicio al Usuario.
Media Entrevista con Viviana Crdoba Help Desk de GTS, para determinar el procedimiento de recepcin de requerimientos de ayuda a usuarios, para asegurar que los mismos sean registrados, analizados y resueltos oportunamente
Dado al elevado nmero de solicitudes de soporte la mayora no se registran, solamente se detallan en un papel sin un formato establecido.
No se ha optimizado el uso del Sistema de Administracin de Problemas Help Desk, ya que no se registran la mayora de los requerimientos de usuario en el Sistema, ni se actualiza el estado a los requerimientos que han sido solucionados, por lo que los reportes que se preparan en Base de Alto
Optimizar la utilizacin del Sistema Help Desk, considerando aspectos como:
- Registrar todos los requerimientos de soporte a usuario, incluyendo los que se escalan, as como la hora (puede ser automtica), Alta
70 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad
71
Lectura del informe resumen de actividad elaborado por Help Desk para una semana Datos Lotus Notes, con base a la informacin registrada no presentan resultados reales.
Adems, no se han implementado en el Sistema, reportes que permitan realizar un adecuado control del desempeo del Help Desk.
usuario, tipo de problema, responsable de su solucin, prioridad y descripcin.
- Registrar la solucin de los problemas, la hora (puede ser automtica), procedimiento utilizado, responsable de su solucin.
- Crear un mecanismo de notificacin de asignacin de tarea a la persona que va ser responsable de resolver los problemas (puede ser notificado automticamente y consultado va sistemas).
- Definir un procedimiento de seguimiento de tareas asignadas, con el fin de asegurar que todos los requerimientos son solucionados.
- Implementar reportes que permitan evaluar las actividades que se llevan a cabo dentro del rea, disponer de estadsticas que permitan determinar el curso de accin para aquellos problemas recurrentes.
RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Viviana Crdoba Help Desk de GTS, para relevar y evaluar el procedimiento de solucin de requerimientos a usuarios. Previamente a la solucin del requerimiento se identifica si el mismo es un "Problema" o "Requerimiento".
De tratarse de problemas Help Desk se encarga de resolverlo inmediatamente o escalar.
Si es un requerimiento los cuales tiene relacin con: creacin de usuarios, accesos a bases de datos, acceso a determinados recursos de la red, se debe solicitar una autorizacin del jefe de rea del respectivo usuario. No existe una poltica claramente definida, en donde se describan las actividades que debe cumplir Help Desk, y cuales deben ser escaladas a otras reas
Medio
Liberar a Help Desk de tareas que no estn acordes a su funcin
Se debera establecer una poltica clara, en donde se detallen las tareas que estn asignadas a Help Desk, con sus prioridades de solucin.
Asimismo es conveniente que estas polticas sean de conocimiento de todos los usuarios, para que puedan direccionar sus requerimientos nicamente a la persona adecuada. Media No todos los problemas solucionados se registran en el sistema, motivo por el cul el estatus de los problemas no est actualizado.
No se registran los totalidad de los problemas solucionados en el sistema. Medio
Optimizar la utilizacin del Sistema Help Desk.
La persona responsable de Help Desk a ms de actualizar la informacin en el sistema, deber ser el canal de comunicacin con el usuario de tal manera de notificar el estatus de los problemas, as como efectuar seguimientos posteriores a la solucin proporcionada.
Media
72 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Requerimiento: Atencin al usuario Objetivo de Control COBIT: Administracin de problemas e Incidentes / DS10 Procedimiento: Evaluacin de los procedimientos de atencin a usuarios y administracin de problemas.
Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Revisin de los procedimientos formales para atencin al Usuario No se cuenta con informacin estadstica ntegra del nmero y tipo de problemas que son requerido y notificados al Area de Servicio al usuario, nicamente existe ciertos reportes en donde se enumeran los tipos de problemas de acuerdo a la importancia que Help Desk debera otorgarles.
Entrevista Adriana Snchez (Supervisora GTS) para conocer como se definen prioridades para la solucin de requerimientos de usuario, verificar su cumplimiento y evaluar si son o no adecuadas.
Estos niveles de servicio no han sido definidos formalmente, es decir no ha existido un acuerdo con niveles gerenciales para determinar las prioridades, los tiempos de atencin mnimos y escalamiento dependiendo del tipo y el nivel de servicio requerido.
El rea de Servicio al Usuario no cuenta con polticas y procedimientos formales para:
- Atencin y registro de requerimientos. - Asignacin de prioridades y tiempos. - Escalamiento de problemas Medio Definir formalmente polticas y procedimientos de administracin de problemas para asegurar que:
Los eventos operacionales que no forman parte de la operacin estndar (incidentes, problemas, errores) sean registrados, analizados y resueltos oportunamente. Las prioridades sean establecidas adecuadamente y de la manera ms eficaz.
El escalamiento de los problemas se realiza de forma oportuna y al responsable adecuado. Media Entrevista con Viviana Crdoba (Help Desk), para revisar y evaluar el procedimiento de escalamiento de problemas.
El sistema Help Desk permite escalar la solucin de los problemas hacia el responsable respectivo, sin embargo se prefiere comunicar los requerimientos por telfono y va mail. Observacin de los procedimientos llevados a
Una vez solventado el problema, No se utiliza adecuadamente el Sistema Help Desk por parte de los usuarios.
Medio
Optimizar la utilizacin del Sistema Help Desk y del tiempo del personal de Help Desk, estableciendo polticas y prcticas sobre los temas que razonablemente debera solucionar Help Desk y aquellos que debera escalar Media
73 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad
74 cabo. las personas que realizaron esta tarea deberan registrar la solucin en el sistema, lo que no se realiza la mayora de las veces.
directamente. Entrevista con Adriana Snchez (Supervisora GTS) y Viviana Crdoba (Help Desk) para relevar los procedimientos de evaluacin del servicio a usuario. No se han implementado procedimientos para la evaluacin del desempeo del rea de Servicio al Usuario.
Adems, no se realizan encuestas peridicas a los usuarios para obtener informacin sobre el nivel de satisfaccin de los mismos. Medio
Implementar procedimientos formales para la evaluacin del Servicio a Usuario.
Realizar evaluaciones peridicas de la actividad del rea de Servicios al Usuario, considerando que sta es la base para la medicin del rendimiento de la tecnologa informtica actual, as como del nivel de conocimiento tanto del personal IT como del usuario.
Nos permitimos sugerir algunos de los seguimientos que se deben hacer sobre el rea:
- Estado de requerimientos registrado, escalado, en revisin, solucionado. - Tiempos de solucin de requerimientos.
- Clasificacin de requerimientos escalados y solucionados por Media RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Servicio al Usuario.
- Horas pico de congestin de solicitudes, para controlar y planificar la ejecucin de procedimientos operativos.
- Clasificacin de problemas registrados (Hardware, Software de oficina, Aplicaciones Generales, Aplicaciones Especializadas, Redes, Comunicaciones, Mantenimiento de Aplicaciones, etc.), con el fin de evaluar el nivel de Servicio que estn brindando, la tecnologa disponible en el Grupo, la Prioridad de Mantenimiento de Aplicaciones ya desarrolladas y sugerir planes de capacitacin a los usuarios.
75
76 Auditora de Sistemas de los Servicios de Tecnologa de Informacin CONCLUSIONES SIGNIFICATIVAS Etapa B Etapa B Gestin de los sistemas Informticos
77 Recomendaciones significativas de la etapa C Mejorar el procedimiento de generacin, almacenamiento y recuperacin de respaldos de la informacin. C Asignar las funciones y el perfil de Administrador de la base de datos nicamente al responsable de estas funciones. C Elaborar e implantar procedimientos para documentacin de la base de datos. C Definir un esquema de seguridades estndar para todas las aplicaciones. Nivel de Criticidad Solicitar al proveedor la documentacin de todas las aplicaciones utilizadas. C Mejorar las reglas de construccin y cambio de claves de las aplicaciones.
78 Hallazgos Identificados No existen rutinas que aseguren un back-up ntegro de la informacin de todos los usuarios. No existe una bitcora de los respaldos realizados. No se realizan pruebas peridicas para asegurar la adecuada generacin de los respaldos. Recomendaciones significativas de la etapa C Mejorar el procedimiento de generacin, almacenamiento y recuperacin de respaldos de la informacin.
79 Hallazgos Identificados Existen varios perfiles de usuario con capacidades de Administrador de la Base de Datos. Al menos una de las claves de Administrador de la Base de Datos es conocida y compartida con otros miembros del departamento. Recomendaciones significativas de la etapa C Asignar las funciones y el perfil de Administrador de la base de datos nicamente al responsable de estas funciones.
80 Recomendaciones significativas de la etapa La Documentacin de la base de datos no se encuentra actualizada para todos los mdulos (Diccionario de datos, Modelo Entidad Relacin, Modelo Conceptual). No se cuenta con procedimientos formales de actualizacin y que sean parte del desarrollo o ejecucin de proyectos. C Elaborar e implantar procedimientos para documentacin de la base de datos. Hallazgos Identificados
81 Recomendaciones significativas de la etapa Hallazgos Identificados C Definir un esquema de seguridades estndar para todas las aplicaciones. Cada aplicacin posee su propio mdulo de seguridad. No existe un esquema de seguridad nico para todas las aplicaciones, lo que obliga a la utilizacin de claves por cada aplicacin. La administracin de perfiles de usuarios de las aplicaciones se encuentra a cargo del administrador de aplicaciones y del administrador de red.
82 Recomendaciones significativas de la etapa Hallazgos Identificados Las claves pueden contener caracteres repetidos. No es obligatoria la inclusin de caracteres numricos. Al cambiar la clave puede definirse como nueva clave la misma anterior. No se exige a los nuevos usuarios como primera actividad el cambio de la clave que les fue asignada. C Mejorar las reglas de construccin y cambio de claves de las aplicaciones.
83 Recomendaciones significativas de la etapa Hallazgos Identificados Existe documentacin tcnica nicamente de algunas aplicaciones, sin mantener un estndar definido. No se utiliza una metodologa formal para la elaboracin de la documentacin tcnica de las aplicaciones. Solicitar al proveedor la documentacin de todas las aplicaciones utilizadas.
84 Otras recomendaciones de la etapa Nivel de Criticidad C Elaborar un manual de procedimientos que detalle las responsabilidades y actividades a realizarse para ejecutar los procesos batch. C Definir formalmente un procedimiento para la recepcin y/o solicitud de requerimientos de usuarios relacionado con las aplicaciones utilizadas por la compaa C Establecer procedimientos para definir y seleccionar proveedores de aplicaciones con base a un perfil claramente establecido y en funcin de las necesidades de la compaa. C Definir un ambiente de pruebas ntegro C Mejorar las prcticas actualmente empleadas para la prueba
85 Etapa B Etapa B Gestin de los sistemas Informticos Auditora de Sistemas de los Servicios de Tecnologa de Informacin INFORME DETALLADO Y RECOMENDACIONES
RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin GESTION DE LOS SISTEMAS INFORMATICOS Requerimiento: Desarrollo, Operacin y Mantenimiento de Aplicaciones Objetivo de Control COBIT: Administracin de Calidad Metodologa del Ciclo de Vida de Desarrollo de Sistemas (11.5) / PO11 Administracin de Calidad / PO11 Procedimiento: Revisar y evaluar la metodologa de desarrollo de aplicaciones existente. Relevar los procedimientos para desarrollo de aplicaciones utilizados.
Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Adriana Snchez (Supervisora GTS) y Juan Carlos Viera (Administrador de Aplicaciones).
RESULTSYS no posee una metodologa formal para el desarrollo de aplicaciones, por cuanto no es una actividad significativa para la compaa, el soporte se lo solicita directamente a proveedores. Revisin de la Metodologa y los procedimiento para desarrollo de aplicaciones. No existe un procedimiento formal para solicitud de nuevos requerimientos y/o modificaciones menores sobre las aplicaciones utilizadas.
La priorizacin de requerimientos no son comunicados sistemtica y formalmente a los usuarios involucrados. Medio
Definir formalmente un procedimiento para la recepcin y/o solicitud de requerimientos de usuarios relacionado con las aplicaciones utilizadas por la compaa, el procedimiento debe considerar la utilizacin de formularios, aprobaciones respectivas, as como, notificacin a los usuarios de las prioridades asignadas a los requerimientos.
Cambios a las prioridades debern ser notificados a los usuarios involucrados.
Media
86 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Requerimiento: Desarrollo, Operacin y Mantenimiento de Aplicaciones Objetivo de Control COBIT: Administracin de proyectos /PO10 Instalacin y Acreditacin de Sistemas / AI5 Adquisicin y Mantenimiento de Software de Aplicacin / AI2 Procedimiento: Evaluar los procedimientos e iniciativas de investigacin y desarrollo. Evaluar los procedimientos para pasar los programas de ambiente de desarrollo a produccin. Revisar la documentacin de la planificacin de mantenimiento / mejora de aplicaciones, as como la documentacin que sustenta la prueba y otros procesos de recepcin por parte del usuario.
Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad
Anlisis y Diseo
Entrevista con Juan Carlos Viera (Administrador de Aplicaciones).
Revisin de la metodologa para el anlisis y diseo de sistemas.
Revisin de los procedimientos para el anlisis y diseo de sistemas.
Se efectan desarrollos menores con patrones comunes de desarrollo.
Todo el desarrollo de sistemas se lo terceriza con proveedores de este servicio.
No existen procedimientos definidos para la seleccin de proveedores de servicios de desarrollo de aplicaciones.
Adems, no existe control que aseguren la aplicacin de una Metodologa formal para desarrollo y mantenimiento de aplicaciones por parte de los proveedores.
Medio Establecer procedimientos para definir y seleccionar proveedores de aplicaciones con base a un perfil claramente establecido y en funcin de las necesidades de la compaa.
Adems, ser necesario establecer controles relacionados con: Formulario de solicitud de requerimientos / proyectos. Establecer controles de ejecucin y cumplimiento de contratos con proveedores de estos servicios. Solicitar la aplicacin y cumplimientos de una metodologa forma de desarrollo de sistemas.
Media 87 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad
Construccin
Relevamiento de las prcticas para construccin de sistemas. RESULTSYS utiliza algunos lineamientos para la construccin (desarrollo) de aplicaciones (formatos de variables, nombres de programas, etc.), sin embargo, desarrollos significativos estn a cargo de proveedores externos.
La metodologa de desarrollo de aplicaciones es la definida por el proveedor del servicio.
No existen manuales tcnicos de las aplicaciones, ya que el mantenimiento de las mismas son realizadas por los proveedores. Los manuales tcnicos de las aplicaciones no se encuentran actualizados.
Medio
Solicitar a los proveedores del servicio la actualizacin de la informacin de los manuales tcnicos y documentacin de los sistemas, con un adecuado nivel de detalle, de forma que sirvan como referencia para futuras modificaciones en los mismos Media
Integracin y Pruebas
88 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad
Entrevista con Juan Carlos Viera (Administrador de Aplicaciones).
Relevar los lineamientos para Integracin y pruebas de los nuevos desarrollos de sistemas. El proveedor de aplicaciones se encarga de efectuar las pruebas de los requerimientos, sin embargo no se cuenta con procedimientos detallados de pruebas ni las condiciones que asegurar una prueba integra de la aplicacin.
No se ha elaborado una metodologa de pruebas a los cambios / desarrollo de los programas tanto interna como por parte de los proveedores de aplicaciones. Alto Elaborar una metodologa de pruebas que considere las diversas condiciones y requerimientos que debern tomarse en cuenta. Esta metodologa deber considerar la elaboracin de planes de prueba para cada caso.
Alta Las pruebas son realizadas en el ambiente de desarrollo de proveedor.
RESULTSYS no cuenta con un ambiente de pruebas definido.
Una vez entregado los programas por parte del proveedor, las pruebas con los usuarios son realizadas directamente en produccin.
Alto La metodologa de pruebas debera especificar la utilizacin de ambientes separadas para desarrollo pruebas y produccin, adems, contar con un ambiente de pruebas ntegro que permita recrear las mismas condiciones del ambiente de produccin y asegurar el completo y adecuado funcionamiento de los sistemas.
Alta
Implantacin de Sistemas
Entrevista con Juan Carlos Viera (Administrador de Aplicaciones).
Los programas nuevos son copiados a los servidores de produccin y se procede a realizar pruebas en conjunto con los usuarios. Si es aprobado se reproduce en todos los servidores.
La compaa no cuenta con un procedimiento formal para el paso de programas a produccin. Bajo
Implementar procedimientos formales para el paso de programas a Produccin que sean revisado y aprobados por el personal de nivel jerrquico adecuado. Baja
89 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Revisin de los lineamientos para implantar los cambios/desarrollo de sistemas.
Una vez concluido los cambios o desarrollos existe una aprobacin formal por parte de los usuarios como constancia de la satisfaccin y aceptacin del trabajo realizado por el proveedor.
90 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Requerimiento: Desarrollo, Operacin y Mantenimiento de Aplicaciones Objetivo de Control COBIT: Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnologa de Informacin /AI4 Administracin de Operaciones /DS13 Procedimiento: Evaluar los procedimientos de operacin. Revisar las bitcoras de operacin. Revisar los procedimientos de schedulling y revisar las bitcoras de ejecucin de los procesos batch.
Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Adriana Snchez (Supervisora GTS). Revisar los lineamientos para la ejecucin de procesos batch. Revisar la bitcora para control de procesos.
Existe una rutina de ejecucin de procesos en batch, la cual es ejecutada diariamente, sin embargo este proceso no se encuentra formalmente documentado.
Los procesos batch ejecutados son principalmente rplicas de las distintas bases de datos de Lotus Note.
Adicionalmente, por requerimiento de los usuarios se realizan rplicas de bases manualmente.
Los procesos batch dejan como evidencia un log histrico el cul no es revisado peridicamente.
En el caso de excepciones, reportadas en los procesos batch cualquier persona del departamento GTS procede a solucionar a travs de rplicas manuales. No existe un procedimiento formalmente documentado sobre la ejecucin y control de los procesos batch de la compaa.
Bajo Elaborar un manual de procedimientos en el cual se detalle las responsabilidades y actividades a realizarse para ejecutar los procesos batch.
Entre otras cosas, el procedimiento debera considerar: responsables, horarios, rutinas a ser ejecutadas, posibles cursos de accin en casos de problemas, etc. Baja
91 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Requerimiento: Desarrollo, Operacin y Mantenimiento de Aplicaciones Objetivo de Control COBIT: Administracin de la Informacin /DS11 Procedimiento: Revisar los procedimientos vigentes para backup de informacin (tipo de informacin, periodicidad, lugar de almacenamiento y pruebas peridicas de los respaldos).
Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Adriana Snchez (Supervisora GTS) Revisar los lineamientos para la obtencin de respaldos.
Existe una rutina de generacin de los respaldos de la informacin, ejecutada diariamente, sin embargo este procedimiento no est formalmente documentado.
Existen respaldos diarios y mensuales.
Se realizan respaldos diariamente la informacin del correo electrnico, servidores de archivos y base de datos de clientes.
Los respaldos son completos (full) con reutilizacin de las cintas.
Las cintas utilizadas son DLT 40/80 GB.
Estas cintas pueden ser reutilizadas hasta 24 veces.
Los respaldos diarios son realizados por los administradores de red.
Los respaldos de las Base de Datos es responsabilidad del No todos los datos de la informacin que se respalda No poseen un procedimiento formalmente documentado para el proceso de obtencin de respaldos de la informacin.
Es un proceso definido informalmente.
Medio
Alto
Alto
Elaborar un manual de procedimientos en el cual se detalle el proceso de obtencin de respaldos de la informacin, incluyendo: servidores, tipo de informacin, frecuencia, responsables, bitcora de novedades, etc.
Establecer, difundir y hacer cumplir normas de trabajo a los usuarios que generan o procesan informacin sensitiva en utilitarios de oficina, como por ejemplo:
- Asignar espacios definidos para cada usuario en los discos de los servidores. - Aplicar normas que obliguen a los usuarios a mantener y efectuar copias peridicas de archivos en el servidor.
Mejorar el procedimiento de generacin de respaldos de la Media
Alta
Alta
92 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Administrador de Base de Datos.
El software utilizado para la generacin de los respaldos es ArcServer.
Las cintas se almacenan durante la semana en la oficina del Area IT, al final de la semana son almacenados en una oficina externa.
Mensualmente una versin se archiva en el casillero del Banco Internacional.
No poseen un procedimiento de prueba de los respaldos. Slo son probados en el momento que realizan un requerimiento de restauracin, y luego son almacenados.
(mdulos o aplicaciones) son detallados en la bitcora de respaldos.
No se realizan pruebas peridicas para asegurar la adecuada generacin de los respaldos.
informacin, en el cual se incluya los siguientes aspectos:
1. Bitcora de los respaldos realizados. Esta bitcora deber incluir entre otras cosas:
Listado de servidores / unidades a ser respaldadas. Detalle del tipo de informacin a ser respaldada (base de datos, programas, etc.) Horario de ejecucin de respaldo. Responsables. Nmero de cintas utilizadas. Cdigo o numeracin de cintas. Observaciones.
2. Establecer un procedimiento de prueba peridica de los respaldos, el cual garantice que la informacin que se encuentre en las cintas sea completa e ntegra. El objetivo es probar la calidad del soporte, las condiciones de almacenamiento y validez del proceso de respaldo. Para ello sugerimos restaurar al menos una vez por mes un
93 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad respaldo reciente.
Entrevista con Adriana Snchez (Supervisora GTS).
Revisar las actividades que realiza como medidas de respaldo de los servidores y las comunicaciones.
Los procedimientos para recuperar un servidor, en caso de ocurrir una falla, no se encuentran formalmente documentados.
Los servidores principales cuentan con arreglos de discos (storage arrays) y con raid 5 tolerancia a fallas.
Adicionalmente, los equipos Compaq poseen el software Netintelligent de monitoreo de errores en los dispositivos fsicos (disco duro, tarjetas, main board, ventiladores, etc.), el cual indica constantemente los errores en los servidores. No poseen procedimientos formalmente definidos para recuperacin y respaldo de servidores y comunicaciones.
Medio Definir y documentar los requerimientos de telecomunicaciones necesarios para soportar el funcionamiento de las aplicaciones y servicios crticos estableciendo medios de comunicacin alternativos (backups).
Media
94 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin
Requerimiento: Administracin de las Bases de Datos (DBA) Objetivo de Control COBIT: Definicin de la Arquitectura de Informacin / PO2 Procedimiento: Evaluar los procedimientos de administracin de la base de datos.
Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Adriana Snchez (Supervisora GTS)
Revisin de los procedimientos de seguridad de la Base de Datos.
Existe 1 persona que posee privilegios de Administrador de la Base de Datos en el ambiente de Produccin (Juan Carlos Viera).
Revisin de las seguridades de la Base de Datos siguiendo los puntos de enfoque recomendados por GRMS Da Environment Control Features Review Plan Practice Aid de PricewaterhouseCoopers tabase
El proceso de conexin entre la Base de Datos y las aplicaciones consiste en:
Todos los usuarios de aplicaciones acceden a la Base de Datos a travs de un usuario (no loggable) de conectividad comn (US), el cual permite enlazar el usuario de la aplicacin con la Base de Datos.
1. El usuario ingresa a la aplicacin. 2. Ingresa su login y password (de la aplicacin). 3. Realiza la operacin requerida en la aplicacin. 4. De manera transparente al usuario, la aplicacin se conecta a la Base de Datos haciendo uso del usuario comn (US), el cual provee la conectividad entre la Base de Datos y la aplicacin. Existen varias personas con perfil de DBA dentro de la compaa. Adicionalmente la clave del Administrador de la Base de Datos es conocida y compartida con otros miembros del departamentos GTS.
Alto
Asignar las funciones y el perfil de Administrador de la Bases de Datos nicamente al responsable de estas funciones.
Redefinir los perfiles del personal de sistemas, asignndoles nicamente los permisos y accesos a las bases de datos requeridos para sus funciones.
Recomendamos almacenar en un sobre cerrado y en un sitio seguro clave del DBA como medida de respaldo.
Alta
95 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad 5. Una vez realizada la conexin, cada aplicacin tiene una tabla de autenticacin en la Base de Datos, la cual contiene el nombre del usuario, login y password, accesos permitidos y estado del usuario. 6. La Base de Datos revisa: a) usuario; b) contrasea; c) estado del usuario (A: Activo, B: Inactivo); y d) Privilegios de la cuenta. 7. Al pasar exitosamente los cuatro chequeos se permite que las operaciones sean registradas en la Base de Datos.
El usuario comn de conectividad habilita concurrentemente muchos canales de comunicacin, sin reducir el tiempo de respuesta de la Base de Datos.
Actualmente slo los usuarios del departamento de Finanzas tienen un usuario de conectividad para cada usuario de la aplicacin.
96 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Requerimiento: Administracin de las Bases de Datos (DBA) Objetivo de Control COBIT: Definicin de la Arquitectura de Informacin / PO2 Procedimiento: Revisar el sistema de documentacin de la base de datos (nivel de detalle y actualizacin de la informacin).
Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con el Administrador de la Base de Datos (Juan Carlos Viera)
Actualmente el Administrador de la Base de Datos se encuentra mejorando los procedimientos de documentacin de la base de datos. Revisin de los procedimientos para documentacin de la Base de Datos.
No todos los cambios a la Base de Datos, son actualizados en la documentacin: Diccionario de Datos, Modelo Entidad Relacin y el Modelo Conceptual.
No poseen procedimientos formales para documentar los cambios realizados a la Base de Datos.
El Diccionario de Datos, Modelo Entidad Relacin y el Modelo Conceptual de algunos Mdulos no se encuentran actualizados.
Medio
Elaborar un manual de procedimientos que aseguren una adecuada y permanente actualizacin de la documentacin de la Base de Datos, especificando, entre otras cosas, responsables, documentos a ser actualizados, mtodo de actualizacin, etc.
Media
97 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin
Requerimiento: Administracin de las Bases de Datos (DBA) Objetivo de Control COBIT: Definicin de la Arquitectura de Informacin / PO2 Procedimiento: Analizar roles y responsabilidades de la administracin de la base de datos.
Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con el Administrador de la Base de Datos (Juan Carlos Viera). La Administracin de la Base de Datos est a cargo de Juan Carlos Viera.
Evaluar los roles y responsabilidades asignadas al DBA vs. las funciones efectivamente realizadas.
Se efecta un monitoreo peridico del rendimiento de las Bases de Datos.
98 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Requerimiento: Gestin y Explotacin de las Aplicaciones Objetivo de Control COBIT: Adquisicin y Mantenimiento de Software de Aplicacin / AI2 Garantizar la Seguridad de Sistemas / DS5 Procedimiento: Relevar informacin relativa a las aplicaciones como: caractersticas generales, responsables, plataforma tecnolgica, principales mdulos, mecanismos de seguridad disponibles, documentacin existente, interfaces con otros sistemas e implantaciones en curso. Evaluar la seguridad y control de cada aplicacin.
RESULTSYS tiene como estrategia empresarial la adquisicin de aplicaciones, as como la tercerizacin del mantenimiento de sistemas con distintos proveedores. Solamente se realizan desarrollos menores, los principales sistemas en produccin son:
#
Aplicacin
Funcionalidad
Responsable
Sites Abarcados 1 Gestor Sistema utilizado para proveer servicio de tercerizacin a clientes (Contabilidad / Nmina) Juan Carlos Viera Quito / Guayaquil 2 Platinum Sistema Administrativo Financiero Interno Juan Carlos Viera Centralizado en Quito 3 WIP Sistema para Control de Proyectos (Clientes) Juan Carlos Viera Quito / Guayaquil 4 Sistema de Reporte de Impuestos Sistema de reportes para el Impuesto al Valor Agregado IVA e impuesto a la Renta para el SRI Juan Carlos Viera Centralizado en Quito 5 Otras aplicaciones menores - Inventarios de Computadores, Requisiciones, Ranking de clientes, etc. (Lotus Notes) - Sistema Integrado de Legislacin Ecuatoriana - Sistema de Remuneraciones Salariales (Encuestas) Responsable de las Areas Usuarias Quito / Guayaquil
99 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin
Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Seguridades
1. Aunque todas las aplicaciones poseen un mdulo de seguridad, no se han definido reglas para la construccin y cambio de claves. Existe nicamente reglas con respecto al tamao y periodicidad de cambio.
2. Cada aplicacin posee su propio mdulo de seguridad, es decir, no existe un esquema de seguridad nico para todas las aplicaciones, lo que obliga a la utilizacin de claves por cada aplicacin.
3. La administracin de perfiles de usuarios de las aplicaciones se encuentra a cargo del administrador de aplicaciones y del administrador de red.
Alto
Definir un esquema de seguridades estndar para las aplicaciones, en donde se tomen en cuenta: Alta
Utilizacin de perfiles de usuarios predefinidos para todas las aplicaciones.
Definir un esquema nico de seguridades para todas las aplicaciones, de tal manera que permita a los usuarios utilizar un solo perfil de acceso para todas las aplicaciones requeridas. Asignar las funciones de administrador de seguridades de las aplicaciones al personal apropiado.
Adicionalmente se debera considerar mejorar las reglas de construccin y cambio de claves de las aplicaciones, tomando en cuenta aspectos como:
Longitud mnima de claves
No permitir el uso de caracteres repetidos en las claves Considerar la inclusin de caracteres numricos
No permitir el uso de la misma clave de forma consecutiva.
Solicitar a los nuevos usuarios como
100 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad
Documentacin existente El proveedor no ha proporcionado manuales tcnicos y de usuario para algunas aplicaciones.
Medio
primera actividad el cambio de la clave que les fue asignada.
Este esquema deber aplicarse tanto para aplicaciones desarrolladas como para las adquiridas.
Solicitar a los proveedores de aplicaciones actualizar los manuales de usuarios y tcnicos de las distintas aplicaciones utilizadas, tarea que debera ser considerada parte de la metodologa de desarrollo.
Media
101
102 Etapa C Etapa C Plataformas y Comunicaciones Auditora de Sistemas de los Servicios de Tecnologa de Informacin CONCLUSIONES SIGNIFICATIVAS
103 Recomendaciones significativas de la etapa C Monitorear el Rendimiento y Capacidad de los componentes de la red. Nivel de Criticidad C Implementar herramientas que permitan agilitar el registro, control de los equipos, software y sus respectivas licencias.
104 Hallazgos Identificados No existe un adecuado monitoreo sobre el trfico de red y comunicaciones. No se emiten reportes para el anlisis del rendimiento de los servidores y dems componentes de la red. Porcentajes bajos de espacio disponible en los discos de los Servidores. Recomendaciones significativas de la etapa C Monitorear el Rendimiento y Capacidad de los componentes de la red.
105 Hallazgos Identificados No existe herramientas para control del software existente. Recomendaciones significativas de la etapa C Implementar herramientas que permitan agilitar el registro, control de los equipos, software y sus respectivas licencias.
106 Otras recomendaciones de la etapa Nivel de Criticidad C Desarrollar un Website acorde al perfil e imagen de la compaa.
107 Etapa C Etapa C Plataformas y Comunicaciones Auditora de Sistemas de los Servicios de Tecnologa de Informacin INFORME DETALLADO Y RECOMENDACIONES
RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin PLATAFORMAS Y COMUNICACIONES Requerimiento: Plataforma Tecnolgica, Redes y Comunicaciones Objetivo de Control COBIT: Administracin de Desempeo y Capacidad / DS3 Procedimiento: Revisin de los procedimientos de medicin del rendimiento. Anlisis de los informes de rendimiento disponibles.
Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Adriana Snchez para relevar los procedimientos de monitoreo y rendimiento del Trfico de la Red.
No se realizan reportes de rendimiento ni anlisis del trfico de la red.
El monitoreo de la red WAN lo realiza la oficina central de Sao Paulo.
Sobre la red local se realiza anlisis a travs de una herramienta de 3COM limitada.
No se ha desarrollado un Plan de Administracin de Capacidad de Recursos.
Procedimientos para anlisis de trfico en la red y generacin de reportes de rendimiento no han sido definidos.
Medio Desarrollar un Plan de Administracin de Capacidad de Recursos, en donde se establezca un proceso de revisin del desempeo y capacidad del hardware, redes y comunicaciones con el fin de asegurar que siempre existe una capacidad justificable econmicamente para procesar las cargas de trabajo y proporcionar un desempeo acorde a las necesidades del negocio.
El plan de capacidad deber cubrir escenarios mltiples y procedimientos formales para el monitoreo y anlisis de trfico en la red.
Media
108 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Requerimiento: Plataforma Tecnolgica, Redes y Comunicaciones Objetivo de Control COBIT: Administracin de Desempeo y Capacidad / DS3 Procedimiento: Revisin de los procedimientos relativos al monitoreo de la red. Anlisis de la bitcora de problemas. Anlisis de los mecanismos de comunicacin y acceso a los datos de la red desde el punto de vista de disponibilidad.
109 Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Adriana Snchez para conocer los parmetros de disponibilidad utilizados para el control y monitoreo de la red y comunicaciones.
El control y monitoreo se efecta a la red de acuerdo a parmetros establecidos por la organizacin global.
Entrevista con Adriana Snchez para conocer y evaluar los lineamientos y herramientas que se utilizan para el control y monitoreo de la red y comunicaciones. No se dispone localmente de herramientas para monitoreo.
No se cuenta con procedimientos formales para el control de eventos en la red.
No se emiten reportes peridicos del monitoreo a la red y comunicaciones.
Adems, no se utiliza software para el monitoreo de las red y comunicaciones.
Alto Implementar procedimientos de Monitoreo y Reporte de Eventos de la Red y las Comunicaciones. Asimismo, las excepciones debern ser reportadas y registradas en una bitcora de problemas de manera oportuna y completa.
Los reportes debern incluir la capacidad de pronstico para permitir que los problemas sean solucionados antes que afecten en forma perceptible el desempeo del sistema de informacin.
Nos permitimos sugerir se utilicen las siguientes herramientas.
Alta RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Monitor del Sistema de Windows NT4.0 HP Open View, herramienta compatible con Compaq Insight Manager, que posee entre otras las siguientes utilidades: Monitoreo de Comunicaciones Monitoreo de Infraestructura de Internet. Administracin de Redes LAN. Administracin de recursos y rendimiento.
Entrevista con Lenn Robalino para conocer los procedimientos de mantenimiento preventivo de equipos.
El rea de Soporte Tcnico cuenta con una planificacin del mantenimiento rutinario y peridico del hardware con el fin de reducir la frecuencia y el impacto de fallas de rendimiento de los equipos.
110 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Requerimiento: Plataforma Tecnolgica, Redes y Comunicaciones Objetivo de Control COBIT: Administracin de Desempeo y Capacidad / DS3 Procedimiento: Relevar las herramientas de monitoreo de hardware y software existentes, y compararlas con las disponibles en el mercado.
Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Adriana Snchez para conocer los mecanismos para el control de Hardware y Software. El control del hardware y software utilizados se lo lleva en una base de datos en Lotus Notes. No existen herramientas para control de software existente.
Medio
Implementar herramientas que permitan agilitar el registro, control de los equipos, software y sus respectivas licencias.
Nos permitimos sugerir las siguientes herramientas de control.
Control de Hardware y Software
ASAP eSMART
(http://www.asap.com/eSMART /index.htm)
AssetMetrix
System Management Server 2.0
http://www.microsoft.com/pirac y
http://www.assetmetrix.com/
Media
111 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad
Control de Software y Licenciamiento
GASP5 Suite
http://www.attest.com/
Express Software Manager
http://www.expressmetrix.com/
The Microsoft Software Inventory Analyzer (MSIA)
http://www.microsoft.com/pirac y/msia/
EasyVista
http://www.easyvista.com/.
112 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Requerimiento: Plataforma Tecnolgica, Redes y Comunicaciones Objetivo de Control COBIT: Administracin de la Configuracin / DS9 Aseguramiento de Servicio Continuo / DS4 Procedimiento: Relevamiento de la arquitectura del sistema Revisar procedimientos de respaldo (mirroring, lneas de comunicacin alternativas).
113 Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Determinar si la Arquitectura Actual se encuentra enmarcada dentro de un Plan de Infraestructura tecnolgica.
La arquitectura del sistema actualmente utilizada por la compaa est enmarcada en las definiciones y polticas de la organizacin.
Entrevista con Adriana Snchez para conocer y evaluar la documentacin interna disponible con relacin a la Infraestructura Tecnolgica.
Existe documentacin de diagramas, configuraciones y procedimientos de administracin de red y comunicaciones.
Solicitar a Adriana Snchez listado con las caractersticas de los servidores. Realizar un anlisis de sus caractersticas en relacin con su funcionalidad.
Los servidores instalados en el RESULTSYS poseen las siguientes caractersticas:
- Marca: Compaq - Lneas: ML530 - RAM: Desde 256MB hasta 1GB. - Disco Duro: Array 5 con 4 HD 9.1 GB de capacidad. Adems, se pudo determinar que diversos servidores, mantienen ms del 85% de capacidad de disco utilizada.
Alto Deber efectuarse un monitoreo del espacio disponible en los discos de los servidores, procurando mantener un porcentaje mnimo del 15% de su capacidad total. Alta RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad - Procesadores : Pentium y Pentium III desde 400MHz a 2.2 GHz.
Solicitar a Viviana Crdoba, un listado con las caractersticas de las estaciones de trabajo. Realizar un anlisis de sus caractersticas.
El estndar para nuevas adquisiciones de estaciones de trabajo es el siguiente:
Procesadores: Pentium IV 2GHz Lneas: Dektop RAM: 256 MB. Disco Duro: Desde 2GB a 40 GB.
Existe un contrato de leasing con la empresa SONDA.
Entrevista con Adriana Snchez para recopilar informacin relacionada con el software bsico estndar utilizado. El software bsico est totalmente estandarizado por lineamientos corporativos, adems, se siguen normas para evitar la instalacin de software no autorizado por parte de los usuarios.
114 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Adriana Snchez para conocer las caractersticas del website de la compaa.
No existe un website de la compaa. No existe un website de la compaa. Bajo Desarrollar un Website acorde al perfil e imagen de la compaa.
Baja
115
116 Etapa D Etapa D Evaluacin de Seguridades y Procedimientos de Continuidad Auditora de Sistemas de los Servicios de Tecnologa de Informacin CONCLUSIONES SIGNIFICATIVAS
117 Recomendaciones significativas de la etapa C Redefinir las seguridades lgicas del Sistema Operativo. C Elaborar e implantar procedimientos alternativos de operacin durante fallas. Nivel de Criticidad
118 Recomendaciones significativas de la etapa C Redefinir las seguridades lgicas del Sistema Operativo. Usuarios: 2 Administradores, 6 usuarios con password sin tiempo de expiracin, 10 deshabilitados que no han sido eliminados, 7 Inactivos por ms de 90 das que no han sido deshabilitados, 5 usuarios definidos que nunca no se han conectado a la red, 15 password igual al nombre del usuario, 8 usuarios genricos. Hallazgos Identificados DUPLICADOR 2066 Day(s) 1 Hr. 18 Min. 10 Sec. No X X X SMSUSER 1106 Day(s) 20 Hr. 59 Min. 19 Sec. No X X X Usuario Duracin Actual del Password Password Expirado Password Configurado para Nunca Expirar Password Igual que Nombre de Usuario Administrador
119 Recomendaciones significativas de la etapa C Redefinir las seguridades lgicas del Sistema Operativo. Grupos: No existe una planificacin formal para la creacin de grupos de usuario en el sistema operativo (Existen usuarios que forman parte de grupos no acorde a sus funciones). Auditora: No se realiza ninguna revisin sobre los log de auditora activados. Adems, los mismos no se encuentran activados individualmente en todos los servidores. Hallazgos Identificados
120 Elaborar un Plan de contingencias adecuadamente estructurado acorde a la estructura tecnolgica, riesgos y servicios que la Compaa brinda. Disear Procedimientos que permitan la continuidad de la operacin del negocio ante cualquier incidente o falla. Se deberan considerar procedimientos como: Operacin durante fallas en las comunicaciones. Mirroring para los discos de todos los servidores. Equipos de reemplazo y dems componentes de la red. Hot sites disponibles y probados. Mecanismos de comunicacin alternativos. Back ups almacenados en -o cerca del - potencial hot site. Recomendaciones significativas de la etapa C Elaborar e implantar procedimientos alternativos de operacin durante fallas. Hallazgos Identificados
121 Otras recomendaciones de la etapa Nivel de Criticidad C Establecer un procedimiento formal para altas, bajas y modificaciones de usuarios en coordinacin con el Area de Recursos Humanos. C Revisar los niveles de acceso fsico al rea de servidores. C Hacer uso de carteles que recuerden a los funcionarios las prohibiciones de NO FUMAR" o "NO INGERIR ALIMENTOS EN EL REA". C Extraer cualquier tipo de material inflamable (papeles, cartones, etc.) del piso del departamento de sistemas y del cuarto de servidores. C Efectuar pruebas peridicas del plan de contingencias para asegurar su efectividad.
122 Auditora de Sistemas de los Servicios de Tecnologa de Informacin INFORME DETALLADO Y RECOMENDACIONES Etapa D Etapa D Evaluacin de Seguridades y Procedimientos de Continuidad RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin EVALUACION DE SEGURIDADES Y PROCEDIMIENTOS DE CONTINUIDAD Requerimiento: Seguridades: Fsicas, Lgicas y de Comunicaciones Objetivo de Control COBIT: Garantizar la Seguridad de Sistemas / DS5 Identificacin de Soluciones de Automatizacin Diseo de Pistas de Auditora (1.10) / AI1 Procedimiento: Evaluar las polticas y procedimientos de seguridad vigentes. Revisar la seguridad lgica implantada en los servidores. Tiempo permitido de inactividad en el sistema (time out). Verificar la activacin y revisin de logs y pistas de auditora.
123 Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad POLITICAS Y PROCEDIMIENTOS DE SEGURIDAD.
Se han definido los siguientes niveles de seguridad:
Entrevista con Adriana Snchez para conocer las polticas y procedimientos de seguridad vigentes.
Aplicaciones: Los Sistemas de Informacin permiten crear perfiles de acceso, por medio de los cuales se asigna o restringe al usuario ciertas opciones.
Sistema Operativo: Se han configurado parmetros de seguridad propios del sistema operativo y se ha asignado un nombre de usuario y password para el acceso a los recursos (red, impresoras, etc.).
En cuanto a formalizacin, se elabor un manual completo de polticas y procedimiento de seguridad con base a lineamiento corporativos.
RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad 124 Esta informacin est a disponibilidad de los usuarios en bases de datos Lotus Notes.
ROLES Y RESPONSABILIDADES DE SEGURIDAD Y CONTROL IT Los roles estn distribuidos de la siguiente manera:
Entrevista con Adriana Snchez para conocer como se han determinado roles y responsabilidades de seguridad y control IT.
Administracin de Bases de Datos: Juan Carlos Viera.
Mediante el software Bindview se revis quienes tienen privilegios de administrador dentro de Novell Netware.
Administracin de seguridades a nivel de Red, Comunicaciones y Centro de Cmputo: Adriana Snchez.
De la revisin del Sistema Operativo con BindView pudimos observar que de los 2 usuarios detallados, nicamente 1 justifica la utilizacin de este privilegio, ya que l cumple las funciones de Administrador de Red. Autorizacin para Creacin de Usuarios en la Red y Aplicaciones (Gerentes de cada Area). Creacin de Usuarios, en la red y Aplicaciones (Adriana Snchez). Acceso Correo Electrnico Interno y Externo, Adriana Snchez. Acceso a Internet, Adriana Snchez. Administrador de claves de los Sistemas: Juan Carlos Viera
RESULTSYS no ha definido roles de una manera formal.
Alto Dentro de las Polticas de Seguridad se deben establecer roles y responsabilidades adecuadas para la seguridad de la informacin. Adems, se debern desarrollar procedimientos adecuados. Esto incluye entre otras cosas:
- Propiedad de la informacin. - Roles y responsabilidades relativos a la seguridad fsica de los equipos de computacin. - Por ltimo se debe redefinir los privilegios configurados en el Sistema Operativo.
Alta RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad 125 EDUCACION Y CAPACITACION DE SEGURIDAD
Se nos coment que se realiza charlas de induccin a los empleados nuevos y se enva una serie de documentos referentes a las polticas de uso de los recursos tecnolgicos en general.
Entrevista con Adriana Snchez, conocer la capacitacin que se ha dado a los empleados de RESULTSYS, referente a Seguridad y Control IT.
SEGURIDAD DE USUARIO Mediante el software Bindview se revis las polticas de seguridad configuradas en el Sistema Operativo, siguiendo los puntos de enfoque recomendados por GRMS Novell Netware Practice Aid.
Consultas ejecutadas:
1. Detalle de Configuracin de Passwords en las Cuentas de Usuario.
2. Polticas de cuenta de Dominio.
3. Usuarios sin password.
4. Usuarios Deshabilitados.
1. Los reportes obtenidos incluyen informacin de:
a. Opcin para Expiracin de password activada. b. Opcin de cambio de clave por el propio usuario. c. Password Expirado d. Password debe ser cambiado en la siguiente sesin e. Intentos fallidos de acceso.
2. Los resultados obtenidos fueron:
- Longitud Mnima de password: 8 (Notes) 6 (Novell) BD Oracle (6)
- Duracin Mxima del password: 50 das (Novell y BD)
Se encontraron 2 usuarios que:
a. Su Password nunca expira
b. Adems de los usuarios cuyo password nunca expira, la opcin de cambio de clave por el usuario no se encuentra activada.
c. Usuarios con Password expirado
d. Usuarios que tiene configurado el cambio de password en la siguiente sesin.
Existen 7 usuarios inactivos por ms de 90 das que no han sido deshabilitados o eliminados
Alto
Implementar procedimientos de Seguridad de Usuario (Identificacin, Autenticacin y Acceso) en el sistema operativo, dichos mecanismos debern evitar que personal no autorizado tenga acceso a los recursos IT, de igual manera se deber minimizar la necesidad de utilizar mltiples nombres de usuario y contraseas.
Asimismo, debern definirse polticas de configuracin a nivel de Sistema Operativo para conservar la efectividad de los mecanismos de autenticacin y acceso:
- Activar la expiracin de password. - Permitir el cambio de clave
Alta RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad 5. Usuarios Bloqueados
6. Usuarios Inactivos por ms de 90 das que no han sido deshabilitados.
7. Usuarios Habilitados que nunca se han conectado a la red, verificando que no correspondan a usuarios deshabilitados, bloqueados o inactivos.
8. Usuarios cuyo password es igual al nombre de su identificacin.
9. Usuarios cuyo nombre de Cuenta no es apropiado.
10. Usuarios repetidos en el domino.
11. Usuarios sin descripcin de cuenta.
12. Usuarios con nombres genricos. - Nmero de passwords diferentes: 10
3. No se encontraron usuarios sin password.
4. Se encontraron un total de diez usuarios deshabilitados.
5. Existen 25 cuentas de usuario bloqueadas.
6. Existen 5 usuarios habilitados que nunca se han conectado a la red.
7. Existen 15 usuarios cuyo password es idntico al nombre de su identificacin.
8. No se encontraron usuarios repetidos.
9. Existen cuatro usuarios sin descripcin de la cuenta.
10. Existen 8 usuarios con nombre de cuenta genrico, es decir que no se puede establecer la persona propietaria de la cuenta.
Existen 5 usuarios que nunca se han conectado a la red.
Existen 15 usuarios cuyos passwords son iguales al nombre de usuario.
a los usuarios. - Limitar el nmero de Intentos fallidos de conexin a 3. - El password no debe ser igual al nombre de usuario - Mantener descripciones de todas las cuentas. - Renombrar las cuentas creadas por defecto por el sistema operativo, en especial las de administrador e invitado. - Se recomienda que no se puedan repetir caracteres en la nueva contrasea.
Adems, se deben establecer procedimientos de:
- Altas, bajas, bloqueos, deshabilitacin, eliminacin de cuentas de usuario. - Procedimiento que debera considerar una aprobacin formal por parte del propietario de los datos y de la persona que otorga los privilegios de acceso. Todo esto podra ser coordinado por el departamento de Recursos Humanos. - Revisin y depuracin de cuentas bloqueadas, deshabilitadas o inactivas por ms de 90 das. Adems 126 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin
se deber contar con procesos de control para confirmar los derechos de acceso. - Revisin de usuarios que no se han conectado a la red. - Renombrar las cuentas de usuario con nombre genrico.
SEGURIDAD DE GRUPOS
Indagar con Adriana Snchez la funcionalidad de cada uno de los Grupos configurados en Novell Netware. Mediante el software Bindview se revis las polticas de seguridad de Grupos configuradas en el Sistema Operativo, siguiendo los puntos de enfoque recomendados por GRMS Novell Netware Practice Aid.
Consultas ejecutadas:
1. Grupos Locales
2. Grupos Globales
3. Membresa de Grupos, con Los grupos son creados de acuerdo a las reas definidas en RESULTSYS.
No existe una adecuada planeacin para la definicin de grupos y asignacin de usuarios acorde a las funciones que realiza.
Asimismo, algunos usuarios forman parte de Grupos que no les corresponden, de acuerdo a su funcionalidad.
Alto RESULTSYS no posee una planificacin formal para la creacin de grupos. Sin una adecuada planificacin, existe el riesgo de implementar grupos redundantes o no autorizados
Para la planificacin se debe tomar en cuenta las mejores prcticas como:
- Los Grupos Globales deben ser utilizadas para organizar cuentas de usuario de dominio, los cuales deben ser organizados por localizacin o funcin.
- Los Grupos Locales deben ser usados para proveer acceso a recursos y derechos para efectuar tareas del sistema.
Asimismo, es importante Alta Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad 127 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad esta consulta se verific que los usuarios formen parte de los grupos de acuerdo a sus funciones.
mantener registros (justificacin, descripcin, derechos) de los grupos agregados a los ya definidos por el sistema operativo.
OPCIONES DE AUDITORIA Y LOG DE EVENTOS
Mediante el software Bindview se revis las polticas de seguridad de Auditora y Log de Eventos configuradas en el Sistema Operativo, siguiendo los puntos de enfoque recomendados por GRMS Novell Netware Practice Aid.
Consultas ejecutadas:
1. Servidores sin Log de Auditora Habilitado.
2. Servidores que arrancaron sin memoria libre.
3. Posible corrupcin de registros.
Adems se solicitaron bitcoras resultado del monitoreo de los logs de auditora y de eventos.
1. Se obtuvo un detalle de los servidores sin el log de auditora activado.
2. No se encontraron sucesos de servidores arrancados sin memoria
3. No se encontraron registros corruptos.
No se realiza ninguna revisin sobre los logs de auditora activados. Los servidores individualmente no tienen activado el log de Auditora.
Medio
Se debe implementar un procedimiento de revisin peridica de los logs de eventos, asegurando que las actividades de seguridad, sean registradas, revisadas y escaladas apropiadamente en forma regular para identificar y resolver incidentes que involucren actividades no autorizadas.
Para algunas funciones especficas (Administracin de Bases de Datos, Ejecucin de Procesos batch) es recomendable activar el log individual del servidor, para que el responsable del mismo lo revise detalladamente.
Media 128 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad 129 SEGURIDAD DE DIRECTORIOS Y ARCHIVOS 1. Se obtuvo un reporte de los recursos compartidos en los servidores.
Mediante el software Bindview se revis las polticas de seguridad en Directorios y archivos (acceso a datos configurados en el Sistema Operativo), siguiendo los puntos de enfoque recomendados por GRMS Novell Netware Practice Aid.
Consultas ejecutadas:
1. Recursos Compartidos con acceso total para todos.
2. Directorios de Usuario Compartidos con acceso total para todos
3. Directorios que pueden ser propiedad de usuarios borrados.
4. Directorios que ocupan ms de 10 MB.
5. Directorios con ms de 100 archivos.
6. Directorios vacos.
2. Se obtuvo un detalle de los directorios de usuario asignados al servidor, que se encuentran compartidos y con acceso total para todos los usuarios.
3. Se obtuvo un reporte con todos los archivos de usuario propiedad de un usuario borrado y no hubo hallazgos al respecto.
4. Se obtuvo un reporte de 16 directorios que ocupan ms de 50 MB en disco.
5. Se obtuvo un reporte de 5 directorios con ms de 100 archivos.
6. Se obtuvo un listado de 34 directorios que se encuentran vacos.
1. Se encontraron 5 directorios compartidos
2. Directorios que ocupan ms de 50 MB en disco. 3. Directorios que contienen ms de 100 archivos.
4. Directorios de Usuario con 0 archivos. Alto Se recomienda implementar polticas de control de permisos de acceso a archivos sensitivos y de usuario, as como a informacin sensitiva y personal.
Adems, es importante establecer normas de utilizacin de los directorios de usuario para optimizar el espacio en disco disponible en los servidores, y evitar la posible manipulacin de informacin no autorizada (de otros usuarios).
Alta RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Requerimiento: Seguridades: Fsicas, Lgicas y de Comunicaciones Objetivo de Control COBIT: Garantizar la Seguridad de Sistemas / DS5 Procedimiento: Revisar las seguridades de accesos remotos (dial up, internet, intranet). Evaluar los mecanismos de proteccin antivirus.
Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Adriana Snchez, para conocer procedimientos de restriccin de navegacin en Internet a los usuarios.
Se ha restringido el acceso a Internet a ciertos funcionarios de la compaa, mediante un Proxy. Adems, se ha restringido la navegacin a ciertas pginas web con Firewall One. Comprobar las restricciones de navegacin, mediante el acceso a Internet con un usuario de la red.
Entrevista con Adriana Snchez, encargado de la administracin y monitoreo de las comunicaciones. RESULTSYS cuenta con un Firewall One que sirve como mecanismo de proteccin a la red.
Se realiza revisiones del log del firewall de forma peridica.
El firewall registra en su log file todo intento de acceso no autorizado o cualquier vulneracin de los puertos.
130 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Adriana Snchez (Supervisora GTS). RESULTSYS utiliza McAfee Virus Scan w/SP, el cual es instalado en todos los microcomputadores y servidores de la compaa.
Las actualizaciones se realizan peridicamente a travs de procedimientos automticos.
131 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Requerimiento: Seguridades: Fsicas, Lgicas y de Comunicaciones Objetivo de Control COBIT: Administracin de Instalaciones / DS12 Procedimiento: Evaluar los mecanismos de seguridad fsica existentes, incluyendo contratos de seguros existentes.
Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Adriana Snchez (Supervisora GTS) y Wilfrido Carranza (Recursos Humanos). Todos los funcionarios de la compaa poseen una tarjeta magntica codificada que les permite ingresar a las reas de trabajo previamente asignadas a cada uno de ellos. Estos accesos se encuentran definidos en la consola con que cuenta el Edificio de IBM (lugar donde se encuentran las oficinas de RESULTSYS).
Esta maneja el software propio de IBM que le permite realizar monitoreo permanente de los accesos a las diversas reas del edificio.
Los niveles de acceso se encuentran definidos por las funciones realizadas por el personal. Adems, se observaron dos equipos adicionales que realizan las siguientes tareas: Equipo 1: Realiza monitoreo de alarmas (detectores de movimiento), electricidad, cambios de voltaje, luces y ventilacin. Equipo 2: Realiza monitoreo de las alarmas contra incendio
132 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad instaladas.
Recursos humanos es el responsable de la asignacin de tarjetas y accesos fsicos para cada empleado.
Revisin de los accesos a las instalaciones fsicas. Se realiz un recorrido por el Departamento de Sistemas y cuarto de servidores, para ingresar al mismo no es necesario contar con una tarjeta magntica.
Sin embargo, para ingresar al departamento de sistemas existe una puerta de seguridad que est bajo control exclusivo del personal de sistemas.
El ingreso al cuarto de servidores es permitido nicamente a personal del rea de sistemas, sin embargo, no existen mecanismos de seguridad especficos Medio Recomendamos revisar los niveles de acceso fsico al rea de servidores. Este, debera ser permitido nicamente al personal responsable de la operacin y mantenimiento de los servidores. Media 133 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Wilfrido Carranza responsable de recursos humanos de la compaa.
En caso de prdida de las tarjetas de acceso, el funcionario debe comunicar personalmente con Recursos Humanos para proceder a su inmediato bloqueo en el sistema.
Al presentarse cualquier salida definitiva de un funcionario, Recursos Humanos solicita al mismo la devolucin de su tarjeta de acceso. No se utiliza el mismo procedimiento en casos de presentarse vacaciones.
No existe un documento formal que detalle polticas y procedimientos de acceso a las instalaciones de la compaa. En caso de que un funcionario tome vacaciones el mismo no efecta la devolucin de su tarjeta codificada de acceso, razn por la que su cuenta o acceso no es desactivado.
No se cuenta con polticas formales para el acceso a las instalaciones de la compaa. Medio
Se recomienda solicitar a todo funcionario que se encuentra de vacaciones haga devolucin de su tarjeta de acceso.
En caso de que el funcionario desee ingresar temporalmente a las oficinas durante sus vacaciones deber hacerlo utilizando una tarjeta de visitante o una auxiliar. De igual manera recomendamos que se elaboren procedimientos de notificacin de salidas de empleados ya sea por vacaciones, despido o renuncia por parte de Recursos Humanos y se los haga conocer al departamento de Sistemas.
Adems, elaborar polticas y procedimientos de acceso a las instalaciones y a los diferentes departamentos. Asimismo, dichos documentos se deberan poner a disposicin de todos los funcionarios haciendo uso de la Intranet existente.
Media 134 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin
Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Adriana Snchez (Supervisora GTS). Durante nuestro recorrido se observ el piso del departamento de sistemas se encuentra adecuadamente diseado. De igual manera, existe una pequea extensin del piso del cuarto de servidores que se encuentra alfombrado.
Entrevista con Adriana Snchez (Supervisora GTS). Durante nuestro recorrido por las instalaciones se observ la presencia de extintores de incendio y water supplier.
Dentro del departamento de sistemas se observ extintores de incendio
135 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Se realiz un recorrido por las instalaciones del Departamento de Sistemas con la finalidad de verificar su estructura, organizacin y distribucin fsica.
Durante nuestra visita no observamos letreros que indiquen "NO FUMAR" o "NO INGERIR ALIMENTOS EN EL REA".
Bajo Creemos es necesario hacer uso de carteles que recuerden a los funcionarios las prohibiciones mencionadas. Baja Revisin de las instalaciones fsicas del departamento de sistemas. Durante nuestro recorrido observamos papeles y cartones en el piso del departamento de sistemas. De igual manera se observ dicho material pero en menor cantidad en el cuarto de servidores. Existe material inflamable cerca del cuarto de servidores.
Alto
Se recomienda extraer cualquier tipo de material inflamable (papeles, cartones, etc.) del piso del departamento de sistemas y del cuarto de servidores pues incrementan los riesgos de que exista algn incendio en los interiores del departamento.
Alta
136 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin
Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Revisin del rea de servidores. El Area de servidores fue realmente diseada para ese propsito.
El cuarto de servidores cuenta con un aire acondicionado, la temperatura promedio en el cuarto de servidores est programada para 16 grados centgrados.
El cuarto de servidores cuenta adems con un extractor de aire alterno en el caso de fallas del aire acondicionado principal, este equipo alterno mantiene una temperatura promedio de 20 grados centgrados.
137 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin
Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Revisin de las caractersticas de seguridades fsicas implementadas en el cuarto de servidores.
El rea de servidores se encuentra conformado por 4 paredes de hormign, el piso y el tumbado son falsos, adems de materiales como fibra de vidrio y aluminio.
Revisin de los mecanismos de seguridad implementados.
Durante nuestro recorrido por las instalaciones del edificio observamos instaladas cmaras de vigilancia conectados a una alarma principal.
138 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultado Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Revisin de los mecanismos de seguridad implementados.
En el cuarto de servidores cuenta con UPS administrada por el edificio central IBM que proporcionan suministro de energa elctrica en el caso de fallas.
139 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Requerimiento: Plan de Contingencias Objetivo de Control COBIT: Aseguramiento de Servicio Continuo / DS4 Procedimiento: Evaluar la estrategia de recuperacin, infraestructura tecnolgica y las facilidades para la continuidad del procesamiento. Evaluar los procedimientos de recuperacin y operacin durante la emergencia, tomando en cuenta: responsables, actualizacin, pruebas peridicas, metodologa para la determinacin de los procedimientos.
140 Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Entrevista con Adriana Snchez para relevar los procedimientos de contingencia.
RESULTSYS posee un Plan de Contingencias, elaborado por el Supervisor de Sistemas. El mismo contempla los siguientes escenarios y componentes: Servidores, Software y Comunicaciones, contingencias que se presenten en el Centro de cmputo considerando lo siguiente: Evaluacin de la documentacin y procedimientos de contingencia a travs del BCP Checklist.
- Servidores.- Se poseen procedimientos de recuperacin, en caso de fallas de discos.
- Software.- Se desarrollaron procedimientos para contingencias en caso de falla de: sistema operativo, bases de datos (transaccionales y correo) - Comunicaciones: Solo se establecen los posibles escenarios y no el procedimiento de recuperacin.
- Fenmenos Naturales: Se detallan los posibles fenmenos naturales, y no el procedimiento No se han realizado pruebas del Plan de Contingencias que permita continuidad en la operacin del negocio en caso de presentarse un incidente.
Alto Efectuar pruebas del Plan de Contingencias acorde a la estructura tecnolgica, riesgo y servicios que la compaa brinda.
El plan debera garantizar la continuidad de la operacin del negocio ante cualquier incidente o falla.
Desarrollar un Plan de Contingencias adecuado, con base a un marco de referencia de continuidad que defina los roles, responsabilidades, el enfoque basado en riesgo y la estructura para documentar el plan, tipos de escenario tpicos (cadas de comunicaciones, colapso de servidores, falta de energa), as como los procedimientos de aprobacin.
Este Plan debe estar acorde con el Plan de mediano y largo plazo de la tecnologa de la informacin. Alta RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad de recuperacin.
Adems se posee un listado de los nmeros de telfono de los funcionarios y de los proveedores de la compaa. Sin embargo, no existe un instructivo que explique qu hacer con los mismos.
Adems de lo mencionado existen ciertos procedimientos de contingencia que lleva a cabo, por ejemplo:
- Obtencin peridica de respaldos. - Configuracin de los servidores, con la finalidad de que, en el caso de daarse alguno de los discos el servidor contine funcionando.
Nos permitimos sugerir que se desarrolle un plan conteniendo lo siguiente:
Guas sobre la utilizacin del Plan de Continuidad. Procedimientos de emergencia para asegurar la integridad de todo el personal afectado. Procedimientos de respuesta definidos para regresar al negocio al estado en que se encontraba antes del incidente o desastre. Procedimientos para salvaguardar y reconstruir las instalaciones. Procedimiento de coordinacin con las autoridades pblicas Procedimientos de comunicacin con los interesados: empleados, clientes clave, proveedores crticos (Internet, comunicaciones), accionistas y gerencia. Informacin crtica sobre grupos de continuidad, personal afectado, clientes, proveedores, autoridades pblicas y medios de comunicacin. 141 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad Se debe definir objetivos de tiempo de recuperacin para los procesos crticos del negocio. Deber determinar el impacto econmico para los procesos crticos del Grupo. Definir y documentar los requerimientos de telecomunicaciones necesarios para soportar el funcionamiento de las aplicaciones crticas y establecer medios de comunicacin alternativa (backups)
Principalmente debera contarse con procedimientos de:
Establecer configuraciones tipo mirror o RAID en todos los servidores, para evitar prdidas de informacin en caso de dao de algn disco de los servidores. Mantener contratos con proveedores para la reposicin inmediata de equipos, en caso de contingencia. Establecer sitios alternativos de procesamiento (hot sites) Implementar procedimientos adecuados 142 RESULTSYS S.A. Proyecto: Auditora de Sistemas - Evaluacin de la Situacin Actual de los Servicios de Tecnologa de Informacin Trabajo Realizado Resultados Obtenidos Debilidades Identificadas Nivel de Riesgo Recomendacin Prioridad de respaldo de la informacin. Procurar mantener un juego de respaldos de la informacin en o cerca del potencial hot site.
Asimismo, es importante que establezcan procedimientos alternativos en caso de algn incidente.
Todos los componentes del Plan deben ser probados peridicamente incluyendo procedimientos de notificacin y lneas de comunicacin. 143
ANEXOS ANEXO 1 GLOSARIO DE TERMINOS ORIGINALES AICPA Instituto Americano de Contadores Pblicos Certificado. (American Institute of Certified Public Accountants) CCEB Criterios comunes para seguridad en tecnologa de informacin. (Common Criteria for Information Technology Security) CICA Instituto Canadiense de Contadores. (Canadian Institute of Chartered Accountants) CISA Auditor Certificado de Sistemas de Informacin. (Certified Information Systems Auditor) Control Polticas, procedimientos, prcticas y estructuras organizacionales, diseados para proporcionar una seguridad razonable de que los objetivos del negocio sern alcanzados y que eventos no deseados sern prevenidos o detectados y corregidos. COSO Comit de Organizaciones Patrocinadoras de la Comisin de Intercambio. "Tradeway" (Committee of Sponsoring Organisations of the Tradeway Commission). DRI Instituto Internacional de Recuperacin de Desastres. (Disaster Recovery Institute International) DTI Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of the United Kingdom) EDIFACT Intercambio Electrnico de Datos para la Administracin, el Comercio y la Industria (Electronic Data Interchange for Administration, Commerce and Trade) EDPAF Fundacin de Auditores de Procesamiento Electrnico de Datos (Electronic Data Processing Auditors Foundation), ahora ISACF. ESF Foro Europeo de Seguridad (European Security Forum), cooperacin de 70+ multinacionales europeas principalmente con el propsito de investigar problemas de seguridad y control comunes de IT. GAO Oficina General de Contabilidad de los EUA. (U.S. General Accounting Office) I4 Instituto Internacional de Integridad de Informacin. (International Information Integrity Institute), asociacin similar a ESF, con metas similares, pero con base principalmente en los Estados Unidos y dirigida por el Instituto de Investigaciones de Stanford (Stanford Research Institute) IBAG Grupo Consultivo de Negocios Infosec (Infosec Business Advisory Group), representantes de la industria que asesoran al Comit Infosec. Este Comit est compuesto 1
por funcionarios de los gobiernos de la Comunidad Europea y asesora a la Comisin Europea sobre cuestiones de seguridad de IT. IFAC Federacin Internacional de Contadores. (International Federation of Accountants) IIA Instituto de Auditores Internos. (Institute of Internal Auditors) INFOSEC Comit Consultivo para la Comisin Europea en Materia de Seguridad IT. (Advisory Committee for IT Security Matters to the European Commission) ISACA Asociacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit and Control Foundation) ISACF Fundacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit and Control Foundation) ISO Organizacin de Estndares Internacionales. (International Standards Organisation) (con oficinas en Gnova, Suiza) ISO9000 Estndares de manejo y aseguramiento de la calidad definidos por ISO. ITIL Biblioteca de Infraestructura de Tecnologa de Informacin. (Information Technology Infrastructure Library) ITSEC Criterios de Evaluacin de Seguridad de Tecnologa de Informacin (Information Technology Security Evaluation Criteria). Combinacin de los criterios de Francia, Alemania, Holanda y Reino Unido, soportadas consecuentemente por la Comisin Europea (ver tambin TCSEC, el equivalente en los Estados Unidos). NBS Departamento Nacional de Estndares de los Estados Unidos (National Bureau of Standards of the U.S.) NIST (antes NBS) Instituto Nacional de Estndares y Tecnologa. (National Institute of Standards and Technology), con base en Washington D.C. NSW Nueva Gales del Sur, Australia. (New South Wales, Australia) Objetivo de Declaracin del resultado deseado o propsito a ser alcanzado al implementar Control de IT procedimientos de control en una actividad particular de IT. OECD Organizacin para la Cooperacin y el Desarrollo Econmico. (Organisation for Economic Cooperation and Development) OSF Fundacin de Software Pblico (Open Software Foundation) PCIE Consejo Presidencial de Integridad y Eficiencia. (Presidents Council on Integrity and Efficiency) 2
TCSEC Criterios de Evaluacin de Sistemas Computarizados Confiables. (Trusted Computer System Evaluation Criteria), conocido tambin como "The Orange Book". Criterios de evaluacin de seguridad para sistemas computarizados definidos originalmente por el Departamento de Defensa de los Estados Unidos. Ver tambin ITSEC, el equivalente europeo. TickIT Gua para la Construccin y Certificacin de Sistemas de Administracin de Calidad. (Guide to Software Quality Management System Construction and Certification) 3
ANEXO 2 La siguiente tabla proporciona una indicacin, por proceso y dominio de IT, de cules criterios de informacin tienen impacto en los objetivos de ato nivel, as como una indicacin de cules recursos de IT son aplicables. LEYENDA Criterios deformacin Recursos de IT E EFECTIVIDAD P RECURSOS HUMANOS E EFICIENCIA A SISTEMAS DE INFORMACION C CONFIDENCIALIDA D T TECNOLOGIA I INTEGRIDAD F INSTALACIONES A DISPONIBILIDAD D DATOS C CUMPLIMIENTO TABLA RESUMEN R CONFIABILIDAD Criterios de Informacin Recursos de IT DOMINIO PROCESO E E C I A C R P A T F D PO1 Definir un plan estratgico de sistemas P S X X X X X PO2 Definir la arquitectura de informacin P S S S X X PO3 Determinar la direccin tecnolgica P S X X PO4 Definir la organizacin y sus relaciones P S X PO5 Administrar las inversiones (en IT) P P S X X X X PO6 Comunicar la direccin y objetivos de la gerencia P S X PO7 Administrar los recursos humanos P P X PO8 Asegurar el apego a disposiciones externas P P S X X X PO9 Evaluar riesgos S S P P P S S X X X X X PO10 Administrar proyectos P P X X X X Planeacin y Organizacin PO11 Administrar calidad P P P S X X AI1 Identificar soluciones de automatizacin P S X X X AI2 Adquirir y mantener software de aplicacin P P S S S X AI3 Adquirir y mantener la arquitectura tecnolgica P P S X AI4 Desarrollar y mantener procedimientos P P S S S X X X X AI5 Instalar y acreditar sistemas de informacin P S S X X X X X Adquisicin e Implementacin AI6 Administrar cambios P P P P S X X X X X DS1 Definir niveles de servicio P P S S S S S X X X X X DS2 Administrar servicios de terceros P P S S S S S X X X X X Entrega de servicios y Soporte DS3 Administrar desempeo y capacidad P P S
X X X 1
LEYENDA Criterios deformacin Recursos de IT E EFECTIVIDAD P RECURSOS HUMANOS E EFICIENCIA A SISTEMAS DE INFORMACION C CONFIDENCIALIDA D T TECNOLOGIA I INTEGRIDAD F INSTALACIONES A DISPONIBILIDAD D DATOS C CUMPLIMIENTO TABLA RESUMEN R CONFIABILIDAD Criterios de Informacin Recursos de IT DOMINIO PROCESO E E C I A C R P A T F D DS4 Asegurar continuidad de servicio P S P X X X X X DS5 Garantizar la seguridad de sistemas P P S S S X X X X X DS6 Identificar y asignar costos P P X X X X X DS7 Educar y capacitar a usuarios P S X DS8 Apoyar y orientar a clientes P X X DS9 Administrar la configuracin P S S X X X DS10 Administrar problemas e incidentes P P S X X X X X DS11 Administrar la informacin P P X DS12 Administrar las instalaciones P P X DS13 Administrar la operacin P P S S X X X X M1 Monitorear el proceso P S S S S S S X X X X X M2 Evaluar lo adecuado del control interno P P S S S S S X X X X X M3 Obtener aseguramiento independiente P P S S S S S X X X X X Monitoreo M4 Proporcionar auditora independiente P P S S S S S X X X X X
2
ANEXO 3 RELACIONES DE OBJETIVOS DE CONTROL DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
PLANEACIN Y ORGANIZACIN (Cdigo COBIT: PO) 1.0 Definicin de un Plan Estratgico de Tecnologa de Informacin (PO1) 1.1 Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo 1.2 Plan a largo plazo de Tecnologa de Informacin 1.3 Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura 1.4 Cambios al Plan a largo plazo de Tecnologa de Informacin 1.5 Planeacin a corto plazo para la funcin de Servicios de Informacin 1.6 Evaluacin de sistemas existentes 2.0 Definicin de la Arquitectura de Informacin (PO2) 2.1 Modelo de la Arquitectura de Informacin 2.2 Diccionario de Datos y Reglas de cinta de datos de la corporacin 2.3 Esquema de Clasificacin de Datos 2.4 Niveles de Seguridad 4.0 Definicin de la Organizacin y de las Relaciones de IT (PO4) 4.1 Comit de planeacin o direccin de la funcin de servicios de informacin 4.2 Ubicacin de los servicios de informacin en la organizacin 4.3 Revisin de Logros Organizacionales 4.4 Funciones y Responsabilidades 4.5 Responsabilidad del aseguramiento de calidad 4.6 Responsabilidad de la seguridad lgica y fsica 4.7 Propiedad y Custodia 4.8 Propiedad de Datos y Sistemas 4.9 Supervisin 4.10 Segregacin de Funciones 4.11 Asignacin de Personal para Tecnologa de Informacin 4.12 Descripcin de Puestos para el Personal de la Funcin de IT 4.13 Personal clave de IT 1
4.14 Procedimientos para personal por contrato 4.15 Relaciones 6.0 Comunicacin de la direccin y aspiraciones de la gerencia (PO6) 6.1 Ambiente positivo de control de la informacin 6.2 Responsabilidad de la Gerencia en cuanto a Polticas 6.3 Comunicacin de las Polticas de la Organizacin 6.4 Recursos para la implementacin de Polticas 6.5 Mantenimiento de Polticas 6.6 Cumplimiento de Polticas, Procedimientos y Estndares 6.7 Compromiso con la Calidad 6.8 Poltica sobre el Marco de Referencia para la Seguridad y el Control Interno 6.9 Derechos de propiedad intelectual 6.10 Polticas Especficas 6.11 Comunicacin de Conciencia de Seguridad en IT 7.0 Administracin de Recursos Humanos (PO7) 7.1 Reclutamiento y Promocin de Personal 7.2 Personal Calificado 7.3 Entrenamiento de Personal 7.4 Entrenamiento Cruzado o Respaldo de Personal 7.5 Procedimientos de Acreditacin de Personal 7.6 Evaluacin de Desempeo de los Empleados 7.7 Cambios de Puesto y Despidos 10.0 Administracin de proyectos (PO10) 10.1 Marco de Referencia para la Administracin de Proyectos 10.2 Participacin del Departamento Usuario en la Iniciacin de Proyectos 10.3 Miembros y Responsabilidades del Equipo del Proyecto 10.4 Definicin del Proyecto 10.5 Aprobacin del Proyecto 10.6 Aprobacin de las Fases del Proyecto 10.7 Plan Maestro del Proyecto 10.8 Plan de Aseguramiento de la Calidad de Sistemas 10.9 Planeacin de Mtodos de Aseguramiento 10.10 Administracin Formal de Riesgos de Proyectos 10.11 Plan de Prueba 2
10.12 Plan de Entrenamiento 10.13 Plan de Revisin Post Implementacin 11.0 Administracin de Calidad (PO11) 11.1 Plan General de Calidad 11.2 Enfoque de Aseguramiento de Calidad 11.3 Planeacin del Aseguramiento de Calidad 11.4 Revisin de Aseguramiento de Calidad sobre el Cumplimiento de Estndares y Procedimientos de la Funcin de Servicios de Informacin 11.5 Metodologa del Ciclo de Vida de Desarrollo de Sistemas 11.6 Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnologa Actual 11.7 Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas 11.8 Coordinacin y Comunicacin 11.9 Marco de Referencia de Adquisicin y Mantenimiento para la Infraestructura de Tecnologa 11.10 Relaciones con Terceras Partes como Implementadores 11.11 Estndares para la Documentacin de Programas 11.12 Estndares para Pruebas de Programas 11.13 Estndares para Pruebas de Sistemas 11.14 Pruebas Piloto/En Paralelo 11.15 Documentacin de las Pruebas del Sistema 11.16 Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndar de Desarrollo 11.17 Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de la Funcin de Servicios de Informacin 11.18 Mtricas de Calidad 11.19 Reportes de Revisiones de Aseguramiento de la Calidad
ADQUISICIN E IMPLEMENTACIN (Cdigo COBIT: AI) 1.0 Identificacin de Soluciones (AI1) 1.1 Definicin de Requerimientos de Informacin 1.2 Formulacin de Acciones Alternativas 1.3 Formulacin de Estrategias de Adquisicin. 1.4 Requerimientos de Servicios de Terceros 3
1.5 Estudio de Factibilidad Tecnolgica 1.6 Estudio de Factibilidad Econmica 1.7 Arquitectura de Informacin 1.8 Reporte de Anlisis de Riesgos 1.9 Controles de Seguridad Econmicos 1.10 Diseo de Pistas de Auditora 1.11 Ergonoma 1.12 Seleccin de Software de Sistema 1.13 Control de Abastecimiento 1.14 Adquisicin de Productos de Software 1.15 Mantenimiento de Software de Terceras Partes 1.16 Contratos de Programacin de Aplicaciones 1.17 Aceptacin de Instalaciones 1.18 Aceptacin de Tecnologa 2.0 Adquisicin y Mantenimiento de Software de Aplicacin (AI2) 2.1 Mtodos de Diseo 2.2 Cambios Significativos a Sistemas Actuales 2.3 Aprobacin del Diseo 2.4 Definicin y Documentacin de Requerimientos de Archivos 2.5 Especificaciones de Programas 2.6 Diseo para la Recopilacin de Datos Fuente 2.7 Definicin y Documentacin de Requerimientos de Entrada de Datos 2.8 Definicin de Interfaces 2.9 Interfaces Usuario - Mquina 2.10 Definicin y Documentacin de Requerimientos de Procesamiento 2.11 Definicin y Documentacin de Requerimientos de Salida de Datos 2.12 Controlabilidad 2.13 Disponibilidad como Factor Clave de Diseo 2.14 Estipulacin de Integridad de IT en programas de software de aplicaciones 2.15 Pruebas de Software de Aplicacin 2.16 Materiales de Consulta y Soporte para Usuario 2.17 Reevaluacin del Diseo del Sistema
4
4.0 Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnologa de Informacin (AI4) 4.1 Futuros Requerimientos y Niveles de Servicios Operacionales 4.2 Manual de Procedimientos para Usuario 4.3 Manual de Operacin 4.4 Material de Entrenamiento 5.0 Instalacin y Acreditacin de Sistemas (AI5) 5.1 Entrenamiento 5.2 Adecuacin del Desempeo del Software de Aplicacin 5.3 Conversin 5.4 Pruebas de Cambios 5.5 Criterios y Desempeo de Pruebas en Paralelo/Piloto 5.6 Prueba de Aceptacin Final 5.7 Pruebas y Acreditacin de Seguridad 5.8 Prueba Operacional 5.9 Promocin a Produccin 5.10 Evaluacin de la Satisfaccin de los Requerimientos del Usuario 5.11 Revisin Gerencial Post - Implementacin
ENTREGA DE SERVICIOS Y SOPORTE (Cdigo COBIT: DS) 3.0 Administracin de Desempeo y Capacidad (DS3) 3.1 Requerimientos de Disponibilidad y Desempeo 3.2 Plan de Disponibilidad 3.3 Monitoreo y Reporte 3.4 Herramientas de Modelado 3.5 Manejo de Desempeo Proactivo 3.6 Pronstico de Carga de Trabajo 3.7 Administracin de Capacidad de Recursos 3.8 Disponibilidad de Recursos 3.9 Calendarizacin de recursos 4.0 Aseguramiento de Servicio Continuo (DS4) 4.1 Marco de Referencia de Continuidad de Tecnologa de Informacin 4.2 Estrategia y Filosofa de Continuidad de Tecnologa de Informacin 4.3 Contenido del Plan de Continuidad de Tecnologa de Informacin 5
4.4 Minimizacin de requerimientos de Continuidad de Tecnologa de Informacin 4.5 Mantenimiento del Plan de Continuidad de Tecnologa de Informacin 4.6 Pruebas del Plan de Continuidad de Tecnologa de Informacin 4.7 Capacitacin sobre el Plan de Continuidad de Tecnologa de Informacin 4.8 Distribucin del Plan de Continuidad de Tecnologa de Informacin 4.9 Procedimientos de Respaldo de Procesamiento para Departamentos Usuarios 4.10 Recursos crticos de Tecnologa de Informacin 4.11 Centro de Cmputo y Hardware de respaldo 4.12 Procedimientos de Refinamiento del Plan de Continuidad de IT 5.0 Garantizar la Seguridad de Sistemas (DS5) 5.1 Administrar Medidas de Seguridad 5.2 Identificacin, Autenticacin y Acceso 5.3 Seguridad de Acceso a Datos en Lnea 5.4 Administracin de Cuentas de Usuario 5.5 Revisin Gerencial de Cuentas de Usuario 5.6 Control de Usuarios sobre Cuentas de Usuario 5.7 Vigilancia de Seguridad 5.8 Clasificacin de Datos 5.9 Administracin Centralizada de Identificacin y Derechos de Acceso 5.10 Reportes de Violacin y de Actividades de Seguridad 5.11 Manejo de Incidentes 5.12 Re-acreditacin 5.13 Confianza en Contrapartes 5.14 Autorizacin de Transacciones 5.15 No Rechazo 5.16 Sendero Seguro 5.17 Proteccin de funciones de seguridad 5.18 Administracin de Llave Criptogrfica 5.19 Prevencin, Deteccin y Correccin de Software Malicioso 5.20 Arquitecturas de FireWalls y conexin a redes pblicas 5.21 Proteccin de Valores Electrnicos 8.0 Apoyo y Asistencia a los Clientes de Tecnologa de Informacin (DS8) 8.1 Bur de Ayuda 8.2 Registro de Preguntas del Usuario 6
8.3 Escalamiento de Preguntas del Cliente 8.4 Monitoreo de Atencin a Clientes 8.5 Anlisis y Reporte de Tendencias 9.0 Administracin de la Configuracin (DS9) 9.1 Registro de la Configuracin 9.2 Base de la Configuracin 9.3 Registro de Estatus 9.4 Control de la Configuracin 9.5 Software no Autorizado 9.6 Almacenamiento de Software 10.0 Administracin de Problemas e Incidentes (DS10) 10.1 Sistema de Administracin de Problemas 10.2 Escalamiento de Problemas 10.3 Seguimiento de Problemas y Pistas de Auditora 11.0 Administracin de Datos (DS11) 11.1 Procedimientos de Preparacin de Datos 11.2 Procedimientos de Autorizacin de Documentos Fuente 11.3 Recopilacin de Datos de Documentos Fuente 11.4 Manejo de Errores de Documentos Fuente 11.5 Retencin de Documentos Fuente 11.6 Procedimientos de Autorizacin de Entrada de Datos 11.7 Chequeos de Exactitud, Suficiencia y Autorizacin 11.8 Manejo de Errores en la Entrada de Datos 11.9 Integridad de Procesamiento de Datos 11.10 Validacin y Edicin de Procesamiento de Datos 11.11 Manejo de Error en el Procesamiento de Datos 11.12 Manejo y Retencin de Salida de Datos 11.13 Distribucin de Salida de Datos 11.14 Balanceo y Conciliacin de Datos de Salida 11.15 Revisin de Salida de Datos y Manejo de Errores 11.16 Provisiones de Seguridad para Reportes de Salida 11.17 Proteccin de Informacin Sensible durante transmisin y transporte 11.18 Proteccin de Informacin Crtica a ser Desechada 11.19 Administracin de Almacenamiento 7
11.20 Perodos de Retencin y Trminos de Almacenamiento 11.21 Sistema de Administracin de la Librera de Medios 11.22 Responsabilidades de la Administracin de la Librera de Medios 11.23 Respaldo y Restauracin 11.24 Funciones de Respaldo 11.25 Almacenamiento de Respaldo 11.26 Archivo 11.27 Proteccin de Mensajes Sensitivos 11.28 Autenticacin e Integridad 11.29 Integridad de Transacciones Electrnicas 11.30 Integridad Continua de Datos Almacenados 12.0 Administracin de Instalaciones (DS12) 12.1 Seguridad Fsica 12.2 Discrecin de las Instalaciones de Tecnologa de Informacin 12.3 Escolta de Visitantes 12.4 Salud y Seguridad del Personal 12.5 Proteccin contra Factores Ambientales 12.6 Suministro Ininterrumpido de Energa 13.0 Administracin de Operaciones (DS13) 13.1 Manual de procedimientos de Operacin e Instrucciones 13.2 Documentacin del Proceso de Inicio y de Otras Operaciones 13.3 Calendarizacin de Trabajos 13.4 Salidas de la Calendarizacin de Trabajos Estndar 13.5 Continuidad de Procesamiento 13.6 Bitcoras de Operacin 13.7 Operaciones Remotas 8
ANEXO 4 GLOSARIO DE TERMINOS TECNOLOGICOS
Administracin de Base de datos (DBA). Un funcionario de cierta jerarqua que trabaja en forma independiente tanto del departamento usuario como de los programadores, responsable por el diseo y administracin de la base de datos. Aplicacin / Sistemas Informticos. Actividad especfica que hace uso de un computador. Atencin al usuario / Actividades. Procedimientos o mecanismos para cubrir requerimientos de soporte tecnolgico requerido por los usuarios de los sistemas de informacin. Desarrollo y Mantenimiento de Aplicaciones. Conjunto de polticas y procedimientos utilizados por personal informtico para efectuar desarrollo y mantenimiento de aplicaciones (Sistemas Informticos). Operacin. Conjunto de polticas y procedimientos que permiten la ejecucin de los distintos procesos informticos como: generacin de respaldos, cierres, rplicas de datos, etc. Plataformas Tecnolgica. Equipo principal utilizado para el procesamiento de informacin. Redes. Coleccin de computadoras interconectadas, en donde cada equipo es autnomo y adems puede compartir diferentes recursos tecnolgicos. Comunicaciones. El proceso de transmisin de datos de un punto a otro mediante el uso de circuitos telefnicos, teletipos u otros tipos de equipos electrnicos. Contrasea. Cdigo alfabtico o numrico que representa la identificacin confidencial del operador. Se ingresa a travs de la terminal y es controlado por el computador mediante la utilizacin de una tabla apropiada, a fin de garantizar que nicamente el personal debidamente autorizado podr ejecutar las funciones que hayan sido restringidas. Procedimientos de Continuidad / Plan de Contingencias. Conjunto de procedimientos que permiten garantizar la continuidad del procesamiento de informacin a travs de la restauracin de: hardware, comunicaciones, aplicaciones y procesos, durante una determinada interrupcin del procesamiento.