Vous êtes sur la page 1sur 116

Contenido

INTRODUCCIN ....................................................................................................................................4
PLANTEAMIENTO DEL PROBLEMA .........................................................................................4
JUSTIFICACIN ............................................................................................................................4
OBJETIVOS ...................................................................................................................................5
OBJETIVO GENERAL ..................................................................................................................5
OBJETIVOS ESPECFICOS .......................................................................................................5
HIPOTESIS ....................................................................................................................................5
METODOLOGA ............................................................................................................................6
MTODOS DE INVESTIGACIN ......................................................................................6
TIPO DE INVESTIGACIN .................................................................................................6
CAPTULO I ............................................................................................................................................7
MARCO TERICO Y CONCEPTUAL ................................................................................................7
1.1. COBIT 5 .......................................................................................................................................7
1.1.1. POR QU UTILIZAR COBIT 5? ........................................................................................7
1.1.2. LA LABOR DE COBIT ...........................................................................................................7
1.1.3. BENEFICIOS COBIT .............................................................................................................8
1.1.4. CARACTERSTICAS DE COBIT .........................................................................................8
1.2. OBJETIVOS DE CONTROL .....................................................................................................9
Figura N 1 Objetivos de Control de Cobit 5. .........................................................................................9
1.2.1. PLANEACIN Y ORGANIZACIN .................................................................................. 10
1.2.2. ADQUISICIN E IMPLANTACIN .................................................................................. 10
1.2.3. ENTREGA Y SOPORTE .................................................................................................... 11
1.2.4. MONITOREO ....................................................................................................................... 11
1.3. DIRECTRICES ......................................................................................................................... 12
Tabla N 1 Referencia de Abreviaturas. .............................................................................................. 12
1.3.1. PO 1 - DEFINIR UN PLAN ESTRATGICO DE TECNOLOGA DE INFORMACIN
12
Figura N 2 Objetivos de Control de PO 1. .......................................................................................... 12
1.3.2. PO 2 - DEFINICIN DE LA ARQUITECTURA DE INFORMACIN ........................... 14
1.3.3. PO 3 - DETERMINACIN DE LA DIRECCIN TECNOLGICA ............................... 16
1.3.4. PO 4 DEFINICIN DE LA ORGANIZACIN Y DE LAS DEFINICIONES DE TI ..... 18
2

1.3.5. PO 5 - MANEJO DE LA INVERSIN EN TECNOLOGA DE INFORMACIN ......... 22
1.3.6. PO 6 COMUNICAR LA DIRECCIN Y ASPIRACIONES DE LA GERENCIA ....... 24
1.3.7. PO 7 - ADMINISTRACIN DE RECURSOS HUMANOS ............................................. 27
1.3.8. PO 8 - ASEGURAMIENTO DEL CUMPLIMIENTO DE REQUERIMIENTOS
EXTERNOS .......................................................................................................................................... 29
1.3.9. PO 9 - EVALUACIN DE RIESGOS ............................................................................... 32
1.3.10. PO 10 - ADMINISTRACIN DE PROYECTOS.......................................................... 34
1.3.11. PO 11 - ADMINISTRACIN DE CALIDAD ................................................................. 38
1.3.12. AI 1 - IDENTIFICACIONES DE SOLUCIONES .......................................................... 42
1.3.13. AI 2 - ADQUISICIN Y MANTENIMIENTO DE SOFTWARE DE APLICACIN .. 46
1.3.14. AI 3 ADQUISICIN Y MANTENIMIENTO DE ARQUITECTURA DE
TECNOLOGA ..................................................................................................................................... 50
1.3.15. AI 4 - DESARROLLO Y MANTENIMIENTO DE PROCEDIMIENTOS DE
TECNOLOGA DE INFORMACIONES ............................................................................................ 52
1.3.16. AI 5 - INSTALACIN Y ACREDITACIN DE SISTEMAS........................................ 55
1.3.17. AI 6 - ADMINISTRACIN DE CAMBIOS .................................................................... 58
1.3.18. DS 1 - DEFINICIN DE NIVELES DE SERVICIO ..................................................... 61
1.3.19. DS 2 - ADMINISTRACIN DE SERVICIOS PRESTADOS POR TERCEROS..... 64
1.3.20. DS 3 - ADMINISTRACIN DE DESEMPEO Y CAPACIDAD ............................... 68
1.3.21. DS 4 - ASEGURAMIENTO DE SERVICIO CONTINUO ........................................... 70
1.3.22. DS 5 - GARANTIZAR LA SEGURIDAD DE SISTEMAS ........................................... 73
1.3.23. DS 6 - IDENTIFICACIN Y ASIGNACIN DE COTOS ........................................... 78
1.3.24. DS 7 - EDUCACIN Y ENTRENAMIENTO DE USUARIOS ................................... 80
1.3.25. DS 8 - APOYO Y ASISTENCIA PARA LOS CLIENTES DE TECNOLOGA DE
INFORMACIN ................................................................................................................................... 82
1.3.26. DS 9 - ADMINISTRACIN DE LA CONFIGURACIN ............................................. 83
1.3.27. DS 10 - MANEJO DE PROBLEMAS INCIDENTES ................................................... 88
1.3.28. DS 11 - ADMINISTRACIN DE DATOS ..................................................................... 90
1.3.29. DS 12 - ADMINISTRACIN DE INSTALACIONES ................................................... 97
1.3.30. DS 13 - MANEJO DE OPERACIONES ..................................................................... 100
1.3.31. M1 - MONITOREAR LOS PROCESOS ..................................................................... 102
1.3.32. M 2 - EVALUAR LA SUFICIENCIA DEL CONTROL INTERNO ............................ 104
1.3.33. M 3 - OBTENER ASEGURAMIENTO INDEPENDIENTE ....................................... 106
1.3.34. M 4 - PREPARAR AUDITORAS INDEPENDIENTES ............................................ 108
3

CAPTULO II ...................................................................................................................................... 111
2.1. APLICABILIDAD DE DIRECTRICES EN AUDITORIA DE SISTEMAS ........................ 111
2.2. PRIORIDAD DE DIRECTRICES EN AUDITORIA INFORMTICA ............................... 112
2.3. DIRECTRICES NO FACTIBLES EN NUESTRO MEDIO ............................................... 113
3. CONCLUSIONES Y RECOMENACIONES........................................................................... 114
3.1. CONCLUSIONES .................................................................................................................. 114
3.2. RECOMENDACIONES ........................................................................................................ 114
4. REFERENCIAS BIBLIOGRFICAS ....................................................................................... 115
5. GLOSARIO ................................................................................................................................. 116











4

INTRODUCCIN

PLANTEAMIENTO DEL PROBLEMA
La herramienta COBIT, en base a los procedimientos y procesos que maneja el
conjunto de auditoras en el ambiente tecnolgico, y su funcin es revisar los
componentes del rea correspondiente. Por lo tanto se indica que el problema es el
siguiente:
Observar los procedimientos de la herramienta COBIT, y detallar los pasos que se
contienen, junto con la forma de anlisis de una auditora informtica, y adems ver
el comportamiento en la Universidad del Valle y la aplicabilidad en nuestro medio.

JUSTIFICACIN
En este proyecto se propone el uso de la herramienta COBIT, analizando sus
caractersticas que posee, determinando su metodologa de trabajo para los distintos
tipos de auditora que pueden realizarse, a travs de los procedimientos y normas, a
las cuales COBIT se encuentra instruida.
Este proyecto tambin pretende brindar que su investigacin y formas de utilizacin
se expandan de manera adecuada, y que los usuarios de tecnologa de informacin
puedan comprender y aplicar los procedimientos de COBIT.
5

OBJETIVOS
OBJETIVO GENERAL
Analizar y aplicar la herramienta COBIT, para lograr hacer auditoras a las reas de
tecnologa y controlar el flujo de trabajo de los recursos humanos asignados, y ver su
comportamiento en nuestro medio.

OBJETIVOS ESPECFICOS
- Analizar la metodologa de la herramienta COBIT.
- Analizar la aplicabilidad de las directrices y los objetivos de control en la
auditora informtica.
- Priorizar la funcin de las directrices.
- Analizar la factibilidad de las directrices y objetivos de control en nuestro
medio.

HIPOTESIS
Este proyecto pretende comprender y ver el funcionamiento de la herramienta
COBIT, y mediante su anlisis como se aplica y observa su factibilidad en nuestro
medio.


6

METODOLOGA
MTODOS DE INVESTIGACIN
La investigacin aplicar los siguientes mtodos:
- Mtodo Deductivo, tiene como esencia partir de lo general para llegar a lo
particular, es decir, que se considerar la teora de la herramienta COBIT a
nivel general para llegar a la especificidad de las directrices y los objetivos de
control de COBIT. Este mtodo se aplicar en la elaboracin y estructuracin
del marco terico y conceptual.

- Mtodo Analtico, es analtico porque el fenmeno observado se desarrollar
de forma explcita, describiendo todas las directrices y los objetivos de control
de COBIT de tal manera que se pueda llegar a un fcil entendimiento para una
futura aplicacin prctica.

TIPO DE INVESTIGACIN
El tipo de investigacin tiene los siguientes enfoques:
- Descriptivo, que servir para describir e interpretar sistemticamente
directrices y los objetivos de control relacionados con el comportamiento en
nuestro medio. El mtodo descriptivo apunta a estudiar el fenmeno en su
estado actual y en su forma natural; por tanto, las posibilidades de tener un
control directo sobre las variables de estudio son mnimas.
A travs del mtodo descriptivo se determina y conoce la naturaleza de una
situacin en la medida en que ella existe en el tiempo del estudio, por
consiguiente no hay administracin o control de un tratamiento especfico.



7

CAPTULO I

MARCO TERICO Y CONCEPTUAL


1.1. COBIT 5

1.1.1. POR QU UTILIZAR COBIT 5?
COBIT 5 es un marco de referencia nico e integrado porque:
Se alinea con otros estndares y marcos de referencia lo que permite usarlo
como el marco integrador general de gestin y gobierno.
Es completo en la cobertura de la empresa, ofreciendo una base para integrar
de manera efectiva otros marcos, estndares y prcticas utilizadas.
Proporciona una arquitectura simple para estructurar los materiales de gua y
producir un conjunto consistente.
Integra todo el conocimiento disperso previamente en los diferentes marcos de
ISACA.

1.1.2. LA LABOR DE COBIT
Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto
internacional de objetivos de control de tecnologas de la informacin, generalmente
aceptadas, para el uso diario por parte de gestores de negocio y auditores.




8

1.1.3. BENEFICIOS COBIT
Mejor alineacin basada en una focalizacin sobre el negocio.
Visin comprensible de TI para su administracin.
Clara definicin de propiedad y responsabilidades.
Aceptabilidad general con terceros y entes reguladores.
Entendimiento compartido entre todos los interesados basados en un
lenguaje comn.
Cumplimiento global de los requerimientos de TI planteados en el Marco de
Control Interno de Negocio COSO.

1.1.4. CARACTERSTICAS DE COBIT
Orientado al negocio.
Alineado con estndares y regulaciones "de facto".
Basado en una revisin crtica y analtica de las tareas y actividades en TI.
Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA,
AICPA).











9

1.2. OBJETIVOS DE CONTROL


Figura N 1 Objetivos de Control de Cobit 5.


10

1.2.1. PLANEACIN Y ORGANIZACIN
Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la
forma en que la tecnologa de informacin puede contribuir de la mejor manera al
logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica
necesita ser planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica
apropiadas.
1. Definir un Plan Estratgico de TI
2. Definir la Arquitectura de la Informacin
3. Determinar la direccin tecnolgica
4. Definir la Organizacin y sus relaciones
5. Manejar la inversin en TI
6. Comunicar la direccin y aspiraciones de la gerencia
7. Administrar recursos humanos
8. Asegurar el cumplimiento de requerimientos externos
9. Evaluar riesgos
10. Administrar proyectos
11. Administrar calidad
1.2.2. ADQUISICIN E IMPLANTACIN
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso
del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados
a sistemas existentes.
1. Identificar soluciones
2. Adquirir y mantener software de aplicacin
3. Adquirir y mantener arquitectura de tecnologa
4. Desarrollar y mantener procedimientos relacionados con TI
5. Instalar y acreditar sistemas
6. Administrar cambios
11

1.2.3. ENTREGA Y SOPORTE
En este dominio se hace referencia a la entrega de los servicios requeridos, que
abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por
seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern
establecerse los procesos de soporte necesarios. Este dominio incluye el
procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados
como controles de aplicacin.
1. Definir niveles de servicio
2. Administrar servicios prestados por terceros
3. Administrar desempeo y capacidad
4. Asegurar servicio continuo
5. Garantizar la seguridad en sistemas
6. Identificar y asignar costos
7. Educar y entrenar a los usuarios
8. Apoyar y asistir a los clientes de TI
9. Administrar la configuracin
10. Administrar problemas e incidentes
11. Administrar datos
12. Administrar instalaciones
13. Administrar operaciones
1.2.4. MONITOREO
Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos de control.
1. Monitorear los procesos
2. Evaluar lo adecuado del control interno
3. Obtener aseguramiento independiente
4. Proporcionar auditora independiente
12

1.3. DIRECTRICES
Nombre del Objetivo de
Control
Abreviatura
Planeacin y organizacin PO
Adquisicin e Implantacin AI
Entrega y Soporte ES
Monitoreo M
Tabla N 1 Referencia de Abreviaturas.
1.3.1. PO 1 - DEFINIR UN PLAN ESTRATGICO DE TECNOLOGA DE
INFORMACIN
Figura N 2 Objetivos de Control de PO 1.

Entrevistas:
Director General.
Director de Operaciones.
Director de Finanzas.
Director de TI.
Miembros del comit planeador de la funcin de servicios de
informacin.
13

Presidencia y personal de recursos humanos de la funcin de servicios
de informacin.

Obteniendo:
Polticas y procedimientos inherentes al proceso de planeacin.
Tareas y responsabilidades de planeacin de la Presidencia.
Objetivos y planes a corto y largo plazo organizacionales.
Objetivos y planes a corto y largo plazo de tecnologa de informacin.
Reportes de estatus y minutas de las reuniones del comit planeador

Considerando:
Las minutas de las reuniones del comit planeador de la funcin de
servicios de informacin reflejan el proceso de planeacin.
Los elementos entregables y liberables de la metodologa de
planeacin existen segn lo indicado.
Se incluyen iniciativas de tecnologa de informacin en los planes a
corto y largo plazos de la funcin de servicios de informacin (por
ejemplo, cambios de hardware, planeacin de capacidad, arquitectura
de informacin, desarrollo u obtencin de nuevos sistemas, planeacin
de recuperacin en caso de desastre, instalacin de plataformas para
nuevos procesamientos, etc.).
Las iniciativas de tecnologa de informacin soportan la investigacin, el
entrenamiento, la asignacin de personal, las instalaciones, el hardware
y el software.
Se hallan identificado las implicaciones para las iniciativas de
tecnologa de informacin
Se haya tomado en consideracin la optimizacin de inversiones de
tecnologa de informacin actuales y futuras.
14

Los planes a corto y largo plazo de tecnologa de informacin son
consistentes con los planes a corto y largo plazo dela organizacin, as
como con los requerimientos de sta.
Se han modificado los planes para reflejar condiciones cambiantes.
Los planes a largo plazo de tecnologa de informacin son traducidos
peridicamente en planes a corto plazo.
Existen tareas para implementar los planes

1.3.2. PO 2 - DEFINICIN DE LA ARQUITECTURA DE INFORMACIN

Entrevistas

Director de TI.
Miembros del comit planeador de la funcin de servicios de
informacin.
Presidencia de la funcin de servicios de informacin.
Funcionario de Seguridad.

Obteniendo:
Polticas y procedimientos sobre la arquitectura de informacin.
Modelo de la arquitectura de informacin.
Documentos que soporten el modelo de la arquitectura de
informacin, incluyendo el modelo de datos corporativo.
Diccionario de datos corporativo.
15

Poltica de propiedad de datos.
Funciones y responsabilidades de planeacin de la Presidencia.
Objetivos y planes a corto y largo plazo de tecnologa de
informacin.
Reporte de estatus y minutas de las reuniones del comit planeador


Considerando:
Estn identificados los cambios realizados al modelo de arquitectura
de informacin para confirmar que dichos cambios reflejan la
informacin de los planes a largo y corto plazo, as como los costos
y los riesgos.
La evaluacin del impacto de cualquier modificacin realizada al
diccionario de datos y cualquier cambio realizado al diccionario de
datos para asegurar que stos han sido comunicados efectivamente.
Varios sistemas de aplicacin operacional y proyectos de desarrollo
para confirmar que el diccionario de datos es utilizado para la
definicin de datos.
La adecuacin de la documentacin del diccionario de datos para
confirmar que ste define los atributos de datos y los niveles de
seguridad para cada elemento de datos.
La propiedad de la clasificacin de datos, de los niveles de
seguridad, de los niveles de acceso y "defaults".
Cada clasificacin de datos defina claramente:
Quin puede tener acceso.
Quin es responsable de determinar el nivel de acceso
apropiado.
La aprobacin especfica requerida para el acceso.
Los requerimientos especiales para el acceso (por ejemplo,
acuerdo de confidencialidad).
16

1.3.3. PO 3 - DETERMINACIN DE LA DIRECCIN TECNOLGICA

Entrevistas:

Director General.
Director de Operaciones.
Director de Finanzas.
Director de TI.
Miembros del comit planeador de la funcin de servicios de
informacin.
Presidencia de la funcin de servicios de informacin.
Obteniendo:

Polticas y procedimientos relacionados con la planeacin y el
monitoreo de la infraestructura tecnolgica.
Tareas y responsabilidades de planeacin de la Presidencia.
Objetivos y planes a largo y corto plazo de la organizacin.
Objetivos y planes a largo y corto plazo de tecnologa de
informacin.
Plan de adquisicin de hardware y software de tecnologa de
informacin.
Plan de infraestructura tecnolgica.
Estndares de tecnologa.
Reportes de estatus y minutas de las reuniones del comit
planeador
17

Considerando:

La administracin de la funcin de servicios de informacin
comprende y utiliza el plan de infraestructura tecnolgica.
Se hayan realizado cambios al plan de infraestructura tecnolgica
para identificar los costos y riesgos inherentes, y que dichos
cambios reflejen las modificaciones a los planes a largo y corto
plazo de tecnologa de informacin.
La administracin de la funcin de servicios de informacin
comprende el proceso de monitoreo y evaluacin de nuevas
tecnologas, y que incorpora tecnologas apropiadas a la
infraestructura de servicios de informacin actual.
La administracin de la funcin de servicios de informacin
comprende el proceso de evaluar sistemticamente el plan de
tecnologa en cuanto a aspectos de contingencia (por ejemplo,
redundancia, resistencia, adecuacin y capacidad evolutiva de la
infraestructura).
La existencia de un ambiente fsico de la funcin de servicios de
informacin adecuado para alojar el hardware/ software actualmente
instalado, as como nuevo hardware/software a ser aadido segn el
plan de adquisiciones actual aprobado.
El plan de adquisicin de hardware y software cumple con los planes
a largo y corto plazo de tecnologa de informacin, reflejando las
necesidades identificadas en el plan de infraestructura tecnolgica.
El plan de infraestructura tecnolgica dirige la utilizacin de
tecnologa actual y futura.
Se cumpla con los estndares de tecnologa y que stos sean
agregados e incorporados como parte del proceso de desarrollo.
El acceso permitido sea consistente con los niveles de seguridad
definidos en las polticas y procedimientos de la funcin de servicios
18

de informacin, y que se haya obtenido la autorizacin apropiada
para el acceso.

1.3.4. PO 4 DEFINICIN DE LA ORGANIZACIN Y DE LAS
DEFINICIONES DE TI

Entrevistas

Director General.
Director de Operaciones.
Director de Finanzas.
Director de TI.
Oficial de Aseguramiento de Calidad.
Oficial de Seguridad de Informacin.
Miembros del comit planeador de la funcin de servicios de
informacin, recursos humanos y Presidencia.
Obteniendo:
Funciones y responsabilidades de planeacin de la Presidencia.
Objetivos y planes a largo y corto plazo organizacionales.
19

Objetivos y planes a largo y corto plazo de tecnologa de
informacin.
Organigrama organizacional que muestre la relacin entre la funcin
de servicios de informacin y otras funciones.
Polticas y procedimientos relacionados con la organizacin y las
relaciones de tecnologa de informacin.
Polticas y procedimientos relacionados con el aseguramiento de la
calidad.
Polticas y procedimientos utilizados para determinar los
requerimientos de asignacin de personal de la funcin de servicios
de informacin. Organigrama organizacional de la funcin de
servicios de informacin.

Considerando:

El comit planeador de la funcin de servicios de informacin vigila a
la funcin de servicios de informacin y sus actividades.
La propiedad de la jerarqua de reporte para la funcin de servicios
de informacin.
La efectividad de la localizacin de la funcin de servicios de
informacin dentro de la organizacin en cuanto a facilitar una
relacin de sociedad con la alta Gerencia.
La Presidencia de la funcin de servicios de informacin comprenda
cules son los procesos utilizados para monitorear, medir y reportar
el desempeo de la funcin de servicios de informacin.
La utilizacin de indicadores clave para evaluar el desempeo.
Los procesos para analizar los resultados reales contra los niveles
meta, con el fin de determinar las acciones correctivas realizadas
cuando los resultados reales no alcanzan los niveles meta.
20

Las acciones realizadas por la administracin en cuanto a cualquier
variacin significativa con respecto a los niveles esperados de
desempeo.
La administracin de usuarios/propietarios evala la capacidad de
respuesta y la habilidad de la funcin de servicios de informacin
para proporcionar soluciones de tecnologa de informacin que
satisfagan las necesidades de usuarios/propietarios.
La Gerencia de la funcin de servicios de informacin conoce sus
funciones y responsabilidades.
Aseguramiento de la calidad se involucre en la prueba y aprobacin
de los planes de proyectos de la funcin de servicios de informacin.
El personal de seguridad de la informacin revisa los sistemas
operativos y los sistemas de aplicacin esenciales.
La adecuacin de los reportes o documentacin de la funcin de
seguridad de la informacin al evaluar la seguridad dela informacin
(tanto lgica como fsica) ya existente o en desarrollo.
Existe suficiente conocimiento, conciencia y una aplicacin
consistente de las polticas y procedimientos de seguridad de la
informacin.
El personal asiste a los entrenamientos de seguridad y control
interno.
La propiedad de los datos y sistemas se encuentra definida para
todos los activos de informacin.
Los propietarios de datos y sistemas hayan aprobado los cambios
realizados a dichos datos y sistemas.
Todos los datos y sistemas cuentan con un propietario o custodio
que sea responsable del nivel de control sobre los datos y sistemas.
El acceso a todos los activos de datos y sistemas es aprobado por
el/los propietario(s) de los activos.
21

La lnea directa de autoridad y supervisin asociada con el puesto
est en conformidad con las responsabilidades del beneficiado.
Las descripciones de puestos delinean claramente tanto la autoridad
como la responsabilidad.
Las descripciones de puestos describen claramente las aptitudes de
negocios, relaciones y tcnicas requeridas.
Las descripciones de puestos hayan sido comunicadas con
precisin y hayan sido comprendidas por el personal.
Las descripciones de puestos para la funcin de servicios de
informacin contienen indicadores clave de desempeo que han
sido comunicados al personal.
Las funciones y responsabilidades del personal de la funcin de
servicios de informacin corresponden tanto a las descripciones de
puestos publicadas como al organigrama.
Existan descripciones de puestos para las posiciones clave y que
stas incluyan los mandatos de la organizacin relativos a sistemas
de informacin, control y seguridad internos.
La precisin de las descripciones de puestos comparadas contra las
responsabilidades actuales de los encargados de dichas posiciones.
La naturaleza y el alcance de la suficiencia de la segregacin de
funciones deseada y de las limitaciones de funciones dentro de la
funcin de servicios de informacin.
El mantenimiento de la competencia del personal de tecnologa de
informacin.
La propiedad de las descripciones de puestos como base para la
adecuacin y la claridad de las responsabilidades, autoridad y
criterios de desempeo.
Las responsabilidades de administracin por contrato hayan sido
asignadas al personal apropiado.
22

Los trminos de los contratos sean consistentes con los estndares
normales para contratos de la organizacin y que los trminos y
condiciones contractuales estndar hayan sido revisados y
evaluados por un consultor legal, cuyo acuerdo haya sido obtenido.
Los contratos contienen clusulas apropiadas con respecto al
cumplimiento de: polticas de seguridad corporativa y control interno
y estndares de tecnologa de informacin.
Existen procesos y/o estructuras que garantizan una coordinacin
efectiva y eficiente para lograr relaciones exitosas.
1.3.5. PO 5 - MANEJO DE LA INVERSIN EN TECNOLOGA DE INFORMACIN

Entrevistas:
Director de Finanzas.
Director de TI.
Miembros del comit de planeacin de la funcin de servicios de
informacin.
Presidencia de la funcin de servicios de informacin.

Obteniendo:

Polticas, mtodos y procedimientos organizacionales relacionados
con la elaboracin del presupuesto y las actividades de costeo.
Polticas y procedimientos de la funcin de servicios de informacin
relacionadas con la elaboracin del presupuesto y las actividades de
costeo.
23

Presupuesto operativo actual y del ao inmediato anterior para la
funcin de servicios de informacin.
Objetivos y planes organizacionales a corto y largo plazo.
Objetivos y planes a corto y largo plazo de tecnologa de
informacin.
Funciones y responsabilidades de planeacin de la Presidencia.
Reportes de variaciones y otros comunicados relacionados con el
control y monitoreo de variaciones.
Reportes de estatus y minutas de las reuniones del comit de
planeacin.

Considerando:

El soporte en el presupuesto de la funcin de servicios de
informacin es el adecuado para justificar el plan operativo anual de
dicha funcin.
Las categoras de gastos de la funcin de servicios de informacin
son suficientes, apropiadas y han sido clasifica-das adecuadamente.
El sistema para registrar, procesar y reportar los costos asociados
con las actividades de la funcin de servicios de informacin en
forma rutinaria es adecuado.
El proceso de monitoreo de costos compara adecuadamente los
costos reales contra los presupuestados.
Los anlisis costo/beneficio llevados a cabo por la administracin de
los grupos de usuarios afectados, la funcin de servicios de
informacin y la Presidencia de la organizacin son revisados
adecuadamente.
Las herramientas utilizadas para monitorear los costos son usadas
efectiva y apropiadamente.
24

1.3.6. PO 6 COMUNICAR LA DIRECCIN Y ASPIRACIONES DE LA GERENCIA

Entrevistas:

Director General.
Director de Operaciones.
Director de Finanzas.
Director de TI.
Funcionario de Seguridad.
Miembros del comit de planeacin de la funcin de servicios de
informacin.
Presidencia de la funcin de servicios de informacin.

Obteniendo:

Polticas y procedimientos relacionados con el marco referencial de
control positivo y el programa de conocimiento y conciencia de la
administracin, con el marco referencial de seguridad y control
interno y con el programa de calidad de la funcin de servicios de
informacin.
Las funciones y responsabilidades de planeacin de la Presidencia.
25

Objetivos y planes a corto y largo plazo organizacionales.
Objetivos y planes a corto y largo plazo de tecnologa de
informacin.
Reportes de estatus y minutas de las reuniones del comit de
planeacin.
Un programa de comunicacin.

Considerando:

Los esfuerzos de la administracin para fomentar un control positivo
cubren los aspectos clave tales como: integridad, valores ticos,
cdigo de conducta, seguridad y control interno, competencia del
personal, filosofa y estilo operativo de la administracin, y
responsabilidad, atencin y direccin proporcionados.
Los empleados han recibido el cdigo de conducta y que lo
comprenden.
Se da el proceso de comunicacin de las polticas de la
administracin relacionadas con el ambiente de control interno de la
organizacin.
Existe el compromiso de la administracin en cuanto a los recursos
para formular, desarrollar, documentar, promulgar y controlar
polticas que cubren el ambiente de control interno.
La propiedad y habilidad para adaptarse a condiciones cambiantes
de las revisiones regulares de estndares, directivas, polticas y
procedimientos por parte de la administracin.
Los esfuerzos de monitoreo de la administracin aseguran la
asignacin adecuada y apropiada de recursos para implementar las
polticas de la organizacin de manera oportuna.
Los esfuerzos de reforzamiento por parte de la administracin con
respecto a los estndares, directivas, polticas y procedimientos
26

relacionados con su ambiente de control interno estn asegurando
su cumplimiento a travs de toda la organizacin.
La filosofa, polticas y objetivos de calidad determinan el
cumplimiento y la consistencia con la filosofa, polticas y
procedimientos corporativos y de la funcin de servicios de
informacin.
La administracin de la funcin de servicios de informacin y el
personal de desarrollo y operaciones determinan la filosofa de
calidad y su poltica relacionada, y que los procedimientos y
objetivos son comprendidos y cumplidos por todos los niveles dentro
de la funcin de servicios de informacin.
Los procesos de medicin aseguran que los objetivos de la
organizacin sean alcanzados.
Miembros seleccionados de la administracin estn involucrados y
comprenden el contenido de las actividades de seguridad y con-trol
interno (por ejemplo, reportes de excepcin, conciliaciones,
comparaciones, etc.) bajo su responsabilidad.
Las funciones individuales, las responsabilidades y lneas de
autoridad se comunican claramente y se comprenden en todos los
niveles de la organizacin.
Los departamentos seleccionados evalan procedimientos para
monitorear en forma rutinaria actividades de seguridad y control
interno (por ejemplo, reportes de excepcin, conciliaciones,
comparaciones, etc.) y que se da en proceso para proporcionar
retroalimentacin a la administracin.
La documentacin del sistema seleccionado confirma que las
decisiones administrativas del sistema especfico han sido
documenta-das y aprobadas de acuerdo con las polticas y
procedimientos organizacionales.
27

La documentacin del sistema seleccionado confirma que las
decisiones administrativas con respecto a actividades, sistemas de
aplicacin o tecnologas particulares han sido aprobadas por la
Presidencia.

1.3.7. PO 7 - ADMINISTRACIN DE RECURSOS HUMANOS
Entrevistas:
Funcionario de Recursos Humanos de la Organizacin y personal
seleccionado
Funcionario de Seguridad.
Personal seleccionado de seguridad.
Administrador de la funcin de servicios de informacin.
Funcionario de Recursos Humanos de la funcin de servicios de
informacin.
Administradores seleccionados de la funcin de servicios de
informacin.
Personal seleccionado de la funcin de servicios de informacin.
Personal seleccionado asociado con posiciones sensibles en la
funcin de servicios de informacin.

Obteniendo:

28

Polticas y procedimientos relacionados con la administracin de
recursos humanos.
Descripciones de puestos, formas de evaluacin del desempeo y
formas de desarrollo y entrenamiento.
Expedientes de personal de posiciones y personal seleccionado.
Considerando:
Las acciones de reclutamiento y/o seleccin, as como los criterios
de seleccin reflejan objetividad y relevancia con respecto a los
requerimientos de la posicin.
El personal cuenta con los conocimientos adecuados de las
operaciones para la funcin de su posicin o reas de
responsabilidad.
Existen descripciones de puestos, y que stas sean revisadas y se
mantienen actualizadas.
Los expedientes del personal contienen un reconocimiento del
personal en cuanto a la comprensin del programa general de
educacin, conciencia y conocimiento de la organizacin.
Se d el proceso de entrenamiento y educacin continua para el
personal apropiado asignado a funciones crticas.
El personal de seguridad de la informacin ha recibido el
entrenamiento apropiado en procedimientos y tcnicas de
seguridad.
La administracin y el personal de la funcin de servicios de
informacin tienen conocimiento, conciencia y comprenden las
polticas y procedimientos organizacionales.
Los procedimientos de investigacin de despidos de seguridad son
consistentes con leyes aplicables que rigen la confidencialidad.
El conocimiento de los objetivos del negocio por parte del personal
asignado a las funciones crticas de servicios de informacin incluye
29

la filosofa de los controles internos y los conceptos de control y
seguridad de sistemas de informacin.

1.3.8. PO 8 - ASEGURAMIENTO DEL CUMPLIMIENTO DE REQUERIMIENTOS
EXTERNOS
Entrevistas:
Consejo legal de la organizacin.
Funcionario de Recursos Humanos de la Organizacin.
Presidencia de la funcin de servicios de informacin.

Obteniendo:

Requerimientos relevantes gubernamentales o externos (por
ejemplo, leyes, legislaciones, guas, regulaciones y estndares) con
respecto a relaciones y revisiones de requerimientos externos,
aspectos de seguridad y salud (incluyendo ergonoma), aspectos de
confidencialidad, requerimientos de seguridad de sistemas de
informacin y transmisin de datos criptogrficos - tanto nacional
como internacional.
Estndares/declaraciones contables nacionales o internacionales
relacionadas con el uso de comercio electrnico.
Reglamentos sobre impuestos relacionados con el uso de comercio
electrnico.
Estndares, polticas y procedimientos sobre:
30

o Revisiones de requerimientos externos.
o Seguridad y salud (incluyendo ergonoma).
o Confidencialidad.
o Seguridad.
o Clasificacin de sensibilidad de datos ingresados,
procesados, almacenados, extrados y transmitidos.
o Comercio electrnico.
o Seguros.
Copias de todos los contratos con socios de intercambio electrnico
y con el proveedor de intercambio electrnico de datos (EDI), si
aplica.
Copias de todos los contratos de seguros relacionados con la
funcin de servicios de informacin.
Orientacin del consejo legal sobre los requerimientos "uberrimae
fidei" (de buena fe) para los contratos de seguros (Uberrimae fidei
requiere que ambas partes divulguen completamente a la otra todo
lo relacionado con el riesgo. En caso de no mostrarse buena fe en
este sentido, el contrato ser anulable por la parte agraviada y no
podr ser puesto en vigor nuevamente por la parte culpable).
Reportes de auditora de auditores externos, proveedores de
servicios como terceras partes y dependencias gubernamen-tales.1
Revisin de Requerimientos Externos2 Prcticas y Procedimientos
para el Cumplimiento de Requerimientos Externos3 Cumplimiento
de los Estndares de Seguridad y Ergonoma4 Confidencialidad y
Flujo de Datos5 Comercio Electrnico6 Cumplimiento con los
Contratos de Seguros.

Considerando:

Las revisiones de los requerimientos externos:
31

o Son actuales, completos y suficientes en cuanto a aspectos
legales, gubernamentales y regulatorios.
o Traen como resultado una pronta accin correctiva.
Las revisiones de seguridad y salud son llevadas a cabo dentro de la
funcin de servicios de informacin para asegurar el cumplimiento
de los requerimientos externos.
Las reas problemticas que no cumplan con los estndares de
seguridad y salud sean rectificadas.
El cumplimiento de la funcin de servicios de informacin en cuanto
las polticas y procedimientos de confidencialidad y seguridad.
Los datos transmitidos a travs de las fronteras internacionales no
violan las leyes de exportacin.
Los contratos existentes con los proveedores de comercio
electrnico consideren adecuadamente los requerimientos
especificados en las polticas y procedimientos organizacionales.
Los contratos de seguros existentes consideren adecuadamente los
requerimientos especificados en las polticas y procedimientos
organizacionales
En donde se hayan impuesto lmites regulatorios a los tipos de
encripta miento que pueden ser utilizados (por ejemplo, la longitud
de la llave), la encripta miento aplicada cumpla con las regulaciones.
En donde las regulaciones o procedimientos internos requieran la
proteccin y/o encripta miento especial de ciertos elementos de
datos (por ejemplo, nmeros PIN bancarios, Nmeros de
expedientes de Impuestos, de Inteligencia Militar), dicha
proteccin/encripta miento sea proporcionada a estos datos.
Los procesos EDI reales desplegados por la organizacin aseguran
el cumplimiento con las polticas y procedimientos organizacionales
y con los contratos individuales del socio de comercio electrnico (y
del proveedor EDI, en caso de aplicar)
32




1.3.9. PO 9 - EVALUACIN DE RIESGOS
Entrevistas:
Presidencia de la funcin de servicios de informacin.
Personal seleccionado de la funcin de servicios de informacin.
Personal seleccionado de manejo de riesgos.

Obteniendo:

Polticas y procedimientos relacionados con la evaluacin de
riesgos.
Documentos de evaluacin de riesgos del negocio.
Documentos de evaluacin de riesgos operativos.
Documentos de evaluacin de riesgos de la funcin de servicios de
informacin.
Detalles de la base sobre la cual se miden los riesgos y la
exposicin a los riesgos.
Expedientes de personal para personal seleccionado de evaluacin
de riesgos.
Polticas de seguros que cubren el riesgo residual.

Considerando:
33


Se cumple con el marco referencial de evaluacin de riesgos en
cuanto a que las evaluaciones de riesgos con actualiza-das
regularmente para reducir el riesgo a un nivel aceptable.
La documentacin de evaluacin de riesgos cumple con el marco
referencial de evaluacin de riesgos y es mantenido y preparado
apropiadamente.
La administracin y el personal de la funcin de servicios de
informacin tienen conocimiento y conciencia y estn involucrados
en el proceso de evaluacin de riesgos.
La administracin comprende los factores relacionados con los
riesgos y la probabilidad de amenazas.
El personal relevante comprende y acepta formalmente el riesgo
residual.
Los reportes emitidos a la Presidencia para su revisin y acuerdo
con los riesgos identificados y utilizacin en el moni-toreo de
actividades de reduccin de riesgos sean oportunos.
El enfoque utilizado para analizar los riesgos traiga como resultado
una medicin cuantitativa o cualitativa (o combina-da) de la
exposicin al riesgo.
Los riesgos, amenazas y exposiciones identificados por la
administracin y atributos relacionados con los riesgos sean
utilizados para detectar cada ocurrencia de una amenaza especfica.
El plan de accin contra riesgos es actual e incluye controles
econmicos y medidas de seguridad para mitigar la exposicin al
riesgo.
Existen prioridades desde la ms alta hasta la ms baja, y que
existe una respuesta apropiada para cada riesgo:
o Control planeado preventivo de mitigacin.
o Control secundario detectivo.
34

o Control terciario correctivo.

Los escenarios de riesgo versus control estn documentados, son
actuales y son comunicados al personal apropiado.
Existe suficiente cobertura de seguros con respecto al riesgo
residual aceptado y que ste es considerado contra varios
escenarios de amenaza, incluyendo:
o Incendio, inundaciones, terremotos, tornados, terrorismo y
otros desastres naturales no predecibles.
o Violaciones a las responsabilidades fiduciarias del empleado.
o Interrupcin del negocio, ganancias perdidas, clientes
perdidos, etc.
o Otros riesgos no cubiertos generalmente por la tecnologa de
informacin y planes de riesgo/continuidad del negocio.

1.3.10. PO 10 - ADMINISTRACIN DE PROYECTOS

Entrevistas:
Administrados de Calidad de la Organizacin.
Administrador/Coordinador de Calidad de Proyectos.
35

Propietarios/patrocinadores del Proyecto.
Lder del equipo del Proyecto.
Coordinador de Aseguramiento de Calidad.
Funcionario de Seguridad.
Miembros del comit de planeacin de la funcin de servicios de
informacin.
Administracin de la funcin de servicios de informacin.

Obteniendo:

Polticas y procedimientos relacionados con el marco referencial de
administracin de proyectos.
Polticas y procedimientos relacionados con la metodologa de
administracin de proyectos.
Polticas y procedimientos relacionados con los planes de
aseguramiento de la calidad.
Polticas y procedimientos relacionados con los mtodos de
aseguramiento de la calidad.
Plan Maestro del Proyecto de Software (Software Project Master
Plan (SPMP)).
Plan de Aseguramiento de la Calidad del Software (Software Quality
Assurance Plan (SQAP)).
Reportes de estatus del proyecto.
Reportes de estatus y minutas de las reuniones del comit de
planeacin.
Reportes de Calidad del Proyecto.

Considerando:

36

La metodologa de administracin de proyectos y todos los
requerimientos fueron seguidos con consistencia.
La metodologa de administracin de proyectos fue comunicada a
todo el personal apropiado involucrado en el proyecto.
La definicin escrita de la naturaleza y alcance del proyecto
concuerda con un patrn estndar.
La naturaleza y alcance del involucramiento del
propietario/patrocinador en la definicin y autorizacin del proyecto,
as como la conformidad con el involucramiento esperado del
propietario/patrocinador segn lo estipulado por el marco referencial
de administracin de proyectos.
La asignacin de los miembros del personal al proyecto y la
definicin de responsabilidades y autoridad de los miembros del
equipo del proyecto sean respetadas.
Existe evidencia de una definicin por escrito clara de la naturaleza
y alcance del proyecto antes de comenzar a trabajar sobre el mismo.
Se ha aprobado y preparado un estudio de factibilidad.
Se obtienen las aprobaciones por parte de la administracin de la
funcin de sistemas de informacin y de los propietarios /
patrocinadores para cada fase del proyecto de desarrollo.
Cada fase del proyecto es completada y que se obtienen las
aprobaciones apropiadas segn los requerimientos del SPMP.
Se han desarrollado y aprobado el SPMP y el SQAP de acuerdo con
el marco referencial de la administracin de proyectos.
El SPMP y el SQAP son suficientemente especficos y detallados.
Las actividades/reportes obligatorios identificados han sido
realmente ejecutados/producidos (por ejemplo, que se han lleva-do
a cabo reuniones del Comit Ejecutivo de Planeacin, reuniones
para el proyecto o similares, que se han registrado minutas de las
37

reuniones y que stas han sido distribuidas a las partes relevantes,
que se preparan y distribuyen reportes a las partes relevantes).
Se ha desarrollado y aprobado un plan de pruebas de acuerdo con
el marco referencial de administracin de proyectos y que ste es
suficientemente especfico y detallado.
Las actividades/reportes obligatorios identificados en el plan de
pruebas han sido realmente ejecutados/producidos.
Existen criterios de acreditacin utilizados para el proyecto y que
stos:
o Se derivan de metas e indicadores de desempeo.
o Se derivan de requerimientos cuantitativos acordados.
o Aseguran que los requerimientos de control interno y
seguridad son satisfechos.
o Estn relacionados con el "Qu" esencial versus el "cmo"
arbitrario.
o Definen un proceso formal de aprobacin/no aprobacin.
o Son capaces de una demostracin objetiva dentro de un
perodo de tiempo limitado.
o No redefinen simplemente los requerimientos de los
documentos de diseo.
Le programa de manejo de riesgos ha sido utilizado para identificar y
eliminar o por lo menos minimizar los riesgos relacionados con el
proyecto.
Se ha cumplido con el plan de pruebas, que los
propietarios/patrocinadores, as como las funciones de
programacin y aseguramiento de la calidad, han creado revisiones
de las pruebas, y que se ha cumplido con un proceso de aprobacin
segnlo esperado.
Se ha preparado un plan para el entrenamiento del personal de las
funciones de servicios de informacin y para los
38

propietarios/patrocinadores, que ste ha dado el tiempo suficiente
para completar las actividades de entrenamiento requeridas, yque
ha sido utilizado para el proyecto.
Se ha cumplido y seguido un plan de revisin post-implementacin
para el proyecto
1.3.11. PO 11 - ADMINISTRACIN DE CALIDAD

Entrevistas:
Director General.
Miembros del comit de planeacin de la funcin de servicios de
informacin.
Director de TI.
Funcionario de Seguridad.
Administrador de la Calidad de la Organizacin.
Administrador de la Calidad de la Funcin de Servicios de
Informacin.
39

Administracin de la funcin de servicios de informacin.
Propietarios/patrocinadores del sistema.

Obteniendo:
Polticas y procedimientos relacionados con el aseguramiento de la
calidad, el ciclo de vida del desarrollo de sistemas y la
documentacin de sistemas.
Funciones y responsabilidades de planeacin de la Presidencia.
Plan estratgico, poltica de calidad, manual de calidad y plan de
calidad de la organizacin del Plan estratgico, poltica de calidad,
manual de calidad, plan de calidad y plan de administracin de la
configuracin de la funcin de servicios de informacin.
Grficas de todas las funciones de aseguramiento de la calidad.
Minutas de las reuniones individuales de planeacin de la calidad.
Minutas de las reuniones convocadas para la revisin de la
metodologa del ciclo de vida del desarrollo de sistemas.
Copias de las revisiones a la metodologa del ciclo de vida del
desarrollo de sistemas.
Reportes de estatus y minutas de las reuniones del comit de
planeacin.

Considerando:

Los procedimientos para el desarrollo del Plan de Calidad de la
funcin de servicios de informacin incluyen las siguientes entradas:
o Planes a corto y largo plazo de la organizacin.
o Planes a corto y largo plazo de la funcin de servicios de
informacin.
o Poltica de Calidad de la organizacin.
o Poltica de Calidad de la funcin de servicios de informacin.
40

o Plan de Calidad de la organizacin.
o Plan de administracin de la configuracin de la funcin de
servicios de informacin.
El Plan de Calidad de la funcin de servicios de informacin toma
como base los planes a corto y largo plazo de la funcin de servicios
de informacin, los cuales definen:
o Los esfuerzos y/o adquisiciones de desarrollo de sistemas de
aplicacin.
o Interfaces con otros sistemas (internos y externos).
o La plataforma/infraestructura de la funcin de servicios de
informacin requerida para soportar los sistemas e inter-
fases.
o Los recursos (tanto financieros como humanos) para
desarrollar/soportar el ambiente de la funcin de servicios de
informacin planeado.
o El entrenamiento requerido para desarrollar y soportar
ambiente de la funcin de servicios de informacin planeado.
El Plan de Calidad de la funcin de servicios de informacin
considera lo siguiente:
o En trminos medibles no ambiguos, el nivel planeado del
servicio a ser otorgado a los clientes (internos o externos).
o En trminos medibles no ambiguos, los "outages" planeados
mximos para cada sistema y plataforma.
o Las estadsticas de desempeo requeridas para monitorear
los objetivos planeados de desempeo/"outage", incluyendo
la manera en la que deben ser reportados y a quin deben
ser distribuidos.
o Los procesos de monitoreo/revisin necesaria para asegurar
el desarrollo/modificacin/transicin en el ambiente/
infraestructura de la funcin de servicios de informacin
41

identificados en la funcin de servicios de informacin los
planes a corto y largo plazo: estn correctamente planeados,
monitoreados, probados, documentados, imple-mentados y
cuentan con el entrenamiento y los recursos necesarios.
o Los intervalos en los que el Plan de Calidad debe ser
actualizado.
El personal de aseguramiento de la Calidad cumple
consistentemente con el enfoque y el plan de aseguramiento de
lacalidad y otros procedimientos operativos establecidos.
La metodologa del ciclo de vida de desarrollo de sistemas asegura
apropiadamente:
o Controles suficientes durante el proceso de desarrollo para
sistemas y tecnologas nuevas.
o Comunicacin con todos los empleados apropiados
involucrados en el desarrollo y mantenimiento de sistemas.
o Se utilizan procedimientos para los cambios tecnolgicos.
o Se utilizan procedimientos para asegurar la aceptacin y
aprobacin de los usuarios.
o La adecuacin de los acuerdos de terceras partes como
implementadores.
Los usuarios comprenden los controles y requerimientos de la
metodologa del ciclo de vida del desarrollo de sistemas.
Los mecanismos de control de cambios dentro de la metodologa del
ciclo de vida del desarrollo de sistemas permiten el llevar a cabo
cambios a la metodologa y que sta es un documento "vivo".





42



1.3.12. AI 1 - IDENTIFICACIONES DE SOLUCIONES

Entrevistas:
Director de TI.
Funcionario de Seguridad.
Presidencia de la funcin de servicios de informacin.
Propietarios/patrocinadores del proyecto.
Administracin de contratos.

Obteniendo:
Polticas y procedimientos relacionados con el ciclo de vida de
desarrollo de sistemas y con la adquisicin de software.
Objetivos y planes a corto y largo plazo de tecnologa de
informacin.
43

Documentacin seleccionada del proyecto, incluyendo definicin de
requerimientos, anlisis de alternativas, estudios de factibilidad
tecnolgica, estudios de factibilidad econmica, anlisis de modelos
de datos de la empresa / arquitectura de informacin, anlisis de
riesgos, estudios de economa sobre control/seguridad interna,
anlisis de pistas de auditora, estudios ergonmicos, y planes de
aceptacin y resultados de pruebas de instalaciones y tecnologa
especfica.
Contratos seleccionados relacionados con la compra, desarrollo o
mantenimiento de software.

Considerando:
Los requerimientos de los usuarios satisfechos por el sistema
existente y a ser satisfechos por el sistema nuevo o modificado
propuesto hayan sido claramente definidos, revisados y aprobados
por escrito por parte del usuario enterado antes del desarrollo,
implementacin o modificacin del proyecto.
Los requerimientos de las soluciones funcionales y operativas sean
satisfechos incluyendo desempeo, seguridad, confiabilidad,
compatibilidad y legislacin.
Todas las debilidades y deficiencias de procesamiento en el sistema
existente hayan sido identificadas y sean tomadas en cuenta y
resueltas completamente por el sistema nuevo o modificado
propuesto.
Los cursos de accin alternativos que satisfarn los requerimientos
de los usuarios, establecidos para un sistema nuevo o modificado
propuesto, hayan sido analizados apropiadamente.
Los paquetes de software comercial que satisfagan las necesidades
de un proyecto particular de desarrollo o modificacin de sistemas
hayan sido identificados y considerados apropiadamente.
44

Todos los costos y beneficios identificables asociados con cada
alternativa hayan sido soportados apropiadamente e incluidos como
parte del estudio de factibilidad econmica requerido.
Se haya prestado atencin al modelo de datos de arquitectura de
informacin/empresa al identificar y analizar su factibilidad.
El reporte de anlisis de riesgos en cuanto a amenazas a la
seguridad, vulnerabilidades e impactos potenciales y las salva-
guardas factibles de seguridad y control interno sea preciso,
completo y suficiente.
Los problemas de seguridad y control interno hayan sido tomados
en cuenta apropiadamente en la documentacin del diseo del
sistema.
La aprobacin de la administracin en cuanto a que los controles
existentes y planeados son suficientes y aportan beneficios
apropiados comparados con los costos de compensacin.
Existen mecanismos disponibles para las pistas de auditora o que
stos pueden ser desarrollados para la solucin identificada y
seleccionada.
Se ha tomado en cuenta un diseo amigable al usuario para mejorar
las habilidades finales de ste durante el diseo del sistema y el
desarrollo de diseo de pantallas, formatos de reporte, instalaciones
de ayuda en lnea, etc.
Se han considerado aspectos ergonmicos durante el diseo y el
desarrollo del sistema.
Se han incluido aspectos de desempeo de usuarios (por ejemplo,
tiempo de respuesta del sistema, capacidades de carga/ descarga, y
reportes "ad hoc") en las especificaciones de requerimientos del
sistema antes de su diseo y desarrollo.
La identificacin de todos los programas de software de sistemas
potenciales que satisfacen los requerimientos operativos.
45

La funcin de servicios de informacin cumpla con un conjunto
comn de procedimientos y estndares en la adquisicin de
hardware, software y servicios relacionados con tecnologa de
informacin.
Los productos adquiridos sean revisados y probados antes de ser
usados y costeados completamente.
El acuerdo de compra de software permite al usuario tener una
copia del cdigo fuente el programa, si aplica.
Las actualizaciones, renovaciones de tecnologa y "fixes" son
especificados en los documentos de adquisicin.
El mantenimiento de terceras partes incluye los requerimientos de
validacin proteccin y mantenimiento de la integridad del producto
de software.
El personal de programacin por contrato trabaja sujetndose al
mismo nivel de pruebas, revisin y aprobaciones que se exige a los
programadores propios de la organizacin.
La funcin de aseguramiento de la calidad de la organizacin es
responsable de la revisin y aprobacin del trabajo llevado a cabo
por los programadores por contrato.
La propiedad y suficiencia del plan de aceptacin de instalaciones,
incluyendo los procedimientos y criterios de aceptacin.
La propiedad y suficiencia del plan especfico de aceptacin de
tecnologa, incluyendo inspecciones, pruebas de funcionalidad y
pruebas de carga de trabajo.






46



1.3.13. AI 2 - ADQUISICIN Y MANTENIMIENTO DE SOFTWARE DE
APLICACIN

Entrevistas:
Director de TI.
Funcionario de Seguridad.
Presidencia de la funcin de servicios de informacin.
Propietarios / patrocinadores de proyectos.

Obteniendo:
Polticas y procedimientos relacionados con la metodologa del ciclo
de vida del desarrollo de sistemas.
Objetivos y planes a corto y largo plazo de tecnologa de
informacin.
47

Documentacin seleccionada del proyecto, incluyendo aprobaciones
de diseos, definicin de requerimientos de archivo,
especificaciones de programas, diseo de recopilacin de datos
fuente, definicin de requerimientos de entrada, interface usuario -
mquina, definicin de requerimientos de procesa-miento, definicin
de requerimientos de salida, requerimientos de control
interno/seguridad, requerimientos de disponibilidad, provisiones para
la integridad de tecnologa de informacin, plan de pruebas y
resultados del software de aplicacin, materiales de soporte y
referencia para usuarios y reevaluacin del diseo del sistema.

Considerando:

La participacin del usuario en el proceso de ciclo de vida de
desarrollo de sistemas es significativa.
La metodologa del ciclo de vida de desarrollo de sistemas asegura
que existe un proceso que considera apropiadamente todos los
aspectos de diseo de sistemas (por ejemplo, entrada,
procesamiento, salida, controles internos, seguridad, recuperacin
en caso de desastre, tiempo de respuesta, reportes, control de
cambios, etc.).
Los usuarios clave de los sistemas estn involucrados en el proceso
del diseo del sistema.
Que la revisin del diseo y el proceso de aprobacin aseguran que
todos los problemas han sido resueltos antes de comenzar a
trabajar sobre la siguiente fase del proyecto.
Los cambios mayores a los sistemas existentes aseguran que stos
han sido desarrollados utilizando una metodologa de ciclo de vida
de desarrollo de sistemas similar a la utilizada para el desarrollo de
nuevos sistemas.
48

Existen los procedimientos de aprobacin del diseo para asegurar
que la programacin del sistema no se inicie hasta que se hayan
obtenido las aprobaciones correspondientes.
Los requerimientos de archivo y la documentacin del sistema, as
como el diccionario de datos, son consistentes con los estndares.
Se aprueban las especificaciones finales de archivos.
Las especificaciones de programacin concuerdan con las
especificaciones del diseo del sistema.
Las especificaciones del diseo de recoleccin de datos y de
entrada de datos concuerdan.
Existen las especificaciones del diseo de la interface usuario
mquina.
Las especificaciones usuario - mquina es fcil de utilizar y que auto
documentacin (utilizando instalaciones de ayuda en lnea) funciona.
Se documenten las interfaces internas y externas.
Los requerimientos de procesamiento forman parte de las
especificaciones del diseo.
Los requerimientos de salida forman parte de las especificaciones
del diseo.
Los requerimientos de seguridad y control interno forman parte de
las especificaciones del diseo.
Las especificaciones de diseo de los requerimientos de controles
de aplicacin garantizan la precisin, suficiencia, oportunidad y
autorizacin de las entradas y las salidas.
Los requerimientos de seguridad y control interno han sido incluidos
en el diseo conceptual del sistema (ya sea nuevo o modificado) lo
ms tempranamente posible.
El funcionario de seguridad est involucrado activamente en el
proceso de diseo, desarrollo e implementacin del proyecto del
nuevo sistema o de modificacin del sistema.
49

El diseo del sistema determina si se han cuantificado las mejoras
de disponibilidad/confiabilidad en trminos de tiempo y de
procedimientos ms eficientes en comparacin con mtodos
anteriores, en caso de aplicar.
Las provisiones de programas de aplicacin verifican rutinariamente
las tareas llevadas a cabo por el software para asegurar la
integridad de los datos.
Existen estndares de pruebas establecidos.
Existe un plan de pruebas del proyecto y un proceso de aprobacin
del usuario.
Los materiales de soporte y referencia para usuarios, as como las
instalaciones de ayuda en lnea estn disponibles.
La funcin de "help desk" apoya efectivamente a los usuarios para
solucionar problemas de procesamiento cada vez ms complejos.
El proceso para escalar los problemas del help desk incluye el
seguimiento, monitoreo y reporte de tales problemas a la
administracin de la funcin de servicios de informacin apropiada.
Se requiere la existencia de mecanismos para actualizar la
documentacin de los usuarios.
Existe la comunicacin sobre los cambios a la documentacin de los
usuarios.
Se da el proceso de reevaluacin siempre que ocurren
discrepancias tecnolgicas y/o lgicas significativas.

50

1.3.14. AI 3 ADQUISICIN Y MANTENIMIENTO DE ARQUITECTURA DE
TECNOLOGA




Entrevistas:
Director de TI.
Funcionario de Seguridad.
Presidencia de la funcin de servicios de informacin.
Propietarios / patrocinadores de proyectos.

Obteniendo:
Polticas y procedimientos relacionados con la metodologa del ciclo
de vida del desarrollo de sistemas.
Objetivos y planes a corto y largo plazo de tecnologa de
informacin.
Documentacin seleccionada del proyecto, incluyendo aprobaciones
de diseos, definicin de requerimientos de archivo,
especificaciones de programas, diseo de recopilacin de datos
fuente, definicin de requerimientos de entrada, interface usuario -
mquina, definicin de requerimientos de procesamiento, definicin
de requerimientos de salida, requerimientos de control
interno/seguridad, requerimientos de disponibilidad, provisiones para
la integridad de tecnologa de informacin, plan de pruebas y
51

resultados del software de aplicacin, materiales de soporte y
referencia para usuarios y reevaluacin del diseo del sistema

Considerando:

Existen los estatutos de aseguramiento de la integridad del software
entregados por el proveedor de software del sistema para todo el
software del sistema (incluyendo todas las modificaciones) y
considera las exposiciones resultantes en el software del sistema.
La evaluacin del desempeo trae como resultado la comparacin
con los requerimientos del sistema.
Existe un proceso formal de evaluacin del desempeo.
El calendario de mantenimiento preventivo asegura que el
mantenimiento de hardware programado no tendr ningn impacto
negativo sobre aplicaciones crticas o sensibles.
El mantenimiento programado asegura que no ha sido planeado
para perodos pico de carga de trabajo y que la funcin de servicios
de informacin y las operaciones de los grupos de usuarios
afectados son suficientemente flexibles para adaptar el
mantenimiento preventivo rutinario planeado.
Los programas operativos de servicios de informacin aseguran que
existen las preparaciones adecuadas para manejar anticipadamente
los tiempos muertos de hardware ocasionados por mantenimiento
no programado.
Los parmetros del software del sistema aseguran que fueron
elegidos los correctos por parte del personal apropiado de la funcin
de sistemas de informacin con el fin de asegurar la integridad de
los datos y los programas alma-cenados en el sistema.
El acceso se restringe nicamente a un nmero limitado de
operadores dentro de la funcin de servicios de informacin.
52

El software del sistema es instalado y mantenido de acuerdo con el
marco referencial de adquisicin y mantenimiento para la
infraestructura de tecnologa.
Se llevan a cabo pruebas completas (utilizando una metodologa de
ciclo de vida de desarrollo de sistemas) para todo el software del
sistema antes de autorizar su introduccin al ambiente de
produccin.
Todos los passwords o contraseas de instalacin del software del
sistema proporcionados por los proveedores fue-ron cambiados al
momento de la instalacin.
Todos los cambios al software del sistema fueron controlados de
acuerdo con los procedimientos de administracin de cambios de la
organizacin.
La administracin del sistema (por ejemplo, adicin de nuevos
usuarios al sistema y a las redes; creacin y respaldo de bases de
datos, asignacin de espacio para almacenamiento de datos,
prioridades del sistema, etc.) se restringen nicamente a un nmero
limitado de operadores dentro de la funcin de servicios de
informacin.

1.3.15. AI 4 - DESARROLLO Y MANTENIMIENTO DE PROCEDIMIENTOS
DE TECNOLOGA DE INFORMACIONES

Entrevistas:
53

Desarrollo de aplicaciones de la funcin de servicios de informacin.
Mantenimiento de la funcin de servicios de informacin.
Control de cambios de la funcin de servicios de informacin.
Operaciones de la funcin de servicios de informacin.
Recursos humanos/entrenamiento de la funcin de servicios de
informacin.
Administracin de aseguramiento de la calidad de la funcin de
servicios de informacin.
Usuarios seleccionados de recursos de sistemas de informacin.

Obteniendo:
Polticas y procedimientos organizacionales relacionados con:
o Planeacin estratgica y objetivos del negocio, planeacin de
sistemas de informacin y desarrollo de aplicaciones.
o Polticas y procedimientos de las funciones de servicios de
informacin relacionadas con el desarrollo del sistema,
incluyendo: organigrama, metodologa del ciclo de vida de
desarrollo de sistemas, planeacin de capacidad, manuales
de usuarios y operaciones, materiales de entrenamiento,
pruebas y migracin a estatus de produccin y documentos
de planeacin de reanudacin/ contingencia

Considerando:

Existen requerimientos operacionales y que stos reflejan tanto las
expectativas de operacin como las de los usuarios.
El desempeo operacional est siendo medido, comunicado y
corregido en donde existen deficiencias.
El personal de operaciones y los usuarios estn conscientes y tienen
conocimiento de los requerimientos de desempeo.
54

El personal de operaciones cuenta con manuales de operaciones
para todos los sistemas y procesamientos bajo su responsabilidad.
Todo el movimiento de programas de desarrollo de aplicaciones a
produccin requiere la actualizacin o creacin de un manual de
operaciones.
Existen manuales de entrenamiento de usuarios para todas las
aplicaciones, y reflejan actualmente la funcionalidad dela aplicacin.
Existen manuales de entrenamiento para todos los sistemas
existentes y nuevos, y que stos apoyan a los usuarios, reflejando el
uso del sistema en la prctica diaria.
Los manuales de usuario incluyen, pero no se limita a:
o Visin global de los sistemas y el ambiente
o Explicacin de todas las entradas, programas, salidas e
integracin (con otros sistemas) de los sistemas
o Explicacin de todas las pantallas de entrada y despliegue de
datos
o Explicacin de todo el mensaje de error y la respuesta
apropiada
o Procedimientos y/o recursos de escalamiento de problemas
El manual de operacin incluyen, pero no se limita a:
o Nombre del sistema, nombre de los programas, secuencia de
ejecucin.
o Definicin de los nombres de todos los archivos de entrada,
proceso y de salida y del formato del medio.
o Calendarizacin para las corridas diarias, semanales,
mensuales, trimestrales, cuatrimestrales, fin de ao, etc.
o Comandos y parmetros de consola que requieran entradas
por parte del operador.
o Mensajes y respuestas de mensajes de error.
55

o Procedimientos de respaldo, reinicio y recuperacin en varios
puntos o al darse una terminacin anormal.
o Formatos o procedimientos de salidas especiales; distribucin
de reportes/salidas.
o Procedimiento de solucin en caso de emergencia, si aplica.
Se llevan a cabo el entrenamiento y el mantenimiento continuo de la
documentacin de aplicacin, manuales de operacin y de usuario.








1.3.16. AI 5 - INSTALACIN Y ACREDITACIN DE SISTEMAS

Entrevistas:
Director de TI.
Administracin de la funcin de servicios de informacin.
56

Entrenamiento, desarrollo de aplicaciones, seguridad,
aseguramiento de la calidad y administracin de operaciones dela
funcin de servicios de informacin.
Funcionario de Seguridad.
Administracin seleccionada de sistemas recientemente
desarrollados/en desarrollo.
Contratos con proveedores para recursos de desarrollo de sistemas.

Obteniendo:
Polticas y procedimientos organizacionales relacionados con la
planeacin del ciclo de vida de desarrollo de sistemas.
Polticas y procedimientos de la funcin de servicios de informacin
relacionadas con polticas y comits de seguridad, planeacin del
ciclo de vida de desarrollo de sistemas para programas, unidades,
planes de prueba del sistema, entrenamiento de usuarios, migracin
de sistemas de prueba a produccin, aseguramiento de la calidad y
entrenamiento.
Plan y calendarizacin del ciclo de vida de desarrollo de sistemas,
estndares de programacin de ciclo de vida de desarrollo de
sistemas, incluyendo procesos de requisicin de cambios.
Reportes muestra de estatus de tentativas de desarrollo de
sistemas.
Reportes post-implementacin de tentativas de desarrollo anteriores.

Considerando:

Se ha incluido en todas las tentativas de desarrollo de nuevos
sistemas un plan formal para el entrenamiento de usuarios.
El personal est consciente, comprende y tiene conocimiento de la
necesidad de controles formales de desarrollo de sistemas y
57

entrenamiento de usuarios para cada instalacin e implementacin
de desarrollo.
La consciencia, comprensin y conocimiento de usuarios
seleccionados con respecto a sus responsabilidades en el diseo,
aprobacin, pruebas, entrenamiento, conversin y proceso de
implementacin es conocida y considerada.
Se da seguimiento a los costos reales del sistema comparados con
los costos estimados, y al desempeo real contra el esperado de los
sistemas nuevos o modificados.
Existe un plan de pruebas que cubre todas las reas de recursos de
sistemas de informacin: software de aplicacin, instalaciones,
tecnologa y usuarios.
Los usuarios comprenden todas las fases y responsabilidades en el
desarrollo de sistemas, incluyendo:
o Especificaciones de diseo, incluyendo iteraciones durante el
ciclo de desarrollo
o Anlisis costo/beneficio y estudio de factibilidad
o Aprobacin en cada paso del proceso de desarrollo del
sistema
o Compromiso y evaluacin del plan de pruebas y los
resultados de las pruebas al ocurrir estas.
o Aprobacin y aceptacin del sistema a travs del ciclo de
desarrollo
o Aprobacin final y aceptacin del sistema.
o Evaluacin de la suficiencia del entrenamiento recibido para
sistemas recientemente entregados y liberados.
El personal de desarrollo y la administracin aseguran la estabilidad
de los requerimientos de los usuarios una vez acordados stos.
58

La satisfaccin del usuario es medida contra los elementos
entregables y liberables de los proveedores, en comparacin con los
productos internos.

1.3.17. AI 6 - ADMINISTRACIN DE CAMBIOS

Entrevistas:
Director de TI.
Administracin de la funcin de servicios de informacin.
Administracin de desarrollo de sistemas, aseguramiento de la
calidad de control de cambios, operaciones y seguridad.
Administracin de usuarios seleccionada involucrada en el diseo y
utilizacin de aplicaciones de sistemas de informacin.



Obteniendo:
Polticas y procedimientos organizacionales relacionados con:
planeacin de sistemas de informacin, control de cambios,
seguridad y ciclo de vida de desarrollo de sistemas.
Polticas y procedimientos de la funcin de servicios de sistemas de
informacin relacionadas con: metodologa del ciclo de vida de
desarrollo de sistemas, estndares de seguridad, aseguramiento
59

independiente de la calidad, implementacin, distribucin,
mantenimiento, cambios de emergencia, liberacin de software y
control de versiones del sistema.
Plan de desarrollo de aplicaciones.
Formato y bitcora de requisiciones de control de cambios.
Contratos con proveedores relacionados con servicios de desarrollo
de aplicacin.

Considerando:

Para una muestra de cambios, la administracin ha aprobado los
siguientes puntos:
o Solicitud de cambios.
o Especificacin del cambio.
o Acceso al programa fuente.
o Finalizacin del cambio por parte del programador.
o Solicitud para mover el programa fuente al ambiente de
prueba.
o Finalizacin de pruebas de aceptacin.
o Solicitud de compilacin y paso a produccin.
o Determinacin y aceptacin del impacto general y especfico.
o Desarrollo de un proceso de distribucin.


La revisin del control de cambios en cuanto a la inclusin de:
o Fecha del cambio solicitado.
o Persona(s) que lo solicitan.
o Solicitud aprobada de cambios.
o Aprobacin del cambio realizado - funcin de servicios de
informacin.
60

o Aprobacin del cambio realizado usuarios.
o Fecha de actualizacin de documentacin.
o Fecha de paso a produccin.
o Aprobacin del cambio por parte de aseguramiento de la
calidad.
o Aceptacin por parte de operaciones.
Los tipos de anlisis de cambios realizados al sistema para la
identificacin de tendencias.
La evaluacin de la adecuacin de las libreras de la funcin de
servicios de informacin y la determinacin de laexistencia de
niveles de cdigo base para prevenir la regresin de errores.
Existen procedimientos de entradas y salidas ("check in/check out)
para cambios.
Todos los cambios en la bitcora fueron resueltos a satisfaccin de
los usuarios y que no se llevaron a cabo cambiosque no hayan sido
registrados en la bitcora.
Los usuarios tienen consciencia y conocimiento de la necesidad de
procedimientos formales de control de cambios.
El proceso de reforzamiento del personal asegura el cumplimiento
de los procedimientos de control de cambios.



61

1.3.18. DS 1 - DEFINICIN DE NIVELES DE SERVICIO

Entrevistas:
Director de Informacin.
Presidencia de la funcin de servicios de informacin.
Administrador del nivel de servicio/contrato de servicios de
informacin.
Administrador de operaciones de la funcin de servicios de
informacin.
Administracin de usuarios.

Obteniendo:

Polticas y procedimientos generales para la organizacin asociadas
a las relaciones proveedor/usuario.
Polticas y procedimientos de la funcin de servicios de informacin
relacionadas con:
o Acuerdos de nivel de servicio.
o Contenido de emisin de reportes operativos, tiempos y
distribucin.
o Mtodos de seguimiento de desempeo
o Actividades de accin correctiva.
Documentacin de la funcin de servicios de informacin
relacionada con:
o Reportes de desempeo de nivel de servicio.
62

o Algoritmos de cargo y metodologa para calcular cargos.
o Programas de mejora del servicio.
o Recurso resultante de un bajo desempeo.
Acuerdos de nivel de servicio con usuarios y proveedores internos y
externos.

Considerando:

Para una muestra de acuerdos pasados y en proceso, el contenido
incluye:
o Definicin del servicio.
o Costo del servicio.
o Nivel de servicio mnimo cuantificable.
o Nivel de soporte por parte de la funcin de servicios de
informacin.
o Disponibilidad, confiabilidad y capacidad de crecimiento.
o Procedimiento de cambios para cualquier parte del acuerdo.
o Planeacin de recuperacin en caso de
desastre/contingencia.
o Requerimientos de seguridad.
o Acuerdo por escrito y formalmente aprobado entre el
proveedor y el usuario del servicio.
o Revisin/renovacin/no renovacin del perodo efectivo y
nuevo perodo.
o Contenido y la frecuencia del reporte de desempeo el pago
de servicios.
o Cargos realistas comparados con la historia, la industria y las
buenas prcticas.
o Clculos de cargos.
o Compromiso de mejoras al servicio.
63

o Aprobacin formal por parte de usuarios y proveedores.

Los usuarios apropiados estn conscientes, tienen conocimiento y
comprenden los procesos y procedimientos del acuerdo de nivel de
servicio.
El nivel de satisfaccin del usuario en cuanto al proceso y acuerdos
reales del nivel de servicio actuales es suficiente.
El servicio proporciona registros para asegurar razones para un bajo
desempeo ("non-performance") y para asegurar que existe un
programa para la mejora del desempeo.
La precisin de los cargos reales concuerda con el contenido del
acuerdo.
Se da seguimiento al desempeo histrico comparndolo contra el
compromiso de mejora al servicio determinado anteriormente.
Los reportes sobre el logro del desempeo de servicio especificado
son utilizados apropiadamente por la administracin para asegurar
un desempeo satisfactorio.
Los reportes sobre todos los problemas encontrados son utilizados
apropiadamente para asegurar que se toman las acciones
correctivas correspondientes.

64

1.3.19. DS 2 - ADMINISTRACIN DE SERVICIOS PRESTADOS POR
TERCEROS




Entrevistas:
Director de Informacin.
Presidencia de la funcin de servicios de informacin.
Administrador de contrato/nivel de servicio de servicios de
informacin.
Administracin de las operaciones de la funcin de servicios de
informacin.
Funcionario de seguridad de la funcin de servicios de informacin.

Obteniendo:

Polticas generales para la organizacin asociadas con los servicios
adquiridos y en particular, con las relaciones con proveedores como
terceras partes.
Polticas y procedimientos de la funcin de servicios de informacin
asociadas con: relaciones con terceras partes, procedimientos de
seleccin de proveedores, contenido del control de dichas
relaciones, seguridad lgica y fsica, mantenimiento de la calidad por
65

parte de los proveedores, planeacin de contingencias y fuentes
externas.
Una lista de todas las relaciones actuales con terceras partes y de
los contratos reales asociados con ellas.
El reporte del nivel de servicio relacionado con las relaciones y
servicios proporcionados por terceras partes.
Las minutas de las reuniones en las que se discuten la revisin de
los contratos, la evaluacin del desempeo y la administracin de
las relaciones.
Los acuerdos de confidencialidad para todas las relaciones con
terceras partes.
Las listas de seguridad de acceso con los perfiles y recursos
disponibles para los vendedores

Considerando:

La precisin y existencia de la lista de contratos y de los contratos.
Ningn servicio es proporcionado por algn proveedor no incluido en
la lista de contratos mencionada.
Los proveedores mencionados en los contratos efectivamente estn
llevando a cabo los servicios definidos.
La administracin/los propietarios de los proveedores comprenden
su responsabilidad dentro del contrato.
Las polticas y procedimientos de la funcin de servicios de
informacin asociadas con las relaciones con terceras partes existen
y son consistentes con las polticas generales de la organizacin.
Existen polticas que consideran especficamente la necesidad de
establecer contratos, la definicin del contenido de los mismos, del
propietario o administrador de la relacin responsable de asegurar
66

que los contratos sean creados, mantenidos, monitoreados y
renegociados segn se requiera.
Los contratos representan un registro completo de las relaciones
con los proveedores como terceras partes.
Los contratos estn establecidos para asegurar especficamente la
continuidad de los servicios, y que dichos contratos incluyen una
planeacin de contingencias por parte del proveedor para asegurar
el servicio continuo a los usuarios.
El contenido de los contratos incluye por lo menos lo siguiente:
o Aprobacin formal administrativa y legal.
o Entidad legal para proporcionar los servicios.
o Servicios proporcionados.
o Acuerdos cuantitativos y cualitativos del nivel de servicio.
o Costo y frecuencia de los servicios y su pago.
o Proceso de solucin de problemas.
o Sanciones por bajo desempeo.
o Proceso de disolucin.
o Proceso de modificacin.
o Reporte de servicios - contenido, frecuencia y distribucin.
o Funciones entre las partes del contrato durante la vida del
mismo.
o Aseguramiento de la continuidad de los servicios prestados
por el proveedor.
o Usuarios de los servicios y frecuencia del proceso de
comunicaciones del proveedor.
o Duracin del contrato.
o Nivel de acceso proporcionado por el proveedor.
o Requerimientos de seguridad.
o Garantas de confidencialidad.
o Derecho de acceso y de auditar.
67

Los usuarios tienen consciencia, conocimiento y comprenden la
necesidad de contar con polticas de contratos y con los contratos
mismos para proporcionar servicios.
Existe una independencia adecuada entre el proveedor y la
organizacin.
Se dan independientemente la bsqueda y la seleccin de
proveedores.
La lista de seguridad de acceso incluye nicamente un nmero
mnimo de proveedores requeridos, y que dicho acceso es el mnimo
necesario.
El acceso de hardware y software a los recursos de la organizacin
es administrado y controlado para minimizar su utilizacin por parte
de los proveedores.
El nivel real de servicios proporcionados se compara en gran
medida con las obligaciones contractuales.
Las instalaciones, personal, operaciones y controles de fuentes
externas aseguran un nivel de desempeo requerido comparable
con el esperado.
El monitoreo continuo de liberacin y entrega de servicios por parte
de terceros es llevado a cabo por la administracin.
Se llevan a cabo auditoras independientes de las operaciones de la
parte contratante.
Existen los reportes de evaluacin para terceros con el fin de
evaluar sus capacidades para entregar el servicio requerido.
Las interfaces de los agentes independientes involucrados en la
conduccin del proyecto estn documentadas en el contrato.
La historia de la actividad de litigacin - actual y anterior.
Los contratos con proveedores PBX estn y cubiertos.
68

1.3.20. DS 3 - ADMINISTRACIN DE DESEMPEO Y CAPACIDAD

Entrevistas:
Presidencia de la funcin de servicios de informacin.
Administracin de operaciones de la funcin de servicios de
informacin.
Administracin de la capacidad de la funcin de servicios de
informacin.
Administracin de redes de la funcin de servicios de informacin.

Obteniendo:

Polticas y procedimientos globales para la organizacin
relacionados con la disponibilidad, monitoreo y reporte del
desempeo, pronstico de la carga de trabajo, administracin de la
capacidad y calendarizacin.
Polticas y procedimientos de la funcin de servicios de informacin
relacionadas con: el enlace de la capacidad con el plan del negocio,
la disponibilidad de los servicios, la planeacin de la disponibilidad,
el monitoreo continuo y la administracin del desempeo.
Representaciones del producto por parte del proveedor con respecto
a las normas de capacidad y desempeo.
69

Una lista de todos los productos actuales del proveedor en lo
referente a hardware, software, comunicaciones y perifricos.
Reportes de monitoreo de redes de comunicacin.
Minutas de las reuniones en las que se discuten la planeacin de la
capacidad, las expectativas de desempeo y la afinacin" del
desempeo.
Documentos de disponibilidad, capacidad, carga de trabajo y
planeacin de recursos.
Presupuesto de TI anual incluyendo las suposiciones relacionadas
con la capacidad y el desempeo.
Reportes relacionados con el desempeo operativo dentro de la
funcin de servicios de informacin, incluyendo el reporte y la
historia de la solucin de problemas.

Considerando:

Las estadsticas sobre reportes de desempeo, capacidad y
disponibilidad son precisas, incluyendo una comparacin entre las
explicaciones de las variaciones de desempeo histricas y las
pronosticadas.
El proceso de cambios para modificar los documentos de planeacin
de disponibilidad, capacidad y carga de trabajo refleja los cambios
en la tecnologa o los requerimientos del usuario.
Los reportes de anlisis de flujo de trabajo consideran las
oportunidades de eficiencia de procesos adicionales.
El reporte de informacin del desempeo para los usuarios
relacionado con el uso y la disponibilidad, existe, incluyen-do
capacidad calendarizacin de carga de trabajo y tendencias.
Existen procedimientos de escalamiento, que stos son seguidos y
son apropiados para la solucin de problemas.
70

La fase de post - implementacin de la metodologa de desarrollo de
sistemas incluye criterios para determinar el crecimiento futuro y los
cambios a las expectativas de desempeo.
Los niveles de soporte proporcionados por la funcin de servicios de
informacin son suficientes para apoyar las metas de la
organizacin.









1.3.21. DS 4 - ASEGURAMIENTO DE SERVICIO CONTINUO

Entrevistas:
Presidencia de la funcin de servicios de informacin.
71

Administracin de operaciones de la funcin de servicios de
informacin.
Administracin de contingencias de la funcin de servicios de
informacin.
Administracin de recursos humanos o entrenamiento.
Organizaciones de usuarios con necesidades de
reanudacin/contingencia.
Administrador del centro de cmputo de recuperacin del proveedor.
Administrador del almacenamiento fuera del centro de cmputo.
Administrador de riesgos/seguros.

Obteniendo:

Polticas y procedimientos generales para la organizacin
relacionados con el proceso de planeacin de recuperacin/
contingencia.
Polticas y procedimientos de la funcin de servicios de informacin
relacionadas con: el marco referencial, el plan, la filosofa, la
estrategia, la priorizacin de aplicaciones, el plan de pruebas, los
respaldos y rotaciones regulares y el entrenamiento de recuperacin
de desastres/contingencia.
El plan de recuperacin de desastres/contingencia de la funcin de
servicios de informacin.
Los usuarios de los servicios de planes de reanudacin del
negocio/contingencia.
Los resultados de las pruebas de los planes para usuario de
recuperacin de desastre/contingencia y reanudacin del
negocio/contingencia ms recientes.
La metodologa para determinar la priorizacin de aplicaciones en
caso de desastre.
72

Los contratos de los proveedores que dan soporte a los servicios de
recuperacin/soporte.
Polticas de seguros por interrupcin del negocio.

Considerando:

Existen planes de recuperacin de desastre/contingencia, que ste
es actual y que es comprendido por todas las partes afectadas.
Se ha proporcionado a todas las partes involucradas un plan regular
de entrenamiento de contingencia y recuperacin en caso de
desastre.
Se han seguido todas las polticas y procedimientos relacionados
con el desarrollo del plan.
El contenido del plan tiene como base el contenido descrito
anteriormente, y que:
o Los objetivos del plan de contingencia han sido alcanzados.
o Se ha seleccionado a las personas apropiadas para llevar a
cabo funciones de liderazgo.
o El plan ha recibido las revisiones y aprobaciones apropiadas
por parte de la administracin.
o El plan ha sido probado recientemente y que ste trabaj de
acuerdo con lo esperado, o que cualquier deficiencia
encontrada trajo como resultado la aplicacin de correcciones
al plan.
o Existe un vnculo entre el plan de recuperacin en caso de
desastres y el plan de negocios de la organizacin.
o Los procedimientos manuales alternativos son documentados
y probados como parte de la prueba global.
Se han dado el entrenamiento, la consciencia y el conocimiento de
los usuarios y del personal de la funcin de servicios de informacin
73

en cuanto a funciones, tareas y responsabilidades especficas
dentro del plan.
Las relaciones y tiempos del proveedor contratado son consistentes
con las expectativas y necesidades del usuario.
El contenido del centro de cmputo de respaldo est actualizado y
es suficiente con respecto a los procedimientos normales de
rotacin fuera del centro de cmputo.

1.3.22. DS 5 - GARANTIZAR LA SEGURIDAD DE SISTEMAS


Entrevistas:
Oficial de seguridad Senior de la organizacin.
Administracin de la seguridad y presidencia de la funcin de
servicios de informacin.
Administrador de la base de datos de la funcin de servicios de
informacin.
74

Administrador de la seguridad de la funcin de servicios de
informacin.
Administracin de desarrollo de aplicaciones de la funcin de
servicios de informacin

Obteniendo:
Polticas y procedimientos globales para la organizacin referentes a
la seguridad y el acceso de los sistemas de informacin.
Polticas y procedimientos de la funcin de servicios de informacin
relacionadas con: seguridad y acceso a los sistemas de informacin.
Polticas y procedimientos relevantes, as como requerimientos de
seguridad legales y regulatorios de los sistemas de informacin (por
ejemplo, leyes, regulaciones, lineamientos, estndares industriales)
incluyendo:
o Procedimientos de administracin de cuentas de usuario.
o Poltica de seguridad del usuario o de proteccin de la
informacin.
o Estndares relacionados con el comercio electrnico.
o Esquema de clasificacin de datos.
o Inventario de software de control de acceso.
o Plano de los edificios/habitaciones que contienen recursos de
sistemas de informacin.
o Inventario o esquema de los puntos de acceso fsico a los
recursos de sistemas de informacin (por ejemplo, mdems,
lneas telefnicas y terminales remotas).
o Procedimientos de control de cambios de software de
seguridad.
o Procedimientos de seguimiento, solucin y escalamiento de
problemas.
75

o Reportes de violaciones a la seguridad y procedimientos de
revisin administrativa.
o Inventario de dispositivos de encriptacin de datos y de
estndares de encriptacin.
o Lista de los proveedores y clientes con acceso a los recursos
del sistema.
o Lista de los proveedores de servicios utilizados en la
transmisin de datos.
o Prcticas de administracin de redes relacionadas con
pruebas continas de seguridad.
o copias de los contratos de los proveedores de servicios de
transmisin de datos
o Copias de documentos firmados de seguridad y conocimiento
de los usuarios.
o Contenido del material de entrenamiento de seguridad para
nuevos empleados.
o Reportes de auditora de auditores externos, proveedores de
servicios como terceras partes y dependencias
gubernamentales relacionadas con la seguridad de los
sistemas de informacin.

Considerando:

La funcin de servicios de informacin cumple con los estndares de
seguridad relacionados con:
o Autenticacin y acceso.
o Administracin de clasificacin de perfiles de usuario y
seguridad de datos.
o Reportes y revisin gerencial de las violacin e incidentes de
seguridad.
o Estndares criptogrficos administrativos clave.
76

o Deteccin de virus, solucin y comunicacin.
o Clasificacin y propiedad de datos.
Existen procedimientos para la requisicin, establecimiento y
mantenimiento del acceso de usuarios al sistema.
Existen procedimientos para el acceso externo de recursos del
sistema, por ejemplo, "logon, ID, password o contrasea y dial
back.
Se lleva un inventario de los dispositivos del sistema para verificar
su suficiencia.
Los parmetros de seguridad del sistema operativo tienen como
base estndares locales/del proveedor.
Las prcticas de administracin de seguridad de la red son
comunicadas, comprendidas e impuestas.
Los contratos de los proveedores de acceso externo incluyen
consideraciones sobre responsabilidades y procedimientos de
seguridad.
Existen procedimientos de logon reales para sistemas, usuarios y
para el acceso de proveedores externos.
Se emiten reportes de seguridad en cuanto a la oportunidad,
precisin y respuesta gerencial a incidentes.
El acceso a las llaves y mdulos criptogrficos se limita a
necesidades reales de consulta.
Existen llaves secretas para la transmisin.
Los procedimientos para la proteccin contra software maligno
incluyen:
o Todo el software adquirido por la organizacin se revisa
contra los virus antes de su instalacin y uso.
o Existe una poltica por escrito para bajar archivos
(downloads), aceptacin o uso de aplicaciones gratuitas y
compartidas y esta poltica est vigente.
77

o El software para aplicaciones altamente sensibles est
protegido por MAC (Messsage Authentication Code-
Cdigode Autentificacin de Mensajes) o firma digital, y fallas
de verificacin para evitar el uso del software.
o Los usuarios tienen instrucciones para la deteccin y reportes
de virus, como el desempeo lento o crecimiento misterioso
de archivos.
o Existe una poltica y un procedimiento vigente para la
verificacin de disquetes externos al programa de compra
normal de la organizacin.

Los firewalls poseen por lo menos las siguientes propiedades:
o Todo el trfico de adentro hacia fuera y viceversa debe pasar
por estos firewalls (esto no debe limitarse a los controles
digitales, debe reforzarse fsicamente).
o Slo se permitir el paso al trfico autorizado, como se define
en la poltica de seguridad local.
o Los firewalls por s misma es inmune a la penetracin.
o El trfico se intercambia en firewalls a la capa de aplicacin
nicamente.
o La arquitectura del firewall combina las medidas de control
tanto a nivel de la red como de la aplicacin.
o La arquitectura del firewall refuerza la discontinuidad de un
protocolo en la capa de transportacin.
o La arquitectura del firewall debe estar configurada de acuerdo
a la filosofa de arte mnima.
o La arquitectura del firewall debe desplegar slida
autentificacin para la administracin y sus componentes.
o La arquitectura del firewall oculta la estructura de la red
interna.
78

o La arquitectura del firewall provee una auditora de todas las
comunicaciones hacia o a travs del sistema del firewall y
activar alarmas cuando se detecte alguna actividad
sospechosa.
o El host de la organizacin, que provee el soporte para las
solicitudes de entrada al servicio de las redes pblicas,
permanece fuera del firewall.
o La arquitectura del firewall se defiende de los ataques
directos (ej., a travs del monitoreo activo de la tecnologa de
reconocimiento de patrones y trfico).
o Todo cdigo ejecutable se explora en busca de cdigos
malignos ej., virus, applets dainos) antes de introducirse a la
red interna.
1.3.23. DS 6 - IDENTIFICACIN Y ASIGNACIN DE COTOS

Entrevistas:
Gerencia administrativa o de asignacin de costos de la funcin de
servicios de informacin.
Administracin de usuarios seleccionada facturada y absorbente de
costos.

Obteniendo:
Polticas y procedimientos generales para la organizacin
relacionada con la planeacin y la preparacin del presupuesto.
79

Polticas y procedimientos de la funcin de servicios de informacin
relacionadas con la agregacin de costos, facturacin, metodologa
y reportes de desempeo/costos.
Los siguientes elementos de la funcin de servicios de informacin:
o Presupuesto actual y del ao anterior.
o Reportes de seguimiento de la utilizacin de los recursos de
los sistemas de informacin.
o Datos fuente utilizados en la preparacin de los reportes de
seguimiento.
o Metodologa o algoritmo de asignacin de costos.
o Reportes histricos de facturacin.
Los siguientes elementos de la administracin de usuarios:
o Presupuesto actual y del ao anterior para los costos de la
funcin de servicios de informacin.
o Plan de desarrollo y mantenimiento de sistemas de
informacin del ao en curso.
o Gastos presupuestados para los recursos de sistemas de
informacin, incluyendo aquellos facturados o absorbidos.

Considerando:

Existe una metodologa de asignacin de costos, que los usuarios
estn de acuerdo en cuanto a su equidad, y que genera tanto costos
como reportes.
Existe un programa de mejora para reducir costos o aumentar el
desempeo de los recursos de los sistemas de informacin.
Los procesos de asignacin y reporte fomentan un uso ms
apropiado, efectivo y consistente de los recursos computacionales,
que stos aseguran el tratamiento justo de los departamentos
80

usuarios y sus necesidades, y que los cargos reflejan los costos
asociados con la prestacin de servicios.

1.3.24. DS 7 - EDUCACIN Y ENTRENAMIENTO DE USUARIOS

Entrevistas:
Administrador de entrenamiento o recursos humanos de la
organizacin.
Administrador de entrenamiento o de recursos humanos de la
funcin de servicios de informacin.
Administradores y empleados seleccionados de la funcin de
servicios de informacin.
Administradores y empleados seleccionados de los departamentos
usuarios.
Obteniendo:
Polticas y procedimientos generales para la organizacin con
respecto al entrenamiento sobre controles y concienciade seguridad,
beneficios para los empleados enfocados al desarrollo, programas
de entrenamiento para los usuarios de servicios, instalaciones
educacionales y requerimientos de educacin continua profesional.
Programas, polticas y procedimientos de entrenamiento y de
educacin de la funcin de servicios de informacin relacionados
con controles y conciencia de seguridad, seguridad tcnica y
controles.
81

Programas de entrenamiento disponibles (tanto internos como
externos) para seguridad y conciencia de controles introductorios y
continuos, as como para entrenamiento dentro de la organizacin.

Considerando:

Los nuevos empleados tienen conciencia y conocimiento de la
seguridad, controles y responsabilidades fiduciarias de poseer y
utilizar recursos de sistemas de informacin.
Las responsabilidades de los empleados con respecto a la
confiabilidad, integridad, disponibilidad, confidencialidad y seguridad
de todos los recursos de los sistemas de informacin son
comunicadas continuamente.
Un grupo de la funcin de servicios de informacin es formalmente
responsable del entrenamiento, conciencia de seguridad y controles
y mantenimiento de programas de educacin continua para
certificaciones profesionales.
Se considera continuamente la evaluacin de las necesidades de
entrenamiento para empleados.
El desarrollo o la participacin en los programas de entrenamiento
relacionados con seguridad y controles es parte delos
requerimientos de entrenamiento.
Existen programas reales nuevos y a largo plazo de entrenamiento
sobre conciencia de seguridad para empleados.
Los acuerdos de confidencialidad son firmados por todos los
empleados.
No faltan estatutos de confidencialidad y conflicto de intereses para
empleados.
No faltan evaluaciones de necesidades de entrenamiento para
empleados.
82

1.3.25. DS 8 - APOYO Y ASISTENCIA PARA LOS CLIENTES DE
TECNOLOGA DE INFORMACIN


Entrevistas:
Administrador de soporte del bur de ayuda de la funcin de
sistemas de informacin.
Usuarios seleccionados de los servicios de informacin.

Obteniendo:
Polticas y procedimientos generales para la organizacin
relacionados con el soporte a usuarios de la funcin de servicios de
informacin.
Organigrama, misin, polticas y procedimientos de la funcin de
servicios de informacin relacionados con las actividades de bur de
ayuda.
Reportes relacionados con las preguntas de los usuarios, su
solucin y estadsticas de desempeo del bur de ayuda.
Cualquier estndar de desempeo para las actividades del bur de
ayuda.
Acuerdos de nivel de servicios entre la funcin de servicios de
informacin y usuarios diversos.
Archivos personales que muestren las credenciales y experiencia
profesional del personal del bur de ayuda.

Considerando:
83


Las polticas y procedimientos son actuales y precisos en relacin
con las actividades del bur de ayuda.
Los compromisos de nivel de servicio son conservados y que las
variaciones son explicadas.
Las preguntas son atendidas de una forma oportuna.
El anlisis y reporte de tendencias asegura que los reportes:
o Son emitidos y que se toman las medidas necesarias para
mejorar el servicio.
o Incluyen problemas especficos, anlisis de tendencias y
tiempos de respuesta.
o Son enviados a las personas responsables con la autoridad
para resolver los problemas.
Se obtienen para una muestra de requisiciones de ayuda,
confirmacin de la precisin, oportunidad y suficiencia de la
respuesta.
Las encuestas sobre el nivel de satisfaccin del usuario existen y se
trabaja con ellas.

1.3.26. DS 9 - ADMINISTRACIN DE LA CONFIGURACIN

Entrevistas:
84

Administracin de operaciones de la funcin de servicios de
informacin.
Administracin de soporte de sistemas de la funcin de servicios de
informacin.
Administracin de desarrollo de aplicaciones de la funcin de
servicios de informacin.
Administracin de instalaciones.
Personal de soporte de proveedores de software.
Personal de administracin de activos relacionados con
computacin.
Administrador de aseguramiento de la calidad.

Obteniendo:
Un inventario de la configuracin: hardware, software de sistema
operativo, software de aplicaciones, instalaciones y archivos de
datos dentro y fuera de las instalaciones.
Polticas y procedimientos organizacionales relacionados con la
adquisicin, inventario y disposicin de software y equipo
computacional comprado, rentado o arrendado.
Polticas organizacionales relacionadas con la utilizacin de software
o equipo no autorizado.
Polticas y procedimientos de la funcin de servicios de informacin
relacionados especficamente con la adquisicin, disposicin y
mantenimiento de los recursos de la configuracin.
Polticas y procedimientos de la funcin de servicios de informacin
relacionados con las funciones de aseguramiento de la calidad y de
control de cambios en cuanto a la transferencia independiente y el
registro de la migracin del desarrollo de software nuevo y
modificado hacia los archivos y estatus de produccin.
Informacin de la base de la configuracin.
85

Registros contables de activos fijos y arrendamientos relacionados
con los recursos de sistemas.
Reportes relacionados con adiciones, eliminaciones y cambios a la
configuracin de los sistemas.
Listas del contenido de las distintas libreras prueba, desarrollo y
produccin.
Inventario del contenido del almacenamiento fuera de las
instalaciones equipo, archivos, manuales y formas incluyendo
material en manos de los proveedores.

Considerando:

Todos los elementos de la configuracin se encuentran bajo un
control base.
Las polticas y procedimientos relacionados con el reporte de la
configuracin son actuales y precisos.
Se cumple con los estndares de desempeo con respecto al
mantenimiento y reporte de la configuracin.
Se lleva a cabo una comparacin entre el inventario fsico del equipo
y los registros de contabilidad de activos.
Existe independencia de la migracin de pruebas a produccin y
registros de los cambios.
Para una seleccin de salidas de base:
Se lleve una base precisa, apropiada y aprobada de los elementos
de la configuracin.
Los registros de la configuracin reflejen el estatus actual de todos
los elementos de la configuracin, incluyendo la historia de cambios.
La administracin revise y evale peridicamente la consistencia de
la configuracin, y que se lleven a cabo acciones correctivas.
86

Las libreras de archivos hayan sido definidas conveniente y
adecuadamente y en fases apropiadas del ciclo de vida de
desarrollo de sistemas.
Para todas las computadoras personales que contengan software no
autorizado se reporten violaciones y la administracin lleve a cabo
acciones correctivas.
Los registros de la configuracin con respecto a producto, versin y
modificaciones de los recursos proporcionados por los proveedores
sean precisos.
Los registros histricos de cambios a la configuracin sean precisos
Existan mecanismos para asegurar que no exista software no
autorizado en las computadoras, incluyendo:
o Polticas y estatutos.
o Entrenamiento y conciencia de responsabilidades potenciales
(legales y de producto).
o Formas firmadas de cumplimiento por parte de todo el
personal que utilice computadoras.
o Control centralizado del software computacional.
o Revisin contina del software computacional.
o Reportes de los resultados de la revisin.
o Acciones correctivas por parte de la administracin basada en
los resultados de las revisiones.
El almacenamiento de programas de aplicacin y cdigo fuente sea
definido durante el ciclo de desarrollo yque el impacto de los
registros de la configuracin sea determinado.
La suficiencia e integridad de los registros de proveedores y fuera
del site relacionados con la configuracin, as como la precisin en
los registros de la configuracin sean anticipados y considerados.
Se definan procedimientos de base de la configuracin para:
87

o Registrar el evento que cre la base, el establecimiento de la
base y los elementos de la configuracin que deben ser
controlados en la base.
o Modificar la base, incluyendo la autoridad requerida para
aprobar los cambios a las bases de la configuracin
aprobadas previamente.
o Registrar los cambios a la base y a los elementos de la
configuracin que deben ser controlados en labase.
o Asegurar que todos los elementos de la configuracin son
registrados dentro de los productos de base.
Existe el reporte de estado de cuenta para:

o El tipo de informacin a ser recopilada, almacenada,
procesada y reportada (Esto deber incluir el estatus de la
base, los hallazgos en las revisiones de la base, requisiciones
de cambios y estatus; revisin yaprobacin/desaprobacin del
control de la configuracin (s aplica); modificaciones
realizadas; reportes de problemas y estatus y la historia de la
revisin de la configuracin).

o La manera en la que los problemas de requisiciones de
cambio son resueltos con un estado de cuentaincompleto.

o Los tipos de reportes de estados de cuenta a ser generados y
su frecuencia.
o La manera en la que el acceso a estos datos de estatus ser
controlado.

88

1.3.27. DS 10 - MANEJO DE PROBLEMAS INCIDENTES

Entrevistas:
Personal de soporte de operaciones de la funcin de servicios de
informacin.
Personal de soporte del bur de ayuda de la funcin de servicios de
informacin.
Personal de soporte de sistemas de la funcin de servicios de
informacin.
Personal de soporte de aplicaciones de la funcin de servicios de
informacin.
Usuarios seleccionados de los recursos de los sistemas de
informacin.

Obteniendo:

Un resumen de las instalaciones y posiciones de manejo de
problemas que realizan la funcin de manejo de problemas.
Polticas y procedimientos de la funcin de servicios de informacin
relacionados con el manejo de problemas, incluyendo procesos de
reconocimiento, registro, solucin, escalamiento, seguimiento y
reporte.
Una lista de los problemas reportados durante un perodo
representativo, incluyendo la fecha de ocurrencia, la fecha de
escalamiento (s aplica), la fecha de solucin y los tiempos de
solucin.
89

Una lista de las aplicaciones crticas que son escaladas
inmediatamente a la atencin de la presidencia para darles prioridad
de solucin, o que son reportables como problemas crticos.
Un conocimiento de cualquier aplicacin de manejo de problemas, y
en particular un mtodo para asegurar que todos los problemas son
capturados, resueltos y reportados segn lo requerido.

Considerando:

Una muestra seleccionada de salidas de procesos cumple con los
procedimientos establecidos relacionados con:
o Problemas no-crticos.
o Problemas crticos/de alta prioridad que requieren
escalamiento.
o El reporte de los requerimientos, el contenido, la precisin, la
distribucin y las acciones llevadas a cabo.
o La satisfaccin del usuario con el proceso de manejo de
problemas y los resultados.
Va entrevistas, el conocimiento y la conciencia del proceso de
manejo de problemas.


90

1.3.28. DS 11 - ADMINISTRACIN DE DATOS



Entrevistas:
Administracin de operaciones de la funcin de servicios de
informacin.
Administracin de bases de datos de la funcin de servicios de
informacin.
Administracin de desarrollo de aplicaciones de la funcin de
servicios de informacin.
Administracin de entrenamiento/recursos humanos de la funcin de
servicios de informacin.
91

Administracin de soporte de sistemas de la funcin de servicios de
informacin.
Administracin de la seguridad de respaldos.
Administraciones de usuarios varias para aplicaciones crticas de la
misin.

Obteniendo:

Polticas y procedimientos organizacionales relacionados con la
naturaleza y administracin de datos, incluyendo:
o Flujo de datos dentro de la funcin de servicios de
informacin y entre usuarios de datos.
o Puntos en la organizacin en los que los datos son
originados, concentrados en grupos o tandas
(batched),editados, capturados, procesados, extrados,
revisados, corregidos y remitidos, y distribuidos a los
usuarios.
o Proceso de autorizacin de documentos fuente.
o Procesos de recoleccin, seguimiento y transmisin de datos.
o Procedimientos para asegurar la suficiencia, precisin,
registro y transmisin de Documentos fuentes completas para
captura.
o Procedimientos utilizados para identificar y corregir errores
durante la creacin original de datos.
o Procedimientos para asegurar la integridad, confidencialidad
y aceptacin de los mensajes delicados transmitidos por
Internet o cualquier otra red pblica
o Mtodos utilizados por la organizacin para retener
documentos fuente (archivo, imagen, etc.), para definir qu
92

documentos deben ser retenidos, los requerimientos de
retencin legales y regulatorios, etc.
o Sistemas de interface que proporcionen y utilicen datos para
las funciones de servicios de informacin.
o Contratos de proveedores para llevar a cabo tareas de
administracin de datos.
o Reportes administrativos utilizados para monitorear
actividades e inventarios.
Una lista de todas las aplicaciones mayores, as como de la
documentacin de usuario relacionada con:
o Mdulos que lleven a cabo revisiones de precisin, suficiencia
y autorizacin de captura.
o Funciones que lleven a cabo entradas de datos para cada
aplicacin.
o Funciones que lleven a cabo rutinas de correccin de errores
de entrada de datos.
o Mtodos utilizados para prevenir (por medios manuales y
programados), detectar y corregir errores.
o Control de la integridad de los procesos de datos emitidos.
o Edicin y autenticacin de la validacin del procesamiento de
datos tan cerca del punto de origen como seaposible.
o Manejo y retencin de salidas creadas por aplicaciones.
o Salidas, distribucin de salidas y sistemas de interface que
utilizan salidas.
o Procedimientos de balanceo de salidas para control de totales
y conciliacin de variaciones.
o Revisin de la precisin de los reportes de salida y de la
informacin.
o Seguridad en los reportes de procesamiento de salidas
distribuidos.
o Seguridad de los datos transmitidos y entre aplicaciones.
93

o Disposicin de documentacin sensible de entrada, proceso y
salida.
o Procedimientos de control de proveedores como terceras
partes con respecto a preparacin, entrada, procesa-miento y
salida.
Polticas y procedimientos relacionados con cualquier depsito de
bases de datos de la organizacin, incluyendo:
o Organizacin de la base de datos y diccionario de datos.
o Procedimientos de mantenimiento y seguridad de bases de
datos.
o Determinacin y mantenimiento de la propiedad de las bases
de datos.
o Procedimientos de control de cambios sobre el diseo y
contenido de la base de datos.
o Reportes administrativos y seguimientos de auditora que
definen actividades de bases de datos.
Polticas y procedimientos relacionados con la librera de medios y
con el almacenamiento de datos fuera del site, incluyendo:
o Administracin de la librera de medios y del sistema de
administracin de la librera.
o Requerir la identificacin externa de todos los medios.
o Requerir el inventario actual de todos los contenidos y
procesos para actividades de control.
o Procesos de administracin para proteger los recursos de
datos.
o Procedimientos de conciliacin entre registros reales y de
datos.
o Reciclaje de datos y rotacin de medios de datos.
o Datos de pruebas pasadas de pruebas de inventario y
recuperacin llevadas a cabo.
94

o Funciones del personal de los medios y fuera del site en los
planes de manejo de desastres y recuperacin delnegocio.



Considerando:

La preparacin de datos:
o Para una muestra seleccionada de documentos fuente, existe
consistencia evidente con respecto a los procedimientos
establecidos relacionados con la autorizacin, aprobacin,
precisin, suficiencia y recepcin de entrada de datos ysi la
entrada de datos es oportuna.
o El personal de las fuentes, entradas y conversin tiene
conciencia y comprende los requerimientos de control en la
preparacin de datos.
La entrada de datos:
o Se envan de datos de prueba (tanto transacciones correctas
como errneas) para asegurar que se llevan a cabo
revisiones de precisin, suficiencia y autorizacin.
o Para transacciones seleccionadas se comparan los archivos
maestros antes y despus de la captura.
o Existe una apropiada revisin de retencin, solucin y de la
integridad en el manejo de errores.
o Los procedimientos y acciones de manejo de errores cumplen
con las polticas y controles establecidos
El procesamiento de datos:
o Se utilizan efectivamente los totales de control corrida-a-
corrida y los controles de actualizacin de archivos maestros.
95

o Se envan datos de prueba (tanto transacciones correctas
como errneas) para asegurar que se llevan a cabo la
validacin, autenticacin y edicin de procesamiento de datos
tan cerca del punto de origen como sea posible.
o El proceso de manejo de errores es llevado a cabo de
acuerdo con los procedimientos y controles establecidos.
o Se llevan a cabo la retencin, solucin y revisin apropiada
de la integridad en el manejo de errores y que stas
funcionan adecuadamente.
o Los procedimientos y acciones del manejo de errores
cumplen con los procedimientos y controles establecidos.
La Salida, Interface y Distribucin de Datos:
o La salida es balanceada rutinariamente contra totales de
control relevantes.
o Los seguimientos de auditora son proporcionados para
facilitar el seguimiento del procesamiento de transacciones en
la conciliacin de datos confusos o errneos.
o Los reportes de salida son revisados en cuanto a su precisin
por parte del proveedor y los usuarios relevantes.
o Existen la retencin, solucin y revisin apropiada de la
integridad en el manejo de errores y que stas funcionan
adecuadamente.
o Los procedimientos y acciones de manejo de errores cumplen
con las polticas y controles establecidos.
o Los reportes de salidas son asegurados al esperar ser
distribuidos, as como aqullos ya distribuidos a los usuarios
de acuerdo con los procedimientos y controles establecidos.
o Existe la proteccin adecuada para la informacin sensible
durante la transmisin y transporte contra los accesos no
autorizados y las modificaciones.
96

o Existe una proteccin adecuada de informacin sensible
durante la transmisin y transporte en cuanto a accesos y
modificaciones no autorizadas.
o Los procedimientos y acciones de informacin sensible
dispuesta cumplen con los procedimientos y controles
establecidos.
La Librera de Medios:
o El contenido de la librera de medios es inventariado
sistemticamente, que todas las discrepancias encontradas
sonsolucionadas oportunamente y se toman medidas para
mantener la integridad de los medios almacenados en la
librera.
o Los procedimientos de administracin diseados para
proteger el contenido de la librera de medios existen y
funcionan adecuadamente.
o Las responsabilidades de la administracin de la librera de
medios son asignadas apropiadamente.
o La librera de medios es independiente de las funciones de
preparacin, entrada, procesamiento y salida.
o La estrategia de respaldos y restauracin de medios es
apropiada.
o Los respaldos de medios se llevan a cabo apropiadamente de
acuerdo con la estrategia de respaldo definida.
o Los sites de almacenamiento de medios son seguros
fsicamente y que su inventario est actualizado.
o El almacenamiento de datos considera los requerimientos de
recuperacin y la economa o efectividad de costos.
o Los perodos de retencin y los trminos de almacenamiento
son apropiados para documentos, datos, programas y
reportes.
97

o El riesgo de mal direccionar mensajes (por carta, fax o e-mail)
se reduce con los procedimientos adecuados.
o Los controles normalmente se aplican a un proceso de
transaccin especfico, como faxes o contestadores
telefnicos automticos, tambin aplica a sistemas
computacionales que soportan la transaccin o proceso (ej.,
software de fax en las computadoras personales).
1.3.29. DS 12 - ADMINISTRACIN DE INSTALACIONES

Entrevistas:
Administrador de las Instalaciones.
Oficial de Seguridad.
Administrador de Riesgos.
Administracin de operaciones de la funcin de servicios de
informacin.
Administrador de la seguridad de la funcin de servicios de
informacin.

Obteniendo:

Polticas y procedimientos organizacionales relacionados con la
administracin, disposicin o plano, seguridad, inventario de activos
fijos e inventario de las instalaciones, as como
adquisicin/arrendamiento de capital.
98

Polticas y procedimientos de la funcin de servicios de informacin
relacionados con la disposicin o plano de las instalaciones, la
seguridad fsica y lgica, acceso, mantenimiento, visitantes, salud,
seguridad y requerimientos ambientales, mecanismos de entrada y
salida, reporte de seguridad, contratos de seguridad y
mantenimiento, inventario de equipo, procedimientos de vigilancia, y
requerimientos regulatorios.
Una lista de los individuos que tienen acceso a las instalaciones y la
disposicin o plano de las instalaciones.
Una lista de los acuerdos de desempeo, capacidad y nivel de
servicios con respecto a las expectativas de desempeo de los
recursos de los sistemas de informacin (equipo e instalaciones),
incluyendo estndares industriales.
Copia del documento de planeacin de recuperacin/contingencia
en caso de desastre.

Considerando:

El personal tiene conciencia y comprende la necesidad de seguridad
y controles.
Los armarios cableados estn fsicamente protegidos con el acceso
posible autorizado y el cableado se encuentra bajo tierra o
conductos protegidos tanto como sea posible.
El proceso de signage identifica rutas de emergencia y qu hacer
en caso de una emergencia o violacin a la seguridad.
Los directorios de telfono en otra partes de la instalacin no
identifican localidades sensibles.
La bitcora de visitantes sigue apropiadamente los procedimientos
de seguridad.
99

Existen los procedimientos de identificacin requeridos para
cualquier acceso dentro o fuera va observacin.
Las puertas, ventanas, elevadores, ventilas y ductos o cualquier otro
modo de acceso estn identificados.
El site computacional est separado, cerrado y asegurado y es
accesado nicamente por personal de operaciones y gente de
mantenimiento tomando como base un acceso necesario.
El personal de las instalaciones rota turnos y toma vacaciones y
descansos apropiados.
Existen los procedimientos de mantenimiento y registro para un
desempeo de trabajo oportuno.
Las variaciones de las polticas y procedimientos en las operaciones
de los turnos segundo y tercero son reportadas.
Los planes fsicos son actualizados a medida que cambian la
configuracin, el ambiente y las instalaciones.
Los registros y el equipo de monitoreo ambiental y de seguridad --
debajo, en, sobre, y alrededor son mantenidos.
No se almacenan tiles peligrosos.
Existe el seguimiento de auditora de control de acceso sobre
software de seguridad o reportes clave de administracin.
Se ha dado seguimiento a toda emergencia ocurrida en el pasado o
a su documentacin.
El personal con acceso son empleados reales.
Se llevan a cabo verificaciones de suficiencia de administracin
clave de acceso.
Se otorga una educacin en seguridad fsica y conciencia de
seguridad.
Existe una cobertura y experiencia de seguros para los gastos
asociados con algn evento de seguridad, prdida del negocio y
gastos para recuperar la instalacin El proceso para la
100

implementacin de acceso a cambios de llaves y controles de
procesos lgicos es continuo y conocido.
El ambiente cumple con los requerimientos regulatorios
establecidos.
Las bitcoras de mantenimiento de alarmas no pueden ser
modificadas inapropiadamente.
La frecuencia de cambios a los cdigos de acceso y revisiones de
perfil involucramiento de usuario e instalaciones es
documentada.
1.3.30. DS 13 - MANEJO DE OPERACIONES


Entrevistas:
Administracin de operaciones de la funcin de servicios de
informacin.
Administracin de la planeacin de recuperacin/contingencia en
caso de desastre de la funcin de servicios de informacin.
Presidencia de la funcin de servicios de informacin.
Usuarios seleccionados de los recursos de la funcin de servicios de
informacin.
Proveedores seleccionados que proporcionan servicios o productos
de software por contrato.
101


Obteniendo:

Polticas y procedimientos organizacionales relacionados con la
administracin de operaciones y el rol de sistemas de informacin
en el cumplimiento de los objetivos del negocio.
Polticas y procedimientos de la funcin de servicios de informacin
relacionados con el rol operacional, las expectativas de desempeo,
la calendarizacin de trabajos, los acuerdos de nivel de servicio, las
instrucciones para el operador, la rotacin de personal, la planeacin
de recuperacin/contingencia en caso de desastre y las operaciones
de instalaciones remotas.
Instrucciones operacionales para la funcin general de inicio,
trmino, calendarizacin de la carga de trabajo, estndares,
acuerdos de nivel de servicio, procedimientos fijos de emergencia,
respuestas de procesamiento anormal, bitcoras de consola,
seguridad fsica y lgica, separacin de libreras de desarrollo y
produccin y procedimientos de problemas de escalamiento.
Una muestra seleccionada de instrucciones operacionales para
aplicaciones clave incluyendo, calendarizacin, entra-das, tiempo de
procesamiento, mensajes de error, instrucciones de fin anormal,
reinicio, procedimientos de problemas de escalamiento, trabajos
antes y despus y archivos fuera del site.

Considerando:

Los miembros del personal de operaciones tienen conciencia y
comprenden:
o Los procedimientos de operacin por los que son
responsables.
102

o Las expectativas de desempeo dentro de las instalaciones
normas de proveedores, estndares organizacionales y
acuerdos de nivel de servicio con los usuarios.
o El programa fijo de emergencia, as como los procedimientos
de reinicio/recuperacin.
o Los requerimientos y la revisin administrativa de los
requerimientos de la bitcora de operaciones.
o Los procedimientos de escalamiento de problemas.
o La comunicacin de cambios de turno y las responsabilidades
entre turnos.
o Procedimientos de cambio o rotacin para trasladar
programas de desarrollo a produccin.
o Interaccin con las instalaciones remotas de procesamiento y
las instalaciones centrales de procesamiento.
o Las responsabilidades de comunicacin de oportunidades de
mejoras a la productividad a la administracin.

1.3.31. M1 - MONITOREAR LOS PROCESOS

Entrevistas:
Director Ejecutivo.
Director de Informacin.
Director de auditora interna.
Director de servicios de informacin y administracin de control de
calidad.
103

Gerente de auditora externa.
Usuarios seleccionados de recursos de la funcin de servicios de
informacin.
Miembros del comit de auditora, si aplica.

Obteniendo:
Polticas y procedimientos organizacionales relacionadas con la
planeacin, administracin, monitoreo y reporte del desempeo.
Polticas y procedimientos de la funcin de servicios de informacin
relacionadas con el monitoreo y el reporte del desempeo,
estableciendo iniciativas de mejoramiento del desempeo y
frecuencia de las revisiones.
Reportes de las actividades de la funcin de servicios de
informacin incluyendo, pero no limitados a: reportes inter-nos,
reportes de auditoras internas, reportes de auditoras externas,
reportes de usuarios, encuestas de satisfaccin de los usuarios,
planes de desarrollo de sistemas y reportes de avance, minutas del
comit de auditora y cualquier otro tipo de evaluacin del uso de los
recursos de la funcin de servicios de informacin de la
organizacin.
Documentos de planeacin de la funcin de servicios de informacin
con objetivos para cada grupo de recursos y el desempeo real en
comparacin con dichos planes.

Considerando:

Existen reportes de monitoreo del desempeo de la informacin.
Existe revisin administrativa de los reportes de monitoreo del
desempeo e iniciativas de acciones correctivas.
104

Los empleados estn conscientes y comprenden las polticas y
procedimientos relativos al monitoreo del desempeo.
La calidad y el contenido de los reportes internos se relacionan con:
o La recoleccin de datos de monitoreo del desempeo.
o El anlisis de los datos de monitoreo del desempeo.
o El anlisis de los datos del desempeo de los recursos.
o Las acciones administrativas sobre problemas del
desempeo.
o El anlisis de encuestas de satisfaccin de los usuarios.
La alta administracin est satisfecha con los reportes sobre el
monitoreo del desempeo.




1.3.32. M 2 - EVALUAR LA SUFICIENCIA DEL CONTROL INTERNO

Entrevistas:
Director Ejecutivo.
Director de Informacin.
Director de auditora interna.
Director de servicios de informacin y administracin de control de
calidad.
Gerente de auditora externa.
105

Usuarios seleccionados de los recursos de la funcin de servicios de
informacin.
Miembros del comit de auditora, si aplica.

Obteniendo:

Polticas y procedimientos organizacionales relacionadas con la
planeacin, administracin, monitoreo y reporte de los controles
internos.
Polticas y procedimientos de la funcin de servicios de informacin
relacionadas con el monitoreo y el reporte de los controles internos y
la frecuencia de las revisiones.
Reportes de las actividades de la funcin de servicios de
informacin incluyendo, pero no limitados a: reportes internos,
reportes de auditoras internas, reportes de auditoras externas,
reportes de usuarios, encuestas de satisfaccin de los usuarios,
planes de desarrollo de sistemas y reportes de avance, minutas del
comit de auditora y cualquier otro tipo de evaluacin de los
controles internos de la funcin de servicios de informacin.
Polticas y procedimientos especficos de la funcin de servicios de
informacin relativos al aseguramiento de la seguridad operacional y
del control interno.

Considerando:
Existen reportes de monitoreo del control interno.
Est habiendo revisin administrativa de los reportes de control
interno e iniciativas de acciones correctivas.
Los empleados estn conscientes y comprenden las polticas y
procedimientos relativos al monitoreo del control interno.
La calidad y el contenido de los reportes internos se relacionan con:
106

o La recoleccin de datos de monitoreo del control interno
o El desempeo del cumplimiento del control interno
o Las acciones administrativas sobre problemas del control
interno
o El aseguramiento de la seguridad operacional y del control
interno.
La alta administracin est satisfecha con los reportes sobre la
seguridad y el control interno.
1.3.33. M 3 - OBTENER ASEGURAMIENTO INDEPENDIENTE

Entrevistas:
Director Ejecutivo.
Director de Informacin.
Director de auditora interna.
Director de la funcin de servicios de informacin.
Gerente de auditora externa.
Gerente de la entidad de aseguramiento independiente.

Obteniendo:
Organigrama a nivel de toda la organizacin y manual de polticas y
procedimientos.
107

Polticas y procedimientos relativos al proceso de aseguramiento
independiente.
Contratos/Acuerdos de servicio con el proveedor del servicio de
tecnologa de informacin.
Requerimientos legales y regulativos pertinentes y compromisos
contractuales.
Contratos, presupuestos, reportes previos e historial de desempeo
de aseguramiento independiente.
Historial de experiencia y educacin continua del personal de
aseguramiento independiente.
Reportes de auditoras previas.

Considerando:

La alta administracin aprueba el desempeo de la entidad de
aseguramiento independiente.
La certificacin/acreditacin independiente antes de la implantacin
de nuevos servicios importantes de tecnologa de informacin es
global, completa y oportuna.
La re-certificacin/re-acreditacin independiente de los servicios de
tecnologa de informacin se realiza en un ciclo rutinario despus de
la implantacin, y que es global, completa y oportuna.
La certificacin/acreditacin independiente antes de utilizar
proveedores de servicios de tecnologa de informacin es global,
completa y oportuna.
La re-certificacin/re-acreditacin independiente se realiza en un
ciclo rutinario y es global, completa y oportuna.
La evaluacin independiente de la eficacia de los servicios de
tecnologa de informacin se realiza en un ciclo rutinario y es global,
completa y oportuna.
108

La evaluacin independiente de la eficacia de los proveedores de
servicios de tecnologa de informacin se realiza en un ciclo rutinario
y es global, completa y oportuna.
Las revisiones independientes del cumplimiento de la funcin de
servicios de informacin con los requerimientos lega-les y
regulativos y los compromisos contractuales se realizan en ciclos
rutinarios y son globales, completas y oportunas.
Las revisiones independientes del cumplimiento de proveedores
externos de servicios con los requerimientos legales y regulativos y
los compromisos contractuales se realizan en ciclos rutinarios y son
globales, completas y oportunas.
Los reportes de la funcin de aseguramiento independiente son
relevantes en cuanto a hallazgos, conclusiones y recomendaciones.
La funcin de aseguramiento independiente posee las habilidades y
el conocimiento necesarios para realizar un trabajo competente.
Est habiendo involucramiento proactivo, antes de decidir sobre
soluciones del servicio de tecnologa de informacin.

1.3.34. M 4 - PREPARAR AUDITORAS INDEPENDIENTES

Entrevistas:
Director Ejecutivo.
Director de Informacin.
109

Director de auditora interna.
Director de la funcin de servicios de informacin y administracin
de control de calidad.
Gerente de auditora externa.
Miembros del comit de auditora, si aplica



Obteniendo:
Organigrama a nivel de toda la organizacin y manual de polticas y
procedimientos.
Cdigo de conducta a nivel organizacin.
Polticas y procedimientos relativos al proceso de auditora
independiente.
Contratacin de auditora, misin, polticas, procedimientos y
estndares, reportes previos y planes de auditora.
Opiniones de auditora externa, revisiones y planes de auditora.
Historial de experiencia y educacin continua del personal de
auditora independiente.
Evaluacin del riesgo de auditora, presupuesto e historial de
desempeo.
Minutas de las reuniones del comit de auditora, si aplica.

Considerando:
La alta administracin aprueba el desempeo de la funcin de
auditora independiente.
Las actitudes de la alta administracin son consistentes con la
contratacin de auditora.
Referencias de auditora interna respecto a los estndares
profesionales.
110

La designacin de auditores asegura la independencia y las
habilidades necesarias.
Hay mejora continua en la experiencia profesional del personal de
auditora.
El contenido del reporte de auditora es relevante respecto a las
recomendaciones.
Existen reportes de seguimiento que resumen la oportunidad de la
implantacin.

















111

CAPTULO II
2.1. APLICABILIDAD DE DIRECTRICES EN AUDITORIA DE
SISTEMAS

En la Planificacin y Organizacin, se logra apreciar los conceptos de la realizacin
de un plan estratgico, junto con la arquitectura de la informacin, observando como
es el diseo de forma estratgica. Adems de visualizar la estructura orgnica de
una organizacin, con todo lo mencionado se apoya a ver las funciones del negocio.
En la auditora de sistemas se observa como es el funcionamiento desde sus
entradas hasta sus salidas, siendo as que si la planificacin inicial se encuentra
sostenible se puede tomar decisiones mediante las directrices, para evaluar los
riesgos presentados. Tambin se encuentran los RRHH, los cuales son personas
que interactan con los sistemas, por lo que, es necesario ver sus roles y
responsabilidades que son asignadas en los procedimientos y procesos del negocio
y que se encuentran adicionados a los sistemas.

En relacin a la adquisicin e implantacin, en una auditora de sistemas se necesita
identificar las soluciones para poder responder a los problemas, motivo por lo que, se
debe dar una satisfaccin a las partes afectadas, observando as el software de
aplicacin y ver si contempla los requisitos establecidos segn las polticas de la
organizacin adquiriendo nuevos productos actualizados y brindando su respectivo
mantenimiento. En cuanto a la arquitectura de la tecnologa se debe ver cmo
funcionan sus procesos, verificar si se encuentra en buen estado y tambin estar
actualizadas. Adems, se debe inspeccionar los procedimientos de la TI, y detallar
los cambios realizados a travs del tiempo, logrando observar que se hayan
acomodado a la situacin actual del rea de TI. Ver los contratos que se consideran
en los sistemas y ver su alcance de cada uno, junto con su instalacin
correspondiente y tambin su acreditacin.


112

En Entrega y Soporte, se refleja en la administracin de cada uno de los sistemas,
observando los niveles de servicio que pueden proveer, viendo su forma de
desempeo y capacidad a las que se encuentran sometidas. Otro aspecto relevante
es la seguridad que debe contener el sistema desde las entradas hasta las salidas,
incluyendo su retroalimentacin, donde se contempla la integridad, disponibilidad de
los datos. Ver las planillas de costos relacionados a las TI, que abarcan el
mantenimiento de un servicio; sea lgico o fsico; junto con su configuracin
respectiva. Se debe observar los procedimientos y mtodos de entrenamiento o
capacitacin a los usuarios para ver como generan expectativas a los usuarios.

En el Monitoreo, se debe identificar los procesos que se consideran en la empresa
respectiva abarcando en la auditora de sistemas. Se debe evaluar la suficiencia del
control interno, observando los procedimientos rutinarios y espordicos que se
presenten en TI. En cuanto al aseguramiento independiente, consiste en realizar
acreditaciones, reportes de lo que puede generar en tiempo real las actividades que
suceden diariamente, adems de poder satisfacer necesidades por medio terceros.
Finalmente, se debe ver como son los mtodos para evaluar sus sistemas de cada
rea de forma independiente, a travs de una auditora interna.
2.2. PRIORIDAD DE DIRECTRICES EN AUDITORIA INFORMTICA

La prioridad que se considera por medio de la importancia segn el contenido
analizado en el anterior punto es el siguiente:
I. Adquisicin e Implantacin
II. Monitoreo
III. Planificacin y Organizacin
IV. Entrega y Soporte



113

2.3. DIRECTRICES NO FACTIBLES EN NUESTRO MEDIO

La mayora de las directrices presentadas son factibles, pero tienen algunas
limitantes que impiden en su totalidad la realizacin de las directrices de forma
completa. A continuacin se presenta las siguientes limitantes:
- En la parte del suministro ininterrumpido de la energa, esta es una limitante
cerrada, porque las empresas no cuentan con la administracin de
proveedores, donde se debe verificar que los resultados en las cadas de
energa no logren afectar en el propsito de sostener las actividades crticas
de procesamiento de datos, brindando informacin de forma consistente e
integrada.
- Econmicamente, se considera como una falencia propia por las empresas
que se establecen en Bolivia y tengan que cumplir los estndares, debido a
que el estado sufre de inestabilidad en la adquisicin de productos
actualizados a corto plazo, o tambin que se debe cumplir los das festivos en
das laborales.
- En el aspecto del control diario de las actividades internas dentro del personal
de TI, se apela a la tica, razn por la que, no se logra un monitoreo de forma
adecuada. As por ejemplo, algunos de los recursos humanos se evitan la
utilizacin de auditoras independientes diariamente, por lo que cuando se
aproxima una auditora general, recin se lo considera de forma importante,
para dar solucin al problema, y no se observa los detalles de avance y
desarrollo incremental da a da.





114

3. CONCLUSIONES Y RECOMENACIONES
3.1. CONCLUSIONES
- Se llega a la conclusin de que la herramienta COBIT es flexible y adaptable,
brindando una mejor eficacia al rea que se desea considerar. Adems de que
por medio de sus directrices se puede llegar a comprender los alcances por
cada proyecto ver los roles del personal.
- En cuanto a la utilizacin de los dominios de Adquisicin e Implantacin,
Monitoreo, Planificacin y Organizacin, y Entrega y Soporte, son importantes
en ese respectivo orden debido a que promueven el desarrollo de una forma
ms dinmica al momento de hacer una auditora informtica en las
respectivas reas solicitadas de tecnologa.
- La forma de seguir con los pasos del proceso administrativo no se cumplen de
de forma satisfactoria porque muchas empresas, realizan o relevan
informacin en el transcurso de que un personal nuevo est en curso laboral.
Por lo que, no poseen una organizacin en base a la planeacin que se realiza
en el modelado del plan inicial.
3.2. RECOMENDACIONES
- En cuanto a la herramienta COBIT, se debe tomar en cuenta los dominios,
directrices y los objetivos de control para la ejecucin de un adecuado
procedimiento y una excelente forma de utilizar la herramienta para
inspeccionar de forma eficiente y flexible los datos informticos.
- Se debe evaluar en el Monitoreo de forma ntegra, por medio de un previo
anlisis del funcionamiento del control interno, para luego evaluar los
procesos, adems de la inclusin de auditoras rutinarias segn las polticas
que se pueden asignar a la universidad, manteniendo de forma consiste la
seguridad de los componentes fsicos y sobre todo la parte lgica

115

4. REFERENCIAS BIBLIOGRFICAS






























116

5. GLOSARIO

Directriz: Norma o conjunto de normas e instrucciones que dirigen, guan u
orientan una accin, una cosa o una persona.
Dominio: Campo de una materia o de una actividad cientfica o artstica.
ISACA: Organizacin que despliega todo sus conocimientos sobre COBIT. Ente
encargado de gobernar COBIT.
Monitoreo: Accin y efecto de monitorear. Supervisar o controlar las acciones
realizadas en una tarea.
Objetivos de control: Un estatuto del resultado o propsito que se desea
alcanzar al implantar procedimientos de control en un
proceso en particular
Organizacin: Sistema diseado para alcanzar ciertas metas y objetivos.
Personas que se comunican y estn dispuestas a actuar en
forma coordinada para lograr una misin.
Planificacin: Proceso que exige respetar una serie de pasos que se fijan en un
primer momento.
Plan Estratgico: Documento realizado por responsables de una organizacin o
ente, reflejando la estrategia a seguir en su compaa en cierto
plazo.
Soporte: Asistencia que se brinda para verificar los procedimientos de un
sistema. Colabora a los usuarios a dar soluciones o de mejorar
procesos de sus servicios o productos.