CD 4651 PDF

ESCUELA POLITCNICA NACIONAL
FACULTAD DE INGENIERA DE SISTEMAS
APLICACIN DE COBIT 4.1 EN LA AUDITORA DE UNA

APLICACIN INFORMTICA TIPO WEB DE UNA INSTITUCIN
FINANCIERA.
PROYECTO PREVIO A LA OBTENCIN DEL TTULO DE INGENIERO EN

SISTEMAS INFORMTICOS Y DE COMPUTACIN
CORAISACA AREVALO JENNY LOURDES

jennylourdes88@hotmail.com
LLUMIQUINGA PILLAJO CSAR FERNANDO

fer_jl8@hotmail.com
DIRECTOR: ING. ANDRS LARCO

andres.larco@epn.edu.ec
QUITO, NOVIEMBRE 2012

ii
DECLARACIN
Nosotros, Jenny Lourdes Coraisaca Arvalo y Csar Fernando Llumiquinga Pillajo,

declaramos bajo juramento que el trabajo aqu descrito es de nuestra autora, que no
ha sido previamente presentado para ningn grado o calificacin profesional y que
hemos consultado las referencias bibliogrficas que se incluyen en este documento.
A travs de la presente declaracin cedemos nuestros derechos de propiedad

intelectual correspondientes a este trabajo a la Escuela Politcnica Nacional, segn
lo establecido en la Ley de Propiedad Intelectual, por su Reglamento y por la
normatividad constitucional vigente.
Jenny Lourdes Coraisaca Arvalo Csar Fernando Llumiquinga Pillajo

iii
CERTIFICACIN
Certifico que el presente trabajo fue desarrollado por Jenny Lourdes Coraisaca
Arvalo y Csar Fernando Llumiquinga Pillajo, bajo mi supervisin.
Ing. Andrs Larco

DIRECTOR DEL PROYECTO
iv
AGRADECIMIENTO
Agradezco a mi madre por el sacrificio y amor que ha demostrado para ofrecerme su

legado ms grande que es la educacin.
A mis tos Jos y Bachita por hacer el papel de padres sustitutos ante la ausencia
fsica de mam.
A mi abuelita que con sus consejos y oraciones siempre me ha llenado de buenas

energas para salir adelante.
A mi compaero Fernando por su dedicacin en la culminacin de este proyecto y

por ser ese amigo incondicional durante toda nuestra carrera universitaria.
A Lenin, por su paciencia y comprensin para la realizacin de este trabajo.
A Andrs Larco, por su empuje, direccin y jaladas de oreja cuando fue necesario
hacerlo.
Jenny.
v
Quiero empezar agradeciendo a las personas ms importantes de mi vidaMi mami

Carmen, mi pap Arturo. Gracias madre por estar siempre a mi lado, gracias por
todo tu apoyo darme nimo y palabras de aliento cuando las cosas no me salan
bien. Gracias padre por brindarme tu apoyo y darme la mejor herencia que un padre
puede dar a su hijo el estudio.
Gracias a mis hermanos Sandra y Edwin, por ser un apoyo incondicional, por ser mis
amigos y compaeros que siempre estuvieron ah cuando los necesite.
Mi querida amiga y compaera Jennicita, como no agradecerte de todo corazn, por
todo el aguante, la paciencia de estos aos y por soportarme en mis momentos de
estrs y enojo. Gracias por siempre brindarme tu apoyo y ser mi mejor amiga. Sin ti,
hubiera sido complicado llegar a la consecucin de esta meta que algn da nos
planteamos.
Gracias a mis compaeros de trabajo especialmente a Jessy y Alejita que creyeron

en m y que con sus consejos me dieron nimo para seguir adelante en este
proyecto.
Tambin, quiero agradecer a mis amigos y compaeros de carrera, que me

brindaron su mano amiga cuando lo necesite.
Finalmente un sincero agradecimiento a Andrs Larco, nuestro tutor de tesis y amigo,

por la paciencia y gua en la consecucin de este trabajo.
Fernando.
vi
DEDICATORIA
A mi madre, abuelita y hermana, quienes siempre han estado apoyndome en todo

momento y ofrecindome un ambiente familiar hermoso, que me ha enseado a
valorar y entender lo realmente importante en mi vida.
Jenny
Dedico este trabajo a esas personas maravillosas que siempre han estado a mi lado
en los momentos buenos y no tan buenos en mi vida, mis padres, mis hermanos y en
especial a mi sobrina Danita, porque con su sola presencia llena de alegra y amor
cada uno de mis das.
Fernando
vii
CONTENIDO
PRESENTACIN ........................................................................................................ 1
RESUMEN .................................................................................................................. 2
CAPITULO 1 - MARCO TERICO .............................................................................. 3
1.1 AUDITORA DE APLICACIONES INFORMTICAS TIPO WEB UTILIZANDO
DIRECTRICES DE AUDITORA DE COBIT 4.1 ...................................................... 3
1.1.1 AUDITORA DE SISTEMAS DE INFORMACIN .................................... 3
1.1.2 APLICACIONES WEB ............................................................................. 4
1.1.3 MARCO DE TRABAJO DE COBIT 4.1 .................................................... 5
1.1.4 INTRODUCCIN A LAS DIRECTRICES DE COBIT PARA AUDITORA
DE APLICACIONES ........................................................................................... 11
1.2 DEFINICIN DE CONTROLES PARA LA AUDITORIA DE APLICACIONES
INFORMTICAS .................................................................................................... 13
1.2.1 OBJETIVOS DEL CONTROL INTERNO .................................................. 14
1.2.2 CONTROLES GENERALES DE TI............................................................ 15
1.2.3 CONTROLES DE APLICACIN ................................................................ 15
1.2.4 ANLISIS DE LOS PROCESOS COBIT 4.1 Y OBJETIVOS DE CONTROL
PARA AUDITORA DE APLICACIONES INFORMTICAS. ............................... 19
1.3 MARCOS DE TRABAJO PARA EL DESARROLLO DE LA AUDITORA ......... 24
1.3.1 COBIT 4.1 .................................................................................................. 24
1.3.2 ITIL V3 ....................................................................................................... 24
1.3.3 ISO 27002 .................................................................................................. 27
1.3.4 INTERRELACIN DE LOS ESTNDARES COBIT 4.1, ITIL V3, E ISO/IEC
27002 PARA AUDITORA DE APLICACIONES INFORMTICAS. .................... 29
CAPITULO 2 PLAN DE AUDITORIA DE LA APLICACIN WEB............................ 30
2.1. ESTUDIO DE LA APLICACIN WEB CAJERO DE VENTANILLAS A SER
AUDITADA ............................................................................................................. 30
2.1.1 DESCRIPCIN .......................................................................................... 30
2.1.2 ARQUITECTURA FSICA .......................................................................... 30
viii
2.1.2.1 Servidores ............................................................................................... 31

2.1.3 ARQUITECTURA LOGICA ........................................................................ 32
2.1.4 MDULOS Y TRANSACCIONES DE LA APLICACIN CV ...................... 33
2.2. ELABORACIN DEL PROGRAMA DE AUDITORA ...................................... 35
2.2.1 ELABORACIN DEL PROGRAMA DE AUDITORA PARA LA
EVALUACIN DE LA APLICACIN WEB.......................................................... 36
2.3. DEFINICIN DEL ALCANCE DEL PROGRAMA DE AUDITORA ................. 46
2.3.1. FACTOR 1: CRITERIOS QUE ORIENTAN A LA SEGURIDAD................ 46
2.3.2 FACTOR 2. CRITERIOS QUE SE FOCALIZAN EN LA CALIDAD ............ 47
2.3.3 FACTOR 3. CUMPLIMIENTO .................................................................... 47
2.3.4 FACTOR 4. RECURSOS INVOLUCRADOS EN LOS PROCESOS .......... 47
CAPITULO 3. EJECUCIN DEL PLAN DE AUDITORA ......................................... 50
3.1. RELEVAMIENTO Y EJECUCIN DE LA AUDITORA ................................... 50
3.2. ANLISIS DE RIESGOS DE LAS VULNERABILIDADES IDENTIFICADAS .. 53
3.2.1 MATERIALIDAD DE LOS HALLAZGOS .................................................... 55
3.2.2 EVALUACIN DE RIESGOS ................................................................... 58
3.3. ELABORACIN DEL INFORME FINAL ...................................................... 65
CAPITULO 4: CONCLUSIONES Y RECOMENDACIONES...................................... 79
4.1. CONCLUSIONES ........................................................................................... 79
4.2. RECOMENDACIONES ................................................................................... 81
BIBLIOGRAFA ......................................................................................................... 83
GLOSARIO................................................................................................................ 85
ANEXOS ................................................................................................................... 86
ix
LISTA DE TABLAS
Tabla 1. 1 Definicin de Directrices de Auditora....................................................... 11
Tabla 1. 2 Directrices - Auditora de Aplicaciones ..................................................... 13
Tabla 1. 3 Clasificacin Tipos de Control .................................................................. 14
Tabla 1. 4 Controles de Aplicacin ............................................................................ 16
Tabla 1. 5 Controles ACn de acuerdo al tipo de control ............................................ 18
Tabla 1. 6 Anlisis de los procesos COBIT 4.1 y Objetivos de control ..................... 19
Tabla 2. 1 Descripcin Servidores ............................................................................. 31
Tabla 2. 2 Descripcin Clientes ................................................................................. 32
Tabla 2. 3 Herramientas de Desarrollo...................................................................... 32
Tabla 2. 4 Elementos Mdulo Transacciones............................................................ 34
Tabla 2. 5 Elementos Mdulo Consultas ................................................................... 35
Tabla 2. 6 Elementos Mdulo Reportes .................................................................... 35
Tabla 2. 7 Elementos Mdulo Control ....................................................................... 35
Tabla 2. 8 Elementos Mdulo Herramientas ............................................................. 35
Tabla 2. 9 Importancia del Programa de Auditora .................................................... 36
Tabla 2. 10 Programa de Auditora ......................................................................... 37
Tabla 3. 1 Interrelacin: Vulnerabilidad, Amenaza, Riesgo ....................................... 55
Tabla 3. 2 Hallazgos de vulnerabilidades Identificados y Riesgos Asociados ........... 56
Tabla 3. 3 Definicin de Significancia de Riesgo....................................................... 59
Tabla 3. 4 Modelo Estndar para anlisis de Riesgo. ............................................... 60
Tabla 3. 5 Anlisis y Evaluacin de Riesgos ............................................................. 61
Tabla 3. 6 Anlisis de la Observacin 1 - Usuarios : ex - empleados........................ 68
Tabla 3. 7 Anlisis Observacin 2 - Uso de usuarios genricos................................ 69
Tabla 3. 8 Anlisis Observacin 3 - Usuarios sin depurar Call Center. ..................... 70
Tabla 3. 9Anlisis Observacin 1- Usuarios sin depurar rea operativa. .................. 70
Tabla 3. 10 Anlisis Observacin 5- Transacciones sin validacin previa. ............... 71
Tabla 3. 11 Anlisis Observacin 6 - Procedimientos para parametrizacin, no
documentado............................................................................................................. 72
Tabla 3. 12 Anlisis Observacin 8 Aplicacin sin log de parametrizacin ............ 73
Tabla 3. 13 Anlisis Observacin 8 - Falta de revisin de logs. ................................ 74
Tabla 3. 14 Anlisis Observacin 9 - Problemas frecuentes de la aplicacin. .......... 75
Tabla 3. 15 Anlisis Observacin 10 - Planes de contingencia no probados ............ 76
Tabla 3. 16 Procedencia de las Observaciones del Informe Final............................. 78
x
LISTA DE FIGURAS
Figura 1. 1 Arquitectura Bsica Aplicacin Web.......................................................... 5

Figura 1. 2 Estructura COBIT 4.1 ................................................................................ 7
Figura 1. 3 Marco de Trabajo COBIT 4.1 .................................................................... 9
Figura 1. 4 Relacin entre controles definidos COBIT 4.1 ........................................ 10
Figura 1. 5 Objetivos de Control de Aplicacin vs Criterios de Informacin .............. 18
Figura 2. 1 Arquitectura de la Aplicacin .................................................................. 31
Figura 2. 2 Distribucin Servidores .......................................................................... 31
Figura 2. 3 Arquitectura Lgica de la Aplicacin ...................................................... 32
Figura 2. 4 Mdulos Aplicacin Cajero de Ventanillas ............................................ 34
1
PRESENTACIN
La evolucin de los sistemas de informacin en las instituciones financieras del

Ecuador ha generado la necesidad de garantizar la integridad, disponibilidad,
confidencialidad de la informacin y su grado de apoyo al proceso de negocio, en
todos los mbitos que a tecnologa de la informacin se refieren. En consecuencia el
procesamiento de la informacin y la rapidez con la que se realiza son de vital
importancia en las instituciones financieras, provocando que cada vez necesiten de
ms control sobre sus datos y los sistemas que utilizan.
El presente trabajo de Auditora Informtica, se ha realizado a la aplicacin web

Cajero de Ventanillas, que es una de las principales aplicaciones con la que cuenta
la institucin financiera y que se encuentra relacionada directamente con el cliente,
con el fin de identificar y corregir los hallazgos de vulnerabilidades que pueden
provocar riesgos para la institucin y sus clientes.
La propuesta de auditora permitir seleccionar los objetivos de control a ser

auditados en la aplicacin informtica tipo web, como resultado se obtendr un
informe con el detalle de los hallazgos de vulnerabilidades o inexistencia de
controles, los riesgos que pueden ocasionar y los planes de mitigacin
recomendados.
Con los hallazgos de vulnerabilidades, los riesgos asociados a stas y las

recomendaciones emitidas para mitigar las mismas, la institucin financiera podr
aceptar o no las sugerencias para definir un plan de mejora de la aplicacin auditada.
Por razones de seguridad y confidencialidad de la informacin, no se mencionar el

nombre de la institucin financiera, ni de la aplicacin informtica auditada, tampoco
detalles que permitan identificarlas.
2
RESUMEN
El presente proyecto de titulacin est compuesto de cuatro captulos y anexos, que

tienen como principal objetivo, presentar los resultados de la auditora realizada a la
aplicacin web de una institucin financiera, utilizando las directrices de auditora de
COBIT 4.1.
En el Captulo I se define los principales conceptos que intervienen en la auditora

informtica de aplicaciones, la descripcin general del tipo de aplicacin que se
utilizar como caso de estudio, se describen los controles, las directrices de COBIT
4.1 utilizados para la auditora de aplicaciones y se presenta el cuadro comparativo
con los principales marcos de trabajo que pueden ser utilizados para una auditora
informtica, como: COBIT 4.1, ITIL V3, ISO 27002.
En el Captulo II se detallan las caractersticas de la aplicacin que va a ser auditada,

se elaborar el programa de auditora en base a las directrices seleccionadas para la
auditora de aplicaciones informticas y se definir el alcance del programa tomando
en consideracin factores definidos de acuerdo a los criterios de informacin dados
por COBIT 4.1.
En el Captulo III se presenta la ejecucin de la auditora de la aplicacin informtica

tipo web, el anlisis de riesgos de los hallazgos de vulnerabilidades y la elaboracin
del informe final de auditora con las recomendaciones emitidas a la institucin
financiera, para mitigar los riesgos identificados en aplicacin informtica.
Finalmente en el Captulo IV se presentan las conclusiones y recomendaciones del

presente proyecto.
3
CAPITULO 1 - MARCO TERICO
El presente captulo define los principales conceptos que intervienen en la auditora

informtica de aplicaciones, el caso de estudio a realizarse es de una aplicacin web;
se describen los controles, las directrices de COBIT 4.1 utilizados para la auditora de
aplicaciones, y se presenta el anlisis comparativo con los principales marcos de
trabajo que pueden ser utilizados para una auditora informtica.
1.1 AUDITORA DE APLICACIONES INFORMTICAS TIPO WEB

UTILIZANDO DIRECTRICES DE AUDITORA DE COBIT 4.1
1.1.1 AUDITORA DE SISTEMAS DE INFORMACIN

Segn el Manual de Preparacin del Examen CISA 2011, se define a la Auditora de
Sistemas de Informacin1como: Proceso mediante el cual se recolecta y evala la
evidencia para determinar si los Sistemas de Informacin (SI) y los recursos
relacionados protegen adecuadamente los activos, mantienen la integridad y
disponibilidad de los datos y del sistema, proveen informacin relevante y confiable,
logran de forma efectiva las metas organizacionales, usan eficientemente los
recursos y tienen en efecto los controles internos que proveen una certeza razonable
de que los objetivos del negocio, operacionales y de control sern alcanzados y que
los eventos no deseados sern evitados o detectados y corregidos de forma
oportuna. La auditora de una aplicacin es parte de la Auditora de Sistemas de
Informacin y se refiere a la verificacin de los controles de la aplicacin que pueden
ser manuales programados y que sirven para garantizar la integridad y exactitud de
los registros. El auditor de SI debe identificar las fortalezas o debilidades de dichos
controles.
Una auditora de aplicaciones informticas se puede realizar cuando:
- El sistema o aplicacin se est evaluando para su adquisicin.
1
En el contexto de la Auditora de Sistemas, los Sistemas de Informacin se refieren a un conjunto de elementos
hardware, software, recursos humanos y datos, interrelacionados para la administracin y procesamiento de la
informacin, esta interpretacin puede variar dependiendo del campo en el que se est aplicando.
4
- Antes de que el sistema de aplicacin entre en produccin (pre-ejecucin) y

- Despus de que la aplicacin ha entrado en produccin.
Los objetivos y el alcance de una auditora de aplicaciones, pueden variar pero

deben incluir:
- Los objetivos y el alcance de la revisin.
- El auditor que va a ejecutar la revisin.
- Una declaracin sobre la independencia de los auditores de los proyectos o
aplicaciones a ser auditadas.
- Inicio de la revisin.
- El tiempo que tomar la revisin.
- Entrega de informes.
- Arreglo para las reuniones de cierre y discusiones de los informes.
1.1.2 APLICACIONES WEB
Son aplicaciones a las que se accede va web por una red como internet o una
intranet. Las aplicaciones web no se ejecutan en computadores personales, estas
alojan sus componentes en infraestructuras diferentes (hardware y software) de tal
forma que mltiples usuarios puedan acceder a stas de forma simultnea.
1.1.2.1 Arquitectura
La arquitectura de una aplicacin define como se organizan los distintos mdulos que
la componen. En una aplicacin web, la arquitectura est basada en el modelo
cliente / servidor, se define bsicamente los siguientes elementos:
- Cliente: navegador (Front end).
- Servidor: servidor web (Middleware).
- Servidor Datos: Base de Datos (Back end).
- Comunicacin: Protocolo HTTP, TCP/IP.
5
Figura 1. 1Arquitectura Bsica Aplicacin Web
Fuente: http://rua.ua.es/dspace/bitstream/10045/4412/5/03c-AplicacionesWeb.pdf
Cliente:
- Gestiona las peticiones del usuario y la recepcin de las pginas que provienen
del servidor.
- Interpreta documentos HTML.
Servidor Web
El servidor web habilita el acceso mediante el protocolo http a un sitio web
realizando conexiones con el cliente generando una respuesta del lado del cliente.
Protocolos de Comunicacin
- IP: Internet Protocol.
- TCP: Transmition Control Protocol.
- HTTP: Hipertext Transfer Protocol.
1.1.3 MARCO DE TRABAJO DE COBIT 4.1

COBIT (Control Objectives for Information and related Technology)Objetivos de
Control para la Informacin y Tecnologas relacionadas, es un marco de trabajo
creado por la Asociacin de Auditora y Control de Sistemas de Informacin, ISACA
(Information Systems Audit and Control Association) para las Tecnologas de la
informacin (TI) y de Gobierno de TI constituyndose como un marco de referencia y
un conjunto de herramientas de soporte que permiten a la gerencia cerrar la brecha
con respecto a los requerimientos de control, temas tcnicos, riesgos de negocio y
comunicar ese nivel de control a los Interesados.
6
COBIT fue publicado por primera vez en 1996, la versin actual, COBIT 4.1 se
public en 2007. ISACA finaliz la versin de COBIT 5 para finales del ao 2011 y su
publicacin fue en el ao 2012.
COBIT 4.1 brinda un marco de trabajo para administrar y controlar las actividades de
TI y sustenta cinco requerimientos para un marco de control, estos son:
1. Enfoque en el negocio
COBIT consigue un enfoque fuerte en el negocio al alinear los objetivos de TI con los
objetivos del negocio.
2. Orientacin a procesos
Con la propiedad de los procesos definida, asignada y aceptada, la organizacin est
mejor capacitada para mantener el control durante los perodos de cambios rpidos o
crisis organizacional.
3. Aceptacin general
COBIT es un estndar probado y globalmente aceptado para alinear TI al Negocio.
COBIT provee a sus usuarios la siguiente informacin:
- Direccin ejecutiva.- Para obtener valor de las inversiones y para balancear

las inversiones en riesgo y control en un ambiente de TI con frecuencia
impredecible.
- Gerencia del negocio.- Para obtener certidumbre sobre la administracin y
control de los servicios de TI, proporcionados internamente o por terceros.
- Gerencia de TI.- Para proporcionar los servicios de TI que el negocio requiere
para dar soporte a la estrategia del negocio de una forma controlada y
administrada.
- Auditores.- Para respaldar sus opiniones y/o para proporcionar asesora a la
gerencia sobre controles internos.
7
4. Requerimientos regulatorios
Las organizaciones utilizan COBIT para verificar el cumplimiento de las regulaciones
exigidas por las entidades de control (internas / externas) en torno al desempeo de
TI.
5. Lenguaje comn
COBIT se aplica a los SI de toda la empresa. Est basado en la filosofa que TI
necesita ser administrados por un conjunto de procesos naturalmente agrupados
para proveer la informacin pertinente y confiable que requiere una organizacin
para lograr sus objetivos.
1.1.3.1. Estructura
COBIT se divide en tres niveles: Dominios, Procesos y Actividades

En el Figura 1.2 se resume la estructura de COBIT 4.1 que define que los recursos
de TI son manejados por procesos de TI para lograr que las metas de TI respondan a
los requerimientos del negocio.
Figura 1. 2 Estructura COBIT 4.1
Fuente: http://www.isaca.org/Knowledge-Center/COBIT/Documents/COBIT4.1spanish.pdf
8
Dominios.- Agrupacin natural de procesos, normalmente corresponden a un

dominio o una responsabilidad organizacional. Estos dominios son:
- Planear y Organizar.
- Adquirir e Implementar.
- Entregar y Dar Soporte.
- Monitorear y Evaluar.
Procesos.- COBIT subdivide a TI en 34 procesos de acuerdo a las reas de

responsabilidad de planear, construir, ejecutar y monitorear, ofreciendo una visin
de punta a punta de las TI. Los conceptos de arquitectura empresarial ayudan a
identificar aquellos recursos esenciales para el xito de los procesos, estos son:
- Aplicaciones.- Entendido como los sistemas de informacin, que integran

procedimientos manuales y sistematizados.
- Datos.- Todos los objetos de informacin. Considera informacin interna y
externa, estructurada o no, grficas, sonidos, etc.
- Tecnologa.- Incluye hardware y software bsico, sistemas operativos,
sistemas de administracin de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
- Instalaciones.- Incluye los recursos necesarios para alojar y dar soporte a
los sistemas de informacin.
- Recurso Humano.- Por la habilidad, conciencia y productividad del
personal para planear, adquirir, prestar servicios, dar soporte y monitorear
los sistemas de Informacin.
Actividades.- Acciones requeridas para lograr un resultado medible.
El marco de trabajo COBIT 4.1 se muestra en el Figura 1.3, est compuesto por
cuatro dominios que contienen 34 procesos genricos.
9
Figura 1. 3 Marco de Trabajo COBIT 4.1
Fuente: http://www.isaca.org/Knowledge-enter/COBIT/Documents/COBIT4.1spanish.pdf
1.1.3.2 Objetivos de Control

COBIT define objetivos de control para los 34 procesos, as como para el proceso
general y los controles de aplicacin.
Control se define como las polticas, procedimientos, prcticas y estructuras

organizacionales diseadas para brindar una seguridad razonable que los objetivos
10
de negocio se alcanzarn y los eventos no deseados sern prevenidos o detectados

y corregidos.
Los objetivos de control de TI de COBIT 4.1 estn organizados por proceso de TI, en
total se describen 302 objetivos de control detallados. Adems, de los objetivos de
control detallados, cada proceso COBIT tiene requerimientos de control genricos
que se identifican con PCn() que significa Process Control Number (Nmero de
Control de Proceso). Tambin, ofrece un conjunto de objetivos de control de
aplicaciones, identificados por ACn() que significa Application Control Number
(Nmero de Control de Aplicacin).
En el Figura 1.4 se muestra la relacin entre los controles definidos por COBIT 4.1.
Figura 1. 4 Relacin entre controles definidos COBIT 4.1
Fuente: http://www.isaca.org/Knowledge-enter/COBIT/Documents/COBIT4.1spanish.pdf
11
1.1.4 INTRODUCCIN A LAS DIRECTRICES DE COBIT PARA AUDITORA DE

APLICACIONES
Las Directrices son guas orientadas a proveer a la Gerencia de TI, la direccin para
mantener bajo control la informacin de la empresa y sus procesos relacionados,
para monitorear el logro de las metas organizacionales y para monitorear el
desempeo de cada proceso de TI.
Las directrices de COBIT se constituyen como los Objetivos de Control de Alto Nivel
(Procesos definidos de COBIT 4.1, correspondiente a cada dominio). Un ejemplo de
directriz de auditora: PO9 Evaluar y Administrar Riesgos de TI, asociado a los objetivos
de control detallados, utilizndolos para proporcionar a la gerencia la certeza o
recomendaciones de mejoramiento.
Tabla 1. 1 Definicin de Directrices de Auditora
Fuente: Elaborado por los autores

1.1.4.1 Objetivos de las Directrices
- Contar con una estructura para auditar y evaluar controles.
- Proveer informacin sobre cmo cumplir la Auditora de SI.
- Ayudar a los directivos a identificar en qu casos los controles son suficientes,
o para asesorarlos respecto a los procesos que requieren ser mejorados.
- Constituir una gua para el auditor de SI, el mismo que debe:
o Usar el juicio profesional para aplicarlas.
o Poder justificar cualquier diferencia.
1.1.4.2 Directrices de COBIT 4.1 orientadas a la auditoria de aplicaciones informticas
Para cumplir con una auditora de aplicaciones informticas, las directrices ms

relevantes que se pueden utilizar, son las detalladas en la Tabla 1.2 en donde se
marca con una X aquellas sugeridas por ISACA y aquellas que han sido definidas por
la institucin financiera para los procesos de auditora.
12
financiera para los

A utilizarse segn
definiciones de la
Sugeridas por
sugeridos por
ISACA (G14 )
ISACA (G14)
Informacin
2
Criterios de
Anlisis realizado
procesos de
institucin
auditora.
Directrices
de COBIT 4.1
PO2 - Definir la arquitectura de la

Informacin X
P04 - Definir Procesos, Organizacin
y Relaciones de TI X
PO7 - Administrar Recursos
S
Humanos de TI X
PO8 Administrar Calidad X S
P09 - Evaluar y Administrar Riesgos

P
de TI X
AI2 - Adquirir y Mantener el Software
P
Aplicativo X X
AI6 Administrar Cambios X X S
AI7 - Instalar y Acreditar Soluciones y

Cambios X
DS2 - Administrar Servicios de
Terceros X
DS3 - Administrar Desempeo y
S
Capacidad X X
DS4 - Garantizar la Continuidad del
Servicio X
DS5 - Garantizar la Seguridad de los
P
Sistemas X X
DS10 - Administrar los Problemas X X S
DS11 - Administrar los Datos X X S
ME2 - Monitorear y Evaluar el Control P

Interno X
AC2Recoleccin y Entrada de
Informacin Fuente X
AC3 Verificaciones de exactitud,
totalidad, y autenticidad X
2
Directriz de auditora definida por ISACA que describe las prcticas recomendadas para la revisin
de los sistemas de aplicacin, vigente desde Noviembre 2001. La informacin completa de la Directriz
G14, se encuentra en http://www.isaca.org/Knowledge-Center/Standards/Documents/G14-
AppSysRev-15Oct08.pdf
13
AC4 Integridad y Validez del

Procesamiento X
AC5 Revisin de Salidas,
Reconciliacin y Manejo de Errores X
AC6 Autenticacin e integridad de
transacciones X
Tabla 1. 2 Directrices - Auditora de Aplicaciones
Segn la directriz G14 definida por ISACA, los criterios de informacin para una
revisin de sistemas de aplicacin son:
P= Primarios: Disponibilidad, confiabilidad, integridad y confidencialidad.

S= Secundarios: Cumplimiento, eficacia y eficiencia.
Adems, existen directrices de auditora de Sistemas de Informacin definidas por

ISACA, que pueden ser de mucha utilidad para el auditor al momento de planificar
una auditora de aplicaciones informticas. El auditor debe considerarlas utilizando
su criterio profesional para su aplicacin y estar preparado para justificar cualquier
desviacin. Estas se describen en el Anexo 1: Directrices de auditora de Sistemas
de Informacin definidas por ISACA, para el presente proyecto destaca la Directriz
G14.
1.2 DEFINICIN DE CONTROLES PARA LA AUDITORIA DE

APLICACIONES INFORMTICAS
Segn el Manual de Preparacin del Examen CISA 2011, los controles se definen
como: polticas, procedimientos, prcticas y estructura organizacional implantados
con la finalidad de reducir riesgos. Son establecidos para proveer seguridad
razonable de que los objetivos de la organizacin sern alcanzados. Existe dos
aspectos claves que los controles deben atender son:
- Qu debera lograrse.
- Qu debera evitarse.
14
A continuacin se describe en la Tabla 1.3 la clasificacin de los diferentes tipos de

control.
Clase Funcin Ejemplos

Preventivos - Detectan los problemas antes de que - Segregar funciones.
aparezcan. - Controlar acceso a instalaciones
- Monitorean tanto la operacin como las fsicas.
entradas. - Utilizar documentos bien
- Intentan predecir los problemas diseados.
potenciales antes de que ocurran y - Establecer procedimientos
realizan ajustes. adecuados para la autorizacin
- Evitan que ocurra un error, omisin o de transacciones.
acto malicioso.
Detectivos - Utilizan controles que detectan e - Revisin de logs de seguridad o

informan la ocurrencia de un error, transacciones para detectar
omisin acto fraudulento. intentos de acceso no autorizado.
- Revisin de logs transaccionales
para identificar transacciones
inusuales.
Correctivos - Minimizar el impacto de una amenaza
- Remediar errores descubiertos por - Planificacin de contingencia.
controles detectivos. - Procedimientos de respaldo.
- Identificar la causa de un problema.
- Corregir errores que surgen de un
problema.
- Modificar los sistemas de procesamiento
para minimizar futuras ocurrencias del
problema.
Tabla 1. 3 Clasificacin Tipos de Control
Fuente: Manual de Preparacin del Examen CISA 2011
1.2.1 OBJETIVOS DEL CONTROL INTERNO

El objetivo de control interno son los resultados deseados que deben ser alcanzados
con la implementacin de actividades de control, que son las tareas que se deben
realizar para cumplir dicho objetivo. Por ejemplo:
- Cumplimiento de las polticas corporativas.
- Confiabilidad de los procesos.
- Confiabilidad de los servicios de TI, entre otros.
15
Una variante de los objetivos de control interno son los objetivos de control de TI, que
son objetivos de control interno orientados a procesos de TI. Por ejemplo:
- Salvaguarda de activos.
- Eficacia y eficiencia de operaciones.
- Integridad de la informacin sensitiva.
- Integridad de la informacin financiera para accionistas / pblico, autorizacin
de las transacciones, entre otros.
1.2.2 CONTROLES GENERALES DE TI

Los Controles Generales de TI estn dirigidos a los controles del ambiente
computacional y de los sistemas operativos. Por ejemplo:
- Estrategia y direccin de TI.
- Desarrollo de sistemas y control de cambios.
- Operaciones de procesamiento de datos.
- Procedimientos de aseguramiento de calidad del procesamiento de datos.
- Controles de acceso fsico.
- Planeacin de continuidad del negocio / Recuperacin de desastres
- Redes y comunicaciones.
- Administracin de bases de datos.
1.2.3 CONTROLES DE APLICACIN

Los controles de aplicacin consisten de actividades manuales y/o automatizadas
una combinacin de las dos, que aseguran que la informacin cumple con ciertos
criterios, estn dirigidos a las aplicaciones computacionales individuales que
soportan los procesos del negocio. Por ejemplo:
- Acceso a las funciones de las aplicaciones.
- Validaciones en la entrada de datos.
- Niveles de autorizacin para transacciones en la aplicacin.
- Reportes.
- Pistas de auditora, entre otros.
16
Los controles de aplicacin se establecen sobre funciones de entrada,

procesamiento y salida de datos, como se describe en la Tabla 1.4.
Tipo Control Funcin Objetivo

Mantener la integridad de los Ingresar datos completos,
Controles de Entrada/Origen: datos que son ingresados al correctos y vlidos.
sistema
Controles de Procesamiento Generalmente automatizados, Validar que el procesamiento
proveen una forma de asegurar realice la tarea correcta.
que el procesamiento de las
transacciones sea completa,
adecuada y autorizada
Controles de salida: Direccionan a las operaciones Obtener resultados que
que fueron realizadas con los satisfagan las expectativas.
datos. Se puede establecer
comparaciones entre las salidas
generadas y los ingresos
realizados
Controles de integridad Verificar la integridad y Datos completos y vlidos
consistencia de los datos durante todo el proceso.
procesados
Tabla 1. 4 Controles de Aplicacin
Fuente: Manual de Preparacin del Examen CISA 2011
COBIT 4.1 define seis controles de aplicacin ACn, como se mencion

anteriormente, en la seccin: 1.1.3.2 Objetivos de Control, Estos son:
AC1 Preparacin y Autorizacin de Informacin Fuente.

Asegurar que los documentos fuente estn preparados por personal autorizado y
calificado siguiendo los procedimientos establecidos, teniendo en cuenta una
adecuada segregacin de funciones respecto al origen y aprobacin de estos
documentos. Los errores y omisiones pueden ser minimizados a travs de buenos
diseos de formularios de entrada. Detectar errores e irregularidades para que sean
informados y corregidos.
AC2 Recoleccin y Entrada de Informacin Fuente.

Establecer que la entrada de datos se realice en forma oportuna por personal
calificado y autorizado. Las correcciones y reenvos de los datos que fueron
errneamente ingresados se deben realizar sin comprometer los niveles de
17
autorizacin de las transacciones originales. En donde sea apropiado para

reconstruccin, retener los documentos fuentes originales durante el tiempo
necesario.
AC3 Chequeos de Exactitud, Integridad y Autenticidad

Asegurar que las transacciones son exactas, completas y vlidas. Validar los datos
ingresados, y editar o devolver para corregir, tan cerca del punto de origen como sea
posible.
AC4 Integridad y Validez del Procesamiento

Mantener la integridad y validacin de los datos a travs del ciclo de procesamiento.
Deteccin de transacciones errneas no interrumpe el procesamiento de
transacciones vlidas.
AC5 Revisin de Salidas, Reconciliacin y Manejo de Errores

Establecer procedimientos y responsabilidades asociadas para asegurar que la
salida se maneja de una forma autorizada, entregada al destinatario apropiado, y
protegida durante la transmisin; que se verifica, detecta y corrige la exactitud de la
salida y que se usa la informacin proporcionada en la salida.
AC6 Autenticacin e Integridad de Transacciones

Antes de pasar datos de la transaccin entre aplicaciones internas y funciones de
negocio/operativas (dentro o fuera de la empresa), verificar el apropiado
direccionamiento, autenticidad del origen e integridad del contenido. Mantener la
autenticidad y la integridad durante la transmisin o el transporte.
En la Tabla1.5 se muestra los tipos de control ACn de acuerdo al tipo de control.

18
Tipos de Control Controles de Ejemplos

Aplicacin- ACn
Controles de AC1 - Autorizacin de entrada de datos
Entrada/Origen AC2 firmas en formularios por lotes
AC3 documentos de origen, controles de
acceso en lnea, contraseas,
identificacin de terminal o estacin
de trabajo.
Controles de AC4 - Re-clculos manuales en base a
Procesamiento muestras para asegurarse que los
datos fueron procesados
correctamente.
- Verificacin de edicin para validar
que los datos ingresados y
procesados por una aplicacin sean
ntegros y vlidos.
Controles de salida AC5 - Registro y almacenamiento de
formularios negociables, sensibles y
crticos en un lugar seguro.
- Distribucin de reportes de acuerdo
a parmetros de distribucin
autorizada.
Controles de integridad AC6 - Controles en los procesos de
modificacin, insercin, eliminacin
actualizacin de datos, para
garantizar que la informacin sea
vlida a lo largo de todo el proceso.
Tabla 1. 5 Controles ACn de acuerdo al tipo de control
Fuente: http://auditoriasistemasucb.pbworks.com/f/ProcesosCOBIT41_ig.pdf
COBIT 4.1 define la relacin P=primaria S= secundaria entre los Objetivos de
Control de Aplicacin y los Criterios de Informacin.
Figura 1. 5 Objetivos de Control de Aplicacin vs Criterios de Informacin
Fuente: http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/ Pages/COBIT-and-

Application-Controls-A-Management-Guide.aspx
19
1.2.4 ANLISIS DE LOS PROCESOS COBIT 4.1 Y OBJETIVOS DE CONTROL PARA AUDITORA DEAPLICACIONES
INFORMTICAS.
Las directrices de COBIT utilizadas para la auditora de aplicaciones informticas, estn representados por varios de
los procesos de los Dominios de COBIT 4.1 y de sus objetivos de control asociados. A continuacin se presenta un
anlisis de los procesos de COBIT 4.1 y de los objetivos de control que pueden utilizarse para planificar y efectuar una
auditora de aplicaciones informticas tipo web o de cualquier otra arquitectura, los que se utilizarn son aquellos
definidos segn anlisis realizado por los autores descritos en la Tabla 1. 2 Directrices - Auditora de Aplicaciones.
Proceso de Definicin del Proceso Objetivos de Control COBIT 4.1

COBIT 4.1
PO2 La funcin de los sistemas de informacin crea y actualiza peridicamente el modelo PO2.4
de informacin del negocio y define los sistemas apropiados para optimizar el uso de
Definir la Gestin de integridad
esta informacin. Esto abarca el desarrollo de un diccionario de datos y las reglas de
arquitectura sintaxis de datos de la organizacin, el esquema de clasificacin de los datos y los
niveles de seguridad. Este proceso mejora la calidad de la gestin de toma de
de informacin
decisiones, al garantizar la entrega de informacin confiable y segura, facilitando la
racionalizacin de los recursos de sistemas de informacin para satisfacer
adecuadamente las estrategias empresariales. Este proceso de TI tambin es
necesario para consolidar la responsabilidad de reportar el estado de la integridad y la
seguridad de los datos, ampliando la eficacia y el control del intercambio de
informacin entre las aplicaciones y la organizacin.
Tabla 1. 6 Anlisis de los procesos COBIT 4.1 y Objetivos de control para auditora de aplicaciones informticas.
Fuente: Elaborado por los Autores en base a COBIT 4.1.

20

COBIT 4.1
PO4 Definir los Una organizacin de TI est definida en base a las necesidades de personal, las PO4.11 Segregacin de funciones
aptitudes, funciones, obligacin de rendir cuenta, autoridad, roles, responsabilidades y
procesos,
la supervisin. Esta organizacin se incrusta en un marco de procesos de TI que
organizacin y garantice la transparencia y el control, as como la participacin de altos ejecutivos y la
gerencia de la organizacin. Un comit de estrategia asegura que la junta de
relaciones de TI
supervisin de las TI, y uno o ms comits de direccin en la que participan las reas
de negocios y TI, determinen la priorizacin de los recursos de TI de acuerdo a las
necesidades del negocio. Se habilitan los procesos, las polticas y los procedimientos
administrativos para todas las funciones, con especial atencin al control y garanta de
calidad, gestin de riesgos, seguridad de la informacin, propiedad de datos y
sistemas, y la segregacin de funciones. TI es involucrada en los procesos relevantes
de decisin para asegurar el soporte oportuno de los requerimientos del negocio.
AI2 Adquirir y Las aplicaciones se hacen disponibles en lnea con los requerimientos del negocio. AI2.3
mantener Este proceso cubre el diseo de las aplicaciones, la inclusin correcta de los controles Control y auditabilidad de las
software de aplicacin y los requerimientos de seguridad, as como el desarrollo y la aplicaciones.
aplicativo configuracin alineados con los estndares. Esto le permite a las organizaciones
apoyar apropiadamente sus operaciones de negocios con las aplicaciones
automatizadas correctas.
AI6 Gestionar Todos los cambios relacionados con la infraestructura y aplicaciones dentro del AI6.1 Estndares y procedimientos
cambios entorno de produccin, inclusive los mantenimientos de emergencia y los parches, se para cambios.
gestionan formalmente y de modo controlado. Los cambios (inclusive sobre AI6.2 Evaluacin de impacto,
procedimientos, procesos y parmetros de servicio y de sistema) son registrados, priorizacin y autorizacin.
evaluados y autorizados antes de su implementacin y comparados contra los AI6.3 Cambios de emergencia.
resultados luego de su implementacin. Esto asegura una mitigacin de los riesgos AI6.4 Seguimiento y reporte de
que afecten negativamente la estabilidad o integridad del entorno de produccin. estado de los cambios.
AI6.5 Cierre y documentacin del
cambio
Continuacin Tabla 1. 6 Anlisis de los procesos COBIT 4.1 y Objetivos de control para auditora de aplicaciones informticas.
21

COBIT 4.1
AI7 Instalar y Los nuevos sistemas necesitan entrar en operacin una vez que se ha completado el AI7.6 Pruebas de cambios.
acreditar desarrollo, lo que requiere de pruebas adecuadas en un entorno dedicado con datos AI7.7 Pruebas de aceptacin final.
soluciones y de prueba relevantes, la definicin del despliegue e instrucciones de migracin, la AI7.8Promocin a produccin.
cambios planificacin de la liberacin, el pase a produccin y una revisin luego de su
implementacin. Esto asegura que los sistemas en operacin estn alineados con las
expectativas y resultados acordados.
DS2 Gestionar La necesidad de asegurar que los servicios de terceros (proveedores, vendedores y DS2.3 Gestin de riesgos de
los servicios de asociados) cumplan con los requerimientos del negocio requiere un proceso de proveedores.
terceros gestin de terceros. Este proceso se realiza definiendo claramente los roles, DS2.4 Monitoreo del desempeo
responsabilidades y expectativas en los acuerdos con terceros as como la revisin y de proveedores
monitoreo de tales acuerdos en busca de eficacia y cumplimiento. La gestin eficaz de
servicios de terceros minimiza el riesgo de negocio asociado con el incumplimiento de
proveedores.
DS3 Gestionar La necesidad de gestionar el desempeo y la capacidad de los recursos de TI requiere DS3.4 Disponibilidad de recursos
el desempeo y de un proceso para su revisin peridica, lo que incluye pronosticar necesidades de TI
la capacidad futuras basndose en requerimientos de carga de trabajo, almacenamiento y
contingencia. Este proceso provee la garanta de que los recursos de informacin que
soportan los requerimientos del negocio estn disponibles en forma continua.
DS4 Garantizar La necesidad de proveer servicios continuos de TI requiere del desarrollo, DS4.2 Planes de Continuidad de TI
la continuidad mantenimiento y pruebas de planes de continuidad de TI, utilizar almacenamiento de DS4.4 Mantenimiento del Plan de
del servicio respaldos fuera de las instalaciones y proporcionar entrenamiento peridico sobre el Continuidad de TI
plan de continuidad. Un proceso eficaz de servicio continuo minimiza la probabilidad y DS4.8 Recuperacin y
el impacto de una interrupcin de un servicio crtico de TI en funciones y procesos Reanudacin de los Servicios de TI
claves del negocio. DS4.9 Almacenamiento externo de
respaldos
22

COBIT 4.1
DS5 Garantizar La necesidad de mantener la integridad de la informacin y proteger los activos de TI DS5.3 Gestin de identidad.
la seguridad de precisa de un proceso de gestin de seguridad, lo que incluye establecer y mantener DS5.4 Gestin de cuentas de
los sistemas los roles, las responsabilidades, polticas, estndares y procedimientos de seguridad usuario.
de TI. Adems, realizar monitoreos de seguridad y pruebas peridicas e implementar DS5.11 Intercambio de datos
acciones correctivas para identificar debilidades de seguridad o incidentes. Una Sensitivos
gestin efectiva de
seguridad protege todos los activos de TI para minimizar el impacto de
vulnerabilidades de seguridad e incidentes en el negocio.
DS10 Una efectiva administracin de problemas requiere la identificacin y clasificacin de DS10.1
Administrar problemas, el anlisis de las causas desde su raz, y la resolucin de problemas. El Identificacin y Clasificacin de
Problemas proceso de administracin de problemas tambin incluye la identificacin de Problemas
recomendaciones para la mejora, el mantenimiento de registros de problemas y la
revisin del estatus de las acciones correctivas. Un efectivo proceso de administracin
de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y
satisfaccin del usuario.
DS11 Gestionar La gestin eficaz de datos precisa de la identificacin de las necesidades de datos. El DS11.1 Requerimientos del
datos proceso de gestin de datos tambin incluye el establecimiento de procedimientos negocio para la gestin de datos
eficaces para la gestin de la biblioteca de medios, backup, restauracin y una DS11.2 Acuerdos para el
adecuada eliminacin de los medios. La gestin de datos ayuda a garantizar la almacenamiento y la conservacin
calidad, oportunidad y disponibilidad de los datos del negocio. DS11.3 Sistema de gestin de
librera de medios
DS11.4 Eliminacin
DS11.5 Respaldo y restauracin
DS11.6 Requisitos de seguridad
para la gestin de datos
23

COBIT 4.1
AC2 Establecer que la entrada de datos se realice en forma oportuna por personal AC2 Recoleccin y Entrada de
Recoleccin y calificado y autorizado. Las correcciones y reenvos de los datos que fueron Informacin Fuente
Entrada de errneamente ingresados se deben realizar sin comprometer los niveles de
Informacin autorizacin de las transacciones originales. En donde sea apropiado para
Fuente reconstruccin, retener los documentos fuentes originales durante el tiempo necesario.
AC3 Asegurar que las transacciones son exactas, completas y vlidas. Validar los datos AC3 Verificaciones de exactitud,
Verificaciones ingresados, y editar o devolver para corregir, tan cerca del punto de origen como sea totalidad, y autenticidad
de exactitud, posible.
totalidad, y
autenticidad
AC4 Integridad y Mantener la integridad y validacin de los datos a travs del ciclo de procesamiento. AC4 Integridad y Validez del
Validez del Deteccin de transacciones errneas no interrumpe el procesamiento de Procesamiento
Procesamiento transacciones vlidas.
AC5 Revisin de Establecer procedimientos y responsabilidades asociadas para asegurar que la salida AC5 Revisin de Salidas,
Salidas, se maneja de una forma autorizada, entregada al destinatario apropiado, y protegida Reconciliacin y Manejo de Errores
Reconciliacin y durante la transmisin; que se verifica, detecta y corrige la exactitud de la salida; y que
Manejo de se usa la informacin proporcionada en la salida.
Errores
AC6 Antes de pasar datos de la transaccin entre aplicaciones internas y funciones de AC6 Autenticacin e integridad de
Autenticacin e negocio/operativas (dentro o fuera de la empresa), verificar el apropiado transacciones
integridad de direccionamiento, autenticidad del origen e integridad del contenido. Mantener la
transacciones autenticidad y la integridad durante la transmisin o el transporte.
24
1.3 MARCOS DE TRABAJO PARA EL DESARROLLO DE LA

AUDITORA
Actualmente existen varios estndares reconocidos internacionalmente cuya

misin principal es guiar a las empresas al logro de sus objetivos y mejoras en
su gobierno de TI en base a lo denominado como mejores prcticas, dichos
estndares deben aplicarse al negocio dependiendo de la particularidad del
mismo y de los procesos a auditarse.
Las mejores prcticas de TI posibilitan y soportan:
- Una mejor gestin de TI que es esencial para el xito de la estrategia de

la empresa.
- Un gobierno eficaz de las actividades de TI.
- Un marco de referencia eficaz para la gestin de polticas, controles
internos y prcticas definidas, que es necesario para que todos sepan lo
que hay que hacer.
- Muchos otros beneficios, incluyendo ganancia de eficiencias, menor
dependencia de expertos, menos errores, mejora de la confianza de los
socios de negocios y de entidades reguladores.
A continuacin se detalla el marco de trabajo para los tres estndares que en la

actualidad estn ampliamente utilizados a nivel global, estos son: COBIT 4.1,
ITIL v3 e ISO 27002.
1.3.1 COBIT 4.1
La estructura de COBIT 4.1 ha sido detallada en la seccin 1.1.3 Marco de

Trabajo COBIT 4.1.
1.3.2 ITIL V3
ITIL por sus siglas en ingls significa Information Technology Infrastructure

Library (Biblioteca de la Infraestructura de TI). Sus orgenes se remontan a la
dcada de los 80 cuando el gobierno britnico, preocupado por la calidad de
25
los servicios TI de los que dependa la administracin, solicito a una de sus

agencias la CCTA, Central Computer and Telecommunications Agency
(Agencia Central para la Informtica y las Telecomunicaciones), que se
convirti en la OGC, Office of Government Commerce (Oficina de Comercio
Gubernamental), en abril del 2001, para que desarrollara un estndar para la
provisin eficiente de servicios TI.
ITIL V3 es una serie de publicaciones que se utilizan para describir y optimizar

un marco de trabajo para la Gestin de la calidad de Servicio dentro de una
organizacin. La filosofa de ITIL es globalmente reconocida como la fundacin
de las mejores prcticas de la Gestin de Servicio de TI. Su objetivo de mejorar
la calidad de los servicios TI ofrecidos, evitar los problemas asociados a los
mismos y en caso de que estos ocurran ofrecer un marco de actuacin para
que estos sean solucionados con el menor impacto y rapidez.
1.3.2.1 Estructura
ITIL v3 consta de cinco libros basados en el ciclo de vida del servicio, estos
son:
Estrategia del Servicio.

Se enfoca en el estudio de mercado y posibilidades mediante la bsqueda de
servicios innovadores que satisfagan al cliente tomando en cuenta la real
factibilidad de su puesta en marcha. As mismo se analizan posibles mejoras
para servicios ya existentes.
Diseo del Servicio

Una vez identificado un posible servicio el siguiente paso consiste en analizar
su viabilidad. Para ello se toman factores tales como infraestructura disponible,
capacitacin del personal y se planifican aspectos como seguridad y
prevencin ante desastres. Para la puesta en marcha se toman en
consideracin la reasignacin de cargos (contratacin, despidos, ascensos,
jubilaciones, entre otros), la infraestructura y software a implementar.
26
Transicin del Servicio

Antes de poner en marcha el servicio se deben realizar pruebas. Para ello se
analiza la informacin disponible acerca del nivel real de capacitacin de los
usuarios, estado de la infraestructura, recursos TI disponible, entre otros.
Luego se prepara un escenario para realizar pruebas; se replican las bases de
datos, se preparan planes de rollback (reversin) y se realizan las pruebas.
Luego de ello se limpia el escenario hasta el punto de partida y se analizan los
resultados, de los cuales depender la implementacin del servicio. En la
evaluacin se comparan las expectativas con los resultados reales.
Operacin del Servicio

En este punto se monitorea el funcionamiento del servicio, se registran
eventos, incidencias, problemas, peticiones y accesos al servicio.
Mejora Continua del Servicio

Se utilizan herramientas de medicin y feedback para documentar la
informacin referente al funcionamiento del servicio, los resultados obtenidos,
problemas ocasionados, soluciones implementadas, entre otros. Para ello se
debe verificar el nivel de conocimiento de los usuarios respecto al nuevo
servicio, fomentar la investigacin referente al servicio y compartir la
informacin al resto de los usuarios.
1.3.2.2 Funciones, procesos y roles

ITIL marca una clara distincin entre funciones y procesos, adicional incorpora
el concepto de rol.
Funcin: es una unidad especializada en la realizacin de una cierta actividad

y es la responsable de su resultado. Las funciones incorporan todos los
recursos y capacidades necesarias para el correcto desarrollo de dicha
actividad. Las funciones tienen como principal objetivo dotar a las
organizaciones de una estructura acorde con el principio de especializacin.
Proceso: es un conjunto de actividades interrelacionadas orientadas a cumplir

un objetivo especfico.
27
Los procesos comparten las siguientes caractersticas:

- Cuantificables y se basan en el rendimiento.
- Tienen resultados especficos.
- Tienen un cliente final que es el receptor de dicho resultado.
- Se inician como respuesta a un evento.
El Centro de Servicios y la Gestin del Cambio son dos claros ejemplos de

funcin y proceso respectivamente.
Rol: es un conjunto de actividades y responsabilidades asignadas a una

persona o un grupo. Una persona o grupo puede desempear simultneamente
ms de un rol. Hay cuatro roles genricos que juegan un papel especialmente
importante en la gestin de servicios TI:
- Gestor del Servicio.- Es el responsable de la gestin de un servicio

durante todo su ciclo de vida: desarrollo, implementacin,
mantenimiento, monitorizacin y evaluacin.
- Propietario del Servicio.- Es el ltimo responsable cara al cliente y a la
organizacin TI de la prestacin de un servicio especfico.
- Gestor del Proceso.- Es el responsable de la gestin de toda la
operativa asociada a un proceso en particular: planificacin,
organizacin, monitorizacin y generacin de informes.
- Propietario del Proceso.- Es el ltimo responsable frente a la
organizacin TI de que el proceso cumple sus objetivos. Debe estar
involucrado en su fase de diseo, implementacin y cambio asegurando
en todo momento que se dispone de las mtricas necesarias para su
correcta monitorizacin, evaluacin y eventual mejora.
1.3.3 ISO 27002
El estndar internacional fue publicado por la ISO (www.iso.org/ISO/home.htm)

y la IEC, que establecieron el comit tcnico mixto ISO/IEC JTC 1. La fuente
histrica para el estndar fue BS 7799-1, cuyas partes esenciales fueron
tomadas en el desarrollo de la norma ISO/IEC 17799:2005. Su primera edicin
28
en el ao 2000 y actualizada en junio de 2005. Se puede clasificar como las

mejores prcticas actuales en materia de sistemas de gestin de seguridad de
la informacin.
El objetivo del estndar ISO/IEC 27002:2005 es brindar informacin a los
responsables de la implementacin de seguridad de la informacin de una
organizacin. Es definida como una buena prctica para desarrollar y mantener
normas de seguridad y prcticas de gestin en una organizacin para mejorar
la fiabilidad en la seguridad de la informacin en las relaciones inter-
organizacionales.
1.3.3.1 Estructura
Se definen las estrategias de 133 controles de seguridad organizados bajo 11

dominios. La ISO 27002 recalca la importancia de la gestin del riesgo y
establece que no es necesario aplicar cada parte, sino slo aquellas que sean
relevantes de acuerdo a las necesidades de la organizacin.
Proporciona recomendaciones de las mejores prcticas en la gestin de la
seguridad de la informacin a todos los interesados y responsables en iniciar,
implantar o mantener sistemas de gestin de la seguridad de la informacin. La
seguridad de la informacin se define en el estndar como: la preservacin de
la confidencialidad (asegurando que slo quienes estn autorizados pueden
acceder a la informacin), integridad (asegurando que la informacin y sus
mtodos de proceso son exactos y completos) y disponibilidad (asegurando
que los usuarios autorizados tienen acceso a la informacin y a sus activos
asociados cuando lo requieran).
La ISO 27002 incluye once secciones principales, estas son:
1. Poltica de Seguridad de la Informacin.

2. Organizacin de la Seguridad de la Informacin.
3. Gestin de Activos de Informacin.
4. Seguridad de los Recursos Humanos.
5. Seguridad Fsica y Ambiental.
6. Gestin de las Comunicaciones y Operaciones.
29
7. Control de Accesos.
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.
9. Gestin de Incidentes en la Seguridad de la Informacin.
10. Gestin de Continuidad del Negocio.
11. Cumplimiento.
Dentro de cada seccin, se especifican los objetivos de los distintos controles

para la seguridad de la informacin.
1.3.4 INTERRELACIN DE LOS ESTNDARES COBIT 4.1, ITIL V3,

EISO/IEC 27002 PARA AUDITORA DE APLICACIONES
INFORMTICAS.
Las mejores prcticas y los estndares ayudan a posibilitar un gobierno eficaz

de las actividades de TI.
El uso de estndares y mejores prcticas tales como COBIT 4.1, ITIL v3 e
ISO/IEC 27002, mejora el desempeo, transparencia y control sobre
actividades de TI.
Para el presente trabajo utilizaremos COBIT 4.1. Sin embargo se determina

que se puede combinar las directrices de otros estndares, las mejores
prcticas de TI deben ajustarse a los requisitos del negocio y ser integradas
entre s y con los procedimientos internos.
En el Anexo 2: Interrelacin de los Marcos de Trabajo COBIT-ITIL-ISO27002,

se describe el anlisis de los procesos de COBIT 4.1 y sus objetivos de control
que se indican en la Tabla 1. 6: Anlisis de los procesos COBIT 4.1 y Objetivos
de control para auditora de aplicaciones informticas, para la ejecucin de una
auditora de aplicaciones, los cuales han sido mapeados a secciones
especficas de ITIL e ISO/IEC 27002.
30
CAPITULO 2 PLAN DE AUDITORIA DE LA

APLICACIN WEB
2.1. ESTUDIO DE LA APLICACIN WEB CAJERO DE
VENTANILLAS A SER AUDITADA
La aplicacin a ser auditada se la denominar como: Cajero de Ventanillas

(CV) que es aquella usada por los cajeros en ventanilla para procesar las
transacciones de depsitos, retiros, pago de cheques, pago a proveedores,
recaudaciones entre otros.
2.1.1 DESCRIPCIN
La aplicacin CV, est basada en la Arquitectura Windows DNA3, que significa

por sus siglas en ingls: Windows Distributed InterNet Applications Architecture
(Arquitectura de Aplicaciones de Internet Distribuida).
El cliente trabaja en computadoras personales enlazados a un servidor de red,

los componentes pueden ser instalados en un servidor de componentes en
servidor de aplicaciones.
2.1.2 ARQUITECTURA FSICA
La infraestructura para implementar el modelo de computacin distribuida en

Internet en el que est basado el sistema CV, se muestra en el Figura 2.1.
3
Windows DNA es la nomenclatura utilizada por Microsoft para definir a una coleccin de
tecnologas que permiten a la plataforma Windows e internet trabajar en conjunto. Algunas de
sus tecnologas son el Active X, DHTML y COM.
31
Figura 2. 1 Arquitectura de la Aplicacin
Fuente: Entidad Bancaria
2.1.2.1 Servidores
La distribucin y configuracin de los servidores est basada en el siguiente

esquema:
Figura 2. 2 Distribucin Servidores
Descripcin Cantidad Software

Servidor Web 3 Sistema Operativo Windows 2003 Server.
Microsoft Frameworks 1.0
Servidor de Base de Datos 1 Sistema Operativo Windows 2003 Server.
SQL Server 2000
Tabla 2. 1 Descripcin Servidores

32
2.1.2.2 Clientes
Descripcin Cantidad Software
PCs Agencias 250 Sistema Operativo Windows XP
superior.
Microsoft Internet Explorer 6.0 o superior.
Tabla 2. 2 Descripcin Clientes
2.1.2.3 Herramientas de Desarrollo

La aplicacin ha sido desarrollada con plataforma .NET. La siguiente tabla
muestra los diferentes leguajes que permitieron desarrollar el aplicativo CV.
Ambiente Herramienta de Desarrollo
Cdigo Interfaz Cliente Jscript, VbScript, HTML
Actives Visual Basic 6.0
Componentes de Negocio C#
Cdigo Servidor Asp.NET
Tabla 2. 3 Herramientas de Desarrollo
2.1.3 ARQUITECTURA LOGICA

Se identifica los componentes internos, cada uno de los cuales ser
responsable de resolver los diferentes servicios de la aplicacin, estos
componentes son:
Figura 2. 3 Arquitectura Lgica de la Aplicacin

33
Usuarios.-Ente que interacta directamente con la aplicacin CV, en este

caso Cajeros y Supervisores.
Capa de Presentacin.-Parte de la solucion o proyecto que ofrece al
usuario un modo de interactuar con la aplicacin.
Capas empresariales.-Una vez que el proceso de usuario ha recopilado los
datos necesarios, stos se pueden utilizar para realizar un proceso empresarial
de negocio.
Capa de datos.-La mayora de las aplicaciones y servicios necesitan
obtener acceso a un repositoriode datos en un momento determinado del
proceso empresarial.
Orgenes de datos.-Estructura de almacenamiento de informacin.
Servicios.-Programas expuestos para que las aplicaciones puedan
interactuar entre s, ejemplo: web service.
La aplicacin CV interacta con otras aplicaciones para proveer varios servicios

al usuario final, estas son:
- Core Financiero.- Contiene la informacin de los clientes y es la
encargada de autorizar o no las transacciones. Adems, controla el
acceso de los usuarios a la aplicacin.
- Divisas.- Para obtener el valor de la cotizacin de las divisas la
transaccin de compra o venta de divisas.
- Cubos de Informacin.- Toma la informacin de todas las
transacciones realizadas para formar el cubo de ventanillas y obtener
informacin gerencial.
- Tarjetas de Crdito.- Para verificar la informacin y el saldo a pagar de
los clientes.
- Switch Transaccional.- Para realizar las transacciones obtenidas por
concepto de recaudaciones.
2.1.4 MDULOS Y TRANSACCIONES DE LA APLICACIN CV
La aplicacin CV consta de cinco mdulos, compuestos por transacciones que

han sido definidas de acuerdo a las necesidades del negocio, en la Figura 2.4
se detalla estos mdulos.
34
Figura 2. 4 Mdulos Aplicacin Cajero de Ventanillas
Mdulo No. Elementos Elemento

Inicializar las transacciones
Pago de Cheques
Depsitos
Retiros
Pago a Proveedores
Recaudaciones
15
Bono de Solidaridad
Transacciones Pago Aportes y Fondos IESS
Pago de Pensiones del IESS
Certificacin de Cheques
Ruteos de transacciones
Reversos de transacciones
Actualizar Libreta
Cambiar Libreta
Compra / Venta de Divisas
Tabla 2. 4 Elementos Mdulo Transacciones

35

Lista de Transacciones
Consultas 3 Lista de Cajeros
Cuadre de Oficina
Tabla 2. 5 Elementos Mdulo Consultas

Planilla Total Efectivo
Reportes 4 Planilla Total Cheques
Planilla Total Cajero
Planilla Detalles Retenciones
Tabla 2. 6 Elementos Mdulo Reportes

Trasferencias con Bveda
Control 3 Configuracin de la Oficina
Registro Ingreso / Egreso de Caja
Tabla 2. 7 Elementos Mdulo Control

Herramientas 2 Firmas
Calculadora
Tabla 2. 8 Elementos Mdulo Herramientas
2.2. ELABORACIN DEL PROGRAMA DE AUDITORA
El programa de auditora es la estrategia que utilizar el auditor de SI para

realizar la evaluacin de su asignacin en particular, ste identifica el alcance,
los objetivos para lograr evidencia suficiente, competente y confiable para
obtener y sustentar las conclusiones y opiniones de auditora.
Segn COBIT los auditores de SI evalan los sistemas de TI desde las
siguientes perspectivas:
- Seguridad (confidencialidad, integridad y disponibilidad).
- Calidad (efectividad, eficiencia, confiabilidad).
- Cumplimiento.
- Recursos Involucrados en los procesos.
36
2.2.1 ELABORACIN DEL PROGRAMA DE AUDITORA PARA LA

EVALUACIN DE LA APLICACIN WEB
Un programa de auditora no sigue necesariamente un conjunto especfico de

pasos, provee como mnimo los pasos secuenciales para obtener una
comprensin del objeto a auditar, en este caso la aplicacin CV con el objetivo
de evaluar la estructura de control, probar los controles y lograr evidencia
suficiente, competente y confiable para obtener y sustentar las conclusiones y
recomendaciones.
El producto inicial y crtico del proceso de auditora debe ser el programa de

auditora, que es la gua para la ejecucin y documentacin de todos los
siguientes pasos de la auditora.
Tabla 2. 9 Importancia del Programa de Auditora
Fuente: Elaborado por los autores.
A continuacin se muestra el desarrollo de un programa de auditora para

aplicaciones informticas el cual se ha desarrollado utilizando las directrices de
COBIT 4.1 y de sus objetivos de control detallados, los mismos que se
definieron previamente (Seccin: 1.2.4 Anlisis de los Procesos COBIT 4.1 y
Objetivos de Control para Auditora de Aplicaciones Informticas).
Ms adelante se definirn los objetivos de control y actividades que se

utilizarn para la auditora de la aplicacin web CV.
37
Directriz de COBIT 4.1 Objetivo de Control Objetivo de Control Descripcin Objetivo Actividades de Control (DEFINIDAS EN
(Proceso COBIT detallado de COBIT (Definido por los de Control (Definido BASE A LAS GUAS DE AUDITORA DE
utilizado) 4.1 autores) por los autores) COBIT 4.1 Y DE LOS AUTORES)
1 No Aplica No Aplica Comprensin de la Comprender el proceso 1.1. Relevar el proceso del negocio
aplicacin. del negocio y la forma 1.2. Comprender los mdulos de la
como la aplicacin lo aplicacin con sus respectivas
maneja. funcionalidades.
2 DS5 - Garantizar la DS5.3 Gestin de Revisin del control de Se han definido 2.1. Verificar la existencia de un
seguridad de los identidad accesos y manejo de polticas y procedimiento para la administracin de
sistemas. contraseas de la procedimientos de usuarios que acceden a las aplicaciones.
DS5.4 Gestin de aplicacin. seguridad para la 2.2. Validar que los usuarios creados en la
cuentas de usuario administracin de aplicacin son los autorizados y que los ex
usuarios. empleados y personal de vacaciones
hayan sido desactivados.
La aplicacin cuenta
2.3. Validar los parmetros establecidos
con tcnicas y para la contrasea en la aplicacin
herramientas de (Complejidad, longitud, histricos,
seguridad lgica para caducidad, etc.) y que estn de acuerdo a
restringir el acceso a las mejores prcticas y a las polticas
los recursos de
definidas en la institucin.
informacin.
2.4. Verificar los inicios de sesin
mltiples, accesos por URLs, tiempo de
inactividad de la aplicacin.
3 DS5 - Garantizar la DS5.4 Gestin de Revisin de los perfilesLos perfiles de usuario 3.1. Verificar que el procedimiento de
seguridad de los cuentas de usuario. de usuarios autorizados cuentan con creacin, asignacin y mantenimiento de
sistemas. en la aplicacin y la procedimientos de perfiles se cumple de acuerdo a las
PO4.11 Segregacin de segregacin decontrol aprobado por la polticas y procedimientos de seguridad de
PO4 - Definir los funciones. funciones. gerencia para la informacin de la institucin.
procesos, organizacin garantizar que son
y relaciones de TI. generados y asignados
con base en las
funciones de los cargos
y el principio de
segregacin de tareas.
Tabla 2. 10 Programa de Auditora - Fuente: Elaborado por los Autores
38
4 DS5 - Garantizar la DS5.3 Gestin de Transacciones Crticas. Identificacin de las 4.1. Identificar las transacciones crticas
seguridad de los identidad Transacciones Crticas de la aplicacin en conjunto con los
sistemas y su asignacin a responsables de la aplicacin / mdulos y
usuarios autorizados. validar su funcionalidad.
4.2. Identificar los perfiles y usuarios que
tengan las transacciones/opciones
identificadas como crticas.
4.3. Validar el principio de segregacin de
funciones
5 PO2 - Definir la PO2.4 Gestin de Revisin de los Se han definido 5.1. Verificar que los reportes que
arquitectura de integridad. controles asociados a controles que aseguren contienen informacin sensible tenga
informacin. la salida y entrega de que los datos son controles para impedir se proceda a
informacin. entregados a los exportar los datos.
AC5 Revisin de AC5 Revisin de usuarios en una forma 5.2. Revisar que la informacin sensible
Salidas, Reconciliacin Salidas, Reconciliacin consistente y segura. que est siendo consultada a travs de la
y Manejo de Errores. y Manejo de Errores. aplicacin sea realizada por usuarios
autorizados.
6 AC2 Recoleccin y AC2 Recoleccin y Revisin de los Existen procedimientos 6.1. Validar que exista un control de
Entrada de Informacin Entrada de Informacin controles asociados al de control de entrada monto mximo por transaccin y cuando
Fuente Fuente ingreso de datos. que aseguren que toda se supere ese valor se solicite
transaccin que vaya a autorizacin de la lnea de supervisin y
AC3 Verificaciones de AC3 Verificaciones de ser procesada sea validar todas las transacciones que
exactitud, totalidad, y exactitud, totalidad, y recibida y registrada requieren de autorizacin
autenticidad. autenticidad correcta y
completamente. 6.2. Verificar los controles automatizados
implementados para efectuar el registro
de los datos
6.3. Verificar la existencia de un
procedimiento para la modificacin de las
parametrizaciones del sistema y validar su
cumplimiento.
Continuacin Tabla 2.10 Programa de Auditora
39
7 DS5 Garantizar la DS5.11 Intercambio de Revisin de los Existen controles de 7.1. Verificar si existe una proteccin
seguridad de los datos controles asociados al procesamiento adecuada para la informacin sensitiva
sistemas Sensitivos procesamiento batch. aprobados por la durante la transmisin y transporte en
gerencia que aseguren cuanto a accesos y modificaciones no
la integridad y la autorizadas.
AC6 Autenticacin e AC6 Autenticacin e exactitud de los datos. 7.2. Identificar las carpetas FTP y verificar
integridad de integridad de que la lista de usuarios de las carpetas
transacciones transacciones identificadas y sus permisos sean los
autorizados.
7.3. Verificar el procedimiento cuando se
detecta un error en los archivos
8 AC4 Integridad y AC4 Integridad y Revisin de los Existen controles de 8.1. Identificar los controles que se utilizan
Validez del Validez del controles asociados al procesamiento en la aplicacin para asegurar que los
Procesamiento Procesamiento procesamiento on line. aprobados por la datos se procesen correctamente y sin el
gerencia que aseguren riesgo de duplicar o eliminar informacin
la integridad y la (Anular, reversar, corregir).
exactitud de los datos 8.2. Analizar los controles que se tienen
procesados. en la aplicacin para garantizar el registro
en la base de datos de las transacciones
que se ejecutan en lnea
8.3. Identificar el procedimiento a seguir
en caso de encontrar errores durante el
procesamiento de informacin e impedir
que estos errores afecten a la operacin
del sistema (rollback de la transaccin).

40
9 DS5 Garantizar la DS5.4 Gestin de Integridad de los datos. Revisin de la 9.1. Validar que el personal que puede
seguridad de los cuentas de Usuario. afectacin directa a los acceder a la base de datos de la
sistemas datos de la base de aplicacin es el adecuado.
datos de la aplicacin.
9.2. Identificar las tablas crticas de la
aplicacin.
9.3. Validar los permisos de los usuarios

con accesos a tablas crticas de la base
de datos de la aplicacin.
10 Se valida con el rea 10.1. Revisar con el rea usuaria los

DS10 Gestionar DS10.1 Identificacin y Revisin de errores y usuaria cuales son los errores ms comunes en las
problemas clasificacin de necesidades en la errores ms comunes funcionalidades de la aplicacin
problemas funcionalidad de la que se presentan en
aplicacin. las funcionalidades de 10.2. Revisar con el rea usuaria cuales
la aplicacin y se son las necesidades funcionales que la
revisa que necesidades aplicacin no cubre.
funcionales no se
incluyen dentro de la
aplicacin.

41
Actividades de Control (DEFINIDAS

Directriz de COBIT Objetivo de Control Objetivo de Control Descripcin Objetivo EN BASE A LAS GUAS DE
4.1 (Proceso COBIT detallado de COBIT (Definido por los de Control (Definido AUDITORA DE COBIT 4.1 Y DE LOS
utilizado) 4.1 autores) por los autores) AUTORES)
AI6.1 Estndares y
procedimientos para Las modificaciones a
cambios los sistemas de
aplicacin existentes
AI6.2 Evaluacin de se implantan
impacto, priorizacin y adecuadamente y
autorizacin funcionan de acuerdo
con las intenciones de
AI6.3 Cambios de la gerencia.
emergencia
Existen bitcoras
AI6.4 Seguimiento y (logs) donde se
reporte de estado de registren los accesos a
11 AI6 Gestionar cambios los cambios Revisin de los informacin crtica en 11.1. Verificar la existencia de un
cambios efectuados la aplicacin. Adems, procedimiento para la ejecucin de
AI7 Instalar y acreditar AI6.5 Cierre y en la aplicacin. estos registros son cambios en la aplicacin.
soluciones y cambios. documentacin del revisados
cambio regularmente para
evaluar si el acceso y
AI7.6 Pruebas de uso de dicha
cambios informacin fue el
adecuado
AI7.7 Pruebas de
aceptacin final
AI7.8 Promocin a
produccin.
AI2.3 Control y
auditabilidad de las
aplicaciones
42
12 Los niveles de 12.1. Validar si la aplicacin cuenta con
AI2 Adquirir y mantener AI 2.3 Control y Evaluacin de los logs seguridad de la logos transaccionales y de seguridad, si
software aplicativo auditabilidad de las de auditora de la aplicacin se activan estn activados y qu informacin
aplicaciones aplicacin para registrar e almacenan.
informar de incidentes 12.2. Verificar si se realiza una revisin
de seguridad que no peridica de estos logos y la existencia de
cumplan las polticas un procedimiento de las acciones a tomar
definidas por la en caso de encontrar novedades (formal o
institucin; los informes no)
generados se revisan 12.3. Identificar a qu niveles se reporta la
peridicamente y se informacin encontrada en los logs de la
toman medidas aplicacin
correctivas.
13 DS2 Gestionar los DS2.3 Gestin de Evaluacin de aspectos Existen contratos para 13.1. Revisar la existencia, completitud y
servicios de terceros riesgos de contractuales. Licencias el mantenimiento y vigencia de los contratos para la
proveedores en caso de aplicaciones soporte tcnico de la adquisicin y mantenimiento de la
de terceros aplicacin que aplicacin
DS2.4 Monitoreo del garanticen la 13.2. Validar que los contratos cuenten
desempeo de disponibilidad de la con clusulas que especifiquen los niveles
proveedores aplicacin en trminos de servicio de la aplicacin y su
que garanticen la correspondiente monitoreo por las partes
calidad del servicio a la 13.3. Verificar que los contratos cuenten
institucin con clusulas que no pongan en riesgo la
disponibilidad del servicio de la aplicacin
ni su informacin
13.4. Revisar la existencia y validez de las
licencias para el uso del aplicativo

43
Directriz de COBIT Objetivo de Control Objetivo de Control Descripcin Objetivo Actividades de Control (DEFINIDAS EN
4.1(Proceso COBIT detallado de COBIT (Definido por los de Control (Definido BASE A LAS GUAS DE AUDITORA DE
DS3.4 Disponibilidad de
recursos de TI La gerencia dispone de
un estudio de
DS4.2 Planes de evaluacin de impacto
DS3 Gestionar el Continuidad de TI en clientes y usuarios
desempeo y la debido a fallas o cadas
capacidad DS4.4 Mantenimiento temporales de la
del Plan de Continuidad Evaluacin del impacto aplicacin, as como de 14.1. Verificar la existencia de
14 DS4 Garantizar la de TI de las contingencias y un plan para la procedimientos de contingencia
continuidad del servicio su remediacin remediacin de la tecnolgica, operativa y su adecuada
DS4.8 Recuperacin y contingencia aplicacin
Reanudacin de los
Servicios de TI

44
15 DS4.9 Almacenamiento
externo
de respaldos
DS11.1 Requerimientos
del
negocio para la gestin 15.1. Validar con el rea usuaria que el
DS4 Garantizar la de datos Relevamiento de la Los respaldos perodo de respaldo vaya de acuerdo a
continuidad del servicio DS11.2 Acuerdos para administracin de obtenidos con relacin las necesidades del negocio y que
el respaldos a la aplicacin son cumplan con lo establecido por las
DS11 Gestionar datos almacenamiento y la adecuados entidades de control.
conservacin
DS11.3 Sistema de
gestin de
librera de medios
DS11.4 Eliminacin
DS11.5 Respaldo y
restauracin
DS11.6 Requisitos de
seguridad
para la gestin de datos

45
AC5 Revisin de AC5 Revisin de Revisar si los reportes 16.1. Identificar con los responsables de
Salidas, Reconciliacin Salidas, Reconciliacin y la informacin la aplicacin (negocio), si existen reportes
16 y Manejo de Errores y Manejo de Errores Cumplimiento cumplen con todos los que deban ser emitidos para las entidades
aspectos legales de control y si su emisin es correcta.
impuestos por las
entidades de control.

46
2.3. DEFINICIN DEL ALCANCE DEL PROGRAMA DE AUDITORA

Definir el alcance del programa de auditora permite identificar qu objetivos de
control sern incluidos en la revisin y en base a ello emitir el informe de la auditora.
El alcance de la auditora est determinado de acuerdo con el objeto a auditar, el

cual est compuesto por todos los recursos informticos (personas, equipos,
aplicaciones, capacitacin, entre otros.), la informacin y los controles.
Para definir el alcance se ha establecido factores que permitan calificar a cada uno
de los objetivos de control establecidos para la auditora de aplicaciones informticas
tipo web, de tal manera que se pueda determinar si los controles cumplen con los
criterios de informacin establecidos por COBIT 4.1, los mismos que son: efectividad,
eficiencia, integridad, disponibilidad, confidencialidad, confiabilidad y cumplimiento.
De acuerdo a COBIT a estos criterios se los puede agrupar en factores que estn
orientados a la seguridad, calidad, cumplimiento y recursos involucrados en los
procesos.
2.3.1. FACTOR 1: CRITERIOS QUE ORIENTAN A LA SEGURIDAD SEGN COBIT
- Confidencialidad.- Se refiere a la proteccin de informacin sensible contra

divulgacin no autorizada.
- Integridad.- Se refiere a la precisin y suficiencia de la informacin, as como
a su validez de acuerdo con los valores y expectativas del negocio.
- Disponibilidad.- Se refiere a que la informacin est disponible cuando sea
requerida por los procesos del negocio en cualquier momento. Tambin
involucra a la proteccin y salvaguarda de los recursos.
47
2.3.2 FACTOR 2. CRITERIOS QUE SE FOCALIZAN EN LA CALIDAD SEGN

COBIT
- Efectividad.- Se refiere a que la informacin relevante sea pertinente para el
proceso del negocio, as como a que su entrega sea oportuna, correcta,
consistente y de manera utilizable.
- Eficiencia.- Consiste en que la informacin sea generada con el ptimo (ms
productivo y econmico) uso de los recursos.
- Confiabilidad.- Se refiere a proporcionar la informacin apropiada para que la
gerencia administre la entidad y ejerza sus responsabilidades de reportes
financieros y de cumplimiento.
2.3.3 FACTOR 3. CRITERIO ORIENTADO AL CUMPLIMIENTO SEGN COBIT
- Cumplimiento.- Se refiere a acatar aquellas leyes, reglamentos y acuerdos

contractuales a los cuales est sujeto el proceso de negocios, es decir,
criterios de negocios impuestos externamente, as como polticas internas.
2.3.4 FACTOR 4. RECURSOS INVOLUCRADOS EN LOS PROCESOS SEGN

COBIT
- Aplicaciones.- Incluyen sistemas automatizados y procedimientos manuales

que procesan informacin.
- Informacin.- Son los datos en todas sus formas, de entrada, procesados y
generados por los sistemas de informacin.
- Infraestructura.- Es la tecnologa y las instalaciones (hardware, sistemas
operativos, sistemas de administracin de base de datos, redes, multimedia,
entre otros., as como el sitio donde se encuentran y el ambiente que los
soporta) que permiten el procesamiento de las aplicaciones.
- Personas.- Personal requerido para planear, organizar, adquirir, implementar,
entregar, soportar, monitorear y evaluar los sistemas y los servicios de
informacin. Estas pueden ser internas, por outsourcing o contratadas de
acuerdo al requerimiento del negocio.
48
Estos criterios se encuentran enlazados a cada una de las directrices de COBIT 4.1,
cada criterio de informacin tiene una referencia definida por COBIT 4.1, los mismos
que son: primario, secundario o en blanco ya que algunos procesos tienen mayor
impacto en la meta de TI que otros.
A continuacin se define la razn por la cual los criterios pueden ser primarios,
secundarios o se encuentran en blanco, segn COBIT.
- Primario.- Si definen objetivos de control que impactan directamente los

criterios de informacin considerados.
- Secundario.- Si definen objetivos de control que solo satisfacen una
extensin pequea o satisfacen indirectamente al criterio de informacin
considerado.
- En blanco.- Podra ser aplicable. Sin embargo los requerimientos son
satisfechos de una forma ms apropiada por otro criterio en este proceso y/o
en otro proceso.
El detalle de la matriz que muestra cada proceso calificado con sus criterios de
informacin y su referencia, se lo muestra en el Anexo 3:
Matriz_Alcance_de_Auditora.xlsx.
Pueden existir varios criterios para definir el alcance de un programa de auditora,

uno de ellos es presentado en la matriz descrita en el Anexo 3, que define los
criterios de COBIT4.1 que se enfocan en la seguridad, calidad, cumplimiento y los
recursos involucrados. Los objetivos de control que se pueden definir para ser
evaluados pueden ser determinados en base a las ponderaciones que se han
establecido. Por ejemplo el criterio para seleccionar estos objetivos de control
pueden ser los que hayan alcanzado una calificacin de riesgo alto.
Otro de los criterios que el auditor de Sistemas puede tomar, es en base al
conocimiento de la aplicacin y del entorno tecnolgico que le rodea, en cuyo caso
49
los objetivos de control a ser auditados se definirn en base a la experiencia del

auditor.
Es recomendable trabajar con los dos criterios descritos anteriormente, ya que stos
se complementan.
Para el presente trabajo se tomarn los dos criterios definidos: Objetivos de Control
con calificacin de riesgo Alto y experiencia del auditor, en el transcurso de la
ejecucin de la auditora de los controles implementados, se elaborarn y
establecern las observaciones resultado del proceso.
En el Captulo 3, se incluir en el Programa de Auditora, los objetivos de control

resultado de los criterios definidos anteriormente.
50
CAPITULO 3. EJECUCIN DEL PLAN DE AUDITORA
En la ejecucin de la auditora se debe cumplir los objetivos planteados que se

describen en el programa de auditora. Los objetivos de la auditora incluyen el
aseguramiento del cumplimiento, la confidencialidad, integridad y disponibilidad de
los recursos de informacin y de TI.
En este captulo se verificar el nivel de cumplimiento de los criterios de informacin

definidos por COBIT 4.1, para la aplicacin Cajero de Ventanillas, de acuerdo a los
objetivos de control establecidos en el Captulo 2.
Para verificar dicho cumplimiento se ha utilizado las siguientes tcnicas de auditora:
- Pruebas de cumplimiento.- Consiste en recolectar evidencia con el propsito

de probar el cumplimiento de una organizacin con procedimientos de control,
y determinar si estos estn siendo aplicados de acuerdo a las polticas y
procedimientos de gestin determinados por la entidad. Por ejemplo: polticas
de control de cambios de programas, accesos de usuarios, entre otros.
- Pruebas sustantivas.- Consiste en recolectar evidencia para evaluar la

integridad de transacciones individuales, datos u otra informacin. Por
ejemplo: clculo de intereses pagado en una muestra de cuentas de clientes.
3.1. RELEVAMIENTO Y EJECUCIN DE LA AUDITORA
Durante esta etapa el auditor debe tener como elemento principal de trabajo a la
evidencia, entendindose a esta como cualquier informacin usada por el auditor de
SI para determinar si el objeto que est siendo auditado cumple con los criterios de
informacin, en base a las evidencias relevantes que son definidas a criterio y
51
experiencia del auditor regulaciones de la entidad, se obtendrn las respectivas

conclusiones.
A continuacin se describen las tcnicas de recopilacin de evidencia que sern

utilizadas:
- Revisin de estructuras organizacionales.

- Revisin de polticas y procedimientos estndares.
- Revisin de la documentacin de la aplicacin.
- Entrevista con personal involucrado.
- Observaciones de procesos y desempeo de los usuarios.
- Inspeccin y verificacin.
Otro de los elementos utilizados en la ejecucin de la auditora son las tcnicas de

muestreo, que son aplicadas cuando por factores de tiempo y costo no se puede
realizar la verificacin total de todas las transacciones eventos en una poblacin
definida. Segn el Manual de Preparacin del Examen CISA 2011.Se define a la
muestra como un subconjunto de miembros de una poblacin utilizada para realizar
pruebas y se usa para inferir caractersticas de una poblacin.
Las tcnicas de muestreo utilizadas en Auditora son:
- Tcnicas de muestreo estadstico.- Basadas en las leyes matemticas de la

probabilidad para calcular el tamao de la muestra y seleccionar los objetos.
El auditor decide cuantitativamente el grado de aproximacin con que la
muestra debera representar a la poblacin. Al utilizar este tipo de muestra, la
seleccin de los objetos pueden ser o no representativos, pues se seleccionan
al azar. Para utilizar esta tcnica de muestreo se pueden utilizar herramientas
automticas como son: ACL Audit Command Language (Lenguaje de
Comandos de Auditoria) e IDEA, Interactive Data Extraction and Analysis
(Software para Anlisis y Extraccin de Datos en forma Interactiva).
52
- Tcnicas de muestreo no estadstico.- Segn el Manual de Preparacin al

Examen CISA 2011 , las tcnicas de muestreo no estadstico son aquellas en
la cual el tamao de la muestra y los elementos seleccionados son
determinados en base al juicio y experiencia del auditor respecto al criterio
subjetivo de cuales elementos tienen mayor importancia y riesgo.
Para la ejecucin de la presente auditora se utilizar la Tcnica de Muestreo no

estadstico.
Durante la ejecucin de la auditora, el auditor de SI en base a las pruebas realizadas

en cada objetivo de control, determina si un control es efectivo o inefectivo. Un
control es efectivo cuando existe y est implementado de acuerdo a regulaciones,
polticas, mejores prcticas entre otros parmetros de control establecidos por la
entidad de tal manera que mitiguen los riesgos que se puedan presentar, Un control
es inefectivo si ste no existe, est mal implementado o est incompleto,
consecuentemente no mitiga los riesgos que se pueden presentar.
En el Anexo 4. Relevamiento y Ejecucin de la Auditora, se describe el trabajo

realizado en la auditora de la aplicacin informtica, Cajero de Ventanilla, que
muestra la evaluacin de los objetivos de control definidos en el Captulo 2. Adems,
se define si un objetivo de control es efectivo o inefectivo.
53
3.2. ANLISIS DE RIESGOS DE LAS VULNERABILIDADES

IDENTIFICADAS
Esta fase est destinada a identificar, evaluar y valorar los riesgos de las
vulnerabilidades encontradas, la frecuencia, impacto y probabilidad de ocurrencia de
los mismos.
Es importante aclarar varios conceptos que se utilizarn a partir de la presente

seccin para mayor comprensin y objetividad del anlisis, estos son: amenaza,
vulnerabilidad, hallazgo, riesgo, en base a estos criterios se realizar el anlisis de
riesgo de las vulnerabilidades identificadas en la aplicacin Cajero de Ventanillas.
AMENAZA
Evento que puede crear situaciones de incertidumbre ante la posibilidad de

ocurrencia de algn hecho daino sobre recursos de informacin, tales como:
destruccin, divulgacin, modificacin de datos, negacin de servicios.
HALLAZGO
Cualquier situacin deficiente y relevante que determine el auditor mediante

procedimientos de auditora sobre reas crticas. Por lo tanto, abarca hechos y
asuntos que llaman la atencin del auditor y que en su opinin merecen ser
comunicados a los funcionarios responsables de la entidad auditada y a otras
personas interesadas.
VULNERABILIDAD
La vulnerabilidad es una condicin o conjunto de condiciones que pueden hacer que

una amenazase concrete y haga dao a los SI, se origina por una deficiencia en los
54
controles, debido a que estn mal diseado, incompletos, mal implementados

ausentes, cuando el auditor encuentra una vulnerabilidad se dice que existe el
hallazgo de una vulnerabilidad.
RIESGO
Segn la Gua ISO/CEI 73, el riesgo se define como la combinacin de la

probabilidad de un suceso y sus consecuencias, es el potencial de que una
amenaza dada explote las vulnerabilidades de un activo o grupo de activos,
causando prdida o dao a los mismos.
Componentes del riesgo
- Procesos y/o activos (incluyendo todos los activos de una organizacin,

fsicos, financieros, humanos e intangibles / informacin).
- Impacto.- magnitud del resultado cuando una amenaza explota una
vulnerabilidad.
- Probabilidad.- combinacin de la frecuencia de ocurrencia de la amenaza
(cada cunto ocurre la amenaza) y la exposicin (cada cunto ocurre la
actividad que contiene la amenaza).
Tipos de Riesgos
- Riesgo inherente.- es una condicin que siempre est presente y puede

ocurrir debido a la naturaleza del negocio riesgo.
- Riesgo residual.- permanecen despus de que se haya realizado acciones o
implementado controles para reducir el impacto y la probabilidad de un
acontecimiento adverso.
El auditor de SI debe evaluar las fortalezas y debilidades de los controles y

determinar si son efectivos o inefectivos para cumplir los objetivos de control
55
establecidos. A partir de esta definicin, se pueden identificar los hallazgos de

vulnerabilidades y determinar el riesgo que stas implican.
En la Tabla 3.1 se describe algunos ejemplos para mayor claridad a los conceptos
antes mencionados.
Amenaza Vulnerabilidad Riesgo

Sustraccin de Incorrecta asignacin de perfiles. Acceso a Informacin confidencial
informacin. por personas no autorizadas.
Indisponibilidad de la Ausencia de un proceso de Prdida de servicios que presta la
aplicacin contingencia definido para la aplicacin. Mala imagen ante
aplicacin. clientes. Prdida de clientes.
Inundacin Ubicacin del Centro de Datos en Prdida total o parcial del servicio
el subsuelo en una zona con alto Prdida de informacin.
nivel de lluvias.
Incendio Sistema de extincin de Prdida total del servicio
incendios sin mantenimiento Prdida de informacin.
durante el ltimo ao.
Asalto Falta de capacitacin en el Prdida de vidas humanas.
manejo de situaciones crticas al Prdida del servicio
personal de seguridad de la Prdida de informacin.
entidad.
Tabla 3. 1 Interrelacin: Vulnerabilidad, Amenaza, Riesgo
Fuente: Elaborado por los Autores
3.2.1 MATERIALIDAD DE LOS HALLAZGOS
La materialidad de los hallazgos significa cuales de estos deben presentarse en un

reporte de auditora, teniendo en cuenta qu informacin es significativa para los
distintos niveles de gerencia y el efecto en la organizacin en caso de que no se
realicen las acciones correctivas.
En la Tabla 3.2, se detallan los hallazgos identificados en la aplicacin Cajero de

Ventanillas y los riesgos asociados.
56
ACTIVIDADES DE
CONTROL
(DEFINIDAS EN BASE
A LAS GUAS DE CONCLUSIN HALLAZGOS DE VULNERABILIDADES RIESGOS
AUDITORA DE
COBIT 4.1 Y DE LOS
AUTORES)
2.2. Validar que los Inefectivo La poltica "Administracin de Usuarios" elaborada Acceso a
usuarios creados en la por el rea de Seguridad de la Institucin Financiera transacciones
aplicacin son los (IF), indica que: "En ambiente de Produccin ningn e informacin
autorizados y que los usuario mantendr el estado de activo, cuando el confidencial
ex empleados y empleado propietario del mismo, se encuentre por ex
personal en perodo de definitivamente separado de la IF", sin embargo, de la empleados
vacaciones hayan sido revisin a los usuarios que tienen acceso a la
desactivados. aplicacin CV, se identific que existen 7 personas
que se encuentran en la lista de ex empleados de la
IF y todava permanecen como usuarios activos de la
aplicacin que tienen asignados opciones como:
"Retiros y Depsitos en cuentas de clientes"
2.2. Validar que los Inefectivo La poltica "Administracin de Usuarios" elaborada Imposibilidad
usuarios creados en la por el rea de Seguridad de la IF, indica que: Se de deteccin
aplicacin son los generarn usuarios genricos nicamente para de usuarios
autorizados y que los identificar a los componentes o programas que que realizaron
ex empleados y realizan transacciones de batch, convivencia, entre transacciones
personal en perodo de otros y no para ser usados bajo responsabilidad de inusuales.
vacaciones hayan sido los funcionarios de la IF, sin embargo, se
desactivados. identificaron que existen 25 usuarios genricos que
son utilizados por los Cajeros, para sus labores
diarias.
4.2. Identificar los Inefectivo La poltica "Definicin de Perfiles" elaborada por el Acceso a
perfiles y usuarios que rea de Seguridad de la Informacin de la IF, indica informacin
tengan las que: "Los responsables de las reas debern depurar confidencial y
transacciones/opciones y ratificar al menos una vez al ao, los perfiles de su ejecucin de
identificadas como rea'', sin embargo, de la revisin efectuada a una transacciones
crticas muestra de perfiles y transacciones crticas de la crticas por
aplicacin CV bajo la responsabilidad del rea Call personal que
Center, se identific a 5 usuarios que por la no debera
naturaleza de sus funciones y por el riesgo inherente tener
no deberan tener acceso a dichas opciones por asignado
ejemplo: Recaudaciones, Cuadre de la ventanilla, dichas
Anular/Reversar. transacciones
Adems, de la revisin efectuada a una muestra de
perfiles y transacciones crticas de la aplicacin CV
bajo la responsabilidad del rea Operativa,
identificamos opciones asignadas a 20 usuarios que
por la naturaleza de sus funciones y por el riesgo
inherente no deberan tener acceso a dichas
opciones. Por ejemplo:
Recaudaciones, Depsitos, Pago de Cheques,
Retiros, Configuracin de Oficinas
Tabla 3. 2 Hallazgos de vulnerabilidades Identificados y Riesgos Asociados

57
ACTIVIDADES
DE CONTROL
(DEFINIDAS EN
BASE A LAS
CONCLUSIN HALLAZGOS DE VULNERABILIDADES RIESGOS
GUAS DE
AUDITORA DE
COBIT 4.1 Y DE
LOS AUTORES)
6.2. Verificar los Inefectivo Existe operaciones de pago y depsito que no verifican - Procesar
controles el nombre y cuenta del cliente al momento de procesar la transacciones
automatizados transaccin, por lo que si el cajero de ventanilla digit de en cuentas
implementados forma incorrecta el nmero de la cuenta o si estuvo mal la incorrecta
para efectuar el cuenta en la papeleta de pago o depsito, la transaccin
registro de los se registrar con errores. - Reclamos de
datos los clientes por
De la revisin a la muestra de transacciones, se identifica transacciones
que en las siguientes no se realiza la validacin incorrectas
mencionada anteriormente:
- Pago de tarjetas de crdito
- Pago de Corporacin que produce cosmticos.
6.3. Verificar la Inefectivo La aplicacin CV para su adecuado funcionamiento utiliza Cambios no

existencia de un ciertos parmetros como: montos sobre los cuales se autorizados a
procedimiento solicita el ruteo para autorizacin de transacciones, los parmetros
para la nmero de retiros permitidos por da, entre otros, en la de la
modificacin de revisin identificamos que no existe un procedimiento aplicacin
las documentado para crear o modificar los parmetros de la
parametrizaciones aplicacin en el que se incluyan los pasos a seguir para
del sistema y realizar cambios a los parmetros, las personas que
validar su autorizan, ingresan y revisan los cambios.
cumplimiento
Dificultad para
La aplicacin CV no dispone de un log que almacene la detectar
informacin de los cambios a los parmetros, nicamente oportunamente
se cuenta con una tabla en la base de datos donde se cambios no
encuentran los parmetros vigentes del aplicativo. autorizados a
los parmetros
10.1. Revisar con Inefectivo En la revisin al reporte de problemas frecuentes, se Prdida de la
el rea usuaria los identifica que existen 30 registros de problemas que se imagen de la
errores ms presentan con recurrencia en la aplicacin CV y que IF ante sus
comunes en las fueron reportados en el primer trimestre del ao 2012 por clientes, por
funcionalidades el rea de tecnologa de la entidad, estos son: indisponibilidad
de la aplicacin - Servicios no disponibles en la aplicacin de los servicios
- La aplicacin no se encuentra disponible o presenta que ofrece la
lentitud aplicacin
Continuacin Tabla 3. 2 Hallazgos de vulnerabilidades Identificados y Riesgos Asociados

58
ACTIVIDADES
DE CONTROL
(DEFINIDAS
EN BASE A
LAS GUAS DE CONCLUSIN HALLAZGOS DE VULNERABILIDADES RIESGOS
AUDITORA DE
COBIT 4.1 Y
DE LOS
AUTORES)
12.3. Identificar Inefectivo La aplicacin CV tiene activado un log en el que se registra No
a qu niveles se informacin de las transacciones que realiza el cliente. Este identificacin
reporta la log no es monitoreado peridicamente, consecuentemente de
informacin no se informa las novedades registradas. transacciones
encontrada en inusuales
los logs de la Mediante la revisin peridica de estos logs podran
aplicacin identificarse actividades sospechosas, por ejemplo intentos
de acceso fallidos por repetidas ocasiones, transacciones
seguidas por montos elevados, entre otros.
14.1. Verificar la Inefectivo La norma "JB-2005 834 Gestin de Riesgo Operativo" de la - Interrupcin
4
existencia de Superintendencia de Bancos y Seguros del Ecuador (SBS) o paralizacin
procedimientos indica que: Todas las instituciones controladas debern de los
de contingencia contar con procedimientos de contingencia debidamente procesos que
tecnolgica, probados. Adems, los planes de contingencia deben incluir operan con la
operativa y su un cronograma y procedimientos de prueba y mantenimiento aplicacin.
adecuada del plan. Se identific que no se han realizado pruebas
aplicacin formales del plan de contingencia en caso de fallas en los - Sanciones
servidores de la aplicacin para garantizar la efectividad y el de la entidad
correcto funcionamiento del mismo. de control por
incumplimiento
de la norma
Continuacin Tabla 3. 2 Hallazgos de vulnerabilidades Identificados y Riesgos Asociados
3.2.2EVALUACIN DE RIESGOS
Una vez que los riesgos han sido identificados es necesario valorarlos, para ello se
requiere la determinacin y clculo de los criterios de anlisis de riesgo para lo cual
se puede utilizar dos mtodos usados frecuentemente, estos son:
- Mtodo cualitativo.- Son clasificaciones sencillas de significancia del riesgo

que pueden ser alto, medio bajo, con base en el juicio profesional del auditor
4
Entidad que regula y supervisa en el Ecuador el sistema financiero, de seguros privados y de seguridad social.
59
de SI y del conocimiento del negocio. Son los ms sencillos y ms

comnmente utilizados.
- Mtodo Cuantitativo.- Usan valores numricos o letras para describir la
significancia del riesgo en base al impacto y la probabilidad de ocurrencia de
los mismos.
Significancia del riesgo, es el grado o nivel de afectacin (alto, medio o bajo) que podra
tener un riesgo en la consecucin de un objetivo para la efectividad de las operaciones,
confiabilidad de la informacin o cumplimiento.
Tabla 3. 3 Definicin de Significancia de Riesgo
Para realizar el anlisis y la valoracin del riesgo se utilizar el Mtodo Cuantitativo,

en el cual es necesario elaborar las escalas de probabilidad e impacto. Esto con la
finalidad de obtener una calificacin del riesgo.
Para el presente trabajo se utilizar una matriz de modelo estndar para anlisis de
riesgo, que puede ser utilizada para cualquier organizacin en la cual se est
realizando auditora a sus aplicaciones o procesos de negocio.
60
MODELO PARA ANLISIS DE RIESGO ESTANDAR PARA UNA ORGANIZACIN
Probabilidad de que algo salga mal
Impacto del riesgo

Improbable Rara vez Ocasional Probable Frecuente
No es probable que No es probable Puede suceder Bastante Probable que suceda
Categora suceda. que suceda algunas veces. probable que inmediatamente o en un
pero es suceda alguna breve perodo de tiempo.
posible. vez.
CATASTRFICO
Puede ocasionar la suspensin del
M A A E E
negocio por un tiempo extendido o
su desaparicin.
CRTICO
Puede ocasionar daos personales
graves, daos materiales
B M A A E
importantes, prdida financiera
considerable y/o publicidad negativa
para la organizacin.
MARGINAL
Puede ocasionar daos personales
menores, daos materiales, prdida B B M M A
financiera y/o publicidad negativa
para la organizacin.
INSIGNIFICANTE
El peligro representa una amenaza
mnima a la seguridad y normal B B B B M
funcionamiento de la organizacin.
Riesgo Las actividades de esta categora contienen niveles de riesgo inaceptables, incluida la posibilidad de daos
E extremadamente catastrficos y crticos. Las empresas deben considerar la posibilidad de eliminar o modificar las actividades
alto que tienen una calificacin "E" luego de aplicar todas las estrategias de gestin de riesgo razonables.
Riesgo alto Las actividades de esta categora contienen riesgos potencialmente graves que, probablemente, pueden
A suceder. Se aconseja aplicar estrategias proactivas de gestin de riesgos para reducir el riesgo. Las
empresas deben considerar la manera de modificar o eliminar los riesgos inaceptables.
Riesgo moderado Las actividades de esta categora contienen algn nivel de riesgo que probablemente no suceda. Las
M
empresas deben considerar qu se podra hacer para gestionar el riesgo y evitar resultados negativos.
Riesgo bajo Las actividades de esta categora contienen un riesgo mnimo que probablemente no suceda. Las empresas
B
pueden continuar con estas actividades de acuerdo con lo planificado.
Tabla 3. 4 Modelo Estndar para anlisis de Riesgo.
Fuente: Instituto de Auditores Internos Auditora Basada en Riesgos

61
En la Tabla 3.5 se muestra la significancia de los riesgos en base al impacto y la

probabilidad de las vulnerabilidades halladas durante la auditora de la aplicacin,
para ello se utilizar la informacin descrita en las Tablas 3.2 y 3.4.
Hallazgo de las vulnerabilidades Riesgo Impacto Probabilidad Significancia

La poltica "Administracin de Usuarios"
elaborada por el rea de Seguridad de la
IF, indica que: "En ambiente de
Produccin ningn usuario mantendr el
estado de activo, cuando el empleado Acceso a
propietario del mismo, se encuentre transacciones e Crtico Ocasional Alto
definitivamente separado de la informacin
Institucin Financiera (IF)", sin embargo, confidencial por
de la revisin a los usuarios que tienen ex empleados
acceso a la aplicacin CV, se identific
que existen 7 personas que se
encuentran en la lista de ex empleados
de la IF y todava permanecen como
usuarios activos de la aplicacin que
tienen asignados opciones como:
"Retiros y Depsitos en cuentas de
clientes"
La poltica "Administracin de Usuarios"

elaborada por el rea de Seguridad de la
IF, indica que: Se generarn usuarios Imposibilidad de
genricos nicamente para identificar a deteccin de
los componentes o programas que usuarios que
realizan transacciones de batch, realizaron Crtico Rara vez Moderado
convivencia, entre otros y no para ser transacciones
usados bajo responsabilidad de los inusuales.
funcionarios de la IF, sin embargo, se
identificaron que existen 25 usuarios
genricos que son utilizados por los
Cajeros, para sus labores diarias.
Tabla 3. 5 Anlisis y Evaluacin de Riesgos

62
La poltica "Definicin de Perfiles"

elaborada por el rea de Seguridad
de la Informacin de la IF, indica que:
"Los responsables de las reas
debern depurar y ratificar al menos Acceso a
una vez al ao, los perfiles de su informacin
rea'', sin embargo, de la revisin confidencial y
efectuada a una muestra de perfiles y ejecucin de
transacciones crticas de la aplicacin transacciones Crtico Rara vez Moderado
CV bajo la responsabilidad del rea crticas por personal
Call Center, se identific a 5 usuarios que no debera tener
que por la naturaleza de sus asignado dichas
funciones y por el riesgo inherente no transacciones
deberan tener acceso a dichas
opciones por ejemplo:
Recaudaciones, Cuadre de la
ventanilla, Anular/Reversar
La poltica "Definicin de Perfiles",

menciona que "Los responsables de
las reas debern depurar y ratificar Acceso a
al menos una vez al ao, los perfiles informacin
de su rea'', sin embargo, de la confidencial y
revisin efectuada a una muestra de ejecucin de
perfiles y transacciones crticas de la transacciones Crtico Rara vez Moderado
aplicacin CV bajo la responsabilidad crticas por personal
del rea Operativa, identificamos que no debera tener
opciones asignadas a 20 usuarios asignado dichas
que por la naturaleza de sus transacciones
funciones y por el riesgo inherente no
deberan tener acceso a dichas
opciones. Por ejemplo:
Recaudaciones, Depsitos, Pago de

Cheques, Retiros, Configuracin de
Oficinas
Continuacin Tabla 3.5 Anlisis y Evaluacin de Riesgos

63
Existe operaciones de pago y depsito

que no verifican el nombre y cuenta del
cliente al momento de procesar la
transaccin, por lo que si el cajero de - Procesar
ventanilla digit de forma incorrecta el transacciones en
nmero de la cuenta o si estuvo mal la cuentas
cuenta en la papeleta de pago o incorrectas
depsito, la transaccin se registrar Crtico Ocasional Alto
con errores.- Reclamos de los
clientes por
De la revisin a la muestra de transacciones
transacciones, se identifica que en las incorrectas
siguientes no se realiza la validacin
mencionada anteriormente:
- Pago de Corporacin que produce
cosmticos.
La aplicacin CV para su adecuado

funcionamiento utiliza parmetros
como: montos sobre los cuales se Cambios no
solicita el ruteo para autorizacin de autorizados a los
transacciones, nmero de retiros parmetros de la Crtico Rara vez Moderado
permitidos por da, entre otros, en la aplicacin
revisin se identifica que no existe un
procedimiento documentado para crear
o modificar los parmetros de la
aplicacin en el que se incluyan los
pasos a seguir para realizar cambios a
los parmetros, las personas que
autorizan, ingresan y revisan los
cambios.
Dificultad para Marginal Probable Moderado

La aplicacin CV no dispone de un log detectar
que almacene la informacin de los oportunamente
cambios a los parmetros, nicamente cambios no
se cuenta con una tabla en la base de autorizados a los
datos donde se encuentran los parmetros
parmetros vigentes del aplicativo.

64

En la revisin al reporte de problemas Prdida de la Crtico Ocasional Alto
frecuentes, se identifica que existen imagen de la IF ante
30 registros de problemas que se sus clientes, por
presentan con recurrencia en la indisponibilidad de
aplicacin CV y que fueron reportados los servicios que
en el primer trimestre del ao 2012 ofrece la aplicacin
por el rea de tecnologa de la
entidad, estos son:
- Servicios no disponibles en la
aplicacin
- La aplicacin no se encuentra
disponible o presenta lentitud
La aplicacin CV tiene activado un No identificacin de Marginal Probable Moderado
log en el que se registra informacin transacciones
de las transacciones que realiza el inusuales
cliente. Este log no es monitoreado
peridicamente, consecuentemente
no se informa las novedades
registradas.
La norma "JB-2005 834 Gestin de

Riesgo Operativo" de la
Superintendencia de Bancos y Interrupcin o
Seguros del Ecuador (SBS) indica paralizacin de los
que: Todas las instituciones procesos que
controladas debern contar con operan con la
procedimientos de contingencia aplicacin
debidamente probados. Adems, los
planes de contingencia deben incluir Sanciones de la Crtico Probable Alto
un cronograma y procedimientos de entidad de control
prueba y mantenimiento del plan. Se por incumplimiento
identific que no se han realizado de la norma
pruebas formales del plan de
contingencia en caso de fallas en los
servidores de la aplicacin para
garantizar la efectividad y el correcto
funcionamiento del mismo.

65
3.3. ELABORACIN DEL INFORME FINAL
Previo al informe final de auditora, se debe elaborar el borrador del mismo, que
contendr los resultados obtenidos en el proceso de auditora, los cuales sern
comunicados a los representantes de la entidad auditada e involucrado en el
proceso. Posterior a la revisin de este documento el mismo constituir como base
para la elaboracin del informe final de auditora.
Segn el Manual de Preparacin al Examen CISA 2011, los informes de auditora

son el producto final del trabajo de auditora de SI. Son usados por el auditor de SI
para reportar a la gerencia sus hallazgos y recomendaciones.
De acuerdo al concepto anterior, el informe final es el resultado del proceso de

auditora, en el cual el auditor describe a los niveles de gerencia de la entidad, los
hallazgos identificados en base a los controles inefectivos y las recomendaciones
para mitigar los riesgos asociados. No se incluir en el informe criterios sobre los
controles efectivos.
No existe un formato exacto de un informe de auditora, vara en cada organizacin

dependiendo de las polticas y procedimientos utilizados. Sin embargo un patrn
comn de informe tiene la siguiente estructura y contenido:
- Identificacin del informe.- Nombre identificativo.
- Identificacin del cliente.- Destinatarios y personas que solicitan la auditora.
- Identificacin de la entidad auditada.- Organizacin/entidad/rea objeto de

la auditoria.
- Normativa aplicada.- Identificar las normas legales y profesionales. Ejemplo:

COBIT 4.1, ISO 27002, entre otros.
66
- Alcance de la auditoria.- Naturaleza y extensin del trabajo.
- Periodo de la auditoria.- Definir las fechas en las cuales se inicia y termina la

auditora.
- Limitaciones al alcance.- Detallar lo que no se realizar en la auditora,

ejemplo: No se auditar los controles de procesamiento batch.
- Informe Resultados Dictamen Opiniones y Prrafos de salvedades

en caso de ser necesarios. Se deben colocar todas las observaciones
agrupadas por objetivos principales y sus respectivas recomendaciones
resumidas, adems, por cada objetivo se debe emitir una opinin.
- Respuestas del auditado.- Acciones que se van a tomar para cubrir o mitigar
los riesgos identificados.
- Plazo de implementacin.- El auditado debe otorgar el plazo y las acciones

necesarias para cubrir las recomendaciones emitidas.
A continuacin se presenta el informe final de la aplicacin CV, en base a la

informacin descrita en la Tabla 3.5
67
INFORME DE AUDITORA DE LA APLICACIN CAJERO DE VENTANILLA
Identificacin del 01-2012-ACV Aplicacin Cajero de Ventanillas

informe
Entidad: Institucin Financiera
Aplicacin Auditada Cajero de Ventanillas
Normativa utilizada
Directrices del Marco de Trabajo COBIT 4.1.
Alcance
La auditora cubre la verificacin de los siguientes controles y seguridades dela

aplicacin Cajero de Ventanilla:
- Revisin de los usuarios que tienen asignado en los perfiles, transacciones

definidas como crticas.
- Verificacin de los parmetros de seguridad de la contrasea de acceso.
- Verificacin de controles para evitar errores o duplicacin en el registro de la
informacin de las opciones crticas: ingreso y aprobacin de transacciones,
cierre de caja, cuadres y parametrizacin.
- Revisin y anlisis de pistas de auditora.
- Validacin de usuarios, roles y privilegios en la base de datos de la aplicacin.
- Revisin del esquema de respaldos y plan de contingencia.
Periodo de la auditora
El proceso de auditora se realiz en el segundo trimestre del ao 2012.
Limitaciones al alcance
No se presentaron limitaciones en el alcance de la auditora.

68
Resultados
Los resultados detallados a continuacin han sido desarrollados en base a los
hallazgos identificados.
Revisin de la administracin de usuarios y perfiles

Se debe realizar las siguientes actividades:
- Revisin del listado de usuarios activos en la aplicacin, con los perfiles y

opciones asignadas.
- Revisin de las siguientes polticas: Administracin de Usuarios, Definicin de
Perfiles.
- Revisin del procedimiento: Manual de Procedimientos de Mantenimiento de
Usuarios, entregados por el Departamento de Seguridad de la Informacin.
Observacin No. 1. La poltica "Administracin de Usuarios" elaborada por el rea

de Seguridad de la IF, indica que: "En ambiente de Produccin
Usuarios correspondientes ningn usuario mantendr el estado de activo, cuando el
a ex empleados activos en empleado propietario del mismo, se encuentre definitivamente
la aplicacin. separado de la Institucin Financiera (IF)", sin embargo, de la
revisin a los usuarios que tienen acceso a la aplicacin CV,
se identific que existen 7 personas que se encuentran en la
lista de ex empleados de la IF y todava permanecen como
usuarios activos de la aplicacin que tienen asignados
opciones como: "Retiros y Depsitos en cuentas de clientes"
Riesgo: Acceso a transacciones e informacin confidencial por ex
empleados.
Nivel de Riesgo: Alto.
Recomendaciones: Eliminar inmediatamente a los usuarios correspondientes a ex
empleados de todos los aplicativos a los cuales tengan acceso.
Cumplir con la poltica de "Administracin de Usuarios" en lo
referente a la eliminacin de los usuarios correspondientes a
ex empleados.
rea Responsable: Seguridad de la Informacin de la IF.
Comentarios del Se proceder a la eliminacin de los accesos de los ex
auditado: empleados
Fecha de implementacin Septiembre 30, 2012
acordada:
Tabla 3. 6 Anlisis de la Observacin 1 - Usuarios : ex - empleados

69
La poltica "Administracin de Usuarios" elaborada por el rea

Observacin No. 2 de Seguridad de la IF, indica que: Se generarn usuarios
Uso de usuarios genricos nicamente para identificar a los componentes o
genricos en ambiente de programas que realizan transacciones de batch, convivencia,
produccin entre otros y no para ser usados bajo responsabilidad de los
funcionarios de la IF, sin embargo, se identificaron que existen
25 usuarios genricos que son utilizados por los Cajeros, para
sus labores diarias.
Riesgo: Dificultad para identificar quin ejecut posibles transacciones

inusuales.
Nivel de Riesgo: Moderado
Recomendaciones: Analizar inmediatamente el uso de los usuarios genricos por
parte de los empleados de la IF y considerar la posibilidad de
proceder a eliminar dichos usuarios.
rea Responsable : Seguridad de la Informacin IF

Comentarios del Se proceder a realizar un anlisis de los usuarios genricos
auditado: utilizados y del resultado de este anlisis se proceder no a la
eliminacin de los mismos.
Fecha de Diciembre 31, 2012

implementacin
acordada:
Tabla 3. 7 Anlisis Observacin 2 - Uso de usuarios genricos
La poltica "Definicin de Perfiles" elaborada por el rea de

Observacin No. 3 Seguridad de la Informacin de la IF, indica que: "Los
responsables de las reas debern depurar y ratificar al menos
Usuarios sin depurar una vez al ao, los perfiles de su rea'', sin embargo, de la revisin
Call Center efectuada a una muestra de perfiles y transacciones crticas de la
aplicacin CV bajo la responsabilidad del rea Call Center, se
identific a 5 usuarios que por la naturaleza de sus funciones y por
el riesgo inherente no deberan tener acceso a dichas opciones por
ejemplo:
Recaudaciones, Cuadre de la ventanilla, Anular/Reversar.
Riesgo: Acceso a informacin confidencial y ejecucin de transacciones

crticas por personal que no debera tener asignado dichas
transacciones.

70
Recomendaciones: Solicitar al rea de Seguridad de la Informacin de la IF la

eliminacin de las opciones de la aplicacin CV de los usuarios
que por la naturaleza de sus funciones no deberan tener acceso a
dichas opciones
rea Responsable : Call Center IF

Comentarios del Se proceder a eliminar las opciones de los perfiles y de ser el
auditado: caso se proceder a eliminar los usuarios que no deban acceder a
dichas opciones
Fecha de Noviembre 30, 2012

implementacin
acordada:
Tabla 3. 8 Anlisis Observacin 3 - Usuarios sin depurar Call Center.
La poltica "Definicin de Perfiles", menciona que "Los responsables

Observacin No.4 de las reas debern depurar y ratificar al menos una vez al ao, los
perfiles de su rea'', sin embargo, de la revisin efectuada a una
Usuarios sin depurar muestra de perfiles y transacciones crticas de la aplicacin CV bajo
rea Operativa la responsabilidad del rea Operativa, identificamos opciones
asignadas a 20 usuarios que por la naturaleza de sus funciones y
por el riesgo inherente no deberan tener acceso a dichas opciones.
As por ejemplo tenemos:
Recaudaciones, Depsitos, Pago de Cheques, Retiros,
Configuracin de Oficinas
Riesgo: Acceso a informacin confidencial y ejecucin de transacciones

crticas por personal que no debera tener asignado dichas
transacciones.

Recomendacin: Solicitar al rea de Seguridad de la Informacin de la IF la
eliminacin de las opciones de la aplicacin CV de los usuarios que
por la naturaleza de sus funciones no deberan tener acceso a
dichas opciones.
rea Responsable : rea Operativa IF.

Comentarios del Se solicitar la eliminacin de las opciones de la aplicacin de los
auditado: usuarios que no requieren tener acceso.

implementacin
acordada :
Tabla 3. 9Anlisis Observacin 1- Usuarios sin depurar rea operativa.

71
Revisin de los controles implementados en el ingreso de datos

- Pruebas con los usuarios de la aplicacin Cajero de Ventanilla.

- Pruebas para verificar los controles implementados para efectuar el correcto
registro de los datos.
- Verificacin de la existencia de parmetros ingresados en la aplicacin y su
administracin de acuerdo a las polticas establecida por la IF para ello.
Existe operaciones de pago y depsito que no verifican el nombre
Observacin No.5. y cuenta del cliente al momento de procesar la transaccin, por lo
que si el cajero de ventanilla digit de forma incorrecta el nmero
Transacciones sin de la cuenta o si estuvo mal la cuenta en la papeleta de pago o
validacin previa. depsito, la transaccin se registrar con errores.
De la revisin a la muestra de transacciones, se identifica que en
las siguientes no se realiza la validacin mencionada
anteriormente:
-Pago de tarjetas de crdito
-Pago de Corporacin que produce cosmticos.
Riesgos - Procesar transacciones en cuentas incorrectas.

- Reclamos de los clientes por transacciones incorrectas.
Nivel de Riesgo: Alto.

Recomendaciones: Solicitar al rea de Tecnologa de la IF realice los cambios en la
aplicacin CV para que el cajero de ventanilla pueda validar la
cuenta y datos del cliente antes de procesar la transacciones, en la
muestra se identificaron las siguientes transacciones:

-Pago de Corporacin que produce cosmticos.
rea Responsable rea Operativa IF
Comentarios del Se gener un proyecto para mejoras del aplicativo, en el cul se

auditado: incluirn estas validaciones.
Fecha de Marzo 31, 2013

implementacin
acordada:
Tabla 3. 10 Anlisis Observacin 5- Transacciones sin validacin previa.

72
Revisin de los parmetros y logs de auditora
Se realizaron pruebas con los usuarios de la aplicacin Cajero de Ventanilla.
La aplicacin CV para su adecuado funcionamiento utiliza ciertos

Observacin No.6 parmetros como: montos sobre los cuales se solicita el ruteo
para autorizacin de transacciones, nmero de retiros permitidos
Procedimiento para por da, entre otros, en la revisin se identifica que no existe un
parametrizacin, no procedimiento documentado para crear o modificar los
documentado. parmetros de la aplicacin en el que se incluyan los pasos a
seguir para realizar cambios a los parmetros, las personas que
autorizan, ingresan y revisan los cambios.
Riesgo : Cambios no autorizados a los parmetros de la aplicacin.
Nivel de Riesgo: Moderado.

Recomendaciones : Definir, aprobar y difundir un procedimiento para la modificacin
de los parmetros de la aplicacin CV de la IF que incluya lo
siguiente:
- Pasos a seguir para realizar cambios en los parmetros
- Responsables que autorizan, ingresan y revisan los cambios
para verificar que no se hayan realizado cambios no autorizados.
rea responsable: rea Operativa IF.
Comentarios del Se elaborar un procedimiento para la modificacin de
auditado: parmetros de la aplicacin.
implementacin
acordada:
Tabla 3. 11 Anlisis Observacin 6 - Procedimientos para parametrizacin, no documentado
Evaluacin de los logs de auditora de la aplicacin

- Revisin de la existencia de logs de auditora para las principales
transacciones de la aplicacin.
- Validacin de la existencia de revisiones peridicas de estos logs.
73
La aplicacin CV no dispone de un log que almacene la

Observacin No.7 informacin de los cambios a los parmetros, nicamente se
cuenta con una tabla en la base de datos donde se encuentran los
Aplicacin sin log de parmetros vigentes del aplicativo.
parametrizacin.
Riesgo Dificultad para detectar oportunamente cambios no autorizados a

los parmetros
Nivel de Riesgo Moderado
Recomendaciones Solicitar al rea de Tecnologa de la IF la implementacin de un

log que almacene la transaccin mediante la cual se realizaron las
modificaciones a los parmetros de la aplicacin CV
- Realizar una revisin peridica a estos logs dejando las
respectivas evidencias
rea Responsable rea Operativa
Comentarios del Se solicitar al rea Tecnologa de la IF la implementacin de un

auditado: log que registre los cambios a los parmetros del aplicativo.

implementacin
acordada
Tabla 3. 12 Anlisis Observacin 8 Aplicacin sin log de parametrizacin

74
Observacin No.8 La aplicacin CV tiene activado un log en el que se registra

informacin de las transacciones que realiza el cliente. Este log no
Falta de revisin de es monitoreado peridicamente, consecuentemente no se informa
logs las novedades registradas
Riesgo No identificacin de transacciones inusuales
Nivel de Riesgo Moderado
Recomendaciones : Realizar una revisin peridica a estos logs y registrar las

respectivas evidencias de los eventos encontrados.
rea/Responsable : rea Operativa
Comentarios del Se realizarn las revisiones de log transaccional de la aplicacin

auditado: cuando haya algn reclamo de los clientes o requerimiento oficial
que involucre informacin mayor a los 15 das. Se realizar una
primera revisin en el mes de octubre del 2012
Fecha de
implementacin Octubre 31, 2012
acordada :
Tabla 3. 13 Anlisis Observacin 8 - Falta de revisin de logs.
Revisin de errores y necesidades en la funcionalidad de la aplicacin
- Revisin de los reportes de problemas frecuentes presentados en la

aplicacin.
- Verificacin de que las soluciones presentadas para corregir los problemas

eran las efectivas.
75
En la revisin al reporte de problemas frecuentes, se identifica que

Observacin No.9 existen 30 registros de problemas que se presentan con
recurrencia en la aplicacin CV y que fueron reportados en el
Problemas frecuentes primer trimestre del ao 2012 por el rea de tecnologa de la
de la aplicacin entidad, estos son:
-Servicios no disponibles en la aplicacin
-La aplicacin no se encuentra disponible o presenta lentitud
Riesgo Prdida de la imagen de la IF ante sus clientes, por indisponibilidad

de los servicios que ofrece la aplicacin
Nivel de Riesgo Alto
Recomendaciones - Realizar un anlisis de los problemas frecuentes presentados,

definir e implementar las acciones correctivas para evitar que estos
problemas se sigan presentando
rea/Responsable rea de Tecnologa IF

Comentarios del Se propondr un proyecto para corregir los errores frecuentes
auditado: presentados en la aplicacin.

implementacin
acordada
Tabla 3. 14 Anlisis Observacin 9 - Problemas frecuentes de la aplicacin.
Revisin de las contingencias
- Revisin de los planes de contingencia tecnolgicos y operativos definidos en

caso de prdidas del servicio de la aplicacin.
- Verificacin si los planes de contingencia definidos son los adecuados y van
de acuerdo a las necesidades del negocio
- Verificacin si los planes son probados de forma continua y si los resultados
son documentados.
76
Observacin No.10 La norma "JB-2005 834 Gestin de Riesgo Operativo" de la

Superintendencia de Bancos y Seguros del Ecuador (SBS) indica
Planes de contingencia que: Todas las instituciones controladas debern contar con
no probados procedimientos de contingencia debidamente probados. Adems,
los planes de contingencia deben incluir un cronograma y
procedimientos de prueba y mantenimiento del plan. Se identific
que no se han realizado pruebas formales del plan de contingencia
en caso de fallas en los servidores de la aplicacin para garantizar
la efectividad y el correcto funcionamiento del mismo.
Riesgos : - Interrupcin o paralizacin de los procesos que operan con la

aplicacin
- Sanciones de la entidad de control por incumplimiento de la
norma.
Nivel de Riesgo: Alto
Recomendaciones: Realizar pruebas del procedimiento de contingencia definido para

el aplicativo CV, documentarlas y preparar informes con los
resultados de las pruebas
rea/Responsable: rea de Tecnologa IF
Comentarios del Se realizar un anlisis de los recursos necesarios para la

auditado: ejecucin de las pruebas al plan de contingencia, con el resultado
de este anlisis se proceder a la realizacin o no de las pruebas.
implementacin
acordada :
Tabla 3. 15 Anlisis Observacin 10 - Planes de contingencia no probados

77
En la siguiente tabla se resume la procedencia de cada una de las

observaciones descritas en el informe final de acuerdo al proceso de auditora
realizado y que se detalla en el Anexo 4: Relevamiento y Ejecucin de la
Auditora.xlsx
Nmero de Nombre de la Observacin Directriz de COBIT Objetivo de Control

Observacin 4.1 detallado de COBIT
4.1
1 Usuarios correspondientes a DS5 Garantizar la DS5.3 Gestin de
ex empleados activos en la
Seguridad de los Identidad.
aplicacin.
Sistemas DS5.4 Gestin de
cuentas de usuario
2 Uso de usuarios genricos en DS5 Garantizar la DS5.3 Gestin de
ambiente de produccin Seguridad de los Identidad.
Sistemas DS5.4 Gestin de
cuentas de usuario
3 Usuarios sin depurar Call DS5 Garantizar la DS5.3 Gestin de
Center
Seguridad de los Identidad.
Sistemas
4 Usuarios sin depurar rea DS5 Garantizar la DS5.3 Gestin de
Operativa Seguridad de los Identidad.
Sistemas
5 Transacciones sin validacin AC2 Recoleccin y AC2 Recoleccin y
previa.
entrada de entrada de
informacin fuente informacin fuente
AC3 Verificaciones AC3 Verificaciones
de exactitud, de exactitud,
totalidad y totalidad y
autenticidad autenticidad
6 Procedimiento para AC2 Recoleccin y AC2 Recoleccin y
parametrizacin, no entrada de entrada de
documentado. informacin fuente informacin fuente
78

7 Aplicacin sin log de AC2 Recoleccin y AC2 Recoleccin y
parametrizacin.
entrada de entrada de
informacin fuente informacin fuente
8 Falta de revisin de logs AI2 Adquirir y AI 2.3 Control y
mantener software auditabilidad de las
aplicativo aplicaciones
9 Problemas frecuentes de la DS10 Gestionar DS 10.1
aplicacin
Problemas Identificacin y
clasificacin de
problemas
10 Planes de contingencia no DS3 Gestionar el DS3.4 Disponibilidad
probados
desempeo y la de recursos de TI
capacidad DS4.2 Planes de
DS4 Garantizar la continuidad de TI
continuidad del DS4.4
servicio Mantenimiento del
plan de continuidad
de TI
DS4.8 Recuperacin
y reanudacin de los
servicios de TI.
Tabla 3. 16 Procedencia de las Observaciones del Informe Final

79
CAPITULO 4: CONCLUSIONES Y RECOMENDACIONES
4.1. CONCLUSIONES
- Para el desarrollo del presente trabajo fue importante la utilizacin del marco
de referencia COBIT4.1, que permiti evaluar los controles de la aplicacin
informtica, utilizada como caso de estudio en la institucin financiera, con el
objetivo de ayudar a que la aplicacin informtica est alineada con los
objetivos del negocio.
- Cada auditor debe ajustar los objetivos de control propuestos a la realidad de

la empresa y de la aplicacin informtica que se va auditar. No existe un
estndar al cual se deba regir de forma obligatoria para la ejecucin de una
auditora.
- Para la ejecucin del presente trabajo fue necesario realizar varias tareas y
actividades de revisin en la institucin financiera, que sustenten las
observaciones identificadas y el anlisis del presente trabajo; stas se
detallan en el Anexo 5: Documentos Ejecucin Auditora de la Aplicacin
Cajero de Ventanillas.
- Si durante la ejecucin de la auditora, el Auditor de Sistemas de Informacin

identifica que un control est mal diseado, incompleto, mal implementado o
simplemente no existe, ste puede decidir incluir algunas pruebas que
permitan fundamentar la integridad del procesamiento de informacin, estas
pruebas son las llamadas pruebas sustantivas.
- En la ejecucin de una Auditora de Aplicaciones Informticas, se debe poner

nfasis en la revisin de los usuarios internos y sus opciones asignadas a
travs de los perfiles de acceso, la incorrecta asignacin de stos, es a
menudo una causa principal de problemas a nivel interno en las entidades.
80
- Durante la ejecucin de la auditora, el auditor de Sistemas de Informacin en

base a las pruebas realizadas en cada objetivo de control, determina si un
control es efectivo o inefectivo, en base a este ltimo se determina los
hallazgos de vulnerabilidades que se incluirn en el informe de auditora.
- En el informe de auditora se reportan los hallazgos de vulnerabilidades con la

finalidad de emitir las recomendaciones necesarias para la mitigacin de los
riesgos que stas pueden presentar. Adems, se pueden incluir comentarios
constructivos sobre procesos y controles efectivos y existentes.
- El informe de auditora debe contener las respuestas y plazos de cumplimiento

dados por los representantes e involucrados de la entidad auditada, a las
recomendaciones emitidas para mitigar los riesgos de los hallazgos de
vulnerabilidades, caso contrario los riesgos identificados deben ser asumidos
por la gerencia de la entidad auditada.
- En la ejecucin de la auditora se han encontrado 10 hallazgos de los cuales

el 40 % (4) tienen asociados riesgos de significancia Alto y el 60 % (6) de
riesgo Moderado, esta informacin debe ser transmitida a la gerencia de la
institucin financiera para su gestin en la elaboracin de planes de accin
para mitigar los hallazgos de vulnerabilidades que generan mayor riesgo a la
institucin.
81
4.2. RECOMENDACIONES
- El anlisis realizado en el presente trabajo puede ser utilizado como base para
la auditora de aplicaciones informticas. Adems, se puede incluir otras
directrices como las mencionadas en el Anexo 2: Interrelacin de los Marcos
de Trabajo COBIT-ITIL-ISO27002 y propias de COBIT 4.1.
- Se debe tomar en cuenta el conocimiento de la organizacin, del proceso o de

la aplicacin objeto de la auditora, con el fin de definir de forma correcta el
programa de auditora y establecer el tiempo que tomar la ejecucin de la
misma.
- Definir de forma correcta el alcance de la auditora, es un factor importante

para el cumplimento de la misma, pues en esta fase se identifican las
directrices de su realizacin.
- Se recomienda tomar en cuenta variables como el tamao de la organizacin,

la cantidad de procesos a evaluar, la metodologa a utilizar, conformacin del
equipo auditor, entre otros, para que el resultado de la planificacin sea
adecuada.
- Se debe recopilar la evidencia necesaria que justifique las novedades o

hallazgos identificados en la auditora, sin esta evidencia, una condicin
reportable u observacin puede ser eliminada del informe final.
- Se debe presentar claramente los hallazgos de vulnerabilidades y los riesgos

que implican para la entidad, de tal manera que la entidad auditada asuma las
propuestas para implantar las recomendaciones como objetivos de la
organizacin.
82
- No se debe ignorar las debilidades de control solo porque stas se encuentren

fuera del alcance de una revisin, si existen debilidades que el auditor ha
identificado, stas deben ser reportadas e informadas.
- La entidad auditada debe prestar atencin a los riesgos identificados, para

implementar las recomendaciones emitidas en el proceso de auditora con la
finalidad de prevenir a la organizacin posibles intentos de fraude y colusin
utilizando la aplicacin.
- En el proceso de auditora, los auditores deben actuar con escepticismo

profesional y centrarse en torno a verificar la eficacia de los controles
implementados ya que la probabilidad de descubrir posibles actividades
fraudulentas aumentan; Dudar de todo hasta que demuestren lo contrario.
- Los hallazgos de vulnerabilidades de significancia BAJA pueden ser incluidos

en el informe de auditora, no como una observacin sino como una
oportunidad de mejora, o ser presentados de forma independiente a travs de
un memorando.
- Se puede recomendar a la gerencia de la entidad auditada el definir un

periodo de tiempo posterior a la emisin del informe de auditora, para realizar
la verificacin al cumplimiento de las acciones correctivas acordadas por las
reas auditadas.
- Se debe emitir recomendaciones que sean realistas y de acuerdo a los

requerimientos de la entidad auditada.
83
BIBLIOGRAFA
AGERS. (s.f.). Gua ISO/CEI 73. Recuperado el Julio de 2012, de Asociacin

Espaola, Gerencia de Riesgos y Seguros:
http://www.agers.es/pdf/noticiasinteres/Guia_ISO-CEI_73.pdf
BANDA, H. A., & CARRILLO, P. (Octubre de 2011). Curso COBIT 4.1.
BETANZOS Rodriguez, A. I. (Diciembre de 2011). Auditora y Control de Sistemas de

Informacin en Tecnologa. Recuperado el Enero de 2012, de
http://www.gestiopolis.com/finanzas-contaduria-2/auditoria-control-sistemas-de-
informacion-en-tecnologia.htm
CRESPO, A. (Julio de 2008). ITIL V3- la versin ms estratgica de este cdigo de

buenas prcticas. Recuperado el Febrero de 2012, de
http://www.techweek.es/estandares/informes/1003446002901/itil-v3-version-mas-
estrategica.1.html
ERB, M. (s.f.). Gestin de Riesgo en la Seguridad Informtica. Recuperado el Julio

de 2012, de http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
GONZALO Alonso, F. (junio de 2005). Gerencia de riesgos Introduccin (I/III).

Recuperado el agosto de 2012, de Asociacin Colegio Nacionalde Ingenieros del
ICAI: www.icai.es/publicaciones/anales_get.php?id=472
ISACA. (2008). Alineando COBIT 4.1,ITIL v3, ISO/IEC 27002 en Beneficio del
Negocio. Recuperado el Octubre de 2011, de http://www.isaca.org/Knowledge-
Center/Research/Documents/Alineando-Cobit-4.1,-ITIL-v3-y-ISO-27002-en-beneficio-
de-la-empresa-v2,7.pdf
ISACA. (2011). Certified Information System Auditor-Manual de Preparacin al

Exmen CISA 2011 .
ISACA. (2007). COBIT 4.1. Recuperado el Diciembre de 2010, de

http://www.isaca.org/Knowledge-Center/cobit/Documents/cobiT4.1spanish.pdf
ISACA. (2011). COBIT 5 InitiativeWork Plan Overview. Recuperado el Diciembre

de 2011, de http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-5-Initiative-
Status-Update.aspx
ISACA. (2009). Cobit and Application Controls A Management Guide. Recuperado

el Junio de 2011, de http://www.isaca.org/Knowledge-
84
Center/Research/ResearchDeliverables/Pages/COBIT-and-Application-Controls-A-
Management-Guide.aspx
ISACA. (2007). COBIT Objetivos de Control 3a Edition .
ISACA. (2007). COBIT Security Baseline An Information Security Survival Kit 2nd
Edition. Recuperado el Agosto de 2012, de http://www.isaca.org/Knowledge-
Center/Research/ResearchDeliverables/Pages/COBIT-Security-Baseline-An-
Information-Security-Survival-Kit-2nd-Edition1.aspx
ISACA. (Diciembre de 2008). IS AUDITING GUIDELINE-G14 APPLICATION

SYSTEM REVIEWS. Recuperado el Diciembre de 2011, de
http://www.isaca.org/Knowledge-Center/Standards/Documents/G14-AppSysRev-
15Oct08.pdf
ISACA. (2007). IT Assurance Guide . Recuperado el mayo de 2012, de www.itgi.org
ISACA. (2007). IT Assurance Guide: Using COBIT . Recuperado el julio de 2011, de

http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/IT-
Assurance-Guide-Using-COBIT.aspx
Resumen de COBIT 4.1. (s.f.). Recuperado el Abril de 2011, de

http://auditoriasistemasucb.pbworks.com/f/ProcesosCOBIT41_ig.pdf
SDI, S. D. (2009). ITIL V3 Service Management Foundation. Recuperado el Julio de

2012, de http://www.sdila.com
Universidad de, Sevilla. (Octubre de 2004). Introduccion a las Aplicaciones WEB.

Recuperado el Noviembre de 2011, de Departamento de Lenguaje y Sistemas
Informticos: http://www.lsi.us.es/docencia/get.php?id=352
Universidad, de. Alicante. (2006). Qu es una aplicacin Web. Recuperado el

Noviembre de 2011, de Departamente de Lenguaje y Sistemas:
http://rua.ua.es/dspace/bitstream/10045/4412/5/03c-AplicacionesWeb.pdf
85
GLOSARIO
ASP: Es un fichero de slo texto que contiene las secuencias de comandos, junto
con el HTML necesario.
CGI: Son programas que se ejecutan en el servidor, pueden servir como pasarela
con una aplicacin o base de datos o para generar documentos html de forma
automtica.
HTTP: Protocolo de la capa de aplicacin, que permite el servicio de transferencia

de pginas de hipertexto entre el cliente WEB y los servidores.
IP: Protocolo de la capa de Red, que permite definir la unidad bsica de
transferencia de datos y se encarga del direccionamiento de la informacin, para
que llegue a su destino en la red.
ISACA: Organizacin global sin fines de lucro que establece las pautas para los
profesionales de gobernacin, control, seguridad y auditora de informacin.
Proveedor de conocimiento, certificaciones, comunidad, apoyo y educacin en
seguridad y aseguramiento de sistemas de informacin, gobierno empresarial,
administracin de TI as como riesgos y cumplimiento relacionados con TI.
JSP: Segmentos de cdigo en Java que se insertan dentro de pginas web, de
forma anloga a los ASPs.
PHP : Lenguaje cuyos programas se insertan tambin dentro de las pginas web, al
igual que los ASPs y JSPs.
Servlets: Programas en Java que se ejecutan de forma persistente en el servidor, y
que, por lo tanto, tienen una activacin muy rpida, y una forma ms simple de
hacerlo. Estos programas procesan una peticin y generan la pgina de respuesta.
TCP: Protocolo de la Capa de Transporte, que permite dividir y ordenar la
informacin a transportar en paquetes de menor tamao para su transporte y
recepcin.
86
ANEXOS
Anexo 1: Directrices de auditora de Sistemas de Informacin definidas por ISACA.

Anexo 2: Interrelacin de los Marcos de Trabajo COBIT-ITIL-ISO27002.
Anexo 3: Matriz para Definir el Alcance de Auditora.
Anexo 4: Relevamiento y Ejecucin de la Auditora
Anexo 5: Documentos Ejecucin Auditora de la Aplicacin CV.

CD 4651 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CD 4651 PDF

Transféré par

Droits d'auteur :

Formats disponibles

ESCUELA POLITCNICA NACIONAL

FACULTAD DE INGENIERA DE SISTEMAS

APLICACIN DE COBIT 4.1 EN LA AUDITORA DE UNA

PROYECTO PREVIO A LA OBTENCIN DEL TTULO DE INGENIERO EN

CORAISACA AREVALO JENNY LOURDES

LLUMIQUINGA PILLAJO CSAR FERNANDO

DIRECTOR: ING. ANDRS LARCO

QUITO, NOVIEMBRE 2012

Nosotros, Jenny Lourdes Coraisaca Arvalo y Csar Fernando Llumiquinga Pillajo,

A travs de la presente declaracin cedemos nuestros derechos de propiedad

Jenny Lourdes Coraisaca Arvalo Csar Fernando Llumiquinga Pillajo

Ing. Andrs Larco

Agradezco a mi madre por el sacrificio y amor que ha demostrado para ofrecerme su

A mi abuelita que con sus consejos y oraciones siempre me ha llenado de buenas

A mi compaero Fernando por su dedicacin en la culminacin de este proyecto y

A Lenin, por su paciencia y comprensin para la realizacin de este trabajo.

Quiero empezar agradeciendo a las personas ms importantes de mi vidaMi mami

Gracias a mis compaeros de trabajo especialmente a Jessy y Alejita que creyeron

Tambin, quiero agradecer a mis amigos y compaeros de carrera, que me

Finalmente un sincero agradecimiento a Andrs Larco, nuestro tutor de tesis y amigo,

A mi madre, abuelita y hermana, quienes siempre han estado apoyndome en todo

2.1.2.1 Servidores ............................................................................................... 31

Figura 1. 1 Arquitectura Bsica Aplicacin Web.......................................................... 5

La evolucin de los sistemas de informacin en las instituciones financieras del

El presente trabajo de Auditora Informtica, se ha realizado a la aplicacin web

La propuesta de auditora permitir seleccionar los objetivos de control a ser

Con los hallazgos de vulnerabilidades, los riesgos asociados a stas y las

Por razones de seguridad y confidencialidad de la informacin, no se mencionar el

El presente proyecto de titulacin est compuesto de cuatro captulos y anexos, que

En el Captulo I se define los principales conceptos que intervienen en la auditora

En el Captulo II se detallan las caractersticas de la aplicacin que va a ser auditada,

En el Captulo III se presenta la ejecucin de la auditora de la aplicacin informtica

Finalmente en el Captulo IV se presentan las conclusiones y recomendaciones del

CAPITULO 1 - MARCO TERICO

El presente captulo define los principales conceptos que intervienen en la auditora

1.1 AUDITORA DE APLICACIONES INFORMTICAS TIPO WEB

1.1.1 AUDITORA DE SISTEMAS DE INFORMACIN

- Antes de que el sistema de aplicacin entre en produccin (pre-ejecucin) y

Los objetivos y el alcance de una auditora de aplicaciones, pueden variar pero

1.1.2 APLICACIONES WEB

Figura 1. 1Arquitectura Bsica Aplicacin Web

1.1.3 MARCO DE TRABAJO DE COBIT 4.1

- Direccin ejecutiva.- Para obtener valor de las inversiones y para balancear

COBIT se divide en tres niveles: Dominios, Procesos y Actividades

Figura 1. 2 Estructura COBIT 4.1

Dominios.- Agrupacin natural de procesos, normalmente corresponden a un

Procesos.- COBIT subdivide a TI en 34 procesos de acuerdo a las reas de

- Aplicaciones.- Entendido como los sistemas de informacin, que integran

Actividades.- Acciones requeridas para lograr un resultado medible.

Figura 1. 3 Marco de Trabajo COBIT 4.1

1.1.3.2 Objetivos de Control

Control se define como las polticas, procedimientos, prcticas y estructuras

de negocio se alcanzarn y los eventos no deseados sern prevenidos o detectados

Figura 1. 4 Relacin entre controles definidos COBIT 4.1

1.1.4 INTRODUCCIN A LAS DIRECTRICES DE COBIT PARA AUDITORA DE

Fuente: Elaborado por los autores

1.1.4.2 Directrices de COBIT 4.1 orientadas a la auditoria de aplicaciones informticas

Para cumplir con una auditora de aplicaciones informticas, las directrices ms

financiera para los

PO2 - Definir la arquitectura de la

P09 - Evaluar y Administrar Riesgos

AI7 - Instalar y Acreditar Soluciones y

ME2 - Monitorear y Evaluar el Control P