Académique Documents
Professionnel Documents
Culture Documents
DECLARACIN
CERTIFICACIN
Certifico que el presente trabajo fue desarrollado por Jenny Lourdes Coraisaca
Arvalo y Csar Fernando Llumiquinga Pillajo, bajo mi supervisin.
AGRADECIMIENTO
A mis tos Jos y Bachita por hacer el papel de padres sustitutos ante la ausencia
fsica de mam.
A Andrs Larco, por su empuje, direccin y jaladas de oreja cuando fue necesario
hacerlo.
Jenny.
v
Gracias a mis hermanos Sandra y Edwin, por ser un apoyo incondicional, por ser mis
amigos y compaeros que siempre estuvieron ah cuando los necesite.
Mi querida amiga y compaera Jennicita, como no agradecerte de todo corazn, por
todo el aguante, la paciencia de estos aos y por soportarme en mis momentos de
estrs y enojo. Gracias por siempre brindarme tu apoyo y ser mi mejor amiga. Sin ti,
hubiera sido complicado llegar a la consecucin de esta meta que algn da nos
planteamos.
Fernando.
vi
DEDICATORIA
Jenny
Dedico este trabajo a esas personas maravillosas que siempre han estado a mi lado
en los momentos buenos y no tan buenos en mi vida, mis padres, mis hermanos y en
especial a mi sobrina Danita, porque con su sola presencia llena de alegra y amor
cada uno de mis das.
Fernando
vii
CONTENIDO
PRESENTACIN ........................................................................................................ 1
RESUMEN .................................................................................................................. 2
CAPITULO 1 - MARCO TERICO .............................................................................. 3
1.1 AUDITORA DE APLICACIONES INFORMTICAS TIPO WEB UTILIZANDO
DIRECTRICES DE AUDITORA DE COBIT 4.1 ...................................................... 3
1.1.1 AUDITORA DE SISTEMAS DE INFORMACIN .................................... 3
1.1.2 APLICACIONES WEB ............................................................................. 4
1.1.3 MARCO DE TRABAJO DE COBIT 4.1 .................................................... 5
1.1.4 INTRODUCCIN A LAS DIRECTRICES DE COBIT PARA AUDITORA
DE APLICACIONES ........................................................................................... 11
1.2 DEFINICIN DE CONTROLES PARA LA AUDITORIA DE APLICACIONES
INFORMTICAS .................................................................................................... 13
1.2.1 OBJETIVOS DEL CONTROL INTERNO .................................................. 14
1.2.2 CONTROLES GENERALES DE TI............................................................ 15
1.2.3 CONTROLES DE APLICACIN ................................................................ 15
1.2.4 ANLISIS DE LOS PROCESOS COBIT 4.1 Y OBJETIVOS DE CONTROL
PARA AUDITORA DE APLICACIONES INFORMTICAS. ............................... 19
1.3 MARCOS DE TRABAJO PARA EL DESARROLLO DE LA AUDITORA ......... 24
1.3.1 COBIT 4.1 .................................................................................................. 24
1.3.2 ITIL V3 ....................................................................................................... 24
1.3.3 ISO 27002 .................................................................................................. 27
1.3.4 INTERRELACIN DE LOS ESTNDARES COBIT 4.1, ITIL V3, E ISO/IEC
27002 PARA AUDITORA DE APLICACIONES INFORMTICAS. .................... 29
CAPITULO 2 PLAN DE AUDITORIA DE LA APLICACIN WEB............................ 30
2.1. ESTUDIO DE LA APLICACIN WEB CAJERO DE VENTANILLAS A SER
AUDITADA ............................................................................................................. 30
2.1.1 DESCRIPCIN .......................................................................................... 30
2.1.2 ARQUITECTURA FSICA .......................................................................... 30
viii
LISTA DE TABLAS
Tabla 1. 1 Definicin de Directrices de Auditora....................................................... 11
Tabla 1. 2 Directrices - Auditora de Aplicaciones ..................................................... 13
Tabla 1. 3 Clasificacin Tipos de Control .................................................................. 14
Tabla 1. 4 Controles de Aplicacin ............................................................................ 16
Tabla 1. 5 Controles ACn de acuerdo al tipo de control ............................................ 18
Tabla 1. 6 Anlisis de los procesos COBIT 4.1 y Objetivos de control ..................... 19
Tabla 2. 1 Descripcin Servidores ............................................................................. 31
Tabla 2. 2 Descripcin Clientes ................................................................................. 32
Tabla 2. 3 Herramientas de Desarrollo...................................................................... 32
Tabla 2. 4 Elementos Mdulo Transacciones............................................................ 34
Tabla 2. 5 Elementos Mdulo Consultas ................................................................... 35
Tabla 2. 6 Elementos Mdulo Reportes .................................................................... 35
Tabla 2. 7 Elementos Mdulo Control ....................................................................... 35
Tabla 2. 8 Elementos Mdulo Herramientas ............................................................. 35
Tabla 2. 9 Importancia del Programa de Auditora .................................................... 36
Tabla 2. 10 Programa de Auditora ......................................................................... 37
Tabla 3. 1 Interrelacin: Vulnerabilidad, Amenaza, Riesgo ....................................... 55
Tabla 3. 2 Hallazgos de vulnerabilidades Identificados y Riesgos Asociados ........... 56
Tabla 3. 3 Definicin de Significancia de Riesgo....................................................... 59
Tabla 3. 4 Modelo Estndar para anlisis de Riesgo. ............................................... 60
Tabla 3. 5 Anlisis y Evaluacin de Riesgos ............................................................. 61
Tabla 3. 6 Anlisis de la Observacin 1 - Usuarios : ex - empleados........................ 68
Tabla 3. 7 Anlisis Observacin 2 - Uso de usuarios genricos................................ 69
Tabla 3. 8 Anlisis Observacin 3 - Usuarios sin depurar Call Center. ..................... 70
Tabla 3. 9Anlisis Observacin 1- Usuarios sin depurar rea operativa. .................. 70
Tabla 3. 10 Anlisis Observacin 5- Transacciones sin validacin previa. ............... 71
Tabla 3. 11 Anlisis Observacin 6 - Procedimientos para parametrizacin, no
documentado............................................................................................................. 72
Tabla 3. 12 Anlisis Observacin 8 Aplicacin sin log de parametrizacin ............ 73
Tabla 3. 13 Anlisis Observacin 8 - Falta de revisin de logs. ................................ 74
Tabla 3. 14 Anlisis Observacin 9 - Problemas frecuentes de la aplicacin. .......... 75
Tabla 3. 15 Anlisis Observacin 10 - Planes de contingencia no probados ............ 76
Tabla 3. 16 Procedencia de las Observaciones del Informe Final............................. 78
x
LISTA DE FIGURAS
PRESENTACIN
RESUMEN
1
En el contexto de la Auditora de Sistemas, los Sistemas de Informacin se refieren a un conjunto de elementos
hardware, software, recursos humanos y datos, interrelacionados para la administracin y procesamiento de la
informacin, esta interpretacin puede variar dependiendo del campo en el que se est aplicando.
4
Son aplicaciones a las que se accede va web por una red como internet o una
intranet. Las aplicaciones web no se ejecutan en computadores personales, estas
alojan sus componentes en infraestructuras diferentes (hardware y software) de tal
forma que mltiples usuarios puedan acceder a stas de forma simultnea.
1.1.2.1 Arquitectura
La arquitectura de una aplicacin define como se organizan los distintos mdulos que
la componen. En una aplicacin web, la arquitectura est basada en el modelo
cliente / servidor, se define bsicamente los siguientes elementos:
- Cliente: navegador (Front end).
- Servidor: servidor web (Middleware).
- Servidor Datos: Base de Datos (Back end).
- Comunicacin: Protocolo HTTP, TCP/IP.
5
Fuente: http://rua.ua.es/dspace/bitstream/10045/4412/5/03c-AplicacionesWeb.pdf
Cliente:
- Gestiona las peticiones del usuario y la recepcin de las pginas que provienen
del servidor.
- Interpreta documentos HTML.
Servidor Web
El servidor web habilita el acceso mediante el protocolo http a un sitio web
realizando conexiones con el cliente generando una respuesta del lado del cliente.
Protocolos de Comunicacin
- IP: Internet Protocol.
- TCP: Transmition Control Protocol.
- HTTP: Hipertext Transfer Protocol.
COBIT fue publicado por primera vez en 1996, la versin actual, COBIT 4.1 se
public en 2007. ISACA finaliz la versin de COBIT 5 para finales del ao 2011 y su
publicacin fue en el ao 2012.
COBIT 4.1 brinda un marco de trabajo para administrar y controlar las actividades de
TI y sustenta cinco requerimientos para un marco de control, estos son:
1. Enfoque en el negocio
COBIT consigue un enfoque fuerte en el negocio al alinear los objetivos de TI con los
objetivos del negocio.
2. Orientacin a procesos
Con la propiedad de los procesos definida, asignada y aceptada, la organizacin est
mejor capacitada para mantener el control durante los perodos de cambios rpidos o
crisis organizacional.
3. Aceptacin general
COBIT es un estndar probado y globalmente aceptado para alinear TI al Negocio.
COBIT provee a sus usuarios la siguiente informacin:
4. Requerimientos regulatorios
Las organizaciones utilizan COBIT para verificar el cumplimiento de las regulaciones
exigidas por las entidades de control (internas / externas) en torno al desempeo de
TI.
5. Lenguaje comn
COBIT se aplica a los SI de toda la empresa. Est basado en la filosofa que TI
necesita ser administrados por un conjunto de procesos naturalmente agrupados
para proveer la informacin pertinente y confiable que requiere una organizacin
para lograr sus objetivos.
1.1.3.1. Estructura
Fuente: http://www.isaca.org/Knowledge-Center/COBIT/Documents/COBIT4.1spanish.pdf
8
El marco de trabajo COBIT 4.1 se muestra en el Figura 1.3, est compuesto por
cuatro dominios que contienen 34 procesos genricos.
9
Fuente: http://www.isaca.org/Knowledge-enter/COBIT/Documents/COBIT4.1spanish.pdf
Los objetivos de control de TI de COBIT 4.1 estn organizados por proceso de TI, en
total se describen 302 objetivos de control detallados. Adems, de los objetivos de
control detallados, cada proceso COBIT tiene requerimientos de control genricos
que se identifican con PCn() que significa Process Control Number (Nmero de
Control de Proceso). Tambin, ofrece un conjunto de objetivos de control de
aplicaciones, identificados por ACn() que significa Application Control Number
(Nmero de Control de Aplicacin).
En el Figura 1.4 se muestra la relacin entre los controles definidos por COBIT 4.1.
Fuente: http://www.isaca.org/Knowledge-enter/COBIT/Documents/COBIT4.1spanish.pdf
11
Las directrices de COBIT se constituyen como los Objetivos de Control de Alto Nivel
(Procesos definidos de COBIT 4.1, correspondiente a cada dominio). Un ejemplo de
directriz de auditora: PO9 Evaluar y Administrar Riesgos de TI, asociado a los objetivos
de control detallados, utilizndolos para proporcionar a la gerencia la certeza o
recomendaciones de mejoramiento.
Tabla 1. 1 Definicin de Directrices de Auditora
sugeridos por
ISACA (G14 )
ISACA (G14)
Informacin
2
Criterios de
Anlisis realizado
procesos de
institucin
auditora.
Directrices
de COBIT 4.1
2
Directriz de auditora definida por ISACA que describe las prcticas recomendadas para la revisin
de los sistemas de aplicacin, vigente desde Noviembre 2001. La informacin completa de la Directriz
G14, se encuentra en http://www.isaca.org/Knowledge-Center/Standards/Documents/G14-
AppSysRev-15Oct08.pdf
13
Segn la directriz G14 definida por ISACA, los criterios de informacin para una
revisin de sistemas de aplicacin son:
Una variante de los objetivos de control interno son los objetivos de control de TI, que
son objetivos de control interno orientados a procesos de TI. Por ejemplo:
- Salvaguarda de activos.
- Eficacia y eficiencia de operaciones.
- Integridad de la informacin sensitiva.
- Integridad de la informacin financiera para accionistas / pblico, autorizacin
de las transacciones, entre otros.
Fuente: http://auditoriasistemasucb.pbworks.com/f/ProcesosCOBIT41_ig.pdf
COBIT 4.1 define la relacin P=primaria S= secundaria entre los Objetivos de
Control de Aplicacin y los Criterios de Informacin.
1.2.4 ANLISIS DE LOS PROCESOS COBIT 4.1 Y OBJETIVOS DE CONTROL PARA AUDITORA DEAPLICACIONES
INFORMTICAS.
Las directrices de COBIT utilizadas para la auditora de aplicaciones informticas, estn representados por varios de
los procesos de los Dominios de COBIT 4.1 y de sus objetivos de control asociados. A continuacin se presenta un
anlisis de los procesos de COBIT 4.1 y de los objetivos de control que pueden utilizarse para planificar y efectuar una
auditora de aplicaciones informticas tipo web o de cualquier otra arquitectura, los que se utilizarn son aquellos
definidos segn anlisis realizado por los autores descritos en la Tabla 1. 2 Directrices - Auditora de Aplicaciones.
Tabla 1. 6 Anlisis de los procesos COBIT 4.1 y Objetivos de control para auditora de aplicaciones informticas.
Continuacin Tabla 1. 6 Anlisis de los procesos COBIT 4.1 y Objetivos de control para auditora de aplicaciones informticas.
21
DS2 Gestionar La necesidad de asegurar que los servicios de terceros (proveedores, vendedores y DS2.3 Gestin de riesgos de
los servicios de asociados) cumplan con los requerimientos del negocio requiere un proceso de proveedores.
terceros gestin de terceros. Este proceso se realiza definiendo claramente los roles, DS2.4 Monitoreo del desempeo
responsabilidades y expectativas en los acuerdos con terceros as como la revisin y de proveedores
monitoreo de tales acuerdos en busca de eficacia y cumplimiento. La gestin eficaz de
servicios de terceros minimiza el riesgo de negocio asociado con el incumplimiento de
proveedores.
DS3 Gestionar La necesidad de gestionar el desempeo y la capacidad de los recursos de TI requiere DS3.4 Disponibilidad de recursos
el desempeo y de un proceso para su revisin peridica, lo que incluye pronosticar necesidades de TI
la capacidad futuras basndose en requerimientos de carga de trabajo, almacenamiento y
contingencia. Este proceso provee la garanta de que los recursos de informacin que
soportan los requerimientos del negocio estn disponibles en forma continua.
DS4 Garantizar La necesidad de proveer servicios continuos de TI requiere del desarrollo, DS4.2 Planes de Continuidad de TI
la continuidad mantenimiento y pruebas de planes de continuidad de TI, utilizar almacenamiento de DS4.4 Mantenimiento del Plan de
del servicio respaldos fuera de las instalaciones y proporcionar entrenamiento peridico sobre el Continuidad de TI
plan de continuidad. Un proceso eficaz de servicio continuo minimiza la probabilidad y DS4.8 Recuperacin y
el impacto de una interrupcin de un servicio crtico de TI en funciones y procesos Reanudacin de los Servicios de TI
claves del negocio. DS4.9 Almacenamiento externo de
respaldos
Continuacin Tabla 1. 6 Anlisis de los procesos COBIT 4.1 y Objetivos de control para auditora de aplicaciones informticas.
22
DS5 Garantizar La necesidad de mantener la integridad de la informacin y proteger los activos de TI DS5.3 Gestin de identidad.
la seguridad de precisa de un proceso de gestin de seguridad, lo que incluye establecer y mantener DS5.4 Gestin de cuentas de
los sistemas los roles, las responsabilidades, polticas, estndares y procedimientos de seguridad usuario.
de TI. Adems, realizar monitoreos de seguridad y pruebas peridicas e implementar DS5.11 Intercambio de datos
acciones correctivas para identificar debilidades de seguridad o incidentes. Una Sensitivos
gestin efectiva de
seguridad protege todos los activos de TI para minimizar el impacto de
vulnerabilidades de seguridad e incidentes en el negocio.
DS10 Una efectiva administracin de problemas requiere la identificacin y clasificacin de DS10.1
Administrar problemas, el anlisis de las causas desde su raz, y la resolucin de problemas. El Identificacin y Clasificacin de
Problemas proceso de administracin de problemas tambin incluye la identificacin de Problemas
recomendaciones para la mejora, el mantenimiento de registros de problemas y la
revisin del estatus de las acciones correctivas. Un efectivo proceso de administracin
de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y
satisfaccin del usuario.
DS11 Gestionar La gestin eficaz de datos precisa de la identificacin de las necesidades de datos. El DS11.1 Requerimientos del
datos proceso de gestin de datos tambin incluye el establecimiento de procedimientos negocio para la gestin de datos
eficaces para la gestin de la biblioteca de medios, backup, restauracin y una DS11.2 Acuerdos para el
adecuada eliminacin de los medios. La gestin de datos ayuda a garantizar la almacenamiento y la conservacin
calidad, oportunidad y disponibilidad de los datos del negocio. DS11.3 Sistema de gestin de
librera de medios
DS11.4 Eliminacin
DS11.5 Respaldo y restauracin
DS11.6 Requisitos de seguridad
para la gestin de datos
Continuacin Tabla 1. 6 Anlisis de los procesos COBIT 4.1 y Objetivos de control para auditora de aplicaciones informticas.
23
AC5 Revisin de Establecer procedimientos y responsabilidades asociadas para asegurar que la salida AC5 Revisin de Salidas,
Salidas, se maneja de una forma autorizada, entregada al destinatario apropiado, y protegida Reconciliacin y Manejo de Errores
Reconciliacin y durante la transmisin; que se verifica, detecta y corrige la exactitud de la salida; y que
Manejo de se usa la informacin proporcionada en la salida.
Errores
AC6 Antes de pasar datos de la transaccin entre aplicaciones internas y funciones de AC6 Autenticacin e integridad de
Autenticacin e negocio/operativas (dentro o fuera de la empresa), verificar el apropiado transacciones
integridad de direccionamiento, autenticidad del origen e integridad del contenido. Mantener la
transacciones autenticidad y la integridad durante la transmisin o el transporte.
Continuacin Tabla 1. 6 Anlisis de los procesos COBIT 4.1 y Objetivos de control para auditora de aplicaciones informticas.
24
1.3.2 ITIL V3
1.3.2.1 Estructura
ITIL v3 consta de cinco libros basados en el ciclo de vida del servicio, estos
son:
1.3.3.1 Estructura
7. Control de Accesos.
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.
9. Gestin de Incidentes en la Seguridad de la Informacin.
10. Gestin de Continuidad del Negocio.
11. Cumplimiento.
2.1.1 DESCRIPCIN
3
Windows DNA es la nomenclatura utilizada por Microsoft para definir a una coleccin de
tecnologas que permiten a la plataforma Windows e internet trabajar en conjunto. Algunas de
sus tecnologas son el Active X, DHTML y COM.
31
2.1.2.1 Servidores
2.1.2.2 Clientes
Descripcin Cantidad Software
PCs Agencias 250 Sistema Operativo Windows XP
superior.
Microsoft Internet Explorer 6.0 o superior.
Tabla 2. 2 Descripcin Clientes
Componentes de Negocio C#
Cdigo Servidor Asp.NET
Directriz de COBIT 4.1 Objetivo de Control Objetivo de Control Descripcin Objetivo Actividades de Control (DEFINIDAS EN
(Proceso COBIT detallado de COBIT (Definido por los de Control (Definido BASE A LAS GUAS DE AUDITORA DE
utilizado) 4.1 autores) por los autores) COBIT 4.1 Y DE LOS AUTORES)
1 No Aplica No Aplica Comprensin de la Comprender el proceso 1.1. Relevar el proceso del negocio
aplicacin. del negocio y la forma 1.2. Comprender los mdulos de la
como la aplicacin lo aplicacin con sus respectivas
maneja. funcionalidades.
2 DS5 - Garantizar la DS5.3 Gestin de Revisin del control de Se han definido 2.1. Verificar la existencia de un
seguridad de los identidad accesos y manejo de polticas y procedimiento para la administracin de
sistemas. contraseas de la procedimientos de usuarios que acceden a las aplicaciones.
DS5.4 Gestin de aplicacin. seguridad para la 2.2. Validar que los usuarios creados en la
cuentas de usuario administracin de aplicacin son los autorizados y que los ex
usuarios. empleados y personal de vacaciones
hayan sido desactivados.
La aplicacin cuenta
2.3. Validar los parmetros establecidos
con tcnicas y para la contrasea en la aplicacin
herramientas de (Complejidad, longitud, histricos,
seguridad lgica para caducidad, etc.) y que estn de acuerdo a
restringir el acceso a las mejores prcticas y a las polticas
los recursos de
definidas en la institucin.
informacin.
2.4. Verificar los inicios de sesin
mltiples, accesos por URLs, tiempo de
inactividad de la aplicacin.
3 DS5 - Garantizar la DS5.4 Gestin de Revisin de los perfilesLos perfiles de usuario 3.1. Verificar que el procedimiento de
seguridad de los cuentas de usuario. de usuarios autorizados cuentan con creacin, asignacin y mantenimiento de
sistemas. en la aplicacin y la procedimientos de perfiles se cumple de acuerdo a las
PO4.11 Segregacin de segregacin decontrol aprobado por la polticas y procedimientos de seguridad de
PO4 - Definir los funciones. funciones. gerencia para la informacin de la institucin.
procesos, organizacin garantizar que son
y relaciones de TI. generados y asignados
con base en las
funciones de los cargos
y el principio de
segregacin de tareas.
Tabla 2. 10 Programa de Auditora - Fuente: Elaborado por los Autores
38
Directriz de COBIT 4.1 Objetivo de Control Objetivo de Control Descripcin Objetivo Actividades de Control (DEFINIDAS EN
(Proceso COBIT detallado de COBIT (Definido por los de Control (Definido BASE A LAS GUAS DE AUDITORA DE
utilizado) 4.1 autores) por los autores) COBIT 4.1 Y DE LOS AUTORES)
4 DS5 - Garantizar la DS5.3 Gestin de Transacciones Crticas. Identificacin de las 4.1. Identificar las transacciones crticas
seguridad de los identidad Transacciones Crticas de la aplicacin en conjunto con los
sistemas y su asignacin a responsables de la aplicacin / mdulos y
usuarios autorizados. validar su funcionalidad.
4.2. Identificar los perfiles y usuarios que
tengan las transacciones/opciones
identificadas como crticas.
4.3. Validar el principio de segregacin de
funciones
5 PO2 - Definir la PO2.4 Gestin de Revisin de los Se han definido 5.1. Verificar que los reportes que
arquitectura de integridad. controles asociados a controles que aseguren contienen informacin sensible tenga
informacin. la salida y entrega de que los datos son controles para impedir se proceda a
informacin. entregados a los exportar los datos.
AC5 Revisin de AC5 Revisin de usuarios en una forma 5.2. Revisar que la informacin sensible
Salidas, Reconciliacin Salidas, Reconciliacin consistente y segura. que est siendo consultada a travs de la
y Manejo de Errores. y Manejo de Errores. aplicacin sea realizada por usuarios
autorizados.
6 AC2 Recoleccin y AC2 Recoleccin y Revisin de los Existen procedimientos 6.1. Validar que exista un control de
Entrada de Informacin Entrada de Informacin controles asociados al de control de entrada monto mximo por transaccin y cuando
Fuente Fuente ingreso de datos. que aseguren que toda se supere ese valor se solicite
transaccin que vaya a autorizacin de la lnea de supervisin y
AC3 Verificaciones de AC3 Verificaciones de ser procesada sea validar todas las transacciones que
exactitud, totalidad, y exactitud, totalidad, y recibida y registrada requieren de autorizacin
autenticidad. autenticidad correcta y
completamente. 6.2. Verificar los controles automatizados
implementados para efectuar el registro
de los datos
6.3. Verificar la existencia de un
procedimiento para la modificacin de las
parametrizaciones del sistema y validar su
cumplimiento.
Continuacin Tabla 2.10 Programa de Auditora
39
Directriz de COBIT 4.1 Objetivo de Control Objetivo de Control Descripcin Objetivo Actividades de Control (DEFINIDAS EN
(Proceso COBIT detallado de COBIT (Definido por los de Control (Definido BASE A LAS GUAS DE AUDITORA DE
utilizado) 4.1 autores) por los autores) COBIT 4.1 Y DE LOS AUTORES)
7 DS5 Garantizar la DS5.11 Intercambio de Revisin de los Existen controles de 7.1. Verificar si existe una proteccin
seguridad de los datos controles asociados al procesamiento adecuada para la informacin sensitiva
sistemas Sensitivos procesamiento batch. aprobados por la durante la transmisin y transporte en
gerencia que aseguren cuanto a accesos y modificaciones no
la integridad y la autorizadas.
AC6 Autenticacin e AC6 Autenticacin e exactitud de los datos. 7.2. Identificar las carpetas FTP y verificar
integridad de integridad de que la lista de usuarios de las carpetas
transacciones transacciones identificadas y sus permisos sean los
autorizados.
7.3. Verificar el procedimiento cuando se
detecta un error en los archivos
8 AC4 Integridad y AC4 Integridad y Revisin de los Existen controles de 8.1. Identificar los controles que se utilizan
Validez del Validez del controles asociados al procesamiento en la aplicacin para asegurar que los
Procesamiento Procesamiento procesamiento on line. aprobados por la datos se procesen correctamente y sin el
gerencia que aseguren riesgo de duplicar o eliminar informacin
la integridad y la (Anular, reversar, corregir).
exactitud de los datos 8.2. Analizar los controles que se tienen
procesados. en la aplicacin para garantizar el registro
en la base de datos de las transacciones
que se ejecutan en lnea
8.3. Identificar el procedimiento a seguir
en caso de encontrar errores durante el
procesamiento de informacin e impedir
que estos errores afecten a la operacin
del sistema (rollback de la transaccin).
Directriz de COBIT 4.1 Objetivo de Control Objetivo de Control Descripcin Objetivo Actividades de Control (DEFINIDAS EN
(Proceso COBIT detallado de COBIT (Definido por los de Control (Definido BASE A LAS GUAS DE AUDITORA DE
utilizado) 4.1 autores) por los autores) COBIT 4.1 Y DE LOS AUTORES)
9 DS5 Garantizar la DS5.4 Gestin de Integridad de los datos. Revisin de la 9.1. Validar que el personal que puede
seguridad de los cuentas de Usuario. afectacin directa a los acceder a la base de datos de la
sistemas datos de la base de aplicacin es el adecuado.
datos de la aplicacin.
9.2. Identificar las tablas crticas de la
aplicacin.
AI7.8 Promocin a
produccin.
AI2.3 Control y
auditabilidad de las
aplicaciones
Continuacin Tabla 2.10 Programa de Auditora
42
Directriz de COBIT 4.1 Objetivo de Control Objetivo de Control Descripcin Objetivo Actividades de Control (DEFINIDAS EN
(Proceso COBIT detallado de COBIT (Definido por los de Control (Definido BASE A LAS GUAS DE AUDITORA DE
utilizado) 4.1 autores) por los autores) COBIT 4.1 Y DE LOS AUTORES)
12 Los niveles de 12.1. Validar si la aplicacin cuenta con
AI2 Adquirir y mantener AI 2.3 Control y Evaluacin de los logs seguridad de la logos transaccionales y de seguridad, si
software aplicativo auditabilidad de las de auditora de la aplicacin se activan estn activados y qu informacin
aplicaciones aplicacin para registrar e almacenan.
informar de incidentes 12.2. Verificar si se realiza una revisin
de seguridad que no peridica de estos logos y la existencia de
cumplan las polticas un procedimiento de las acciones a tomar
definidas por la en caso de encontrar novedades (formal o
institucin; los informes no)
generados se revisan 12.3. Identificar a qu niveles se reporta la
peridicamente y se informacin encontrada en los logs de la
toman medidas aplicacin
correctivas.
13 DS2 Gestionar los DS2.3 Gestin de Evaluacin de aspectos Existen contratos para 13.1. Revisar la existencia, completitud y
servicios de terceros riesgos de contractuales. Licencias el mantenimiento y vigencia de los contratos para la
proveedores en caso de aplicaciones soporte tcnico de la adquisicin y mantenimiento de la
de terceros aplicacin que aplicacin
DS2.4 Monitoreo del garanticen la 13.2. Validar que los contratos cuenten
desempeo de disponibilidad de la con clusulas que especifiquen los niveles
proveedores aplicacin en trminos de servicio de la aplicacin y su
que garanticen la correspondiente monitoreo por las partes
calidad del servicio a la 13.3. Verificar que los contratos cuenten
institucin con clusulas que no pongan en riesgo la
disponibilidad del servicio de la aplicacin
ni su informacin
13.4. Revisar la existencia y validez de las
licencias para el uso del aplicativo
Directriz de COBIT Objetivo de Control Objetivo de Control Descripcin Objetivo Actividades de Control (DEFINIDAS EN
4.1(Proceso COBIT detallado de COBIT (Definido por los de Control (Definido BASE A LAS GUAS DE AUDITORA DE
utilizado) 4.1 autores) por los autores) COBIT 4.1 Y DE LOS AUTORES)
DS3.4 Disponibilidad de
recursos de TI La gerencia dispone de
un estudio de
DS4.2 Planes de evaluacin de impacto
DS3 Gestionar el Continuidad de TI en clientes y usuarios
desempeo y la debido a fallas o cadas
capacidad DS4.4 Mantenimiento temporales de la
del Plan de Continuidad Evaluacin del impacto aplicacin, as como de 14.1. Verificar la existencia de
14 DS4 Garantizar la de TI de las contingencias y un plan para la procedimientos de contingencia
continuidad del servicio su remediacin remediacin de la tecnolgica, operativa y su adecuada
DS4.8 Recuperacin y contingencia aplicacin
Reanudacin de los
Servicios de TI
Directriz de COBIT 4.1 Objetivo de Control Objetivo de Control Descripcin Objetivo Actividades de Control (DEFINIDAS EN
(Proceso COBIT detallado de COBIT (Definido por los de Control (Definido BASE A LAS GUAS DE AUDITORA DE
utilizado) 4.1 autores) por los autores) COBIT 4.1 Y DE LOS AUTORES)
15 DS4.9 Almacenamiento
externo
de respaldos
DS11.1 Requerimientos
del
negocio para la gestin 15.1. Validar con el rea usuaria que el
DS4 Garantizar la de datos Relevamiento de la Los respaldos perodo de respaldo vaya de acuerdo a
continuidad del servicio DS11.2 Acuerdos para administracin de obtenidos con relacin las necesidades del negocio y que
el respaldos a la aplicacin son cumplan con lo establecido por las
DS11 Gestionar datos almacenamiento y la adecuados entidades de control.
conservacin
DS11.3 Sistema de
gestin de
librera de medios
DS11.4 Eliminacin
DS11.5 Respaldo y
restauracin
DS11.6 Requisitos de
seguridad
para la gestin de datos
Directriz de COBIT 4.1 Objetivo de Control Objetivo de Control Descripcin Objetivo Actividades de Control (DEFINIDAS EN
(Proceso COBIT detallado de COBIT (Definido por los de Control (Definido BASE A LAS GUAS DE AUDITORA DE
utilizado) 4.1 autores) por los autores) COBIT 4.1 Y DE LOS AUTORES)
AC5 Revisin de AC5 Revisin de Revisar si los reportes 16.1. Identificar con los responsables de
Salidas, Reconciliacin Salidas, Reconciliacin y la informacin la aplicacin (negocio), si existen reportes
16 y Manejo de Errores y Manejo de Errores Cumplimiento cumplen con todos los que deban ser emitidos para las entidades
aspectos legales de control y si su emisin es correcta.
impuestos por las
entidades de control.
Para definir el alcance se ha establecido factores que permitan calificar a cada uno
de los objetivos de control establecidos para la auditora de aplicaciones informticas
tipo web, de tal manera que se pueda determinar si los controles cumplen con los
criterios de informacin establecidos por COBIT 4.1, los mismos que son: efectividad,
eficiencia, integridad, disponibilidad, confidencialidad, confiabilidad y cumplimiento.
De acuerdo a COBIT a estos criterios se los puede agrupar en factores que estn
orientados a la seguridad, calidad, cumplimiento y recursos involucrados en los
procesos.
Estos criterios se encuentran enlazados a cada una de las directrices de COBIT 4.1,
cada criterio de informacin tiene una referencia definida por COBIT 4.1, los mismos
que son: primario, secundario o en blanco ya que algunos procesos tienen mayor
impacto en la meta de TI que otros.
A continuacin se define la razn por la cual los criterios pueden ser primarios,
secundarios o se encuentran en blanco, segn COBIT.
El detalle de la matriz que muestra cada proceso calificado con sus criterios de
informacin y su referencia, se lo muestra en el Anexo 3:
Matriz_Alcance_de_Auditora.xlsx.
Es recomendable trabajar con los dos criterios descritos anteriormente, ya que stos
se complementan.
Para el presente trabajo se tomarn los dos criterios definidos: Objetivos de Control
con calificacin de riesgo Alto y experiencia del auditor, en el transcurso de la
ejecucin de la auditora de los controles implementados, se elaborarn y
establecern las observaciones resultado del proceso.
Durante esta etapa el auditor debe tener como elemento principal de trabajo a la
evidencia, entendindose a esta como cualquier informacin usada por el auditor de
SI para determinar si el objeto que est siendo auditado cumple con los criterios de
informacin, en base a las evidencias relevantes que son definidas a criterio y
51
Esta fase est destinada a identificar, evaluar y valorar los riesgos de las
vulnerabilidades encontradas, la frecuencia, impacto y probabilidad de ocurrencia de
los mismos.
AMENAZA
HALLAZGO
VULNERABILIDAD
RIESGO
Tipos de Riesgos
En la Tabla 3.1 se describe algunos ejemplos para mayor claridad a los conceptos
antes mencionados.
Inundacin Ubicacin del Centro de Datos en Prdida total o parcial del servicio
el subsuelo en una zona con alto Prdida de informacin.
nivel de lluvias.
Incendio Sistema de extincin de Prdida total del servicio
incendios sin mantenimiento Prdida de informacin.
durante el ltimo ao.
Asalto Falta de capacitacin en el Prdida de vidas humanas.
manejo de situaciones crticas al Prdida del servicio
personal de seguridad de la Prdida de informacin.
entidad.
Tabla 3. 1 Interrelacin: Vulnerabilidad, Amenaza, Riesgo
ACTIVIDADES DE
CONTROL
(DEFINIDAS EN BASE
A LAS GUAS DE CONCLUSIN HALLAZGOS DE VULNERABILIDADES RIESGOS
AUDITORA DE
COBIT 4.1 Y DE LOS
AUTORES)
2.2. Validar que los Inefectivo La poltica "Administracin de Usuarios" elaborada Acceso a
usuarios creados en la por el rea de Seguridad de la Institucin Financiera transacciones
aplicacin son los (IF), indica que: "En ambiente de Produccin ningn e informacin
autorizados y que los usuario mantendr el estado de activo, cuando el confidencial
ex empleados y empleado propietario del mismo, se encuentre por ex
personal en perodo de definitivamente separado de la IF", sin embargo, de la empleados
vacaciones hayan sido revisin a los usuarios que tienen acceso a la
desactivados. aplicacin CV, se identific que existen 7 personas
que se encuentran en la lista de ex empleados de la
IF y todava permanecen como usuarios activos de la
aplicacin que tienen asignados opciones como:
"Retiros y Depsitos en cuentas de clientes"
2.2. Validar que los Inefectivo La poltica "Administracin de Usuarios" elaborada Imposibilidad
usuarios creados en la por el rea de Seguridad de la IF, indica que: Se de deteccin
aplicacin son los generarn usuarios genricos nicamente para de usuarios
autorizados y que los identificar a los componentes o programas que que realizaron
ex empleados y realizan transacciones de batch, convivencia, entre transacciones
personal en perodo de otros y no para ser usados bajo responsabilidad de inusuales.
vacaciones hayan sido los funcionarios de la IF, sin embargo, se
desactivados. identificaron que existen 25 usuarios genricos que
son utilizados por los Cajeros, para sus labores
diarias.
4.2. Identificar los Inefectivo La poltica "Definicin de Perfiles" elaborada por el Acceso a
perfiles y usuarios que rea de Seguridad de la Informacin de la IF, indica informacin
tengan las que: "Los responsables de las reas debern depurar confidencial y
transacciones/opciones y ratificar al menos una vez al ao, los perfiles de su ejecucin de
identificadas como rea'', sin embargo, de la revisin efectuada a una transacciones
crticas muestra de perfiles y transacciones crticas de la crticas por
aplicacin CV bajo la responsabilidad del rea Call personal que
Center, se identific a 5 usuarios que por la no debera
naturaleza de sus funciones y por el riesgo inherente tener
no deberan tener acceso a dichas opciones por asignado
ejemplo: Recaudaciones, Cuadre de la ventanilla, dichas
Anular/Reversar. transacciones
Adems, de la revisin efectuada a una muestra de
perfiles y transacciones crticas de la aplicacin CV
bajo la responsabilidad del rea Operativa,
identificamos opciones asignadas a 20 usuarios que
por la naturaleza de sus funciones y por el riesgo
inherente no deberan tener acceso a dichas
opciones. Por ejemplo:
Recaudaciones, Depsitos, Pago de Cheques,
Retiros, Configuracin de Oficinas
ACTIVIDADES
DE CONTROL
(DEFINIDAS EN
BASE A LAS
CONCLUSIN HALLAZGOS DE VULNERABILIDADES RIESGOS
GUAS DE
AUDITORA DE
COBIT 4.1 Y DE
LOS AUTORES)
6.2. Verificar los Inefectivo Existe operaciones de pago y depsito que no verifican - Procesar
controles el nombre y cuenta del cliente al momento de procesar la transacciones
automatizados transaccin, por lo que si el cajero de ventanilla digit de en cuentas
implementados forma incorrecta el nmero de la cuenta o si estuvo mal la incorrecta
para efectuar el cuenta en la papeleta de pago o depsito, la transaccin
registro de los se registrar con errores. - Reclamos de
datos los clientes por
De la revisin a la muestra de transacciones, se identifica transacciones
que en las siguientes no se realiza la validacin incorrectas
mencionada anteriormente:
- Pago de tarjetas de crdito
- Pago de Corporacin que produce cosmticos.
ACTIVIDADES
DE CONTROL
(DEFINIDAS
EN BASE A
LAS GUAS DE CONCLUSIN HALLAZGOS DE VULNERABILIDADES RIESGOS
AUDITORA DE
COBIT 4.1 Y
DE LOS
AUTORES)
12.3. Identificar Inefectivo La aplicacin CV tiene activado un log en el que se registra No
a qu niveles se informacin de las transacciones que realiza el cliente. Este identificacin
reporta la log no es monitoreado peridicamente, consecuentemente de
informacin no se informa las novedades registradas. transacciones
encontrada en inusuales
los logs de la Mediante la revisin peridica de estos logs podran
aplicacin identificarse actividades sospechosas, por ejemplo intentos
de acceso fallidos por repetidas ocasiones, transacciones
seguidas por montos elevados, entre otros.
14.1. Verificar la Inefectivo La norma "JB-2005 834 Gestin de Riesgo Operativo" de la - Interrupcin
4
existencia de Superintendencia de Bancos y Seguros del Ecuador (SBS) o paralizacin
procedimientos indica que: Todas las instituciones controladas debern de los
de contingencia contar con procedimientos de contingencia debidamente procesos que
tecnolgica, probados. Adems, los planes de contingencia deben incluir operan con la
operativa y su un cronograma y procedimientos de prueba y mantenimiento aplicacin.
adecuada del plan. Se identific que no se han realizado pruebas
aplicacin formales del plan de contingencia en caso de fallas en los - Sanciones
servidores de la aplicacin para garantizar la efectividad y el de la entidad
correcto funcionamiento del mismo. de control por
incumplimiento
de la norma
3.2.2EVALUACIN DE RIESGOS
Una vez que los riesgos han sido identificados es necesario valorarlos, para ello se
requiere la determinacin y clculo de los criterios de anlisis de riesgo para lo cual
se puede utilizar dos mtodos usados frecuentemente, estos son:
4
Entidad que regula y supervisa en el Ecuador el sistema financiero, de seguros privados y de seguridad social.
59
Significancia del riesgo, es el grado o nivel de afectacin (alto, medio o bajo) que podra
tener un riesgo en la consecucin de un objetivo para la efectividad de las operaciones,
confiabilidad de la informacin o cumplimiento.
Tabla 3. 3 Definicin de Significancia de Riesgo
Para el presente trabajo se utilizar una matriz de modelo estndar para anlisis de
riesgo, que puede ser utilizada para cualquier organizacin en la cual se est
realizando auditora a sus aplicaciones o procesos de negocio.
60
Riesgo Las actividades de esta categora contienen niveles de riesgo inaceptables, incluida la posibilidad de daos
E extremadamente catastrficos y crticos. Las empresas deben considerar la posibilidad de eliminar o modificar las actividades
alto que tienen una calificacin "E" luego de aplicar todas las estrategias de gestin de riesgo razonables.
Riesgo alto Las actividades de esta categora contienen riesgos potencialmente graves que, probablemente, pueden
A suceder. Se aconseja aplicar estrategias proactivas de gestin de riesgos para reducir el riesgo. Las
empresas deben considerar la manera de modificar o eliminar los riesgos inaceptables.
Riesgo moderado Las actividades de esta categora contienen algn nivel de riesgo que probablemente no suceda. Las
M
empresas deben considerar qu se podra hacer para gestionar el riesgo y evitar resultados negativos.
Riesgo bajo Las actividades de esta categora contienen un riesgo mnimo que probablemente no suceda. Las empresas
B
pueden continuar con estas actividades de acuerdo con lo planificado.
Recaudaciones, Cuadre de la
ventanilla, Anular/Reversar
Previo al informe final de auditora, se debe elaborar el borrador del mismo, que
contendr los resultados obtenidos en el proceso de auditora, los cuales sern
comunicados a los representantes de la entidad auditada e involucrado en el
proceso. Posterior a la revisin de este documento el mismo constituir como base
para la elaboracin del informe final de auditora.
- Respuestas del auditado.- Acciones que se van a tomar para cubrir o mitigar
los riesgos identificados.
Normativa utilizada
Directrices del Marco de Trabajo COBIT 4.1.
Alcance
Periodo de la auditora
Limitaciones al alcance
Resultados
Los resultados detallados a continuacin han sido desarrollados en base a los
hallazgos identificados.
4.1. CONCLUSIONES
- Para el desarrollo del presente trabajo fue importante la utilizacin del marco
de referencia COBIT4.1, que permiti evaluar los controles de la aplicacin
informtica, utilizada como caso de estudio en la institucin financiera, con el
objetivo de ayudar a que la aplicacin informtica est alineada con los
objetivos del negocio.
- Para la ejecucin del presente trabajo fue necesario realizar varias tareas y
actividades de revisin en la institucin financiera, que sustenten las
observaciones identificadas y el anlisis del presente trabajo; stas se
detallan en el Anexo 5: Documentos Ejecucin Auditora de la Aplicacin
Cajero de Ventanillas.
4.2. RECOMENDACIONES
- El anlisis realizado en el presente trabajo puede ser utilizado como base para
la auditora de aplicaciones informticas. Adems, se puede incluir otras
directrices como las mencionadas en el Anexo 2: Interrelacin de los Marcos
de Trabajo COBIT-ITIL-ISO27002 y propias de COBIT 4.1.
BIBLIOGRAFA
ISACA. (2008). Alineando COBIT 4.1,ITIL v3, ISO/IEC 27002 en Beneficio del
Negocio. Recuperado el Octubre de 2011, de http://www.isaca.org/Knowledge-
Center/Research/Documents/Alineando-Cobit-4.1,-ITIL-v3-y-ISO-27002-en-beneficio-
de-la-empresa-v2,7.pdf
Center/Research/ResearchDeliverables/Pages/COBIT-and-Application-Controls-A-
Management-Guide.aspx
ISACA. (2007). COBIT Security Baseline An Information Security Survival Kit 2nd
Edition. Recuperado el Agosto de 2012, de http://www.isaca.org/Knowledge-
Center/Research/ResearchDeliverables/Pages/COBIT-Security-Baseline-An-
Information-Security-Survival-Kit-2nd-Edition1.aspx
GLOSARIO
ASP: Es un fichero de slo texto que contiene las secuencias de comandos, junto
con el HTML necesario.
CGI: Son programas que se ejecutan en el servidor, pueden servir como pasarela
con una aplicacin o base de datos o para generar documentos html de forma
automtica.
ANEXOS