Académique Documents
Professionnel Documents
Culture Documents
COLECTIVIDAD
I PROMOCIN
SANGOLQU, 2014
i
C ERTIFICACIN
_____________________
DIRECTOR DE TESIS
UNIVERSIDAD DE LAS FUERZAS
ARMADAS ESPE
AUTORA DE
RESPONSABILIDAD
__________________
A UTORIZACIN
__________________
D EDICATORIA
siempre a mi lado.
A todas las personas que dan sentido a nuestra vida y nos impulsan a tomar
nuevos retos.
v
A GRADECIMIENTO
A todas y cada una de las personas que de manera directa o indirecta han
NDICE DE CONTENIDOS
CERTIFICACIN ..................................................................................................... I
AUTORIZACIN................................................................................................... III
DEDICATORIA ..................................................................................................... IV
AGRADECIMIENTO ............................................................................................... V
NDICE DE CONTENIDOS...................................................................................... VI
CAPITULO I .......................................................................................................... 1
CAPITULO II ......................................................................................................... 6
2.1 MARCO TERICO Y ANLISIS REFERENCIAL DEL ESTADO DEL ARTE ............ 6
2.3.3 LEYES...................................................................................................... 23
3.4.4 SEGURIDADES........................................................................................116
CAPTULO IV .....................................................................................................133
4.2.4 SEGURIDADES........................................................................................144
CAPTULO V ......................................................................................................170
5.2 RECOMENDACIONES..............................................................................171
5.3 BIBLIOGRAFA........................................................................................173
NDICE DE TABL AS
NDICE DE GR FI COS
RESUMEN
que al identificar las partes del control interno informtico en las reas de
utilizado para analizar las diferentes metodologas que son aplicadas para la
auditora,
ABSTRACT
consist in: internal audit , external audit and internal control of public and
this will be used the analytical method at the initial stage because it requires
understand what we know in all its parts and characteristics and the
quantitative and risk methodology. For this purpose the specialized guide
PRLOGO
pblica.
servicios.
evaluacin.
final.
xxii
control interno.
CAPITULO I
CONTROL INTERNO EN EL SECTOR PBLICO
1.1 J U S T I F I C AC I N E I M P ORT AN CI A
control interno. A partir de este marco regulador, cada institucin del Estado,
2
Es por ello que contar con un buen ambiente de control, que contenga
que todos los miembros de la empresa que operan los sistemas informticos
organizacionales.
1.2 P L AN T E AM I E N T O DE L P R O B LE M A
y reglamentaciones aplicables?
interno del rea informtica en las entidades pblicas del Ecuador plantea
1.3 H I P T E S I S
entidades pblicas.
5
1.4 O B J E T I V O G E NE R AL
1.5 O B J E T I V OS E S P E C FI C O S
CAPITULO II
MARCO TERICO REFERENCIAL PARA EL
CONTROL INTERNO
2.1 M AR C O T E R I C O Y A N L I S I S R E FE RE NC I AL D E L E S T AD O D E L
AR TE
2.1.1 M AR C O T E R I C O
objetivos:
El Ambiente de Control
La Evaluacin de Riesgos
La Vigilancia
2.1.2 M AR C O C ON CE P T U AL
2.1.2.1 C O N T R O L I N T E R N O
2.1.2.2 C O N T R O L I N T E R N O I NF O RM T I C O
operativos automatizados.
9
2.1.2.3 C L AS I FI C AC I N D E L OS C ONT RO LE S
Preventivos
realizan ajustes.
Ejemplos:
Segregar responsabilidades
transacciones
Detectivos
acto malicioso.
Ejemplos:
Totales de control
Mensajes de error
Auditora interna
Correctivos
Ejemplos:
Planificacin de contingencias.
Procedimientos de respaldo.
Procedimientos de ejecucin.
11
2.1.2.4 F U N C I O N E S D E L C O N T R OL I NT E RN O I N F ORM T I C O
de Sistemas, 2011)
operadores.
Software de Base
Redes de Computacin
Seguridad Informtica
Licencias de software
2.1.2.5 E V AL U AC I N D E R I E S G O D E T I
en que los datos, los sistemas de informacin, as como las redes que
2.1.2.6 M E J O RE S P R CT I C AS R E L AC I O N AD AS C ON E L C O N T R OL
INTERNO
similares resultados.
cuatro Dominios.
organizaciones.
2.1.3 E S T AD O D E L A R T E
2.1.3.1 E V AL U AC I N D E L C ONT R OL I NT E RN O T E CN O L G I C O
controles de TIC que son parte integral del entorno de control interno
Gerenciales.
Informticos.
Operacin.
Aplicaciones.
Tecnologa.
de tal forma que cumplan con los propsitos para lo cual fueron
TIC.
2.2 M E T O D O LO G AS Y T C N I C AS D E I NV E S T I G AC I N
2.2.1 M T O D OS T E R I C OS
2.2.1.1 M T O D O A N AL T I C O
desarrollo de la gua.
2.2.1.2 M T O D O S I N T T I C O
2.2.1.3 M T O D O D E D U C T I V O
para de esta manera llegar a conclusiones que sea tiles para nuestro
trabajo.
2.2.2 M E T O D O LO G AS C U ANT I T AT I V AS
subjetiva restando, as, rigor cientfico al clculo pero dado que el clculo
podramos aceptarlo.
2.2.3 M E T O D O LO G AS C U ALI T AT I V AS O S U BJ E T I V A
metodologas cuantitativas.
2.2.4 M E T O D O LO G AS D E A N L I S I S D E R I E S G OS
Esquema
Etapa 1: Cuestionarios.
Etapa 5: Simulaciones.
2.3 B AS E L E G AL
2.3.1 C O N S T I T U C I N D E L A R E P B L I C A D E L E CU AD OR
funciones:
interna, auditora externa y del control interno de las entidades del sector
Art. 226. Las instituciones del Estado, sus organismos, dependencias, las
dems sectores.
22
2.3.2 C D I G O
2.3.2.1 C D I G O O R G N I C O D E P L AN I FI C AC I N Y F I N AN Z AS
2.3.3 L E Y E S
2.3.3.1 L E Y O R G NI C A D E L A C O N T R AL O R A G E NE R AL D E L E S T AD O
tendr como finalidad primordial crear las condiciones para el ejercicio del
2.3.3.2 L E Y D E L S I S T E M A N AC I ON AL D E R E GI S T ROS D E D AT OS
P B LI C OS
Art 26.- Seguridad Toda base informtica de datos debe contar con su
2.3.3.3 L E Y O R G NI C A D E T R ANS P AR E N CI A Y A C C E S O A L A
I N F O R M AC I N P B LI C A
Estado que conforman al sector pblico en los trminos del artculo 118 de la
obligatoria:
programas operativos;
personal;
disposiciones correspondientes;
obligaciones;
ejercicio presupuestal;
de inters;
funcionarios pblicos;
2.3.3.4 L E Y D E C OM E RC I O E LE CT R NI C O , F I RM AS E L E CT R NI C AS Y
M E NS AJ E S D E D AT O S .
electrnica, reunir los siguientes requisitos, sin perjuicio de los que puedan
comunicado;
asociada a ste.
utilizada indebidamente;
extinguir por:
a) Voluntad de su titular;
identidad
requisitos:
identificacin;
a) Solicitud de su titular;
declarada.
del certificado.
reglamento.
suficiente en derecho.
2.3.3.5 L E Y O R G NI C A D E L S I S T E M A N AC I ON AL D E C ONT R AT AC I N
P B LI C A
cumplir con los objetivos del Plan Nacional de Desarrollo, sus objetivos y
del Estado.
posterior aplicacin.
contratacin.
Los dems contratos se otorgarn por documento suscrito entre las partes
garantas correspondientes.
o empleados responsables.
fiscalizacin.
sanciones; y, recepciones.
Art 73.- Formas de garanta En los contratos a que se refiere esta Ley, los
ellos;
establecida en el pas;
exceda del sesenta (60%) por ciento del valor del inmueble hipotecado,
pertenecern al proveedor; y,
sobre cualquier otro acreedor, sea cual fuere la naturaleza del mismo y el
como no escrita.
Art 74.- Para seguridad del cumplimiento del contrato y para responder por
rendir garantas por un monto equivalente al cinco (5%) por ciento del valor
40
del contrato.
Tampoco se exigir esta garanta en los contratos cuya cuanta sea menor a
para recibir el anticipo, deber rendir previamente garantas por igual valor
la naturaleza de la contratacin.
hubiere lugar.
42
2.3.4 R E GL AM E N T O S
2.3.4.1 R E GL AM E N T O G E N E R AL A LA LEY O R G NI C A DE
T R AN S P ARE NC I A Y A C C E S O A L A I N F O RM ACI N P BL I C A Y
R E F O RM AS
legal.
2.3.4.2 R E GL AM E N T O G E N E R AL D E B I E N E S D E L S E C T O R P B LI C O
cada equipo, como son: Cdigo de activo fijo, nmero de serie, marca,
garanta, proveedor del equipo y estado del equipo, de manera que permita
trabajos efectuados.
44
como:
fallas.
falla.
2.3.4.3 R E GL AM E N T O G E NE R AL DE L A L E Y OR G NI C A D E L S I S T E M A
N AC I ON AL DE C O NT R AT A C I N P B L I C A
quien velar por el aval y oportuno cumplimiento de todas y cada una de las
contrato.
publica, 2009)
2.4 N O R M AS D E C ON T R O L I NT E RN O I N F ORM T I C O
2009)
2.5 M E J OR E S P R C T I C AS
2.5.1 P R O C E S OS I T I L 2011
2.5.1.1 E S T R AT E GI A D E S E R V I CI O
PRINCIPIOS CLAVES
Generacin de valor
Funcionalidad y garanta
Recursos y capacidades
DOCUMENTOS CLAVES
Modelos de servicio
Business Case
2.5.1.2 E S T R AT E GI A D E D I S E O
diseo)
PRINCIPIOS CLAVES
5 Aspectos
Diseo de procesos
Gente
51
Procesos
Productos
Aliados
DOCUMENTOS CLAVES
Criterios de aceptacin
Polticas de disponibilidad
Polticas de capacidad
Polticas de proveedores.
2.5.1.3 T R AN S I CI N D E L S E RV I C I O
PRINCIPIOS CLAVES
Gestin de stakeholders.
Push vs pull
Sabidura (Wisdom)
DOCUMENTOS CLAVES
Programacin de cambios
Modelo de configuracin
Informes de estado
2.5.1.4 O P E R AC I N D E L S E RV I C I O
servicios en los niveles acordados con los usuarios del negocio y los
la informacin del rendimiento y las mtricas. (Anexo 1.4 Operacin del servicio)
PRINCIPIOS CLAVES
Estabilidad vs responsabilidad
Calidad vs costo
Reactivo vs proactivo
Comunicaciones
Modelo de prioridades
DOCUMENTOS CLAVES
54
Modelo de incidentes
Modelo de requerimiento
Modelo de problemas
Manual de procesos
Documentacin tcnica
Documentacin funcional
Guas de usuario
2.5.1.5 S I E T E P AS OS D E L A M E J O R A C ONT I NU A
vida.
5. Analizar la informacin
2.5.2 P R O C E S OS C O B I T 5
2.5.2.1 E V AL U AR O R I E NT AR Y S UP E RV I S AR
Orientar y Supervisar)
2.5.2.2 AL I N E AR , P L AN I FI C A R Y O R G AN I Z AR
2.5.2.3 C O N S T R U I R , A D Q U I R I R E I M P LE M E NT AR
2.5.2.4 E NT RE G AR D AR S E R V I C I O Y S OP O RT E
Recibe las soluciones y las hace utilizables por los usuarios finales.
2.5.2.5 S U P E R V I S AR E V AL U AR Y V AL O R AR
2.5.3 I S O I E C 2700
2.6 A N L I S I S C OM P AR AT I V O
2.6.1 N O R M AS D E C ONT R O L I NT E RN O V S M E J OR E S P R CT I C AS D E T I
410 TECNOLOGA DE PROCESOS PROCESOS COBIT 5.0 ISO IEC 27001 ITIL
LA INFORMACIN COBIT 4.1 Primario Secundario
P04 APO01 APO07/ A.6.1.3, A.6.1.4, A.6.1.6, A.6.1.7 2.5, 4.5, 5.1
410-01 Organizacin APO11/ A.8.1.1, A.8.1.2
Informtica DSS06 A.8.1.3, A.8.2.1
A.8.2.2
P04 APO01 APO07/ A.6.1.3, A.6.1.4 A.6.1.5, A.6.1.6 2.5, 4.5, 5.1
APO11/
DSS06
APO01 A.8.1.1, A.8.1.2
410-02 Segregacin de A.8.1.3, A.8.2.1
funciones PO7 APO07 A.8.2.2, A.8.2.3
A.8.3.1, A.8.3.2
A.8.3.3, A.10.1.3
A.15.3.2,
10-05 Modelo de P02 APO03 APO01 A.7.1.1, A.7.2.1 5.1
informacin A.10.8.1, A.10.8.2
organizacional A.11.1.1,
PO10
4 BAI01 - A.8.2.2, 2.1
10-06 Administracin
de proyectos
tecnolgicos
P05 APO06 APO05 A.6.1.4, A.6.1.5 A.6.1.6, A.6.2.1 1.2, 1.3, 2,1
AI1 BAI02 - A.6.2.3, A.7.1.1 A.7.1.2, A.7.2.1 A.7.2.2, A.8.1.2 2.2, 2.3, 2.7,
AI2 BAI03 - A.8.1.3, A.10.1.1 A.10.1.4, A.10.2.1 2.8, 3.1, 3.3,
AI5 AP010 BAI03 A.10.2.2, A.10.2.3 3.4, 3.5, 3.6,
AI7 BAI07 BAI05 A.10.3.2, A.10.7.4 A.10.8.2, A.10.10.1 A.10.10.5, 4.2, 4.3, 5.1
4 A.11.4.3 A.11.6.2, A.12.1.1 A.12.2.1, A.12.2.2
10-07 Desarrollo y A.12.2.3, A.12.2.4 A.12.3.1, A.12.4.1 A.12.4.2,
adquisicin de A.12.4.3 A.12.5.1, A.12.5.2 A.12.5.3, A.12.5.4
software aplicativo A.12.5.5, A.12.6.1 A.13.2.2, A.13.2.3 A.15.1.1,
A.15.1.4 A.15.1.5, A.15.3.1 A.15.3.2
DS2 APO10 -
DS9 EAI10 DSS02
ME3 MEA03 -
P03 AP002/ EDM01/ A.6.1.5, A.6.1.6 1.1, 1.2, 1.3,
AP004 AP003/ 2.2, 2.4, 2.5,
AP001 2.7, 4.2, 4.3,
APO05 A.6.2.3, A.9.1.5 5.1
4 APO06 DSS02 A.9.2.4, A.10.3.1
10-08 Adquisiciones de P05 BAI03 BAI03 A.10.3.1, A.10.8.2
infraestructura AI3 APO10 - A.12.1.1, A.12.4.2
AI5 BAI04 - A.12.5.2, A.12.6.1
DS3 MEA03 A.14.1.1, A.14.1.5
ME3 A.15.1.1, A.15.1.8
AI3
4 BAI03 DSS02 A.7.1.1, A.8.3.2 A.9.1.5, A.9.2.4 3.2, 4.2, 4.3
10-09 Mantenimiento y AI4 BAI08 BAI05 A.10.1.1, A.10.1.2
control de AI6 BAI06 - A.10.1.4, A.10.3.2
infraestructura A.10.7.4, A.11.5.4
Contina
61
A.10.1.3, A.10.2.1
A.10.2.2, A.10.2.3
A.10.4.1, A.10.4.2
A.10.6.1, A.10.6.2
A.10.7.4, A.10.8.4
A.10.9.1, A.10.10.2
A.10.10.3, A.10.10.4
A.10.10.5, A.11.1.1
A.11.2.1, A.11.2.2 A.11.2.3, A.11.2.4
A.11.3.1, A.11.3.2 A.11.3.3, A.11.4.1
A.11.4.2, A.11.4.3
A.11.4.4, A.11.4.5 A.11.4.6, A.11.4.7
A.11.5.1, A.11.5.2
A.11.5.3, A.11.5.4, A.11.5.5, A.11.5.6
A.11.6.1, A.11.6.2
A.12.2.3, A.12.3.1
A.12.3.2, A.12.4.1
A.12.4.2, A.12.5.1
A.12.5.3, A.12.5.5
A.12.6.1, A.13.1.1
A.13.1.2, A.13.2.1
A.13.2.2, A.13.2.3
A.14.1.1, A.14.1.4
A.15.1.5, A.15.1.6
A.15.2.2, A.15.3.1
A.15.3.2,
ME1
4 MEA01 A.5.1.1, A.5.1.2, A.6.1.8, A.6.2.3, A.10.2.2, A.10.10.2 5.1, 5.2
10-13 Monitoreo y ME2 MEA02 A.10.10.4, A.15.2.1
evaluacin de los A.15.2.2, A.15.3.1
procesos y servicios
4
10-14 Sitio web,
Contina
63
servicios de internet e
intranet
DS7
4 APO07 A.8.2.2 2.5
10-15 Capacitacin
Informtica
ME4
4 EDM01/EDM02/ A.6.1.8 1.2, 1.4
10-16 Comit EDM03/EDM04/MEA02
informtico
4
10-17 Firmas
Electrnicas
64
2.6.2 N O R M AS D E C ONT R O L I NT E RN O V S L E Y E S Y R E GL AM E NT OS
69
Art 70, Art 73
Art 74, Art 75
Art 99
410-09 Mantenimiento y control de Art. 95
infraestructura tecnolgica
Art. 96
Art. 97
Art 98
Art 99
410-10 Seguridad de tecnologa de Art.26
informacin
410-11 Plan de contingencias
410-12 Administracin de soporte de
tecnologa de informacin
410-13 Monitoreo y evaluacin de los
procesos y servicios
410-14 Sitio web, servicios de internet e Art.7 Art. 6
intranet
410-15 Capacitacin Informtica
410-16 Comit informtico
410-17 Firmas Electrnicas Art. 13, Art. 14
Art.15, Art 16
Art 17, Art.18
Art. 19, Art. 20
Art. 21, Art. 22
Art. 23, Art. 24
Art.25, Art.26
Art.27, Art. 28
66
C AP TULO III
G U A P AR A L A EVALU ACI N DEL CO NTROL I NTER NO
3.1 I N T R OD U C C I N
3.1.1 R E AS A E V AL U AR
3.1.1.1 O R G AN I Z AC I N Y A D M I NI S T R AC I N
a) Estructura Organizacional
usuarias.
ESQUEMA MNIMO
Proyectos Tecnolgicos
Infraestructuras Tecnolgicas
Soporte Interno
MEDIOS DE VERIFICACIN
Comunicacin.
b) Segregacin de Funciones
reas.
personal.
MEDIOS DE VERIFICACIN
ejecucin.
MEDIOS DE VERIFICACIN
Estructura Interna
Procesos
Infraestructura
Comunicaciones
Aplicaciones y Servicios
Definicin de Estrategias
Riesgos
Cronograma.
Fuentes de Financiamiento
Estrategias de migracin
Contingencia de infraestructura
tecnologas.
70
d) Polticas y Procedimientos
informacin.
MEDIOS DE VERIFICACIN
Calidad
Seguridad
Confidencialidad
Controles Internos
Propiedad Intelectual
Gestin de riesgos
estndares.
procedimientos correspondientes
permanentemente
propiedad.
MEDIOS DE VERIFICACIN
Diccionario de datos
Modelo fsico
72
f) Proyectos Tecnolgicos
usuarios.
Anlisis de riesgos.
MEDIOS DE VERIFICACIN
legalizados.
73
g) Capacitacin
informacin.
MEDIOS DE VERIFICACIN
h) Comit Informtico
entidades adscritas.
aspectos.
MEDIOS DE VERIFICACIN
Creacin y Objetivos
Integracin
Funciones
Sesiones
Subcomisiones de apoyo
3.1.1.2 S I S T E M AS I N F ORM T I C OS
a) Polticas de Software
Codificacin de software
75
Nomenclatura,
Interfaz de usuario
Interoperabilidad
Escalabilidad,
Estndares de desarrollo
Documentacin
Calidad
Mecanismos de autorizacin
Integridad de la informacin
Control de acceso
Respaldos
Requerimientos de seguridad
MEDIOS DE VERIFICACIN
software.
b) Adquisicin de Software
tcnica documentada.
Anlisis de riesgo.
Costo beneficio.
delegado.
personalizados e implantados.
Aplicaciones existentes
implantacin.
manera permanente
MEDIOS DE VERIFICACIN
Portafolio de proyectos.
Pliegos
Contrato
Actas entrega-recepcin.
Procedimiento Precontractual
correspondiente.
- Pliego
79
proceso.
- Acta de Negociacin
- Resolucin de Adjudicacin
errores.
otras sanciones.
c) Desarrollo de Software
Anlisis de riesgo.
Costo beneficio.
Tipos de usuarios
Requerimientos de entrada
control, seguridad
Plan de pruebas
Trazabilidad
implantacin.
personalizados e implantados.
Aplicaciones existentes
manera permanente.
MEDIOS DE VERIFICACIN
d) Mantenimiento de Software
aplicacin por:
Planeacin
evidencias.
produccin.
publicarlos.
de produccin.
MEDIOS DE VERIFICACIN
aplicacin.
e) Aplicaciones y Servicios
MEDIOS DE VERIFICACIN
3.1.1.3 I N F R AE S T R U C T U R A T E C N O L GI C A
tecnolgica
a) Administracin de la Infraestructura
tecnolgicos.
85
b) Adquisicin de la Infraestructura
documentada.
marca,
modelo,
nmero de serie,
capacidades,
confidencialidad
MEDIOS DE VERIFICACIN
Portafolio de proyectos.
Pliegos
Contrato
Actas entrega-recepcin.
infraestructura tecnolgica
87
registros contables.
costo adicional.
de tecnologa de informacin.
informacin.
usuarios.
MEDIOS DE VERIFICACIN
infraestructura tecnolgica.
88
Riesgos
Evaluacin de vulnerabilidades.
Requerimientos de seguridad.
Nmero de serie
Marca
Caractersticas principales.
Fecha de compra
Periodo de garanta
Reporte de incidentes.
89
3.1.1.4 S E G URI D AD E S
sistemas informticos.
y bibliotecas;
controlar el fuego
electrnica.
electrnicas.
seguros
MEDIOS DE VERIFICACIN
cambios
3.1.1.5 M ON I T O R E O Y E V AL U AC I N
a) Procesos y Servicios.
MEDIOS DE VERIFICACIN
satisfaccin al cliente
Informes de gestin
3.2 E V AL U AC I N D E R I E S G OS
3.2.1 I D E N T I F I C AC I N D E L OS R I E S G OS
las reas.
los riesgos.)
3.2.2 A N L I S I S D E L OS R I E S G OS
3.2.2.1 N I V E L D E R I E S G O
este proceso?
efectividad en la realidad.
5 Casi cierta
4 Probable
3 Posible
95
2 Poco probable
Rara
5: Grave.
4. Daos mayores.
3. Mediano.
2. Leve.
1. Muy leve.
identificado ocurre?
Anlisis de riesgos.)
3.2.3 M AP E O DE R I E S G OS
3.2.4 P R I OR I Z AC I N DE R I E S G OS
decisiones, con base en los resultados del anlisis de riesgos, sobre los
Riesgos a tratar, marcar con una x los riesgos que tanto por su
3.2.5 P L AN D E T R AT AM I E N T O DE R I E S G OS
establecido.
b) Definir las acciones que deben cumplirse para mitigar (de ser
impacto.
alcanzarlos.
metodologa en su redaccin:
1) Agregacin ms preposicin
- 4 (cantidad de)
- Un (Total de)
- carreteras
mantenidas
recuperadas
99
implementado
4) Adjetivo
mantenimiento vial
3.3 I D E N T I FI C AC I N D E L OS C O N T R O LE S C L AV E S
3.3.1 P R U E B AS S U S T AN T I V AS
3.3.2 P R U E B AS D E C U M P L I M I E NT O
informtica.
a) Documentacin
k) Persona responsable
3.4 P R O C E D I M I E N T OS DE AU D I T OR A A S E R AP LI C AD O S
Sistemas, s.f.)
3.4.1 O R G AN I Z AC I N Y AD M I NI S T R AC I N
3.4.1.1 P L AN E S E S T R AT GI C OS Y OP E R AT I V OS
plazo.
rea de TI.
empleado de TI.
desarrollan.
departamentos usuarios.
estratgico de TI.
conforme al cargo.
105
3.4.1.3 N O R M AS Y P OL T I C AS
autorizadas y actualizadas.
personal de TI.
confidencialidad de informacin.
3.4.2 S I S T E M AS I N F ORM T I C OS
ambiente de produccin.
existentes.
previo a su desarrollo.
operativo y BD.
aplicaciones internas.
108
consulta.
red institucional.
3.4.2.1 A D M I N I S T R AC I N D E C AM BI OS
cambios.
urgentes.
cambio.
funciones.
3.4.2.2 A C R E D I T AC I N DE S I S T E M AS
responsabilidades.
sistemas de informacin.
110
3.4.2.3 D O C U M E N T AC I N T CNI C A
relacin.
puestos en produccin
actualizacin.
3.4.2.4 C O N T R O L D E E NT R AD AS Y S AL I D AS
3.4.2.5 A D M I N I S T R AC I N D E BD
datos.
a los usuarios.
base de datos.
112
diccionario de datos.
aplicaciones.
113
registros.
3.4.3 I N F R AE S T R U C T U R A T E C N O L GI C A
3.4.3.1 M AN T E N I M I E N T O DE H AR D W AR E
principales de la institucin.
114
cada IP.
internas y externas.
a la bitcora.
115
3.4.3.3 A L M AC E N AM I E NT O
o en otro.
asegurar la recuperacin.
3.4.3.4 M AN T E N I M I E N T O DE H AR D W AR E
fallas de rendimiento.
principales de la institucin.
3.4.4 S E G URI D AD E S
3.4.4.1 P L AN D E C ON T I N GE NCI AS
por tecnologa.
el plan de desastres.
aplicaciones crticas.
actualizados.
ao.
desastre.
3.4.4.2 S E G URI D AD L GI C A
fallidos.
peridicamente.
minsculas.
ingresan.
119
seguridad de la informacin.
120
3.4.4.4 S E G URI D AD F S I C A
en el centro de cmputo.
manejo de extintores.
3.5 E L P R OCE S O D E L A A U D I T OR A
3.5.1 ORDEN D E T R AB AJ O
3.5.2 N OT I F I C AC I N DE I NI CI O
3.5.3 S O LI C I T U D I N I C I AL D E I N F ORM AC I N
siguientes objetivos:
122
auditada.
auditadas.
3.5.4 D I AG N S T I C O GE NE R AL Y P L AN I FI C AC I N
su Reglamento.
124
crticas.
3.5.6 C OM E N T AR I O S , C O N C L U S I O N E S Y R E C OM E ND AC I O NE S
Las recomendaciones son las acciones que se requiere para corregir los
3.5.7 C OM U N I C AC I N DE R E S UL T AD OS E I N F OR M E FI N A L
detectados.
3.5.8 S E G UI M I E NT O
General del Estado, las entidades auditadas, debern elaborar un plan que
3.6 I N D I C AD O R E S DE LA S I T U AC I N RE AL D E L A E V AL U ACI N D E L
C O N T R O L I N T E R N O E N L AS E N T I D AD E S P B L I C A S .
0%
reas de Tecnologa Infraestructura
Tecnolgica
4% 2%
Desarrollo y
33% Mantenimiento
33% de Sistemas
Mantenimiento
de Sistemas
8% 20%
Soporte Tcnico
100%
129
Manual de procesos
13%
Si
87% No
27%
Si
73% No
27%
1
73% 2
86% Semanal
Diario
Ninguno
C AP TULO IV
APLI C ACIN P R C TI C A DE L A G U A D E EV ALU ACIN DE
CONTROL INTERNO
4.1 D I AG N S T I C O P RE LI M I N A R
4.1.1 F O R T AL E Z AS
tecnologa.
Plataforma tecnolgica.
4.1.2 O P O RT UN I D ADE S
manualmente.
de cdigo abierto.
4.1.3 D E B I L I D ADE S
tecnolgicos.
4.1.4 A M E N AZ AS
Agitacin social.
4.2 C U E S T I O N AR I OS DE E V AL U ACI N DE C ON T RO LE S
con algn aspecto en particular. Las preguntas debe ser sencillas, directas,
objeto de la auditoria.
135
4.2.1 A D M I N I S T R AC I N Y O RG A N I Z AC I N
PREGUNTAS SI NO OBSERVACIONES
Existe algn documento que contiene las funciones que son El Reglamento Orgnico Funcional se encuentra aprobado
competencia de la Coordinacin General de Servicios
Tecnolgicos, est aprobado y se respeta?
Existe un organigrama con la estructura de organizacin del
rea de TI adecuada para el tamao y las actividades de sus
operaciones? Con que reas cuenta?
Se revisa y modifica peridicamente la estructura
organizacional, con la finalidad de reflejar los cambios en la
unidad o coordinacin de servicios tecnolgicos?
El marco de trabajo para los procesos de tecnologa de
informacin permite la definicin y seguimiento de los
objetivos de los procesos que han sido definidos e
implementados, as como formalmente documentados y
aprobados?
Las funciones y responsabilidades del personal han sido, Falta asignar funciones al nuevo personal que ingres.
correctamente establecidos, formalizados, documentados y
satisfacen los requisitos del rea. Son ejecutados por el
personal con la suficiente formacin y experiencia en la
materia?
Existe un manual de funciones? Existe un orgnico
funcional?
Se realizan evaluaciones peridicas de desempeo a los
servidores?
Existe un Plan Informtico Estratgico y Tecnolgico, Existe un plan estratgico de tecnologa para el ao 2012-
alineado al Plan Estratgico Institucional, Plan Nacional de 2016 no aprobado. En este momento se est realizando la
Desarrollo y a las polticas pblicas aprobados por la mxima Planificacin Estratgica Institucional 2013-2017
autoridad?
Contina
136
4.2.2 S I S T E M AS I N F ORM T I C OS
PREGUNTAS SI NO OBSERVACIONES
Se han adoptado y difundido polticas y estndares para
codificacin de software, nomenclaturas, interfaz de usuario,
eficiencia del desempeo de sistemas, planes de pruebas,
entre otros?
Hay un estndar general para toda la documentacin No se tiene estndares definidos, existen algunos formatos
generada incluyendo documentacin tcnica (anlisis, como el de control de cambios.
diseo, documentacin de los programas), manuales de
usuario, etc
Estn definidas las prcticas de anlisis y diseo e incluye
las tcnicas y herramientas a usar. As como tambin hay
una gua o prcticas de programacin para cada uno de los
lenguajes homologados?
Definicin de procedimientos para mantenimiento y Se tiene documentacin en excel y en el sistema mantis
liberacin de software de aplicacin, por cambios a las
disposiciones legales y normativas, por correccin y
mejoramiento o por requerimientos de los usuarios.
Se cuenta con polticas y procedimientos relacionados con
la captura, actualizacin, procesamiento, almacenamiento y
salida de datos, que aseguren que los mismos sean
completos, precisos, confiables y vlidos?
Polticas y procedimientos actualizados, relacionados con la
instalacin, administracin, migracin, mantenimiento y
seguridad de la base de datos?
Las adquisiciones de software o las soluciones tecnolgicas
son ejecutadas de acuerdo al portafolio de servicios, a los
planes estratgicos y operativos, al plan de compras
aprobados?
En los contratos para la adquisicin de software contienen el
detalle suficiente como: aspectos tcnicos, licencias de uso
Contina
139
4.2.3 I N F R AE S T R U CT U R A T E C N O L GI C A
PREGUNTAS SI NO OBSERVACIONES
Existen polticas y procedimientos para la instalacin y Falta documentar
mantenimiento del hardware y su configuracin base
Existen polticas y procedimientos para la ubicacin, Constantes cambios y reubicacin y puntos de red,
proteccin y mantenimiento de los puntos de red y switches
Existen polticas y procedimientos para la comunicacin al
cliente sobre el uso adecuado de las estaciones de trabajo y
sistemas lgicos.
Las adquisiciones de infraestructura tecnolgica son
ejecutadas de acuerdo al portafolio de servicios, a los planes
estratgicos y operativos, al plan de compras aprobados?
Existe una planificacin del incremento de las capacidades,
evaluacin de riesgos tecnolgicos, costos, vida til para
inversiones futura?
Al realizar las adquisiciones de hardware los contratos
contienen el detalle de los principales componentes como:
marca. Modelo, nmero de serie, capacidades, unidades de
entrada y salida, garantas, entre otros.
Se valida que las especificaciones tcnicas establecidas en
las fases precontractual (pliegos), contractual (contrato), y
las actas entrega recepcin son las mismas?
En el caso de contratos de servicios, se realiza acuerdos de
nivel de servicios puntualizando la seguridad y confiabilidad
de la informacin?
Existe un Plan de mantenimiento de la infraestructura Se tiene un plan de mantenimiento que no se encuentra
tecnolgica? aprobado ni formalizado
Como se controla el mantenimiento a los equipos de Con los contratos de mantenimiento que se dan a los
computacin? equipos.
Se lleva un registro del mantenimiento de los ups? Este mantenimiento no est a cargo de la unidad de
servicios tecnolgicos.
Contina
143
Son atendidas oportunamente las quejas, reclamos y Se lo realiza a travs de la mesa de ayuda
sugerencias formuladas por los usuarios?
Se cuenta con un inventario de equipos tecnolgicos
Que informacin contienen los inventarios? Serie, cdigo, ubicacin, responsable.
Que mecanismos se han utilizado para que las redes Se cuenta solo en los lugares que se tiene realizada la
instaladas ya sean elctricas de voz o de datos, cumplan con planificacin previa de la red
los requerimientos mnimos vigentes de cableado
estructurado? (documentacin, etiquetados, ductos y el
aterrizamiento del mismo)
Cmo se realiza la administracin de incidentes, A travs del sistema, llamadas telefnicas, o pedido
requerimientos de servicio, solicitudes de informacin, personal
cambios que demandan los usuarios?
144
4.2.4 S E G URI D AD E S
Contina
145
los privilegios asociados; asi como a los administradores de les revisa que privilegios tienen.
los sistemas?
Identificacin nica a los usuarios internos, externos y
temporales que interactan con los sistemas y servicios
tecnolgicos?
Existe control sobre las claves de acceso al sistema? Zimbraencriptada
Son verificados los accesos y restricciones a las tablas que No est a nivel de base de datos sino de tablas
autorizan las contraseas a los usuarios?
Se llevan reseas de estadsticas o reseas de fraudes
cometidos con respecto al software del sistema?
Con que periodicidad se saca los back-up (copia de No se estn realizando los backups, no se tiene el storage
seguridad) a la aplicacin?
Pueden los operadores o usuarios modificar los programas
fuente de la aplicacin?
Existe control sobre el ingreso de los funcionarios a la Mediante las tarjetas
entidad?
Se permite el uso de la computadora a personas extraas a la Para las personas que no se encuentran laborando en el
dependencia? Edificio Central se han instalado computadoras para que
utilicen
Existe un plan de contingencia aprobado?
El Plan de Contingencias se encuentra probado y actualizado?
Existen un plan de seguridad?
Hay informacin de carcter confidencial o privada Informacin privada de los funcionarios
relacionada con la aplicacin?
Existen procedimientos formales que garanticen la seguridad
fsica y lgica de los datos en la red, de tal manera que
garanticen la oportunidad, totalidad y exactitud?
Brinda el sistema de administracin de base de datos una Por la naturaleza de la base de datos (Postgres y Mysql )
adecuada proteccin a la informacin y datos almacenados? no permite tener toda la seguridad, se lo realiza
restricciones a las tablas.
Se revisa la bitcora de la base de datos?
Se realizan revisiones peridicas de los recursos tecnolgicos
(hardware y lneas de comunicacin) que permitan determinar
de forma oportuna las necesidades de ampliacin de
Contina
146
4.2.5 M ON I T O R E O Y E V AL U AC I N
4.3 E V AL U AC I N D E R I E S G OS
4.3.1 I D E N T I F I C AC I N DE L OS RI E S G OS
4.3.1.1 R E A D E D E S AR R O L L O , A DM I N I S T R AC I N Y M AN T E NI M I E NT O D E S I S T E M AS
1. Desarrollo de aplicaciones
Mantenimiento de sistemas
4.3.1.2 R E A D E I NF R AE S T R UCT U R A T E CN O L GI C A
crecimiento de las
capacidades de la
infraestructura
8. Mal uso de los servicios Instalan software Mandar a listas negras
por parte de los usuarios. malicioso Envan spam
No existen polticas para
el usuario
No cuidan las claves
9. Acceso a la Informacin de No existe control de Prdida de Informacin
los equipos de los usuarios acceso al equipo
finales mediante clave
personalizada, se
maneja con una sola
clave para todos los
equipos.
No existen polticas para
asignacin de perfiles a
los usuarios
10. Falta de procedimientos No existe un plan de Perdida de servicios por
definidos para mantener la contingencias y de tiempo indefinido.
continuidad de los servicios seguridades.
153
4.3.1.3 R E A D E A DM I N I S T R AC I N Y O R G ANI Z AC I N
3. Organizacin y Administracin.
4.3.2 A N L I S I S D E L OS R I E S G OS
4.3.2.1 R E A D E D E S AR R O L L O A DM I NI S T R AC I N Y M AN T E N I M I E NT O D E S I S T E M AS
+Probabilidad ++Impacto
5. Casi cierta 5. Grave
1. Desarrollo de aplicaciones 4. Probable 4. Daos mayores
3. Posible 3. Mediano
2. Poco probable 2. Leve
1. Rara 1. Muy leve
2. Mantenimiento de sistema
4.3.2.2 R E A D E I NF R AE S T R UCT U R A T E CN O L GI C A
4.3.2.3 R E A D E A DM I N I S T R AC I N Y O R G A N I Z AC I N
4. Organizacin y Administracin
4.3.2.4 R E A D E S OP O RT E Y M ANT E NI M I E N T O A US U AR I O S .
4.3.3 M AP A D E R I E S G OS
4.3.4 P R I OR I Z AC I N D E R I E S G OS
4.3.5 T R AT AM I E NT O D E R I E S G OS
F
(E) Evitar el riesgo: es decidir no empezar o continuar con la actividad que genera el riesgo; implica descontinuar las actividades que los originan.
(R) Reducir el riesgo: incluye los mtodos y tcnicas especficas para tratar los riesgos, identificndolos y proveyendo acciones para la reduccin de su probabilidad e impacto.
(C) Compartir el riesgo: reduce la probabilidad y el impacto mediante la transferencia u otra manera de compartir una parte del riesgo con terceros.
(A) Aceptar el riesgo: no se realiza accin alguna para afectar la probabilidad e impacto.
166
nacional.
Propiedad Intelectual.
Conclusin
Recomendacin
contendr entre otros los siguientes aspectos: descripcin del bien, cdigo
Intelectual.
indicadores de cumplimiento.
Conclusin
cumplimiento.
Recomendaciones
Al Director Administrativo.
obtenerse.
su cumplimiento.
Al Director de Tecnologa
indicadores.
para su aprobacin.
170
C AP TULO V
C ONCLUSIONES Y R ECOMEND ACIO NES
5.1 CONCLUSIONES
crticas.
no justifica la culpa.
tienen definidos los procesos del TI, es por ello que para el diseo
equipos.
5.2 R E C OM E N D AC I ON E S .
procesos.
5.3 B I B LI O G R AF A .
ABREVIATURAS Y ACRNIMOS
Art.- Artculo.