SUMMARY

Controles Estratégicos y

Operacionales de la TI

JOHN KYRIAZOGLOU

www.itgovernance.co.uk

© John Kyriazoglou 2010

El autor tiene los derechos, según la Copyright, Designs y Patents Act, 1988, para ser identificado como el autor de este trabajo.

Primera edición publicada en el Reino Unido (UK) en 2010

Por IT Governance Publishing.

978-1-84928-061-7
 PREFACIO

Se puede fracasar de muchas maneras, pero sólo de una se puede tener éxito.

Aristóteles (384–322 a. C.)

Los activos más críticos, en el siglo 21, para las empresas públicas o privadas, para las
organizaciones, la sociedad global y la economía (local, nacional, internacional) no son activos
materiales (equipos, maquinaria, instalaciones, fábricas), o de naturaleza financiera (dinero,
crédito u otros instrumentos financieros), ni tampoco son software.
Los activos más críticos son el conocimiento (hechos, experiencia, datos sin elaborar, etc.) y las
ideas (conceptos) que están almacenados en sistemas informatizados (personales y corporativos),
en el moderno entorno de negocios.
La tecnología de información y la infraestructura relacionada, los sistemas de información, la red
troncal de comunicaciones (intranet, extranet, metropolitana, Internet, etc.) y las tecnologías de
medios (media), dan a todos los que están en un contexto social, y a los gestores de un entorno
organizativo concreto, acceso directo a lo que está ocurriendo: en la organización concreta, en el
sector de su industria y en la economía general y en el mercado donde la organización opera.
Todos estos componentes tecnológicos, denominados de modo amplio Tecnología de
Información (TI) y los Sistemas de Información (SI) que operan dentro de la TI, posibilitan que
la moderna empresa privada o la corporación u organización pública consiga los siguientes
beneficios (orientativos): Información más rápida y más efectiva para la toma de decisión de
todos los niveles; mayor calidad en los productos y servicios ofrecidos por los sistemas de
información a los clientes (y ciudadanos) y a la sociedad en general.
Con la velocidad de desarrollo del proceso de información y de los procesos y tecnologías de
fabricación de ordenadores, una velocidad sin precedentes en la historia de la humanidad, ahora
las organizaciones pueden hacer que casi todas las operaciones de la actividad diaria se puedan
llevar a cabo en sistemas integrados de información.
Estos sistemas son como los medicamentos, que o bien refuerzan la organización o le permiten
curar o resolver un problema concreto de fallo de funcionamiento.
Sin embargo, siguiendo con la analogía del medicamento, si estos sistemas no se usan de modo
riguroso pueden causar daños y, a menudo, ocasionar resultados inesperados e incluso
catastróficos.
Estos sistemas integrados de información deben, pues, operar dentro de un entorno de negocio
regulado por reglas, políticas, leyes e instrucciones de un marco de referencia de gobernanza
corporativa y gestión del riesgo, y el correspondiente marco de referencia de gobernanza de
tecnología.
Como dijo Negroponte: ‘La próxima década verá casos de abuso sobre la propiedad intelectual y
de invasión de nuestra privacidad. Sufriremos vandalismo digital, piratería del software y robo
de datos’.
Esta predicción se ha cumplido. Los incidentes de seguridad y otros actos de delitos electrónicos
o por medio de ordenadores, están creciendo (como muestra www.cert.org y otros recursos
relacionados con la seguridad).
Kevin David Mitnick, consultor de seguridad de TI, y condenado por varios delitos informáticos
en Estados Unidos a finales de los años 90, dijo: ‘La información valiosa debe protegerse
independientemente de su formato o de dónde esté ubicada. La lista de clientes tiene el mismo
valor si está en papel o en un archivo electrónico, en su oficina o en una caja. Los ingenieros
sociales siempre prefieren lo más fácil de evitar, el punto de ataque menos defendido. Se piensa
que un centro de almacenamiento, fuera de los centros informáticos, tiene menos riesgo de ser
detectado o atacado. Todas las organizaciones que almacenan cualquier datos valioso, sensible o
crítico, en instalaciones o medios de terceros, deberían cifrar sus datos para proteger su
confidencialidad’.
La auditoría de TI mejorará las cualidades de la información (efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento, fiabilidad), según ISACA
(www.isaca.org).
La respuesta para los gestores y líderes de las organizaciones está en planear este nuevo entorno
con las herramientas, metodologías y recursos apropiados.
Esta es, pues, la razón de escribir este libro: ofrecer un libro exhaustivo, práctico y conveniente
(en estilo y contenido) y al mismo tiempo claro en los conceptos, sobre los Controles de TI, su
diseño, implantación, monitorización, revisión y asuntos de auditoría.
En casi todas las clases de organizaciones, públicas o privadas, los controles corporativos
muestran el conjunto de políticas, procedimientos, técnicas, métodos y prácticas para gestionar y
controlar sus operaciones de negocio.
Dentro de sus marcos de referencia de controles corporativos, los controles de Tecnología de
Información (o controles de TI) son acciones específicas -habitualmente especificadas por medio
de políticas, procedimientos, prácticas, etc.- realizadas por personas máquinas o software, con el
objetivo principal de asegurar que se satisfacen los objetivos específicos de negocio.
El objetivo principal de los controles de TI ser refiere al procesamiento seguro,
confidencialidad, integridad y disponibilidad de los datos y a la gestión general de la función de
TI en las organizaciones.
Se dirigen a posibilitar, facilitar y dar soporte al marco de referencia de gestión del conocimiento
de las organizaciones, ya que los sistemas de TI y los elementos relacionados: organizativos,
administrativos y de infraestructura (bases de datos, almacenes de datos, comunicaciones,
herramientas de adquisición de conocimiento y de análisis de datos, etc.) son factores
importantes de este marco de referencia.
Los controles de TI se suelen clasificar, según varias fuentes, en dos categorías: Controles
generales de TI y controles de aplicaciones informáticas.
Los controles generales de TI son aplicables a todas las actividades de TI (sistemas, servicios,
problemas, procesos, operaciones, etc.) y a todos los datos de una organización concreta o de un
entorno de sistemas de TI. Incluyen controles cobre áreas como estrategia de TI, desarrollo de
sistemas, operaciones de centros de datos, infraestructura de bases de datos y comunicaciones de
datos, soporte y mantenimiento del software de sistemas, seguridad de TI, adquisición de
aplicaciones llave en mano, desarrollo y mantenimiento.
Los controles de aplicaciones informáticas son los apropiados para el procesamiento de
transacciones en subsistemas individuales informatizados, como contabilidad financiera,
administración de Personal, ventas a clientes, control del inventario, nóminas, cuentas a pagar,
etc.
Se refieren al procesamiento y almacenamiento de datos en archivos informatizados por medio
de aplicaciones individuales y de programas, y ayuda a asegurar que las transacciones de negocio
están autorizadas y son registradas, almacenadas, procesadas y reportadas de modo íntegro
(completo) y exacto.
Los controles generales de TI se tratan en los capítulos 1 a 8. Los controles de aplicación de TI
se tratan en el capítulo 9. Se incluyen varios casos de estudio en el capítulo 10.
El método seguido en este libro es el de poner en funcionamiento y operar cualquier función o
entidad de negocio, como ventas, producción, TI, etc. y los controles precisos (planes, políticas,
procedimientos, prácticas, etc.) para gestionarla y operarla mejor. Es un libro práctico, basado
sobre todo en la experiencia práctica del autor, complementada, en algunos casos con
investigación.
Inicialmente usted establece la entidad o función de TI y sus controles (Capítulo 1: Controles de
la organización de TI).
Como segunda acción, usted diseña e implanta las políticas y procedimientos básicos de TI para
obtener los recursos necesarios (Capítulo 2: Controles de administración de TI).
Su tercera actividad es diseñar (o mejorar la ya existente) una arquitectura de negocio para
posibilitar el proceso estratégico de TI (Capítulo 3: Controles de Arquitectura de la Empresa).
Después de estar puesta en marcha la función de TI con estructura, personal, administración y
Arquitectura de la Empresa, usted construye una estrategia de TI y la alinea con las funciones de
negocio de la organización (Capítulo 4: Controles estratégicos de TI).
Ahora, poniendo en acción su estrategia de TI, puede crear productos y servicios seguros y con
calidad. Para ello, usted desarrolla y diseña sistemas de aplicaciones. (Capítulo 5: Controles del
desarrollo de sistemas) y crea e implanta controles de seguridad (Capítulo 6: Controles de
seguridad de TI).
Para ejecutar estos sistemas de aplicaciones y proporcionar servicio a todos los niveles y
ubicaciones de la organización y la comunidad extendida, incluyendo otras partes
interconectadas, usted necesita crear y operar una infraestructura física y conseguir servicios de
proveedores externos especializados (Capítulo 7: Controles de operaciones y soporte del Centro
de Procesamiento de Datos).
Ya que estos sistemas de aplicación informatizados están constituidos con software de
aplicación, que no puede funcionar él solo, sino que debe tener software de sistemas, sobre el
cual puede conseguir sus tareas, usted necesita instalar y configurar software específico de
sistemas y plataformas tecnológicas, como sistemas de gestión de bases de datos,
comunicaciones de datos y software de redes, etc. (Capítulo 8: Controles de software de
sistemas).
Por último, pero no menos importante, todos los sistemas de aplicaciones informáticas están
compuestos de programas individuales, que reciben datos de las transacciones de negocio,
comprueban que no tengan errores, las procesan y almacenan en archivos informatizados y
proporcionan informes y resultados a todos los usuarios autorizados de esos sistemas. Como
estos programas necesitan cumplir sus tareas con el mayor nivel posible de exactitud, calidad y
seguridad, deben aplicarse controles específicos en los programas individuales o subsistemas
(Capítulo 9: Controles en aplicaciones informáticas).
Además, varios casos de estudio sobre el uso de controles de TI presentados en todos estos
capítulos, se perfilan en el Capítulo 10 (Uso de Controles de TI en misiones de auditoría y
consultoría).
Todos los capítulos contienen ejemplos de varios planes, políticas, procedimientos,
metodologías, formularios, medidas de desempeño o rendimiento y otros controles (p.e.
programas y listas de comprobación de auditoría), y se complementan y reciben apoyo de un
apéndice, que contiene varias herramientas (políticas, formularios, metodología de auditoría,
etc.).
Cada capítulo tiene un alcance, la descripción de los principales tipo de control del área
particular (p.e. organización de TI, administración de TI, etc.), un ejemplo de las medidas de
desempeño o rendimiento (estratégico y operacional), varios programas y listas de comprobación
de auditoría y un conjunto de preguntas de revisión.
Las medidas de desempeño operacional supervisan la implantación y efectividad de las
estrategias de TI de una organización, determinar el diferencia entre el desempeño real y el
objetivo y determinar la efectividad, calidad de productos y servicios y la eficiencia operacional.
La medida del desempeño puede definirse como: (a) el cálculo de lo conseguido, para medir y
gestionar la calidad de un proyecto, (b) el grado de logro de un objetivo, comparándolo con un
esfuerzo dado, o (c) el acto de medir o el proceso de ser medido.
Un indicador o medida esencial del desempeño es una descripción de qué se mide, para
determinar hasta qué punto se han conseguido los objetivos y resultados.
Un indicador o medida de cumplimiento muestra: (a) si los planes, políticas, procedimientos, etc.
existen o no, (b) si los elementos anteriores se siguen o no, y (c) si la organización cumple o no
con las leyes específicas, las normas de la industria, los códigos éticos, como el Acta SOX, las
leyes de privacidad de datos, las regulaciones bancarias, las normas ISO, etc.
En los capítulos 1 a 9 se incluyen ejemplos de medidas del desempeño y del cumplimiento.
Se añaden programas y listas de comprobación de auditoría de TI en un volumen separado,
Apéndice a los Controles Estratégicos y Operaciones de TI, en formato pdf.
La audiencia potencial de este libro incluye gestores de TI, auditores de TI, gestores de
proyectos de TI, auditores de Sistemas de Información, personas de desarrollo de sistemas o de
mantenimiento y soporte de software, expertos en ciberdelincuencia, inspectores de fraude,
profesionales de seguridad y del riesgo, consultores de TI, estudiantes de contabilidad , finanzas,
auditoría interna y administración de empresas, todos los niveles de gestores de organizaciones
públicas y privadas, auditores externos, expertos en desempeño (rendimiento) corporativo,
miembros de Consejo de Administración, asesores en Recursos Humanos y cualquiera interesado
en cómo pueden gestionarse y controlarse mejor las operaciones, actividades e inversiones de las
organizaciones.
Los materiales, conceptos, ideas, planes, políticas, procedimientos, formularios métodos,
herramientas, etc, que se presentan, describen y analizan en los capítulos y apéndices se
muestran con propósito educativo y de entrenamiento. Están basados en la experiencia del autor
y en los recursos identificados en la bibliografía.
Tal vez pueden usarse sólo como una muestra inicial, y debe personalizarse en cada
organización, tras pensarlo mucho y con cuidado, teniendo en cuenta las necesidades y requisitos
de cada organización, las expectativas y las implicaciones y aspectos de los entornos legal,
nacional, religioso, filosófico, cultural y social, con lo cuales cada organización existe y opera.
Confío en que este libro pueda ayudarle a ejecutar actividades de gestión de un modo más
eficiente y a comprender y controlar mejora las organizaciones.
John Kyriazoglou, CICA, BA (Hons)
jkyriazoglou@hotmail.com
 CONTENIDO

CAPÍTULO 1: CONTROLES DE LA ORGANIZACIÓN DE TI 1

1.1 Alcance........................................................................1

1.2 Propósito y principales tipos de controles organizativos 2

1.3 Controles de la descripción funcional de la organización de TI 4

1.4 Controles de la organización de TI...........................25

1.5 Definición de la visión, la misión y los valores de TI32

1.6 Marcos de referencia de gobernanza y control de TI 33

1.7 Controles de monitorización y revisión....................45

1.8 Medidas del desempeño de la organización de TI....48

1.9 Técnicas y herramientas de revisión y auditoría.......50

1.10 Conclusión...............................................................60

1.11 Preguntas de repaso.................................................62

CAPÍTULO 2: CONTROLES DE LA ADMINISTRACIÓN DE TI 66

2.1 Alcance......................................................................66

2.2 Propósito y principales tipos de controles administrativos de TI 67

2.3 Normas, políticas y procedimientos de TI................68

2.4 Presupuesto de TI......................................................70

2.5 Controles sobre los activos de TI..............................72

2.6 Controles de gestión del personal de TI....................73

 2.7 Controles sobre las compras de TI............................90

2.8 Controles administrativos de TI..............................101

2.9 Controles de monitorización y revisión..................106

2.10 Medidas del desempeño de la administración de TI107

2.11 Técnicas y herramientas de revisión y auditoría...109

2.12 Conclusión.............................................................119

2.13 Preguntas de repaso...............................................121

Capítulo 3: CONTROLES DE LA ARQUITECTURA DE LA EMPRESA 125

3.1 Alcance....................................................................125

3.2 Propósito y principales tipos de controles de la Arquitectura de la Empresa 126

3.3 Controles de la descripción de la Arquitectura de la Empresa (AE) 129

3.4 Plan de gestión para el diseño y la implantación de un marco de referencia de la

Arquitectura de la Empresa (EA)..................................138

3.5 Roles de desarrollo de la Arquitectura de la Empresa141

3.6 Formulación y documentación de los elementos de la Arquitectura de la Empresa 144

3.7 Otros controles de Arquitectura de la Empresa relacionados con el negocio 157

3.8 Controles de la Arquitectura de la Empresa relacionados con la TI 160

3.9 Controles de monitorización y revisión..................160

3.10 Herramientas y técnicas de revisión y auditoría. . .162

3.11 Conclusión.............................................................172

3.12 Preguntas de repaso...............................................174

Capítulo 4: CONTROLES ESTRATÉGICOS DE LA TI178

4.1 Alcance....................................................................178
 4.2 Características de la estrategia................................179

4.3 Propósito y principales tipos de controles estratégicos de TI 183

4.4 Controles del proceso de estrategia de TI...............184

4.5 Controles de la implantación de la estrategia de TI 202

4.6 Controles estratégicos de la gestión del desempeño de TI 210

4.7 Controles de monitorización y revisión..................218

4.8 Herramientas y técnicas de revisión y auditoría.....222

4.9 Conclusión...............................................................233

4.10 Preguntas de repaso...............................................236

Capítulo 5: CONTROLES DEL DESARROLLO DE SISTEMAS 239

5.1 Alcance....................................................................239

5.2 Propósito y principales tipos de controles del desarrollo de sistemas 240

5.3 Controles del proceso del desarrollo de sistemas de aplicación 241

5.4 Controles de la calidad del desarrollo del sistema. .267

5.5 Controles de gestión de cambios.............................270

5.6 Controles del personal de desarrollo de sistemas..274

5.7 Controles de monitorización y revisión..................278

5.8 Medidas del desempeño del desarrollo de sistemas 278

5.9 Herramientas y técnicas de revisión y auditoría.....280

5.10 Conclusión.............................................................292

5.11 Preguntas de repaso...............................................293

Capítulo 6: CONTROLES DE LA SEGURIDAD DE LA TI 298

6.1 Alcance....................................................................298
 6.2 Propósito y principales tipos de controles de seguridad de TI 299

6.3 Directrices de gobernanza, normas y marcos legales de referencia de seguridad de TI

.......................................................................................301

6.4 Planes y políticas de seguridad de TI................308

6.5 Procedimientos y prácticas de seguridad de TI.......322

6.6 Controles especializados de seguridad de TI para la protección de hardware y software

.......................................................................................336

6.7 Controles de evaluación y monitorización de la seguridad de TI 338

6.8 Medidas del desempeño de la seguridad de TI.......344

6.9 Herramientas y técnicas de revisión y auditoría.....346

6.10 Conclusión.............................................................356

6.11 Preguntas de repaso...............................................358

Capítulo 7: CONTROLES OPERATIVOS Y DE SOPORTE DEL CENTRO DE

PROCESAMIENTO DE DATOS.................................363

7.1 Alcance....................................................................363

7.2 Propósito y principales clases de controles operativos y de soporte del centro de

procesamiento de datos.................................................364

7.3 Controles del diseño y la infraestructura de los centros de procesamiento de datos 365

7.4 Controles de acceso físico al centro de procesamiento de datos 378

7.5 Controles de gestión del hardware..........................382

7.6 Controles de planificación de contingencias de TI y recuperación de desastres 387

7.7 Controles de monitorización y revisión..................399

7.8 Medidas del desempeño operativo de la TI.............404

7.9 Herramientas y técnicas de revisión y auditoría.....406

7.10 Conclusión.............................................................420

7.11 Preguntas de repaso...............................................423

Capítulo 8: CONTROLES DEL SOFTWARE DE SISTEMAS 428

8.1 Alcance....................................................................428

8.2 Propósito y principales tipos de controles del software de sistemas 429

8.3 Controles del entorno operativo del software de sistemas 430

8.4 Controles de las bases de datos...............................443

8.5 Controles de las comunicaciones de datos..............453

8.6 Controles de archivo de log de pistas de auditoría..465

8.7 Controles de monitorización y revisión..................467

8.8 Medidas del desempeño técnico de TI....................469

8.9 Herramientas y técnicas de revisión y auditoría.....470

8.10 Conclusión.............................................................488

8.11 Preguntas de repaso...............................................489

Capítulo 9: CONTROLES DE APLICACIONES INFORMÁTICAS 494

9.1 Alcance....................................................................494

9.2 Propósito y principales tipos de controles de aplicaciones informáticas 495

9.3 Controles de entrada, procesamiento y salida.........497

9.4 Controles de bases de datos, cambios y pruebas de aplicaciones informáticas 503

9.5 Controles de informática de usuario final...............518

9.6 Controles de monitorización y revisión..................520

9.7 Medidas de desempeño de aplicación informática..522

9.8 Herramientas y técnicas de revisión y auditoría.....523

9.9 Conclusión...............................................................548

9.10 Preguntas de repaso...............................................550

Capítulo 10: USO DE LOS CONTROLES DE TI EN LA FUNCIÓN DE AUDITORÍA Y
CONSULTORÍA............................................................554

10.1 Alcance..................................................................554

10.2 Propósito...............................................................554

10.3 Operación al por menor: caso de estudio de la estrategia de TI 555

10.4 Compañía comercial: caso de estudio de controles de aplicaciones 561

10.5 Organización pública: caso de estudio de seguridad de TI 565

10.6 Contrato de auditoría de TI para la organización ‘ABCXYZ’568

10.7 Revisión de las políticas y procedimientos de TI para la compañía ‘ABCXXYX’ 596

10.8 Conclusión final....................................................612

APÉNDICES: EJEMPLOS DE POLÍTICAS, DIRECTRICES, FORMULARIOS Y

METODOLOGÍAS........................................................617

Apéndice 1: Ejemplos de políticas de seguridad de TI. 617

Apéndice 2: Ejemplo de código ético de TI..................635

Apéndice 3: Lista de comprobación de la monitorización de los controles de TI 636

Apéndice 4: Ejemplos de formularios de TI.................650

Apéndice 5: Metodología de auditoría de TI................670

Apéndice 6: Áreas de auditoría de TI............................683

Apéndice 7: Ejemplo de informe de auditoría interna. .689

OTROS RECURSOS.....................................................692

Libros y artículos...........................................................692

Otros tipos de recursos..................................................707

RECURSOS DE ITG.....................................................710