Instituto Politécnico Nacional

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Instituto Politécnico Nacional"

Transcripción

1 Instituto Politécnico Nacional Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Profesional Interdisciplinaria de Ingeniería y Ciencias Sociales y Administrativas Tesina: Propuesta de control de cambios e inventario Aguilar González Gabriel Alejandro Aguilar Haro Hugo Sánchez Cabrera Viridiana Sánchez Morales Alejandro Misael Zamora Jiménez Dalia Vianey

2 IPN ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD CULHUACAN TESINA QUE PARA OBTENER EL TITULO DE: LICENCIADO EN CIENCIAS DE LA INFORMÁTICA POR LA OPCION DE SEMINARIO DE TITULACION: AUDITORIA DE LAS TECNOLOGIAS DE LA INFORMACION Y COMUNICACIONES Vigencia: DES/ESIME-CUL/2009/38/10 DEBERA DESARROLLAR: Aguilar González Gabriel Alejandro Aguilar Haro Hugo Sánchez Cabrera Viridiana Sánchez Morales Alejandro Misael Zamora Jiménez Dalia Vianey NOMBRE DEL TEMA PROPUESTA DE CONTROL DE CAMBIOS E INVETARIOS CAPITULADO I. Introducción a las auditorias de TIC s II. Teoría del análisis de riesgos III. Introducción a COBIT IV. Infraestructura de TIC S V. DS9 Administración de la configuración VI. Producto Propuesta del Control de cambios e inventarios México D.F. a 21 de agosto de 2010 M. en C. RAYMUNDO SANTANA ALQUICIRA ING. MIGUEL ANGEL MIRANDA HERNANDEZ Director del Seminario Asesor M. en C. LUIS CARLOS CASTRO MADRID Jefe de la Carrera de Ingeniería en Computación

3 Agradecimientos Aguilar González Gabriel Alejandro La presente Tesis es la culminación de una etapa más de mi vida, donde diferentes personas de forma directa o indirecta me llevaron a que el día de hoy, se encuentre en sus manos. En primera instancia debo agradecer a mi abuelita, hermano, padres y demás familiares su apoyo, motivación y amor incondicional que me han sabido brindar desde que tengo uso de razón, pues ellos han sido la base de mi formación personal. Posteriormente a mis hermanos de escuela que han estado conmigo en todo momento, apoyándonos mutuamente desde el inicio hasta el final de ésta carrera profesional, destacando principalmente a Hugo Aguilar y a Jesús Bernal, de igual forma a todos aquellos que me acompañaron dentro de los diferentes planteles donde estudiamos juntos, pues a lo largo de estos años compartimos un hermoso vínculo llamado amistad. No podría olvidar a mis apreciados maestros, que con sus sabías enseñanzas, buenos consejos y tremenda bondad, me han sabido transmitir los conocimientos iniciales para una larga trayectoria en mi carrera profesional que apenas comienza. Al glorioso Instituto Politécnico Nacional, que bien me dio la oportunidad de estar dentro de sus filas, particularmente al CECYT núm. 13, UPIICSA y ESIME Culhuacán que han sido las escuelas donde he aprovechado diferentes conocimientos. A todos y cada uno de ellos que aquí menciono: Gracias, sin ustedes, la presente tesis no se hubiera llevado a cabo.

4 Aguilar Haro Hugo La presente tesina la dedico con cariño a mi madre y mi abuelita, las dos mujeres que más admiro y quienes me han brindado su amor y apoyo a lo largo de toda mi vida, enseñándome a ser mejor cada día y a esforzarme siempre ante cada reto que surge en la vida y a mis maestros quienes al brindar su discernimiento, sabiduría y experiencia hicieron posible la culminación de este proyecto, forjándome como un profesionista. Les agradezco su dedicación y aprecio, para ustedes mi más profundo respeto y reconocimiento. Sánchez Cabrera Viridiana A Dios por darme salud, sabiduría y perseverancia hasta este momento tan importante en mi formación profesional y personal. A mis padres por confiar en mi capacidad y brindarme su apoyo para seguir adelante en todo momento. Gracias a mis hermanas que son parte fundamental en mi vida y que con su ejemplo y cariño forman parte de este logro. Quiero agradecer sinceramente a todas aquellas personas que compartieron sus conocimientos, enseñanzas, ideas, apoyo y recomendaciones desde el inicio de mis estudios hasta la culminación de esta etapa en mi vida. A todos los colaboradores de este trabajo, mis compañeros de tesis, con los cuales fue un verdadero placer trabajar en este proyecto, sus aportaciones y el esfuerzo de todos y cada uno de nosotros se ve reflejado en estas páginas. Por ultimo una gran mención al Instituto Politécnico Nacional por ser mi casa de estudios y darme la oportunidad de obtener este título tan anhelado. Sánchez Morales Alejandro Misael Un logro más!, gracias a mis padres por la ayuda durante toda mi formación, gracias a mi amor Dalia, por siempre brindarme su apoyo y por estar a mi lado dándome ánimos para seguir adelante. Zamora Jiménez Dalia Vianey Les agradezco a mi madre y padre, por estar en los momentos más importantes y difíciles de mi vida, dándome su apoyo y buenos deseos, ya que sin ellos no estaría aquí el día de hoy. También le agradezco a mi novio por estar a mi lado y por compartir este momento junto a mí.

5 INDICE Capítulo 1. Introducción a las auditorias de TIC s Concepto de auditoría Objetivos de la auditoría Tipos de auditoría Auditores informáticos Evolución de la práctica de Auditoría Auditoría interna y Auditoría externa Auditoría interna Auditoría externa Diferencias entre auditoría interna y auditoría externa Delito informático Concepto de delito y delito informático Consecuencias del delito informático Abuso computacional Consecuencias de Abusos Regulación del delito informático en México Beneficios de la auditoría Responsabilidad de la dirección en el control del fraude Concepto de fraude La Dirección, el Fraude y el auditor Ante un hallazgo de fraude Fraude informático Algunos fraudes informáticos Clasificación de atacantes Capítulo 2. Teoría del análisis de riesgos Riesgos Sistemas de control de riesgos Sistemas Comunes de Gestión Riesgo e Importancia Relativa Definición de conceptos de Riesgos asociados a la Auditoría Administración de riesgos Definición de Administración de Riesgos Medición y Evaluación del Riesgo Capítulo 3. Introducción a COBIT Misión de COBIT Procesos de COBIT Planear y organizar (PO) Adquirir e implementar (AI) Entregar y dar soporte (DS)

6 3.2.4 Monitorear y evaluar (ME) Modelos de madurez Medición del desempeño Cubo de COBIT Navegación en COBIT Capítulo 4. Infraestructura de TIC S Definición de infraestructura en TIC S Infraestructura en COBIT AI1 Identificar Soluciones Automatizadas AI3 Adquirir y Mantener Infraestructura Tecnológica AI4 Facilitar la Operación y el Uso AI5 Adquirir Recursos de TI AI6 Administrar Cambios Infraestructura y adopción de las TIC s por la población en México Estadísticas sobre disponibilidad y uso de TIC s en los hogares Establecimientos que usan tecnologías de la información en susprocesos y relaciones con los clientes, por tamaño del establecimiento, Capítulo 5. DS9 Administración de la configuración Objetivos de control Directrices gerenciales Modelo de madurez Capítulo 6. Producto Propuesta del Control de cambios e inventarios Introducción Datos de la empresa Estado actual Planificación de tareas Análisis de riesgos (metodología de COBIT) Análisis de Software para la propuesta de solución Aspectos a evaluar Ponderación Evaluación de software Propuesta de solución Recomendaciones de implementación y uso del software Conclusiones Anexos Glosario Índice de tablas y figuras Bibliografía

7 INTRODUCCIÓN En las dos últimas décadas se han dado enormes progresos en la tecnología de la información, en la presente década parece ser muy probable que habrá una gran demanda de información respecto al desempeños de los organismos sociales. La auditoría tradicional (financiera) se ha preocupado históricamente por cumplir con los requisitos de reglamentos y de custodia, sobre todo se ha dedicado al control financiero. Este servicio ha sido, y continúa siendo de gran significado y valor para nuestras comunidades industriales, comerciales y de servicios a fin de mantener la confianza en los informes financieros. Con el desarrollo de la tecnología de sistemas de información ha crecido la necesidad de examinar y evaluar lo adecuado de la información administrativa, así como su exactitud. En la actualidad, es cada vez mayor la necesidad por parte de los funcionarios, de contar con alguien que sea capaz de llevar a cabo el examen y evaluación de: La calidad, tanto individual como colectiva, de los gerentes (auditoria administrativa funcional). La calidad de los procesos mediante los cuales opera un organismo (auditoria analítica). Lo que realmente interesa destacar, es que realmente existe una necesidad de examinar y evaluar los factores externos e internos de la empresa y ello debe hacerse de manera sistemática, abarcando la totalidad de la misma. Es por todo ello que la necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL. En conclusión la auditoria informática es la indicada para evaluar de manera profunda, una determinada organización a través de su sistema de información automatizado, de aquí su importancia y relevancia.

8 I. Objetivo Desarrollar un marco de referencia que sirva para administrar los inventarios de infraestructura de los servicios de T.I. II. Problemática El hecho de no disponer de un control de inventario, ha generado una serie de pérdidas, particularmente en los 2 últimos meses se ha extraviado: 2 lectoras de USB, 1 scanner de llavero y una laptop hp. III. Justificación Se pretende proveer de soluciones informáticas para mantener un control de cambios en la empresa, con el objeto de identificar de forma inmediata qué elementos debemos sustituir y con qué características según lo requiera la empresa. IV. Alcance Este trabajo nos permitirá controlar el inventario y gestionar los bienes físicos informáticos de la empresa (hardware).

9 Capítulo 1. INTRODUCCIÓN A LAS AUDITORÍAS DE TIC S 1.1 Concepto de auditoría La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. Es un proceso, de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los fines de la organización, y utiliza eficientemente los recursos. Instrumento de control utilizado para asegurar el adecuado uso, protección y control de los elementos informáticos, y su contribución a la protección del patrimonio de la empresa, y apoyo al logro de los objetivos. 1.2 Objetivos de la auditoría Uso eficiente y eficaz de protección y control de los Elementos informáticos. Este objetivo pone énfasis en los elementos informáticos (TI blandas y duras). Protección del patrimonio de la empresa. Esto se logra con buena información de apoyo para la planificación y control de los activos, así como a las funciones financieras. Alineamiento de la información a las áreas críticas del negocio para lograr los objetivos. Este es el objetivo más general y relevante. 1.3 Tipos de auditoría Los distintos tipos de auditoría que se pueden realizar se clasifican en: Financiera Verificativa Informática Operativa o de Gestión Técnicas Auditoría financiera: Las que se hacen con el fin de asegurar el adecuado registro de las transacciones, el cumplimientos de los principios de Contabilidad generalmente aceptados y los planes y regulaciones contables y financieros, que obligan a la organización. Página 1 de 83

10 Auditoria verificativa de procedimientos: El objetivo es una revisión y puesta en práctica de los sistemas, políticas y procedimientos establecidos por la dirección. Auditoria Informática.- Evalúa y comprueba los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software. Dentro de la auditoría informática destacan los siguientes tipos (entre otros): Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc. Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas. Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos. Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio. Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno. Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información. Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes. Auditoria operativa.- Es una auditoría de actitud mental del auditor. Se trata del control sobre las actividades desarrolladas por una sociedad. Es un enfoque de la auditoría encaminado a examinar los datos como medio para mejorar las actividades de la empresa. Auditoría técnica.- Es una revisión de los métodos y técnicas utilizadas en la realización de las operaciones de la empresa. 1.4 Auditores informáticos Los profesionales que por su formación y capacitación profesional deben asumir la función de Auditoría Informática son sin lugar a duda los profesionales TIC. En el ámbito del sector privado existen organizaciones profesionales que habilitan a un profesional como auditor informático mediante la certificación profesional que gestionan. Página 2 de 83

11 El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. 1.5 Evolución de la práctica de Auditoría Enfoque tradicional Su finalidad está asociada a la evaluación de un conjunto de prácticas operativas vinculadas al diseño, desarrollo y explotación del soporte de TI, así como de la adquisición de bienes o contratación de servicios requeridos para brindar estas funciones y su administración Nueva visión Evaluar el nivel de seguridad y control del entorno IT asegurando que el mismo refuerza la estructura de control interno de la organización. Asegurar que la organización obtiene un mayor beneficio de sus recursos de IT contribuyendo a reforzar el Gobierno Corporativo de la organización. Esta evolución está fundamentada principalmente en: Nueva visión de los riesgos y su administración Tratar de lograr un enfoque más proactivo. Agregar valor. 1.6 Auditoría interna y Auditoría externa Figura 1.1 Auditoría informática Auditoría interna La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento. Página 3 de 83

12 Se define como una función de valoración independiente establecida dentro de una organización para examinar y evaluar sus actividades como un servicio a la organización. Características El auditor tiene relación con la empresa. La relación con la empresa puede influir en la emisión del juicio sobre la valuación de las áreas de la empresa. Informe para uso interno. Permite detectar problemas y desviaciones. Puede actuar periódicamente como parte de su Plan Anual. Los auditados conocen estos planes y se habitúan a las Auditorías. Las Recomendaciones habidas benefician su trabajo. Se define como una función de valoración independiente establecida dentro de una organización para examinar y evaluar sus actividades como un servicio a la organización. Su objetivo es asistir a los miembros de la organización en el cumplimiento efectivo de sus responsabilidades. Proporciona análisis, valoraciones, recomendaciones, consejo e información sobre las actividades revisadas. Los miembros de la organización asistidos por la auditoría interna son tanto la dirección como el Consejo de Administración. La independencia permite a los auditores internos emitir juicios imparciales y sin prejuicios, lo que es esencial para la adecuada ejecución de las auditorias. Esto se consigue mediante un adecuado nivel en la organización y con objetividad. Funciones de la auditoría Interna La salvaguardia del inmovilizado material e inmaterial de la entidad. La exactitud y fiabilidad de los registros contables. El fomento de la eficiencia operativa. La adhesión a las políticas de la entidad y el cumplimiento de sus obligaciones legales. Auditor Interno Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informativas, así como en las fases análogas de realización de cambios importantes. Revisar y juzgar los controles implantados en los sistemas informativos para verificar su adecuación a las órdenes e instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes. Revisar y juzgar el nivel de eficacia, utilidad; fiabilidad y seguridad de los equipos e información. Página 4 de 83

13 1.6.2 Auditoría externa Propuesta de control de cambios e inventarios. Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados. La auditoría externa se puede definir como un servicio público o privado prestado por profesionales calificados en Auditoría Informática, que consiste en la realización, según normas y técnicas específicas, de una revisión de las TIC, a fin de expresar su opinión independiente sobre si lo auditado presentan violaciones, irregularidades, fraudes u errores en un momento dado, sus resultados y hallazgos durante un periodo determinado, de acuerdo con las normas de control interno, normas ISO y otras que sea de competencias. Características de la auditoría externa El auditor no tiene relación con la empresa. Revisión independiente con total libertad de criterio sin ninguna influencia. Realizadas por despachos de auditores. Generalmente solicitado por instituciones. Objetivo de la auditoría externa El objetivo principal de una auditoría externa es la expresión de una opinión respecto de la calidad de los estados financieros de la entidad, por lo que el auditor externo se ocupa principalmente de la fiabilidad de la información financiera Diferencias entre auditoría interna y auditoría externa Existen diferencias substanciales entre la Auditoría Interna y la Auditoría Externa, algunas de las cuales se pueden detallar así: En la Auditoría Interna existe un vínculo laboral entre el auditor y la empresa, mientras que en la Auditoría Externa la relación es de tipo civil. En la Auditoría Interna el diagnóstico del auditor, está destinado para la empresa; en el caso de la Auditoría Externa este dictamen se destina generalmente para terceras personas ajenas a la empresa. La Auditoría Interna está inhabilitada para dar Fe Pública, debido a su vinculación contractual laboral, mientras la Auditoría Externa tiene la facultad legal de dar Fe Pública. La Auditoría Interna es el control de controles evaluando permanentemente el control interno, la Auditoría Externa evalúa el control interno en forma recurrente. Página 5 de 83

14 Aunque el auditor interno posee independencia, esta es limitada frente a terceros por su vínculo laboral. En la auditoría externa la independencia es absoluta. Mientras el examen del auditor interno es ipso facto, en el momento, el examen del auditor externo es ex post facto, después de sucedido los hechos. 1.7 Delito informático Concepto de delito y delito informático Concepto de delito El delito, en sentido estricto, es definido como una conducta, acción u omisión típica (tipificada por la ley), antijurídica (contraria a Derecho), culpable y punible. Supone una conducta infraccional del Derecho penal, es decir, una acción u omisión tipificada y penada por la ley. La palabra delito deriva del verbo latino delinquere, que significa abandonar, apartarse del buen camino, alejarse del sendero señalado por la ley. Delito informático Crimen genérico o crimen electrónico, que agobia con operaciones ilícitas realizadas por medio de Internet o que tienen como objetivo destruir y dañar ordenadores, medios electrónicos y redes de Internet. Sin embargo, las categorías que definen un delito informático son aún mayores y complejas y pueden incluir delitos tradicionales como el fraude, el robo, chantaje, falsificación y la malversación de caudales públicos en los cuales ordenadores y redes han sido utilizados. Con el desarrollo de la programación y de Internet, los delitos informáticos se han vuelto más frecuentes y sofisticados. Existen actividades delictivas que se realizan por medio de estructuras electrónicas que van ligadas a un sin número de herramientas delictivas que buscan infringir y dañar todo lo que encuentren en el ámbito informático: ingreso ilegal a sistemas, interceptado ilegal de redes, interferencias, daños en la información (borrado, dañado, alteración o supresión de datacredito), mal uso de artefactos, chantajes, fraude electrónico, ataques a sistemas, robo de bancos, ataques realizados por hackers, violación de los derechos de autor, pornografía infantil, pedofilia en Internet, violación de información confidencial y muchos otros. Página 6 de 83

15 1.7.2 Consecuencias del delito informático Figura 1.2 Consecuencias del delito informático. Se pierde RECURSOS, DINERO, PRESTIGIO, CLIENTES, VIDAS Abuso computacional El promedio de pérdidas por abusos computacionales pareciera ser sustancialmente mayor que las pérdidas producidas por fraudes convencionales. Tipos de abusos: 1) Hacking: Una persona logra un acceso no autorizado a un sistema de computación para leer, modificar o borrar programas o datos, o para discontinuar un servicio. Un hacker de sombrero blanco (del inglés, White hats), en jerga informática, se refiere a una ética hacker que se centra en asegurar y proteger los sistemas de Tecnologías de información y comunicación. 5 Estas personas suelen trabajar para empresas de seguridad informática las cuales los denominan, en ocasiones, «zapatillas o equipos tigre». Por el contrario, un hacker de sombrero negro (del inglés, Black Hat) es el villano o chico malo, especialmente en una película de western, de ahí que en tal carácter se use un sombrero negro, en contraste con el héroe, el de sombrero blanco. También conocidos como "crackers" muestran sus habilidades en informática rompiendo sistemas de seguridad de computadoras, colapsando servidores, entrando a zonas restringidas, infectando redes o apoderándose de ellas, entre otras muchas cosas utilizando sus destrezas en métodos hacking. Página 7 de 83

16 2) Virus: Son programas que atacan a archivos ejecutables, áreas del sistema, o archivos de datos que contienen macros, para causar una disfunción en las operaciones computacionales o dañar datos y programas [Nachenberg, 1997]. 3) Acceso físico ilegal: Una persona logra un acceso físico no autorizado a instalaciones del computador. Como resultado, pueden causar daño físico al hardware o hacer copias no autorizadas de programas y datos. 4) Abuso de privilegios: Una persona usa privilegios, que le han sido asignados, para propósitos no autorizados. Ejemplo: hacen copias no autorizadas de los datos a los cuales se les otorgó acceso Consecuencias de Abusos Destrucción de activos. Sustracción de activos. Modificación de activos. Violación de privacidad. Interrupción de operaciones. Uso no autorizado de activos. Daño físico a personas y/o activos Regulación del delito informático en México En México los delitos de revelación de secretos y acceso ilícito a sistemas y equipos de informática ya sean que estén protegidos por algún mecanismo de seguridad, se consideren propiedad del Estado o de las instituciones que integran el sistema financiero son hechos sancionables por el Código Penal Federal en el titulo noveno capítulo I y II. El artículo 167 fr.vi del Código Penal Federal sanciona con prisión y multa al que dolosamente o con fines de lucro, interrumpa o interfiera comunicaciones alámbricas, inalámbricas o de fibra óptica, sean telegráficas, telefónicas o satelitales, por medio de las cuales se transmitan señales de audio, de video o de datos. La reproducción no autorizada de programas informáticos o piratería esta regulada en la Ley Federal del Derecho de Autor en el Título IV, capítulo IV. También existen leyes locales en el código penal del Distrito Federal y el código penal del estado de Sinaloa. Página 8 de 83

17 1.7.6 Beneficios de la auditoría Figura 1.3 Beneficios de la Auditoría informática. Salvaguarda de activos Activos principales: Hardware Software Instalaciones Personas (conocimientos) Archivos de datos Documentación de sistemas Insumos Integridad de los datos Es un estado en el que la información permanece sin cambios, tal y como las entidades autorizadas la dejaron en su última gestión. Con este atributo en los datos y conservando la información correcta se logra establecer las ventajas competitivas. Efectivo Un sistema es efectivo, si logra sus objetivos Eficiencia Un sistema es eficiente si usa los recursos mínimos para satisfacer sus objetivos. Página 9 de 83

18 1.8 Responsabilidad de la dirección en el control del fraude Concepto de fraude Acto de mala fe por medio del cual se engaña a alguien y se obtiene una ventaja o un lucro indebido. Fraude puede ser definido como engaño, acción contraria a la verdad o a la rectitud La Dirección, el Fraude y el auditor En las organizaciones y las empresas, la Dirección tiene la responsabilidad principal y primaria de la detección de irregularidades, fraudes y errores; La responsabilidad del auditor se centra en planificar, llevar a cabo y evaluar su trabajo para obtener una expectativa razonable de su detección Ante un hallazgo de fraude En el caso de detectar fraude durante el proceso de auditoría se procede actuar en consecuencia, con la debida prudencia que aconseja episodio tan delicado y conflictivo, sobre todo si afecta a los administradores de la organización objeto de auditoría. Se requiere una actuación inmediata según la normativa legal y profesional, independientemente del nivel jerárquico afectado dentro de la estructura de la entidad Fraude informático Cualquier cambio no autorizado y malicioso de datos e información contenido en un sistema informático Algunos fraudes informáticos Piratas informáticos robaron información confidencial de los ordenadores de Obama y McCain. La Casa Blanca, asaltada por piratas informáticos chinos Troyano indetectable roba 500,000 cuentas bancarias virtual Clasificación de atacantes Los atacantes se clasifican según el tipo de personas, el tipo de ataque, el objetivo del ataque. Página 10 de 83

19 Según el tipo de personas Personal interno Ex empleados Timadores Vándalos Mercenarios Curiosos Según el tipo de ataque Hacker Cracker Crasher Pheacker Phishers Sniffers Etc Según el objetivo del ataque Dinero Información confidencial Beneficios personales Daños Accidente Página 11 de 83

20 Capítulo 2. TEORÍA DE ANÁLISIS DE RIESGOS El Análisis de Riesgos constituye una herramienta muy importante para el trabajo del auditor y la calidad del servicio, por cuanto implica el diagnóstico de los mismos para velar por su posible manifestación o no. La administración de riesgos en un marco amplio, implica que las estrategias, procesos, personas, tecnología y conocimiento están alineados para manejar toda la incertidumbre que una organización enfrenta. Por el otro lado los riesgos y oportunidades van siempre de la mano, y la clave es determinar los beneficios potenciales de estas sobre los riesgos. 2.1 Riesgos Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos a los cuales están sometidos los procesos y actividades de una entidad y por medio de procedimientos de control se pueda evaluar el desempeño de la misma. Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro de los subprocesos es la inadecuada previsión de riesgos, se hace necesario entonces estudiar los Riesgos que pudieran aparecen en cada subproceso de Auditoría, esto servirá de apoyo para prevenir una adecuada realización de los mismos. Es necesario en este sentido tener en cuenta lo siguiente: La evaluación de los riesgos inherentes a los diferentes subprocesos de la Auditoría. La evaluación de las amenazas o causas de los riesgos. Los controles utilizados para minimizar las amenazas o riesgos. La evaluación de los elementos del análisis de riesgos. Generalmente se habla de Riesgo y conceptos de Riesgo en la evolución de los Sistemas de Control Interno, en los cuales se asumen tres tipos de Riesgo: Riesgo de Control: Que es aquel que existe y que se propicia por falta de control de las actividades de la empresa y puede generar deficiencias del Sistema de Control Interno. Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su revisión no detecten deficiencias en el Sistema de Control Interno. Página 12 de 83

21 Riesgo Inherente: Son aquellos que se presentan inherentes a las características del Sistema de Control Interno. Los riesgos están presentes en cualquier sistema o proceso que se ejecute, ya sea en procesos de producción como de servicios, en operaciones financieras y de mercado, por tal razón podemos afirmar que la Auditoría no está exenta de este concepto. En cada Subproceso, como suele llamársele igualmente a las etapas de la misma, el auditor tiene que realizar tareas o verificaciones, en las cuales se asumen riesgos de que esas no se realicen de la forma adecuada, claro que estos Riesgos no pueden definirse del mismo modo que los riesgos que se definen para el control Interno. El criterio del auditor en relación con la extensión e intensidad de las pruebas, tanto de cumplimiento como sustantivas, se encuentra asociado al riesgo de que queden sin detectar errores o desviaciones de importancia, en la contabilidad de la empresa y no los llegue a detectar el auditor en sus pruebas de muestreo. El riesgo tiende a minimizarse cuando aumenta la efectividad de los procedimientos de auditoría aplicados. Dentro de las auditorías se debe verificar la función de elaboración o proceso de datos, donde se deben chequear entre otros los siguientes aspectos: Existencia de un método para cerciorarse que los datos recibidos para su valoración sean completos, exactos y autorizados; Emplear procedimientos normalizados para todas las operaciones y examinarlos para asegurarse que tales procedimientos son acatados; Existencia de un método para asegurar una pronta detección de errores y mal funcionamiento del Sistema de Cómputo; Existencia de procedimientos normalizados para impedir o advertir errores accidentales, provocados por fallas de operadores o mal funcionamiento de máquinas y programas. 2.2 Sistemas de control de riesgos La estructura de Control de Riesgos pudiéramos fundamentarla en dos pilares: los Sistemas Comunes de Gestión y los Servicios de Auditoría Interna, cuyas definiciones, objetivos, características y funciones se exponen a continuación. Página 13 de 83

22 2.3 Sistemas Comunes de Gestión Los Sistemas Comunes de Gestión desarrollan las normas internas y su método para la valuación y el control de los riesgos y representan una cultura común en la gestión de los negocios, compartiendo el conocimiento acumulado y fijando criterios y pautas de actuación. Objetivos 1. Identificar posibles riesgos, que aunque están asociados a todo negocio, deben intentar ser atenuados y tomar conciencia de los mismos. 2. Optimizar la gestión diaria, aplicando procedimientos tendentes a la eficiencia financiera, reducción de gastos, homogenización y compatibilidad de sistemas de información y gestión. 3. Fomentar la sinergia y creación de valor de los distintos grupos de negocio trabajando en un entorno colaborador. 4. Reforzar la identidad corporativa, respetando todas las Gerencias, sus valores compartidos. 5. Alcanzar el crecimiento a través del desarrollo estratégico que busque la innovación y nuevas opciones a medio y largo plazo. Los Sistemas cubren toda la organización en tres niveles: 1. Todos las Unidades de Negocio y áreas de actividad; 2. Todos los niveles de responsabilidad; 3. Todos los tipos de operaciones. Gestión de riesgos Los riesgos pueden provenir de: Deficiencias en actividades generales del sistema de información automatizadas Desarrollo y mantenimiento de programas Soporte tecnológico del software de sistemas. Operaciones. Seguridad física. Control sobre el acceso a programas. La naturaleza de los riesgos y las características del Control Interno integrado al sistema de información automatizado incluye lo siguiente: Página 14 de 83

23 Falta de rastro de las transacciones. - Algunos sistemas de información automatizada son diseñados de modo que un rastreo completo de una transacción que podría ser útil para fines de la Auditoría Interna, existe sólo por un corto período de tiempo o únicamente en forma legible por computadora. - Un sistema complejo de aplicaciones incluye un gran número de procedimientos que pueden no dejar un rastro completo, por consiguiente, los errores en la lógica de un programa de aplicaciones pueden ser difíciles de detectar oportunamente por procedimientos manuales. Falta de segregación de funciones. Algunos procedimientos de control que normalmente son desempeñados por el personal a través de sistemas manuales en forma individual, pueden ser concentrados en un sistema de información automatizado. Se debe tener en cuenta que un mismo trabajador no debe tener acceso a los programas automatizados, al procesamiento de la información y a los datos que se obtienen a través de la computadora, porque el desempeño simultáneo de estas funciones son incompatibles. 2.4 Riesgo e Importancia Relativa. Las evaluaciones esperadas de los riesgos inherentes y de control y la identificación de áreas de auditoría importantes. El establecimiento de niveles de importancia relativa para propósitos de auditoría. La posibilidad de manifestaciones erróneas o de fraude. La identificación de áreas de contabilidad complejas incluyendo las que implican estimaciones contables. 2.5 Definición de conceptos de Riesgos asociados a la Auditoría El riesgo ante el trabajo ordenado, es el riesgo de que el auditor exprese una conclusión inapropiada. El auditor planea y realiza el trabajo entonces de manera tal que reduzca a un nivel aceptable el riesgo de expresar una conclusión inapropiada. En general, esos riesgos se pueden representar por los componentes, explicados anteriormente y asociados a la auditoría: a) Riesgo inherente - los riesgos asociados con la naturaleza de la temática; b) Riesgo de control - el riesgo de que los controles sobre la temática no existan u operen inefectivamente; c) Riesgo de detección - el riesgo de que los procedimientos del auditor no detecten los aspectos importantes que pueden afectar la temática. Página 15 de 83

24 2.6 Administración de riesgos El riesgo es una condición del mundo real en el cual hay una exposición a la adversidad, conformada por una combinación de circunstancias del entorno, donde hay posibilidad de pérdidas. Por tal razón todas las empresas productoras de bienes o servicios se deben ocupar de estudios que garanticen la identificación de Riesgos como elemento fundamental para garantizar la calidad del servicio o del producto final. Técnicas de Procedimientos para Administrar Riesgos Evitar riesgos: Un riesgo es evitado cuando en la organización no se acepta. Esta técnica puede ser más negativa que positiva. Si el evitar riesgos fuera usado excesivamente el negocio sería privado de muchas oportunidades de ganancia (por ejemplo: arriesgarse a hacer una inversión) y probablemente no alcanzaría sus objetivos. Reducción de riesgos: Los riegos pueden ser reducidos, por ejemplo con: programas de seguridad, guardias de seguridad, alarmas y estimación de futuras pérdidas con la asesoría de personas expertas. Conservación de riesgos: Es quizás el más común de los métodos para enfrentar los riesgos, pues muchas veces una acción positiva no es transferirlo o reducir su acción. Cada organización debe decidir cuales riegos se retienen, o se transfieren basándose en su margen de contingencia, una pérdida puede ser un desastre financiero para una organización siendo fácilmente sostenido por otra organización. Compartir riesgos: Cuando los riesgos son compartidos, la posibilidad de pérdida es transferida del individuo al grupo Definición de Administración de Riesgos La administración de riesgos es una aproximación científica del comportamiento de los riesgos, anticipando posibles pérdidas accidentales con el diseño e implementación de procedimientos que minimicen la ocurrencia de pérdidas o el impacto financiero de las pérdidas que puedan ocurrir. Control de Riesgos: Técnica diseñada para minimizar los posibles costos causados por los riesgos a que esté expuesta la organización, esta técnica abarca el rechazo de cualquier exposición a pérdida de una actividad particular y la reducción del potencial de las posibles pérdidas. No es posible diagnosticar riesgos desde una mesa, pues esto no puede ser esquemático y mucho menos ser una fórmula para sustituir. En cada organización deberá efectuarse un estudio y trazar la estrategia de la cadena de valores de ésta y el tipo de servicio que se debe realizar. Página 16 de 83

25 Para ello sería preciso conocer cómo está funcionando la cadena de valores en esa organización, pues es fundamental mantener la consecución de las tareas y cumplir y hacer cumplir el mantenimiento del flujo logístico de los subprocesos, ya que uno depende del otro. Luego, tendríamos que la Cadena de Valores en todos los subprocesos de Auditoría, debe representarse de la siguiente forma. Figura 2.1 Cadena de valores Medición y evaluación del riesgo Al concebir los posibles Riesgos en la ejecución de los diferentes subprocesos de la Auditoría de una organización interna o externa, debe efectuarse la evaluación de los mismos, con el fin de conocer el Impacto, y el tratamiento que este requiere, así como la Probabilidad de Ocurrencia. Es necesario entonces, luego de conocer los posibles riesgos, tener en cuenta: a) Probabilidad de ocurrencia del Riesgo b) Impacto ante la ocurrencia del Riesgo. Para ello: Las probabilidades de ocurrencia deberán determinarse en: a) Poco Frecuente (PF) b) Moderado (M) c) Frecuente (F) Poco Frecuente: cuando el Riesgo ocurre sólo en circunstancias excepcionales. Página 17 de 83

26 Moderado: Puede ocurrir en algún momento. Frecuente: Se espera que ocurra en la mayoría de las circunstancias. El Impacto ante la ocurrencia sería considerado de: a) Leve (L) b) Moderado (M) c) Grande (G) Leve: Perjuicios tolerables. Baja pérdida financiera. Moderado: Requiere de un tratamiento diferenciado: Pérdida financiera media. Grande: Requiere tratamiento diferenciado. Alta pérdida financiera. La evaluación del Riesgo sería de: Aceptable: (Riesgo bajo). Cuando se pueden mantener los controles actuales, siguiendo los procedimientos de rutina. Moderado: (Riesgo Medio). Se consideran riesgos Aceptables con Medidas de Control. Se deben acometer acciones de reducción de daños y especificar las responsabilidades de su implantación y supervisión. Inaceptable: (Riesgo Alto). Deben tomarse de inmediato acciones de reducción de Impacto y Probabilidad para atenuar la gravedad del riesgo. Se especificará el responsable y la fecha de revisión sistemática. Si quisiéramos evaluar el Impacto de los Riesgos en un subproceso, sólo tendríamos que analizar el Diagnóstico efectuado. El Plan de Acción estaría en correspondencia con el tipo de riesgo, con la organización donde se realiza el servicio, con el tipo de auditoría, con el subproceso que se realice y por supuesto con el auditor o auxiliar que la ejecute. Vital importancia reviste el dominio de la actividad, el monitoreo en la ejecución sucesiva sobre el manejo de futuras acciones y la supervisión sistemática en diferentes momentos de realización de las auditorias en correspondencia sobre la incidencia de los riesgos pasados o reiterados en los subprocesos que mayores impactos se han observados. Por el impacto que hoy produce la ocurrencia de los riesgos observados en la investigación, debe elaborarse un Plan de Acción en el que se proponga, fundamentalmente: El diseño de un Sistema Organizativo de ejecución para cada uno de los subprocesos de la auditoria. Capacitar a los profesionales de la auditoria en la formación teórico-práctica que garantice la calidad en el ejercicio de sus funciones. Evaluar los resultados de las supervisiones. Página 18 de 83

27 Mantener la vigilancia de la posible comisión de riesgos en el desarrollo sistemático del ejercicio de las auditorias. Monitorear el cumplimiento de la Cadena de Valores por cada profesional. Etc. Una administración eficiente de los Riesgos, sería entonces una aproximación científica de su comportamiento, anticipando posibles pérdidas accidentales con el diseño e implementación de procedimientos que minimicen la ocurrencia de pérdidas o el impacto financiero de las pérdidas que puedan ocurrir. Página 19 de 83

28 Capítulo 3. INTRODUCCIÓN A COBIT (MEJORES PRÁCTICAS) 3.1 Misión de COBIT Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento. Figura 3.1 Definir las metas de TI y la arquitectura empresarial para TI. La organización de TI se desempeña con respecto a estas metas como un conjunto de procesos definidos con claridad que utiliza las habilidades de las personas, y la infraestructura de tecnología para ejecutar aplicaciones automatizadas de negocio, mientras que al mismo tiempo toma ventaja de la información del negocio. Estos recursos, junto con los procesos, constituyen una arquitectura empresarial para TI, como se muestra en la figura 3.1. Para responder a los requerimientos que el negocio tiene hacia TI, la empresa debe invertir en los recursos requeridos para crear una capacidad técnica adecuada (Ej., un sistema de planeación de recursos empresariales [ERP]) para dar soporte a la capacidad del negocio (Ej., implementando una cadena de suministro) que genere el resultado deseado (Ej., mayores ventas y beneficios financieros). Página 20 de 83

29 Los recursos de TI identificados en COBIT se pueden definir como sigue: Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información. La información son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio. La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran. Figura 3.2Gestión de los recursos de TI para entregar metas de TI. 3.2 Procesos de COBIT COBIT define las actividades de TI en un modelo genérico de procesos organizado en cuatro dominios. Estos dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. Los dominios se equiparan a las áreas tradicionales de TI de planear, construir, ejecutar y monitorear. Planear y Organizar (PO) Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS). Adquirir e Implementar (AI) Proporciona las soluciones y las pasa para convertirlas en servicios. Página 21 de 83

30 Entregar y Dar Soporte (DS) Recibe las soluciones y las hace utilizables por los usuarios finales. Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar que se sigue la dirección provista. Figura 3.3 Los cuatro dominios interrelacionados de COBIT Planear y organizar (PO) Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada. Este dominio cubre los siguientes cuestionamientos típicos de la gerencia: Están alineadas las estrategias de TI y del negocio? La empresa está alcanzando un uso óptimo de sus recursos? Entienden todas las personas dentro de la organización los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio? Adquirir e implementar (AI) Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia: Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? Página 22 de 83

31 Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? Los cambios no afectarán a las operaciones actuales del negocio? Entregar y dar soporte (DS) Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos. Por lo general cubre las siguientes preguntas de la gerencia: Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? Están optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad? Monitorear y evaluar (ME) Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno. Por lo general abarca las siguientes preguntas de la gerencia: Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente usados. 3.3 Modelos de madurez Cada vez con más frecuencia, se les pide a los directivos de empresas corporativas y públicas que consideren qué tan bien se está administrando TI. Como respuesta a esto, se debe desarrollar un plan de negocio para mejorar y alcanzar el nivel apropiado de administración y control sobre la infraestructura de información. Aunque pocos argumentarían que esto no es algo bueno, se debe considerar el equilibrio del costo beneficio y éstas preguntas relacionadas: Qué está haciendo nuestra competencia en la industria, y cómo estamos posicionados en relación a ellos? Cuáles son las mejores prácticas aceptables en la industria, y cómo estamos posicionados con respecto a estas prácticas? Página 23 de 83

32 Con base en estas comparaciones, se puede decir que estamos haciendo lo suficiente? Cómo identificamos lo que se requiere hacer para alcanzar un nivel adecuado de administración y control sobre nuestros procesos de TI? El modelo de madurez para la administración y el control de los procesos de TI se basa en un método de evaluación de la organización, de tal forma que se pueda evaluar a sí misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el Software Engineering Institute definió para la madurez de la capacidad del desarrollo de software. Cualquiera que sea el modelo, las escalas no deben ser demasiado granulares, ya que eso haría que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable debido a que en general, el fin es identificar dónde se encuentran los problemas y cómo fijar prioridades para las mejoras. El propósito no es avaluar el nivel de adherencia a los objetivos de control. Utilizando los modelos de madurez desarrollados para cada uno de los 34 procesos TI de COBIT, la gerencia podrá identificar: El desempeño real de la empresa Dónde se encuentra la empresa hoy. El estatus actual de la industria La comparación. El objetivo de mejora de la empresa Dónde desea estar la empresa. El crecimiento requerido entre como es y como será. Figura 3.4 Representación grafica de los modelos de madurez. 0 No Existente- Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver. 1 Inicial- Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado. 2 Repetible- Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la Página 24 de 83

33 responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. 3 Definido- Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes. 4 Administrado- Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada. 5 Optimizado- Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida. 3.4 Medición del desempeño Las métricas y las metas se definen en COBIT a tres niveles: Las metas y métricas de TI que definen lo que el negocio espera de TI (lo que el negocio usaría para medir a TI) Metas y métricas de procesos que definen lo que el proceso de TI debe generar para dar soporte a los objetivos de TI (cómo sería medido el dueño del proceso de TI) Métricas de desempeño de los procesos (miden qué tan bien se desempeña el proceso para indicar si es probable alcanzar las metas). Página 25 de 83

34 Figura 3.5 Presentación de metas y métricas. 3.5 Cubo de COBIT Los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio. Este es el principio básico del marco de trabajo COBIT, como se ilustra en el cubo COBIT, figura 3.6. Figura 3.6 Cubo de COBIT. Página 26 de 83

35 En detalle, el marco de trabajo general COBIT se muestra gráficamente en la figura 3.7, con el modelo de procesos de COBIT compuesto de cuatro dominios que contienen 34 procesos genéricos, administrando los recursos de TI para proporcionar información al negocio de acuerdo con los requerimientos del negocio y de gobierno. Figura 3.7 Marco de trabajo completo de COBIT. Página 27 de 83

36 3.6 Navegación en COBIT El marco de trabajo de COBIT está compuesto de los siguientes componentes esenciales, organizados en los 34 procesos de TI, brindando así una visión completa de cómo controlar, administrar y medir cada proceso. Cada proceso está cubierto en cuatro secciones, de la manera siguiente: La figura 3.8 contiene una descripción del proceso que resume los objetivos del proceso, con el objetivo de control de alto nivel representado en formada de cascada. Esta página también muestra el mapeo de este proceso con los criterios de información, con los recursos de TI y con las áreas de enfoque de gobierno de TI, indicando con una P la relación primaria y con una S la secundaria. Figura 3.8 Navegación en COBIT. Página 28 de 83

37 Capítulo 4. INFRAESTRUCTURA DE TIC`S 4.1 Definición de infraestructura en TIC S La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. 4.2 Infraestructura en COBIT AI1 Identificar Soluciones Automatizadas Modelo de madurez La administración del proceso de Identificar soluciones automatizadas que satisfaga el requerimiento de negocio de TI de traducir los requerimientos funcionales y de control del negocio a diseño efectivo y eficiente de soluciones automatizadas es: 0 No Existente cuando La organización no requiere de la identificación de los requerimientos funcionales y operativos para el desarrollo, implantación o modificación de soluciones, tales como sistemas, servicios, infraestructura y datos. La organización no está consciente de las soluciones tecnológicas disponibles que son potencialmente relevantes para su negocio. 1 Inicial / Ad Hoc cuando Existe conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnológicas. Grupos individuales se reúnen para analizar las necesidades de manera informal y los requerimientos se documentan algunas veces. Los individuos identifican soluciones con base en una conciencia limitada de mercado o como respuesta a ofertas de proveedores. Existe una investigación o análisis estructurado mínimo de la tecnología disponible. 2 Repetible pero Intuitivo cuando Existen algunos enfoques intuitivos para identificar que existen soluciones de TI y éstos varían a lo largo del negocio. Las soluciones se identifican de manera informal con base en la experiencia interna y en el conocimiento de la función de TI. El éxito de cada proyecto depende de la experiencia de unos cuantos individuos clave. La calidad de la documentación y de la toma de decisiones varía de forma Página 29 de 83

38 considerable. Se usan enfoques no estructurados para definir los requerimientos e identificar las soluciones tecnológicas. 3 Definido cuando Existen enfoques claros y estructurados para determinar las soluciones de TI. El enfoque para la determinación de las soluciones de TI requiere la consideración de alternativas evaluadas contra los requerimientos del negocio o del usuario, las oportunidades tecnológicas, la factibilidad económica, las evaluaciones de riesgo y otros factores. El proceso para determinar las soluciones de TI se aplica para algunos proyectos con base en factores tales como las decisiones tomadas por el personal involucrado, la cantidad de tiempo administrativo dedicado, y el tamaño y prioridad del requerimiento de negocio original. Se usan enfoques estructurados para definir requerimientos e identificar soluciones de TI. 4 Administrado y Medible cuando Existe una metodología establecida para la identificación y la evaluación de las soluciones de TI y se usa para la mayoría de los proyectos. La documentación de los proyectos es de buena calidad y cada etapa se aprueba adecuadamente. Los requerimientos están bien articulados y de acuerdo con las estructuras predefinidas. Se consideran soluciones alternativas, incluyendo el análisis de costos y beneficios. La metodología es clara, definida, generalmente entendida y medible. Existe una interfaz definida de forma clara entre la gerencia de TI y la del negocio para la identificación y evaluación de las soluciones de TI. 5 Optimizado cuando La metodología para la identificación y evaluación de las soluciones de TI está sujeta a una mejora continua. La metodología de adquisición e implantación tiene la flexibilidad para proyectos de grande y de pequeña escala. La metodología está soportada en bases de datos de conocimiento internas y externas que contienen material de referencia sobre soluciones tecnológicas. La metodología en sí misma genera documentación en una estructura predefinida que hace que la producción y el mantenimiento sean eficientes. Con frecuencia, se identifican nuevas oportunidades de uso de la tecnología para ganar una ventaja competitiva, ejercer influencia en la re-ingeniería de los procesos de negocio y mejorar la eficiencia en general. La gerencia detecta y toma medidas si las soluciones de TI se aprueban sin considerar tecnologías alternativas o los requerimientos funcionales del negocio. Página 30 de 83

39 4.2.2 AI3 Adquirir y Mantener Infraestructura Tecnológica Las organizaciones deben contar con procesos para adquirir, Implementar y actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones del negocio. Figura 4.1 Criterios de información del negocio y dominio al que pertenece el proceso AI3. Control sobre el proceso TI de Adquirir y dar mantenimiento a la infraestructura tecnológica Que satisface el requerimiento del negocio de TI para Adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI Enfocándose en Proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con la arquitectura definida de TI y los estándares de tecnología Se logra con El establecimiento de un plan de adquisición de tecnología que se alinea con el plan de infraestructura tecnológica. La planeación de mantenimiento de la infraestructura. La implantación de medidas de control interno, seguridad y auditabilidad. Página 31 de 83

40 Y se mide con El porcentaje de plataformas que no se alinean con la arquitectura de TI definida y los estándares de tecnología. El número de procesos de negocio críticos soportados por infraestructura obsoleta (o que pronto lo será). El número de componentes de infraestructura que ya no se pueden soportar (o que ya no se podrán en el futuro cercano). Figura 4.2 Áreas de enfoque de gobierno de TI y recursos de TI del proceso AI3. Objetivos de control AI3.1 Plan de Adquisición de Infraestructura Tecnológica Generar un plan para adquirir, Implementar y mantener la infraestructura tecnológica que satisfaga los requerimientos establecidos funcionales y técnicos del negocio, y que esté de acuerdo con la dirección tecnológica de la organización. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología. Evaluar los costos de complejidad y la viabilidad comercial del proveedor y el producto al añadir nueva capacidad técnica. AI3.2 Protección y Disponibilidad del Recurso de Infraestructura Implementar medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento del hardware y del software de la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Página 32 de 83

41 Se deben definir y comprender claramente las responsabilidades al utilizar componentes de infraestructura sensitivos por todos aquellos que desarrollan e integran los componentes de infraestructura. Se debe monitorear y evaluar su uso. AI3.3 Mantenimiento de la Infraestructura Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo con el procedimiento de administración de cambios de la organización. Incluir una revisión periódica contra las necesidades del negocio, administración de parches y estrategias de actualización, riesgos, evaluación de vulnerabilidades y requerimientos de seguridad. AI3.4 Ambiente de Prueba de Factibilidad Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e integración de aplicaciones e infraestructura, en las primeras fases del proceso de adquisición y desarrollo. Hay que considerar la funcionalidad, la configuración de hardware y software, pruebas de integración y desempeño, migración entre ambientes, control de la versiones, datos y herramientas de prueba y seguridad. Figura 4.3 Directrices generales AI3. Página 33 de 83

42 Figura 4.4 Metas y métricas AI3. Modelo de madurez La administración del proceso de Adquirir y mantener infraestructura de tecnología que satisfaga el requerimiento de negocio de TI de adquirir y mantener una infraestructura de TI integrada y estandarizada es: 0 No Existente cuando No se reconoce la administración de la infraestructura de tecnología como un asunto importante al cual deba ser resuelto. 1 Inicial / Ad Hoc cuando Se realizan cambios a la infraestructura para cada nueva aplicación, sin ningún plan en conjunto. Aunque se tiene la percepción de que la infraestructura de TI es importante, no existe un enfoque general consistente. La actividad de mantenimiento reacciona a necesidades de corto plazo. El ambiente de producción es el ambiente de prueba. Página 34 de 83

43 2 Repetible pero Intuitivo cuando Propuesta de control de cambios e inventarios. No hay consistencia entre enfoques tácticos al adquirir y dar mantenimiento a la infraestructura de TI. La adquisición y mantenimiento de la infraestructura de TI no se basa en una estrategia definida y no considera las necesidades de las aplicaciones del negocio que se deben respaldar. Se tiene la noción de que la infraestructura de TI es importante, que se apoya en algunas prácticas formales. Algunos mantenimientos se programan, pero no se programa ni se coordina en su totalidad. Para algunos ambientes, existe un ambiente de prueba por separado. 3 Definido cuando Existe un claro, definido y generalmente entendido proceso para adquirir y dar mantenimiento a la infraestructura TI. El proceso respalda las necesidades de las aplicaciones críticas del negocio y concuerda con la estrategia de negocio de TI, pero no se aplica en forma consistente. Se planea, programa y coordina el mantenimiento. Existen ambientes separados para prueba y producción. 4 Administrado y Medible cuando Se desarrolla el proceso de adquisición y mantenimiento de la infraestructura de tecnología a tal punto que funciona bien para la mayoría de las situaciones, se le da un seguimiento consistente y un enfoque hacia la reutilización. La infraestructura de TI soporta adecuadamente las aplicaciones del negocio. El proceso está bien organizado y es preventivo. Tanto el costo como el tiempo de realización para alcanzar el nivel esperado de escalamiento, flexibilidad e integración se han optimizado parcialmente. 5 Optimizado cuando El proceso de adquisición y mantenimiento de la infraestructura de tecnología es preventivo y está estrechamente en línea con las aplicaciones críticas del negocio y con la arquitectura de la tecnología. Se siguen buenas prácticas respecto a las soluciones de tecnología, y la organización tiene conciencia de las últimas plataformas desarrolladas y herramientas de administración. Se reducen costos al racionalizar y estandarizar los componentes de la infraestructura y con el uso de la automatización. Con un alto nivel de conciencia se pueden identificar los medios óptimos para mejorar el desempeño en forma preventiva, incluyendo el considerar la opción de contratar servicios externos. La infraestructura de TI se entiende como el apoyo clave para impulsar el uso de TI. Página 35 de 83

44 4.2.3 AI4 Facilitar la Operación y el Uso Descripción del proceso El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiere la generación de documentación y manuales para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operación correctos de las aplicaciones y la infraestructura. Objetivos de control AI4.1 Plan para Soluciones de Operación Desarrollar un plan para identificar y documentar todos los aspectos técnicos, la capacidad de operación y los niveles de servicio requeridos, de manera que todos los interesados puedan tomar la responsabilidad oportunamente por la producción de procedimientos de administración, de usuario y operativos, como resultado de la introducción o actualización de sistemas automatizados o de infraestructura AI5 Adquirir Recursos de TI Descripción del proceso Se deben suministrar recursos TI, incluyendo personas, hardware, software y servicios. Esto requiere de la definición y ejecución de los procedimientos de adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la adquisición en sí. El hacerlo así garantiza que la organización tenga todos los recursos de TI que se requieren de una manera oportuna y rentable. Objetivos de control AI5.1 Control de Adquisición Desarrollar y seguir un conjunto de procedimientos y estándares consistente con el proceso general de adquisiciones de la organización y con la estrategia de adquisición para adquirir infraestructura relacionada con TI, instalaciones, hardware, software y servicios necesarios por el negocio. Página 36 de 83

45 4.2.5 AI6 Administrar Cambios Descripción del proceso Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y parámetros del servicio) se deben registrar, evaluar y autorizar previo a la implantación y revisar contra los resultados planeados después de la implantación. Esto garantiza la reducción de riesgos que impactan negativamente la estabilidad o integridad del ambiente de producción. Figura 4.5 Criterios de información del negocio y dominio al que pertenece el proceso AI6. Control sobre el proceso TI de Administrar cambios Que satisface el requerimiento del negocio de TI para Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se reducen los defectos y la repetición de trabajos en la prestación del servicio y en la solución. Enfocándose en Controlar la evaluación de impacto, autorización e implantación de todos los cambios a la infraestructura de TI, aplicaciones y soluciones técnicas, minimizando errores que se deben a especificaciones incompletas de la solicitud y detener la implantación de cambios no autorizados Se logra con La definición y comunicación de los procedimientos de cambio, que incluyen cambios de emergencia La evaluación, la asignación de prioridad y autorización de cambios Seguimiento del estatus y reporte de los cambios. Página 37 de 83

46 Y se mide con El número de interrupciones o errores de datos provocados por especificaciones inexactas o una evaluación de impacto incompleta. La repetición de aplicaciones o infraestructura debida a especificaciones de cambio inadecuadas El porcentaje de cambios que siguen procesos de control de cambio formales. Figura 4.6 Áreas de enfoque de gobierno de TI y recursos de TI del proceso AI6. Figura 4.7 Directrices generales AI6. Página 38 de 83

47 Figura 4.8 Metas y métricas AI Infraestructura y Adopción de las TIC s por la Población en México La Asociación Mexicana de Internet presentó su primer estudio de Infraestructura tecnológica y la adopción de las TIC s por la población en México relacionada con el uso de Internet. El estudio elaborado por Select, TGI y Elogia para la AMIPCI con datos a diciembre de 2009 llegó a las siguientes conclusiones: Sólo el 35% de 27.5 millones de hogares tienen computadora. La principal limitante para disponer de una computadora/internet es la falta de recursos. La penetración de computadoras en la población (hogar, el trabajo, escuela y/o sitios públicos) es de 33%. La Penetración de Internet en hogares es de 26% de un total de 7.1 millones. En áreas urbanas 6 de cada 10 personas tienen un teléfono celular. 11% del total de usuarios de telefonía celular declaran poseer un Smartphone. El 8% de los usuarios accede a Internet desde su teléfono, mientras que el 29% lo hacen desde su Smartphone, ya sea con un servicio contratado o Wi- Fi. Página 39 de 83

48 De 2008 a 2009 el servicio de acceso a Internet vía teléfono celular pasó de 6% a 8%. El Hogar sigue siendo el primer lugar de acceso a Internet con un 71.2% (Oficina 39.8%, Escuela/Universidad 33.3%, Cibercafes 26.7%, Sitios Público 16.9% y Teléfono celular 15%). El 87% de los usuarios que se conectan a Internet lo hace indistintamente cualquier día de la semana. La mayor parte (56%) de los encuestados percibe que dispone de una velocidad de conexión de entre 512 KB y 2 MB. El 77% de los hogares se conecta a Internet a través de una PC, 69% mediante una portátil, 26% con consolas de juego, 25% celulares y 3% PDA/Palm. En promedio 3 personas comparten su conexión. Únicamente el 3% de los encuestados considera que su conexión a Internet es de mala calidad. Se espera que en 2010 la Banda ancha llegue a 10.5 millones de suscriptores, aumentando 2 millones con respecto al El objetivo fue recopilar y analizar información con diferentes metodologías y diversas fuentes para obtener conclusiones enriquecidas con las distintas visiones que existen en la industria. Esta es una primer semblanza de la infraestructura tecnológica que soporta el crecimiento del Internet en nuestro país, así como el uso de la banda ancha y otros medios de acceso a la red entre los internautas mexicanos. 4.4 Estadísticas sobre disponibilidad y uso de TIC s en los hogares 2009 Para aquellos hogares que carecen de computadora, la encuesta registra las razones genéricas de esa ausencia (gráfica 3). A decir de los informantes, la principal limitante se relaciona con su costo. Si bien ésta proporción ha venido disminuyendo desde el primer levantamiento de la encuesta (2001) en que alcanzó casi el 70%, se ha mantenido como la razón principal: más de la mitad de los hogares señala que carece de computadora debido a la falta de recursos económicos para su compra. Merece mención que una parte significativa de hogares reconoció no tener necesidad de disponer de un equipo: uno de cada cinco hogares. Página 40 de 83

49 Figura 4.9 Limitantes para disponer de TIC en los hogares Idénticas razones se esgrimen entre quienes disponen de computadora pero carecen de conexión a Internet; cinco de cada diez señalaron la falta de recursos económicos como el principal problema para contratar el servicio. Es importante señalar que las limitantes «no la necesitan» y «falta de interés o desconocimiento para el uso de Internet» han ido a la baja con respecto a las cifras reveladas por levantamientos anteriores, lo que pone de manifiesto que entre los que ya cuentan con computadora, existe interés por equipar al hogar con ese recurso informático (gráfica 4). Figura 4.10 Hogares con computadora, sin conexión a Internet, por principales razones Los usuarios de computadora en México representan poco más de un tercio de la población, mientras que los que utilizan Internet constituyen una cuarta parte (gráfica 5). Respectivamente, estas proporciones representan a su vez el doble y el triple de las registradas con la primera encuesta en Página 41 de 83

50 Sin embargo, el ritmo de crecimiento ya es pequeño, y en ambos casos apenas significó un aumento de tres y medio puntos porcentuales desde el levantamiento anterior. Figura 4.11 Usuarios de TIC y proporción respecto de la población Página 42 de 83

51 4.5 Establecimientos que usan tecnologías de la información en sus procesos y relaciones con los clientes, por tamaño del establecimiento, Propuesta de control de cambios e inventarios. 4.5 Es Página 43 de 83

52 Capítulo 5. 9 Administración de la configuración Garantizar la integridad de las configuraciones del hardware y software requiere establecer y mantener un repositorio de configuraciones completo y preciso. Este proceso incluye la recolección de información de la configuración inicial, el establecimiento de normas, la verificación y auditoria de la información de la configuración y la actualización del repositorio de configuración conforme se necesite. Una efectiva administración de la configuración facilita una mayor disponibilidad, minimiza los problemas de producción y resuelve los problemas más rápido. Figura 5.1 Criterios de información del negocio y dominio al que pertenece el proceso DS9. Que satisface el requerimiento del negocio de TI para Optimizar la infraestructura, recursos y capacidades de TI, y llevar registro de los activos de TI. Enfocándose en Establecer y mantener un repositorio completo y preciso de atributos de la configuración de los activos y de líneas base y compararlos contra la configuración actual. Se logra con El establecimiento de un repositorio central de todos los elementos de la configuración La identificación de los elementos de configuración y su mantenimiento. Revisión de la integridad de los datos de configuración. Y se mide con El número de problemas de cumplimiento del negocio debido a inadecuada configuración de los activos. El número de desviaciones identificadas entre el repositorio de configuración y la configuración actual de los activos. Porcentaje de licencias compradas y no registradas en el repositorio. Página 44 de 83

53 Figura 5.2 Áreas de enfoque de gobierno de TI y recursos de TI del proceso DS Objetivos de control DS9.1 Repositorio y Línea Base de Configuración. Establecer una herramienta de soporte y un repositorio central que contenga toda la información relevante sobre los elementos de configuración para todos los sistemas y servicios como punto de comprobación al que volver tras el cambio DS9.2 Identificación y mantenimiento de elementos de configuración Establecer procedimientos de configuración para soportar la gestión y rastro de todos los cambios al repositorio de configuración. Integrar estos procedimientos con la gestión de cambios, gestión de incidentes y procedimientos de gestión de problemas. DS9.3 Revisión de Integridad de la Configuración Revisar periódicamente los datos de configuración para verificar y confirmar la integridad de la configuración actual e histórica. Revisar periódicamente el software instalado contra la política de uso de software para identificar software personal o no licencia cualquier otra instancia de software en exceso del contrato de licenciamiento actual. Reportar, actuar y corregir errores y desviaciones. Página 45 de 83

54 5.2 Directrices gerenciales Figura 5.3 Directrices generales DS9. Figura 5.4 Metas y métricas DS Modelo de madurez La administración del proceso de Administrar la configuración que satisfaga el requerimiento de TI del negocio de optimizar la infraestructura, los recursos y las capacidades de TI, y rendir cuentas de los activos de TI es: 0 No Existente cuando La gerencia no valora los beneficios de tener un proceso implementado que sea capaz de reportar y administrar las configuraciones de la infraestructura de TI, tanto para configuraciones de hardware como de software. Página 46 de 83

55 1 Inicial / Ad Hoc cuando Se reconoce la necesidad de contar con una administración de configuración. Se llevan a cabo tareas básicas de administración de configuraciones, tales como mantener inventarios de hardware y software pero de manera individual. No están definidas prácticas estandarizadas. 2 Repetible pero Intuitivo cuando La gerencia esta consiente de la necesidad de controlar la configuración de TI y entiende los beneficios de mantener información completa y precisa sobre las configuraciones, pero hay una dependencia implícita del conocimiento y experiencia del personal técnico. Las herramientas para la administración de configuraciones se utilizan hasta cierto grado, pero difieren entre plataformas. Además no se han definido prácticas estandarizadas de trabajo. El contenido de la información de la configuración es limitado y no lo utilizan los procesos interrelacionados, tales como administración de cambios y administración de problemas. 3 Definido cuando Los procedimientos y las prácticas de trabajo se han documentado, estandarizado y comunicado, pero la habilitación y la aplicación de estándares dependen del individuo. Además se han implementado herramientas similares de administración de configuración entre plataformas. Es poco probable detectar las desviaciones de los procedimientos y las verificaciones físicas se realizan de manera inconsistente. Sr lleva a cabo algún tipo de automatización para ayudar a retraer cambios en el software o en el hardware. La información de la configuración es utilizada por los procesos interrelacionados. 4 Administrado y Medible cuando En todos los niveles del a organización se reconoce la necesidad de administrar la configuración y las buenas prácticas siguen evolucionando. Los procedimientos y los estándares se comunican e incorporan a la habilitación y las desviaciones son monitoreadas, rastreadas y reportadas. Se utilizan herramientas automatizadas para fomentar el uso de estándares y mejorar la estabilidad. Los sistemas de administración de configuraciones cubren la mayoría de los activos de TI y permiten una adecuada administración de liberaciones y control de distribución. Los análisis de excepciones, así como las verificaciones físicas, se aplican de manera consistente y se investigan las causas desde su raíz. Página 47 de 83

56 5 Optimizado cuando Todos los activos de TI se administran en un sistema central de configuraciones que contienen toda la información necesaria acerca de los componentes, sus interrelaciones y eventos. La información de las configuraciones esta alienada con los catálogos de los proveedores. Hay una completa integración de los procesos interrelacionados, y estos utilizan y actualizan la información de la configuración de manera automática. Los reportes de auditoría de los puntos de referencia, brindan información esencial sobre el software y hardware con respecto a reparaciones, servicios, garantías, actualizaciones y evaluaciones técnicas de cada unidad individual. Se fomentan las reglas para limitar la instalación de software no autorizado. La gerencia proyecta las reparaciones y las actualizaciones utilizando reportes de análisis que proporcionan las funciones de programación de actualizaciones y de renovación de tecnología. El rastreo de activos y el monitoreo de activos individuales de TI los protege y previene de robo, de mal uso y de abusos. Página 48 de 83

57 Capítulo 6. PRODUCTO PROPUESTA DE CONTROL DE CAMBIOS E INVENTARIOS 6.1 Introducción Datos de la empresa Ubicada en la calle Norte 70 No. 2654, Col. Aragón Inguarán Delegación Álvaro Obregón, Registro Express y Convenciones S. A. de C. V. es una empresa mexicana dedicada a la organización de Eventos, Congresos, Convenciones y Espectáculos; así como al Registro de Asistentes. Ofrece organización y coordinación a cualquier parte de la república, basados en la siguiente logística: Software propio Registro computarizado de eventos Registro en Sitios Diseño de imagen, certificados y gafetes Pre-registros vía internet Reportes de Asistencia Preparación de Bases de Datos Servicio Técnico PRE-EVENTO EVENTO POST-EVENTO Juntas Estratégica Definición de objetivos. Adecuaciones del Sistema. Preparación de la Base de Datos. Diseño Gafetes, constancias. Cordeles y porta gafetes. Pre-registro. 6.2 Estado actual Montaje de Equipo. Instalación del Sistema. Coordinación General. Personalización de gafetes. Respaldo de Información. Soporte y supervisión. Entrega de reportes. Adecuación de reportes. Entrega de Reportes, gráficos, estadísticas, Base de Datos completa. Actualmente la empresa cuenta en su inventario con 2 servidores HP con Windows Server 2003, 24 laptops HP con Windows XP Profesional y procesador Intel Dual-Core T Gb en Disco Duro y 2048 Mb en RAM; así mismo cuenta con 14 monitores HP LE1901w de 19, 21 impresoras HP Laserjet 1022 B/N, 15 impresoras HP Laserjet 1215 a color, para el uso de capturistas en el proceso del registro y la respectiva impresión de gafetes y constancias. Página 49 de 83

58 A su vez también existen otros elementos que en ocasiones complementan el servicio integral que la empresa proporciona a cada cliente de acuerdo a las necesidades de su evento, tales como son y se encuentran en existencia: 23 cámaras web PRO 9000 MX Retal de marca LOGITECH que tiene la función de personalizar con fotografía el registro cuando es solicitado por el cliente, 15 scanner de llavero MOTOROLA modelo CS1504 para el conteo de personas obteniendo información directa a través de la base de datos y 15 lectoras de usb marca HERON modelo D130 para la lectura de códigos de barras. Otras herramientas que también forman parte del inventario y que son de suma importancia para el ámbito laboral de la empresa y que forman parte del ámbito tecnológico son: 2 redes inalámbricas con su concentrador inalámbrico 2Wire Gateway modelo RG2701IG-00, 7 Switchs 3com modelo 3C16792B de 16 puertos cada uno, a su vez se cuenta con 2 switchs inalámbricos 3com, 70 cables de red de diversos tamaños para la conexión eficiente de la red interna de la empresa y externa de cada evento. También se cuenta con 2 no-breaks para la protección de los equipos, 1 Data Proyector XGA VPL-CX21 marca SONY; ya que en ocasiones se necesita tener proyección de acuerdo al evento en el momento del registro con información para los asistentes. Por último cabe mencionar las 3 líneas telefónicas de la empresa y 1 scancard ya que en la mayoría de los congresos y convenciones para efectuar un registro de nivel son necesarios tarjetas de presentación de cada persona, y con este equipo nos facilita la captura de todos los datos contenidos en ellas. Todo este mobiliario se encuentra distribuido en la empresa que consta de 2 pisos, en la cual la Planta Baja se encuentra la parte administrativa y operativa de la empresa con escritorios, laptops del personal que labora ahí, 1 impresora B/N y una red inalámbrica; además de un pequeño librero donde se encuentran almacenados las cámaras web, lectoras usb y de llavero además del proyector. Y en el primer piso, el cual es utilizado como almacén pero sin un control y medidas necesarias se encuentran laptops, impresoras, monitores, switch, cables de red, tonners de backup,1línea telefónica y un closet con los uniformes de la empresa (Ver anexo 1 y 2). 6.3 Planificación de tareas La distribución de funciones para el análisis, selección y desarrollo de la solución, así como la propuesta de control de cambios e inventarios, se efectuó en un periodo de dos meses, dividiéndolo en 5 tareas principales: Empresa Análisis general de la empresa Propuesta de solución Implementación Conclusiones Cada tarea a su vez cuenta con sus propias sub - tareas (Ver anexo 3). Página 50 de 83

59 6.4 Análisis de riesgos (metodología de COBIT) Paso 1.Identificación de las aéreas funcionales del inventario. 1. Administración del Área de TI en el Inventario 2. Seguridad 3. Especificación de Inventario 4. Evaluación del Inventario 5. Continuidad Inventario Paso 2.Identificación de los controles aplicados en cada área. Administración del área de ti en el inventario 1. Verifique que la organización contiene iniciativas de tecnología de información para soportar inventarios R= No se cuenta con una iniciativa para el control del inventario 2. Verifique que la entidad cuente con un presupuesto establecido para inversión en TI y su inventario R= No se cuenta con un presupuesto dedicado para su administración 3. Verifique que se cuenta con un programa de capacitación y administración para el control del inventario R= Se cuenta con un control no automatizado y de poco uso Seguridad 1. Verifique si existen políticas y procedimientos para identificar y autorizar el acceso al almacén donde se encuentra nuestro mobiliario. R= No existen las políticas y procedimientos 2. Evaluar si a través de una bitácora se pueden identificar las acciones que ejecuta el encargado del almacén, a través de un código de status que permita identificar las modificaciones al equipo. R =No se cuenta con bitácora 3. Evaluar si se cuenta con políticas y procedimientos para controlar el acceso a la información de licencias, garantías y comprobantes de cada elemento de nuestro inventario. R = No existe ningún tipo de políticas ni control 4. Evaluar si se han establecido los tipos de perfiles y privilegios necesarios para controlar el acceso al inventario. R =No se cuenta con perfiles de usuario. 5. Verifique la existencia de políticas y procedimientos de control de Página 51 de 83

60 entrada/salida de hardware. R =No cuentan con procedimientos de control para la entrada y salida de mobiliario, y el control de equipos que se encuentren críticos. 6. Compruebe que se restringe el acceso físico al almacén donde se ubique equipo de cómputo en general y donde se manipule información sensitiva R =No se encuentra restringida dicha área. 7. Observar que se cuente con alguna protección contra fuego, como extintores, detectores de humo y alarmas; así como su revisión periódica R=No se cuenta con alguna seguridad de protección. Especificación de inventario 1. Verifique la existencia y actualización de la documentación del equipo. R= Si cuentan con la documentación necesaria 2. Determinar si existe un inventario de la configuración: sistemas operativos y software de aplicación del equipo. R =No existe un inventario de las configuraciones. 3. Determinar si se cuenta con reportes de violaciones a la seguridad y procedimientos formales de solución de problemas. R =No se cuenta con una lista de reportes que se han realizado en el inventario Valoración inventario 1. Verificar que existan políticas y procedimientos relacionados con la disponibilidad, monitoreo y desempeño del hardware R= No cuentan con las políticas y procedimientos 2. Verifique la existencia de un inventario automatizado de hardware R =No existe un inventario automatizado de hardware 3. Verifique que la empresa realiza regularmente estudios de desempeño del hardware y las líneas de comunicación (redes) R =No se realizan estudios de las líneas de comunicación y del desempeño del hardware. 4. Verificar que todos los cables y componentes relacionados, se etiqueten e identifiquen adecuadamente y de la misma forma en todas las oficinas. R=Si se encuentran etiquetados desde los cables, equipos de cómputo hasta las herramientas adicionales Página 52 de 83

61 Continuidad de inventario 1. Verificar que los medios de respaldo dispongan de etiquetas externas e internas, así como una identificación permanente, que permita determinar fácil y confiablemente su contenido. Revisar que las etiquetas incluyan: información de su contenido R = Si se pueden verificar, debido a que si se encuentran identificados 2. Comprobar que exista un Centro Externo para el almacenamiento de los respaldos. R= No existe un centro de almacenamiento externo 3. Comprobar que exista un procedimiento de transporte que incluya las medidas de seguridad necesarias para el traslado de equipo, que garantice que llegarán a su destino sino la integridad de los mismos. R =No existe ningún procedimiento 4. Verificar que el equipo se someta a un mantenimiento preventivo que asegure las condiciones adecuadas del funcionamiento. R=No se pueden verificar, debido a que no existen equipos donde se almacenen los respaldos. Página 53 de 83

62 Paso 3.Identificación de los riesgos MATRIZ DE COBIT En base a los criterios establecidos por COBIT, se desarrollan los Objetivos de Control aplicados a nuestro producto. Se hace un análisis y se evalúan cada uno de los criterios definidos en la matriz en base a nuestra información recopilada. Ver anexo 4. Definiendo 3 ponderaciones las cuales son: B= BAJO M= MEDIO A=ALTO Paso 4.Evaluación de los controles Calculo del riesgo (Ver anexo 5). Evaluación de los controles. 20* (5*1+4*1+3*0+2*0) = * (5*1+4*1+3*1+2*0) = *(5*0+4*0+3*1+2*1) = *(5*1+4*1+3*1+2*0) = *(5*0+4*1+3*1+2*0) = 210 *Para ver el desglose del valor del control de cada unidad auditable ver anexo 6. Matriz de análisis de riesgo. Definiendo dos ejes: Probabilidad de Ocurrencia e Importancia para la empresa, se generan los 4 cuadrantes para la evaluación del Riesgo y en base a los resultados obtenidos de las tablas de Evaluación de los Controles, se representan gráficamente de acuerdo a su ponderación de Alto y Bajo riesgo para cada uno de los puntos. Siendo la Seguridad y la Valoración del Inventario los puntos más críticos y de mayor riesgo para la empresa. Ver anexo Análisis de Software para la propuesta de solución A continuación se mencionan los diferentes tipos de software que fueron analizados para la posterior presentación de la propuesta formal del uso de un programa informático que llevara el control de inventarios Aspectos a evaluar Entre las características sobre salientes que se analizaron son las que a continuación se enuncian y explican detalladamente. Página 54 de 83

63 Facilidad de Manejo: característica del software con respecto al nivel de intuición que nos oriente a un uso simple, sin necesidad de tener conocimientos especializados o avanzados sobre una herramienta informática. Soporte Técnico: propiedad inherente principalmente al software de tipo paga que nos brinda una atención y ayuda en caso de que tengamos problemas con la herramienta adquirida. Desempeño: cualidad que permite percibir y evaluar el nivel de rendimiento. Herramientas extras: aplicaciones adicionales que vienen incluidas en el software instalado o adquirido. Funcionalidad: característica orientada al core de la aplicación, a lo que se dedica como tal. Calidad: aspecto subjetivo que permite evaluar aspectos relativos de manera personal, que se orienta en términos generales a cumplir a grandes rasgos y de la mejor manera para lo que fue diseñada la aplicación. Seguridad: propiedad relativa al software que nos brinda la información relativa a brindar la confianza a una aplicación de que no se hará un mal uso a nuestro información, por citar algún ejemplo. Documentación/Ayuda: información adicional que se brinda junto con la herramienta, puede ser en formato.chm, htmlhelp u otro, pudiendo ser éste en línea o de manera implícita en la aplicación. Página 55 de 83

64 6.5.2 Ponderación Con el objeto de estandarizar, evaluar y comparar las herramientas investigadas, fue necesario crear escalas equitativas que nos brindaran un marco de referencia para colocar en el mismo plano las herramientas y elegir un par de posibles propuestas reales. Para el análisis, se utilizaron los número reales como escala natural, comprendiendo del 0 (cero) al 9 (nueve), siendo el cero el límite inferior y el nueve el límite superior, toda vez que posteriormente se definió un valor para cada aspecto antes mencionado que sería evaluado mediante una multiplicación del pondera contra el número real, con el objeto de obtener el valor del aspecto evaluado. La suma de los ponderas es igual a 1, con el objeto de que cuadrasen las cuentas. Factor Ponderación Facilidad de Manejo 0.15 Soporte Técnico 0.2 Desempeño 0.1 Herramientas extras 0.05 Funcionalidad 0.15 Calidad 0.1 Seguridad 0.15 Documentación/Ayuda 0.1 Total 1 Tabla 6.1. Factores y ponderación. Siguiendo con el procedimiento y metodología, se obtuvo la suma de las multiplicaciones de la ponderación y el valor de cada aspecto a evaluar. Página 56 de 83

65 6.5.3 Evaluación de software Cea ordenadores Factor Factor Cea Ordenadores Facilidad de Manejo Soporte Técnico Desempeño Herramientas extras Funcionalidad Calidad Seguridad Documentación/Ayuda Total Interpretación: Tabla 6.2. Análisis de Cea Ordenadores Esta herramienta se encarga de la gestión y consulta de los artículos de la empresa en red. El programa controla un inventario de artículos en almacén, las fichas de artículos pueden incluir, observaciones ilimitadas, fotos, se anotan los pedidos de que cliente son, se puede exportar a archivos ASCII. La versión en redes, fija distintos requisitos para los usuarios un usuario el administrador puede dar de alta, borrar y/o modificar todas las fichas y los usuarios que son exclusivamente consultores, sólo pueden consultar los ficheros sin modificar nada. Ver anexo 8. Frostbow Home Inventory Factor Factor Frostbow Home Inventory Facilidad de Manejo Soporte Técnico Desempeño Herramientas extras Funcionalidad Calidad Seguridad Documentación/Ayuda Total Tabla 6.3. Análisis de Frostbow Home Inventory. Página 57 de 83

66 Interpretación: Frostbow Home Inventory es un gestor de información especialmente desarrollado para registrar y gestionar todo tipo de inventarios. Con este software es posible añadir todo tipo de objetos a una lista especificando características como nombre del artículo, fecha de adquisición, estado, valor económico, lugar de almacenamiento, fotos, entre otros detalles. Ésta herramienta nos permite organizar toda la información por en categorías totalmente personalizables. Además, nos permite generar informes detallados con imágenes, gráficas y otros detalles que te ayudarán a controlar todos los artículos de tu inventario. Ver anexo 9. Ad-Alma Factor Factor Ad-Alma Facilidad de Manejo Soporte Técnico Desempeño Herramientas extras Funcionalidad Calidad Seguridad Documentación/Ayuda Total Interpretación: Tabla 6.4. Análisis de Ad-Alma. Ad-Alma es una herramienta diseñada para la administración de todo tipo de almacenes con la que se podrá tener en todo momento controlada toda la información sobre las entradas y salida de los activos de la empresa. Esta herramienta incluye todo lo necesario para esta gestión y organización mediante tablas del sistema desde las que se controla el stock de productos, la cartera de clientes o los proveedores por sólo citar algunas opciones. Con este software es posible controlar todas las órdenes de compra, entradas y salidas del almacén, inventarios físicos y kardex de cada artículo para poder revisar sus entradas y salidas hasta que llegan a su almacén determinado. Ver anexo 10. Página 58 de 83

67 Inventoria Stock Manager Factor Factor Inventoria Stock Manager Facilidad de Manejo Soporte Técnico Desempeño Herramientas extras Funcionalidad Calidad Seguridad Documentación/Ayuda Total Interpretación: Tabla 6.5. Análisis de Inventoria Stock Manager. Express Inventory es un práctico gestor para realizar inventarios. Así podemos saber con exactitud los activos de que disponemos, incluso si disponemos de varios almacenes. Con una interfaz muy intuitiva, podremos añadir ítems, clasificarlos por categorías y relacionarlos con una ubicación en particular, así como operar con proveedores creando fichas con sus datos.express Inventory permite acceder al inventario vía web, desde el navegador a través de la intranet, pudiendo crear cuentas para varios usuarios y limitarles el acceso o concederles el grado de administrador. Ver anexo 11. Network InventoryAdvisor Factor Factor Network InventoryAdvisor Facilidad de Manejo Soporte Técnico Desempeño Herramientas extras Funcionalidad Calidad Seguridad Documentación/Ayuda Total Interpretación: Tabla 6.6. Análisis de Network Inventory Advisor. Esta herramienta lleva el control automático de las versiones, fechas de instalación y otros datos relevantes para el inventario. Podrás obtener asimismo todos los detalles del sistema operativo: tipo, Service Pack, clave de producto, número serial, etc.de igual forma recolecta remotamente todos los datos de modelos y fabricantes, tipos de CPU y velocidad, discos duros, adaptadores de red, motherboards, vídeo, audio, memoria, periféricos y más. Ver anexo 12. Página 59 de 83

68 6.6 Propuesta de software De acuerdo a la evaluación de los diferentes software seleccionados, se proponen las aplicaciones Ad-Alma e Inventoria Stock Manager como solución a la necesidad de la empresa, al realizar la comparación de cada software se muestra claramente que estas dos aplicaciones cubren los requisitos (Ver anexo 13), donde la primera es de costo y cubre perfectamente la problemática y la segunda siendo freeware es buena sin embargo siendo de software libre no tiene soporte. Haciendo un análisis de las necesidades que deben satisfacer la problemática de la empresa se elabora un cuadro de comparación con las propuestas de software, generando una manera grafica de comprender y de esclarecer los beneficios de cada uno de las propuestas y así determinar una posible elección. Ver anexo Recomendaciones de implementación y uso del Software La instalación del software seleccionado será en el servidor de la empresa. Se consideraran los requerimientos establecidos (tanto de hardware como de software) para el óptimo funcionamiento del software. Creación y configuración de cuentas de usuario seguras que permitan el acceso a la aplicación y a la información de manera remota (web). Considerar el acceso a la información a diferentes niveles jerárquicos que limiten los permisos de crear, borrar y modificar y consultar información. Establecer parámetros de seguridad que impidan el acceso a usuarios no autorizados y aseguren la integridad de la información. Fomentar cultura de seguridad informática entre los usuarios del software. Creación de respaldos periódicos de la información (cada dos semanas). Considerar disponibilidad de actualizaciones y mantenimiento (soporte técnico). Contar con planes de acción en caso de fallo o mal funcionamiento del software. Establecer tiempos y metodologías de implantación y capacitación para el uso del software. Asignar una persona responsable para el permanente monitoreo del software. 6.7 Conclusiones La adecuada implementación y uso de una herramienta para el control de inventarios permite la automatización y gestión de los inventarios de la empresa. De esta manera se asegura la integridad y el monitoreo permanente de cualquier cambio, modificación y/o actualización realizada. Se crean medidas adecuadas que permiten una rápida respuesta ante cualquier cambio o imprevisto que pueda ocurrir, asegurando así la continuidad en tiempo y forma. Gestionar el inventario mediante el modelo de COBIT nos acerca al uso, Página 60 de 83

69 manejo e implementación de las «bestpractices». Página 61 de 83

70 A N E X O S Página 62 de 83

71 Anexo 1. Planta baja P l a n t a b a j a Gerente Arriba Escaleras Silla Ergonómica 8 m Anaqueles para resguardar lectoras de llavero, lectora usb y proyectores(3) Terminal operativa 1 Mesa para impresora Arriba Mesa Escritorio 1.50m Archivero Terminal operativa 2 Mesa para servidor Tubos flourescentes Enchufe Interruptor Terminal operativa 3 Servidor Impresora Teléfono Página 63 de 83

72 Anexo 2. Planta Alta P l a n t a a l t a Sala de juntas Directora Anaqueles para resguardar cámaras web, cables de red, switch, no breaks 8 m Anaqueles para resguardar las computadoras portátiles. Abajo Estante para pantallas Anaquel para multifuncionales Mesa de noche Archivero para los toners Armario de ropa para los eventos Página 64 de 83

73 Anexo 3. Planificación de tareas Propuesta de control de cambios e inventarios. Página 65 de 83

74 Notas de referencia Eficacia Eficiencia Confidencialidad Integridad Disponibilidad Conformidad Confiabilidad Personas Aplicaciones Infraestructura Información Propuesta de control de cambios e inventarios. Anexo 4. Matriz de COBIT Objetivos del control Criterios de información Criterios de Recursos PLANEACION Y ORGANIZACION PO1 Definir Plan estratégico B B B B B M B M M B B M PO2 Definir arquitectura de la M M M B B B B B B M B M información PO3 Determinar la dirección M M M M M M B B M M M B tecnológica PO4 Definir la organización de B B B B B M M M B M B M las relaciones de TI PO5 Manejar la inversión en TI B B B B B B B B B B B B PO6 Comunicar la dirección y M M B M M M B B M B M M aspiraciones de la gerencia PO7 Administrar recurso M A A M M A M M A M M M humano PO8 Administrar calidad B M M B B B B B M B B M PO9 Evaluar riesgos A A A A A A A A A A A A PO10 Administración de M M B M B B B B M M B B proyectos ADQUISICION E IMPLEMENTACION AI1 Identificar Soluciones B A A A M M M A A M M A AI2 Adquirir y mantener M A A M M M A A A M M A software de aplicación AI3 Adquirir y mantener M A A A A M M A M A A A arquitectura de tecnología AI4 Desarrollar y mantener A A A A A M M A B A A M procedimientos relacionados con TI AI5 Procure IT resources A M M M B M M M B M M M AI6 Administrar cambios A A A A M B M A M A A A AI7 Install and accredit A A A A M M B M M A A M solutions and changes ENTREGA Y SOPORTE Página 66 de 83

75 DS1 Definir Nivel de Servicio M M M A A B M B B A B B DS2 Administrar servicios B M B B B M M B M B B B prestados por terceros DS3 Administrar desempeño y B B B B M B M B B B B B capacidad DS4 Asegurar servicio continuo A A A A A M M A A A A A DS5 Garantizar seguridad de M A A M M M A M A M A M sistemas DS6 Identificar y asignar costos M M M M M M M M B B B M DS7 Educar y entrenar a los B B B M M B M B B M B B usuarios DS8 Administrar problemas e M M B B B B B M A A A A incidentes DS9 Administrar la B M M M M B M M M M A M configuración DS10 Administrar problemas M M M M M B M M M M B M DS11 Administración de los M M M B M M M M M M A A datos DS12 Administrar ambiente A A B A A M M M M A A M físico DS13 Administrar operaciones B B M M M M M B B B B M MONITOREO Y EVALUACION M1 Monitorear los procesos B M M B A M M A B B M M M2 Evaluar lo adecuado del control interno M3 Obtener aseguramiento independiente M M B B M M M M B B M M A M M M M M M M B B M M Página 67 de 83

76 Anexo 5. Evaluación de los controles. Factores de riesgo (rango 0 ó 1) Total Unidad Valor del del auditable control Financiera Estratégica Operacional Legal riesgo 5* 4* 3* 2* Administración % 20 de TI Seguridad % Especificación % 50 inventario Valoración % 50 inventario Continuidad % 30 del inventario Página 68

77 Anexo 6. Valor del control por unidad auditable Administración de TI de Inventarios Evaluando factor Peso Puntuación Valor asignado 1 2 Administración y 3 3 Capacitación Presupuesto de la inversión TOTAL Seguridad Evaluando factor Peso Puntuación Valor asignado Normas de seguridad Control de acceso Metodología para la administración de requerimientos TOTAL Página 69

78 Especificación de Inventarios Evaluando factor Peso Puntuación Valor asignado Reportes de evaluación Documentación de los sistemas del equipo Requerimientos del equipo TOTAL Valoración de Inventario Evaluando factor Peso Puntuación Valor asignado Monitoreo del 3 2 equipo 4 5 Existencia de inventarios Seguridad en la red del inventario TOTAL Página 70

79 Continuidad del Inventario Evaluando factor Peso Puntuación Valor asignado Etiquetas de los equipos de computo Realización de respaldos de información y de equipo Anexo 7. Matriz de análisis de riesgo. TOTAL Página 71

80 Anexo 8. Gráfica de resultados de Cea Ordenadores Cea Ordenadores Anexo 9. Gráfica de resultados de Frostbow Home Inventory Frostbow Home Inventory Página 72

81 Anexo 10. Grafica de resultados de Ad - Alma. Ad-Alma Anexo 11. Grafica de resultados de Inventoria Stock Manager. Inventoria Stock Manager Página 73

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

Conceptos Básicos de Auditoría Informática

Conceptos Básicos de Auditoría Informática UNIVERSIDAD NACIONAL DE INGENIERÍA Conceptos Básicos de Auditoría Informática MSc. Julio Rito Vargas Avilés Sábado 21 marzo de 2009 AUDITORÍA INFORMÁTICA Tema Objetivos 1. Conceptos básicos Conocer qué

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA EVALUACIÓN DEL NIVEL DE MADUREZ DE LA GESTIÓN DE LAS TIC s EN LA EMPRESA ASTAP PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO EN SISTEMAS INFORMÁTICOS

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

CONTROL INTERNO DEFINICIÓN

CONTROL INTERNO DEFINICIÓN CONTROL INTERNO DEFINICIÓN Es el conjunto de planes, métodos y procedimientos adoptados por una organización, con el fin de asegurar que: Los activos estén debidamente protegidos Los registros contables

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

Sistemas de Información para la Gestión

Sistemas de Información para la Gestión Sistemas de Información para la Gestión UNIDAD 5_Tema 1: Procesos de TI U.N.Sa. Facultad de Cs.Económicas SIG 2013 UNIDAD 5: SERVICIOS DE TECNOLOGÍA DE INFORMACIÓN 1. Procesos de TI: Planeamiento y Organización.

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Encuestas para la autoevaluación del Sistema de Control Interno Institucional

Encuestas para la autoevaluación del Sistema de Control Interno Institucional Encuestas para la autoevaluación del Sistema de Control Interno Institucional 2014 Tabla de contenido Metodología para la Autoevaluación del Sistema de Control Interno Institucional 2 Encuesta para la

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

RIESGOS INFORMATICOS

RIESGOS INFORMATICOS 1 INTRODUCCION RIESGOS INFORMATICOS LA GESTION DE LOS RIESGOS El principal objetivo de la administración de riesgos, como primera ley de la naturaleza, es garantizar la supervivencia de la organización,

Más detalles

NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA

NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA THE INSTITUTE OF INTERNAL AUDITORS 247 Maitland Avenue Altamonte Springs, Florida 32701-4201 USA www.theiia.org The Institute

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO CONTENIDO 1. ANTECEDENTES E INTRODUCCIÓN 2. OBJETIVOS 3. CARACTERISTICAS 4. ESTRUCTURA 5. ELEMENTOS DEL CONTROL INTERNO

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

ANEXO No. 1 NORMAS INTERNACIONALES

ANEXO No. 1 NORMAS INTERNACIONALES ANEXO No. 1 NORMAS INTERNACIONALES NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA THE INSTITUTE OF INTERNAL AUDITORS 247 Maitland Avenue Altamonte Springs, Florida 32701-4201

Más detalles

LINEAMIENTOS DE MONITOREO Y CONTROL

LINEAMIENTOS DE MONITOREO Y CONTROL Bogotá D.C., Agosto de 2014 TABLA DE CONTENIDO INTRODUCCIÓN ------------------------------------------------------------------------------------------- --3 1. OBJETIVO --------------------------------------------------------------------------------------------

Más detalles

Capitulo 08 ISO - 14000

Capitulo 08 ISO - 14000 Capitulo 08 ISO - 14000 Es una serie de standard internacionales que especifican los requerimientos para preparar y valorar un sistema de gestión que asegure que su empresa mantiene la protección ambiental

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

U.D. 8 Juan Carlos Pérez González. UD 8. Auditorías

U.D. 8 Juan Carlos Pérez González. UD 8. Auditorías UD 8. Auditorías Requisitos de seguridade do sistema e dos datos. Obxectivos da auditoría. Ámbito da auditoría. Aspectos auditables. Mecanismos de auditoría. Alarmas e accións correctivas. Información

Más detalles

Objetivos Generales de Control Interno y Lineamientos para su Implementación

Objetivos Generales de Control Interno y Lineamientos para su Implementación Objetivos Generales de Control Interno y Lineamientos para su Implementación Alcance: Los Objetivos Generales de Control Interno y los Lineamientos para su implementación son de aplicación general para

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

Modelo de Negocios para la Seguridad de la Información.

Modelo de Negocios para la Seguridad de la Información. Modelo de Negocios para la Seguridad de la Información. El Modelo de Negocios de Seguridad de la Información (BMIS, Business Model for Information Security) se originó en el Institute for Critical Information

Más detalles

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración Seguridad del documento La clasificación de seguridad de la información de este documento, se ha establecido como bajo. Se ha creado y organizado con la expectativa de que esté a disposición de las unidades

Más detalles

REGLAMENTO PARA EL USO Y CONTROL DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN EN LAS ENTIDADES DEL SECTOR PÚBLICO CAPÍTULO I

REGLAMENTO PARA EL USO Y CONTROL DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN EN LAS ENTIDADES DEL SECTOR PÚBLICO CAPÍTULO I DECRETO No. 24 EL PRESIDENTE DE LA CORTE DE CUENTAS DE LA REPÚBLICA, CONSIDERANDO: I. El acelerado incremento y desarrollo de las Tecnologías de Información y Comunicación (TIC), en las entidades gubernamentales

Más detalles

C O N S I D E R A N D O

C O N S I D E R A N D O EDUARDO ROMERO RAMOS, Secretario de la Función Pública, con fundamento en lo dispuesto por los artículos 37, fracciones I, II, III y XXV de la Ley Orgánica de la Administración Pública Federal; 11 y 61

Más detalles

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra.

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. > SMC.WP01 < 1 Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. I. INTRODUCCION Los aspectos de seguridad

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

La Seguridad Informática de las aplicaciones y el Control Interno.

La Seguridad Informática de las aplicaciones y el Control Interno. La Seguridad Informática de las aplicaciones y el Control Interno. AUTORA: MSc. Concepción Casal González Especialista en Ciencias Computacionales Gerencia de Auditoria. Dirección de Control Corporativo.

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA Implementando COBIT Por: Víctor Julio Zúñiga.MBA 1 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI tiempo 2 Alineado Soporte al Negocio Controlados Mejor seguros Calidad del Servicio Riesgos De TI tiempo

Más detalles

Gestión de Servicios Informáticos. Gestión de Activos informáticos. Biblioteca de Infraestructura de Tecnologías de la Información (ITIL)

Gestión de Servicios Informáticos. Gestión de Activos informáticos. Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) Gestión de Servicios Informáticos Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

CAPITULO PLANIFICACION INSTITUCIONAL DE LA AUDITORIA

CAPITULO PLANIFICACION INSTITUCIONAL DE LA AUDITORIA CAPITULO II PLANIFICACION INSTITUCIONAL DE LA AUDITORIA 1. Generalidades La Contraloría General del Estado inmersa en el proceso estratégico de cambio que tiende a mejorar los servicios de auditoría que

Más detalles

NORMAS BASICAS DE AUDITORIA DE SISTEMAS

NORMAS BASICAS DE AUDITORIA DE SISTEMAS DIRECCION DE ESTRUCTURAS ADMINISTRATIVAS Y SISTEMAS DE INFORMACIÓN DEPARTAMENTO DE SISTEMAS DE INFORMACION NORMAS BASICAS DE AUDITORIA DE SISTEMAS 1 INDICE INTRODUCCIÓN Objetivos Control Interno Normas

Más detalles

Boletín de Asesoría Gerencial* El Gobierno de TI: La práctica en tiempos de crisis

Boletín de Asesoría Gerencial* El Gobierno de TI: La práctica en tiempos de crisis Espiñeira, Sheldon y Asociados * No. 3-2010 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Patricia Prandini Posgrado en Seguridad Informática Universidad de Buenos Aires Agenda I. Porqué necesitamos un marco

Más detalles

PROCEDIMIENTO DE AUDITORIA INTERNA

PROCEDIMIENTO DE AUDITORIA INTERNA VERSIÓN: 2.0 Página 1 de 17 INDICE Página INDICE...1 1. OBJETIVO DEL PROCEDIMIENTO...3 2. DESARROLLO DE LA AUDITORÍA INTERNA...3 2.1 OBJETIVO GENERAL...3 2.2 OBJETIVOS ESPECÍFICOS...3 2.3 FASES...4 2.

Más detalles

NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA

NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA Introducción NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA Los trabajos que lleva a cabo auditoría interna son realizados en ambientes legales y culturales diversos, dentro

Más detalles

Estatuto de Auditoría Interna

Estatuto de Auditoría Interna Febrero de 2008 Introducción Mediante el presente Estatuto, se pone en conocimiento de toda la Organización la decisión del Consejo de Administración de Grupo Prosegur de implantar a nivel corporativo

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles

SAS 99 CONSIDERACIONES DE FRAUDE EN UNA AUDITORIA DE ESTADOS FINANCIEROS

SAS 99 CONSIDERACIONES DE FRAUDE EN UNA AUDITORIA DE ESTADOS FINANCIEROS SAS 99 CONSIDERACIONES DE FRAUDE EN UNA AUDITORIA DE ESTADOS FINANCIEROS FRAUDE: CONSIDERACIONES A TENER PRESENTE EN LAS AUDITORAS SAS 99 (2002) 2 FRAUDES, ERRORES Y ACTOS ILEGALES SON DIFERENTES? 3 El

Más detalles

SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS. Tesis previa a la obtención del título de:

SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS. Tesis previa a la obtención del título de: SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS Tesis previa a la obtención del título de: Ingeniero en Sistemas con mención en Informática para la Gestión Tema: Diagnóstico para

Más detalles

DECRETO No. 09 05 21 02 21 de Mayo de 2009

DECRETO No. 09 05 21 02 21 de Mayo de 2009 DECRETO No. 09 05 21 02 21 de Mayo de 2009 Por el cual se adopta el Modelo Estándar de Control Interno (MECI 1000:2005) en la Alcaldía Municipal de Guamal El Alcalde Municipal de Guamal en uso de sus atribuciones

Más detalles

AUDITORIA. Por Marco Antonio Resendiz Durán*

AUDITORIA. Por Marco Antonio Resendiz Durán* AUDITORIA Por Marco Antonio Resendiz Durán* La Auditoría es un examen sistemático de los estados financieros, registros y operaciones con la finalidad de determinar si están de acuerdo con las NIFS, con

Más detalles

Código de Ética del Instituto del Fondo Nacional de la Vivienda para los Trabajadores. Presentación

Código de Ética del Instituto del Fondo Nacional de la Vivienda para los Trabajadores. Presentación Código de Ética del Instituto del Fondo Nacional de la Vivienda para los Trabajadores Presentación El INFONAVIT es una Institución de carácter social que proviene de una legítima aspiración de los trabajadores

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza

DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza El Alcalde del municipio de Matanza, en uso de sus atribuciones Constitucionales y

Más detalles

GLOSARIO DE TÉRMINOS

GLOSARIO DE TÉRMINOS GLOSARIO DE TÉRMINOS A Alcance de la auditoría. El marco o límite de la auditoría y las materias, temas, segmentos o actividades que son objeto de la misma. Auditores externos. Profesionales facultados

Más detalles

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DIRECCIÓN GENERAL DE AUDITORÍA NORMAS DE AUDITORÍA GUBERNAMENTAL PARA LA REPÚBLICA DE PANAMÁ

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DIRECCIÓN GENERAL DE AUDITORÍA NORMAS DE AUDITORÍA GUBERNAMENTAL PARA LA REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DIRECCIÓN GENERAL DE AUDITORÍA GUBERNAMENTAL PARA LA ARISTIDES ROMERO JR. Contralor General GUSTAVO A. PÉREZ Subcontralor General RAFAEL REYES Consultor de la Agencia

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B.

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. Agenda de la presentación PLAN DE IMPLEMENTACIÓN SGSI ISO 27001:2013 TFM MISTIC 2014-2015

Más detalles

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0 Coordinación de Investigación, Políticas y Evaluación Programa Agenda de Conectividad Estrategia de Gobierno en línea República

Más detalles

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA Propósitos de este documento El objetivo del presente documento es establecer una metodología para la elaboración del Plan de

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento?

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? RESUMEN DE LA SOLUCIÓN CA SERVICE MANAGEMENT: ADMINISTRACIÓN DE ACTIVOS DE SOFTWARE Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? CA Service

Más detalles

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios

Más detalles

UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO

UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO PROPUESTA DE IMPLEMENTACION DEL MARCO DE GESTION COBIT por

Más detalles

DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO

DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO Este documento está orientado a entregar directrices a los auditores internos para el aseguramiento

Más detalles

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN Resolución de 23 de junio de 2003, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos informatizados (BOICAC

Más detalles

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006 Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva

Más detalles

Auditoría y Gobierno Corporativo. 5 de septiembre de 2012

Auditoría y Gobierno Corporativo. 5 de septiembre de 2012 Auditoría y Gobierno Corporativo Jorge Piñeiro Assurance Managing Partner 5 de septiembre de 2012 Acerca de Ernst & Young Colombia Ernst & Young es un líder global en servicios de aseguramiento, impuestos,

Más detalles

1 PRINCIPIOS GENERALES DE AUDITORÍA DE SEGURIDAD VIAL. 3 2 PROCEDIMIENTOS DE AUDITORÍA. 7

1 PRINCIPIOS GENERALES DE AUDITORÍA DE SEGURIDAD VIAL. 3 2 PROCEDIMIENTOS DE AUDITORÍA. 7 LINEAMIENTOS GENERALES PARA LA ESTRUCTURACIÓN DE UN DOCUMENTO PARA EL ASEGURAMIENTO DE LA CALIDAD EN LA APLICACIÓN DE LAS AUDITORÍAS DE SEGURIDAD VIAL EN COLOMBIA 1 PRINCIPIOS GENERALES DE AUDITORÍA DE

Más detalles

NORMAS GENERALES PARA LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN

NORMAS GENERALES PARA LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN INTRODUCCIÓN NORMAS GENERALES PARA LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN ISACA es el acrónimo de Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información),

Más detalles

BREVE CONTENIDO DE LAS NORMAS INTERNACIONALES DE AUDITORIA (NIA)

BREVE CONTENIDO DE LAS NORMAS INTERNACIONALES DE AUDITORIA (NIA) BREVE CONTENIDO DE LAS NORMAS INTERNACIONALES DE AUDITORIA (NIA) EMISIÓN Y DESARROLLO DE NORMAS IFAC ha establecido el Comité Internacional de Prácticas de Auditoría (IAPC) para desarrollar y emitir a

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

Contraloría General de la República. Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE)

Contraloría General de la República. Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE) Contraloría General de la República Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE) Aprobadas mediante Resolución del Despacho de la Contralora General

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

CONSIDERANDO: CONSIDERANDO:

CONSIDERANDO: CONSIDERANDO: República de Venezuela - Contraloría General de la República - Despacho del Contralor General de la República. Caracas, 30 de Abril de 1997.- Resolución Número 01-00-00-015 186 y 138 El Contralor General

Más detalles

Por tanto, en base a las disposiciones legales antes señaladas, el Consejo Directivo de la Superintendencia de Valores ACUERDA emitir la siguiente:

Por tanto, en base a las disposiciones legales antes señaladas, el Consejo Directivo de la Superintendencia de Valores ACUERDA emitir la siguiente: Considerando: I- Que el artículo 5 de la Ley Orgánica de la Superintendencia de Valores, establece como uno de los deberes de esta Superintendencia, facilitar el desarrollo del mercado de valores, tanto

Más detalles

GOBIERNO Y GESTIÓN TIC. Marcos de Referencia: COBIT, PMBOK, ITIL

GOBIERNO Y GESTIÓN TIC. Marcos de Referencia: COBIT, PMBOK, ITIL GOBIERNO Y GESTIÓN TIC Marcos de Referencia: COBIT, PMBOK, ITIL Marcos de Referencia Existe una creciente preocupación en la alta dirección de las empresas acerca de las actividades de la función TI. Esto

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES DESCRIPCIÓN DE CURSO DE LA CARRERA DE MAESTRÍA Y POSTGRADO EN AUDITORÍA DE SISTEMAS Y EVALUACIÓN

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

PRINCE2 & TickIT. Jorge Armando Medina Morales. Código 1700321660. U n i v e r s i d a d D e C a l d a s. F a c u l t a d D e I n g e n i e r í a s

PRINCE2 & TickIT. Jorge Armando Medina Morales. Código 1700321660. U n i v e r s i d a d D e C a l d a s. F a c u l t a d D e I n g e n i e r í a s PRINCE2 & TickIT Jorge Armando Medina Morales Código 1700321660 U n i v e r s i d a d D e C a l d a s F a c u l t a d D e I n g e n i e r í a s I n g e n i e r í a D e S i s t e m a s O c t u b r e 2010

Más detalles

U. T. 2. LAS NORMAS TÉCNICAS DE AUDITORÍA

U. T. 2. LAS NORMAS TÉCNICAS DE AUDITORÍA U. T. 2. LAS NORMAS TÉCNICAS DE Estructura de Contenidos 2.1. Necesidad de las normas técnicas de auditoría. 2.1.1. Objetivo de la auditoría de Cuentas Anuales. 2.1.2. Naturaleza y contenido de las normas

Más detalles

II NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS

II NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS NORMAS DE AUDITORIA Fernando Poblete. I INTRODUCCIÓN En los países americanos en general los estados financieros se rigen por las normas de auditoría contenida en los SAS (Statement on Auditing Standers).

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

Na segurança da tecnologia da informação

Na segurança da tecnologia da informação Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance

Más detalles

CAPITULO IV LA SUPERVISION EN EL PROCESO DE AUDITORÍA

CAPITULO IV LA SUPERVISION EN EL PROCESO DE AUDITORÍA 1. Concepto CAPITULO IV LA SUPERVISION EN EL PROCESO DE AUDITORÍA La supervisión en forma general es la habilidad para trabajar con un grupo de personas sobre las que se ejerce autoridad, encaminada a

Más detalles

Taller de Gestión de Riesgos. Ing. CIP Maurice Frayssinet Delgado LI 27001, LA 27001 Oficina Nacional de Gobierno Electrónico e Informática

Taller de Gestión de Riesgos. Ing. CIP Maurice Frayssinet Delgado LI 27001, LA 27001 Oficina Nacional de Gobierno Electrónico e Informática Taller de Gestión de Riesgos Ing. CIP Maurice Frayssinet Delgado LI 27001, LA 27001 Oficina Nacional de Gobierno Electrónico e Informática Agenda www.ongei.gob.pe Introducción Definiciones Enfoque a procesos

Más detalles

ESTÁNDAR ISO/IEC INTERNACIONAL 27001

ESTÁNDAR ISO/IEC INTERNACIONAL 27001 ESTÁNDAR ISO/IEC INTERNACIONAL 27001 Primera Edicion 2005-10 - 15 Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requerimientos Numero de Referencia

Más detalles

2. MARCO DE REFERENCIA

2. MARCO DE REFERENCIA 2. MARCO DE REFERENCIA 2.1. MARCO NORMATIVO Las leyes han hecho cambiar el fenómeno en el tiempo; se puede decir que antes de la vigencia del Código Tributario, la auditoría financiera le era de utilidad

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

Boletín 3050 ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO

Boletín 3050 ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO Normas y Procedimientos de auditoria y Normas para atestiguar Boletín 3050 Boletín 3050 ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO Generalidades El estudio y evaluación del control interno se efectúa con

Más detalles

CÓDIGO DE CONDUCTA EN LA PREVENCIÓN DEL LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO DEL BBVA COLOMBIA

CÓDIGO DE CONDUCTA EN LA PREVENCIÓN DEL LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO DEL BBVA COLOMBIA CÓDIGO DE CONDUCTA EN LA PREVENCIÓN DEL LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO DEL BBVA COLOMBIA 1. PRINCIPIOS GENERALES El Código Conducta para la Prevención del Lavado de Activos y de la Financiación

Más detalles

SISTEMA ANTI-FRAUDE EN EL MARCO DEL SISTEMA DE CONTROL INTERNO

SISTEMA ANTI-FRAUDE EN EL MARCO DEL SISTEMA DE CONTROL INTERNO SISTEMA ANTI-FRAUDE EN EL MARCO DEL SISTEMA DE CONTROL INTERNO FACILITADOR: JENITH E. LINARES GALVAN AIRM (International Risk Management) by ALARYS. AML/CA (Anti-Money Laundering Certified Associate )

Más detalles