CONSIDERACIONES SOBRE AUDITORIAS DE SISTEMAS DE INFORMACIÓN

Tabla 23. Medición para consideraciones sobre auditorias de sistemas de información Identificación de la estructura de medición

Nombre de la estructura de medición Auditorías de sistemas de información Identificador numérico 12.7

Propósito de la estructura de medición

La estructura de medición tiene como propósito realizar la evaluación de los distintos criterios que se deben tener en cuenta para realizar auditorías sobre los sistemas de información. Objetivo del control / proceso A.12.7 Consideraciones sobre auditorias de

sistemas de información

Objetivo: Minimizar el impacto de las actividades de auditoría sobre los sistemas operacionales.

Control(1)/proceso(1) A.12.7.1 Información controles de auditoría de sistemas

88

Control: Los requisitos y actividades de auditoría que involucran la verificación de los sistemas operativos se deberían planificar y acordar cuidadosamente para minimizar las interrupciones en los procesos del negocio. Objeto de medición y atributos

Objeto de medición Totalidad de ítems evaluados en la revisión de adquisición y mantenimiento de Sistemas operativos (S.O.) en la Entidad.

1. Análisis de la relación costo/beneficio del S.O.

Se revisa el análisis costo/beneficio y las alternativas y determinar si cada una de estas fue evaluada adecuadamente. 2. Instalación del S.O.

Se revisa el plan o procedimiento para la prueba del sistema, determinar si las pruebas se realizaron de acuerdo a ese plan y en forma exitosa.

3. Mantenimiento del S.O.

Se revisa la documentación relacionada con el mantenimiento o upgrade del software.

4. Seguridad del S.O.

Se revisan los procedimientos para el acceso al software del sistema y a su documentación.

Atributo Puntos específicos evaluar en la auditoria de los Sistemas Operativos implementados.

1. Análisis Costo/Beneficio

Análisis de la capacidad del software para cumplir con los requisitos técnicos de la Entidad.

2. Análisis instalación de Sistema Operativo

Análisis del tipo de configuraciones realizadas en la instalación de los Sistemas Operativos implementados según lo exigido por la Entidad.

89

3. Análisis mantenimiento de Sistema Operativo

Análisis de los procedimientos de mantenimiento, con relación a tiempos y tipo de mantenimiento que se ha llevado a cabo realizado según lo exigido por la Entidad.

4. Seguridad en el Sistema Operativo Análisis de procedimientos y restricciones para usuarios finales de realizar cambios sobre el Sistema según lo exigido por la Entidad.

Especificación de medidas base (para cada medida base [1..n])

Método de medición 1. Definición porcentual de la cantidad de requisitos técnicos que se cumplen, con respecto a los exigidos por la Entidad. 2. Definición porcentual de la cantidad de

configuraciones exigidas por la Entidad que han sido implementadas.

3. Definición porcentual de la cantidad de mantenimientos realizados para el Sistema Operativo según lo exigido en la Entidad.

4. Definición porcentual de la cantidad de restricciones implementadas en el sistema según lo exigido por la Entidad. Especificación de medida derivada

Función de medición Definir un Umbral porcentual de Cumplimiento para cada trimestre de medición durante los primeros cuatro trimestres después de estos cuatro trimestres el umbral se define por el modelo analítico de este indicador de gestión.

1. Contar la cantidad de requisitos técnicos que se cumplen con:

Atributo: Análisis Costo/Beneficio -> (cumplimiento de requisitos técnicos) Y dividir esta cantidad entre el número de ítems exigidos.

Multiplicar el resultado por 100

Realizar la evaluación dependiendo el umbral definido.

90

2. Contar la cantidad de configuraciones implementadas en el Sistema operativo con:

Atributo: Análisis instalación de Sistema Operativo -> (cumplimiento de configuraciones implementadas exigidas)

Y dividir esta cantidad entre el número de ítems exigidos.

Multiplicar el resultado por 100

Realizar la evaluación dependiendo el umbral definido.

3. Contar la cantidad de mantenimientos realizados al Sistema Operativo con: Atributo: Análisis mantenimiento de Sistema Operativo -> (cumplimiento de mantenimientos a Sistemas Operativos) Y dividir esta cantidad entre el número de mantenimientos exigidos.

Multiplicar el resultado por 100.

4. Contar la cantidad de restricciones implementadas al Sistema Operativo con:

Atributo: Seguridad en el Sistema Operativo

-> (cumplimiento de restricciones exigidas sobre el Sistema Operativo) Y dividir esta cantidad entre el número de ítems exigidos.

Multiplicar el resultado por 100.

Realizar la evaluación dependiendo el umbral definido.

91 Especificación del indicador

Indicador Uso de identificadores de color. Gráfico de barras que representa cumplimiento en varios períodos de reporte con respecto a los umbrales (rojo, amarillo, verde) definidos por el Modelo analítico.

Reportes realizados trimestralmente tanto para el plan de entrenamiento, como para el plan de divulgación de cambios.

Modelo analítico 0-60% - Rojo; 61-90% - Amarillo; 91-100% Verde

Especificación de los modelos de decisión

Criterios de decisión Rojo - se requiere intervención, es necesario efectuar un análisis de las causas para determinar las razones del no cumplimiento o rendimiento pobre.

Amarillo - se recomienda que se siga de cerca este indicador por la posibilidad de que se deslice a Rojo

Verde - no se requiere acción, continuar con el proceso como se viene desarrollando.

Resultados de medición

Interpretación de un indicador Tomar acciones correctivas para el siguiente periodo de medición si el indicador se encuentra en Rojo o Amarillo. Las acciones correctivas son Específicas de la Entidad.

Partes interesadas

Cliente de la medición Gerencia de seguridad, Gerencia de tecnologías de la información, La alta dirección u otra parte interesada que requiera o solicite información sobre la efectividad de los proyectos de desarrollo de software en la Entidad.

Revisor de la medición Gerente de seguridad, Gerente de tecnologías de la información.

Propietario de la información Gerencia de seguridad, Gerencia de Tecnologías de la Información, La alta dirección

Recolector de la información Gerencia de Tecnologías de la Información. Frecuencia / Periodicidad

92 Frecuencia del análisis de datos Trimestral Frecuencia del informe de los

resultados de la medición

Trimestral

Revisión de la medición Revisar Mensualmente

Período de medición Anual

93