En el presente capitulo se desarrollaran las guías o procedimientos
para ejecutar la auditoria de aplicaciones, cada una de las preguntas
están ligadas con los procesos analizados en el capítulo III, la casilla
de Detalle de Proceso contiene las estructuras de los documentos de
salida, aclarando que no necesariamente las estructuras de los
documentos son estándares, cada estructura de salida en la presente
tesis fue analizada y estudiada de forma general, cada guía tiene
casillas de verificación del procedimiento, esta verificación puede ser
Parcial, Total o No cumple, en la casilla de Pruebas de la guía se
detalla las evidencias que sean presentadas como respaldo de los
procedimientos auditados, la casilla de Observaciones permite detallar
todos los sucesos encontrados.
El uso de varias metodologías ayudo para que las guías puedan
complementarse, cada pregunta tiene su base teórica, su debido
proceso y control enmarcado dentro las metodologías analizadas.
Las
entradas
de
los
procedimientos
fueron
analizadas
y
seleccionadas de las diferentes metodologías, no necesariamente de
una sola metodología se deben centrar las entradas, puede que las
entradas sea una mezcla de las metodologías, esta elección de
entradas permite en las guías darnos una idea o referencia de cómo
se debe plantear las preguntas.
La Guías son las que permitirán al final emitir los debidos informes
que incluirán observaciones, conclusiones, correctivos y mejoras que
se debe aplicar.
98
Ilustración 10
Total Parcial No cumple
EVALUAR Y ADMINISTRAR RIEGOS
Identificación de actores, tipo de amenaza, acciones, recursos y Tiempo * Definición y priorización de Riesgos
Documento de estrategia de riesgo y Clasificación de Riesgos * Tolerancia de Riesgos (Indicadores magnitud y frecuencia) Evitar Riesgos
* Respuesta al Riesgo
Detalle de implementación de Controles de riesgo Incluye el documento de Análisis de Riesgo ¿Por qué gestionar el riesgo?
Pre guntas de Control De talle de Control
* Gestión de Riesgo
Riesgo del proceso Riesgos del negocio
¿Pose e un docume nto de aprobación de Marco de Trabajo de Administración de Rie sgos?
¿Qué estrategias adopta frente al riesgo?
* Riesgos genéricos
Riesgos de Tamaño de Plantilla de personal y su experiencia,
¿Cómo clasifica los riesgo?
* Estimación de frecuencia e impacto
Indicadores de Riesgo
* Desarrollo del escenario del riesgo
¿Docume nto de Análisis de Rie sgo?
Firma de aprobación
* Plan de acción y Plan de contingencia de Riesgos Aceptación de Riesgo
* Metodologías de Gestión Riesgos
Riesgos de la relación con el cliente * Riesgos específicos
Riesgo del tamaño
Reducción de Riesgos/Mitigación Riesgos Compartidos/Transferencia
* Selección y priorización de respuesta al Riesgo (Parámetros de selección respuesta) Costo, importancia, capacidad de la organización, eficacia y eficiencia de respuesta
¿Realiza reportes de los riesgos? * Incluye tipo de riesgo, clasificación, solución y costos costo / beneficio (Análisis de Oportunidad o Perdida ) * Análisis de Impacto al negocio
¿Qué parámetros usa para evalúa el impacto del riesgo?
Obse rvación Prue bas
¿Posee una base de conocimiento de riesgo? * Soluciones
Riesgo del entorno del desarrollo Riesgo tecnológico
99
Ilustración 11
Total Parcial No cumple
Pre guntas de Control De talle de Control Prue bas Obse rvación
¿Pose e un docume nto de Marco de Trabajo para la Administración de programas?
* Identificación de Proyectos * Evaluación de Proyectos * Control de Proyectos * Definición de Proyectos * Priorización de proyectos * Selección de Proyectos * Inicio de Proyectos * Administración de Proyectos
* Plan formal de pruebas * Revisión de pruebas
* Limites de la Administración de Proyectos
* Asignación de Recursos
¿Pose e un docume nto de Marco de Trabajo para la Administración de Proye ctos?
* Alcance de la Administración de Proyectos
* Requerimientos funcionales * Requerimientos no funcionales
* Firma de aprobación de las partes interesados * Firma de aprobación del alcance (Análisis del alcance) * Modelo de desarrollo de software (Espiral, RUP, Cascada, etc.) * Descripción de fases de desarrollo (según metodología usada) ¿Documento de Requerimientos?
¿Documento de Acuerdos establecidos? ¿Documento de aprobación de alcance? ¿Documento de Fases y modelo de desarrollo de software?
* Casos de uso (Análisis de Requerimientos) * Metodologías de cada proyecto
¿Posee un documento de Marco General de Trabajo de Administración de Programas y Proyectos ?
* Plan maestro de Programas y Proyectos
* Plan de Riesgos * Definición de Entregables * Aprobación de usuarios * Enfoque de proyectos * Aseguramiento de la calidad
¿Documento de Aprobación del Plan de Proyecto?
* Firma de aprobación de la dirección tecnológica ¿Documento de Recursos a utilizar?
¿Documento de Cierre del Proyecto * Firma de aprobación de Cierre de proyecto por las partes interesadas * Análisis de inclusión de sistemas nuevos o modificados
* Firma de aprobación Dirección tecnológica ¿Documento de inclusión de sistemas nuevos o modificados en el desarrollo de sistemas
* Evaluación de costos y rendimientos
* Control de cambios (calidad) ¿Documento de Control de Cambios?
* Determinación de Roles y Responsabilidades para aplicar el Plan de Calidad ¿Documento de Plan de Calidad?
* Costos * Cronograma
* Alcance de Cambios (Análisis de cambios) ¿Documento Plan de Riesgos?
* Firma de aprobación de las partes interesadas * Identificación de procesos del proyecto
* Detalle y aprobación de recursos para el Plan de Calidad * Control y manejo de Riesgos
* Identificación de Riesgos
ADMINISTRAR PROYECTOS
* Firma de aprobación de la dirección tecnológica * Roles y Responsabilidades
100
Ilustración 12
Total Parcial No cumple
Solicitud de cambio aprobado
Documento EDT
Firma de autorización del departamento de tecnología Firma de autorización del departamento de tecnología
¿Accione s corre ctivas aprobadas?
¿Pose e rutas de auditoria?
¿Docume nto de Cie rre de cambios?
(Pruebas de aceptación de cambios, paso a producción)
¿Accione s pre ve ntivas aprobadas?
¿Inse rción de cambios aprobada?
¿Docume nto de cambios he chos? * Documento de cambios aprobados por los interesados?
Firma de aprobación por las partes interesadas
* Docume nto de re paración de cambios aprobado (Durante la auditoría o control de calidad)
* Documento formal (Consecuencias negativas relacionadas con el riesgo del Proyecto
* Fecha de entrega de cambios
Áreas afectadas por el cambio Fecha de cambio
Tipo de cambio Responsables
Pre guntas de Control De talle de Control Prue bas Obse rvación
¿Docume nto de RFC ?
* Solicitudes de Cambio Aprobados o rechazadas * Requerimientos
* Aprobación final * Aprobación preliminar
* Tipo de cambio (Interno, externo o emergencia)
* Firma de aprobación de cambios (Usuario final) Enunciado del Alcance del Proyecto
Activos de los procesos de la organización
Activos de los proce sos de la organización Enunciado de l Alcance de l Proye cto Proce sos de Dire cción de l Proye cto Factore s ambie ntale s de la e mpre sa ¿Pose e un Plan de Ge stión de Cambios?
¿Enunciado de l Alcance de l Proye cto (Actualizacione s) ?
Plan de Gestión del Alcance del Proyecto Salida:
Enunciado del Alcance del Proyecto
Cambios solicitados Diccionario EDT Línea Base del Proyecto
Plan de Gestión del Alcance del Proyecto * Crear EDT (Estructuturas de Desglose de Trabajo) Entradas:
ADMINISTRACIÓN DE CAMBIOS
Firma de autorización del departamento de tecnología * Documento formal (Rendimiento futuro esperado del proyecto)
101
Ilustración 13
Total Parcial No cumple
* Nive l de prioridad
* Notificación de Incide nte s
ADMINISTRAR LA MESA DE SERVICIOS Y LOS INCIDENTES
* Clasificación de Incide nte s * Escalamie nto de incide nte s * Priorización de Incide nte s * Solución de Incide nte s
Pre guntas de Control De talle de Control Prue bas Obse rvación
¿Docume nto de Re gistro y Clasificación de Incide nte s?
* Ide ntificación de Incide nte s
* Solución de Incide nte s * Ve rificación de Incide nte
* Clasificación de l incide nte (Tipo de incide nte )
* Tipo de Incide nte
* Docume nto de tramite de incide nte s
* Re gistro de Incide nte (Ingre so a la base de incide nte s)
¿Base de Incide nte s ?
* Docume ntación de ayuda (Información que pe rmita solucionar e l incide nte ) ¿Re gistra los Incide nte s?
¿Documento de Control de Incidentes
* Priorización de Proble mas
* Monitorización de incide nte s y tie mpos de re spue sta
* Cierre del Incidente
* Cate gorización
¿Clasifica los Incide nte s?
* Gestión de SLA
* Confirmación de solución de incidentes (Partes interesadas) * Incorporación a la base de Incidentes y Actualización de la base * Clasificación de Incidentes
¿Cierre de Incidentes?
* Nive l de prioridad * Asignación de Re cursos
* Documento de informe estadístico (Proyecciones sobre uso de recursos y costos
* Monitoreo del servicio
* Optimización de recursos (Verificación de acuerdos) * Identificación de errores
¿Prioriza los Incide nte s?
* Tipo de e scalonamie nto
Escalonamie nto funcional (Inte rve nción de un e spe cialista) Escalonamie nto je rárquico (Pe rmisos para re solve r e l incide nte ) ¿Escalonamie nto de Incide nte s?
Ge stión de Configuracione s (Docume nto) Ge stión de Proble mas (Docume nto) Ge stión de Cambios (Docume nto) Ge stión de Disponibilidad (Docume nto) ¿Proce sos con que inte gra la Ge stión de Incide nte s?
Ge stión de SLA (Docume nto) Ge stión de la Capacidad (Docume nto) Paráme tros: Impacto, urge ncia
102
Ilustración 14
Total Parcial No cumple
GARANTIZAR LOS NIVELES DE SEGURIDAD
* Tipos de Controle s (Físicos y Lógicos) * Nive l de se nsibilidad de los proce sos de l siste mas
Personal responsable (Roles y Responsabilidades) Tipo de control aplicado
Documento de seguimiento del Control
(Inspe cción y prue bas de re spaldos) Tipo de siste mas
Fe cha de re spaldos
¿Qué procedimientos usa para auditar los sistemas?
Fecha de implementación de seguridad
Elaborado e n la ge stión de incide nte s
¿Pose e re spaldos de los siste mas y la información?
* Docume nto de control
* Distribución de docume nto de incide nte s
Se incluye charlas de incide nte s y controle s de incide nte s con la pre se ntación de e vide ncias Docume ntos de re spaldo
¿Pose e un docume nto de Incide nte s ?
* Docume nto de incide nte s ¿Qué proce dimie ntos usa para la notificación de incide nte s ?
* Guías de incide nte s De scripción de normas Tipos de nive le s de se guridad
Proce dimie ntos para garantizar los nive le s de se guridad Crite rios para garantizar los nive le s de se guridad Docume ntos de políticas de se guridad ¿Qué me didas y normas usa para garantizar los nive le s de se guridad?
De scripción de me didas Análisis de proce sos
¿Asigna Role s y Re sponsabilidade s?
* Docume nto de Re cursos (Incluye costos) * Docume nto de Role s y Re sponsabilidade s ¿Cate goriza e l conte nido de los siste mas?
Pre guntas de Control De talle de Control Prue bas Obse rvación
¿Docume nto de Se guridad de Siste mas Guía?
* Ide ntificación de l Re sponsable * Ámbito de Aplicación
* De scripción de l siste mas * Ide ntificación de proce sos * Cate gorización de proce sos
103
Ilustración 15
Total Parcial No cumple
* Nive l de prioridad
ADMINISTRACIÓN DE PROBLEMAS
* Firma de Aprobación del documento RFC
* Notificación de Proble mas
* Priorización de Proble mas
* Monitorización de Proble mas y tie mpos de re spue sta * Ve rificación de Proble mas
* Monitoreo del servicio
* Optimización de recursos (Verificación de acuerdos) * Identificación de errores y Control de errores
* Documento de informe estadístico (Proyecciones sobre uso de recursos y costos
¿Documento de Control de Incidentes
* Solución de Proble mas
* Incorporación a la base de Problemas y Actualización de la base * Clasificación de Problemas
* Cierre de Problemas
* Cate gorización * Nive l de prioridad * Asignación de Re cursos
¿Base de Incide nte s ? * Tipo de Proble mas
¿Re gistra los Proble mas?
* Docume nto de tramite de Proble mas
¿Cierre de Problemas?
* Confirmación de solución de Problemas
* Clasificación de Proble mas (Tipo de proble mas) * Re gistro de Proble mas (Ingre so a la base de proble mas)
* Docume ntación de ayuda (Información que pe rmita solucionar e l proble mas)
¿Clasifica los Proble mas? ¿Proce sos con que inte gra la Ge stión de Incide nte s?
Ge stión de la se guridad (Docume nto) Ge stión de Incide nte s (Docume nto) Catálogos de se rvicios (Docume nto) Ge stión de té cnica (Docume nto) Ge stión de aplicacione s (Docume nto) Ge stión de la pe ticione s (Docume nto) ¿Escalonamie nto de Incide nte s?
* Tipo de e scalonamie nto
Proactiva (Monitoriza la calidad y análisis de pre ve nción) Re activa (Causas y solucione s)
¿Prioriza los Proble mas?
Pre guntas de Control De talle de Control Prue bas Obse rvación
¿Docume nto de Re gistro y Clasificación de Proble mas?
* Ide ntificación de Proble mas * Clasificación de Proble mas
* Escalamie nto de Proble mas * Priorización de Proble mas
104
CAPITULO V
5. CONCLUSIONES Y RECOMENDACIONES
5.1.Conclusiones
ITIL, COBIT e ISO 27002 nos permiten:
Una visión más amplia de los procesos que se debe incluir en una
auditoria.
Complementar la estructura de los procesos en los que se
intersecan dichas metodologías.
Seleccionar los controles adecuados.
Tenerla posibilidad de seleccionar varias entradas a los procesos y
analizar sus salidas.
Estructurar los diagramas de procesos acorde a los controles
existentes.
Realizar Guías que posean una sustentación teórica y procesos
más claros.
Diagramar los procesos existen, mejorar la visión de los procesos
a seguir, y evaluar los procesos de entrada y salida.
Elegir preguntas que se sustenten en los marcos metodológicos, a
fin de se complemente guías, diagramas, procesos y sustentación
teórica.
105
5.2.Recomendaciones
Incluir varios marcos metodológicos que permitan tener una
visión más amplia de la estructura de una auditoria y los
procesos a seguir.
Identificar los puntos de intersección entre las normas con el fin
de completar los procesos.
Elegir criterios de información que abarquen los temas más
relevantes del desarrollo de aplicaciones.
Guías con Procesos claros y con su debida estructura, con el
fin de que todo quede debidamente sustentado.
106
MATERIALES DE REFERENCIA
Bibliografía
Contraloría General del Estado. (01 de 01 de 2000). Contraloria General del
Estado. Recuperado el 31 de 01 de 2013, de Contraloria General del
Estado:
http://www.contraloria.gob.ec/la_institucion.asp?id_SubSeccion=3
Institute, I. G. (01 de 01 de 2008). Alinenando Cobit 4.1, ITILV3 e ISO 27002
en beneficio del negocio . Recuperado el 01 de 03 de 2013, de
Alinenando Cobit 4.1, ITILV3 e ISO 27002 en beneficio del negocio :
http://www.isaca.org/Knowledge-
Center/Research/Documents/Alineando-Cobit-4.1,-ITIL-v3-y-ISO-
27002-en-beneficio-de-la-empresa-v2,7.pdf
ISACA. (2007). COBIT (Vol. V 4.1). México: IT Governance Institute.
ISACA. (01 de 01 de 2009). Risk IT Framework Excerpt. Recuperado el 05
de 2013, de Risk IT Framework Excerpt:
http://www.isaca.org/knowledge-center/research/documents/riskit-fw-
excerpt-8jan09.pdf
ISO, 2. (01 de 10 de 2005). iso27002.es. Recuperado el 19 de Enero de
2013, de iso27002.es: http://www.iso27000.es
Kaplan, R. S., & Norton, D. (1996). The Balanced ScoreCard: Translating
Strategy into Action.Boston: Harvard Business School Press.
Osiatis. (01 de 01 de 2000). Osiatis. Recuperado el 03 de 01 de 2013, de
Osiatis: http://www.osiatis.es/
Piattini, M., & Del Peso , E. (2001). Auditoría Informática un Enfoque
Práctico. México: Alfaomega.
Solarte, F. N. (30 de 11 de 2011). Auditoría Informática y de Sistemas.
Recuperado el 11 de 03 de 2013, de Auditoría Informática y de
Sistemas:
107
http://auditordesistemas.blogspot.com/2011/11/metodologia-para-
realizar-auditoria.html
Wikipedia. (01 de 01 de 2002). Information Technology Infrastructure Library.
Recuperado el 02 de 04 de 2013, de Information Technology
Infrastructure Library:
http://es.wikipedia.org/wiki/Information_Technology_Infrastructure_Lib
rary
108