Metodología de auditoría informática y guías de trabajo para la UTPL

(1)

7J

ko

(2)

UNIV ERSIDA D TECNICA PA RTICULA R LW LOJA

tA

U4t4I44

c4&4

IL

to'/4

ESCUELA LW CIENCIAS LW LA COMPUTACION

TEMA:

"METODOLOGIA DE AUDITORiA

INFORMATICA Y GUIAS DE TRABAJO PARA

LA UTPL".

Tesis de grado previa a la obtención del Titulo de Ingeniero en Sistemas lnfocmâticos y Computacion.

AUTOR:

DIRECTOR:

(3)

-Metodologia de Auditorla Informâtica y Gulas de Trabajo para Ia UTPL

CERTIFICACION

Ingeniera

Deysi Mosquera Vizuete DIRECTOR DE TESIS

C E R TI F I CA:

Que el presente trabajo de investigaciOn ha sido dirigido, supervisado y revisado en toclas sus partes, quedando autorizada su presentación.

Loja, Abrfl de 2007

(4)

Metodologla de Auditorla Informãtica y Gulas de Trabajo para Ia UTPL

AUTORIA

El autor compromete su responsabilidad en los criterios, opiniones y resultados de la presente investigacion.

Ademàs, es necesarlo indicar que la informaciôn de otros autores empleada en el presente trabajo está debidamente especificada en fuentes de referencia y apartados bibliográficos.

(5)

Metodologla de Auditoria Inform6tica y Gulas de Trabajo para la UTPL

AGRADECIMIENTO

Mi gratitud a todos los lideres do los departamentos de la Unidad do Proyectos y Sistemas lnformático (UPSI), por darme las facilidades necesanas para el desarrollo del presente proyecto de tesis.

A mi directora do tesis Ing. Deisy Mosquera por su amistad, asesoramiento y apoyo constante durante el desarrollo de cada una de las fases del proyecto. A (a Ing. Diana Cuenca por su apoyo y dedicación durante la culminaciOn do la tesis.

A mis amigos y maestros, quo do una u otra forma estuvieron conmigo durante toda (a carrera universitaria.

(6)

Metodologla de Auditorla Informática y Gulas de Trabajo para la UTPL

DEDICATORIA

A Dios por darme sabidurla y permitir qua esta tesis tenga éxito.

A mis padres Herman Guamán y Patricia Rodriguez por su apoyo y sacr,ficio constante para que pueda cutminar mis estudios y por su amor incondicional. A mis hermanos Liliana, Herman y Juan Pablo qua me brindan su ayuda en todos momentos.

(7)

Metodologla de Auditorla Informática y Gulas de Trabajo para la UTPL

INTRODUCCION

Actualmente en las organizaciones, la misión de las tecnologias do la

información es facilitar la consecuciOn de sus objetivos para un mejor desarrollo

de las mismas. Para lo cual se invierten considerables cantidades en recursos

como personal, equipos y tecnologia. Dichas tecnologIas quo son herramientas

estratégicas pare las organizaciones pueden originar desventajas competitivas si

no son bien administradas o dirigidas.

Las tecnologIas de la lnformaciOn han originado cambios en los mecanismos de

control interno tales como: Acceso a datos desde computadores remotos,

almacenaje de grandes volUmenes de datos, transacciones generadas

intemamente en el computador, dependencia del personal lnformtico,

concentraciOn de funciones, etc. Estos cambios generan nesgos quo pueden

producir grandes pérdidas para [as organizaciones y a los cuales solo se puede

enfrentar con un sistema de control intemo eficiente y una evaluación continua

de supervision o auditoria informática, esta auditoria nos permite detectar la falta

de un control, comprobar su correcto o deficiente funcionamiento asI como Ia

verdadera utilidad del mismo y recomienda 01 perfeccionamiento necesario al

sistema de control intemo para mejorar of servicio informático do la organizaciOn.

En términos generales podemos decir que, la Auditoria informática es el

conjunto de técnicas, actividades y procedimientos, destinados a analizar,

evaluar, verificar y recomendar en asuntos relativos a la planificaciOn, control y

eficacia del servicio informático en la organizaciOn, comprenthendo un examen

metôdico y puntual del servicio informático, con mire a mejorar su rentabilidad,

seguridad, eficiencia y eficacia do la misma.

Actualmente la Universidad Técnica Particular de Loja tiene un soporte

estrategico en las tecriologlas de la lnformaciOn, las cuales comprende:

(8)

Metodologia de Auditorla Informática y Gulas de Trabajo para la UTPL

Redes de comunicaciones; para enlazar los diferentes centros a nivel nacional.

• Equipos informáticos como Servidores con diforentes tecnologias en Linux, Solaris y Windows. Equipos como PCs, impresoras, entre otros.

No obstante, pese a esta compleja infraestructura la Universidad hasta hace poco no contaba con una funciôn dedicada a realizar Auditoria lnformática, asi como no cuenta con una motodologla para aplicarla; es por eso, que nace la idea de este proyecto, enfocado a diseñar una metodoIoga general de Auditoria lnformâtica, planes y gulas de trabajo, con Ia finalidad de apoyar Ia realizaciôn de revisiones de auditoria que permitan toner control de los recursos de TecnologIas de lnformación (TI) y asI garantizar la integridad, confiabilidad y disponibilidad de la informaciOn.

(9)

Metodologla de Auditorla Informática y Gulas de Trabajo para la UTPL

0 BJ ETIVOS

OBJETIVO GENERAL

Diseñar una metodologla general do Auditoria lnformática y gulas de trabajo para la Universidad TOcnica Particular de Loja.

OBJETIVOS ESPECIFICOS

Conocer los recursos do tecnologIas do lnformaciOn do La UTPL.

Disponer de un Plan de Auditoria lnformática quo permita planificar el trabajo de auditoria de acuerdo a los recursos más criticos con los que cuenta Ia Universiclad.

Definir gulas o programas de auditoria informática especificos para cada proceso y de esta manera facilitar las revisiones.

(10)

INDICE

CERTIFICACION

. I.

AuT0RL& ...II.

AGRADECIMTENTO... III.

DEDICATORLA...LV.

INTRODUCCION... V.

OBJIETIVOS... VI.

OBJETIVO GENERAL ...

VII.

OBJETIVO GENERAL ...VII.

FASE I

Conocimiento General de Recursos de TecnologIas de Información (TI) de La

UTPL.

2 INTRODUCCION A LAS TECNOLOGIAS DE INFORMACION

V

AUDITORIA

INFORMATICA

DEFIMcI0NES

2 TECNOLOGiAS DE INFORM ACION...2

DEFINJcION 2

AUDITORIA INFORMATICA DE TI ...4

DEFINJcION 4

OBJETIVOS DE LA AUDITORIA: 5

AREAS DE CONTROL 0 PROcESOS A AUDITAR: 5

ESTRUCTURA ORGANIZATIVA DE LA UPS!

7 APLICACIONES QUE UTILIZA LA UTPL

11 EQUIPOS QUE TIENE LA

UTPL________

12 REDES

V

CoMuNIcAcIoNEs

15 CARACTERISTICAS GENERALES DE LA RED DE LA UTPL EN EL CAMPUS

UNIVERSITARIO...16

SERVJDORES 17

ROUTERS 19

SWITCHES 19

HUBS 19

P0LITICAS

V

PROCEDIMIENTOS

20

POLiTICAS 20

(11)

FASE II

Defmición del Plan Anual de Auditoria Informática

25

INTRODUCCION AL PLAN DE AUDITORIA V ESTANDARES DE MEJORES PRACTJCAS

PARATI

25

PLANDE AUDITORIA...25

DEFINICION 25 COBIT - OBJETIVOS DE CONTROL PARA LAS TECNOLOG!AS DE INFORMACION ....26

HISTORIA Y EvoLucJON DE COBIT 26 PRODUCTO CUBIT 27 MARCO REFERENCIAL DE COB1T 28 DoMINIos DE COBIT 30 VENTAJAS DE COBIT: 33 NORMAISO 17799...33

VENTAJAS DE LA ISO 17799 35 CONTROLES SOME SISTEMAS DE INFORMACION PRESENTADOS EN EL INFORME

coso...

35

CONTROLES GENERALES 36 CONTROLES DE APLICACION 36 ANALISIS COMPARATIVO ENTRE COBIT, NORMA ISO 17799 Y CONTROLES SOME SISTEMASDE INFORMACION -COSO...37

DEFINIR PLAN DE AUDITORIA 38 DEFINICIONDE UNIDADES ...39

DEFINICIONDE PROCESOS ...40

RELACIONAR UNIDADES AUDITABLES V PROCESOS...40

DEFLNICION DE CRITERIOS DE EVALUACION ...41

EVALUAC!ON DE PROCESOS EN BASE A CRITERJOS DE EvALUAcION. ... 44

SELECCION DE PROCESOS MAS CRITICOS ...45

FASE III

Diseflo de Metodologla de Auditoria Informática

49

INTRODUCCION A LAS METODOLOGIAS DE AUDITORIA 49 METODOLOGIA SEGUN LA IEEE 1028...49

OBJETIVO: 49

RESUMEN: 50

RESPONSABILIDADES ESPECIALES: 50

ENTRADAS: 50

CRITERIO DE C0MWNzO: 50

PLANIFICACION: 50

(12)

PREPARACION: 50

ExAMEN: 51

INFORME _________________ 51

METODOLOGIA PROPUESTA POR ENRIQUE BENJAMiN FRANKLIN EN SU LIBRO "AUDITORIA ADMINISTRATIVA" ...51

PLANEACION 51

INSTRUMENTACION 52

EXAMEN 52

INFORME 52

SEGUIMIENTO - 52

METODOLOGIA PROPUETA POR EL INSTITUTO NACIONAL DE ESTADiSTICA E LNFORMATJCA11EI - PERU

...

52

PLANEAMIENTO DEL TRABAJO A REALIZAR: 53

INVESTJGACION PRELIMINAR: 53

EVALUACJON DEL ENTORNO: 53

PLANEAMIENTO y DisEio DE LAS PRUEBAS DE CONTROL: 53 EJEcUCION Y EVALUACION DE LOS RESULTADOS DE LAS PRUEBAS: 53 CONFECCION DEL INFORME DE AUDITORIA: 53

REVISION Y OPINION DEL INFORME. 54

PROCESO DE AUDITORIA TOMADO DEL "INFORMATION SYSTEMS CONTROL

JOURNAL" (ISACA)...54 ANALISIS COMPARATIVO DE METODOLOGIAS ...55

DIsE1S0 DE METODOLOGIA DE AUDITORiA INFORMATICA 57

PLANIFICACION DE LA AUDITORIA ...57 DEFINIR EL ALCANCE Y OBJETIVOS DE LA AUDITORIA

DEFINIcION DEL PLAN DE AUDITORIA 58 PLANEAMIENTO Y DISE14O DE LAS PRUEBAS DECONTROL - 61 EXAMEN...64 LEVANTAMIENTO DE INFORMACION DETALLADA DEL PROCESO A SER AUDITADO. 65 IDENTIFICACION DE LOS RIESGOS A LOS QUE SE ENFRENTA LA UNIDAD-PROCESO AIJDITADO 65

SELECCION DE LOS RIESGOS MAS CRfTICOS DEL AREA AUDITADA 65 IDENTIFICACION DE CONTROLES EXISTENTES SOBRE EL AREA AUDITADA, 67 ANALISIs DE. EFECTIVIDAD DE CONTROLES PARA RIESGOS IDENTIFICADOS. 68 INFORME

...

69 PREPARACION DEL BORRADOR DEL INFORME: 69 REVISION DEL INFORME CON EL AUDITADO: 69

ENTREGA DEL INFORME: 69

DISErO lIE ESTRUCTURA ESTANDAR DE INFORME DE AUDITORIA 70

FASE IV

Piloto para la Implementación de la metodologia de auditoria propuesta 7349

FASE I

73

(13)

1. Definición del Plan de Auditoria Informáca

.74

2. Planeamiento y Diseño de las Pruebas de Control ...

75 FASE II

-

81 EXAMEN

81

1. Levantamiento de información detallada del Proceso "Administración de

Problemase Incidentes" ...

82

2. Identificación y Selección de Riesgos criticos...

83

3. Identificación de Controles existentes sobre el proceso de Administración de

Problemase Incidentes . ...

85

4. Análisis de Efectividad de controles para riesgos identificados . ...

88 FASE III

INFORME

90 FASE V

CONCLUSIONES

92 RECOMENDACIONES

BILBIOGRAFIA

98 ANEXOS

ANExO 1.1 ENTRE VISTA REALIZADA A CADA LIDER DE DEPATAMENTO DE LA

UPSI

100 ANEW

1.2 ENTREVISTA REALIZADA A DIRECTORES DE CITTES...101

ANEXO

1.3 INVENTARIO DE APLICACIONES ENERO

2006

...

103 ANEXO

2.1 UNIDADES - PROCESOS CON CRITICIDAD MEDIA V BAJA...111

(14)

FASE I:

(15)

Metodologia de Auditoria Informática y Guias de Trabajo para la UTPL

C0N0cIMIENT0 GENERAL DE RECURSOS DE

TECNOLOGIAS DE INFORMACION

(TI)

DE LA

UTPL.

INTRODUCCION A LAS TECNOLOGIAS DE

INFORMACION Y AUDITORIA INFORMATICA

Las tecnologIas de informaciôn tienen coma misiOn facilitar la consecución de los objetivos de una organización y constituyen un pilar fundamental de la misma. Dichas tecnologIas se consideran un activo para la misma y en consecuencia deben ser bien administrados y evaluados continuamente para su correcto funcionamiento y utilización.

DEFINIcI0NEs

TECNOLOGiAS DE INFORMACION

DEFINIcION

"Las TI (TecnologIa de la InformaciOn) agrupan un conjunto de aparatos necesarios para administrar la informaciOn, coma ordenadores y pro gramas necesarios para con vertirla, alma cenarla, administrarla, transmitirla y encontrarla"1 . Sus componentes o elementos principales son:

(16)

quipos que soportan la InformaciOn (Software, Hardware,

OrganizaciOn)

Personas que utitizan Pa estnjctura tecnologica y manejan Ia lnformaciOn

Metodologia de Auditoria Informàtica y Gulas de Trabajo para Ia UTPL

• Información;

• Equipos que la soportan;

o Hardware • Software

• Organizacion

[image:16.551.95.460.221.615.2]

• Personas que las utilizan.

Figura 1.1. Elementos de las TecnologIas de Informaciôn TI

La lnformaciOn (Poilticas, Procedimientos, Manuales)

Elementos de las Tecnologias de Informacion

TI

• Información: Esta informaciôn puede estar registrada ya sea en un medio electrOnico o fIsico. Por ejemplo:

(17)

Metodologla de Auditoria Informática y Gulas de Trabajo para la UTPL

Procedimientos. Manuales.

Plan de negocios. Equipos que la soportan:

o Software: Programas o Aplicaciones utilizados para la automatización de procesos del negocio. Ej.: Aplicaciones especIficas o comerciales, sistemas operativos, programa de correo electrónico, bases de datos.

o Hardware: Es la infraestructura tecnologica que da soporte a la información. Ej.: Computadores, medios de almacenamiento, equipos portátiles, dispositivos de red. o Organización: Manera en la que se encuentra organizada

la empresa. Ej.: Estructura organizativa, departamental y funcional, manual de funciones, estructura fIsica como sala de Servidores, Armarios.

• Personas que los utilizan: Usuarios que utilizan la estructura tecnológica y que manejan la informaciOn.

AUDITORIA INFORMATICA DE TI

DEFINIcION

"Auditoria Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si Ufl sistema de información salvaguarda los

activos, mantiene la integridad de los datos, Ileva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos."2

2

(18)

Por lo tanto ]as auditorlas ayudan a evaluar la eficiencia y eficacia de un area u organismo, con la finalidad de justificar Ia inversiOn que ha hecho la organizaciôn en TecnologIas de InformaciOn.

OBJETIVOS DE LA AUDITORIA:

Los principales objetivos de la Auditorla lnformática o por la que es realizada la misma son:

. Control Análisis Verificación. . RevisiOn

La Auditoria lnformática no solamente evalüa y verifica sino también recomienda en asuntos relativos a los elementos de las TecnologIas de Información. Además busca minimizar la exposición a riesgo y dar una garantla sobre la integridad, confiabilidad y disponibilidad de Ia informaciOn.

AREAS DE CONTROL 0 PROCESOS A AUDITAR:

Las areas de control o procesos a las que se puede realizar una Auditorla lnformática son:

Organizacián y planificaciOn y administraciOn del area.

AdquisiciOn de tecnologIas y contrataciOn de servicios de Tecnologia lnformática.

(19)

Metodologia de Auditoria Intormática y Guias de Trabajo para la UTPL

• Seguridad informática: fisica y Iógica sobre los datos, software, hardware, comunicaciOn, redes, etc.

• Administración, configuraciOn y uso de la infraestructura de las telecomunicaciones.

Administración y operaciôn de centros de cómputo. Continuidad de operaciones

• Nivel de satisfacción de los usuarios con las tecnologias de Ia informaciOn.

Estas actividades pueden variar dependiendo de los procesos que realice la organización o areas de control que tenga la misma.

El desarrollo de las Tecnologias de lnformación, asI como su presencia en todas las areas de las organizaciones, unido a Ia necesidad de dotar a las mismas de un iristrumento de control, constituyen la base para el desarrollo de Auditorias. Es por ello, que se hace necesario garantizar a los clientes, estudiantes, docentes y demás usuarios de la Universidad, la confiabilidad de las TecnologIas de lnformaciôn, a través de la práctica de una Auditoria lnformatica; por cuanto, la Auditoria nos comprueba y evalüa los controles que se Ilevan a cabo sobre las Tecnologlas de lnformaciOn, determinando Si SOfl los adecuados; de la

misma manera recomienda los controles que hagan falta para utilizar eficientemente dichas Tecnolog las.

En consecuencia, para realizar una Auditoria lnformâtica, es importante conocer el entorno en el que se va a realizar la misma; es decir, como se encuentra estructurada, funciones y servicios que presta, as[ como su infraestructura o inventario de TI que mantiene. Para ello en el presente capItulo se presenta y detalla los recursos en TI que mantiene la UPSI, como responsable de dar soporte tecnológico a la Universidad.

Las areas que fueron necesarias estudiar en Ia UTPL para obtener un conocimiento general de TI fueron:

(20)

Metodologia de Auditoria Informática y Guias de Trabajo para Ia UTPL

Aplicaciones. Equipos.

Redes y Comunicaciones. Poilticas y Procedimientos.

En la sección de anexos se provee de las entrevistas realizadas a los lideres de [as unidades de Ia UPSI, necesarias para obtener la información de las areas antes mencionada.

ESTRUCTURA ORGANIZATIVA DE LA UPSI

La Universidad Técnica Particular de Loja cuenta con varios Centros de Investigación, Transferencia de TecnologIa Extension y Servicios (CITTES), cuya funciOn especIfica es la investigaciOn y extensiOn o servicio a la sociedad. Uno de los CITTES de la Universidad es la Unidad de Proyectos y Sistemas Informáticos (UPSI), encargada de dar soporte a los diferentes recursos de Tecnologias de lnformaciôn (TI), de esta manera cumplir con los objetivos de Ia Universidad.

La Unidad de Proyectos y Sistemas Informáticos (U PSI) fue creada con elfin de conquistar los siguientes horizontes:

• Convertirse en un Centro de lnvestigación, Transferencia de Tecnologia, ExtensiOn y Servicios que atienda a la demanda interna de la Universidad Técnica Particular de Loja y que a la vez tenga la capacidad suficiente para suplir el mercado externo con un nivel competitivo;

• Formar al estudiante con una educaciOn integral que incluya entre otras, las dimensiones profesionales, empresariales y humanas;

(21)

Metodologia de Auditoria Informática y Gulas de Trabajo para Ia UTPL

La UPSI esta organizada por equipos de trabajo, unidades o departamentos; los

mismos que, persiguen diferentes objetivos y responsabilidades, pero alineados

con la misión y objetivos del CITTES y a su vez de la UTPL (Figura 1.2)

Figura 1.2.

Estructura Organizativa de la UPSI. Enero 2006

rig. Uliana Enciso

Ing. Galo Castillo _Cursos Ing. HectorGOmez

InformaciOn

fcilia Vásquez

U.P.S.b. Dir. Carlos C

Ing. Mayra GuayCha

bng. Manobo Sangoquiza

Desarrolbo de Software

Ing. Marco Morocho

Sociedad MOnica Cajamarca EtectrOnica y

ElectrOnica Electilcidad

Serviclo al Chente

[image:21.551.58.521.225.557.2]

(22)

Metodologia de Auditoria Informática y Gulas de Trabajo para la UTPL

labia 1.1 Funciones de Equipos de Trabajo de Pa UPSP Diciembre 2005—Enero 2006

Unidad de Trabajo Funciones

Servicia al Cliente

• Informar sobre productos y servicios que ofrece Ia UPSI

• Interrelación entre los distiritos equipos de trabajo de Pa UPSI y la UTPL.

• Elaboraciôn de proformas y servicios. • Elaboración de credenciales y

reproducción de CDs.

• Apertura y cancelaciOn de cuentas de correo de estudiantes, personal docente y administrativo. • Desarrollo de proyectos

Teecomunicaciones

• Tecnologias de InformaciOn y Comunicación.

• Desarrollo de Software para redes. • Networking.

• Sistemas Operativos de Red y Aplicaciones, convergencia de voz, datos e imagen

Sociedad Electrônica

• Desarrollo de contenidos especIficos para su difusión por Internet, portales corporativos y de comercio

electrónico.

• Desarrollo de aplicaciones que utilizan la red cono medio de transmisiOn de datos

Soporte Tecnológico

(23)

Unidad de Trabajo Funciones

Electricidad y Sistemas Electrónicos

Consultorla Eléctrica.

• Diseño, simulación y prototipación electrónica.

• Sistemas microprocesador y arquitecturas programables. • lnstrumentacián electránica y

adquisición de datos. Sistemas de Iriformación

Geográfica

• Elaboración de Sistemas de

Información Geográfica para ubicar en mapas los datos.

• Crear herramientas aplicadas y vendibles dentro del area de

Sistemas de Informaciôn Geografica

Desarrollo de Software

• Desarrollo de Sistemas a la medida. Irivestigación Tecnológica.

Soporte de Sistemas.

Administraciôn de Sistemas.

Implantación de nuevas Tecnologias

Ofertar planes de capacitación continua

.

ursos Especualizados

S

• Coordinacián de Salas de Cómputo para prácticas.

• Coordinación de Academias.

(24)

Metodologia de Auditoria lnformãtica y Guias de Trabajo para la UTPL

APLICACIONES QUE UTILIZA LA UTPL

Parte de las TecnologIa de lnformación y recurso de vital importancia son las aplicaciones, dicho recurso ofrece un mejor servicio tanto a estudiantes como a personal y usuarios externos de la UTPL; estas aplicaciones automatizan los procesos y ayudan al procesamiento de datos orientados a los servicios que presta la Universidad, asI como su vertiginoso y constante crecimiento.

Los CITTES, escuelas, estudiantes y centros universitarios, utilizan varias aplicaciones para realizar las funciones a su cargo y cumplir con sus objetivos; por ende, es menester la realizaciOn de una auditoria a las aplicaciones, determinando su nivel de confiabilidad, riesgo y satisfacciôn del usuario; asi, recomendar controles y mejoras, ya sea, para su desarrollo o soporte de las mismas.

[image:24.552.92.458.438.633.2]

Las aplicaciones que utiliza la UPSI para el cumplimiento de sus objetivos fueron clasificados como se muestra en la Figura 1.3:

Figura 1.3 Clasificaciôn de Aplicaciones

Administrativas

Académicas y de Serviclo

APLICA ClONES UTPL

all Estudlante

Aplicaciones utilizadas en los CITTES

(25)

9

Metodologia de Auditoria Informática y Was de Trabajo para la UTPL

formato utilizado para obtener dicha informaciôn, asI como el detalle de la clasificaciôn de las aplicaciones (Ver Anexo 1.2 y Anexo 1.3).

EQulPos QUE TIENE LA

UTPL

Para que una aplicaciôn funcione es necesario el uso de equipos, denominado también como hardware, ya que sin ellos no funcionarian o no existirlan las aplicaciones; es por esto, que otro recurso muy importante son los equipos en los que funcionan las mismas.

El departamento encargado de dar soporte y mantenimiento a los equipos de la Universidad es "Soporte Tecnológico, el mismo que dispone de un inventario organizado y actualizado de este importante recurso.

[image:25.551.161.390.434.676.2]

Para un mejor entendimiento de la organización del inventario de Hardware se pone a consideraciôn la Figura 1.4:

Figura 1.4 OrganizaciOn Inventarlo Hardware

Edificlo

Piso

Unidad

9

Responsable

(26)

[image:26.552.97.456.22.753.2]

Metodologla de Auditoria lnformàtica y Gulas de Trabajo para la UTPL

Tabla 1.2 Inventario de Equipos Diciembre 2005- Enero 2006

Equipo Descripción

IBM 345 Equipos

Procesador: Pentium III y Pentium IV Memoria: 128 MB - 256 MB

Disco: 10 GB —40 GB 232 Eqi

Procesador: Pentium IV Memoria: 256 MB Disco: 10 GB —40 GB

DTK 3OEqui

Procesador: Pentium Memoria: 16 MB - 32 MB Disco: 1 GB —4 GB MAC

50 Equipos

Memoria: 32 MB - 1 GB Disco: 3 GB - 80 GB

Procesador: Pentium, Pentium IV, AMD, CELERON.

(27)

Metodotogia de Auditoria Informâtica y Gulas de Trabajo para la UTPL

Equipo Descripción

COMPAQ 21 Equipos

Procesador: Pentium, Pentium II, AMD Memoria: 32 MB - 64 GB

Disco: 4

G1 -

10 GB

TOSHIBA I Equipo

Procesador: Pentium IV Memoria: 256 MB Disco: 2 GB

MICRON 118 Equipos

Procesador: Pentium, Pentium II, CELERON

Memoria: 32 MB - 128 MB Disco: 2 GB —30 GB

[image:27.551.86.452.68.451.2]

Además de mantener un inventario de PCs, el departamento de Soporte Tecnologico mantiene un inventario de ]as impresoras que se encuentran instaladas en el campus universitario. A continuación se detallan las impresoras instaladas en la Tabla 1.3.

Tabla 1.3 Inventario de Impresoras Diciembre 2005- Enero 2006

Descripción Cantidad

EPSON 90 Impresoras

LEXMARK 28 Impresoras

HEWLETT PACKARD 24 Impresoras

(28)

Descripción Cantidad

CANON 6 Impresoras

IBM 6 Impresoras

SAMSUNG 6 Impresoras

XEROX 5 Impresoras

APPLE MACINTOSH 3 Impresoras

ELTRON 3 Impresoras

ZEBRA TECHNOLOGIES 1

Impres.ra

REDES v CoMuNicAcloNEs

[image:28.551.122.430.489.744.2]

La comunicación o transferencia de información entre computadores es un aspecto fundamental para la actividad que realiza la UTPL en Educación y Servicios; es por eso que, la Universidad actualmente mantiene una gran red de comunicaciOn de datos en su campus universitario, además de mantener una comuriicación con sus centros a nivel nacional.

Figure 1.5 Topologia fisica de la Red, Campus UTPL, Enero 2006

Ldftcto de Modandad I Eddioto Oot6g000

UrtWOlt1OS

(29)

Metodologla de Auditoria Informática y Guias de Trabajo para Ia UTPL

Como se muestra de mariera general, en la Figura 1.5, la UPSI es la encargada del manejo y administraciOn de red de la Universidad y este es el nodo principal que realiza la lnterconexión completa de la misma, ya sea entre edificios y los centros universitarios.

CARACTERISTICAS GENERALES DE LA RED DE LA

UTPL EN EL CAMPUS UNIVERSITARIO

Las caracteristicas principales de la red de la UTPL son: Topologla fisica en estrella;

lnterconexiôn a través de fibra optica;

• Para la conexión entre los edificios se hace el uso de un Switch Core, que se encuentra ubicado en el nodo principal - edificio de Unidades Productivas (UPSI);

• En cada edificio existe un Switch de Distribuciôn y Switches de acceso para la conexiôn de este con la UPSI y de los equipos entre Si.

A nivel de Red WAN, la Universidad mantiene comunicación con los Centros Universitarios, dichos centros se encuentran distribuidos en diferentes lugares del pals y se detallan a continuaciOn;

Centros Regionales: Quito, Guayaquil y Cuenca Centros Provinciales en:

(30)

• Centros Asociados; La comunicación con estos centros se da desde la sede en Loja, esta comunicación es satelital.

Para hacer posible la comunicación entre sus equipos y prestar diferentes servicios coma; correo electrónico, seguridad, etc; es necesario el usa de dispositivos de red coma:

SERVIDORES

La UTPL maneja diferentes tipos de servidores para Ia comunicaciOn, los mismos que usan varia tecnologias coma: Linux, Solaris, Windows.

[image:30.551.104.448.369.742.2]

Los servidores que actualmente utiliza la UTPL y por tanto administra Ia UPSI se detaHan en la Tabla 1.4:

Tabla 1.4 lnventario de Servidores Diciembre 2005— Enero 2006

Redes y Comunicaciones

ruidrr _{Caracteristicas}

S.0 ...s,.

MAIL Procesador INTEL 2.4 GHz

Memoria: 1024 MB Discos: 4 de 36.4 GB

WEB Procesador: 4 INTEL 3.06 GHz

Memoria: 2521 MB

Discos: 4 de 36.4 GB. y 73.4 GB

DNS Procesador: INTEL 347.663MHz

Memoria: 256 MB

Disco: 40 GB

PROXY Procesador:

Memoria: 512 MB

(31)

Metodologia de Auditoria Iriformática y Gulas de Trabajo para la UTPL

Servidor Caracteristicas

DE MONITOREO Procesador: INTEL 3.066 GHz Memoria: 1024 MB

Discos: 2 de 73.4 GB

CACHING Procesador: INTEL 448.062 MHz

Memoria: 384 MB Disco: 40 GB

UTPL.NET Procesador; INTEL 3.06 GHz

Memoria: 1028 MB Disco: 73.4 GB.

UTPLONLINE Procesador: 4 INTEL de 3.06 GHz

Memoria: 2521 MB

Discos: 4 de 36.4 GB y 73.4 GB DIRECTORIO ACTIVO Procesador: 2 INTEL de 2.8 GHz

Memoria: 1.5 GB

Discos: 2 de 40 GB y 30 GB

DESARROLLO Procesador: 2 INTEL de 2.8 GHz

Memoria: 1.5 GB

WEB Procesador: 2 INTEL de 2.8 GHz

Memoria: 1.5 GB

PRUEBAS Procesador: 2 INTEL de 2.8 GHz

Memoria: 1.5 GB

(32)

Servidor CaracterIsticas

WEB INTRANET Procesador: 2 INTEL de 2.6 GHz Memoria: 1.5 GB

ROUTERS

Un dispositivo muy importante para las conexiones de red son los Routers, estos permiten conectarse a uria WAN (Red de area global); es decir, permite conectar Redes de Area Local (LAN) que se encuentran separadas por grandes distancias.

Los Routers que posee la Universidad se encuentran en diferentes lugares del pals, como Cuenca, Quito y Loja, en total la Universidad tiene en inventarlo 11 routers.

SWITCHES

"Los Switches son dispositivos que permiten determinar si los datos deben permanecer o no en una LAN, además permiten transferir los datos ünicamente a Ia conexiOn que necesita esos datos"; es decir, envian los datos al computador o host destino.

La Universidad mantiene un inventario actualizado y organizado de estos dispositivos de red y actualmente tiene en inventario 52 switches.

HUBS

(33)

Metodologla de Auditoria Informática y Guias de Trabajo para la UTPL

En la actualidad la Universidad tiene en inveritario 27 Hubs, a dichos

dispositivos los actualiza y organiza constantemente.

POLITICAS Y PROCEDIMIENTOS

Las politicas y los procedimientos son el camirio para mejorar el tratamiento de

los recursos de las TI, como también mantener la seguridad de la información;

por tanto, se hace necesaria la elaboración ordenada y sistematizada de

documentos.

Las politicas y procedimientos son elaborados de acuerdo al entomb en el que

se trabaja; es por esto, que cada departamento de la UPSI es el encargado de

elaborar dichos documentos para mejorar el tratamiento de la información.

A continuaciOn se listan ]as politicas y procedimientos generales que manejan

los departamentos de la UPSI.

POLITICAS

Una polItica permite establecer valores y normas que deben ser seguidos

por todos aquellos involucrados en el uso de la informaciôn y sus

diversos activos; las mismas, contienen gulas y reglamentos que

enmarcan Ia estructura de la entidad y sirven de referenda para su

administración.

(34)

[image:34.551.79.472.43.778.2]

Tabla 1.5 PolIticas de la UPS[ Dlciembre 2005- Enero 2006

Tipo Nombre

DE SEGURI DAD

Acceso al Servidor Web

Acceso a la sala de servidores

AdministraciOn de seguridad en los servidores Seguridad fIsica

Accesos fisicos en areas restringidas Seguridad de cableado

Seguridad para redes

Seguridad para las comunicaciones Respaldo de lnformación en servidores Uso de Antivirus, protección, detecciOn y eliminaciOn

Acceso inalámbrico ADMINISTRACION V

CON FIG U RAdON

Uso de recursos

Administración de servidores en el campus UTPL.

Uso de correo electrónico

Utilizacián del sistema de redes inalámbricas Administración de servidores Linux y Solaris De enlaces

Servicios de ComunicaciOn De configuraciones

(35)

Metodologia de Auditoria lnformática y Guias de Trabajo para la UTPL

Tipo Nombre

ADMINISTRACION Y CONFIGURACION

Administración de cambios de configuraciones de software

De monitoreo

Para los dispositivos de almacenamiento De mantenimiento de equipos

De mantenimiento de Antivirus

De capacitación Acceso a Internet

Uso de salas de cômputo Telefonia

Soporte

Estándares para codificación Estándares para análisis y diseño

PROCEDIMIENTOS

Un Procedimiento es un conjunto de orientaciones para realizar las actividades operativas; es decir, es Ia descripciOn de actividades que deben seguirse en la realización de las funciones de una unidad administrativa, de dos o más de ellas.

(36)

Tabla 1.6 Procedimientos de la UPSI Diciembre 2005-Enero 2006

Tipo Nombre

DOCUMENTADOS

Procedimiento para respaldos de los sitios Web.

Procedimiento para Backup de los servidores de Base de Datos.

Plan de mantenimiento de servidores.

Procedimiento o proceso para la liberación de versiones.

Procedimiento para respaldos de la Base de Datos SQL.

Procedimientos a realizar en el servidor de correo por el grupo de Telecom unicaciones. Procedimientos a seguir para resolver problemas comunes de una máquina que se encuentra en red, para el grupo de telecomunicaciones.

NO DOCUMENTADOS

Pago a proveedores, el mismo que es establecido por la Universidad y que debe seguir todos lo CITIES de la misma.

Contratación de servicios. ElaboraciOn de credenciales.

Metodologla para el desarrollo de portales, páginas Web, multimedia en Sociedad Electrónica.

Procedimiento para la adquisición de Hardware y Software.

Procedimiento para la asistencia con el sistema Financiero Baan.

[image:36.551.72.473.36.780.2]

(37)

Metodotogia de Auditoria Informática y Guias de Trabajo para la UTPL

FASE II:

(38)

DEFINIcION DEL PLAN ANUAL DE AUDITORIA

INFORMATICA

INTRODUCCION AL PLAN DE AUDITORIA Y

ESTAN DARES DE MEJORES PRACTICAS PARA TI

PLAN DE AUDITORIA

Previo a desarrollar la presente fase, se consideró necesarlo definir el concepto de Plan de Auditoria lnformática, para entender en que consiste y proponer el [1iIø]

DEFINIcION

"El Plan de Auditoria lnformática es aquel documento en el que se muestra aquellas areas más significativas para la organizaciOn; es decir aquellas que son importantes dependiendo del riesgo al que se enfrenta la misma" 3. El plan de auditoria es una gula para la realizaciOn de auditorias periódicas ya que primeramente nos enfocamos en aquellas areas o procesos más criticos de la organizaciOn para continuar auditorlas en procesos con menor criticidad.

Luego de comprendida la definicián de Plan de Auditoria, fue necesario buscar Ia forma de organizar y/o dividir los procesos, areas y controles que tiene Ia UPSI

como Unidad Administradora de las TecnologIas de lnformaciôn de la UTPL para proponer el Plan Anual de Auditoria lnformática para la UTPL. Es por esto que se investigo normas e informes internacionalmente aceptados que podamos utilizar para dicha organizaciOn y que pudiera estar sujeto a una auditoria.

Los documentos estudiados para elegir Ia forma en que organizaremos los procesos y areas de la UPSI; fueron:

(39)

• COBIT (Objetivos de Control para las TecnologIas de InformaciOn): Es una herramienta de gobierno de TI, que vincula las tecnologias informáticas y prácticas de control agrupadas en cuatro Dominios.

• Norma ISO

17799:

Es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información, su objetivo es proporcionar una base comün para desarrollar normas de seguridad dentro de la organización;

• Informe COSO: El informe COSO es un manual de control interno, hecho para el uso de los consejos de administración de las empresas;

A continuación se detalla COBIT y brevemente los documentos estudiados:

C0BIT - OBJETIVOS DE CONTROL PARA LAS

TECNOLOGIAS DE INFORMACI6N4

"CobiT es un marco de referencia para el control de TI, su misión es, investigar, desarrollar, publicar y promover un conjunto de objetivos de control de TecnologIa de Informacián actualizados, internacional y generalmente aceptados para el uso cotidiano de usuarios, Gerentes de Negoclo y Auditores".

HISTORIA Y EVOLUCON DE COBIT

Primeramente cabe mencionar a la FundaciOn ISACA (ISACF), fundada en 1976, que tiene como objetivo realizar trabajos de investigacion para incrementar el conocimiento y valor en tOpicos como Control, Aseguramiento y Gobierno de la Tecnologia de lnformaciOn, es de estos objetivos que en 1992 nace COBIT (Objetivos de Control para las Tecnologias de lnformacián) e inicia Ia actualizaciOn de los objetivos del control ISACA. A continuaciôn una breve historia:

(40)

• 1996 - nace CobiT 1.0. ISACA proporcionó a los profesionales de TI un marco de prácticas de gobierno y control de la TI generalmente aplicables y aceptadas;

En 1998 - CobiT 2.0, fue actualizado y se publicO una segunda versiOn a Ia que se le incorporó las 'Herramientas de implantacián" y CD;

. En 1999 se acaban de publicar los "Objetivos de Control para redes"; En el 2001 se publicO la 3ra. Edición (Cobit 3.0);

• La ültima versiOn, COBIT® 4.0, enfatiza el cumplimiento normativo, apoya el alirteamiento con el negocio y simplifica la implantaciOn del COBIT..

PRODUCTO COBIT

Los productos de la familia COBIT son:

• Resumen Ejecutivo: El mismo consiste en una visiOn ejecutiva que provee a la Administracián y a la gerencia un entendimiento de los principios y conceptos claves de COBIT;

• Marco Referencial: Describe en detalle los 34 objetivos de control de COBIT agrupados en 4 dominios, además identifica los requerimientos del negoclo para la informaciOn e impactos preliminares de recursos de TI para cada objetivo decontrol-,

• Objetivos de Control: Contiene declaraciones de los propOsitos a ser alcanzados para Ia implementacián de 302 objetivos de control especIficos detallados para los 34 procesos de TI;

• Gulas de auditorla: Las guIas contienen los pasos de auditoria correspond ientes a los 34 objetivos de control (procesos), con Ia finalidad de ayudar a los auditores en la revision de procesos de TI;

(41)

MARCO REFERENCIAL DE COBIT

El objetivo del marco referencial de COBIT es dar un enfoque de control de TI, recalcando que se obtiene el mismo visualizando la informaciOn necesaria para dar soporte a los procesos de negoclo y considerando a la información como el resultado de la aplicaciOn combinada de los recursos relacionados con las TecnologIas de Información que deben ser administrados par procesos de TI. COBIT hace referenda a ciertos criterios que la información necesita cumplir y que son importantes para el cumplimientO de los objetivos del negoclo, estos

criterios son los RequerimientoS del negocio para la lnformación:

• Efectividad: La informaciOn relevante sea pertinerite para el proceso de negocio, asI coma que su entrega sea oportuna, correcta, consistente y de manera utilizable;

Eficiencia: Utilización optima de recursos;

• Confidencialidad: Protección de información sensible contra divulgaciOn no autorizada;

lntegridad: PrecisiOn y suficiencia de la información, asi como a su validez de acuerdo con los valores y expectativas del negocio;

Disponibilidad de la información cuando ésta es requerida por el proceso de negocio ahora a en el futuro;

• Cumplimiento de aquellas Ieyes, regulaciones y acuerdos contractuales a los que el proceso de negocios está sujeto;

Confiabilidad: ProvisiOn de la informaciOn apropiada.

Además de los Requerimientos del Negoclo, COBIT hace referencia a los

recursos de TI que son Ia base importante para toda organizaciOn ya que gracias

a ellos la información necesaria es proporcionada a los diferentes procesos del Negoclo. Los recursos de TI son:

Datos: Son objetos estructurados y no estructurados, digitales o escritos, gráficos, sonido, etc.:

(42)

• TecnologIa: Cubre tanto hardware coma software. Ej. Sistemas operativos, sistemas de administracián de base de datos, redes, etc.;

• Instalaciones: Son los recursos que alojan y dan soporte a los Sistemas de Informacian;

• Personal: Habilidades del personal, conocimiento, productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de lnformaciôn.

(43)

9

Metodologia de Auditoria Informática y Was de Trabajo para la UTPL

Figura2 1 Marco Referencia COBIT Tornado de COBIT 3.0

iw"

COB1

•.4 •/Gc raea' los gxocesos

IAL Eva l3' aoecueoc, 00- 0r,o

lrteno

M C*ene0 aaogento

M4 Pr:- . c or3 ai i.depenene

fl

-I

Pj - De-E-e Tec,,o oa oe htracor P0? De'ow AAectsa de W10fl,1C.Or

P03 De5en"wl& a doec flO&9CO

PO4 Defr' a Cancac,n y do as Reac.ones oe Ii

P05 Ma.ojar a Irn'e.,k,fl en Tea.oOogia do btbrrlboon

P06 Ccerww a deecc.on y ssCaW5

Is goenoa

P01 Anrstnw Roctasos laoe P08 Asesa 04 Cla,w,èn,.erIo de

Re,eern.enos Enos 005 Esal.w Res0s

Adlr..StW ploytODS

011 ArsbCadad

COBIT

Do&s ees do Sero Anes& Se.vc.os pellaQos W I 53 Desee.o y Caodad

4 Aaeç Serv.CK, Co,tro I 55 GarontzN a Seqndad do Saeras

56 deolofc y AS C00000

5' E&.ca y Enreo& a los u&.oa 5.5 AoyaI y A.zsts a oe Oeies do s9a Cifgsaoàn

0 Ana P,ob4ornas C

:s' Daos

mSM Iflt3

:eY3 £drn wstar Or---e-,

All ldeoio5w Sec Oee$ Al? Adqutw y P.Wene Saa,e Oe A.13 Ade y M1Ul AJq.JSOULSO do

oauo4o-a

AM Desvol a y M&tone PTocn.eeWa_{roor.3do5 c T1} A15sa y LUe* Snas A16 'ó'.o sa C.os

DoMiNlos DE

COBIT

(44)

• Planeación y Organización - 11 Objetivos de Control Generales:

Cubre la estrategia y las tácticas, se refiere a la identificaciôn de la forma en que las TI pueden contribuir al logro de los objetivos del negoclo.

o P01 Desarrollo de un plan estratégico de Tecnologia de lnformaciOn;

o P02 DefiriiciOn de la arquitectura de informaciôn;

o P03 DeterminaciOn de la dirección tecnolOgica;

o PO4 Definición de la organizaciOn y relaciones de TI;

a P05 Manejo de la inversion en TI;

o P06 ComunicaciOn de la direcciOn y aspiraciones de la Gerencia;

o P07 AdministraciOn de recursos humanos;

a P08 Aseguramiento de cumplimiento de requerimientos externos;

o P09 EvaluaciOn de riesgos;

o PlO Administración de proyectos;

o P11 AdministraciOn de calidad;

• Adquisición e Implementación - 6 Objetivos de Control Generales: Las soluciones de TI deben ser identificadas, desarrolladas a adquiridas, asI coma implementadas e integradas dentro del proceso de negocio.

o AOl DefiniciOn de requerimientos de informaciOn;

a A02 Adquirir y mantener software de aplicación;

a A03 AdquisiciOn y mantenimiento de arquitectura de tecnologia;

o A04 Desarrollo y mantenimiento de procedimientos relacionados con TI;

(45)

Metodologia de Auditoria Informática y Guias de Trabajo para ia UTPL

o A05 Administración de cambios;

• Entrega y Soporte - 13 Objetivos de Control Generales: Entrega de servicios desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad.

o SOl DefiniciOn de niveles de servicio;

o S02 Administración de servicios prestados por terceros;

o S03 Administración de desempeño y capacidad;

o SO4 Asegurar Ia continuidad del servicio;

a S05 Garantizar la seguridad de los sistemas;

a S06 ldentificación y asignaciOrt de sostos;

a S07 EducaciOn y entrenamiento de usuarios;

a S08 Apoyo y asistencia a los clientes de TI;

a S09 Administración de la configuraciOn;

a Sb AdministraciOn de problemas e incidentes;

o Si 1 Administración de datos;

o S12 AdministraciOn de instalaciones;

o S13 AdministraciOn de operaciones;

• Monitoreo - 4 Objetivos de Control Generales: Evaluaciones regulares a través del tiempo para verificar su claridad y suficiencia en cuanto a los requerimientos de control.

a MOb Monitoreo del proceso;

a MO2 Evaluar lo adecuado del control interno;

a M03 ObtenciOn de aseguramiento independiente;

(46)

Metodologia de Auditoria lnformática y Gulas de Trabajo para Ia UTPL

VENTAJAS DE

COBIT:

.

Visibilidad de mejora continua con procesos de Auditoria.

Reduce Riesgos y errores

. AdministraCiôn y control efectivo de la informacián y consecuentemente de las TecnologiaS de tnformaCiôn.

Proporciofla una estructura manejable para procesos.

• No solo utilizado para la realizaciôfl de auditorias, sino también como base y gula para la gerencia y propietarioS de los procesos de negocio.

• No solamente abarca Seguridad de la Información sino una serie de procesos que contienen todo los objetivos del negocio relacionadoS con las TI.

NoRMA

ISO 177995

Otro documento y norma estudiada para decidir la forma de organización de los procesos y areas de la UTPL fue la norma ISO 17799, la misma que ofrece recomendaciOneS para realizar la gestión de la seguridad de la información. El objetivo de la norma es proporcionar una base comün para desarrollar normas de seguridad dentro de la organizaciófl.

A continuaciófl se describen las areas de control o dominios de la ISO 17799 con su objetivo de control principal:

Politica de seguridad: Proporcionar dirección y apoyo gerencial para brindar seguridad de la informaciófl.

• Organizaciófl de la seguridad: Administrar la seguridad de la información dentro de la organizaciófl. Establecer un marco gerencial para iniciar y

(47)

controlar la implementaciOn de la seguridad de la información dentro de Ia misma.

Administraciófl de Activos: Mantener una adecuada protecciôn de los activos de Ia organizaciófl, para ello recomienda Ilevar un inventarlo de los recursos de información de la organizaciófl

• Seguridad de los Recursos Humanos: Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalacioneS, informando a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad.

• Seguridad fisica y ambiental: Impedir accesos no autorizados, daños e interferencia a las sedes de información de la organización.

• Gestión de comunicaciones y las operaciones: Los objetivos de este domino son:

o Garantizar el funcionamieritO correcto y seguro de las instalaciones de procesamiento de Ia información.

• Minimizar el riesgo de fallas en los sistemas. • Proteger la integridad del software y la informaciOn.

• Mantener la integridad y disponibilidad de los servicios de procesamiento y comunicación de información.

• Garantizar la seguridad de la información en las redes y la protección de Ia infraestructura de apoyo.

• Impedir el daño a los activos y las interrupcioneS en las actividades de la empresa.

• Impedir la pérdida, modificación o uso inadecuado de la informaciôn que intercambian las organizaciones.

• Control de Accesos: Controlar el acceso a Ia informaciOn, aplicacioneS, servicios de red, ordenadores.

• AdquisiciOn, Desarrollo y Mantenimiento de Sistemas de lnformación: Asegurar que la seguridad es incorporada en los sistemas.

(48)

sistemas de información son comunicados de manera de poder rápidamente implementar medidas correctivas.

• Administración de la continuidad de los negocios: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos criticos de los negocios de los efectos de fallas significativas o desastres. • Cumplimiento: Impedir infracciones y violaciones de las leyes del derecho

civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad, garantizar la compatibilidad de los sistemas con las politicas y estándares de seguridad de la organización y optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo.

VENTAJAS DE LA ISO

17799

Incremento en la seguridad de las Tecnologias de Ia lnformación.

Mayor nivel de confianza de los clientes, proveedores de la UTPL.

Mejora de la imagen de la UTPL.

Futura certificación.

CONTROLES SOBRE SISTEMAS DE INFORMACION

PRESENTADOS EN EL INFORME COS06

El informe COSO es un manual de control interno, hecho para el uso de los consejos de administración de las empresas.

Las areas de control presentadas por el INFORME COSO son las siguientes:

(49)

CONTROLES GENERALES

Controles a las operaciones del centro de datos: lncluye procedimientos de implementación y rutina, acciones del operador, copias de seguridad y procedimientos de recuperación, asi como la planeaciôn de contingencias o recuperación por desastres.

• Controles al Software del Sistema: Incluye controles sobre adquisición, implementación y mantenimiento efectivos del software del sistema como sistema operativo, sistema de administraciôn de base de datos, software de seguridad.

Controles de Seguridad de Acceso: lncluye controles para interceptar acceso o uso no autorizado del sistema.

• Controles de desarrollo y mantenimiento de aplicaciones del sistema: Incluye la metodologia del desarrollo de aplicaciones, controles apropiados sobre cambios al sistema, revision de cambios, aprobaciones, protocolos de implementaci6n para garantizar que los cambios se hacen adecuadamente.

CONTROLES DE APLICACION

(50)

Metodologia de Auditoria Informãtica y Gulas de Trabajo para la UTPL

ANALIsIs COMPARATIVO ENTRE COBIT, NORMA ISO

17799

Y CONTROLES SOBRE SISTEMAS DE INFORMACION

-COSO

A continuaciôn se presenta un breve análisis comparativo entre COBIT, la Norma

ISO 17799 y los controles presentados en el Informe COSO:

• Tanto COBIT como la Norma ISO 17799 y los controles presentados en el

Informe COSO, proveen una mejora de la Imagen de Ia UTPL.

• COBIT y [as areas de control propuestos en el Informe COSO, están

diseñados para el control de las TI, mientras que Ia ISO 17799 esta orientado a Ia administración de Seguridad de lnformaciôn.

• COBIT esta diseñado no solamente para Usuarios y Auditores sino

además para la Gerencia y Propietarios del Negoclo, mientras que la Norma ISO 17799 esta orientado de mejor manera a los administradores de Seguridad de lnformaciôn.

• COBIT abarca dominios y procesos dirigidos y orientados a cumplir con

los objetivos del negocio, mientras que la ISO 17799 solamente abarca areas de control orientados a cumplir el objetivo de Seguridad de la lnformaciOn.

• COBIT asegura que los riesgos son identificados mediante la aplicación

de su proceso P09 "Evaluación de Riesgos", mientras que la ISO 17799 ayuda en la aclaración de los riesgos de Seguridad.

• Tanto COBIT como la Norma ISO 17799 proporcionan: o Orientación de estrategias;

(51)

o Medicián de desempeño.

• COBIT proporciona una base para el análisis y evaluaciones de madurez de la organización para cumplir con 10 establecido por la Gobernabilidad de TI.;

• COBIT proporciona una base para la medición de resultados, los cuales iridican 51 un Proceso de Ti ha satisfecho los requerimientos del negoclo a través de Indicadores claves de Resultados.

• Las areas de control propuestas en el Informe COSO, no explican a detalle que se debe implementar en cada una de las areas, mientras que COBIT y la Norma ISO 17799 proponen los controles se deben implementar en cada proceso y dominio respectivamente.

• COBIT y la Norma ISO 17799, proponen gulas de auditoria para cada proceso y dominios propuestos, mientras que, el Informe COSO no propone gulas de auditoria.

Agrupando todas estas ventajas de COBIT frente a la Norma ISO 17799 y a los controles propuestos en el Informe COSO, nos damos cuenta que COBIT abarca no solamente Seguridad de la lnformación sino que además abarca una serie de procesos que ayudan a administrar y Ilevar un control sobre las Tecnologias de lnformaciôn y de esta manera cumplir con los objetivos del negocio.

Finalmente se eligio COBIT como lineamiento y base para organizar los procesos que administra y Ileva a cabo la UPS!, por su gran cobertura, organización y ayuda en el control de TecnologIas de InformaciOn

DEFINIR PLAN DE AUDITORIA

(52)

Planning Advisor es un software que permite la automatización del proceso de planificación de la auditoria. Mediante esta herramienta se pueden identificar y fijar metas para [as areas de mayor exposición utilizando criterios personalizados de evaluaciOn de riesgos.

Se decidió utilizar el proceso de planning advisor para Ia elaboraciôn del Plan de Auditoria por [as siguientes razones.

• Planning Advisor para fijar el plan de auditoria define Unidades Organizacionales y procesos, ajustándose de esta manera perfectamente a [as unidades y procesos de la UTPL.

• Planning Advisor inicia estableciendo el universo o unidades auditables, que en nuestro caso son los departamentos o unidades de la U PSI. • Luego establece los procesos para relaciortarlos con las unidades. En

nuestro caso eran los procesos que propone COBIT relacionados con las unidades de la UPSI.

. Define criterios de evaluación para el análisis y cálculo de procesos más importantes.

De forma sencilla podemos definir el Plan de Auditorla.

Como se menciono anteriormente, para definir el Plan de Auditoria utilizaremos el proceso que Ileva a cabo la herramienta Planning Advisor, ya que de forma sencilla y utilizando el criterio de evaluaciOn de riesgos encontraremos los procesos más criticos que administra y controla cada Unidad de la UPSI

A continuaciOn se explica a detalle el proceso que se Jlevô a cabo para obtener el Plan Anual de Auditoria iriformática.

DEFINIcIÔN DE UNIDADES

Definimos inicialmente las unidades organizacionales o auditables. Las Unidades son aquellas areas o departamentos que podemos auditar; en nuestro caso, seràn los departamentos que conforman la UPSI, permaneciendo las siguientes:

• Dirección;

(53)

. Desarrollo de Software GDS; Redes y Telecom unicaciones;

Sistemas de Información Geográfica SIG; . UTPL Net.

DEFINIcION DE PROCESOS

Definidas las unidades auditables, se procede a definir los procesos, los mismos que serán los 34 propuestos por COBIT y organizados en 4 dominios, mencionados anteriormente (Figura 2.1).

Los procesos son el conjunto de recursos y actividades interrelacionados, con la finalidad de gestionar los recursos de TI y cumplir con los objetivos del negoclo.

RELACIONAR UNIDADES AUDITABLES Y PROCESOS

Es importante conocer la relaciOn de los procesos con cada unidad auditable, de esta manera podemos Itevar a cabo la evaluaciôn de riesgos en base a las combinaciones a relaciones de las mismos.

Primeramente elaboramos la matriz de Unidades - Procesos (Figura 2.2) para relacionar los procesos con cada unidad auditable.

Como se observa en la Figura 2.2; en la parte izquierda (vertical) de la matriz constan las unidades auditables de la UPSI y en Ia parte derecha (horizontal) se detallan los 34 procesos que propone COBIT agrupados en los 4 dominios.

(54)

[image:54.551.48.518.58.424.2]

Metodologia de Auditoria Informática y GuIas de Trabajo para la UTPL

Figura 2.2 Formato Relaciôn Unidades - Procesos UTPL

UHIVERSID4D TECNICA PARTICULAR DE LOJA ,..

WWW LDI Bi BC PLAN DE AUDITORIA INICORMATICA

Sii,te

-In,pIon,ontdO fo,m& olnfonm.ont

[J NO lnonont.,do p,o Import pr I ldd

DEFINIcION DE CRITERIOS DE EVALUACION

Para evaluar los procesos, es necesarlo definir los criterios de evaluaciôn, estos criterios son aquellos juicios que nos permiten calcular el nivel de riesgo e importancia de cada proceso relacionado con su Unidad. Los criterios propuestos en la presente Tesis son:

• Importancia del Proceso: Se refiere al grado de importancia o relaciOn que tiene el proceso para la unidad auditable y por tanto para la consecuciôn satisfactoria de los objetivos de la misma. La Tabla 2.1 presenta la valoraciOn para los niveles del criterio.

labIa 2.1 Cnterio: Importancia del Proceso

Nivel Valoración

Muy Bajo 0,1

Bajo 0,3

Medio 0,5

(55)

[image:55.551.148.405.214.343.2]

Metodologia de Auditoria Iriformática y Gulas de Trabajo para la UTPL

.4Ell

_{• Complejidad de Administración: Se refiere al nivel de complejidad} operativa de un proceso u objetivo en la unidad auditable. Mientras mayor es el nivel de complejidad del proceso en la unidad, puede aumentar Ia probabilidad de errores y el esfuerzo o conocimiento requerido para su administración. La Tabla 2.2 presenta la valoraciôn para cada nivel del criterio.

Tabla 2.2 Criterio: Complejidad de Administraciôn

Nivel Valoracion

Bastante Simple 0,1

Simple 0,3

Moderada 0,5

(-nmnbmin 0.7

[image:55.551.145.407.502.614.2]

• Cambios de Organización: Se refiere a los cambios en la organización jerárquica de la unidad. Un cambio moderado puede requerir énfasis en los requerimientos de control interno de la unidad. La Tabla 2.3 indica la valoración para cada nivel del criterio.

Tabla 2.3 Criterio: Cambios de Organizaciôn

No hubo cambios 0,1

Cambios moderados 0,3

Cambios Importantes 0,5

(56)

.MK _TV

[image:56.551.140.463.54.184.2]

4

Tabla 2.4 Criterio: Cambios Operativos

Sin cambios 0,1

[image:56.551.147.406.329.446.2]

• Estabilidad del Personal: Se refiere a la continuidad en el personal o a los cambios realizados en funciones claves del proceso. La falta de continuidad en el personal puede significar que el sistema de control es menos efectivo que en periodos ariteriores. La Tabla 2.5 indica los niveles para el presente criterio

Tabla 2.5 Criterio: Estabilidad del Personal

Sin cambios 0,1

• Nümero de integrantes: Se refiere a la cantidad de empleados que presta servicios en la Unidad Auditable. La Tabla 2.6 detalla los niveles y valoraciones para dicho criterio.

Tabla 2.6 Criterio: Ntmero de Integrantes

Bajo 0,1

Medio 0,3

Alto 0,5

• Antiguedad Liitima Auditoria: Se refiere a la cantidad de tiempo desde la ültima auditoria realizada a la Unidad Auditable. La Tabla 2.7 indica los niveles y valoraciones para este criterio.

[image:56.551.147.407.563.674.2]

(57)

labia 2.7 Griteno: Antiguedad Ultima Auditoria Nivel

En los Ultimos 12 meses En los Ultimos 18 meses En los ültimos 24 meses Más de 24 meses

Valoraciôn

0,1 0,3 0,5 0,7

• Evaluación ültima auditoria: Se refiere a la seriedad de las observaciones realizadas en la auditoria anterior. Observaciones importantes (Pobre) realizadas en una auditoria anterior puede afectar notablemente el control interno de la Unidad. La Tabla 2.8 presenta los niveles y valoraciones para dicho criterio.

Tabia 2.8 Criterio: EvaluaciOn Ultima Auditoria

Excelente 0,1

Satisfactona 0,3

Moderada 0,5

Pobre 0,7

Como se detalla en las tablas de criterios, cada elemento del mismo tiene asociado una valoraciOn, la cual permitirá calcular el nivel de riesgo.

EVALUACION DE PROCESOS EN BASE A CRITERI0s DE

EVALUACIÔN.

(58)

C."

Metodologia de Auditoria Informâtica y Gulas de Trabajo para la UTPL

Por cada criterlo de evaluaciOn elegimos el nivel o valoraciôn que tiene el proceso para la Uriidad correspondiente, en la Matriz de Unidades-Procesos. Automáticamente se ira sumando el valor total de riesgo asociado a Ia

UnidadlProceso respectivo.

Finalmente, la calificación de nivel de riesgo para un proceso será Sumatoria de la valoraciOn dada en cada criterlo.

SELECCION DE PROCESOS MAS CRITICOS

Inmediatamente de haber realizado la evaluación del nivel de riesgo a cada Unidad/Proceso en la actividad anterior se procede a categorizar, seleccionar y pnorizar los procesos más criticos.

Cada Unidad/Proceso obtendrá una calificaciOn de probabilidad e impacto basada en estas escalas, finalmente la calificación final será el producto de impacto x probabi lidad.

Para ello primeramente definimos la tabla de intervalos de riesgo (TabIa210), el cual define las escalas de evaluaciôn Alto - - Bajo, de esta manera cada Unidad/Proceso que obtuvo una calificaciôn en la actividad anterior se basarã en dicha tabla.

labIa 2.10 Niveles para Evaluación de Riesgo

Nivel Minim Máximo

3,70 5,20

MED1O 2.20 3,60

(59)

Finalmente se obtiene una lista de Unidades/Procesos ordenada por criticidad, de esta manera podemos elaborar el documento con el Plan de Auditoria lnformática.

(60)

Metodologia de Auditoria Informatica y Gulas de Trabajo para la UTPL

UNIVERSIDAD TECNICA PARTICULAR DE LOJA

La Vn nwndad Catbta c1LUft

N/l NOIMPLEMENTADIOS

NIDADES-PROCESOS MAS CRITICOS

SanCayetsmAltosh Tilt.: (37) 2570275

www utot edu ec

Loja- Ecuador

Priorlziir

I NIweIdsR*t.qo

ESARROLLO OE SOFTWARE (GDS) STEMASDE INFORMACION GE0GRAICA EDES YTELECOMIJNICACIDNES ESARROLLO DESOFTWARE(OOS)

CIEDAD ELECTRONICA EDES VT ELEC OMU N ICAC ION ES ESARROLLO DESOFTWARE(GDS) ISTEMASUE INFORMACION DEOGRAFICA ISTEMA8OE INFORMACION GEOGRAFICA ISTEMASDE INFORMAC ION GEOGRAFICA ISTEMASDE INFORMACIOM GEOGRAFICA ISTEMASDE INFORMACION GEOGRAFICA ESARROLLO DE SOFTWARE (GUS) EDES YTELECOMUNICACIONES OCIEDAD ELECTRONICA EDES YTELECOMUNICACIONES EDES YTELECOMUNICACIDNES EDES YTELECOMUNICACIONES ISTEMASDE INFORMACION GEOGRAFICA ISTEMASDE lIFORMAC ION GEOGRAFICA ISTEMAS DE INFORMACION GEOBRAFICA

ESARROLLO DESOFTWARE(GDS) ESARROLLO CE SOFTWARE (SOS) OCIEDAD ELECTRONICA EDES YTELECOMUNICACIONES OCIEDAD ELECTRONICA EDES YTELECOMUNICACIONES EDES YTELECOMUNICACIONES EDES VT ELEC OMU N ICAC ION ES SUES YTELECOMUNICACIONES EDES YTELECOMUNICACIONES ISTEMASDE INFORMACION GEOGRAFICA OPORTE S INSTIGACION I EC NOLOGICA TPL NET

REGA DESERVICIOS YSOPORTE ,NEACION V ORGANIZACIóN rREGA CE SERVICIOS V SOPORTE

REGA DE SERVICIOS V SOPORTE REOA DESERV1CIOS YSOPORTE NEACIóN V DRGAPIIZACIÔN rREOA DE SEP VIC lOS V SOPORIE ¼NEACIÔNV ORGANIZACIÔN

NEAClóN V ORGANIZACION UISICION E NPLEMENTACION REGA DESERVICICIS YSOPORTE IREGA CE SERV1CIOS V SOPORIE

NEACIÔN V ORGANIZACIóN NEAClóN V OROANIZACIÔN UISlCION E IMPLEMENTACION QUISICION E IMPLEMENTACION rRESA CE SERVIC lOS V SOPORT E rREGA DESERVIC 105 YSOPORTE

NEACIóN V ORGANIZACIÔN NEACIóN Y ORGANIZACIÔN IREGA DE SERVICIOS V SOPORTE

NEACIÔN V ORGANIZACIÔN ,.NEACIÔN V ORGANIZACIÔN INEACIÔN V ORGANIZACIáN TREGA DESERVICIOS YSOPORTE

NEAClON V ORGANIZACION I,NEACIóN V DRGANIZACIÔN kNEACIÔN V ORGANIZACION QUISICION S IMPLEMENTACION

REGA CE SERVICIOS V SOPORTE FREQA DESERVICIOS VSOPORTE rREI3A CE SERVICIOS V SOPORTE

NEACION V ORGANIZACI6N I,NEACIÔN V ORGANIZACIÔN

AdrninIr.- probIanse hdds,t OdInir Org.-rirlón ysusr.ldon Amur.- wrilnUded do S.,4do Ow.,tlzw I. .uur$dld d.Ilst.m

Gv.,tlw I. ..qurld.d d.gIt,m Admk,Idr.- to. Rsojr,. Hum,-AdmN,Ir.- I. hformaol6n

Ddlnidón do Flu-, atrdloo de Sisten Adm-,I g ru- Proyo.

Adm,nirv Cu-nblo. Apoyury O.iu-tw . Client Admlnlrv problu-na.. ht Euu- Rio.

Admi-,,Eru- Ims hones w TI Drro{Iu- y Mu,t.,. Prooini.nto DrrolIa- y Mo.tu-,e- Proo.irn,er,tos Apoy.t y Orientur a CII.ntr

AdmI.tru- Is Op..d6n AdminiMra- los R.c,jr.os Huniros A..uru-dep.go adimpojidones.fe-r

A.uru- mrAinUdad d. Ssri,o Odinir Arqtht.dur.d. htorn.i6r Adm,niitr- Proy.cto.

DdIr,4r la O,-u-,Izaoión y .u,reIacor

Gwmti.w I. ..,.,rid.d di sist.rn Adminlrr los R.ajrsos Humrc6 Adrnlnldr. Prey.os

Odinir Arquitura di hIorrnaoi6r Adminixtrar Cambics

(61)

FASE III

DISEtIO DE MET000LOGIA DE AUDITORIA

INFORMATICA

(62)

Metodologia de Audftoria Informática y Guias de Trabajo para la UTPL

DIsEio DE METODOLOGIA DE AUDITORIA

IN FORMATICA

INTRODUCCION A LAS METODOLOGIAS DE AUDITORIA

Las metodologias de Auditoria lnformática nos ayudan a desarrollar nuestro trabajo o proyectos de manera organizada y sistemática. Por lo tanto para realizar una auditoria informática es necesario contar con un marco metodologico que gule las acciones en sus diferentes fases.

Existen varias metodologlas de auditoria que pueden ser adaptadas a la empresa o area en (a que deseamos realizar una auditoria. Por tanto, para el diseño de (a metodologia de auditoria se tomó en consideración varias de ellas y se adoptO la fusion de las mismas para determinar una que se ajuste a las necesidades de la Universidad, de esta manera presentar una metodologia que pueda ser utilizada periOdicamente, sin tener dificultad en la realizaciOn de Ia auditoria.

A continuación se describe brevemente cuatro metodologlas generales de auditoria que sirvieron como base para el diseño de la metodologia que posteriormente se utilizará en el desarrollo de auditorIas informáticas en la UTPL.

METODOLOGIA SEGIJN LA IEEE 1028

En la presente metodologla se deben cumplir las siguientes actividades;

OBJETIvO:

Definir el objetivo o meta del proceso de auditoria,