UNIVERSIDAD

NACIONAL DE
INGENIERA
FACULTAD DE INGENIERA
INDUSTRIAL Y DE SISTEMAS

AVANCE

Plan de Trabajo Auditoria COBIT al Departamento de
Conocimiento y Herramientas de Desarrollo - TELEFONICA

Curso: AUDITORIA DE SISTEMAS

Docente: Ing. CARLOS TRIGO PEREZ

Alumnos:
CALLUPE ARIAS, RICARDO
CHUMPITAZ COLLAZOS, JUAN ANTONIO
ROJAS MONZON, ERICK FERNANDO
RUIZ SUMI, JACK PATRICK
SALCEDO HIDALGO, MARTIN
TELLO RIVERA, ERIKA ELIZABETH
TORRES ESCOBAR, DUDLEY JERRY



15/05/2012
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

2
AUDITORIA DE SISTEMAS


INDICE
1 OBJETIVO ..................................................................................................................................... 3
2 ALCANCE ...................................................................................................................................... 3
3 CONSIDERACIONES ...................................................................................................................... 3
4 PLAN DE ACCION GENERAL ......................................................................................................... 4
APENDICE A ......................................................................................................................................... 5
APENDICE B ......................................................................................................................................... 7


















Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

3
AUDITORIA DE SISTEMAS


1 OBJETIVO
El objetivo central es realizar un estudio de Auditora de Sistemas, orientado a identificar las
brechas tecnolgicas en referencias a los estndares de gestin de control de la Norma
Internacional COBIT 4.1 sobre el Gobierno TI, brindando una visin de cumplimiento a nivel:
global, por dominios, por objetivos y por controles.
2 ALCANCE
El estudio de Auditora de Sistemas se orienta a verificar la existencia de controles descritos
en el Programa de Trabajo que se describe en el apndice B, al final del informe e identificar las
respectivas brechas tecnolgicas, aplicado al rea de Conocimiento y Herramientas de Desarrollo
de Telefnica.
Centrndonos principalmente en los controles relacionados al desarrollo de aplicaciones,
mantenimiento y adquisiciones, por ser funciones principales del Departamento en estudio.
La evaluacin de los controles existentes esta orientada a identificacin de desviaciones
relevantes y las recomendaciones de mejora de los mismos se alinea a esta evaluacin.
3 CONSIDERACIONES
El estudio se basa en verificar la existencia de los sistemas de control implementados en el
rea a auditar, con el objeto de entender y administrar los riesgos asociados al uso de TI, tales
como el aumento en requerimientos regulatorios, as como la dependencia crtica de muchos
procesos de negocio en TI.







4 PLAN DE ACCION GENERAL













ACTIVIDADES Resp. 22 23 24 25 28 29 30 31 1 4 5 6 7 8 11 12 13 14 15 18 19 20 21 22 25 26 27 28 29 2 3 4 5 6 9 10
A. Etapa de Planificacion
A.1
Aceptaci on por parte del Departamento de
Conoci mi ento y Herrami entas del Pl an de
trabajo Presentado por Jerry Torres.
Jerry Torres / Departamento de
Conoci mi ento y Herrami entas
de Desarrol l o
A.2
El aborar cuesti onari os di ri gi dos al
personal usuari o de acuerdo al Pl an de
Trabajo
Equi po Audi tores
A.3 Coordi nar di stri buci on de cuesti onari os
Marti n Sal cedo / Departamento
de Conoci mi ento y
Herrami entas de Desarrol l o
A.4
Determi nar documentaci on requeri da que
permi ta evi denci ar l a i mpl ementaci on de
cada control descri to en el programa de
trabajo.
Equi po de Audi tores /
Departamento de Conoci mi ento
y Herrami entas de Desarrol l o
B. Etapa de trabajo de campo.
B.1 Revi sar l a documentaci on del acapi te (A4) Equi po Audi tores
B.2 Revi sar y anal i zar cuesti onari os. Equi po Audi tores
B.3
Efectuar reuni ones con el personal del
Departamento de Conoci mi ento y
Herrami entas.
Equi po de Audi tores /
Departamento de Conoci mi ento
y Herrami entas de Desarrol l o
B.4
Efectuar vi si tas a l as i nstal aci ones del
Departamento de Conoci mi ento y
Herrami entas para veri fi car l a apl i caci n
de control es
Equi po de Audi tores /
Departamento de Conoci mi ento
y Herrami entas de Desarrol l o
C. Diagnostico estructurado de la Informacion
C.1
Anal i zar Informaci on y estructurar
i nforme consi derando l os domi ni os
seal ados en el Programa de trabajo
propuesto
Jerry Torres
D. Elaborar Informe
D.1
Desarrol l ar i nforme i ncl uyendo
observaci ones y recomendaci ones a parti r
del anal i si s de resul tado de cuesti onari os,
revi si on de l a documentaci on, veri fi caci on
de l a apl i caci n de l os control es.
Jerry Torres
E. Entega del Informe Jerry Torres
Departamento de Conoci mi ento
y Herrami entas de Desarrol l o
G. Ajuste y Entrega Final del Informe Jerry Torres
F. Evaluacion del Informe por el personal del
Departamento de Conocimiento y
Herramientas
MAYO JUNIO JULIO


APENDICE A
ESTRUCTURA DEL INFORME
I. INTRODUCCIN
II. RESUMEN EJECUTIVO
III. OBJETIVO
IV. ALCANCE
V. MOTIVO O NECESIDAD DE UNA AUDITORIA DE SISTEMAS
VI. PROGRAMA DE AUDITORIA
VII. ESTNDARES Y TCNICAS DE AUDITORIA EMPLEADA (NORMA COBIT)
VIII. COMENTARIOS RELEVANTES
IX. ANLISIS DE BRECHA (POR CONTROLES, OBJETIVOS, DOMINIOS Y GLOBAL)
SEGN COBIT 4.1

Para el clculo de puntaje de cada control ser ponderado de acuerdo al nivel de importancia del
mismo. Para ello se considerar los siguientes valores:

Estos valores permitirn ponderar el clculo de la puntuacin para el fijar los niveles de
cumplimiento. La asignacin de la importancia del control inicialmente lo propondr el
Departamento de Conocimientos y Herramientas de Desarrollo basado en la experiencia, la
% Cumplimiento
% Cumplimiento
Descripcion
del Control
Recomendado
por la norma
Situacion real
de la Empresa
Sugerencias
Grado de
Implementacion
PO.X.Y. Control
PO.X.Y Objetivo
PO.X Dominio
0 : no se sabe de su existencia
25 : se quiere implementar
50 : hay casos comproados de su implementacion
75 : Existe plan de implementacion y hay fecha de Inicio
100 : Esta implementado con evidencia
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

6
AUDITORIA DE SISTEMAS


misma que podr ser reasignado por el personal del equipo de Auditores de acuerdo a criterios
propios.
Se asumir que el puntaje mximo por conseguir en cada dominio es la suma de los puntajes
ponderados de ese dominio.
Se asumir que el puntaje mnimo por conseguir en cada dominio es la suma de los puntajes
ponderados por ese dominio, considerando slo aquellos controles cuya importancia es
comprobada (valor 50,75,100).
X. CONCLUSIONES Y RECOMENDACIONES GENERALES
X. ANEXOS











APENDICE B
PLANEAR Y ORGANIZAR (PO)
P01 Definir un Plan Estratgico de TI.
P01.1 El rea debe Trabajar con el negocio para garantizar que el portafolio de inversiones de TI de la empresa contenga
programas con casos de negocio slidos para prever el riesgo de no cumplir con una capacidad y el de no materializar los
beneficios esperados.
P01.2 El rea debe identificar las reas del negocio (estrategia) que depende de forma crtica de las soluciones de TI que
est brinda.
P01.3 Se debe evaluar el desempeo de los sistemas de informacin en trminos su funcionalidad, su estabilidad, su
complejidad, sus costos, sus fortalezas y debilidades.
P01.4 Incluir en un plan estratgico de TI como el rea en evaluacin contribuir a los objetivos estratgicos de la empresa
(metas) as como los costos y riesgos relacionados.
P01.5 Crear portafolios de proyectos y servicios que incluyan equilibrio entre los requerimientos y recursos de forma
regular, comparndolos con el logro de metas estratgicas y tcticas y con los beneficios esperados, y tomando las
medidas necesarias en caso de desviaciones.
P01.6 Administrar el portafolio de TI a fin de garantizar que los objetivos de los programas den soporte al logro de los
resultados y definir una rendicin de cuentas clara con medidas de soporte.
P02. Definir la Arquitectura de la Informacin.
PO2.1 El modelo de Arquitectura de Informacin Empresarial debe facilitar la creacin, uso y el compartir en forma ptima
la informacin por parte del negocio de tal manera que se mantenga su integridad, sea flexible, funcional rentable,
oportuna, segura y tolerante a fallos.
PO2.2 Mantener un diccionario Datos Empresarial y Reglas de Sintaxis de Datos que facilite compartir datos entre
aplicaciones y sistemas para fomentar el entendimiento comn de los datos entre usuarios de TI y del negocio.
PO2.3 Contar con un esquema de Clasificacin de Datos que incluya detalles acerca de la propiedad de datos, la definicin
de niveles apropiados de seguridad y de controles de proteccin, y una breve descripcin de los requerimientos de
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

8
AUDITORIA DE SISTEMAS


retencin y destruccin de datos, adems de qu tan crticos y sensibles son.
PO2.4 Garantizar la integridad y consistencia de todos los datos almacenados en formato de datos, almacenes de datos y
archivos.
P03. Determinar la Direccin Tecnolgica.
PO3.1 Identificar en el plan de Direccin Tecnolgica qu tecnologas tienen el potencial de oportunidades de negocio
teniendo en cuenta la arquitectura de sistemas, la direccin tecnolgica, las estrategias de migracin los aspectos de
contingencia de los componentes de la infraestructura.
PO3.2 Mantener un plan de infraestructura tecnolgica que cubra aspectos de contingencia, sobre recursos tecnolgicos y
de personal de sistemas as como sobre la interoperabilidad de plataformas y aplicaciones.
PO3.3 Se debe establecer un proceso para monitorear las tendencias ambientales, tecnolgicas, de infraestructura, legales
y regulatorias del sector.
PO3.4 Impulsar los estndares y prcticas tecnolgicas en base a su importancia y riesgo para el negocio.
PO3.5 Conformar un equipo que oriente el diseo de la arquitectura de TI a las estrategias del negocio.
P04. Definir los Procesos, Organizacin y Relaciones de TI.
PO4.1 Disear un marco de trabajo de procesos de TI que incluya estructura y relacin de procesos de TI (administrando
brechas y superposiciones de procesos), propiedad, medicin del desempeo, mejoras, cumplimiento de metas de calidad y
planes para alcanzarlas.
PO4.2 El comit estratgico no va porque est las estrategias relacionas a gobierno TI no estn dentro de su alcance.
PO4.3 El comit Directivo de TI no va porque la determinacin de prioridades de los programas de inversin de TI
alineadas con la estrategia y prioridades de negocio de la empresa est encargada por otra rea.
PO4.4 Ubicar la funcin de TI dentro de la estructura organizacional general con un modelo de negocios supeditado a la
importancia de TI dentro de la empresa.
PO4.5 La determinacin de la estructura organizacional no va porque depende de un rea superior.
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

9
AUDITORIA DE SISTEMAS


PO4.6 Se debe tener definido y he informado los roles y responsabilidades del personal de TI, los usuarios administradores
y los usuarios finales.
PO4.7 Asignar la responsabilidad para el desempeo de la funcin de aseguramiento de calidad (QA) .
PO4.8 Definir y asignar roles crticos para administrar las soluciones TI incluyendo la responsabilidad especfica de la
seguridad de la informacin, la seguridad fsica y el cumplimiento.
PO4.9 Proporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus responsabilidades de
propiedad sobre los datos y los sistemas de informacin.
PO4.10 Supervisar si el personal cuenta con la suficiente autoridad y recursos para ejecutar sus roles y responsabilidades
tomando en cuento los indicadores de desempeo.
PO4.11La segregacin de funciones se Asegura que el personal realice las tareas autorizadas, relevantes a sus puestos y
posiciones respectivas
PO4.12 Evaluar los requerimientos de personal de forma regular o cuando existan cambios importantes en el ambiente de
negocio.
PO4.13 Definir e identificar al personal clave de TI desempeando una funcin de trabajo crtica.
PO4.14 Asegurar que los consultores y el personal contratado que soporta la funcin de TI cumplan con proteccin de los
activos de informacin de la empresa.
PO4.15 Establecer y mantener una estructura ptima de enlace, comunicacin y coordinacin entre la funcin de TI y otros
interesados dentro y fuera de la funcin de TI, tales como el consejo directivo, ejecutivos, unidades de negocio, usuarios
individuales, proveedores
PO5. Administrar la Inversin en TI
PO5.1 Verificar si mantiene un marco de Trabajo para la Administracin Financiera.
PO5.2 Verificar si posee un proceso para dar prioridades Dentro del Presupuesto de TI.
PO5.3 El Proceso Presupuestal no va ya que existe otra rea con esa funcin.
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

10
AUDITORIA DE SISTEMAS


PO5.4 La Administracin de Costos de TI no va ya que es otra rea la que encarga de esta funcin.
PO5.5 Verificar si posee un proceso para la administracin de Beneficios.
PO6. Comunicar las Aspiraciones y la Direccin de la Gerencia
PO6.1 Verificar si los elementos Ambiente de Polticas y de Control estn definidos.
PO6.2 Verificar si se da mantenimiento al Marco de Referencia de Control Interno de TI y Riesgo Corporativo.
PO6.3 Verificar que existe una Administracin de Polticas para TI.
PO6.4 Verificar la Implantacin de Polticas de TI.
PO6.5 Verificar que exista Comunicacin de los Objetivos y la Direccin de TI con todos los usuarios de la organizacin.
PO7. Administrar Recursos Humanos de TI
PO7.1 Verificar que se cumplen los procesos Reclutamiento y Retencin del Personal.
PO7.2 Verificar de forma peridica las Competencias del Personal.
PO7.3 Verificar si se dan supervisiones en la Asignacin de Roles.
PO7.4 Verificar que se de Entrenamiento del Personal de TI.
PO7.5 Verificar que disminuya la Dependencia Sobre los Individuos.
PO7.6 Verificar si existen Procedimientos de Investigacin del Personal
PO7.7 Verificar que se de una Evaluacin del Desempeo del Empleado peridicamente.
PO7.8 Verificar que se tomen las medidas de Cambios y Terminacin de Trabajo
PO8. Administrar la Calidad
PO8.1 Verificar si existe un Sistema de Administracin de Calidad (QMS).
PO8.2 Verificar si existen procedimientos para identificar y mantener Estndares y Prcticas de Calidad.
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

11
AUDITORIA DE SISTEMAS


PO8.3 Verificar si se adoptan y mantienen Estndares de Desarrollo y de Adquisicin.
PO8.4 Verificar que de el Enfoque en el Cliente de TI.
PO8.5 Verificar que se promueva la Mejora Continua.
PO8.6 Verificar si se define, planea e implementa la Medicin, Monitoreo y Revisin de la Calidad.
PO9. Evaluar y Administrar los Riesgos de TI
PO9.3 Verificar que se establezca un Marco de Trabajo de Administracin de Riesgos
PO9.2 Verificar el Establecimiento del Contexto del Riesgo
PO9.3 Verificar la Identificacin de Eventos
PO9.4 Verificar que se de la Evaluacin de Riesgos de TI
PO9.5 Verificar que se desarrolle la Respuesta a los Riesgos.
PO9.6 Verificar que se de Mantenimiento y Monitoreo de un Plan de Accin de Riesgos
PO10. Administrar Proyectos
PO10.1 Verificar si se mantiene un marco de trabajo para la administracin de programas.
PO10.2. Verificar si se mantiene un marco de trabajo para la administracin de proyectos.
PO10.3. Verificar si existen objetivos de desempeo, si se tienen referencias para comparacin de estos objetivos.
(Verificar si existe procedimientos para la recoleccin de informacin oportuna y precisa para reportar el avance contra las
metas)
PO10.4. Verificar si existe el compromiso y la particin de los interesado afectados.
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

12
AUDITORIA DE SISTEMAS


PO10.5. Verificar si se efecta la documentacin necesaria para sustentar el alcance y lograr el entendimiento comn de
los interesados.
PO10.6. Verificar si existe una apropiada difusin de la informacin a todos los interesados acerca de la revisin y
aceptacin de los entregables de las etapas importantes del proyecto.
PO10.7. Verificar si se realiza formalmente el plan integrado del proyecto para guiar la ejecucin y el control a lo largo de
la vida de este.
PO10.8. Verificar si existen procedimientos para realizar la verificaciones de personal o terceros a contratar y buenas
prcticas de adquisiciones.
PO10.9. Verificar si existe un proceso formal dirigido a la identificacin, anlisis, respuesta, monitoreo y control de las
reas o eventos potenciales a ocasionar cambios no deseados.
PO10.10. Verificar si existe formalmente un plan de calidad que describa y que muestre como debe ser implementado el
sistema de calidad del proyecto.
PO10.11. Verificar si esta implementado un sistema de control de cambios para cada proyectos de acuerdo al marco de
trabajo de gobierno del programa y del proyecto.
PO10.12. Verificar si existen las medidas se aseguramiento para la acreditacin de sistemas nuevos o modificaciones
durante la planeacin del proyecto e incluirlo en el plan integrado del proyecto.
PO10.13. Verificar si se efecta la apropiada medicin del desempeo del proyecto contra los criterios claves del proyecto y
realizacin de las medidas correctivas segn sea requerido.
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

13
AUDITORIA DE SISTEMAS


PO10.14. Verificar si existe si existen acuerdos entres los interesados para que estos se cercioren de que el proyectos haya
proporcionado los resultados esperado una vez terminado el proyecto.
ADQUIRIR E IMPLEMENTAR (AI)
AI1. Identificar Soluciones Automatizadas
AI1.1. Verificar si existe formalmente un procedimiento para identificar, dar prioridades, especificar y acordar los
requerimientos que cubran el de la inversin en TI.
AI1.2. Verificar si existen formalmente procedimientos para identificar, documentar y analizar los riesgos asociados con los
requerimientos del negocio y diseo de soluciones.
AI1.3. Verificar si existe un estudio de factibilidad documentada y aplicada de los requerimientos.
AI1.4. Verificar si existen acuerdos con el patrocinador para la aprobacin y autorizacin de los requisitos en las etapas
clave predeterminadas.
AI2 Adquirir y mantener software aplicativo
AI2.1. Verificar si existen procedimientos para la adquisicin de software para garantizar que el diseo de alto nivel
responde a los requerimientos.
AI2.2. Verificar si existen procedimientos que detallen el diseo de los requerimientos tcnicos de software de aplicacin.
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

14
AUDITORIA DE SISTEMAS


AI2.3. Verificar si esta implementado controles de negocio para garantizar la exactitud, totalidad, autorizacin del
procesamiento.
AI2.4. Verificar si existen polticas de seguridad en lnea con la clasificacin de datos, la arquitectura de la informacin, la
arquitectura de seguridad de la informacin y la tolerancia a riesgos dela organizacin.
AI2.5. Verificar si existen procedimientos para la configuracin e implementacin de software de aplicaciones.
AI2.6. Verificar si existen procedimientos para cambios significativos al diseo actual y/o funcionalidad.
AI2.7. Verificar la existencia de procedimientos que garanticen que la funcionalidad de automatizacin se desarrolla de
acuerdo a las especificaciones de diseo, estndares de desarrollo y documentacin.
AI2.8. Verificar si existe el procedimiento formal el aseguramiento de calidad del software.
AI2.9. Verificar que exista un proceso para gestin de cambios y seguimiento de todos los requerimientos.
AI2.10. Verificar que exista un plan para el mantenimiento de aplicaciones de software.
AI3 Adquirir y mantener infraestructura tecnolgica
AI3.1. Verificar si existe un plan para adquirir, implementar y mantener la infraestructura tecnolgica que satisfaga los
requerimientos establecidos.
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

15
AUDITORIA DE SISTEMAS


AI3.2. Verificar la existencia de medidas de control interno, seguridad y auditabilidad durante la configuracin, integracin
y mantenimiento del hardware y del software.
AI3.3. Verificar si existen procedimientos formales para el desarrollo de una estrategia y un plan de mantenimiento de la
infraestructura y garantizar que se controlan los cambios.
AI3.4. Verificar la existencia de un adecuado ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de
las pruebas de factibilidad e integracin de aplicaciones e infraestructura.
ENTREGAR Y DAR SOPORTE (DS)
DS1. Definir y Administrar los niveles de servicio.
DS1.1 Verificar si existe un marco de trabajo que brinde un proceso formal de administracin de niveles de servicio entre el
cliente y el prestador de servicio.
DS1.2 Verificar la implantacin de un enfoque de catlogo/portafolio de servicios que brinde las definiciones sobre las
caractersticas del servicio y los requerimientos del negocio.
DS1.3 Verificar si existe convenio entre los niveles de servicio para todos los procesos crticos de TI con base en los
requerimientos del cliente y las capacidades en TI.
DS1.4 Verificar que los acuerdos de niveles de operacin expliquen como sern entregados tcnicamente los servicios para
soportar el(los) SLA(s) de manera ptima.
DS1.5 Verificar si existe un monitoreo continuo de los criterios de desempeo especificados para el nivel de servicio.
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

16
AUDITORIA DE SISTEMAS



DS1.6 Verificar si existe una revisin regular con los proveedores internos y externos los acuerdos de niveles de servicio y
contratos de apoyo.
DS2. Administrar los Servicios de Terceros
DS2.1 Verificar si existe una identificacin completa con los proveedores de manera que se categorice de acuerdo al tipo de
proveedor, significado y criticidad.
DS2.2 Verificar si existe una formalizacin en el proceso de gestin de relaciones con proveedores para cada proveedor.
DS2.3 Verificar si se ha identificado y reducido los riesgos relacionados con la efectividad del servicio de los proveedores.
DS2.4 Verificar si existe un monitoreo de las actividades y cumplimiento de ellas del proveedor.
DS3 Administrar el Desempeo y la Capacidad
DS3.1 Verificar que exista un proceso de planeacin para la revisin del desempeo y la capacidad de los recursos de TI.
DS3.2 Verificar si se revisa con regularidad la capacidad y desempeo actual de los recursos de TI.
DS3.3 Verificar si regularmente se lleva a cabo un pronstico de desempeo y capacidad de los recursos en TI.
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

17
AUDITORIA DE SISTEMAS


DS3.4 Verificar si se tiene la capacidad y desempeo requerido a los recursos de TI.
DS3.5 Verificar si existe un monitoreo continuo del desempeo y la capacidad de los recursos de TI.
DS4 Garantizar la Continuidad del Servicio
DS4.1 Verificar si se cuenta con un marco de trabajo de continuidad de TI.
DS4.2 Verificar si existen planes de continuidad de TI basadas en el marco de trabajo.
DS4.3 Verificar si se centra la atencin en los puntos ms crticos del plan de continuidad de TI.
DS4.4 Verificar si la gerencia de TI define y ejecuta procedimientos de control de cambios.
DS4.5 Verificar si se prueba el plan de continuidad de TI regularmente.
DS4.6 Verificar si todas las partes involucradas reciben sesiones de habilitacin referente a procesos, roles y
responsabilidades en caso de desastre.
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

18
AUDITORIA DE SISTEMAS


DS4.7 Verificar si todas las partes involucradas reciben sesiones de habilitacin referente a procesos, roles y
responsabilidades en caso de desastre.
DS4.8 Verificar si se cuenta con un plan al momento en que el TI se est recuperando y reanudando los servicios.
DS4.9 Verificar si se almacena fuera de las instalaciones todos los medios de respaldo, documentacin y otros recursos de
TI crticos.
DS4.10 Verificar que si luego de una reanudacin exitosa la gerencia de TI ha establecido procedimientos para valorar lo
adecuado del plan y actualizarlo.
DS5 Garantizar la Seguridad de los Sistemas
DS5.1 Verificar si se administra la seguridad de TI al nivel ms alto apropiado dentro de la organizacin.
DS5.2 Verificar si se cuenta con un plan de seguridad de TI completo.
DS5.3 Verificar que todos los usuarios y su actividad en sistemas de TI sean identificables de manera nica.
DS5.4 Verificar que las actividades relacionadas a la cuenta del usuario sean tomadas en cuenta por un conjunto de
procedimientos de la gerencia de cuentas de usuario.
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

19
AUDITORIA DE SISTEMAS


DS5.5 Verificar que la seguridad en TI sea probada y monitoreada en forma pro-activa.
DS5.6 Verificar si se ha definido y comunicado las caractersticas de incidentes de seguridad potenciales.
DS5.7 Verificar que la tecnologa relacionada con la seguridad se resistente al sabortaje y no revele informacin de
seguridad innecesaria.
DS5.8 Verificar que existan polticas y procedimientos que permitan administrar las llaves criptogrficas implementadas.
DS5.9 Verificar si se cuenta con medidas que puedan proteger los sistemas de informacin y tecnologa contra malware.
DS5.10 Verificar que se usen tcnicas y procedimientos de administracin para controlar los flujos de informacin desde y
hacia las redes.
DS5.11 Verificar que existan controles que garanticen la transaccin de datos sensibles a travs de una ruta o medio.
DS6 Identificar y Asignar Costos
DS6.1 Verificar que hayan sido Identificados todos los costos de TI y equiparados a los servicios de TI.
DS6.2 Verificar que los costos actuales hayan sido registrados y asignados de acuerdo con el modelo de costos definido.
DS6.3 Verificar que exista un modelo de costos de TI que incluya costos directos, indirectos y fijos de los servicios.
DS6.4 Verificar que haya un mantenimiento del modelo de costos de TI.
DS7 Educar y Entrenar a los Usuarios
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

20
AUDITORIA DE SISTEMAS


DS7.1 Verificar que exista un programa de entrenamiento para cada grupo objetivo de empleados y que dicho programa
este actualizado.
DS7.2 Verificar que las necesidades de entrenamiento estn identificadas.
DS7.3 Verificar que al finalizar el entrenamiento, este haya sido evaluado.
DS8 Administrar la Mesa de Servicio y los incidentes
DS8.1 Verificar que este establecido la funcin de mesa de servicio y los procedimientos de monitoreo.
DS8.2 Verificar que este establecida una funcin y sistema que permita el registro y rastreo de llamadas, incidentes,
solicitudes de servicio y necesidades de informacin.
DS8.3 Verificar que exista procedimientos de mesa de servicios para que los incidentes sean resueltos de forma escalada.
DS8.4 Verificar que exista procedimientos para el monitoreo de la resolucin de los incidentes.
DS8.5 Verificar que exista reportes de la actividad de la mesa de servicios.
DS9 Administrar la Configuracin
DS9.1 Verificar que exista una herramienta de soporte y un repositorio central que contenga toda la informacin relevante
sobre los elementos de configuracin.
DS9.2 Verificar que existan procedimientos de configuracin para soportar la gestin y rastro de todos los cambios al
repositorio de configuracin.
DS9.3 Verificar que se revise peridicamente los datos de configuracin y del software instalado.
DS10 Administracin de Problemas
DS10.1 Verificar que existan procesos para reportar y clasificar problemas que hayan sido identificados.
DS10.2 Verificar que el sistema de administracin de problemas permita rastrear, analizar y determinar la causa raz de
todos los problemas.
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

21
AUDITORIA DE SISTEMAS


DS10.3 Verificar que dispongan de un procedimiento para cerrar los registros de los problemas.
DS10.4 Verificar que se integren los procesos relacionados a la administracin de cambios, configuracin y problemas.
DS11 Administracin de Datos
DS11.1 Verificar que todos los datos que se espera procesar se reciben y procesan completamente.
DS11.2 Verificar que estn definidos procedimientos para el archivo, almacenamiento y retencin de los datos.
DS11.3 Verificar que estn definidos procedimientos para mantener un inventario de medios almacenados y archivados.
DS11.4 verificar que existan procedimientos que al eliminar o transferir datos aseguren la proteccin de los datos
sensitivos.
DS11.5 Verificar que existan procedimientos de respaldo y restauracin de los sistemas, aplicaciones y datos.
DS11.6 Verificar que existan polticas y procedimientos para identificar y aplicar los requerimientos de seguridad.
DS12 Administracin del Ambiente Fsico
DS12.1 Verificar que se hayan seleccionado los centros de datos fsicos para el equipo de TI tomando en cuenta riesgos.
DS12.2 Verificar que existen medidas, procedimientos de reporte y de resolucin de incidentes de seguridad fsica.
DS12.3 Verificar que existan procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y reas.
DS12.4 Verificar que existan equipos y dispositivos instalados para monitorear y controlar el ambiente.
DS12.5 Verificar si existe un reglamento interno para la administracin de las instalaciones fsicas, y si estos estn de
acuerdo a los parmetros de seguridad y salud adecuados.
DS13. Administrar las operaciones
DS13.1 Verificar si existe un manual de procedimientos y si estos estn implementados y si se le da un mantenimiento
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

22
AUDITORIA DE SISTEMAS


regular a los procedimientos del rea.
DS13.2 Verificar si existe una programacin de las tareas y actividades por proceso.
DS13.3 Verificar si existen procedimientos de monitoreo de la infraestructura de TI y los eventos relacionados. (Verificar
que estos permitan la reconstruccin, revisin y anlisis de las secuencias de tiempo de las operaciones.)
DS13.4 Verificar si existen prcticas de registro y administracin del inventario de los activos de TI.
DS13.5 Verificar si existen procedimientos para el mantenimiento oportuno de la infraestructura de modo que permita
reducir la frecuencia e impacto de fallas y disminucin de desempeo.
MONITOREAR Y EVALUAR (ME)
ME1. Monitorear y Evaluar el Desempeo de TI
ME1.1. Enfoque del Monitoreo
Verificar si existe un marco de trabajo para el monitoreo general que definan el alcance, metodologa y proceso a seguir
para la medicin y monitoreo de la contribucin de TI al negocio.
ME1.2. Definicin y Recoleccin de Datos de Monitoreo
Verificar si existen objetivos de desempeo, si se tienen referencias para comparacin de estos objetivos. (Verificar si
existe procedimientos para la recoleccin de informacin oportuna y precisa para reportar el avance contra las metas)
ME1.3. Mtodo de Monitoreo
Verificar si existe un mtodo para el proceso de monitoreo.
ME1.4. Evaluacin del Desempeo
Verificar si existe una comparacin peridica del desempeo contra las metas, anlisis de la causa y planteamiento de
medidas correctivas.
ME1.5. Reportes al Consejo Directivo y a Ejecutivos
Verificar si existen reportes administrativos sobre el avance de la organizacin hacia las metas, el grado de alcance de los
objetivos, metas de desempeo alcanzadas y riesgos mitigados.
ME1.6. Acciones Correctivas
Verificar si existe un establecimiento de medidas correctivas frente a la evaluacin del desempeo.
ME2. Monitorear y Evaluar el Control Interno
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

23
AUDITORIA DE SISTEMAS


ME2.1. Monitoreo del Marco de Trabajo de Control Interno
Verificar si existe un monitoreo del ambiente de control de TI y el marco de trabajo de control de TI, para satisfacer los
objetivos organizacionales.
ME2.2. Revisiones de Auditora
Verificar si existe un monitoreo y evaluacin de la eficiencia y efectividad de los controles internos de revisin de la
gerencia de TI.
ME2.3. Excepciones de Control
Verificar si existe la identificacin de excepciones de control, anlisis de sus causas races, un escalamiento de estas
excepciones y establecimiento de acciones correctivas necesarias.
ME2.4. Control de Auto Evaluacin
Verificar si existe un programa continuo de auto-evaluacin de los controles de gerencia sobre los procesos, polticas y
contratos de TI.
ME2.5. Aseguramiento de Control Interno
Verificar si existe una revisin de terceros para asegurar la completitud y efectividad de los controles internos
ME2.6. Control Interno para Terceros
Verificar si existe al evaluacin del estado de los controles internos de los proveedores de servicios externos. Verificar si los
proveedores de servicios externos cumplen los requerimientos legales, regulatorios y obligaciones contractuales.
ME2.7. Acciones Correctivas
Verificar si existe la identificacin, rastreo e implementacin de acciones correctivas derivadas de los controles de
evaluacin y los informes.
ME3. Garantizar el Cumplimiento Regulatorio
ME3.1. Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos Contractuales
Verificar si existe una revisin continua de las leyes locales e internacionales, regulaciones y otros requerimientos externos
a cumplir para incorporar en las polticas, estndares, procedimientos y metodologas de TI de la organizacin
ME3.2. Optimizar la Respuesta a Requerimientos Externos
Verificar si existe la revisin y ajuste de las polticas, estndares, procedimientos y metodologas de TI para garantizar el
direccionamiento y comunicacin de los requisitos legales y regulatorios.
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

24
AUDITORIA DE SISTEMAS


ME3.3. Evaluacin del Cumplimiento con Requerimientos Externos
Verificar si existe la confirmacin del cumplimiento de las polticas, estndares, procedimientos y metodologas de TI con
requerimientos legales y regulatorios.
ME3.4. Aseguramiento Positivo del Cumplimiento
Verificar si existe el aseguramiento del cumplimiento y adhesin a todas las polticas internas derivadas de directivas
internas o de requerimientos legales externos, regulatorios o contractuales.
ME3.5. Reportes Integrados
Verificar si existe una integracin de los reportes de TI sobre requerimientos legales, regulatorios y contractuales con las
salidas similares provenientes de otras funciones del negocio.
ME4. Proporcionar Gobierno de TI
ME4.1 Establecimiento de un Marco de Gobierno de TI
Verificar si existe una definicin del marco de gobierno de TI con la visin completa del entorno de control y gobierno
corporativo. Confirmar que el marco de gobierno de TI asegura el cumplimiento con las leyes y regulaciones y que est
alineado, y confirma la entrega de, la estrategia y objetivos empresariales
ME4.2 Alineamiento Estratgico
Verificar si existen actividades para garantizar el entendimiento compartido entre le negocio y la funcin de TI sobre la
contribucin potencial de TI a la estrategia de negocio.
ME4.3 Entrega de Valor
Verificar si existe una administracin de los programas de inversin habilitados con TI, as como otros activos y servicios de
TI, para asegurar que ofrezcan el mayor valor posible para apoyar la estrategia y objetivos empresariales.
ME4.4 Administracin de Recursos
Verificar si existen evaluaciones peridicas para la revisin de la inversin, uso y asignacin de los activos de TI.
ME4.5 Administracin de Riesgos
Universidad Nacional de Ingeniera
Facultad de Ingeniera Industrial y de Sistemas

25
AUDITORIA DE SISTEMAS


Verificar si existe un trabajo conjunto con el consejo directivo para la definicin del nivel de riesgo de TI aceptable por la
empresa y obtener garanta razonable de que las prcticas de administracin de riesgos de TI aseguran que el riesgo actual
de TI no excede el riesgo aceptable de direccin.
ME4.6 Medicin del Desempeo
Verificar si existe la confirmacin de que los objetivos de TI se han conseguido o excedido. Si se informa la direccin los
desempeos de TI para permitir a la direccin revisar el progreso de la empresa hacia las metas identificadas.
ME4.7 Aseguramiento Independiente
Verificar que el soporte tecnolgico brindado por el rea cumple con las polticas internas de la organizacin, adems de
considerar los estndares relevantes para el buen desempeo del rea.