Programa de Auditoría

ISO 17799

Gestión de Comunicaciones y
Operaciones

Nombre: Silvana Espejo, Marilyn Araya.

Curso: Aud 700-401.
Asignatura: Auditoría de Sistemas de Información.
Nombre Profesor: Eduardo Leyton Guerrero.
Fecha Entrega: 13 de Junio de 2012.
 ÍNDICE PROGRAMA AUDITORÍA GESTIÓN DE
COMUNICACIONES Y OPERACIONES

I. Obtención de Conocimiento.

1.1. Actividades Generales.

II. Definición de Objetivos.

2.1 Objetivo General.

2.2 Objetivos Específicos.

III. Alcance.

IV. Metodología de Auditoría a Usar.

V. Procedimientos de Auditoría.

VI. Programa de Trabajo enfocado Sección Gestión de Comunicaciones y Operaciones.

VII. Anexos.

2
 I. Obtención de Conocimiento.

Para la obtención de conocimiento de este proceso en base a la Norma ISO 17799, consistente en
la sección nº8 que es la Sección de Gestión de Comunicaciones y Operaciones, en que trata
acerca de los procedimientos, responsabilidades, funcionamiento correcto y sobre todo seguro de
sistema de TI en el área Informática y su procesamiento de la información, protección,
condiciones de uso, verificación de responsabilidades y si hay o no actos de negligencia respecto
al manejo de las instalaciones.
Para el logro de lo mencionado anteriormente, se adoptarán bajo la Norma ISO 17799, las
correspondientes pruebas de cumplimiento y sustantivas conforme a la codificación basada en
esta norma, relacionándola con sus diferentes sub – secciones pertenecientes a la Gestión de
comunicaciones y operaciones, a fin de prevenir, enfrentar, corregir y lo más importante,
solucionar las variadas problemáticas que puedan arrojar evidencias que prueben la calidad del
sistema TI bajo esta norma y los constantes cambios tecnológicos y riesgos propios de un sistema
de TI.

1.1. Actividades Generales.

Sin embargo conforme a lo explicado anteriormente, la obtención del conocimiento es

fundamental llevar a cabo las siguientes actividades:

 Establecer documentación fidedigna, respaldada, autorizada y/o validada (aprobación)

bajo firmas del Directorio, comité o departamento informático, en cuanto a los
procedimientos de operación y/o funcionamiento de las TI bajo ISO 17799, tales como
actas de Directorio, contratos de empresas externas (si es encargada la responsabilidad a
terceros), listado de reportes tecnológicos,etc, e identificar los potenciales riesgos que ello
conlleva (en lo posible, acordar tipos de controles con la empresa externa a modo de
minimizar tales riesgos por cuanto a la gestión de TI).

 Verificar si los documentos mencionados anteriormente, han sido mediante la

instauración de políticas de seguridad, siendo aplicada desde los más altos mandos hasta
los cargos menores y/o administrativos.

 Designar a las personas capacitadas en forma responsable para llevar a cabo las distintas
actividades de gestión de comunicaciones y operaciones de un sistema TI (segregación de
funciones de personal indicado ya sea por área o proceso en sistema de TI, tales como
operatividad, prueba y tratamiento).

 Contar con un manual de usuario diseñado de tal forma, en que conste sobre las diferentes
instrucciones y tareas sobre como los distintos usuarios deben manejar un sistema de TI,
desde la primera fase hasta la última, todo ello cuantificado bajo un límite de tiempo
determinado, y lo esencial, que sea manejable y entendible por todos los usuarios de la
organización.

 Efectuar un reporte de Auditoría en que reflejen los variados cambios que se vaya
suscitando el sistema de procesamiento de datos (TI), aplicaciones, software, programas,
etc, y estar relacionado bajo un enfoque de control (si es posible, que sea medible o

3
 cuantificado en base al riesgo inherente y ligado al impacto que originase) así como sobre
quién (es) recae la responsabilidad, la expedita recuperación y respuesta de los datos
contemplados en el sistema de TI.

 Contar con una infraestructura acorde a la implementación, manejo y gestión del sistema
TI, en que se vea protegida y segura la información, así como los servicios y accesos
controlados, redes operativas, etc.

II. Definición de Objetivos.

2.1 Objetivo General.

El objetivo general de la presente auditoría es de generar un ambiente de control en relación a la

gestión de comunicaciones y operaciones por cuanto a un sistema de TI determinado, dividido en
varias funciones que consistan en verificar el adecuado funcionamiento, procesamiento de datos,
segregación de personal, tipos de control, manejo de eventuales incidentes, etc.

Todo ello es fundamental con la participación de los distintos departamentos relacionados con las
áreas informáticas, soporte tecnológico, operaciones, mantenimiento, etc., con tal de inspeccionar
los constantes movimientos de estos en la manipulación de sistema TI y como estos inciden en el
control de accesos restringidos, áreas segregadas por cargo o función, modificación de
contraseñas asignadas a cada usuario correspondiente respecto a las áreas mencionadas, etc.

Todo esto se basa principalmente para generar reportes conforme al sistema TI, administración
del personal, configuración y registro de fallas, ligado con los respectivos controles correctivos o
de recuperación de datos dependiendo de cada caso a tratar.

2.2 Objetivos Específicos.

Para el logro del objetivo general antes explicado, se deben considerar los siguientes objetivos
específicos:

 Verificar si la Gestión de comunicaciones y operaciones se lleva a cabo mediante las

políticas y procedimientos establecidos bajo el respaldo y sondeo de los altos cargos, en
donde se permita valorar la integridad, consistencia, coherencia, confiabilidad y
confidencialidad de la información contenida a través de su procesamiento que garantice
el normal funcionamiento del sistema de TI y proteja según el tipo de acceso a clientes y
usuarios.

 Confirmar el nivel de protección y resguardo de los datos contenidos dentro del sistema
TI, así como el análisis e identificación de problemas ya sea en el manejo de la misma
información, filtración de datos, informes de errores, verificar el responsable de
eventuales incidentes que afectasen la integridad de la información protegida.

 Investigar si la gestión de comunicaciones y operaciones (si es por medio de empresa

externa) tiene la suficiente garantía en respaldar la información de TI, y si se encuentra
estipulado en el respectivo contrato de licencia, y si cuenta con los seguros

4
 correspondientes en caso de pérdida, robo, filtración confidencial, incendio y cualquier
otro incidente.

 Separar detalladamente las diversas áreas conforme a la gestión de comunicaciones y

operaciones, divididas en base a las actividades, como por ejemplo, procedimientos,
controles y sus tipos, administración, redes, examen exhaustivo y/o monitoreo anti virus o
software malintencionados, seguridad de información, etc.

 Formular reportes y/o informes en base a información recopilada que consista en una
evaluación de desempeño sobre la gestión llevada a cabo en las distintas áreas de la
organización conforme a la comunicación y operación respecto de materias como
filtración y/o manipulación de información, archivos de datos, errores ocasionados ya sea
por el personal o propios del sistema, estadísticas, traspaso de información y cualquiera
otra forma de verificación.

 Constatar que la información en base a la gestión comunicacional y operativa sea en

conforme a ciertos parámetros razonables, verificables y monitoreados de diversa forma y
como el personal influye en este aspecto por Ej. Video, fax, teléfono móvil, manejo y
cuidado de la información confidencial y entregada por un trabajador, el criterio que
utiliza para la entrega del mismo y normas o regulaciones que vigilen el cumplimiento de
tales acciones.

III. Alcance.

Conforme a los objetivos específicos antes precisados, se centralizará en la gestión operativa y

comunicacional que brinde el sistema de TI, en que esté inserto dentro de un Plan Informático
que estipule el correcto funcionamiento, análisis de la información, forma de rendimiento tanto
interna como externa (si hay contratos o licencias externalizadas) así como el control diario y
reportes formulados en base al monitoreo constante de la información y de quien (es) la procesan
tanto en las instalaciones (sala cero) como la capacidad contenida en el sistema tal.

Con ello también se refiere a la seguridad, tipos de controles (preventivos, correctivos, de

recuperación, etc), desempeño mismo del sistema, informes diarios concernientes a las
actividades del personal encargado, funcionamiento y mantención de la red, criterios y pautas
para el manejo de la información, formas de acceso, etc.

Esto se dará con una fecha de corte documentario al 31 de mayo de 2011, en que se analizará
acuciosamente ciertos aspectos como instalaciones de redes, esquema tecnológica – informática,
procesamiento de datos, dispositivos, correo electrónico, almacenamiento de la información, etc,
todo ello con fecha de corte de auditoría al 31 de julio de 2011.

IV. Metodología.

El trabajo tratará sobre la recopilación de antecedentes que permitan el funcionamiento óptimo,

seguro y confiable acerca de la gestión comunicacional y operativo en un sistema de TI en base
a norma ISO 17799 que se complemente con los objetivos específicos antes suscitados.

5
Es fundamental para esto hacer el respectivo análisis sobre diferentes materias tales como
documentación, designar responsabilidades, manejo de eventuales emergencias e incidentes en
que se cuente con los debidos planes de emergencia para enfrentar y solucionar de la mejor
manera posible este tipo de problemáticas, etc.
Si la empresa considera acogerse bajo la norma ISO 17799 (a modo se mejorar sus buenas
prácticas), debe tener en cuenta contar con un gerente del área gestión de comunicaciones y
operaciones designado, en conjunto con un supervisor a cargo y demás profesionales del área
informática en que se pueda en el sistema de TI, en que se pretende llevar a cabo un Plan de
Seguridad que permita mejorar todos los factores implicantes (mencionados en el alcance)
siendo que si bien no contemple todos los aspectos a la vez conforme a sus varios sub – procesos,
se pueda obtener una nueva situación que refleje una nueva forma de control y mejor que la
anterior.

V. Procedimientos de Auditoría.

Los procedimientos de auditoría están hechos en base a actividades que deben ejecutarse por
cuanto a la gestión de comunicaciones y operaciones, que deben ser a través de un Plan de
Seguridad, análisis de riesgos, auditoría informáticas que muestren el nivel de exposición
dependiendo si hay o no falta de controles, y por otro lado se vean la evaluación de los riesgos en
que se hagan las pertinentes recomendaciones para establecer el costo – beneficio de las mismas.

Los procedimientos conforme a tareas y actividades a mostrar en la auditoría son las siguientes:

 Estipular bajo documentación en las reuniones ya sea de Directorio, comité informático o

departamentos del área informática, la toma de diferentes decisiones que incida en la
forma de gestionar la operatividad y comunicación entre las distintas áreas informáticas
de TI.

 Indagar la existencia de un Plan Informático, en que consten amplias materias como una
planificación en base a la seguridad que permita tomar acciones drásticas por cuanto a la
segregación de funciones, cambios posteriores y su impacto a causar, resolución de
conflictos internos y ser comunicados de forma inmediata a los altos mandos gerenciales
de la organización a la brevedad posible.

 Coordinar y efectuar mediante un cronograma o carta gantt, encuestas, charlas, entrevistas

(foros group) como una forma cuantitativa de medir la calidad de la gestión y observar el
nivel de cumplimiento, satisfacción y seguridad respecto del sistema TI.

 Coordinar el funcionamiento mediante simulaciones en donde se puedan detectar

vulnerabilidades y riesgos no antes vistos, siendo con ello equiparado con los impactos
posibles , tomando las contramedidas correspondientes (disminuir o minimizar el riesgo)
arrojando el informe final o de evaluación de riesgos (según su tipo y causa)ya sea de
manera cualitativa o cuantitativa.

 Determinar el tipo de riesgo (s) que puede sufrir la gestión de comunicaciones y

operaciones en la organización bajo ciertos parámetros como la valoración (sub
clasificado en identificación, análisis y determinación de este) contando con la amplia

6
  participación de personas que intervienen en los procesos clave respecto a la operación y
comunicación en base a la gestión de TI, utilizando por ejemplo un mapa de riesgos
(consistiendo en un inventario de activos, que es la información misma) en conjunto con
sus descripciones y posibles consecuencias.

VI. Programa de Trabajo enfocado Sección Gestión de Comunicaciones y

Operaciones.

Programa de Trabajo
Auditoría a la Gestión de
Comunicaciones y Operaciones
Descripción de Actividades Fecha Participantes COBIT Sección
ISO 17799
1. Gestión de Inicio de Auditoría.

Se realiza el primer paso para gestionar la

auditoría a realizar a la empresa, constando lo
siguiente:

 Redacción de carta oficial. Secretaria de 8.4.1

 Revisión según parámetros (información) a Directorio
auditar.
 Envío de carta firmada y autorizada, Junta de 8.4.1
indicando supervisor encargado y equipo Directorio
de trabajo designado.
 Confirmación de envío de carta. Equipo de 8.4.1
 Carta de Resguardo. Auditoría 8.4.1
 Carta de Responsabilidad. 8.4.1

2. Obtención de Conocimiento.

En esta etapa se recopila la mayor cantidad de

antecedentes relevantes respecto a la empresa
que se va a auditar.

 Requerir las Actas de Directorio que Junta de 8.2.2

estipulen la autorización respecto de la Directorio
forma de gestión en cuanto a la operación Comité infor.
y comunicación de un sistema de TI.

 Pedir el Plan Informático a la gerencia Supervisor 8.2.2

respectiva, sino al comité de informática o Gerente 8.6.4
supervisor autorizado del área. 9.1

7
 Solicitar el respectivo Plan de Seguridad Administrador 8.1.3
en que refleje el costo – beneficio así como a cargo 8.2.1
la detección de riesgos en ámbitos de
estrategia – tecnología por cuanto a la
gestión de operación y comunicación.

 Formular informes y/o reportes en base a Administrador 8.4.3

métodos cualitativos o cuantitativos, que Analista SI
actúe a modo de datos estadísticos y
reflejen el correcto funcionamiento de la
gestión en base a un sistema TI y la
presentación de posibles fallas ya sean por
errores humanos o inherentes al sistema.

 Obtener información veraz, confiable y Departamento 8.1.6

real sobre contratistas o empresas externas Informática
que tenga relación con el manejo de
procesamiento de datos o intervención en
las dependencias internas.

 Conocer la existencia que el departamento Comité 8.1.4

informático cuente con un experto en Informática
asesorías informáticas ya sea que la Supervisor
empresa lo tenga propiamente tal o de
forma externa, para ser de apoyo en la
toma de decisiones claves en materias
como cambios posteriores o
modificaciones a la gestión
comunicacional y operativa del sistema TI.
3. Antecedentes Específicos.

Se obtienen los antecedentes de manera más

minuciosa, precisa y específica.

 Segregar funciones del personal en el área Secciones de 8.1.4

informática en base a desarrollo, pruebas, Instalación,
operación, instalación,etc, que impidan la desarrollo y
adulteración, eliminación, robo y otras prueba
intenciones respecto a mal utilizar el
sistema y sus aplicaciones

 Obtener antecedentes de cada trabajador en Analistas 8.1.3

las áreas informáticas y que sus Programadores 8.1.4
competencias correspondan al cargo Ingenieros
adecuado para el correcto manejo del Supervisor
sistema TI en incidentes causados y sus
funciones con la respectiva supervisión de

8
 un superior designado

 Poner a prueba los software que protegen Sección Redes 8.3.1

de troyanos, virus, phishing y otras
denominaciones virtuales en el sistema TI
a modo de obtener un resultado que pueda
medirse en términos de efectividad,
capacidad, cobertura, etc.

 Generar estadísticas respecto al sistema TI Comité 8.3.1

concerniente al software, hardware, Informática y
aplicaciones y cualquier otro medio Departamento
tecnológico que implique a futuro hacer Informática
modificaciones, cambios sustanciales o la
posibilidad de reemplazar definitivamente
las aplicaciones, debidamente aprobadas
por los altos mandos y el departamento de
Informática en conjunto.

 Contar con copias que permitan almacenar Sección 8.4.1

en un lugar seguro, confiable pero a la vez Soporte y
restringido (no cualquier persona acceda a Redes
él) respecto de los dispositivos digitales, la
información magnética y el contenido
confidencial (sala cero), en aspectos tanto
físicos, lógicos y ambiental (características
del lugar acordes con la información a
respaldar).

 Coordinar cada cierto tiempo (ej. 3 meses, Supervisor y 8.4.2

6 meses) una evaluación de desempeño empleados
que permita vislumbrar la correcta área
aplicación de buenas prácticas y mantener Informática
en permanente supervisión sobre quién
(es) intervienen en las distintas áreas del
sistema TI.
4. Antecedentes Legales.

Se refiere a las leyes vigentes o normativas en

que acoja la empresa para el cumplimiento y
aplicación de buenas prácticas.

 Acreditar referente a las aplicaciones, Sección 8.3.1

software, hardware y cualquier otro tipo de Soporte y
herramienta tecnológica – informática, sea Supervisor
respaldado con las respectivas licencias
vigentes y congruentes con constantes

9
 actualizaciones.

 Recopilar antecedentes tecnológicos sobre Comité 8.31

nuevas y posibles amenazas de virus Informática
informáticos, troyanos, suplantación tanto
de identidades como de páginas, etc, que
sean de fuentes fidedignas y veraces.
5. Información Complementaria.

Información que sirve de complemento para

efectuar la auditoría.

 Conocer derechos sobre quien (es) tienen Departamento 8.7.2

acceso a las claves o contraseñas y a de informática
quienes se le rinde cuenta del uso de estas
todo esto debe estar por escrito, autorizado
y en conocimiento de las personas que
tienen acceso o relacionadas al área
informática.
 Requerir información de los canales y la
accesibilidad de estos por los cuales viaja Departamento 8.7.2
la información y la estructura del de informática
almacenamiento.
 Requerir informes de controles preventivos
para la seguridad de las redes de Informática y
información, tanto para sus salidas como Departamento 8.5.1
entradas. Informática

6. Análisis de Información obtenida

Esto se desarrolla según la información antes

recopilada producto de los puntos anteriores.

7. Pruebas de cumplimiento

 Revisar y evaluar la segregacion del

personal de esta área, de qué manera se Secciones de 8.1.4
distribuyen sus actividades y como se Instalación,
evalúa si cada persona está cumpliendo desarrollo y
con sus objetivos, controles de seguridad, prueba
el funcionamiento y el buen manejo de las
aplicaciones.

10
 Revisar de qué manera se selecciona el Analistas
personal (habilidades, destreza, etc.) cuales Programadores 8.1.3
son las pruebas, requisitos que estos deben Ingenieros
cumplir y si estos cumplen con los Supervisor
requisitos para actuar frente a fallas
previstas o imprevistas.
Sección Redes 8.3.1

 Evaluar y revisar las pruebas que se le han

hecho al software para proteger a los
equipos e información de eventuales virus Analistas
que pueden dañar las redes y/o Programadores 8.4.3
información. Ingenieros
Supervisor
 Revisar los procedimientos de cambios y
mantenciones de redes e instalaciones
cuáles son las políticas que guían este
proceso (ya sea por fallas, obsolescencia, Supervisor y
vida útil, etc.) pasos a seguir en términos empleados 8.6.3
económicos, aprobación y de accesibilidad área
a los cambios. Informática

 Revisar y verificar si los manuales de

procedimientos y políticas de manejos de
información se encuentran actualizados y Departamento 8.6.3
en conocimiento de las personas que de informática
operan a través de estos.

 Revisar y evaluar los registros e informes

del personal operativos si cumplen con sus
tiempos y actividades, ya sea habituales o Empleados del 8.4.2
eventualidades que se pueden presentar y área
de qué manera estos solucionan estas. A la
vez revisar las evaluaciones a las cuales se
han sometido los trabajadores de las TI,
analizando qué medidas se han tomado
para mejorar esta situación.

 Analizar y evaluar que tipos de controles

que tienen para proteger el intercambio de Departamento 8.7.7
la información, que tan efectivos son y si de informática
llevan registros de fallas, qué medidas se
toman para protegerla.

 Revisar y evaluar si la capacidad de los Departamento 8.2.1

11
 equipos y las redes son las requeridas por de informática
la industria, para así garantizar el
funcionamiento en el futuro.

 Revisar y evaluar si los procedimientos de Empleados del 8.4

rutina para el resguardo de la información área
(copia de resguardo, restablecimiento
oportuno, monitoreo, etc.)son conocidos
por el personal que opera en esta área.

 Revisar y evaluar las políticas de uso del Departamento

correo electrónico, y si estas están en de informática 8.7.4.2
conocimientos de quienes utilizan estos
correos.

12