Escolar Documentos
Profissional Documentos
Cultura Documentos
UNIDAD CULHUACAN
TESINA
Seminario de Titulación:
“Auditoría de las Tecnologías de la Información y
Comunicaciones”
DES/ESIME-CUL 2009/38/10
TESINA
DEBERA DESARROLLAR:
YAZMIN MOSQUEDA JARAMILLO
EFREN RAMÍREZ AGUILAR
JOSÉ LUIS TAPIA MARTÍNEZ
IRAIS ELENA TORRES FLORES
JUDITH ORALIA YAÑEZ MORALES
En la presente tesina se aplica la auditoria informática a la Base de Datos en SQL del “Sistema
de Seguridad de Presas” de la CONAGUA basado en la metodología COBIT, con el fin de
dictaminar una recomendación para que dicho sistema siga las mejores prácticas orientadas en
la metodología antes mencionada.
CAPITULADO
AGRADECIMIENTOS
A mi padre, Efrén, que me dio todo lo necesario para llegar hasta este punto de mi
vida, gracias por brindarme el soporte, fortaleza y cariño todo este tiempo.
Gracias a los dos por realizar uno de mis objetivos más importante en mi
formación personal y por hacer de mi una persona con valores y principios.
Efrén
3
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Agradezco el apoyo que eh recibido de parte de mis padres, ya que ellos son la
parte fundamental de lograr esta carrera profesional, a mi padre Sergio que con su
esfuerzo y dedicación se volvió mi primer maestro y me enseño lo esencial para
forjar mi carrera, agradezco a mi madre Martha que en todo momento me
transmitió ese conjunto de conocimientos importantes para la vida.
Además de mis padres agradezco a mis hermanos por ser en todo momento el
ejemplo a seguir y ofrecer todo su esfuerzo a mis estudios así mismo brindarme la
ayuda y experiencia para completar mi camino por el aprendizaje.
A Judith por ser parte de mí, de mi vida, por estar siempre a mi lado en todo
momento y apoyarme para lograr mis metas y triunfos, así como de compartir los
buenos momentos de su vida y brindarme todo el amor, cariño y comprensión que
se puede dar.
José Luis
4
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
David: Por ser mi fortaleza y mi ejemplo Gracias por todo tu cariño, paciencia y
esfuerzo de toda la vida.
Lucia y Lázaro: Gracias por todo su apoyo y Gracias por su amable paciencia
Irais
5
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
A mis padres: Con la mayor gratitud por los esfuerzos realizados para que yo
lograra concluir mi carrera profesional, siendo para mí la mayor herencia.
A mi madre: que es el ser más maravilloso, gracias por el apoyo moral, cariño y
comprensión que siempre me has brindado y por siempre estar al pendiente de
todo lo que me sucede, Te amo.
A mi padre: porque desde niña ha sido para mí un gran hombre maravilloso que
siempre he admirado, por darme siempre lo necesario para seguir adelante y guiar
mi camino con sabiduría.
A mi hermano: Gracias por guiar mi vida con energía, buenos consejos, por tus
sugerencias y opiniones. Además de ser un buen amigo y un gran ejemplo para
mí, eres la mejor compañía para compartir el mismo techo.
A mis amigos: Valente, Oswaldo, Edgar, Moni, y Erika por compartir tantas
aventuras, experiencias, desveladas y triunfos, por apoyarme con su enorme
amistad, alegría y comprensión en los momentos más importantes de mi vida
convirtiéndose para mí en personas muy importantes en ella.
A Luis: Por tu apoyo, comprensión y amor que me permite sentir poder lograr lo
que me proponga. Gracias por escucharme, y por el cariño que me has brindado
así como todos los momentos compartidos. Gracias por ser parte de mi vida.
Judith
6
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Agradezco a Dios: Por darme llenarme de luz para guiar mi camino, la fortaleza
para salir de los obstáculos que se presentaba y convirtiéndolo en experiencias,
sobre todo muchas gracias por darme brindarme una familia hermoso que a pesar
de no ser perfecta es lo más valioso que tengo.
Agradezco a mi Madre: Por todo el apoyo y el amor que me has dado durante
toda mi vida, mil gracias por toda esa paciencia y esfuerzo que has puesto en
este camino, gracias por creer en mí, enseñándome que en la vida es de una
constante lucha, de esfuerzo y dedicación para lograr nuestras metas. Te amo
Agradezco a mis Amigos: Por todo ese apoyo y momentos vividos juntos,
agradezco a Dios que los puso en mi camino, mil gracias a todos ya que de cada
uno de ustedes he aprendido y me han enriquecido como persona, recuerden que
los llevo en mi corazón. Los quiero mucho
7
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ÍNDICE
AGRADECIMIENTOS _______________________________________________________ 3
CAPÍTULO I INTRODUCCIÓN A LA AUDITORÍA _________________________________ 12
1.1 ANTECEDENTES ________________________________________________________ 12
1.2 CONCEPTO DE AUDITORÍA _______________________________________________ 13
1.3 CLASES DE AUDITORÍA ______________________________________________________ 14
1.3.2 Auditoría Externa ______________________________________________________________ 15
1.4 FASES DE LA AUDITORÍA ____________________________________________________ 15
1.4.1 PLANEACIÓN _________________________________________________________________ 16
1.4.2 EJECUCIÓN ___________________________________________________________________ 16
1.4.3 INFORME FINAL _______________________________________________________________ 17
1.5 CONTROL INTERNO INFORMÁTICO ____________________________________________ 18
1.6 AUDITORÍA INFORMÁTICA ___________________________________________________ 18
1.6.1 Funciones de un auditor informático ______________________________________________ 18
1.7 AUDITORÍA EN LAS BASES DE DATOS __________________________________________ 20
1.7.1 Concepto de Auditoría de la base de datos __________________________________________ 20
1.7.2 Técnicas para el control de base de datos en un entorno complejo ______________________ 20
CAPÍTULO II BASE DE DATOS _______________________________________________ 22
2.1 CONCEPTO DE UNA BASE DE DATOS ___________________________________________ 22
2.2 OBJETIVOS DE UNA BASE DE DATOS. __________________________________________ 22
2.3 COMPONENTES DE UNA BASE DE DATOS _______________________________________ 22
2.4 CARACTERÍSTICAS DE UNA BASE DE DATOS _____________________________________ 23
2.5 TIPOS DE DATOS QUE INTEGRAN UNA BASE DE DATOS ___________________________ 24
2.6 TIPOS DE BASES DE DATOS __________________________________________________ 24
2.6.1 BASES DE DATOS ESTÁTICAS _____________________________________________________ 25
2.6.2 BASES DE DATOS DINÁMICAS ____________________________________________________ 25
2.6.3 BASES DE DATOS BIBLIOGRÁFICAS ________________________________________________ 25
2.6.4 BASE DE DATOS DE TEXTO COMPLETO _____________________________________________ 25
2.6.5 BASE DE DATOS DISTRIBUIDA ____________________________________________________ 25
2.7 TIPOS DE RESTRICCIONES EN UNA BASE DE DATOS _______________________________ 26
2.8 RESTRICCIONES DE INTEGRIDAD ______________________________________________ 27
2.9 CONCEPTO DE CIFRADO EN UNA BASE DE DATOS ________________________________ 28
2.10 TIPOS DE CIFRADO ________________________________________________________ 29
2.10.1 CIFRADO DE BLOQUE __________________________________________________________ 29
8
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
2.11 CONCEPTO DE UN SISTEMA GESTOR DE BASE DE DATOS _________________________ 29
2.12 FUNCIONES PRINCIPALES DE UN SISTEMA GESTOR DE BASE DE DATOS _____________ 29
2.13 PROGRAMAS QUE INTEGRAN UN SISTEMA GESTOR DE BASE DE DATOS _____________ 30
2.13.1 LENGUAJE DE DEFINICIÓN DE DATOS (DDL Data Definition Language) ___________________ 30
2.13.2 LENGUAJES DE MANIPULACIÓN DE DATOS _________________________________________ 30
2.14 COMPONENTES DE UN SISTEMA GESTOR DE BASE DE DATOS _____________________ 31
2.15 LOGS DE AUDITORÍA DE UNA BASE DE DATOS __________________________________ 32
2.16 DEFINICIÓN DE UNA ESTAMPA DE TIEMPO DE UNA BASE DE DATOS________________ 34
CAPITULO III METODOLOGÍAS DE ANÁLISIS DE RIESGOS _________________________ 35
3.1 CONCEPTO DE ANÁLISIS DE RIESGOS __________________________________________ 35
3.2 METODOLOGÍA EN AUDITORÍA INFORMÁTICA __________________________________ 35
3.3 METODOLOGÍA TRADICIONAL PARA AUDITORÍA DE LA BASE DE DATOS ______________ 36
3.4 METODOLOGÍA COBIT ______________________________________________________ 36
3.5 RECURSOS DE TI ___________________________________________________________ 45
3.6 DOMINIOS ________________________________________________________________ 46
3.6.1 PLANEAR Y ORGANIZAR (PO) _____________________________________________________ 46
3.6.2 ADQUIRIR E IMPLEMENTAR (AI) __________________________________________________ 46
3.6.3 ENTREGAR Y DAR SOPORTE (DS) __________________________________________________ 47
3.6.4 MONITOREAR Y EVALUAR (ME) ___________________________________________________ 47
3.7 MODELOS DE MADUREZ ____________________________________________________ 47
3.8 OBJETIVOS DE CONTROL EMPLEADOS PARA LA AUDITORÍA ________________________ 56
3.8.1 PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI ___________________________________ 56
3.8.2 AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO__________________________________ 56
3.8.3 DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES ___________________________ 61
3.8.4 DS11 ADMINISTRACIÓN DE DATOS ________________________________________________ 63
3.8.5 DS13 ADMINISTRACIÓN DE OPERACIONES __________________________________________ 64
CAPÍTULO IV AUDITORÍA A LA BASE DE DATOS DEL "SISTEMA DE SEGURIDAD DE
PRESAS" DE LA CONAGUA _________________________________________________ 66
4.1 MISIÓN DE LA EMPRESA ____________________________________________________ 68
4.2 VISIÓN DE LA EMPRESA _____________________________________________________ 68
4.3 ESTADO ACTUAL DEL SISTEMA DE SEGURIDAD DE PRESAS _________________________ 69
4.3.1 Antecedentes _________________________________________________________________ 69
4.3.2 Descripción del Servicio _________________________________________________________ 69
9
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
4.4 PROBLEMÁTICA RESUELTA POR EL SISTEMA ____________________________________ 69
4.5 OBJETIVO DEL SISTEMA _____________________________________________________ 70
4.6 ALCANCE DEL SISTEMA ______________________________________________________ 70
4.7 BENEFICIOS _______________________________________________________________ 71
4.8 CARACTERÍSTICAS PRINCIPALES ______________________________________________ 71
4.9 BASE DE DATOS: ___________________________________________________________ 73
4.9.1 VINCULACIÓN Y CLASIFICACIÓN DE ARCHIVOS. ______________________________________ 73
4.9.2 REPORTES ____________________________________________________________________ 74
4.9.3 FORMATOS ___________________________________________________________________ 74
4.9.4 SEGURIDAD __________________________________________________________________ 74
4.9.5 MÓDULOS ___________________________________________________________________ 74
4.9.6 SERVICIOS ____________________________________________________________________ 74
4.10 CONSIDERACIONES GENERALES _____________________________________________ 75
4.11 CARACTERÍSTICAS TÉCNICAS ________________________________________________ 77
4.12 AUDITORÍA EN LA BASE DE DATOS DEL SISTEMA DE SEGURIDAD DE PRESAS _________ 77
4.12.1 Aspectos generales de su elaboración ____________________________________________ 77
4.12.2 Objetivo ____________________________________________________________________ 77
4.12.3 Objetivos específicos __________________________________________________________ 78
4.13 PROBLEMÁTICA __________________________________________________________ 78
4.14 ALCANCE ________________________________________________________________ 78
4.15 JUSTIFICACIÓN ___________________________________________________________ 78
4.16 PLANEACIÓN _____________________________________________________________ 79
4.17 CRONOGRAMA DE ACTIVIDADES ____________________________________________ 80
4.18 PRESENTACIÓN DE ACTIVIDADES Y OBJETIVOS. _________________________________ 80
4.19 EJECUCIÓN DE LA AUDITORÍA. _______________________________________________ 81
4.19.1 Aspectos generales de su elaboración ____________________________________________ 81
4.20 HALLAZGOS ______________________________________________________________ 83
4.21 ANÁLISIS DE RIESGOS (CHECKLIST) ___________________________________________ 84
4.22 MAPA DE RIESGOS ________________________________________________________ 85
4.23 CIERRE DE LA AUDITORÍA ___________________________________________________ 86
4.24 MODELO DE MADUREZ ____________________________________________________ 86
4.25 RECOMENDACIONES ______________________________________________________ 87
10
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
11
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
1.1 ANTECEDENTES
12
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Objetivo: Objetivo:
13
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
14
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Objetivo
Los controles pueden implantarse a varios niveles, por lo que se requiere analizar
diversos elementos interdependientes para llegar a conocer bien la configuración
del sistema, con el objeto de identificar los elementos, productos y herramientas
que existen para saber dónde pueden implantarse los controles, así como
identificar posibles riesgos, Figura 1.1.
15
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
1.4.1 PLANEACIÓN
1.4.2 EJECUCIÓN
16
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
El informe lleva una visión rápida de los aspectos previamente realizados, en los
cuales se redactan en el Informe de Auditoría Informática, esto es la comunicación
del Auditor informático, al cliente de manera formal teniendo como puntos
principales:
Objetivo
Periodo de cobertura
Extensión del trabajo realizado
Resultados y
Conclusiones
1. Identificación del Informe: Título del informe que deberá identificarlo con
objeto de distinguirlo de otros informes.
2. Identificación del cliente: Deberá identificarse a los destinatarios y a las
personas que efectúen el encargo.
3. Identificación de la entidad auditada: Identificación de la entidad con
objeto de la Auditoría Informática.
4. Objetivos de la Auditoría Informática Declaración de los objetivos de la
auditoría para identificar su propósito señalando los objetivos cumplidos.
5. Normativa aplicada y excepciones: Identificación de las normas legales y
profesionales utilizadas, así como las excepciones significativas de uso y el
posible impacto en los resultados de la auditoría.
6. Alcance de la Auditoría: Concretar la naturaleza y extensión del trabajo
realizado: área organizativa, periodo de auditoría, sistemas de información,
señalando limitaciones al alcance y restricciones del auditado.
7. Conclusiones: Informe corto de opinión.
17
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
18
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
19
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Las bases de datos se han constituido como una herramienta más ampliamente
difundida por la sociedad de la información, utilizadas como un almacenamiento
de información en todos los campos, científica, social, económica, cultural y
político. El uso de estos sistemas automatizados se desarrollo a partir de la
necesidad de almacenar grandes cantidades de datos, para su posterior
consulta, producidas por las
El SGBD influyen en la seguridad e integridad de los datos, en los que cada uno
se apoya en la operación correcta y predecible de otros, el efecto es debilitar la
seguridad global del sistema, reduciendo la fiabilidad e introduciendo un conjunto
de controles descoordinados y difíciles de gestionar.
La dirección de la empresa tiene, por tanto la responsabilidad fundamental por lo
que se refiere a la coordinación de los distintos elementos y a la aplicación
consistente de los controles de seguridad. Para llevar a cabo esta labor se deben
fijar claramente las responsabilidades sobre los diferentes componentes, utilizar
informes de excepción efectivos que permitan monitorizar los controles, establecer
20
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
21
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Hardware. Es el conjunto de dispositivos físicos sobre los que reside una base de
datos. Pueden usarse mainframes o minicomputadoras para soportar acceso a
varios usuarios, o computadoras personales que se utilizan con bases de datos
autónomas controladas por un usuario único. Hay que señalar también que las
unidades de disco son el mecanismo de almacenamiento principal para las bases
de datos.
Datos. Los datos tienen que ser cuidadosa y lógicamente estructurados y deben
almacenarse de manera precisa en el diccionario de datos.
22
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
INTEGRIDAD
SEGURIDAD
REDUNDANCIA MÍNIMA
COMPARTIR INFORMACIÓN
23
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
datos en los archivos por separado. A este concepto de combinar los datos
para un uso común se le llama integración de datos.
Entre diferentes niveles de usuarios. Se pueden distinguir 3 niveles de
usuarios: personal, mandos intermedios y ejecutivos. Estos niveles se
corresponden con los 3 diferentes tipos de automatización de los sistemas
de negocios: procesamiento electrónico de datos (PED), sistemas de
información de gestión (MIS) y sistemas de apoyo a la toma de decisiones
(STD).
DATOS DECLARATIVOS
Los datos declarativos describen aspectos estáticos de objetos del mundo real y
sus asociaciones. Históricamente, los datos contenidos en un sistema de Base de
Datos han sido datos declarativos.
Ejemplo:
Un archivo de cuentas corrientes.
Un archivo de personal.
DATOS PROCEDURALES
Los datos procedurales describen los aspectos dinámicos de los objetos del
mundo real y sus asociaciones.
Ejemplo:
Un conjunto de reglas de descripción de toma de decisiones sobre que stocks y
límites se eligen para abastecer un depósito.
Cuando se almacenan ambos tipos de datos, declarativos y procedurales, la BD
suele denominarse base de conocimiento.
24
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Almacenan las fuentes primarias, como por ejemplo, todo el contenido de todas
las ediciones de una colección de revistas científicas.
Cada uno de los procesadores que integran dicho sistema se conoce con el
nombre de localidad o nodo, y por lo tanto la información va a estar distribuida en
las distintas localidades y no en una sola localidad, que es lo que ocurre con las
bases de datos centralizadas.
25
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Cada localidad tiene una base de datos local aunque la información que se
necesite puede provenir tanto de la base de datos local como de otras localidades,
lo que se conoce como transacciones locales o transacciones globales
respectivamente.
1. entidades,
2. relaciones entre entidades, y
3. atributos de entidades.
Las entidades son tipos básicos o clases de objetos del mundo real que deben ser
modelados.
26
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Dentro del SBD, una restricción de integridad que se aplica a las relaciones es el
control de cardinalidad, que especifica una de las siguientes dos posibilidades:
27
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
28
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
El cifrado de bloque debería ser usado cuando los usuarios requieren acceso a
sólo una parte de un archivo.
El cifrado de bloque opera sobre bloques de datos individuales, y difiere del cifrado
stream, en la cual los valores criptográficos de un bloque de datos dependen de
los valores de otros bloques de datos. El cifrado de bloque debería ser usado
cuando los usuarios requieren acceso a sólo una parte de un archivo.
El cifrado Stream es útil para transferir archivos enteros entre dos usuarios, es útil
para transferir archivos enteros entre dos usuarios.
29
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
30
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
31
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
32
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Como resultado, los logs de auditoría deben permitir una de dos alternativas:
Implosión: cada transacción puede ser trazada desde su fuente al ítem de dato
que afecta.
34
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
35
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
numérico. Están diseñadas para producir una lista de riesgos que pueden
compararse entre sí con facilidad por tener asignados unos valores numéricos.
Estos valores son datos de probabilidad de ocurrencia de un evento que se debe
extraer de un riesgo de incidencias donde el número de incidencias tiende al
infinito.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un
proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede
excluir riesgos significantes desconocidos (depende de la capacidad del
profesional para usar el check-list/guía). Basadas en métodos estadísticos y lógica
borrosa, que requiere menos recursos humanos / tiempo que las metodologías
cuantitativas.
Ventajas:
Enfoque lo amplio que se desee.
Plan de trabajo flexible y reactivo.
Se concentra en la identificación de eventos.
Desventajas
Depende fuertemente de la habilidad y calidad del personal
involucrado.
Identificación de eventos reales más claros al no tener que
aplicarles probabilidades complejas de calcular.
Dependencia profesional.
36
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Para descargar estas responsabilidades, así como para lograr sus objetivos, la
dirección debe entender el estatus de su arquitectura empresarial para la TI y
decidir qué tipo de gobierno y de control debe aplicar.
Pero, ¿cómo puede la empresa poner bajo control la TI de tal manera que genere
la información que la empresa necesita? ¿Cómo puede administrar los riesgos y
asegurar los recursos de TI de los cuales depende tanto? ¿Cómo puede la
empresa asegurar que TI logre sus objetivos y soporte los del negocio?
38
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Metas de actividades para controlar estos procesos, con base en los objetivos de
control detallados de COBIT
39
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Los productos COBIT se han organizado en tres niveles (figura 3.3) diseñados
para dar soporte a:
40
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
MARCO DE TRABAJO
Cada vez más, la alta dirección se está dando cuenta del impacto significativo que
la información puede tener en el éxito de una empresa.
41
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Orientado al negocio
43
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
La Figura 3.5 ilustra como la estrategia de la empresa se debe traducir por parte
del negocio en objetivos para su uso de iniciativas facilitadas por TI (Las metas de
negocio para TI).
Estos objetivos a su vez, deben conducir a una clara definición de los propios
objetivos de la TI (las metas de TI), y luego éstas a su vez definir los recursos y
capacidades de TI (la arquitectura empresarial para TI) requeridos para ejecutar
de forma exitosa la parte que le corresponde a TI de la estrategia empresarial.
Todos estos objetivos se deben expresar en términos de negocios significativos
para el cliente, y esto, combinado con una alineación efectiva de la jerarquía de
objetivos, asegurará que el negocio pueda confirmar que TI puede, con alta
probabilidad, dar soporte a las metas del negocio.
Una vez que las metas alineadas han sido definidas, requieren ser monitoreadas
para garantizar que la entrega cumple con las expectativas. Esto se logra con
métricas derivadas de las metas y capturadas en scorecard de TI que el cliente
pueda entender y seguir, y que permita al proveedor enfocarse en sus propios
objetivos internos.
44
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
3.5 RECURSOS DE TI
Para responder a los requerimientos que el negocio tiene hacia TI, la empresa
debe invertir en los recursos requeridos para crear una capacidad técnica
adecuada (ej., un sistema de planeación de recursos empresariales) para dar
soporte a la capacidad del negocio (ej., implementando una cadena de suministro)
que genere el resultado deseado (ej., mayores ventas y beneficios financieros).
Procesos orientados
45
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
3.6 DOMINIOS
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la
manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del
negocio. Además, la realización de la visión estratégica requiere ser planeada,
comunicada y administrada desde diferentes perspectivas. Finalmente, se debe
implementar una estructura organizacional y una estructura tecnológica apropiada.
Cada vez con más frecuencia, se les pide a los directivos de empresas
corporativas y públicas que se considere qué tan bien se está administrando TI.
47
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Comenzando con los procesos y los objetivos de control de alto nivel de COBIT, el
propietario del proceso se debe poder evaluar de forma progresiva, contra los
objetivos de control.
Cualquiera que sea el modelo, las escalas no deben ser demasiado granulares, ya
que eso haría que el sistema fuera difícil de usar y sugeriría una precisión que no
es justificable debido a que en general, el fin es identificar dónde se encuentran
los problemas y cómo fijar prioridades para las mejoras.
48
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Los niveles de madurez están diseñados como perfiles de procesos de TI que una
empresa reconocería como descripciones de estados posibles actuales y futuros.
Para hacer que los resultados sean utilizables con facilidad en resúmenes
gerenciales, donde se presentarán como un medio para dar soporte al caso de
negocio para planes futuros, se requiere contar con un método gráfico de
presentación (figura 3.6).
49
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Aunque una capacidad aplicada de forma apropiada reduce los riesgos, una
empresa debe analizar los controles necesarios para asegurar que el riesgo sea
50
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Estos controles son dirigidos por los objetivos de control de COBIT. El apéndice III
brinda un modelo de madurez para el control interno que ilustra la madurez de una
empresa con respecto al establecimiento y desempeño del control interno.
El modelo de madurez es una forma de medir qué tan bien están desarrollados los
procesos administrativos, esto es, qué tan capaces son en realidad.
51
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Estos atributos se pueden usar para una evaluación más integral, para un análisis
de brechas y para la planeación de mejoras.
52
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Conciencia y comunicación Políticas, estándares y Herramientas y automatización Habilidades y experiencia Responsabilidad y rendición de Establecimiento y medición de
procedimientos cuentas metas
1 Surge el reconocimiento de la Existen enfoques ad hoc hacia los Pueden existir algunas herramientas; No están definidas las habilidades No existe definición de Las metas no están claras y no
necesidad del proceso procesos y las prácticas el uso se basa en herramienta requeridas para el proceso responsabilidades y de rendición de existen las mediciones.
estándar de escritorio cuentas. Las personas toman la
Existe comunicación esporádica de Los procesos y las prácticas no están No existe un plan de entrenamiento y propiedad de los problemas con base
los problemas. definidos No existe un enfoque planeado para no hay entrenamiento formal en su propia iniciativa de manera
el uso de herramientas reactiva.
2 Existe conciencia de la necesidad Surgen procesos similares y Existen enfoques comunes para el Se identifican los requerimientos Un individuo asume su Existen algunas metas; se
de actuar comunes pero en su mayoría son uso de herramientas pero se basan mínimos de habilidades para áreas responsabilidad, y por lo general establecen algunas mediciones
intuitivos y parten de la experiencia en soluciones desarrolladas por críticas debe rendir cuentas aún si esto no financieras pero solo las conoce la
La gerencia comunica los problemas individual individuos clave. está acordado de modo formal. alta dirección. Hay monitoreo
generales Se da entrenamiento como respuesta Existe confusión acerca de la inconsistente en áreas aisladas.
Algunos aspectos de los procesos Pueden haberse adquirido a las necesidades, en lugar de responsabilidad cuando ocurren
son repetibles debido a la herramientas de proveedores, pero hacerlo con base en un plan problemas y una cultura de culpas
experiencia individual, y puede existir probablemente no se aplican de acordado. Existe entrenamiento tiende a existir.
alguna documentación y forma correcta o incluso no usarse. informal sobre la marcha.
entendimiento informal de las
políticas y procedimientos
3 Existe el entendimiento de la Surge el uso de buenas prácticas Existe un plan para el uso y Se definen y documentan los La responsabilidad y la rendición de Se establecen algunas mediciones y
necesidad de actuar estandarización de las herramientas requerimientos y habilidades para cuentas sobre los procesos están metas de efectividad, pero no se
Los procesos, políticas y para automatizar el proceso todas las áreas. definidas y se han identificado a los comunican, y existe una relación
La gerencia es más formal y procedimientos están definidos y propietarios de los procesos de clara con las metas del negocio.
estructurada en su comunicación documentados para todas las Se usan herramientas por su Existe un plan de entrenamiento negocio. Es poco probable que el Surgen los procesos de medición
actividades clave propósito básico, pero pueden no formal pero todavía se basa en propietario del proceso tenga la pero no se aplican de modo
estar de acuerdo al plan acordado, y iniciativas individuales autoridad plena para ejercer las consistente. Se adoptan ideas de un
pueden no estar integradas entre sí responsabilidades. balanced scorecard de TI así como la
aplicación intuitiva ocasional de
análisis de causas raíz.
4 Hay entendimiento de los El proceso es sólido y completo; se Se implantan las herramientas de Los requerimientos de habilidades se Las responsabilidades y la rendición La eficiencia y la efectividad se
requerimientos completos aplican las mejores prácticas acuerdo a un plan estándar y algunas actualizan rutinariamente para todas de cuentas sobre los procesos están miden y comunican y están ligadas a
internas. se han integrado con otras las áreas, se asegura la capacidad aceptadas y funcionan de modo que las metas del negocio y al plan
Se aplican técnicas maduras de herramientas relacionadas para todas las áreas críticas y se se permite al propietario del proceso estratégico de TI. Se implementa el
comunicación y se usan Todos los aspectos del proceso fomenta la certificación descargar sus responsabilidades. balanced scorecard de TI en algunas
herramientas estándar de están documentados y son Se usan herramientas en las Se aplican técnicas maduras de Existe una cultura de recompensas áreas, con excepciones conocidas
comunicación repetibles. La dirección ha terminado principales áreas para automatizar la entrenamiento de acuerdo al plan y que activa la acción positiva. por la gerencia y se está
y aprobado las políticas. Se adoptan administración del proceso y se fomenta la compartición del estandarizando el análisis de causas
y siguen estándares para el monitorear las actividades y controles conocimiento. Todos los expertos raíz. Surge la mejora continua.
desarrollo y mantenimiento de críticos internos están involucrados y se
procesos y procedimientos. evalúa la efectividad del plan de
entrenamiento.
5 Existe un entendimiento avanzado Se aplican las mejores prácticas y Se usan juegos de herramientas La organización fomenta de manera Los propietarios de procesos tienen Existe un sistema de medición de
y a futuro de los requerimientos estándares externos estandarizados a lo largo de la formal la mejora continua de las la facultad de tomar decisiones y desempeño integrado que liga al
empresa. habilidades, con base en metas medidas. La aceptación de la desempeño de TI con las metas del
Existe una comunicación proactiva La documentación de procesos ha personales y organizacionales responsabilidad ha descendido en negocio por la aplicación global del
de los problemas, basada en las evolucionado a flujos de trabajo Las herramientas están claramente definidas. cascada a través de la organización balanced scorecard de TI. La
tendencias, se aplican técnicas automatizados. Los procesos, las completamente integradas con otras de forma consistente. dirección nota las excepciones de
maduras de comunicación y se usan políticas y los procedimientos están herramientas relacionadas para El entrenamiento y la educación dan forma global y consistente y el
herramientas integradas de estandarizados e integrados para permitir un soporte integral de los soporte a las mejores prácticas análisis de causas raíz se aplica. La
comunicación permitir una administración y mejoras procesos. externas y al uso de conceptos y mejora continua es una forma de
integrales técnicas de vanguardia. La vida.
Se usan las herramientas para dar compartición del conocimiento es
soporte a la mejora del proceso y parte de la cultura empresarial y se
detectar de forma automática las implementan sistemas basados en
excepciones de control conocimiento. Se usan a expertos
externos y a líderes de la industria
como guía.
53
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Para resumir, los recursos de TI son manejados por procesos de TI para lograr
metas de TI que respondan a los requerimientos del negocio. Este es el principio
básico del marco de trabajo COBIT, como se ilustra en el cubo COBIT (Figura 3.8)
54
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
55
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del
negocio. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada
de controles aplicativos y requerimientos de seguridad, y el desarrollo y la
configuración en sí de acuerdo a los estándares. Esto permite a las
56
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
57
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
58
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
59
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Modelo de Madurez
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
La administración del proceso de Garantizar la seguridad de los sistemas
que satisfaga el requerimiento de negocio de TI de mantener la integridad de
la información y de la infraestructura de procesamiento y minimizar el
impacto de vulnerabilidades e incidentes de seguridad es:
0 No-existente cuando La organización no reconoce la necesidad de la seguridad
para TI. Las responsabilidades y la rendición de cuentas no están asignadas para
garantizar la seguridad. Las medidas para soportar la administrar la seguridad de
TI no están implementadas. No hay reportes de seguridad de TI ni un proceso de
respuesta para resolver brechas de seguridad de TI. Hay una total falta de
procesos reconocibles de administración de seguridad de sistemas.
1 Inicial/Ad Hoc cuando La organización reconoce la necesidad de seguridad
para TI. La conciencia de la necesidad de seguridad depende principalmente del
individuo. La seguridad de TI se lleva a cabo de forma reactiva. No se mide la
seguridad de TI. Las brechas de seguridad de TI ocasionan respuestas con
acusaciones personales, debido a que las responsabilidades no son claras. Las
respuestas a las brechas de seguridad de TI son impredecibles.
2 Repetible pero intuitivo cuando Las responsabilidades y la rendición de
cuentas sobre la seguridad, están asignadas a un coordinador de seguridad de TI,
pero la autoridad gerencial del coordinador es limitada. La conciencia sobre la
necesidad de la seguridad esta fraccionada y limitada. Aunque los sistemas
producen información relevante respecto a la seguridad, ésta no se analiza. Los
servicios de terceros pueden no cumplir con los requerimientos específicos de
seguridad de la empresa. Las políticas de seguridad se han estado desarrollando,
pero las herramientas y las habilidades son inadecuadas. Los reportes de la
seguridad de TI son incompletos, engañosos o no aplicables. La capacitación
sobre seguridad está disponible pero depende principalmente de la iniciativa del
individuo. La seguridad de TI es vista primordialmente como responsabilidad y
disciplina de TI, y el negocio no ve la seguridad de TI como parte de su propia
disciplina.
3 Proceso definido cuando Existe conciencia sobre la seguridad y ésta es
promovida por la gerencia. Los procedimientos de seguridad de TI están definidos
y alineados con la política de seguridad de TI. Las responsabilidades de la
seguridad de TI están asignadas y entendidas, pero no continuamente
implementadas. Existe un plan de seguridad de TI y existen soluciones de
seguridad motivadas por un análisis de riesgo. Los reportes no contienen un
enfoque claro de negocio. Se realizan pruebas de seguridad adecuadas (por
ejemplo, pruebas contra intrusos). Existe capacitación en seguridad para TI y para
el negocio, pero se programa y se comunica de manera informal.
60
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
61
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
62
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
63
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Y se mide con
64
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
65
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Por otra parte, considera que el uso sustentable del agua se logra cuando se
cumplen los aspectos siguientes:
66
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
1. Oficinas Centrales
2. Organismos de Cuenca.
3. Direcciones Locales
67
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Además, los Organismos de Cuenca son el vínculo con los Gobernadores de las
entidades donde se ubican.
Por lo que se refiere a las Direcciones Locales, éstas tienen la importante labor de
aplicar las políticas, estrategias, programas y acciones de la Comisión en las
entidades federativas que les corresponden
68
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
4.3.1 Antecedentes
La Gerencia del Consultivo Técnico de la Comisión Nacional del Agua, cuenta con
una herramienta la cual les permite informar y actualizar cada uno de los registros
de la información que se deriva de las inspecciones que se realizan
periódicamente a cada una de las presas del país.
Esta ocasiona que los datos generados puedan tener un alto margen de error y
que el proceso de captura, validación y publicación sea complejo y lento con
información muy inconsistente de las características de las presas en México.
69
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
El sistema permite:
70
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
4.7 BENEFICIOS
Una sola Base de Datos de Información centralizada para todos los Organismos
de Cuenca, Direcciones Locales y Oficinas Centrales para un control efectivo de la
información.
71
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
7) Perfil de usuarios:
72
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
73
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
4.9.2 REPORTES
Grandes Presas
Datos Generales de Presa
De impresión de Presas
Reportes Estadísticos (3)
Reportador dinámico
4.9.3 FORMATOS
Para Registro de Presas
De inspección de Presas
4.9.4 SEGURIDAD
Acceso al sistema (Directorio activo)
Perfiles
Administrador
Administrador Local
Captura (Inspecciones)
Consulta de datos generales (Usuario CNA)
4.9.5 MÓDULOS
Consulta
Georeferenciación
Inspección
Reportes
4.9.6 SERVICIOS
Manuales
74
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Genera una herramienta que permite realizar altas bajas y cambios de las tablas,
campos e información asociada a la base de datos.
75
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
76
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
El sistema está desarrollado en VB. NET 2005 a 32 bits con el Framework 2.0 o
superior y debe utilizar IIS 6.0 o superior como servidor Web.
El sistema debe ser desarrollado en tecnología Web con una Base de Datos
centralizada, no se aceptara ningún modulo Cliente-Servidor.
Las licencias de SQL Server 2005 y Windows Server 2003 para el servidor en
producción serán provistos por la CONAGUA, cualquier licencia diferente a las
anteriores será responsabilidad del prestador de servicios y deberá proporcionar a
la CONAGUA una licencia corporativa de uso sin costo adicional.
4.12.2 Objetivo
77
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
4.13 PROBLEMÁTICA
4.14 ALCANCE
4.15 JUSTIFICACIÓN
Al realizar dicha auditoria tendremos como resultado, disminuir las incidencias que
surgieran en la aplicación, de esta forma, ayudar a que la aplicación opere de
forma eficiente, tomando como referencia COBIT para elaboración del checklist.
4.16 PLANEACIÓN
Una vez realizado lo anterior el equipo se dispone a hacer las entrevistas con el
personal del área encargada, se le entrega un oficio indicando lo anteriormente
señalado y la carta de aceptación para la realización de la auditoria, esto es para
darle formalidad, cumplimiento a lo establecido y no haya malentendidos con la
empresa.
Entrevista
Checklist
Oficio de Requerimientos
Hallazgos
79
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Pruebas
Análisis de Riesgos
Por último la Presentación del informe ejecutivo, donde se describen los impactos
y las recomendaciones para minimizar los riesgos encontrados.
CARTA DE ACEPTACIÓN:
80
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
1. Entrevistas,
2. Checklist,
3. Carta de requerimientos,
4. Hallazgos,
5. Pruebas y
6. Análisis de riesgos.
Esto fue para una mayor comprensión y un mejor resultado en el informe final, ya
que se describe a manera de detalle cada aspecto de lo que se realizo siguiendo
el cronograma de actividades.
Para esta etapa de la auditoria se ocuparon diversos formatos para darle una
mejor presentación, comprensión y profesionalismo, en cada uno de ellos se
describe detalladamente lo que se realizo dentro de la auditoria y el significado del
por qué se opto por seguir ese camino.
2. Checklist. Este actividad, es una de las más importantes para llevar a cabo
la auditoria, ya que aplicándolo nos mostrara una visión más detallada de
81
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
82
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
4.20 HALLAZGOS
Esta actividad tiene como objetivo principal el dar a conocer los errores,
vulnerabilidades, riesgos y cualquier otra anomalía que haya sido detectada en el
análisis de riesgos, con esto se asegura que se tengan bien presentes todos los
puntos que tuvieran un gran impacto o que interfirieran con las actividades diarias
del sistema.
Nuestro análisis de riesgos detecto 11 riesgos, por lo tanto y por lógica los riesgos
se transforman en 11 hallazgos los cuales se plasman en un formato indicando el
riesgo y que objetivo de control no se está cumpliendo, cada hallazgo pasa por un
proceso de reconocimiento y análisis, se identifican las causas, que son las
amenazas de cada riesgo, también se identifica el impacto, que es el riesgo
ocasionado por el hallazgo y por último la recomendación, que es una posible
solución al problema, este último se llena al final de la auditoria en la actividad de
recomendaciones.
83
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
El checklist elaborado por el equipo auditor partía de manera muy precisa de los
puntos señalados en el alcance, logrando que se siguiera por el camino de las
buenas prácticas de COBIT, a manera de lista se fueron revisando los cuatro
dominios y de ahí solos se tomaron los procesos con sus respectivos objetivos de
control que cubrieran los aspectos que pretendíamos evaluar y que a nuestra
consideración, podrían darnos información relevante y nos permitirían tener una
visión del sistema y sus problemas con mayor detalle.
1. Dominio de COBIT,
2. Proceso del dominio,
3. Checklist (realizado con objetivos de control de cada proceso de COBIT);
1. SI
2. NO
3. NO APLICA (en caso de que no estuviera dentro de contexto la pregunta)
En donde se responderían cada una de las preguntas según fuera el caso y por
ultimo una columna de observaciones (Anexo 10).
84
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Total de preguntas 55
Resp Afirmativas 39
Resp. Negativas 11
No aplican 5
A pesar de que nuestro resultado fue positivo ya que la mayoría de las preguntas
son afirmativas, las resultantes negativas tenían un gran impacto en el sistema
generando un riesgo muy grande dentro del sistema.
Para mayor comodidad, dentro del mismo checklist se hicieron nuevas columnas
en donde se planteo y resolvió el Análisis de Riesgos. Dentro de esta actividad,
nos concentramos en ver qué puntos del checklist eran buenos, cuáles eran
regulares y cuales tenían un impacto negativo al sistema. En base a esto se
fueron distinguiendo con una escala de colores de acuerdo a su nivel de riesgo.
85
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
una idea mejor de las condiciones del sistema, en donde nos muestra a los
hallazgos encontrados clasificados según su impacto y ocurrencia.
Nuestro modelo de madurez se baso en los objetivos de control DS5, DS8 y DS13
ya que son los procesos que mas giran en torno a nuestra auditoria.
86
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
pruebas que no es más que la actividad que se realizo para evaluar ese objetivo y
por último la ponderación según el Modelo de Madurez (Anexo 13)
4.25 RECOMENDACIONES
87
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
11. Implementar un Protocolo seguro para la transmisión de datos como son los
SSH, SSL, TSL y HTTPS que son protocolos usados en la actualidad.
(DS5.11)
88
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
CONCLUSIONES
Durante el desarrollo de la auditoría concluimos que existe conciencia sobre la
seguridad y ésta es promovida por la Gerencia aunque esté un poco fraccionada y
limitada en cuanto al control de accesos.
Podemos concluir que el proceso está definido y el contacto con métodos para
promover la conciencia de la seguridad es obligatorio por lo tanto la información
debe ser correctamente gestionada, controlada y asegurada por medio de
controles que prevengan la ocurrencia de situaciones de riesgo para la
organización y que a su vez asegure su integridad, disponibilidad y
confidencialidad tanto de los datos como de los procesos, asimismo, se tendrá que
tomar en cuenta las medidas correctivas antes observadas para que la
responsabilidad sea conjunta de la institución y sus objetivos optimizados con las
mejores prácticas.
89
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ANEXOS
ANEXO 1
90
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
91
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
92
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ANEXO 2
ESTRUCTURA OCUPACIONAL SUBDIRECCIÓN GENERAL DE ADMINISTRACIÓN, GERENCIA DE
INFORMÁTICA Y TELECOMUNICACIONES
93
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ANEXO 3
94
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ANEXO 4
CRONOGRAMA DE ACTIVIDADES
95
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ANEXO 5
96
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
97
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ANEXO 6
98
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
99
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ANEXO 7
100
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ANEXO 8
101
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
102
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ANEXO 9
HALLAZGOS
103
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
104
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
105
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
106
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
RECOMENDACIÓN
107
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Realizar Oficio de consideración y autorización en el Programa Anual 2011 para la compra de software adicional y actualizaciones
108
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ANEXO 10
109
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
110
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
111
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
112
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ANEXO 11
113
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ANEXO 12
114
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ANEXO 13
115
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
116
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
117
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
118
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
119
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
120
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ANEXO 14
121
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ANEXO 15
INFORME DE AUDITORIA
SISTEMA DE SEGURIDAD DE PRESAS
METODOLOGÍA COBIT
Confirmar que el sistema de seguridad de presas en su base de datos que cumple con
lo requerido por la metodología aplicada COBIT
Problemática
122
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
INFORME DE AUDITORIA
SISTEMA DE SEGURIDAD DE PRESAS
METODOLOGÍA COBIT
Alcance:
1) Metodología COBIT.
Justificación
Al realizar dicha auditoria tendremos como resultado, disminuir las incidencias que
surgieran en la aplicación, de esta forma, ayudar a que la aplicación opere de forma
eficiente basándonos en la metodología PRIMA y tomando como referencia COBIT
para elaboración del cheklist.
123
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
INFORME DE AUDITORIA
SISTEMA DE SEGURIDAD DE PRESAS
METODOLOGÍA COBIT
Equipo de auditores
Nombre Iniciales
124
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Podemos concluir que el proceso está definido y el contacto con métodos para
promover la conciencia de la seguridad es obligatorio por lo tanto se tendrá que tomar
en cuenta las medidas correctivas antes observadas para que la responsabilidad sea
conjunta de la institución y sus objetivos optimizados con las mejores prácticas.
3.1 FORTALEZAS
Apoyo logistico
Disponibilidad del personal de la Institución
Programa presupuestal de alto indice economico
Infraestructura de alta calidad
3.2 DEBILIDADES
125
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
PO9. Evaluación de Riesgos de TI
Posibles fallas y no
Evaluar de forma recurrente la probabilidad e
detección de amenazas y
impacto de todos los riesgos identificados, No se cuenta con una
no vulnerabilidades del
Planeación y usando métodos cualitativos y cuantitativos. auditoría previa al sistema,
sistema perjudicando la
Organización ni una relación con la
La probabilidad e impacto asociados a los evaluación de los riesgos integridad y
riesgos inherentes y residuales se debe de TI. confiabilidad de la
determinar de forma individual, por categoría información
y con base en el portafolio.
El sistema se encuentra
susceptible a la continuidad
DS5.2. Plan de seguridad de TI de sus operaciones si
llegará a tener una pérdida
Entrega total o parcial de
No se cuenta con un Plan
Trasladar los requerimientos de negocio, riesgos y de contingencia información por un desastre
y cumplimiento dentro de un plan de seguridad de TI natural o un sabotaje
completo, teniendo en consideración la interno o externo.
Soporte infraestructura de TI y cultura de la seguridad.
Al no llevar una
comunicación apropiada
Las políticas y
procedimientos de hacia los miembros de TI,
Comunicar las políticas y procedimientos de puede provocar una
seguridad no son
seguridad a los interesados y a los usuarios. comunicados con inestabilidad en flujo de
frecuencia trabajo de las operaciones
del sistema.
126
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Entrega
DS5.4 Administración de cuentas de usuario Al mantener activas
y cuentas de usuario pueden
No cuentan con una existir una suplantación de
Soporte administración de cuentas identidades del personal no
Garantizar que la solicitud, establecimiento, para las bajas del personal
permitido al área y alterar o
emisión, suspensión, modificación y cierre de que no labora en la
robar información
cuentas de usuarios y de los privilegios institución importante.
relacionados, sean tomados en cuenta por un
conjunto de procedimientos de la gerencia de
cuentas de usuarios
DS5.9 Prevención, Detección y Corrección de
Entrega Software Malicioso
No cuentan con un El riesgo que se presenta al
actualizaciones en la base no actualizar ocasiona un
y
de datos mal funcionamiento en los
Medidas preventivas, detectivas y correctivas ( en procesos de captura y
Soporte
especial contar con parches de seguridad y almacenamiento
control de virus actualizados en toda la provocando inestabilidad
organización para proteger los sistemas de la en el sistema.
información y a la tecnología contra malware
127
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Entrega
DS5.10 Seguridad en la red El riesgo es la intrusión de
y No cuentan con un control hackers, spywares, phising,
Uso de técnicas de seguridad y procedimientos de en la habilitación o malwares que provoquen
administración asociados con firewalls, dispositivos inhabilitación de los puertos daño irreparables o
Soporte
de seguridad, segmentación de redes y detección que dan salida a la red
pérdidas de información
de intrusos para autorizar el acceso y controlar los relevante para la institución
flujos de información desde y hacia las redes.
Atentamente
Nombre
Firma
128
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ÍNDICE DE FIGURAS
Figura 1.1. Fases de la auditoría. ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 16
Figura 2.1. Arquitectura de un Sistema Gestor de Bases de Datos. ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 31
Figura 3.1 Preguntas frecuentes ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 39
Figura 3.2 Áreas Focales del Gobierno de TI ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 40
Figura 3.3 Productos de COBIT ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 40
Figura 3.4 Principio Básico ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 43
Figura 3.5 Definiendo metas de TI y arquitectura empresarial para TI ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 44
Figura 3.6 Representación gráfica de modelos de madurez ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 49
Figura 3.7 Las tres dimensiones de la madurez ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 51
Figura 3.8 El cubo de COBIT ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 54
Figura 3.9 Marco de trabajo General de COBIT ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 55
Figura 3.10 Metas y Métricas.DS5 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 59
Figura 3.11Metas y métricas DS8‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 62
Figura 3.12 Metas y Métricas DS11 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 63
Figura 3.13 Metas y Métricas DS13 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 65
Figura 4.1 Inicio Sistema de Seguridad de Presas ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 90
Figura 4.2 Búsqueda de Presas, Sistema de Seguridad de Presas ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 91
Figura 4.3 Archivos para validar, Sistema de Seguridad de Presas ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 91
Figura 4.4 Listados de Verificación, Sistema de Seguridad de Presas ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 92
Figura 4.5 Búsqueda Listado de Verificación ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 92
Figura 4.6 Ejecución de la auditoría ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 94
Figura 4.7 Gráfica de Riesgos ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 113
Figura 4.9 Mapa de Riesgos ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 114
Figura 4.8 Modelo de Madurez ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 121
129
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
ÍNDICE DE TABLAS
Tabla 1.1 Evolución de la Práctica de auditoria ....................................................................... 13
Tabla 1.2 Clases de auditoría. ................................................................................................. 14
Tabla 1.3 Comparación Control Interno y Auditoría Informática ............................................. 19
Tabla 2.1 Restricciones de Integridad ...................................................................................... 27
Tabla 2.2 Restricciones de Integridad ...................................................................................... 27
Tabla 2.3 Restricciones de Integridad ...................................................................................... 28
Tabla 2.4 Referencias .............................................................................................................. 28
Tabla 3.1 Atributos de madurez .............................................................................................. 53
Tabla 4.1 Porcentajes Checklist ............................................................................................... 85
130
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
GLOSARIO
Atributos de madurez: lista de las características de cómo se administran los procesos
de TI y describe cómo evolucionan desde un proceso no existente hasta uno optimizado
Arquitectura de TI - Un marco integrado para evolucionar o dar mantenimiento a la TI
existente y adquirir nueva TI para alcanzar las metas estratégicas y de negocio de la
empresa.
Checklist - listado que se utiliza para identificar información específica que se requiere
para completar la descripción de un problema.
Cliente - Una persona o una entidad externa o interna que recibe los servicios
empresariales de TI
131
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Control preventivo - Un control interno que se usa para prevenir eventos indeseables,
errores u otras ocurrencias que pudieran tener un efecto material negativo sobre un
proceso o producto final, de acuerdo a la organización.
Cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos
contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de
negocios impuestos externamente, así como políticas internas.
Efectividad - tiene que ver con que la información sea relevante y pertinente a los
procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente
y utilizable.
132
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Metas de actividades para controlar estos procesos, con base en los objetivos de
control detallados de COBIT
Plan estratégico de TI - Un plan a largo plazo, ej., con un horizonte de tres a cinco
años, en el cual la gerencia del negocio y de TI describen de forma cooperativa cómo
los recursos de TI contribuirán a los objetivos estratégicos empresariales (metas)
133
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Plan táctico de TI - Un plan a mediano plazo, ej., con un horizonte de seis a dieciocho
meses, que traduzca la dirección del plan estratégico de TI en las iniciativas requeridas,
requisitos de recursos y formas en las que los recursos y los beneficios serán
supervisados y administrados
Política - Por lo general, un documento que ofrece un principio de alto nivel o una
estrategia a seguir. El propósito de una política es influenciar y guiar la toma de
decisiones presente y futura, haciendo que estén de acuerdo a la filosofía, objetivos y
planes estratégicos establecidos por los equipos gerenciales de la empresa. Además
del contenido de la política, esta debe describir las consecuencias de la falta de
cumplimiento de la misma, el mecanismo para manejo de excepciones y la manera en
que se verificará y medirá el cumplimiento de la política.
Práctica de control - Mecanismo clave de control que apoya el logro de los objetivos
de control por medio del uso responsable de recursos, la administración apropiada de
los riesgos y la alineación de TI con el negocio
PRINCE2 - Proyectos en un ambiente controlado, un método de administración de
proyectos que cubre la administración, el control y la organización de un proyecto
Procedimiento - Una descripción de una manera particular de lograr algo; una forma
establecida de hacer las cosas; una serie de pasos que se siguen en un orden regular
definido, garantizando un enfoque consistente y repetitivo hacia las actividades.
134
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
Recursos TI - conjunto de procesos definidos con claridad que utiliza las habilidades de
las personas, y la infraestructura de tecnología para ejecutar aplicaciones
automatizadas de negocio
TI - Tecnología de información.
135
AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE
“SEGURIDAD DE PRESAS” CONAGUA
BIBLIOGRAFÍA
http://www.isaca.org.mx
http://www.w3schools.com/sql/default.asp
http://dialnet.unirioja.es/servlet/articulo?codigo=2938827
http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx
http://www.datasec.com.uy/ oxely-coso.pdf
136