Auditoría Informática

Octavo Nivel
Elver Rolando Chacón Aguilera
10.1 Procedimientos y responsabilidades operacionales

Objetivo: Asegurar la operación correcta y segura de los medios de

procesamiento de la información.
Control Lineamiento de
• Los procedimientos implementación
de operación se • Se debieran preparar procedimientos
debieran documentados para las actividades
documentar, del sistema asociadas con los medios
mantener y poner a de procesamiento de la información y
disposición de comunicación;
todos los usuarios • Ejemplo : procedimientos para
que los necesiten. encender y apagar computadoras
Control
• Se debieran controlar los cambios en los medios y sistemas de
procesamiento de la información
Lineamiento de implementación
• Los sistemas operacionales y el software de aplicación debieran
estar sujetos a un estricto control gerencial del cambio
Ejemplo
• Los cambios en los sistemas de operación sólo se debieran
realizar cuando existe una razón comercial válida para hacerlo,
como un incremento en el riesgo para el sistema.

Lineamiento de
Control
implementación
Los deberes y áreas de La segregación de los
responsabilidad deberes un método para
debieran estar reducir el riesgo de un
segregados para reducir mal uso accidental o
las oportunidades de una deliberado del sistema.
modificación no- Se debiera tener cuidado
autorizada o mal uso no- que nadie pueda tener
intencional o mal uso de acceso, modificar o
los activos de la utilizar los activos sin
organización. autorización o detección.
Ejem: La
administración de la
empresa debe optar
por incluir
restricciones en todos
los aplicativos de la
empresa, un mismo
empleado no debería
tener más de dos
responsabilidades
sobre un software
Control
• Los medios de desarrollo, prueba y
operación debieran estar separados para
reducir los riesgos de acceso no-autorizado
o cambios en el sistema operacional.
Lineamiento de implementación
• Se debiera identificar el nivel de separación
necesario entre los ambientes de desarrollo,
prueba y operación para evitar los
problemas operacionales y se debieran
implementar los controles apropiados.

Ejemplo:
• una modificación no deseada de los
archivos o el ambiente del sistema, o una
falla en el sistema. En este caso, existe la
necesidad de mantener un ambiente
conocido y estable en el cual realizar una
prueba significativa y evitar un inadecuado
acceso del encargado del desarrollo
10.2 Gestión de la entrega del servicio de terceros

Objetivo: Implementar y mantener el nivel apropiado de seguridad de

la información y la entrega del servicio en línea con los acuerdos de
entrega de servicios de terceros.
Control Se debiera asegurar que los controles de seguridad, definiciones del servicio y
niveles de entrega incluidos en el acuerdo de entrega del servicio de terceros
se implementen, operen y mantengan.

Lineamiento de La entrega del servicio por un tercero debiera incluir los acuerdos de
implementación seguridad pactados, definiciones del servicio y aspectos de la gestión del
servicio. En caso de los acuerdos de abastecimiento externo, la organización
debiera planear las transiciones necesarias y debiera asegurar que se
mantenga la seguridad a través del período de transición.

Ejemplo La organización debiera asegurar que la tercera persona mantenga una

capacidad de servicio suficiente en caso de cualquier siniestro o accidente
como un cocinero extra que conozca el funcionamiento del negocio, en caso de
que el chef principal no pueda desempeñar sus funciones normales
Control
• Los servicios, reportes y
registros provistos por terceros
debieran ser monitoreados y
revisados regularmente, y se
debieran llevar a cabo
auditorías regularmente.
Lineamiento de
implementación
• El monitoreo y revisión de los
servicios de terceros debiera
asegurar que se cumplan los
términos y condiciones de
seguridad de los acuerdos, y
que se manejen
apropiadamente los incidentes
y problemas de seguridad de
la información.
Ejemplo
• La responsabilidad de manejar
la relación con terceros se
debiera asignar a una persona
o equipo de gestión de
servicios como en el caso de
una Auditoría externa
 Ejemplo: se deberían
incluir las sugerencias
de los empleados en la
Control implementación o
modificación de un
• Se debieran manejar los cambios en la provisión de servicios, incluyendo el proceso como el caso
mantenimiento y mejoramiento de las políticas, procedimientos y controles
de seguridad de la información existentes teniendo en cuenta el grado
del proceso de
crítico de los sistemas y procesos del negocio involucrados y la re- aprovisionamiento de la
evaluación de los riesgos. empresa.
Lineamiento de implementación
• El proceso de manejar los cambios en el servicio de terceros necesita tomar
en cuenta: los cambios realizados por la organización para implementar:
• Aumentos los servicios ofrecidos actualmente;
• Desarrollo de cualquier aplicación y sistema nuevo;
• Modificaciones o actualizaciones de las políticas y procedimientos de la
organización;
• Controles nuevos para solucionar incidentes de la seguridad de la
información y para mejorar la seguridad;
10.3 Gestión de la entrega del servicio de terceros

Objetivo: Minimizar el riesgo de fallas en el sistema.

 Lineamiento de
Control Ejemplo
implementación

Se debiera prestar
Se debieran identificar atención particular
los requerimientos de atención a cualquier
Se debiera monitorear, capacidad de cada recurso con tiempo de
afinar el uso de los actividad nueva y en espera largos de
recursos y se debieran proceso. Se debieran abastecimiento o
realizar proyecciones aplicar la afinación y costos altos; por lo
de los requerimientos monitoreo del sistema tanto, los gerentes
de capacidad futura para asegurar y, debieran monitorear la
para asegurar el cuando sea necesario, utilización de los
desempeño requerido mejorar la recursos claves del
del sistema. disponibilidad y sistema. Es decir en
eficiencia de los una gasolinera que el
sistemas. combustible siempre
llegue a tiempo