Autores: Christian Tello S. Mónica Guerrero S. · organización, existe la auditoría informática. La auditoría informática se ha convertido en un apoyo interno a la organización,

Autores:

Christian Tello S.

Mónica Guerrero S. Primera Edición

2017

Principios de Auditoría Informática

2

Contenido

Índice de Figuras ........................................................................................................................... 5

Introducción .................................................................................................................................. 7

Importancia ................................................................................................................................... 8

CAPÍTULO I – INTRODUCCIÓN A LAS TECNOLOGÍAS DE INFORMACIÓN Y

COMUNICACIONES ................................................................................................................... 9

Las TIC y la Auditoría Informática ............................................................................................... 9

Conceptos TIC relacionados con la Auditoría Informática ....................................................... 9

Hardware ............................................................................................................................... 9

Software .............................................................................................................................. 15

Conectividad ....................................................................................................................... 19

Seguridades en las TIC ........................................................................................................ 22

Organización del Departamento de Informática ................................................................. 29

Normas Ético Morales que regulan la actuación del Auditor .............................................. 30

Definición de Auditoría Informática ................................................................................... 32

Delitos Informáticos ............................................................................................................ 33

Base Legal ........................................................................................................................... 36

Los Riesgos y el Control Interno ................................................................................................. 39

Control Interno Informático .................................................................................................... 39

Objetivos principales ........................................................................................................... 40

Funciones principales .......................................................................................................... 40

Área de aplicación ............................................................................................................... 41

COSO ...................................................................................................................................... 42

NIAA ....................................................................................................................................... 43

Metodología para la Gestión de Riesgos de TI ....................................................................... 43

Objetivos de la Gestión de Riegos de TI ............................................................................. 44

Beneficios de la Gestión de Riegos de TI ........................................................................... 44

Metodología de Gestión de Riesgos de TI .......................................................................... 45

Auditoría Informática .............................................................................................................. 60

Diferencias entre Control Interno Informático y Auditoría Informática ................................. 62

CAPÍTULO II – MARCOS DE REFERENCIA DE TECNOLOGÍAS DE INFORMACIÓN Y

COMUNICACIONES ................................................................................................................. 63

Conceptos básicos de COBIT 5 .................................................................................................. 63

Fundamentos COBIT 5 ........................................................................................................... 63


3

Principales marcos de referencia de Gobierno de TI........................................................... 74

Introducción a COBIT 5 ...................................................................................................... 76

Los 5 Principios de COBIT 5 .............................................................................................. 79

Principio 1: Satisfacer las necesidades de las partes interesadas ........................................ 80

Principio 2: Cubrir la organización de forma integral ......................................................... 83

Principio 3: Aplicar un Marco de Referencia Único Integrado ........................................... 86

Principio 4: Hacer Posible un Enfoque Holístico ................................................................ 87

Principio 5: Separar el Gobierno de la Gestión ................................................................... 90

Conceptos básicos de ITIL 3 ....................................................................................................... 92

Beneficios de implementar ITIL ............................................................................................. 93

Estrategia del Servicio ............................................................................................................. 94

Diseño del Servicio ................................................................................................................. 95

Transición del Servicio............................................................................................................ 96

Operación del Servicio ............................................................................................................ 97

Mejora Continua del Servicio ................................................................................................. 98

Conceptos básicos de SGSI – ISO 17799 ................................................................................. 100

CAPÍTULO III – AUDITORÍA INFORMÁTICA ................................................................... 101

Auditoría Informática ................................................................................................................ 101

Tipos de Auditoría Informática ............................................................................................. 103

Auditoría de Seguridad Física y Lógica a los elementos de TI ......................................... 103

Auditoría de Planificación en TI ....................................................................................... 104

Auditoría de Producción de TI .......................................................................................... 106

Auditoría a la Gestión de la unidad de TI ......................................................................... 107

Metodología para una Auditoría Informática ........................................................................ 108

Planeación de la Auditoría ................................................................................................ 109

Ejecución de la Auditoría .................................................................................................. 112

Dictamen de la Auditoría .................................................................................................. 113

Seguimiento ....................................................................................................................... 113

Herramientas Tecnológicas en Auditoría Informática .......................................................... 114

ACL ................................................................................................................................... 114

Autoaudit ........................................................................................................................... 114

BackTrack ......................................................................................................................... 115

Apex SQL Audit................................................................................................................ 115


4

Auditor Assistant ............................................................................................................... 115

TeamMate ......................................................................................................................... 115

Meycor CobiT Suite .......................................................................................................... 115

Anexo ........................................................................................................................................ 116

Ejemplo: Auditoria de hardware y software en estaciones de trabajo ................................... 116

Glosario de Términos ................................................................................................................ 120

Bibliografía ............................................................................................................................... 122

Netgrafía .................................................................................................................................... 122

Datos de los Autores ................................................................................................................. 123


5

Índice de Figuras

Figura 1 Primera Generación de Computadoras Fuente: www.preceden.com_______ 9

Figura 2 Segunda Generación de Computadoras Fuente: www.preceden.com _____ 10

Figura 3 Tercera Generación de Computadoras Fuente: www.preceden.com ______ 10

Figura 4 Cuarta Generación de Computadoras Fuente: www.preceden.com_______ 11

Figura 5 Quinta Generación de Computadoras Fuente: www.preceden.com _______ 11

Figura 6 Sexta Generación de Computadoras Fuente: www.preceden.com ________ 12

Figura 7 Hardware ____________________________________________________ 12

Figura 8 Chipset ______________________________________________________ 13

Figura 9 Procesador __________________________________________________ 13

Figura 10 Memoria RAM _______________________________________________ 13

Figura 11 CD Writter __________________________________________________ 13

Figura 12 Dispositivos de entrada ________________________________________ 14

Figura 13 Dispositivos de Salida _________________________________________ 14

Figura 14 Dispositivos Mixtos ___________________________________________ 14

Figura 15 Dispositivos de Almacenamiento _________________________________ 15

Figura 16 Software ____________________________________________________ 15

Figura 17 Sistema Operativo ____________________________________________ 16

Figura 18 Software de Aplicación ________________________________________ 17

Figura 19 Base de Datos _______________________________________________ 17

Figura 20 Ejemplo Tabla Base de Datos Elaborado: Los Autores _______________ 17

Figura 21 Sistemas de Información Elaborado: Los Autores ___________________ 18

Figura 22 Software de Desarrollo ________________________________________ 19

Figura 23 Red de Computadoras _________________________________________ 19

Figura 24 Red LAN ___________________________________________________ 20

Figura 25 Redes WAN _________________________________________________ 21

Figura 26 Topología Física _____________________________________________ 21

Figura 27 Seguridades _________________________________________________ 22

Figura 28 Organigrama de TI Elaborado: Los Autores _______________________ 30

Figura 29 Auditoría Informática Fuente: Los Autores ________________________ 32

Figura 30 Delitos Informáticos __________________________________________ 33

Figura 31 Fuente G Data Software _______________________________________ 35

Figura 32 Metodología de Gestión de Riesgos de TI – Elaborado: Los Autores ____ 45

Figura 33 Metodología de Gestión de Riesgos de TI – Elaborado: Los Autores ____ 45

Figura 34 Activos TI -Fuente: http://solintels.com/arquitectura.html _____________ 47

Figura 35 ¿Qué es COBIT? – Fuente: Los Autores ___________________________ 63

Figura 36 Factores de las TI – Elaborado: Los Autores _______________________ 64

Figura 37 Estándares para la Gestión de TI - Fuente: http://www.iedge.eu ________ 65

Figura 38 Evolución COBIT -Fuente www.isaca.org/cobit _____________________ 77

Figura 39 Estructura COBIT 5 – Fuente: Los Autores ________________________ 77

Figura 40 Familia de Productos COBIT 5 - Fuente COBIT® 5, © 2012 ISACA® Todos

los Derechos Reservados. _______________________________________________ 78

Figura 41 Principios COBIT® 5, © 2012 ISACA® Todos los derechos reservados _ 80


6

Figura 42 Objetivos de Gobierno COBIT® 5, © 2012 ISACA® Todos los derechos

reservados ___________________________________________________________ 81

Figura 43 Resumen Principio 1 – Fuente: Los Autores ________________________ 83

Figura 44 Componentes del Sistema de Gobierno, © 2012 ISACA® Todos los derechos

reservados ___________________________________________________________ 84

Figura 45 Roles, actividades y relaciones © 2012 ISACA® Todos los derechos

reservados ___________________________________________________________ 85

Figura 46 Marco de referencia integrado único de COBIT 5 © 2012 ISACA® Todos los

derechos reservados ___________________________________________________ 87

Figura 47 Habilitadores Corporativos COBIT 5 © 2012 ISACA® Todos los derechos

reservados ___________________________________________________________ 88

Figura 48 Área clave de Gobierno y Gestión 5 © 2012 ISACA® Todos los derechos

reservados ___________________________________________________________ 90

Figura 49 Modelo de Referencia de Procesos de COBIT 5 © 2012 ISACA® Todos los

derechos reservados ___________________________________________________ 91

Figura 50 Etapas COBIT 5 – Fuente OCG-ITIL V3 __________________________ 94

Figura 51 Etapas del ciclo de vida del servicio vs Ciclo de Deming ______________ 99

Figura 52 Dominios ISO 17799 – Elaborado: Los Autores ____________________ 100

Figura 53 Fases de la Auditoría Informática – Fuente: Los Autores ____________ 108

Figura 54 Ejecución de la Auditoría – Fuente: Los Autores ___________________ 112


7

Introducción

En la actualidad todas las actividades que se realicen en las organizaciones depende de la

tecnología y la informática, las mismas se encuentran inmersas en cada tarea, actividad,

proceso que se realice en la organización, tanto con clientes internos como clientes

externos, por tanto, se debe establecer normas y estándares informáticos en cada proceso

que se ejecute en la organización, con el objetivo de controlar y precautelar el uso de los

elementos tecnológicos sean estos hardware, software, seguridad y comunicaciones,

además de asegurar la confidencialidad, integridad y disponibilidad de datos e

información de la organización.

En un ambiente donde las tecnologías de información están conduciendo el quehacer

diario en las diferentes organizaciones, el almacenamiento, ejecución y procesamiento de

los datos se está haciendo vía dispositivos tecnológicos, por lo tanto, en el trabajo de la

auditoria también es algo indispensable. Aunque en el ambiente de la informática la

computadora es el medio principal para auditar, pero no hay que olvidar que es a la

persona junto a procesos e información lo que se debe auditar y no a los dispositivos

tecnológicos en sí, no se ha cambiado el espirito de la auditoría tradicional, solamente se

cambió el método.


8

Importancia

En el presente se tratan los aspectos acerca de la auditoría informática como son:

elementos de las tecnologías de información y comunicaciones (TIC), áreas de aplicación,

procedimientos, leyes, normas, marcos de referencia y buenas prácticas que se suelen

emplear en el desarrollo de una auditoría informática, así como también herramientas que

permiten el proceso de la auditoría y la captación de evidencias que el auditor debe

conocer.

Al igual que cualquier área de la organización, los elementos de las TIC deben estar

sometidos a controles de calidad y auditoría informática porque las computadoras y los

centros de procesamiento de datos son blancos apetecibles para el espionaje, la

delincuencia y el terrorismo. Al perder de vista la naturaleza y calidad de los datos de

entrada a los sistemas de tecnologías de información (TI) se genera información errónea,

con la posibilidad de que se provoque un efecto cascada y afecte a otras aplicaciones,

asimismo, un sistema de TI mal diseñado puede convertirse en una herramienta muy

peligrosa para la gestión y la coordinación de la organización, de igual manera la

administración de un contrato de TI mal llevado puede traer consigo un sin número de

perjuicios a la organización, la gestión de TI llevada de forma errónea ocasiona daños a

la organización, así mismo el no tener un adecuado control de las seguridades

informáticas puede ocasionar el robo y pérdida de información que puede afectar a la

organización, clientes internos y externos.

Debido a la importancia que tiene la informática en el funcionamiento de una

organización, existe la auditoría informática.

La auditoría informática se ha convertido en un apoyo interno a la organización, dado que

ha permitido realizar verificaciones y validaciones en forma periódica con el objetivo de

identificar la exposición a riesgos y de cómo gestionarlos, cumplir normativa vigente,

analizar el desempeño del uso de la tecnología, identificar puntos de mejora, así como

permitir realizar investigaciones para descartar la posibilidad de un delito.


9

CAPÍTULO I – INTRODUCCIÓN A LAS TECNOLOGÍAS DE INFORMACIÓN Y

COMUNICACIONES

Las TIC y la Auditoría Informática

Conceptos TIC relacionados con la Auditoría Informática

Hardware

Evolución del Hardware

Desde la década de los años 40 inicia el desarrollo de las computadoras, dando inicio a la

Primera Generación en 1941, la misma que se caracteriza por grandes consumos de

energía eléctrica y gran tamaño, por ejemplo, la ENIAC.

Figura 1 Primera Generación de Computadoras Fuente: www.preceden.com

La Segunda Generación inicia en 1948 y se extiende hasta 1962, la cual se caracteriza

por tener una arquitectura construida por transistores, con esto se logró reducir de manera

significativa el tamaño de las computadoras, se inicia el uso del procesamiento por lotes

y la velocidad de respuesta llegó a los milisegundos.

http://www.preceden.com/


10

Figura 2 Segunda Generación de Computadoras Fuente: www.preceden.com

La Tercera Generación inicia en 1962, esta se caracteriza por el uso de circuitos

integrados, con lo cual se lograr disminuir el tiempo de procesamiento (nanosegundos),

el tamaño de las computadoras y además la fiabilidad aumenta.

Figura 3 Tercera Generación de Computadoras Fuente: www.preceden.com

La Cuarta Generación inicia en 1971, se caracteriza por los grandes avances que se dan

en el ámbito tecnológico, se inicia con el desarrollo de microprocesadores, chips de

memoria y los equipos cada vez son más pequeños, los fabricantes que incursionan con

Apple, IBM.



11

Figura 4 Cuarta Generación de Computadoras Fuente: www.preceden.com

La Quinta Generación inicia en 1982, se caracteriza por el reconocimiento de imágenes

y voz, trabajo en paralelo lo que permite el desarrollo de la inteligencia artificial y

sistemas expertos que ayuda a la toma de decisiones.

Figura 5 Quinta Generación de Computadoras Fuente: www.preceden.com

La Sexta Generación inicia en 1990, la misma se caracteriza por el uso de procesamiento

en paralelo y vectorial que permite realizar operaciones aritméticas superiores al millón

por segundo, las redes a nivel mundial siguen creciendo y usan medios de comunicación

grandes anchos de banda a través de fibra óptica, satélites, etc.



12

Figura 6 Sexta Generación de Computadoras Fuente: www.preceden.com

Como se puede evidenciar el avance tecnológico es acelerado y esto ha permitido que los

datos e información que son ingresados, procesados, analizados se conviertan en un activo

muy importante dentro de la organización luego del personal humano.

Dada la importancia de los datos e información es necesario establecer mecanismos que

permitan tener un control adecuado de los Sistemas de Información (SI).

Por tanto, la Gestión del Conocimiento en la actualidad es una característica fundamental

en las organizaciones, y se debe implementar controles que garanticen una gestión

efectiva de la información; así como todo lo relacionado a las TIC, y de esta manera

minimizar los riesgos de que la información pueda ser alterada, robada o no esté

disponible cuando se la requiera.

Definición de Hardware

Dada la experiencia del desarrollo profesional, se

puede establecer que hardware es todo dispositivo

físico (computadoras, routers, impresoras, switchs,

teclados, dispositivos móviles, etc.) que forma parte

las TIC.

Figura 7 Hardware


13

A continuación, se presentan definiciones de varios dispositivos de hardware.

Chipset: Dispositivo que permite el flujo de información entre el

microprocesador y los demás componentes que conforman la PC y

el mismo se encuentra integrado a la tarjeta madre (main board) de

la computadora.

Procesador - CPU: Dispositivo que interpreta y ejecuta las

instrucciones recibidas del sistema operativo, administra las

solicitudes de usuarios realizadas a través de los diferentes

aplicativos de software.

Memoria RAM: Dispositivo que almacena datos y resultados

procesados por el CPU y permite brindar un mejor rendimiento a

la PC.

Unidades de Almacenamiento: Dispositivos destinados a guardar

los datos del sistema o de usuario, es decir, un lugar físico en donde

se encuentra el sistema operativo, los programas y los documentos

del usuario, los mismos pueden ser discos rígidos, unidades de CD,

DVD o Blue Ray, pendrives o discos externos extraíbles.

Tipos de Hardware

Se puede realizar una clasificación del hardware de acuerdo con la necesidad de

procesar información, es decir, que pueden existir dispositivos mediante los cuales se

ingresa, se presenta o se almacena información.

Figura 8 Chipset

Figura 9 Procesador

Figura 10 Memoria RAM

Figura 11 CD Writter


14

Dispositivos de Entrada

Son aquellos dispositivos mediante los cuales se

puede ingresar información por parte del usuario,

por ejemplo, teclado, mouse, micrófono, lector de

barras, lector óptico, escáner entre otros.

Dispositivos de Salida


presenta información al usuario, por ejemplo,

monitor, impresora, altavoz, entre otros.

Dispositivos Mixtos


puede ingresar y presentar información al usuario,

en este grupo podemos mencionar tarjetas de red,

módems y puertos de comunicaciones.

Figura 12 Dispositivos de entrada

Figura 13 Dispositivos de Salida

Figura 14 Dispositivos Mixtos


15

Dispositivos de almacenamiento

Son aquellos dispositivos que permiten al usuario

guardar y leer información, por ejemplo, arreglos

de disco, CD, DVD, tarjetas de Memoria, entre

otros.

Software

Figura 16 Software

Evolución del Software

Se lo puede definir como una secuencia de instrucciones que son interpretadas y/o

ejecutadas para la gestión, re direccionamiento o modificación de datos/información o

eventos. Por ejemplo: Windows, Linux, Unix, Navegadores de Internet (IE, Firefox,

Chrome, Safari), antivirus, virus, Microsoft Office, Libre Office, entre otros.

La evolución del software inicia con la aparición de las computadoras, los primeros

sistemas de información no poseían sistema operativo, es decir, el usuario tenía acceso

directo a las instrucciones que eran codificadas a mano, el lenguaje que se usaba era el

lenguaje de máquina.

Primera era, inicia en 1950 con sistemas operativos que trabajan con procesamiento por

lotes, una vez iniciado el trabajo la máquina tiene el control y lo devuelve al usuario al

terminar el procesamiento.

Figura 15 Dispositivos de Almacenamiento


16

Segunda era, inicia en la década de 1960, los sistemas operativos su principal

característica es la multiprogramación, para ello usan varios procesadores en un solo

sistema computacional y con esto se verá incrementado el poder de procesamiento.

Tercera era, se inicia en 1964 y tienen sistemas para usos generales, es decir,

procesamiento por lotes, tiempo compartido, multiprocesamiento y en tiempo real.

Cuarta era, se inicia a mediados de la década del 70, los sistemas de la cuarta eran

constituyen el estado actual de la tecnología.

Quinta era, empezó en Japón en 1982, y son sistemas que pueden aprender a partir de

patrones, es decir, las computadoras pueden adquirir Inteligencia Artificial.

Tipos de Software

Al software se lo puede clasificar de acuerdo con su uso, en este caso se tienen los

siguientes tipos de software:

- Software de Sistema Operativo

- Software de Aplicación

- Software de Desarrollo

Software de Sistema Operativo

Se lo puede definir como el conjunto de instrucciones que

controla y administra el uso de recursos del Hardware, sin

el Software de Sistema Operativo no se podría hacer uso

de los dispositivos de hardware, por tanto, es

INDISPENSABLE dado que controla lo siguiente:

- Entrada / salidas de información

- Asigna uso de recursos de hardware

- Administra el almacenamiento

- Detecta fallas o errores

- Mantiene la seguridad del sistema

Como ejemplos de software de sistema operativo, se tiene DOS, Windows, Unix, Linux,

Android entre otros.

Figura 17 Sistema Operativo


17

Software de Aplicación

Son todos aquellos programas o aplicaciones que se usan

para realizar una determina tarea, como, por ejemplo:

Realizar tareas de RRHH, Diseño Gráfico, Contabilidad,

Gestores de Base de Datos, Creación de Documentos, por

citar algunos de los que se puede encontrar en el mercado.

Además, se indica el concepto general de lo que se conoce

como Base de Datos, Sistemas de Información.

Base de Datos

Se puede definir a una base de datos como un conjunto de datos

que se encuentra relacionada entre sí, los mismos que son

almacenados y utilizados por los sistemas de información.

Por lo general una base de datos se encuentra compuesta de:

campos, registros y tablas que mantienen relación entre sí.

Figura 20 Ejemplo Tabla Base de Datos Elaborado: Los Autores

Las características principales que tiene una base de datos son:

- Independencia lógica y física de los datos.

- Redundancia mínima.

- Acceso concurrente por parte de múltiples usuarios.

- Integridad de los datos.

- Consultas complejas optimizadas.

- Seguridad de acceso y auditoría.

- Respaldo y recuperación.

Para la gestión de una Base de Datos, existe el software denominado Sistema de Gestión

de Base de Datos (SGBD) que es un software específico que permite la manipulación

directa de los datos, dado que se compone de:

Figura 18 Software de Aplicación

Figura 19 Base de Datos


18

- Lenguaje de definición de datos

- Lenguaje de manipulación de datos

- Lenguaje de consulta

Sistemas de Información

Es un conjunto de elementos orientados al trato y

administración de datos e información, organizados

y listos para su uso posterior, generados para cubrir

una necesidad o un objetivo. Además, se lo puede

definir como un sistema computacional que se

utilice para obtener, almacenar, manipular,

administrar, controlar, procesar, transmitir o recibir

datos, para satisfacer una necesidad de información.

Los objetivos de un Sistema de Información son:

- Apoyar los objetivos y estrategias de la organización.

- Proporcionar información para el control de la totalidad de actividades de la

organización.

- Adaptar las necesidades de información a la evolución de la organización.

- Interactuar con los diferentes agentes de la organización.

Clasificación de los Sistemas de Información

Una clasificación conveniente es la propuesta por Laudon y Laudon (2012), quienes

exponen que los sistemas de información se agrupan según su utilidad en los diferentes

niveles de la organización empresarial, detallando 4 niveles básicos: nivel operativo, nivel

del conocimiento, nivel administrativo y nivel estratégico; según estos niveles se estable

la siguiente clasificación:

- Sistema de Procesamiento de Operaciones (SPO). Nivel del Operativo.

- Sistemas de Trabajo del Conocimiento (STC). Nivel del Conocimiento.

- Sistemas de Automatización en la Oficina (SAO). Nivel del Conocimiento.

- Sistemas de Información para la Administración (SIA). Nivel Administrativo.

- Sistemas para el Soporte de decisiones (SSD). Nivel Administrativo.

- Sistemas de Soporte Gerencial (SSG). Nivel Estratégico.

Figura 21 Sistemas de Información Elaborado: Los Autores


19

Software de Desarrollo

Son lenguajes de programación que

permiten crear programas, aplicaciones

para realizar cualquier tipo de tarea.

Ejemplos: C, Visual Basic, Java, PHP,

PERL, Ruby, Pascal, entre otros

Conectividad

Se la puede definir como la capacidad de un dispositivo tecnológico de hardware

(Computadora, laptop, celular, router, switch, tablet, etc., entre otros) de poder ser

conectado a otro dispositivo sin la necesidad de un computador, es decir, de forma

autónoma.

La conectividad entre dispositivos tecnológicos en la actualidad por lo general se basa en

redes inalámbricas, las mismas que permiten el acceso a diferentes recursos tecnológicos

sean internos o externos dentro de la organización que se labore.

El uso de dispositivos móviles permite el acceso a internet mediante redes 3G, 4G o LTE,

además que facilita el intercambio de información y datos entre los usuarios en la vida

diaria.

Redes de Computadoras

Conocida también con el nombre de red

informática o red de comunicación de datos,

es un conjunto de dispositivos de hardware

y software que se encuentran

interconectados entre sí por medio de

equipos físicos que envían y reciben señales

con la finalidad de compartir información,

prestar servicios y recursos que dependen de

la tecnología informática que dispongan.

Figura 23 Red de Computadoras

Figura 22 Software de Desarrollo


20

Clasificación de Redes

Las redes de computadoras o informáticas se pueden clasificar por dos métodos:

- Por alcance

- Por topología física

Por alcance

Red de Área Personal (PAN)

Es una red de pocos metros de alcance, la misma que permite conectar equipos de una

persona ya sea mediante cable o por medio de vía inalámbrica en un espacio reducido.

Red de Área Local (LAN)

Se la puede definir como una red que se limita

a un área relativamente pequeña como un

local, edificio, avión, etc., permite la

conexión de computadoras, impresoras,

escáneres, y diferentes periféricos que

permitan un intercambio de datos.

Pueden abarcar una distancia de 200 metros

hasta un kilómetro de cobertura

Red de Área Metropolitana (MAN)

Es una red que tiene una cobertura geográfica más extensa que un edificio, pero aun así

es limitada, una red MAN puede conectar varias redes LAN, por ejemplo, una red que

interconecte los edificios públicos de una organización dentro de la misma ciudad por

medio de fibra óptica.

Figura 24 Red LAN


21

Red de Área Amplia (WAN)

Son las que suelen desplegar las

organizaciones proveedoras de internet para

cubrir las necesidades de conexión de redes

de una zona muy amplia, como una ciudad o

país. Usan medios como: satélites, cables

interoceánicos, Internet, fibras ópticas

públicas, etc.

Red de Área de Almacenamiento (SAN)

Es una red propia para las organizaciones que trabajan con servidores y no quieren perder

rendimiento en el tráfico de usuario, ya que manejan una enorme cantidad de datos.

Suelen utilizarlo mucho las organizaciones tecnológicas.

Por topología física

Figura 26 Topología Física

Red en bus o Red lineal

Se caracteriza por tener un único canal de comunicaciones (denominado bus, troncal o

backbone) al cual se conectan los diferentes dispositivos.

Red en anillo o Red circular

Cada estación está conectada a la siguiente y la última está conectada a la primera.

Red en estrella (star)

Las estaciones están conectadas directamente a un dispositivo central y todas las

comunicaciones se han de hacer necesariamente a través de éste.

Figura 25 Redes WAN

https://es.wikipedia.org/wiki/Red_en_bus

https://es.wikipedia.org/wiki/Red_en_anillo

https://es.wikipedia.org/wiki/Red_en_estrella


22

Red en árbol (tree) o Red jerárquica

Los nodos están colocados en forma de árbol. Desde una visión topológica, la conexión

en árbol es parecida a una serie de redes en estrella interconectadas salvo en que no tiene

un nodo central.

Red híbrida o Red mixta

Se da cualquier combinación de las anteriores. Por ejemplo, circular de estrella, bus de

estrella, etc.

Seguridades en las TIC

Es una rama de la tecnología conocida como Seguridad de la

Información aplicada para los computadores, redes y sistemas

informáticos. El objetivo del equipo de seguridad incluye la

protección de la información y la propiedad contra el robo, la

corrupción, o los desastres naturales.

Estándares y Normas para Asegurar la Información

Para la correcta administración de la seguridad de la información, se deben establecer y

mantener acciones que busquen cumplir con los tres requerimientos de mayor

importancia que son:

Confidencialidad

- Prevenir el acceso no autorizado a los datos o información. La pérdida de la

confidencialidad puede ocurrir por ejemplo con la publicación intencional de

información confidencial de la organización.

Integridad

- No se realicen modificaciones por personas no autorizadas a los datos o procesos.

- No se realicen modificaciones no autorizadas por personal autorizado a los datos

o procesos.

- Datos consistentes tanto interna como externamente

Disponibilidad

- Acceso confiable y oportuno a los datos o recursos para el personal apropiado

Figura 27 Seguridades

https://es.wikipedia.org/wiki/Red_en_%C3%A1rbol

https://es.wikipedia.org/wiki/Topolog%C3%ADa_h%C3%ADbrida


23

ISO 27000

Es un conjunto de estándares desarrollados por ISO (International Organization for

Standardization) e IEC (International Electrotechnical Commission), que

proporcionan un marco de Gestión de la Seguridad de la Información utilizable por

cualquier tipo de organización, pública o privada, grande o pequeña.

ISO NOMBRE DEFINICIÓN

27000 Sistemas de gestión de la

seguridad de la información

La seguridad de la información, como la mayoría

de los temas técnicos, utiliza una compleja red

de terminología que está evolucionando

continuamente. Varios términos centrales en la

seguridad de la información tienen diferentes

significados o interpretaciones según el

contexto, la intención del autor y las

preconcepciones del lector. Pocos autores se

toman la molestia de definir con precisión lo que

significan, pero tal ambigüedad es claramente

inútil en el ámbito de las normas, ya que conduce

a la confusión.

27001

Sistemas de gestión de la

seguridad de la información -

Requisitos

Especifica formalmente un Sistema de Gestión

de la Seguridad de la Información (SGSI), una

serie de actividades relacionadas con la gestión

de los riesgos de la información. El SGSI es un

marco general de gestión mediante el cual la

organización identifica, analiza y aborda sus

riesgos de información. El SGSI garantiza que

los arreglos de seguridad se ajusten para

mantener el ritmo de las amenazas de seguridad,

las vulnerabilidades y los impactos

empresariales.

27002

Código de prácticas para los

controles de seguridad de la

información

La seguridad de la información, y por lo tanto la

ISO / CEI 27002, es relevante para todos los

tipos de organización, incluyendo

organizaciones comerciales de todos los tamaños

(de un solo hombre hasta gigantes

multinacionales), sin fines de lucro,

organizaciones caritativas, departamentos

gubernamentales y cuasi autónomos Organismos


24

- de hecho, cualquier organización que maneja y

depende de la información.

27003

Guía de implementación del

sistema de gestión de la


ISO / IEC 27003 guía el diseño de un ISMS

conforme ISO / IEC 27001, que conduce al

inicio de un proyecto de implementación del

SGSI. Describe el proceso de especificación y

diseño del SGSI desde el inicio hasta la

producción de planes de proyectos de

implementación, cubriendo las actividades de

preparación y planificación antes de la

implementación real

27004

Gestión de la seguridad de la

información - Seguimiento,

medición, análisis y evaluación

Se refiere a las mediciones o medidas necesarias

para la gestión de la seguridad de la información:

son comúnmente conocidas como "métricas de

seguridad" en la profesión

La norma tiene por objeto ayudar a las

organizaciones a evaluar la eficacia y la

eficiencia de sus sistemas de gestión de la

seguridad de la información ISO27001,

proporcionando la información necesaria para

gestionar y mejorar sistemáticamente el SGSI.

27005 Gestión de riesgos en la


Directrices para la gestión de riesgo en (SGSI).

El riesgo se define como una amenaza que

explota la vulnerabilidad de un activo pudiendo

causar daños. El riesgo se encuentra relacionado

con el uso, propiedad, operación, distribución y

la adopción de las tecnologías de la información

de la organización.

27006 Tecnología de la Información

Especifica los requisitos y suministrar una guía

para la auditoría y la certificación del sistema.

Los auditores de certificación solo tienen interés

pasajero en los controles reales de seguridad de

información que están siendo administrados por

el sistema de gestión.

27007

Sistema de Gestión de

Seguridad de la Información

(Guía para poder auditar)

Comprobar que las obligaciones contractuales de

los proveedores son satisfactorias.

Realizar una revisión y control por la dirección.

Operaciones rutinarias del SGSI de una

organización para garantizar la buena marcha de

la organización.

Auditar después de producirse incidentes en la

seguridad de la información como parte del

análisis.


25

27008 Controles de la Seguridad de la

Información.

Implementación y operación de los controles, es

aplicable a cualquier tipo y tamaño de

organización, tanto pública como privada que

lleve a cabo revisiones relativas a la seguridad de

la información y los controles de seguridad de la

información. Estos controles ISO 27008

ayudarán a la organización a:

Comprender el alcance de los problemas o

deficiencias en la aplicación y puesta en marcha

de los controles de seguridad de la información,

normas de seguridad de la información y

controles de la información técnica.

27009 Guía sobre el uso y aplicación

La Norma ISO 27009 está pensada para ayudar

a aplicar en sectores específicos con

características propias los requisitos en materia

de seguridad de la información de la Norma ISO

27001.

27010

Gestión de seguridad de la

información para las

comunicaciones inter-

sectoriales e inter-

organizacionales

Permite una orientación sobre del

funcionamiento interno de la organización,

seguridad y comunicación entre el propio sector,

entre sectores y con los gobiernos.

Con esto se consigue proteger la infraestructura

crítica, reconocer las circunstancias normales

para satisfacer los requisitos jurídicos,

reglamentarios y otras obligaciones

contractuales.

Aporta una guía sobre los métodos, modelos,

procesos, controles y demás mecanismos para

realizar el intercambio de información de una

manera segura, garantizando la confianza y el

entendimiento, respetando los principios de

seguridad de la información.

27011

Guía de interpretación de la

implementación y gestión de la

seguridad de la información en

organizaciones del sector de

telecomunicaciones basada en

ISO/IEC 27002:2005

Facilita modernos controles, además de una

orientación para la implementación en las

organizaciones de telecomunicaciones.

Consolida la privacidad, disponibilidad e

integridad de las infraestructuras y servicios de

estas organizaciones.

27013

Guía de implementación

integrada de ISO/IEC

27001:2005 (gestión de

seguridad de la información) y

Ayuda a las organizaciones interesadas, por

ejemplo, a:

Implementar el estándar ISO 27001 cuando ya

trabajan con la norma ISO 20000, o, al contrario.


26

de ISO/IEC 20000-1 (gestión

de servicios TI).

Implementar las normas ISO 27001 e ISO 20000

conjuntamente desde cero.

Alinear y coordinar los sistemas relativos a

ambos estándares, tanto el SGSI como el SGS.

27014

Guía de gobierno corporativo

de la seguridad de la

información.

Es una norma de seguridad de la información, la

cual facilita orientación sobre los principios y

conceptos para gobernar la seguridad de la

información.

A través de esta, las organizaciones podrán

dirigir, comunicar, evaluar y controlar la

seguridad de la información que está relacionada

con las actividades de la organización.

Su ámbito de aplicación es para todas las clases

y tamaños de organizaciones.

27015

Guía de SGSI orientada a

organizaciones del sector

financiero y de seguros y como

complemento a ISO/IEC

27002:2005.

Esta es una guía destinada a ayudar a las

organizaciones de servicios financieros (bancos,

compañías de seguros, compañías de tarjetas de

crédito, etc.)

Las organizaciones del sector financiero se

enfrentan a retos nuevos sobre las amenazas de

seguridad de la información como el malware,

ataques cibernéticos y phising.

27016

Guía de valoración de los

aspectos financieros de la

seguridad de la información.

Proporciona directrices sobre cómo una

organización puede tomar decisiones para

proteger la información y comprender las

consecuencias económicas de estas decisiones

en el contexto de los requisitos de competencia

para los recursos.

Sirve para entender las consecuencias

económicas que puede tener mantener la

información protegida en una organización.

27017 Guía de seguridad para Cloud

Computing.

Proporciona directrices para los controles de

seguridad de la información aplicables a la

provisión y uso de servicios en la nube al

proporcionar:

- Directrices de aplicación adicionales para los

controles pertinentes especificados en ISO / IEC

27002;

- Controles adicionales con directrices de

implementación que se refieran específicamente

a los servicios en la nube.


27

- Proporciona controles e instrucciones de

implementación tanto para los proveedores de

servicios en la nube como para los clientes de

servicios en la nube.

27018

Requisitos para la protección

de la información de

identificación personal (PII) en

sistemas cloud

Proporciona orientación destinada a garantizar

que los proveedores de servicios en la nube

puedan ofrecer controles adecuados de seguridad

de información con el objetivo de proteger la

privacidad de los clientes

27019

Gestión de seguridad de la

información y aplicada a

sistemas de control de

procesos en entornos

industriales de suministro de la

energía

Que la industria de la energía pueda poner en

práctica un sistema de gestión de información de

seguridad normalizado (SGSI) en conformidad

con la norma ISO/IEC 27001 que se extienda

desde la organización hasta el nivel de control de

procesos.

27023

Cartografía de las ediciones

revisadas de ISO / IEC 27001

e ISO / IEC 27002

El documento mapea o compara las ediciones

más recientes de ISO / IEC 2700 e ISO / IEC

27002 con las ediciones anteriores, indicando

dónde terminaron las secciones originales.

27031

Directrices para la preparación

de la tecnología de la

información y las

comunicaciones para la

continuidad del negocio

La norma abarca todos los eventos e incidentes

(no sólo relacionados con la seguridad de la

información) que podrían tener un impacto en la

infraestructura y los sistemas de TIC. Por lo

tanto, amplía las prácticas de gestión y manejo

de incidentes de seguridad de la información,

planificación y servicios de preparación para las

TIC.

27032 Directrices para la seguridad

cibernética

Aborda la "seguridad cibernética" o "seguridad

del ciberespacio", definida como la

"preservación de la confidencialidad, integridad

y disponibilidad de la información en el

ciberespacio".

27033 Seguridad de la red

Proporciona una guía detallada sobre la

implementación de los controles de seguridad de

la red que se introducen en ISO / IEC 27002. Se

aplica a la seguridad de los dispositivos en red y

la gestión de su seguridad, las aplicaciones /

servicios de red y los usuarios de la red, además

de la seguridad de la información que se

transfiere a través de enlaces de comunicaciones.

27034 Seguridad de las aplicaciones

Ofrece orientación sobre la seguridad de la

información a aquellos que especifican, diseñan

y programan o procuran, implementan y usan


28

sistemas de aplicación, en otras palabras,

Empresarios y responsables de TI,

desarrolladores y auditores y, en última

instancia, los usuarios finales de las TIC.

27035 Gestión de incidentes de


Explica un enfoque de mejores prácticas

destinado a la gestión de la información de

incidentes de la seguridad. Los controles de

seguridad de la información son imperfectos de

varias maneras: los controles pueden ser

abrumados o socavados (por ejemplo, hackers

competentes, fraudes o malware), fallar en el

servicio (por ejemplo, fallos de autenticación).

27036

Seguridad de la información

para las relaciones con los

proveedores

Ofrece orientación sobre la evaluación y el

tratamiento de los riesgos de información

involucrados en la adquisición de bienes y

servicios de los proveedores, por ejemplo, (una

parte de una organización o grupo puede adquirir

productos de otra parte como una transferencia

interna sin pagar por ellos).

27037

Directrices para la

identificación, recopilación,

adquisición y conservación de

pruebas digitales

La norma 27037 proporciona orientación sobre

la identificación, recolección / adquisición,

manipulación y protección / conservación de

pruebas forenses digitales, es decir, "datos

digitales que pueden ser de valor probatorio"

para su uso en los tribunales.

27038 Especificación para la

redacción digital

La norma 27038 especifica las características de

las técnicas para realizar la redacción digital en

los documentos digitales y requisitos para las

herramientas de redacción de software y los

métodos de prueba de que la redacción digital se

ha completado de forma segura pero no Incluyen

la redacción de información de bases de datos

27039

Selección, despliegue y

funcionamiento de sistemas de

detección y prevención de

intrusiones (IDPS)

La norma 27039 proporciona directrices de

ayuda a las organizaciones en la implantación de

sistemas de prevención y detección de

intrusiones (IDPS), específicamente, en las

actividades de su selección, implementación y

operativa.


29

27040

Tecnología de la información-

Técnicas de seguridad- la

seguridad de almacenamiento

Proporciona orientación técnica detallada sobre

cómo gestionar eficazmente todos los aspectos

de seguridad de almacenamiento de datos, desde

la planificación y el diseño hasta la

implementación y documentación.

27041

Orientación en asegurar la

idoneidad y adecuación de los

métodos de investigación de

incidentes

Proporciona orientación sobre los mecanismos

para garantizar que los métodos y procesos

utilizados en la investigación de los incidentes de

seguridad de información son aptos para el

propósito

27042

Directrices para el análisis y la

interpretación de la evidencia

digital

Ofrece orientación sobre el proceso de análisis e

interpretación de las pruebas digitales, que por

supuesto es sólo una parte del proceso de análisis

forense.

27043 Principios de investigación de

incidentes y procesos

Proporciona directrices que incluye modelos

idealizados de los procesos de investigación de

incidentes común a través de diversos escenarios

de investigación de incidentes que involucran

evidencia digital.

27050 Detección Electrónica

Se refiere a la fase de descubrimiento,

específicamente el descubrimiento de

información electrónicamente almacenado

(ESI), la evidencia forense en forma de datos

informáticos y el descubrimiento electrónico

(eDiscovery).

Tabla 1 Serie 27K Fuente: http://www.iso27000.es/iso27000.html

Organización del Departamento de Informática

Considerando el ámbito laboral y profesional desempeñado por varios años tanto en el

sector público y privado, nos permitimos poner en consideración la siguiente estructura

organizacional para un Departamento, Dirección o área de Tecnología de Información y

Comunicaciones, el mismo se encuentra de manera general organizado por Roles que

pueden cumplir los diferentes integrantes de dicho departamento.


30

Normas Ético Morales que regulan la actuación del Auditor

Para conocer acerca de las normas que deben regular la actuación del Auditor debemos

identificar en primer lugar los conceptos básicos tales como ético, ética, moral.

Ético

Relativo a la moral

Ética

Parte de la Filosofía que estudia los fundamentos y las normas de conducta humana.

Se puede explicar a la ética como tipo de experiencia humana o forma de comportamiento

del ser humano que estudia una forma de conducta que éstos consideran valiosa,

obligatoria y debida.

Moral

Conjunto de principios y reglas que recomiendan lo bueno y rechazan lo malo, en otras

palabras, se puede definir como hacer el bien y evitar el mal.

Según González (2002), la moral es “el conjunto de reglas, normas de comportamiento o

valores que establecen la distinción entre lo bueno y lo malo como criterio de

humanización, de perfección humana.”

Para comprender de mejor manera todo lo relacionado a la ética se puede revisar todo lo

relacionado a las siguientes corrientes éticas:

- Doctrina ética griega

- Doctrina ética aristotélica

- Doctrina ética cristiana

Figura 28 Organigrama de TI Elaborado: Los Autores


31

- Doctrina ética kantiana

- Doctrina ética marxista

- Doctrina ética existencialista

- Doctrina ética pragmática

Principios y Valores

- Honestidad, se refiere a la autenticidad, franqueza y honradez que debe presentar

el auditor

- Integridad, se refiere a los principios solidos con que se maneja tanto en el ámbito

personal como el profesional, cumple con sus convicciones

- Cumplimiento, es digno de confiar y cumple con sus promesas

- Lealtad, muestra fidelidad con su equipo de trabajo y sus auditados

- Imparcialidad, es objetivo, de acuerdo con lo que se puede comprobar y trata de

forma equitativa a sus dirigidos

- Búsqueda de la excelencia, siempre está en constante aprendizaje, tiene un alto

grado de competencia

- Respeto, consideración y estima por la dignidad de las personas

- Cumplimiento a Normas Legales y Sociales, respeta, cumple y hace cumplir leyes,

normas, reglamentos

- Ayuda a sus semejantes, trata de manera amable y justa, tiene empatía con los

demás, evalúa el trabajo de otros

- Responsabilidad, acepta las consecuencias de su trabajo, dado que es un

compromiso inevitable cuando ha emitido un informe.

- Confiabilidad, usa procedimientos y métodos necesarios que le permiten realizar

su trabajo y eso deriva en que el auditado le dé su confianza.

- Sincero, los datos que obtienen son confiables y fidedignos

- Confidencialidad, debemos ser custodios de la información que las organizaciones

nos entregan

Criterios y Responsabilidades

- Cumplir con la ética y moral

- Respetar y hacer cumplir las normas, políticas y reglamentos

- Implementar los conocimientos adquiridos

- Independencia mental y profesional


32

- Contar con habilidad, aptitud y experiencia

- Manejo de relaciones interpersonales, profesionales y laborales

- Usar de manera correcta la metodología y procedimientos

- No ocultar, modificar o destruir evidencia

- Discreto, actúa de forma imparcial

- Revisar puntos relevantes

- Emitir dictámenes razonables apegados a las evidencias encontradas

Definición de Auditoría Informática

Figura 29 Auditoría Informática Fuente: Los Autores

Según lo que se puede observar en la figura precedente, se puede definir a la Auditoría

Informática como un proceso que recoge, agrupa y evalúa evidencias que le permitan

entender sí en la organización se mantiene la integridad de datos, se protege los activos,

el uso eficaz de recursos y el cumplimiento de leyes, normas, políticas que se encuentran

establecidas.

De acuerdo con la definición establecida se pueden indicar los objetivos generales de una

Auditoría Informática:

- Proteger activos e integridad de datos

- Gestionar la eficacia y eficiencia

- Verificar el cumplimiento

- Descubrir deficiencias e irregularidades

El auditor informático evalúa y comprueba en determinados momentos los controles y

procedimientos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo

el uso del software. En muchos casos, ya no es posible verificar manualmente los


33

procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se

deberá emplear software de auditoría y otras técnicas.

El auditor es responsable de revisar e informar acerca del diseño y el funcionamiento de

los controles implantados y sobre la fiabilidad de la información entregada.

De esta manera se establecen las funciones principales que cumple un auditor:

- Planificar las actividades de auditoría

- Consensuar el cronograma de actividades propuesto

- Solicitar y analizar documentación

- Analizar datos

- Trabajo de campo (Entrevistas, encuestas, revisiones in situ)

- Revisar el nivel de eficacia, utilidad, fiabilidad y seguridad tanto de hardware

como software

- Revisar controles implementados que permitan proteger la confidencialidad de la

información, cobertura ante desastres

Delitos Informáticos

Un delito informático se lo considera como toda

actividad ilícita que se comete mediante el uso de

dispositivos de hardware (computadoras,

celulares, tablets, entre otros), sistemas

informáticos y que causan daño, provocan

pérdidas, impiden el acceso a sistemas

informáticos.

Los delitos informáticos se encuentran como reforma al Código Penal por parte de la Ley

de Comercio Electrónico, Mensajes de Datos y Firmas Electrónicas.

Los delitos informáticos son actos dirigidos contra la confidencialidad, integridad y

disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso

de dichos sistemas, redes y datos.

Figura 30 Delitos Informáticos


34

Características de los delitos informáticos

- Difíciles de demostrar

- Son actos que se pueden llevar a cabo de forma rápida y sencilla

- Evolucionan constantemente, y esto no permite la identificación

Tipos de Delitos Informáticos

- Delitos contra la Información Protegida: Violación de claves o sistemas de

seguridad

- Delitos contra la Información Protegida: Destrucción o supresión de documentos,

programas

- Falsificación Electrónica

- Daños Informáticos

- Fraude Informático

- Violaciones al Derecho a la Intimidad (Contravención)

- Pornografía Infantil

Recomendaciones para no ser víctimas de Delitos Informáticos

- No introducir datos como claves y número de tarjetas desde una red wifi pública.

- Actualizar el software periódicamente para no tener vulnerabilidades de

seguridad.

- Contar con contraseñas de alta complejidad

- Disponer de antivirus (Navegación de Internet, control paternal, detección de

sitios falsos, etc.)

- Usar páginas seguras

- Cambiar las claves periódicamente


35

Figura 31 Fuente G Data Software

1. La información personal no debe ser suministrada a nadie por medios electrónicos, en

especial datos bancarios, claves, tarjeta de crédito, etc.

2. Usar un antivirus en dispositivos que se conecten a internet como son computadoras

personales, smartphones, entre otros.

3. Actualizar el sistema operativo, navegador, aplicaciones, programas, antivirus de tal

manera que se evite el ataque de malware.

4. Enseñar a los niños el uso de internet y bloquear contenidos no apto para menores

5. No abrir los correos electrónicos spam

6. Usar contraseñas seguras, no se debe utilizar fechas de nacimiento, debe tener

mayúsculas, minúsculas, números y caracteres especiales

7. Obtener una copia de seguridad de los archivos más importantes de manera periódica,

además de configurar la opción de copia de seguridad en algunos sistemas operativos

8. Descargar aplicaciones de confianza, es decir, no instalar cualquier aplicación en su

dispositivo tecnológico

9. Conectarse a redes inalámbricas seguras, ya que redes inseguras pueden servir para que

sus datos e información sea robada


36

10. Amigos en redes sociales, identificar siempre a las personas con quien comparte datos

e información en redes sociales, ya que muchas veces puede ser objeto de engaño

Base Legal

En lo relacionado a la base legal que se usa en el país para desarrollar una auditoría

informática y evitar ser víctima de delios informáticos se tienen las siguientes leyes y

normas:

- Ley de Comercio Electrónico

- Ley de Propiedad Intelectual

- Normas de Control Interno 410 CGE

En cada una de ellas se han considerado algunos de los aspectos más relevantes:

Ley de Comercio Electrónico

Art. 1.- Objeto de la Ley. - Esta Ley regula los mensajes de datos, la firma electrónica,

los servicios de certificación, la contratación electrónica y telemática, la prestación de

servicios electrónicos, a través de redes de información, incluido el comercio electrónico

y la protección a los usuarios de estos sistemas.

Art. 11.- Definiciones Básicas. –

- Momento de emisión del mensaje de datos. - Cuando el mensaje de datos ingrese

en un sistema de información o red electrónica que no esté bajo control del emisor

o de la persona que envió el mensaje.

- Momento de recepción del mensaje de datos. - Cuando el mensaje de datos ingrese

al sistema de información o red electrónica señalado por el destinatario.

- Lugares de envío y recepción. - Los acordados por las partes, sus domicilios

legales o los que consten en el certificado de firma electrónica, del emisor y del

destinatario.

Art. 13.- Firma Electrónicas. - Son los datos en forma electrónica consignados en un

mensaje de datos para identificar al titular de la firma en relación con el mensaje e indicar

que el titular de la firma aprueba y reconoce la información contenida en el mismo.

La firma electrónica tendrá igual validez y se le reconocerán los mismos efectos jurídicos

que a una firma manuscrita en relación con los datos consignados en documentos escritos,

y será admitida como prueba en juicio. La firma electrónica en un mensaje de datos deberá

enviarse en un mismo acto como parte integrante del mensaje de datos o asociada a éste.

Para su validez, la firma electrónica reunirá los siguientes requisitos, sin perjuicio de los


37

que puedan establecerse por acuerdo entre las partes: ser individual y estar vinculada

exclusivamente a su titular, que permita verificar la identidad del signatario, mediante

dispositivos técnicos de comprobación, que su método de creación y verificación sea

confiable, seguro e inalterable para el propósito para el cual el mensaje fue generado o

comunicado y que la firma sea controlada por la persona a quien pertenece. (Arts. 14, 15,

16)

Para verificar los requisitos del certificado de la firma electrónica se debe revisar los Arts.

20, 22, de igual manera la ley establece las obligaciones y responsabilidades de las

entidades de certificación en sus Arts. 29 y 30.

En los Arts. 36, 37, 38, 28 se establecen los Organismos que promueven y difunden los

servicios electrónicos.

Ley de Propiedad Intelectual

Art. 1. - El Estado reconoce, regula y garantiza la propiedad intelectual adquirida de

conformidad con la ley, las Decisiones de la Comisión de la Comunidad Andina y los

convenios internacionales vigentes en el Ecuador.

La propiedad intelectual comprende:

- Los derechos de autor y derechos conexos.

- La propiedad industrial, que abarca, entre otros elementos, los siguientes:

o Las invenciones

o Los dibujos y modelos industriales

o Los esquemas de trazado (topografías) de circuitos integrados

o La información no divulgada y los secretos comerciales e industriales

o Las marcas de fábrica, de comercio, de servicios y los lemas

comerciales

o Las apariencias distintivas de los negocios y establecimientos de

comercio

o Los nombres comerciales

o Las indicaciones geográficas

o Cualquier otra creación intelectual que se destine a un uso agrícola,

industrial o comercial.

- Las obtenciones vegetales.


38

Las normas de esta Ley no limitan ni obstaculizan los derechos consagrados por el

Convenio de Diversidad Biológica, ni por las leyes dictadas por el Ecuador sobre la

materia.

Normas de Control Interno 410 – Contraloría General del Estado

1. Organización Informática

2. Segregación de Funciones

3. Plan Informática Estratégico de Tecnología

4. Políticas y Procedimientos

5. Modelo de Información Organizacional

6. Administración de Proyectos Tecnológicos

7. Desarrollo y adquisición de software aplicativo

8. Adquisiciones de Infraestructura Tecnológica

9. Mantenimiento y control de Infraestructura Tecnológica

10. Seguridad de Tecnología de Información

11. Plan de Contingencias

12. Administración de Soporte de Tecnología de Información

13. Monitoreo y Evaluación de los Procesos y Servicios

14. Sitio Web, Servicios de Internet e Intranet

15. Capacitación Informática

16. Comité Informático

17. Firmas Electrónicas


39

Los Riesgos y el Control Interno

Control Interno Informático

Según Pinilla Forero (1997), el Control Interno Informático es “el sistema integrado al

proceso administrativo, en la planeación, organización, dirección y control de las

operaciones con el objeto de asegurar la protección de todos los recursos informáticos y

mejorar los índices de economía, eficiencia y efectividad de los procesos operativos

automatizados.”

Por su parte Piattini y Del Peso (2000), establecen al Control Interno como “cualquier

actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores

o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus

objetivos.”

Un control se lo define como las políticas, procedimientos, prácticas y estructuras

organizacionales las mismas que se encuentran diseñadas para brindar una seguridad

razonable y que permitirán alcanzar los objetivos institucionales.

En el ámbito informático se debe tener en cuenta los tipos de controles que se usan en

este sentido serán:

- Manuales: Estos son ejecutados por el personal del área tecnológica sin el uso de

herramientas informáticas

- Automáticos: Son aquellos que se ejecutan por medio de herramientas

informáticas, es decir, se encuentran incorporados dentro del software, puede

ejecutarse a nivel de software base (Sistema Operativo, Software de Aplicación

(Sistemas de Gestión de Base de Datos, Middleware, Aplicaciones)) que verifican

ciertas condiciones de funcionamiento de la infraestructura de la tecnología de la

información (TI).

Además de la clasificación presentada los controles se pueden clasificar de acuerdo con

su finalidad en:

- Preventivos: Son aquellos que previenen y evitan que se produzcan errores o fallas

en la seguridad tanto de software como de hardware, como, por ejemplo, el uso

de antivirus, software de seguridad para controlar el acceso a redes informáticas

por medio de personas no autorizadas.

- Detectivos: Son aquellos que no se pudieron detectar con los controles

preventivos y que se los descubre una vez que se suscitó el error o falla.


40

- Correctivos: Son aquellos en los cuales se debe corregir o solucionar todos los

errores que se identificaron con los controles detectivos.

Al controlar que las actividades de la infraestructura de TI se realicen de acuerdo con los

procedimientos, estándares, políticas, normativas y leyes vigentes en la organización y el

estado, por tanto, se puede definir que la función del control informático interno es

asegurar que las medidas que se han implementado sean válidas y correctas.

Todas las actividades que se realizan dentro del Control Interno Informático son

ejecutadas o programadas por personal interno del área de TI y estas deben ser

monitoreadas para verificar su correcto funcionamiento, así como registrar posibles

ejecuciones erróneas que se puedan presentar y de esta forma poder tomar acciones

correctivas que ayuden a mitigar los riesgos en la infraestructura de TI.

Objetivos principales

- Establecer como prioridad la seguridad y protección de los diferentes elementos

de TI (Hardware, Software, Seguridad Informática, Comunicaciones)

- Impulsar la confiabilidad, oportunidad y veracidad en la recepción de datos,

procesamiento de los mismos y emisión de reportes en la organización

- Implementar procedimientos, procesos, herramientas que permitan desarrollar

de manera eficiente las tareas, actividades y funciones de los servicios

tecnológicos de acuerdo con las necesidades institucionales

- Implementar políticas, normas, procedimientos que regulen los servicios

tecnológicos, y hacer cumplir de forma cabal los mismos

- Establecer mecanismos adecuados para el análisis, diseño, desarrollo, pruebas e

implementación de sistemas informáticos, con el fin de promover los servicios

tecnológicos de manera eficiente

- Establecer los mecanismos de evaluación para la adquisición de software

propietario, el mismos que apoye de manera eficiente a los servicios tecnológicos

Funciones principales

Las funciones principales que tiene el Control Interno Informático son:

- Socializar y controlar el cumplimiento de normas, procesos, procedimientos,

políticas en la unidad de TI

- Definir la organización que se debe establecer para el Sistema de Control Interno

en la unidad de TI en los siguientes aspectos:


41

o Desarrollo y mantenimiento de software

o Compra de software propietario (licencias)

o Redes Informáticas

o Seguridad Informática

o Relaciones con proveedores

o Control de hardware existente

o Compra de hardware

o Riesgo informático

o Plan de Continuidad de los Servicios Tecnológicos

o Plan Operativo anual

o Plan Estratégico de Tecnologías de Información

Área de aplicación

De acuerdo con la definición que se realice para establecer el Sistema de Control Interno

en la unidad de TI, se puede establecer las siguientes áreas en donde se tiene que intervenir

para que se ejecuten los controles necesarios y se tengan servicios tecnológicos eficientes.

- Controles generales organizativos

- Controles en el desarrollo, mantenimiento y compra de software

- Controles en el uso de los sistemas de información

- Controles en aplicaciones

- Controles en la administración de Base de Datos

- Controles en la Red Informática

- Controles en computadoras

Controles generales organizativos

Son la base para la planificación, control y evaluación que se debe dar por parte de la

Dirección General de las actividades de la unidad de TI, y debe contener la siguiente

planificación:

- Plan Estratégico de TI

- Plan Operativo Anual

- Plan General de Seguridad (física y lógica)

- Plan de Contingencia ante desastres.


42

Controles de desarrollo, mantenimiento y mantenimiento de software

Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de datos,

protección de recursos y cumplimiento con las leyes y regulaciones a través de

metodologías como la del Ciclo de Vida de Desarrollo de aplicaciones, CMMI, Buenas

Prácticas como SCRUM, ITIL en el manejo de proyectos de desarrollo de software.

Controles en el uso de sistemas de información

Tienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición

y uso del hardware, así como los procedimientos de instalación, configuración,

administración y ejecución del software.

Controles en aplicaciones

Toda aplicación debe llevar controles incorporados para garantizar la entrada,

actualización, salida, validez y mantenimiento de los datos en forma exacta.

Controles en la administración de Base de Datos

Tienen que ver con la administración de la base de datos que almacena los datos que se

colectan por medio de los diferentes sistemas de información aplicaciones, e información

que se genera en los sistemas de información con la finalidad de asegurar su integridad,

disponibilidad y confidencialidad que son estándares que debe cumplir para asegurar la

información.

Controles en la Red Informática

Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y funcionamiento

de las redes instaladas en una organización sean estas centrales y/o distribuidas.

Controles en computadoras

Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del

hardware como del software de usuario, así como la seguridad de los datos que en los

mismos se procesan.

COSO

Según el Informe COSO define el Control Interno como “Las normas, los procedimientos,

las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad


43

razonable de que los objetivos de la organización se alcanzarán y que los eventos no

deseados se preverán, se detectarán y se corregirán”.

NIAA

El Comité Internacional de Prácticas de Auditoría ha sido autorizado a emitir Normas

Internacionales de Auditoría y Aseguramiento (NIAA). El propósito de este documento

es describir el marco de referencia dentro del cual se emiten las NIAA en relación con los

servicios que pueden ser desempeñados por los auditores.

Las NIAA son un conjunto de principios, reglas o procedimientos que obligatoriamente

debe seguir o aplicar el profesional Contador Público que se dedique a labores de

auditoría de estados financieros, con la finalidad de evaluar de una manera razonable y

confiable la situación financiera de la organización o ente por él auditados, y en base de

aquello le permita emitir su opinión en forma independiente con criterio y juicio

profesionales acertados.

La numeración de las NIAA es la siguiente:

- 200-299 Principios Generales y Responsabilidad

- 300-499 Evaluación de Riesgo y Respuesta a los Riesgos Evaluados

- 500-599 Evidencia de Auditoría

- 600-699 Uso del trabajo de otros

- 700-799 Conclusiones y dictamen de auditoría

- 800-899 Áreas especializadas

Metodología para la Gestión de Riesgos de TI

La Gestión de Riesgos se la puede definir como la aplicación sistemática de políticas,

procedimientos, normas, que permiten identificar, analizar, estimar y clasificar el riesgo,

y luego poder implementar mecanismos que ayuden a mitigar el mismo, de tal manera

que se pueda garantizar los objetivos institucionales.

La gestión de riesgos de TI es un proceso permanente que consiste en la identificación de

los activos de TI que soportan los procesos institucionales, el conocimiento y evaluación

de las amenazas y vulnerabilidades a las cuales se encuentran expuestos; con el fin de

seleccionar los controles necesarios para reducir el riesgo a niveles aceptables para la

organización.


44

Objetivos de la Gestión de Riegos de TI

- Determinar los elementos de los sistemas de tecnología de información

institucional que requieren protección, sus vulnerabilidades y las amenazas que

los ponen en peligro.

- Identificar y evaluar el riesgo, para luego recomendar medidas de mitigación

que lo reduzcan a niveles aceptables para la organización.

- Mantener seguros los sistemas de información que almacenan, procesan o

transmiten información sensible de la organización.

- Garantizar la eficacia, eficiencia, cumplimiento, confidencialidad, integridad y

disponibilidad de la información.

- Contribuir con el proceso de diseño del Plan General de Auditoría Informática,

de modo que las acciones de control a ser ejecutados enfoquen su análisis a los

activos de TI que tengan un mayor nivel de riesgo

Beneficios de la Gestión de Riegos de TI

- Ayuda al Gobierno de la organización a la implementación de políticas, planes

y procedimientos que aseguren razonablemente que los objetivos

institucionales se cumplan y que los eventos no deseados se prevengan,

detecten y corrijan.

- Impulsa dentro de la organización una cultura de gestión que procura la

salvaguarda de los activos de TI, la exactitud y la confiabilidad de la

información, la eficiencia operacional y el apego a las políticas y

procedimientos internos.

- Ayuda al Gobierno de la organización a alcanzar un balance entre riesgo e

inversión en el ámbito de control para las tecnologías de la información.

- Se la usa como herramienta base para la planificación de la auditoría

informática, dado que contribuye en la definición de la naturaleza, oportunidad

y alcance de las pruebas de auditoría que se aplicarán durante la ejecución de

una acción de control, de este modo permite enfocar el análisis en los activos

de TI con mayor nivel de riesgo.


45

Metodología de Gestión de Riesgos de TI

Determinar la estructura organizacional

Para dar inicio al proceso de Gestión de Riesgos de TI es necesario tener una visión

de que se encuentra estructurada la organización, es decir, debemos conocer la

Planificación Estratégica en donde vamos a conocer las capacidades, metas, objetivos

y las estrategias que están encaminadas para lograrlos.

En la Gestión de Riesgos de TI hay que determinar objetivos, estrategias, alcance de

las actividades que se deben llevar a cabo. El proceso debe considerar la necesidad de

equilibrar costos, beneficios y oportunidades.

Una vez que se conoce el Diagnostico Situacional de la Organización y se ha definido

el alcance de la Gestión de Riegos de TI se puede definir los niveles de aceptabilidad

y el procesamiento del riesgo, la utilidad de esta metodología está orientada a

identificar el riesgo en función del nivel, aplicar procedimientos de auditoría que

avalen que los controles que se han implementado para mitigar los riesgos estén

adecuadamente diseñados, implementados y monitoreados.

Control del Riesgo

En el control del riesgo se deben realizar los siguientes pasos:

- Identificación de Activos

- Identificación de Amenazas

Figura 33 Metodología de Gestión de Riesgos de TI – Elaborado: Los Autores

Figura 32 Metodología de Gestión de Riesgos de TI – Elaborado: Los Autores


46

- Estimación del Impacto

- Identificación de Controles

- Estimación del Riesgo

Identificación de Activos de TI

Los activos de TI son los recursos que se usan para prestar servicios de tecnología que

funcionen e manera correcta y eficiente.

Los activos de TI se los puede clasificar de la siguiente manera:

- Las aplicaciones: son sistemas de usuario que se encuentran automatizados y

pueden ser:

o Sistemas de Información (ERPs, CRMs)

o Servicios (internet, correo electrónico)

o Software (antivirus, sistemas operativos, ofimática, diseño gráfico,

entre otros)

- La información: son los datos que han sido procesados y generados por los

diferentes sistemas de información y se puede tener datos, documentos,

reportes y contratos

Figura 33 Control del Riesgo – Elaborado: Los Autores


47

- La infraestructura: se refiere a los componentes de TI que permiten el

adecuado funcionamiento de aplicaciones, por ejemplo: Hardware

(Servidores, Routers, Librerías de Almacenamiento, Cintas, Discos, entre

otros), redes de comunicaciones (LAN, WAN, entre otras), instalaciones del

Centro de Datos, Climatización

- Las personas: se refiere al personal necesario que permite planear, organizar,

adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y

los servicios de tecnología, y estos pueden ser: administradores, técnicos,

analistas, especialistas, proveedores, entre otros que tiene que ver con la unidad

de TI.

Como se puede observar en la figura precedente, se puede evidenciar que existe una

interrelación entre los activos de TI, por tanto, se puede determinar que las capas

superiores dependen de las capas inferiores.

Valoración de los Activos de TI

Una vez que se han identificado los activos de TI, se debe realizar una estimación del

valor que tienen dentro de la organización, es decir, la importancia que tienen dentro de

la misma, para realizar este cálculo se puede considerar el daño que puede causar en la

organización si un activo resulta dañado debido a:

- Confidencialidad

Figura 34 Activos TI -Fuente: http://solintels.com/arquitectura.html

http://solintels.com/arquitectura.html


48

Con la finalidad de evaluar la confidencialidad, se debe responder la siguiente

pregunta:

¿Cuál es la importancia de acceder al activo de TI, sin tener la respectiva

autorización?, para responder dicha pregunta se va a usar la siguiente escala:

Valor Criterio

0 No aplica

1 Bajo, no existe daños a la unidad afectada

3 Medio, se puede afectar a varias unidades

5 Alto, la imagen y reputación de la organización pueden ser

comprometidas Tabla 2 Evaluación Confidencialidad – Elaborado: Los Autores

- Disponibilidad

Con la finalidad de evaluar la disponibilidad, se debe responder la siguiente

pregunta:

¿Cuál es la afectación que se tendrá si el activo no se encuentra disponible?, para

responder dicha pregunta se va a usar la siguiente escala:

Valor Criterio

0 No aplica

1 Bajo, puede tener una indisponibilidad del 90%

3 Medio, puede tener una indisponibilidad del 50%

5 Alto, puede tener una indisponibilidad del 1% Tabla 3 Evaluación Disponibilidad – Elaborado: Los Autores

- Integridad

Con la finalidad de evaluar la integridad, se debe responder la siguiente pregunta:

¿Cuál es la afectación que se tendrá si el activo fuera modificado sin

autorización?, para responder dicha pregunta se va a usar la siguiente escala:

Valor Criterio

0 No aplica

1 Bajo, no se valora los errores que pueda tener la información

3 Medio, la información debe ser correcta en al menos el 50%

5 Alto, la información puede tener un error de máximo el 5% Tabla 4 Evaluación Integridad – Elaborado: Los Autores


49

Considerando que se usa valores cuantitativos la confidencialidad, disponibilidad e

integridad, de los activos de TI, el valor total de cada activo será la suma de dichos

valores, y de esta manera se podrá obtener los activos de TI más importantes para la

organización, y de esta manera se determina cuáles son aquellos que necesitan una mayor

atención. Para determinar dicha estimación se usará los siguientes rangos:

Valor Criterio Rango

MB Muy Bajo 0 – 3

B Bajo 4 – 7

M Medio 8 – 10

A Alto 11 – 14

MA Muy Alto 15

Tabla 5 Valoración Activos TI – Elaborado: Los Autores

Para realizar la valoración de los activos de TI, se debe contar con un grupo

interdisciplinario, el mismo que pueda tener la perspectiva desde el servicio, costo, riesgo

y la tecnología.

Por ejemplo, se puede realizar la valoración de los activos de TI que se muestran en la

siguiente tabla:

Activo TI Confidencialidad Disponibilidad Integridad Total Valor

Activo TI Criterio

Servidor de

Base de Datos

OLTP

5 5 5 15 MA Muy

Alto

Licencias de

Base de Datos

OLTP

1 1 1 3 MB Muy

Bajo

Laptop Quinta

Generación 1 3 0 4 B Bajo

Monitor 20" 1 1 0 2 MB Muy

Bajo

Switch Core

Central 5 5 5 15 MA

Muy

Alto

Librería de

Respaldos 3 5 5 13 A Alto

Tabla 6 Ejemplo Valoración Activos TI – Elaborado: Los Autores


50

Identificación de Amenazas

Para identificar las amenazas que los activos de TI pueden tener, se debe señalar que una

amenaza, es un evento que puede ocasionar un incidente no deseado y que puede dañar a

los activos de TI y por ende a la organización.

Las amenazas se pueden ocasionar de diferentes orígenes, entre estos tenemos:

- Desastres naturales (terremotos, inundaciones, entre otros.)

- Humanos (errores accidentales, errores de usuario, errores premeditados entre

otros.)

- Del entorno (inundaciones, fallas eléctricas, incendios, entre otros.)

- Defectos de las aplicaciones (error en desarrollo, error en el mantenimiento,

falta de actualizaciones, sobrecarga de tráfico, entre otros.)

- Actos deliberados (terrorismo, robos, ataques, entre otros.)

No todas las amenazas afectan a todos los activos de TI, sino existe una cierta relación

entre el tipo de activo y la amenaza.

Valoración de las Amenazas a los Activos de TI

Una vez determinado que una amenaza puede perjudicar a un activo de TI, hay que valorar

el daño que puede causar en el supuesto de que la amenaza se llegue a plasmar; esto se

conoce como degradación, que no es otra cosa sino el daño causado por un incidente. Se

suele caracterizar como un porcentaje del valor del activo, en términos de funcionamiento,

se tiene la siguiente escala de valoración:

Valor Criterio

10% Degradado en su funcionamiento en máximo el 10%, Bajo

50% Degradado en su funcionamiento en máximo el 50%, Medio

100% Degradado en su funcionamiento en máximo el 100%, Alto Tabla 7 Valoración Amenazas – Elaborado: Los Autores

Estimación del Impacto

Para definir la estimación del impacto que los activos de TI pueden tener, se debe señalar

que un impacto es la medida del daño sobre el activo obtenido de la ejecución de una

amenaza. Conociendo el valor de los activos y la degradación que causan las amenazas,

es directo obtener el impacto que estas tendrían. Para determinar el impacto se usará la

siguiente tabla de doble entrada que cruza el valor del activo con el nivel de degradación

causado por las amenazas:


51

IMPACTO Degradación

10% 50% 100%

Valor

del

Activo

Muy Bajo MB MB B

Bajo MB B M

Medio B M M

Alto M M A

Muy Alto M A MA

Tabla 8 Estimación del Impacto – Elaborado: Los Autores

VALORACIÓN DEL IMPACTO

VALOR CRITERIO

IMPACTO EN

OBJETIVOS

INSTITUCIONALES

IMPACTO

EN LO

OPERATIVO

IMPACTO EN LA

IMAGEN

INSTITUCIONAL

MB Muy Bajo

Incumplir de manera

parcial con un objetivo

institucional

Impacta en la

operatividad

cuando se

trata de un

proceso de

apoyo

específico

La imagen y la

credibilidad de la

organización se ven

afectados de

manera moderada

B Bajo

Incumplir con los

objetivos institucional,

de modo que haya que

cambiar el Plan

Estratégico

Impacta en la

operatividad

cuando se

trata de más

de un proceso

de apoyo

Se compromete la

imagen y

credibilidad de la

organización en

ciertos aspectos

M Medio

Incumplir con la

misión y visión de la

organización

Impacta en la

ejecución

normal de los

procesos de

apoyo

Se compromete

fuertemente la

imagen y

credibilidad de la

organización en

ciertos aspectos

A Alto

Incumplir con la

misión, visión y

objetivos

institucionales y que

causen disminución en

la credibilidad de la

organización

Se afecta de

manera fuerte

en la

operatividad

de los

procesos

principales

Se compromete

fuertemente la

imagen y la

credibilidad de la

organización

MA Muy Alto

Incumplir con la

misión, visión y

objetivos

Se afecta de

manera

directa y

Se compromete

gravemente la

imagen y la


52

institucionales y que

causen pérdida en la

credibilidad de la

organización

grave a la

operación y

ejecución de

los procesos

principales

credibilidad de la

organización a

nivel nacional

Tabla 9 Valoración del Impacto – Elaborado: Los Autores

Ejemplo de la estimación del impacto

Degradación

Activo TI Valor

Activo TI 10% 50% 100%

Servidor de Base de Datos

OLTP MA MA

Licencias de Base de Datos

OLTP MB MA

Laptop Quinta Generación B B

Monitor 20" MB MB

Switch Core Central MA MA

Librería de Respaldos A MA

Tabla 10 Ejemplo Estimación del Impacto – Elaborado: Los Autores

Identificación de Controles

Como se ha mencionado en los párrafos de Control Interno Informático, se estableció lo

que es un control y los tipos de controles que se deben manejar en el ámbito de TI que

son: preventivos, detectivos y correctivos.

Eficacia de los controles

Los controles se caracterizan, por su existencia y eficacia frente al riesgo que pretenden

mitigar. Un control ideal es 100% eficaz, bajos dos puntos de vista:

- Punto de vista técnico: es técnicamente idóneo para enfrentarse al riesgo que

protege y se lo emplea siempre

- Punto de vista de operación: se encuentra perfectamente desplegado, configurado

y mantenido, son procedimientos claros de uso normal y en caso de incidencias

los usuarios están formados y conocen, existen controles auxiliares que avisan de

posibles fallos.

La eficacia del 0% para aquellos que fallan y el 100% para aquellos que funcionan de

manera correcta y se ejecutan sin inconvenientes, se encuentran perfectamente


53

implementados, se estimará un grado de eficacia con una escala de madurez que sirva

para medir la confianza que merece el proceso de gestión del control.

MADUREZ CRITERIO EFICACIA DESCRIPCIÓN

0 Inexistente 0%

El control no ha sido implementado, la

organización no conoce que tiene

inconvenientes que solucionar

1 Inicial 15%

La organización reconoce que existen

problemas, se aplican procesos de manera

individual o caso por caso, existe

desorganización

2 Repetible 40%

Los procesos semejantes se adoptan por

diferentes personas, no existe estándares,

la responsabilidad es de la persona, existe

confianza y puede existir errores

3 Definido 70%

Los procedimientos se encuentran

documentados y socializados, son

obligatorios, son una mejora de las

prácticas existentes

4 Gestionado

y medible 85%

Se monitorea y mide los procesos, se toma

medidas cuando los procesos no

funcionan adecuadamente, se encuentran

automatizados de manera limitada, los

procesos están en mejora continua

5 Optimizado 100%

Se ha aplicado buenas prácticas a los

procesos, se usan herramientas que

permiten mejorar la calidad y la eficacia,

y esto permite que la organización se

adapte de manera rápida Tabla 11 Escala de Madurez de los Controles – Elaborado: Los Autores

El incremento en la madurez en la gestión de los controles reduce el riesgo y mejora la

eficacia, generando menos errores y el uso rentable de los recursos.

Estimación del Riesgo

El riesgo es la probabilidad de que una amenaza determinada estalle las vulnerabilidades

de un activo o grupo de activos y, por consiguiente, ocasione pérdidas o daño a la

organización. Las vulnerabilidades o las amenazas, por separado, no representan un

peligro; pero si se juntan, se convierten en un riesgo, es decir, en la probabilidad de que

ocurra un desastre provocando un impacto en la organización.


54

El riesgo de TI es un riesgo de la organización, asociado con el uso, la propiedad, la

operación, la participación, la influencia y la adopción de TI dentro de la organización.

Consiste en eventos relacionados con TI que potencialmente podrían impactar a la

organización.

Probabilidad de ocurrencia

Es la frecuencia con la cual un evento puede repetirse dentro de un período de tiempo

determinado, para su valoración se va a utilizar la siguiente tabla:

VALOR CRITERIO RANGO CÓDIGO

100 Frecuente Diario a Mensual F

10 Probable Mensual a Trimestral P

1 Ocasional Trimestral a

Semestral

O

0.1 Remota Semestral a Anual R Tabla 12 Probabilidad de Ocurrencia de un Riesgo – Elaborado: Los Autores

Riesgo Inherente

Toda organización sin importar la actividad en la que desarrolle sus operaciones se

encuentra expuesta a diversos tipos de riesgos, los mismos que están presentes en forma

de amenazas que pueden ser internas o externas que se encuentran apegadas a cualquier

actividad que se realza y no son fruto de un deficiente control, por tanto, es aquel riesgo

que por su naturaleza no se puede separar de la situación donde se genera, es propio de la

actividad o trabajo que se realiza.

Cálculo del Riesgo Potencial

Para realizar la definición del riesgo potencial se debe evaluar el impacto y probabilidad

de ocurrencia sin tomar en cuenta los posibles controles que se encuentran implementados

en la organización.

Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo

tomando en cuenta la probabilidad de ocurrencia del evento. Para determinar el riesgo se

usará la siguiente tabla de doble entrada que cruza el impacto con la probabilidad de

ocurrencia:

RIESGO PROBABILIDAD

F P O R

IMPACTO MA M A MA MA


55

A M M A MA

M B M M A

B MB B M M

MB MB MB B M

Tabla 13 Cálculo Riesgo Potencial – Elaborado: Los Autores

VALORACIÓN DEL RIESGO

VALOR SEVERIDAD CRITERIO TRATAMIENTO

MA 70 - 100 Riesgo muy

alto

Se deben hacer todos los esfuerzos para reducir el

riesgo, se pondrá a disposición todos los recursos

necesarios para controlar el riesgo, las medidas

deben implantarse inmediatamente

A 50 - 70 Riesgo alto

Se deben hacer esfuerzos considerables para

reducir el riesgo, puede que se precisen muchos

recursos para controlar el riesgo, las medidas

deben implantarse a corto plazo

M 30 - 50 Riesgo

medio

Se deben hacer esfuerzos para reducir el riesgo, las

medidas deben implantarse a mediano plazo

B 10 - 30 Riesgo

menor

Se requieren comprobaciones periódicas para

asegurar que se mantiene la eficacia de las medidas

de control

MB 1 - 10 Despreciable No se requiere acción específica

Tabla 14 Valoración del Riesgo Elaborado: Los Autores

Riesgo residual

Una vez que se han implementado las decisiones relacionadas con el tratamiento de un

riesgo, se presenta por lo general un remanente de dicho riesgo, que resulta de la relación

entre el grado de manifestación de los riesgos inherentes y la gestión de mitigación que

se haya encaminado (aplicación de controles).

Si el riesgo residual se considerara inaceptable, deben tomarse decisiones para resolver

su caso, se puede considerar identificar diferentes opciones de tratamiento de riesgo; o se

puede instaurar nuevos controles, o hacer arreglos con aseguradoras para reducir

finalmente el riesgo a niveles aceptables.

Cálculo del riesgo residual

La estimación del riesgo residual será el producto de la severidad del riesgo por el nivel

de vulnerabilidad del control, así:


56

Exposición al riesgo = Severidad ∗ (100% − % de Cobertura)

Matriz de riesgos

Una matriz de riesgos se define como una herramienta de control y gestión que se usa

para identificar los riesgos relacionados con los activos de TI. Los beneficios de contar

con una matriz de riesgo a nivel organizacional permiten generar una herramienta de fácil

manejo, que permite identificar aquellos riesgos que son prioritarios, con la finalidad de

aplicar controles y preparar o diseñar planes de prevención.

Dentro de las funciones de la Auditoría Informática está la de asistir a la organización

mediante la identificación y evaluación de las exposiciones significativas a los riesgos y

la contribución a la mejora de los sistemas de gestión de riesgos y control, de ahí la

necesidad de construir una matriz de riesgos sobre la base del experiencia, criterio y juicio

profesional del auditor.

Procesamiento del riesgo

Una vez que se haya efectuado el análisis y la evaluación del riesgo, se debe decidir cuales

acciones se han de tomar con los activos de TI que están sujetos a riesgo. Los activos de

TI que tengan un mayor nivel de riesgo y a su vez sean considerados, de alta

disponibilidad para soportar los procesos de la organización, deberán tener una prioridad

de atención inmediata.

La selección de la opción más apropiada involucra balancear el costo de implementar

cada opción contra los beneficios derivados de la misma. En general, el costo de

administrar los riesgos necesita ser conmensurada con los beneficios obtenidos.

MA A M B MB 0 1 2 3 4 5

100-70 70-50 50-30 30-10 10-1 0% 15% 40% 70% 85% 100%

BBDD OLTP x x >50

Servidores x x >50

Intranet x x <10

Internet x x <70

Computadoras PC's x x <10

MATRIZ DE RIESGOSNivel de CoberturaSeveridad

ACTIVOS TIExposición al

Riesgo

Tabla 15 Matriz de Riesgos – Fuente: Los Autores


57

Cuando el costo acumulado de la implementación de todos los tratamientos de riesgo

excede el presupuesto disponible, el plan debería identificar claramente el orden de

prioridad bajo el cual deberían implementarse los tratamientos individuales de los riesgos.

Los riesgos descubiertos pueden manejarse con una serie de controles para la detección y

la prevención, estrategias para evitar el riesgo, aceptarlo o transferirlo a terceros.

Reducir el riesgo

Para reducir el riesgo se deben implementar los controles apropiados de modo que el

riesgo alcance un nivel que se haya definido como aceptable. Los controles deben

enfocarse a reducir la posibilidad de que las vulnerabilidades sean explotadas por las

amenazas, detectar eventos no deseados, reducir el posible impacto si el siniestro

ocurriese, reaccionar y recuperarse de este.

Los controles deberán ser seleccionados, diseñados, implementados, documentados,

monitoreados y evaluados de modo que cumplan un ciclo de mejoramiento continuo, con

lo cual se garantice su eficiencia y efectividad en el tiempo.

Aceptar el riesgo

La organización asume los riesgos cuando, están por debajo de un valor de riesgo

aceptable, no se han encontrado los controles para mitigar los riesgos o la implementación

de los controles resulta más costosa que los beneficios obtenidos.

Transferir el riesgo

La transferencia del riesgo se debe dar cuando es difícil reducir el riesgo a un nivel

aceptable, por lo tanto, se intenta compartir el riesgo o que otra parte lo asuma. Los

mecanismos incluyen el uso de contratos, seguros y estructuras organizacionales.

La transferencia de riesgo a terceros, o la transferencia física a otros lugares, reducirán el

riesgo para la organización, pero puede no disminuir el nivel general del riesgo para la

sociedad.

Cuando los riesgos son total o parcialmente transferidos, la organización que transfiere

los riesgos ha adquirido un nuevo riesgo; que la organización a la cual ha transferido el

riesgo no pueda administrarlo efectivamente.


58

Evitar el riesgo

Para evitar un riesgo se debe partir del principio de que su probabilidad de ocurrencia es

alta y representa un alto peligro para la organización, porque podría traer consecuencias

muy graves en caso de la ocurrencia del siniestro.

Algunas formas de evitar un riesgo son eliminar la actividad que genera el riesgo o

sustituirla por otra que no sea tan peligrosa o que no produzca tantas perdidas, no

emprendiendo un nuevo proyecto evaluado como no factible, descartar el activo, el

proceso o incluso el área de negocio que es la fuente del riesgo.

Comunicación y consulta

La comunicación y consulta son una consideración importante en cada paso del proceso

de administración de riesgos. Es importante desarrollar un plan de comunicación para los

interesados internos y externos en la etapa más temprana del proceso.

Es importante la comunicación efectiva interna y externa para asegurar que aquellos

responsables por implementar la administración de riesgos, y aquellos con intereses

creados comprenden la base sobre la cual se toman las decisiones.

Antes de tomar cualquier decisión relativa al tratamiento de un riesgo hay que entender

los sistemas de información y cómo se usan; esto quiere decir que hay que mantener un

contacto fluido con varios actores:

- Gerencia General de la Organización: la decisión debe estar alineada con la

misión de la organización

- Usuarios Técnicos: la decisión debe tener en cuenta su impacto en la

productividad y sobre la usabilidad de los sistemas

- Proveedores: la decisión debe contar con su colaboración

Hay que tener en cuenta que cualquier medida que merme la productividad, dificulte la

operación de los sistemas, o requiera una elaborada formación de los usuarios, está

condenada al fracaso.

Toda medida debe ser apoyada por las autoridades de la organización, amparada por la

normativa interna, que debe estar socializada, de manera clara y directa en procedimientos

operativos, además es interesante disponer de indicadores que midan el grado de

aceptación por parte de los usuarios.


59

Monitoreo y revisión

Es necesario monitorear los riesgos, la efectividad del plan de tratamiento de los riesgos,

las estrategias y el sistema de administración que se establece para controlar la

implementación. Los riesgos y la efectividad de las medidas de control necesitan ser

monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades

de los riesgos.

Los resultados del análisis y la evaluación del riesgo requieren ser revisados con

regularidad para visualizar cualquier modificación. Las estructuras organizacionales, las

tareas que se ejecutan, la tecnología que se utiliza y las personas hacen una dinámica que

afecta los riesgos valorados en un momento determinado. Cualquier nueva función dentro

la organización puede significar nuevos activos de información o modificación de los

actuales. Otra fuente de cambio en el escenario de riesgos pudiera ocurrir luego de la

medición de la eficacia de los controles y por la aparición de nuevas amenazas y

vulnerabilidades.

Normativas de Gestión de Riesgos

OCTAVE

Identifica los riesgos de la seguridad que pueden impedir la consecución del objetivo de

la organización, además enseña a evaluar los riesgos de la seguridad de la información,

crea estrategias de protección con el objetivo de reducir los riesgos de seguridad de la

información prioritaria.

Fases de planificación:

- Vista de la organización

- Vista Tecnológica

- Desarrollo el plan y de la estrategia

MARGERIT

Inició con enfoques a las entidades públicas en España, pero se recomienda para todo tipo

de organizaciones, tiene varios documentos como: método, catálogos y técnicas.

Consta de cuatro fases


60

- Planificación del proyecto de Riesgos

- Análisis de Riesgos

- Gestión de Riesgos

- Selección de salvaguardas.

Auditoría Informática

Para realizar una auditoría informática se debe realizar la planeación de cómo se va a

ejecutar la auditoría, donde se debe identificar de forma clara las razones por las que se

va a realizar la auditoría, periodo del cual se va a realizar la auditoría, la determinación

del objetivo de la misma, el diseño de métodos, técnicas y procedimientos necesarios para

llevarla a cabo y para la solicitud de documentos que servirán de apoyo para la ejecución,

terminando con la elaboración de la documentación de los planes, programas y

presupuestos para llevarla a cabo.

Identificar el origen de la auditoría: Este es el primer paso para iniciar la planeación de la

auditoría, en esta se debe determinar por qué surge la necesidad o inquietud de realizar

una auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿por qué?, ¿Quién? o

¿para qué? Se quiere hacer la evaluación de algún aspecto de las TI de la organización.

Visita Preliminar al Área informática: Este es el segundo paso en la planeación de la

auditoría y consiste en realizar una visita preliminar al área de informática que será

auditada, luego de conocer el origen de la petición de realizar la auditoría y antes de

iniciarla formalmente; el propósito es el de tener un primer contacto con el personal

asignado a dicha área, conocer la distribución de los sistemas y donde se localizan los

servidores y equipos terminales en el centro de cómputo, sus características, las medidas

de seguridad y otros aspectos sobre que problemáticas que se presentan en el área

auditada.

Aquí se deben tener en cuenta aspectos tales como:

- La visita inicial para el arranque de la auditoría cuya finalidad es saber ¿Cómo se

encuentran distribuidos los equipos en el área?, ¿Cuántos, cuáles, cómo y de qué tipo

son los servidores y terminales que existen en el área?, ¿Qué características generales

de los sistemas que serán auditados?, ¿Qué tipo de instalaciones y conexiones físicas

existen en el área?, ¿Cuál es la reacción del personal frente al auditor?, ¿Cuáles son

las medidas de seguridad física existentes en el área?, y ¿Qué limitaciones se observan


61

para realizar la auditoría?. ¿Qué políticas se encuentran implementadas para el

desarrollo de las actividades dentro de TI (Administración de Infraestructura, Gestión

de Servicios, Gestión de Proyectos, Soporte, Desarrollo de Aplicaciones, etc.)?

Con esta información el auditor podrá diseñar las medidas necesarias para una

adecuada planeación de la auditoría y establecer algunas acciones concretas que le

ayuden al desarrollo de la evaluación.

Establecer los Objetivos de la Auditoría: Los objetivos de la planeación de la auditoría

son:

- El objetivo general que es el fin global de lo que se pretende alcanzar con el desarrollo

de la auditoría informática, en él se plantean todos los aspectos que se pretende

evaluar.

- Los objetivos específicos que son los fines individuales que se pretenden para el logro

del objetivo general, donde se señala específicamente los sistemas, componentes o

elementos concretos de las TI que serán evaluados.

Determinar los Puntos que serán evaluados: Una vez determinados los objetivos de la

auditoría se debe relacionar los aspectos que serán evaluados, y para esto se debe

considerar aspectos específicos del área informática y de las TI en general tales como: la

gestión administrativa del área informática, el cumplimiento de las funciones del personal

informático y usuarios de los sistemas, el desarrollo de sistemas, la operación de los

sistemas en producción, los programas de capacitación para el personal del área y usuarios

de los sistemas, protección de las bases de datos, datos confidenciales y accesos a las

mismas, protección de los respaldos de información y seguridad de la información y la

restauración de la información, entre otros aspectos.

Elaborar Planes, programas y Presupuestos para Realizar la auditoría: Para realizar la

planeación formal de la auditoría informática, en la cual se concretan los planes,

programas y presupuestos para llevarla a cabo se debe elaborar los documentos formales

para el desarrollo de la auditoría, donde se delimiten las etapas, eventos y actividades y

los tiempos de ejecución para el cumplimiento del objetivo, anexando el presupuesto con

los costos de los recursos que se utilizarán para llevarla a cabo.

Algunos de los aspectos para tener en cuenta son: Las actividades que se van a realizar,

los responsables de realizarlas, los recursos materiales y los tiempos; el flujo de eventos


62

que sirven de guía; la estimación de los recursos humanos, materiales e informáticos que

serán utilizados; los tiempos estimados para las actividades y para la auditoría; los

auditores responsables y participantes de las actividades; Otras especificaciones del

programa de auditoría.

Identificar y seleccionar los Métodos, herramientas, Instrumentos y Procedimientos

necesarios para la Auditoría: En esta fase se debe determinar la documentación y medios

necesarios para llevar a cabo la revisión y evaluación en la organización, seleccionando

o diseñando los métodos, procedimientos, herramientas, e instrumentos necesarios de

acuerdo con los planes, presupuestos y programas establecidos anteriormente para la

auditoría.

Para ello se debe considerar los siguientes puntos: establecer la guía de ponderación de

cada uno de los puntos que se debe evaluar; elaborar una guía de la auditoría; elaborar el

documento formal de la guía de auditoría; determinar las herramientas, métodos y

procedimientos para la auditoría de sistemas; diseñar los sistemas, programas y métodos

de pruebas para la auditoría.

Asignar los Recursos para la auditoría: Finalmente se debe asignar los recursos que serán

utilizados para realizar la auditoría. Con la asignación de recursos humanos, informáticos,

tecnológicos y de cualquier otro tipo se llevará a cabo la auditoría.

Diferencias entre Control Interno Informático y Auditoría Informática

Control Informático Interno Auditoría Informática

Frecuencia Cada día En un periodo determinado

Informa Unidad, dirección, área de

Tecnología de la Información y

Comunicaciones

Dirección general de la

organización

Personal Interno, que desarrolla sus

actividades en la unidad de

Tecnología de la Información y

Comunicaciones

Participa personal interno y externo

Alcance Sus funciones se las realiza

exclusivamente en su unidad

Cubre todos los componentes de un

sistema de información que está

funcionando en la organización

Tabla 16 Diferencias Control informático interno con Auditoría Informática


63

CAPÍTULO II – MARCOS DE REFERENCIA DE TECNOLOGÍAS DE

INFORMACIÓN Y COMUNICACIONES

Conceptos básicos de COBIT 5

Fundamentos COBIT 5

Introducción

En la actualidad cada organización tiene sus propias características, es decir, de acuerdo

con su naturaleza tienen diferentes tipos de clientes, tecnología, recurso humano,

modelos de gestión, estructura organizacional y la forma de interactuar con terceros ya

sean estos proveedores o clientes. La Planificación Estratégica de cada organización

depende de los objetivos y necesidades que deben cubrir, por tanto, no son iguales.

Con la automatización de los procesos que se desarrollan en la organización y dado el

avance y uso intenso de las TI, se puede establecer que estas desempeñan un papel

importante en el manejo de la información, considerando que la información les sirve

para realizar negocios, tomar decisiones. Las organizaciones manejan la información

desde su creación, luego su administración en donde pueden actualizar la misma y al final

incluso puede eliminarla. Las TI se encuentran inmersas en diferentes ámbitos como son

el social, cultural, deportivo y corporativo, dado que se encuentran en constante

evolución.

Figura 35 ¿Qué es COBIT? – Fuente: Los Autores


64

En las diferentes organizaciones con el transcurso de los años han incorporado TI que les

permita mejorar los procesos de negocio y la relación que mantienen con clientes,

proveedores y entidades de regulación, en este sentido se puede establecer que existen

organizaciones que han llegado a un proceso de madurez alto, otras se encuentran en un

nivel intermedio y otras se encuentran iniciando la implementación de procesos TI.

Las TI son un sistema que abarca diferentes conceptos, pero los más relevantes se refieren

a los técnicos y la gestión del recurso humano que se lo debe considerar como el más

importante, después de la información, considerando que gracias al recurso humano se

logra implantar los procesos que se encuentran en la Cadena de Valor de la organización,

mediante las TI.

Para Rezende (2008), las TI representan un recurso tecnológico que les permite preservar,

gestionar el uso de la información y del conocimiento, por medio de sistemas,

aplicaciones, telecomunicaciones, gestión de datos e información, desde este punto de

vista se puede considerar a la información como un activo esencial para que las

organizaciones puedan tener una ventaja estratégica.

El ITGI - IT Governance Institute (2003), describe a las TI como un conjunto de procesos,

los mismos que dependen de la interacción entre personas, tecnología y la estructura

organizacional, esto nos lleva a tener que las TI y la organización están compuestos por

los siguientes factores Personas, Procesos y TI.

Figura 36 Factores de las TI – Elaborado: Los Autores

Desde el punto de vista de la organización la gestión de TI, se la puede considerar fácil,

pero en la realidad no es así, considerando que el manejo de TI en la organización se ha

convertido en un factor crítico de éxito, el mismo que permite generar valor y beneficios

para la organización.


65

Para garantizar una gestión eficiente de los recursos de TI representa un desafío para las

organizaciones innovadoras, pues esta actividad abarca aspectos complejos de naturaleza

técnica y humana que necesitan interactuar para obtener sinergia entre las áreas de

negocio y de TI de las organizaciones. El área de TI tiene un impacto alto dado que debe

proveer, mantener y gestionar los recursos de TI de forma eficiente, eficaz, segura y

disponible para todos los interesados en las actividades de negocio de la organización.

Considerado el escenario en el que se devuelven las organizaciones en la actualidad, se

necesita que las organizaciones tengan personas capacitadas para liderar y gobernar un

ambiente complejo, de manera que se usen marcos de referencia adecuados para la gestión

y el gobierno de TI.

Al hablar de marcos de referencia que se relacionan con los factores que influyen en la

gestión de TI, se puede sintetizar en la siguiente figura:

Figura 37 Estándares para la Gestión de TI - Fuente: http://www.iedge.eu

http://www.iedge.eu/


66

Autoevaluación

Una vez que se ha establecido como las TI influyen en las organizaciones, se puede

establecer el siguiente cuestionamiento ¿Cuál de los factores Procesos, Personas y TI es

el más importante para el éxito en la gestión de la Tecnología de Información en la

organización?

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

Indique al menos dos buenas prácticas de gestión TI que se han implementado en la

organización, en cada uno de los factores, procesos, personas y TI

Procesos

______________________________________________________________________

______________________________________________________________________

Personas

______________________________________________________________________

______________________________________________________________________

TI

______________________________________________________________________

______________________________________________________________________

¿Qué es el Gobierno de TI?

En el área de TI la función principal es atender las necesidades que el negocio requiera

para lograr alcanzar las estrategias de acuerdo a las leyes, normas, reglamentos, políticas

tantos internos como externos, las estrategias y los requisitos legales varían de acuerdo a

la naturaleza de las organizaciones, con este antecedente nace el término “Gobierno de

TI”, el mismo que en la actualidad es muy discutido en las organizaciones dado que

existen pocos directivos que ven a la TI como un área asesora que ayuda a cumplir con

los objetivos y estrategias institucionales.


67

Fernandes y Abreu (2008), señalan que el principal objetivo del Gobierno de TI es alinear

a las TI con los requisitos de la organización, estableciendo como principal plataforma la

continuidad del negocio, la atención a las estrategias, normativas tanto internas como

externas.

Desde el punto de vista Weill y Ross (2004), establecen el Gobierno de TI como los

derechos de decisión y el marco de rendición de cuentas para alentar una conducta

deseable en el uso de TI.

El Gobierno de TI es de responsabilidad de las más altas esferas que lideran una

organización, en las estructuras organizacionales y en los procesos para organizar que las

TI de la organización apoyen y entiendan las estrategias de la organización (ITGI, 2007).

Objetivos del Gobierno de TI

- Posicionar a TI con las demás áreas de negocio

- Entender las estrategias de negocio y convertirlos en planes para sistemas,

aplicaciones, procesos e infraestructura

- Alinear las iniciativas de TI con las estrategias de negocio

- Priorizar lo que se ha planificado, siempre tomando en cuenta las necesidades y

prioridades del negocio, sin dejar de lado las restricciones financieras y de recursos

humanos.

- Alinear los recursos de TI con las necesidades de la organización

- Planificar y priorizar la implantación de proyectos y servicios de acuerdo con las

necesidades del negocio ya sea a corto, mediano o largo plazo

- Proveer de servicios de TI de acuerdo con las necesidades de la organización

- Ejecutar proyectos de acuerdo con los procesos operacionales que se encuentren

definidos con los recursos apropiados.

- Gestionar los riegos y la continuidad del negocio

- Mantener procesos para la Gestión de la Seguridad de la Información, mitigación de

riesgos y continuidad operacional del negocio

- Asumir la responsabilidad sobre las decisiones y acciones relacionadas a TI

- Identificar las responsabilidades sobre la toma de decisiones y necesidades de

inversión en recursos de TI

Para tener Gobierno de TI se debe cumplir con el Plan Director, el mismo que debe

contener lo siguiente:


68

1. Plan de Gestión de Riegos

2. Plan de Seguridad de la Información

3. Plan de Recuperación de Desastres

4. Plan Operativo Anual de TI

El Plan Director de TI (PD) se lo realiza una vez que se ha definido el Plan Estratégico

de Tecnologías de la Información (PETI), el mismo que debe estar acorde con el Plan

Estratégico Institucional (PEI).

Ejercicios de autoevaluación

De acuerdo con su criterio indique que entiende como “Gobierno de TI”

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

Cite tres Objetivos de Gobierno TI que se han definido en la organización que usted labora

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

Las áreas de enfoque del Gobierno de TI se pueden agrupar en cinco áreas que son:

- Alineamiento estratégico

- Entrega de valor

- Administración de riesgos

- Administración de recursos

- Medición del desempeño

Alineamiento

estratégico

Se enfoca en asegurar el enlace de los planes del negocio

y de TI; en definir, mantener y validar la proposición de

valor de TI y en alinear las operaciones de TI con las

operaciones de la organización. La pregunta clave es si la

inversión de una organización de TI está en armonía con

sus objetivos estratégicos

Entrega de valor Se refiere a ejecutar la proposición de valor a través de

todo el ciclo de entrega, asegurando que TI entrega los


69

beneficios acordados alineados con la estrategia,

concentrándose en la optimización de costos, y

demostrando el valor intrínseco de TI, es decir, se entrega

a tiempo y dentro del presupuesto

Administración de

riesgos

Se cumplir con lo siguiente:

- Conciencia de riesgo por parte de los directivos

de la organización

- Un claro entendimiento del apetito de riesgo de la

organización

- Un entendimiento de los requerimientos de

cumplimiento

- Transparencia sobre los riesgos significativos de

la organización

- Implementar las responsabilidades de la

administración de riesgos dentro de la

organización

Administración de

recursos

Se refiere a la inversión óptima y a la adecuada

administración de los recursos críticos de TI tales como:

aplicaciones, información, infraestructura, datos

Medición del

desempeño

Da seguimiento y supervisa la estrategia de

implementación, la finalización de proyectos, el

desempeño de procesos y la entrega de servicio. Si no hay

forma de medir y evaluar las actividades de TI, no es

posible gobernarlas ni asegurar el alineamiento, la

entrega de valor, la administración de riesgos y el uso

efectivo de los recursos. Tabla 17 Áreas de Enfoque de Gobierno TI – Fuente: ITGI

Componentes de Gobierno TI

Según Weill y Ross (2004), el gobierno de TI abarca varios mecanismos y componentes,

que lógicamente integrados, permiten el desdoblamiento de la estrategia de TI (Plan

Estratégico de Tecnologías de Información) para el soporte y operación de los productos

y servicios utilizando recursos de TI (Plan Operativo Anual de TI), se va analizar los

principales componentes y mecanismos que se deben aplicar a TI para que se pueda

proveer un Gobierno de TI de manera eficaz y eficiente.

Alineación estratégica de TI

Busca la integración y adecuación de la TI en relación con las necesidades actuales y

futuras de la organización, en términos de arquitectura, infraestructura, aplicaciones,


70

procesos y estructura organizacional, considerando que TI existe para cumplir los

requerimientos de la organización.

Principios de TI

Representan las reglas, normas, políticas que se encuentran definidas por la

administración de la organización, las cuales deben ser ejecutadas por todos los miembros


Además, que aportan en forma significativa en:

- Proceso de Toma de Decisiones

- Arquitectura de TI

- Infraestructura de TI

- Adquisición y Desarrollo de aplicaciones

- Gestión de activos de TI

- Formulación de Políticas de TI

Aplicaciones de TI

Son las soluciones de negocio que provienen de los sistemas de información (SI) y la

disponibilidad de servicios de TI desarrollados, adquiridos y mantenidos por la

organización para atender las necesidades estratégicas, operacionales y de continuidad

del negocio.

La estrategia que defina la organización sobre las aplicaciones de TI definirá cuales se

deberán desarrollar, mantener, mejorar, implantar, sustituir, de acuerdo con las

necesidades de la organización.

Infraestructura de TI

Se relaciona con la capacidad técnica y humana de TI disponible en la organización,

incluyendo servicios compartidos, confiables y usados en diferentes aplicaciones.

Además, se define los servicios de TI requeridos por la organización para la gestión de

datos, comunicaciones, gestión de activos de TI, disponibilidad, seguridad de la

información, normas para las interfaces y recursos tecnológicos necesarios que permitan

conseguir la estrategia de la organización, también se puede usar la infraestructura de TI

para permitir la conexión entre socios y proveedores de TI para la organización.


71

Responsabilidades de TI

Se refiere a la capacidad en recursos humanos que se debe tener para cubrir las

necesidades de atención de servicios de TI.

Outsourcing de Servicios TI

Comprende la definición del alcance de los servicios para tercerizar y las alternativas de

asociarse con algún proveedor de servicios, se debe tener en cuenta que hay que definir

la gestión del desempeño de los proveedores y prestadores de servicios, de acuerdo con

los servicios que va a ejecutar.


Se debe establecer políticas, normas, procedimientos referentes a la seguridad de las

aplicaciones, infraestructura, datos, información, personas, socios, proveedores de la

organización.

Capacitación de Recurso Humano

Se relaciona con las competencias, habilidades y actitudes requeridas y necesarias para

implantar las iniciativas y soluciones de TI que estén basadas en las necesidades de la

organización, además que se debe considerar las actividades, tareas, subprocesos,

procesos y servicios de TI ejecutados por la organización.

Organización de los procesos de TI

Se refiere a la manera de como los servicios y productos de TI son desarrollados,

administrados y entregados a los clientes internos y externos, además se debe definir las

responsabilidades de roles, procesos de acuerdo con las necesidades de la organización.

Inversiones y costos de TI

Se refieren a los aspectos financieros involucrados en la administración y soporte de la

organización tales como aplicaciones, infraestructura y personas. Se debe identificar,

analizar, monitorear y controlar los costos de TI de tal manera que se pueda garantizar un

retorno de la inversión.


72

Relación con clientes internos y externos

Se trata de la interacción de los usuarios internos y externos con el área de TI, los mismos

que abarca los procesos que deben definir los responsables de la solicitud de servicios,

procedimientos operacionales, indicadores de evaluación, canales de comunicación,

capacitación y entrenamiento a los usuarios sobre el uso de todos los servicios

tecnológicos y desarrollo de proyectos.

Rendimiento de TI

La administración debe definir indicadores que le permitan medir el rendimiento del área

de TI con el cumplimiento de metas, según las estrategias y necesidades de negocio de la

organización.

Así los indicadores guiarán a la administración de TI a atender metas de rendimiento que

sean compatibles con los objetivos de la organización definidos para la prestación de

servicios de TI.

Se definen los niveles de servicio entre el área de TI y las áreas de la organización, los

mismos se denominan SLA (Service Level Agreement) Acuerdos de Nivel de Servicios,

además se definen niveles de servicio entre las unidades internas del área de TI que se

denominan OLA (Operational Level Agreement) Acuerdos de Nivel Operacionales,

permitiendo englobar todo el ciclo de actividades de TI.

La gestión de rendimiento de TI se refiere al monitoreo de los objetivos de desempeño de

las operaciones de servicios en términos de desarrollo de aplicaciones, soporte a servicios,

entrega de servicios, seguridad de la información y monitoreo de acuerdos firmados.

Autoevaluación

Responda las siguientes preguntas, recuerde que se debe considerar el entorno de la

organización en la que trabaja.

Indique tres buenas prácticas o estándares adoptados en la organización para cada uno de

los componentes de gobierno de TI listados a continuación:

Rendimiento de TI


73

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

Responsabilidades de TI

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________


______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

Aplicaciones de TI

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________


______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

Rendimiento de TI

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________


______________________________________________________________________

______________________________________________________________________


74

______________________________________________________________________

______________________________________________________________________

Principales marcos de referencia de Gobierno de TI

El Gobierno de TI comparte las decisiones de TI con los principales actores de la

organización y el establecimiento de políticas, normas, reglas y procedimientos para el

uso eficiente y eficaz de las TI por parte de todos los interesados (clientes, funcionarios,

proveedores, áreas de negocio, gobierno) en las actividades de la organización de tal

manera que se determine como se deberá proveer los servicios TI.

A continuación, se presenta un resumen se los principales marcos de referencia

relacionados con el Gobierno de TI.

Marco de Referencia Alcance

COBIT 5

Modelo para el Gobierno corporativa de

TI desarrollado a partir de cinco principios

y basado en siete habilitadores

TOGAF: The Open Group

Architecture Forum

Modelo de Arquitectura corporativo que

aborda de forma global, el diseño,

planificación, implementación y gobierno

desde la tecnología, dato, aplicación y

negocio.

COSO: Comitee of Sponsoring

Organizations of the Tradeway

Comission

Es una estructura de gestión de riesgos

corporativos capaz de ofrecer los

principios y conceptos fundamentales

utilizando un lenguaje común, y está

compuesto por ocho componentes

interrelacionados

ITIL: Information Technology

Infrastructure Library

Modelo aplicado a la infraestructura de TI,

comprende desde la estrategia, el diseño,

la transición, la operación y la mejora

continua de los servicios de TI

PMBOK: Project Management Body

of Knowledge

Modelo aplicado a la gestión de proyectos,

el mismo que mide el alcance, costo y


75

tiempo de un proyecto, para ejecutarlo de

la mejor manera.

BSC: Balanced Score Card Modelo de Planificación y gestión de

desempeño de la estrategia organizacional

VAL IT

Modelo de Gobierno TI que se encuentra

basado en COBIT 4.1 que se apoya en los

procesos de soporte que están

relacionados con la evaluación y selección

de inversiones de negocios viables de TI.

Tabla 18 Marcos de Referencia Gobierno de TI – Elaborado por los Autores

Investigue acerca de los siguientes marcos de referencia que se pueden usar en el

Gobierno de TI:

- ISO 31000:2009

- CMMI

- ISO 20000

- ISO 22301

- ISO 27000

- ISO 27001

- ISO 38500

- ISO 17799

- eSCM – CP

- PRINCE

- Six Sigma

- SAS 70

- RISK IT

A continuación, se mencionan las principales normas que se usan en el Gobierno de TI

se debe tener en cuenta que cada marco de referencia tiene un propósito, alcance y

objetivos definidos, y en base a los cuales las organizaciones y en especial los directivos

de TI se deben basar para establecer las estrategias necesarias que les permita estar

alineados con los objetivos institucionales:

- CMMI

- ITIL


76

- COSO

- ISO 38500

- ISO 27001

- PMBOK

- COBIT

- BSC

De la lista que se indica a continuación relacione o empareje los marcos de referencia con

la finalidad que tiene cada uno,

1. Continuidad de Negocios a. COSO

2. Planificación del Desempeño b. TOGAF

3. Gestión de Riesgos c. ITIL

4. Gestión de Servicios TI d. BSC

5. Gestión de Proyectos e. COBIT 5

6. Gobierno Corporativo de TI f. PRINCE

7. Arquitectura Empresarial g. ISO 22301

8. Ambiente de Control h. ISO 31000

Introducción a COBIT 5

COBIT 5, publicado por ISACA el 9 de abril de 2012, es la evolución de la familia

COBIT, apoyado en más de 15 años de experiencia, es el resultado del trabajo de expertos

de los cinco continentes, además de contar con la retroalimentación de miembros de

ISACA.


77

Figura 38 Evolución COBIT -Fuente www.isaca.org/cobit

COBIT está estructurado en: Resumen Ejecutivo, ocho capítulos y 8 apéndices.

Figura 39 Estructura COBIT 5 – Fuente: Los Autores

Familia de productos de COBIT 5

La publicación COBIT 5 contiene el marco de referencia COBIT 5 para el gobierno y la

gestión de las TI en la organización. La publicación es parte de la familia de productos

de COBIT 5, como se muestra en la siguiente figura:

http://www.isaca.org/cobit


78

Figura 40 Familia de Productos COBIT 5 - Fuente COBIT® 5, © 2012 ISACA® Todos los Derechos Reservados.

COBIT 5

Se construye sobre los cinco principios básicos, los mismos que quedan cubiertos en

detalle e incluyen la guía sobre los habilitadores para el gobierno y la gestión de las TI en

la organización.

Guías Habilitadoras de COBIT 5

Es un conjunto de guías de los procesos habilitadores, las mismas comprenden las

publicaciones COBIT 5 Procesos Habilitadores, Información Habilitadora (en desarrollo)

y Otras Guías Habilitadoras (Revisar www.isaca.org/cobit).

Guías Profesionales de Orientación de COBIT 5

Se trata de un conjunto de guías profesionales que incluyen:

• Implementación de COBIT 5

• COBIT 5 para la Seguridad de la Información (en desarrollo)

• COBIT 5 para el Aseguramiento (en desarrollo)

• COBIT 5 para Riesgos (en desarrollo)

• Otras guías profesionales (Revisar www.isaca.org/cobit)

Ambiente Colaborativo en Línea

Se encuentra disponible para dar soporte al uso de COBIT 5.


79

En resumen, la familia de COBIT 5 tiene como objetivos:

• Unificar las publicaciones COBIT 4.1, Val IT 2.0, Risk IT y BMIS en una sola

publicación

• Desarrollar las áreas de TI que necesitan de contenidos actualizados

• Alinear con otros marcos de referencia

• Definir el conjunto de habilitadores de gobierno y gestión a partir de la estructura

básica

• Ofrecer una sólida base de referencia de buenas prácticas en TI

Buscando el Gobierno Corporativo de TI

En las organizaciones las TI representan un recurso indispensable, además que se ha

convertido en un factor diferencial para cumplir los objetivos y estrategias institucionales,

por tanto, el Gobierno y la Gestión de TI son elementos esenciales para que las

organizaciones sean exitosas en los negocios.

En al ámbito organizacional los procesos de negocio tienen una vinculación sumamente

fuerte con las TI. Los directores, jefes de TI tienen un rol fundamental en el apoyo para

que los negocios tengan éxito, considerando que las áreas de negocio y TI deben actuar

en conjunto, con esto se da inicio a incluir a las TI en el contexto del Gobierno

Corporativo y de la Gestión Estratégica de las organizaciones.

La integración del Gobierno de TI al Gobierno Corporativa de la organización conduce

al concepto de Gobierno Corporativo de TI.

Los 5 Principios de COBIT 5

En este apartado se citan los cinco principios de COBIT 5 que se usan para el Gobierno

y la Gestión de TI en las organizaciones, además de analizar la influencia que dichos

principios en el Gobierno y la Gestión de TI, y poder establecer lineamientos para su

aplicación.

Un principio se lo puede definir como una ley o norma que se debe cumplir con cierto

propósito.


80

Figura 41 Principios COBIT® 5, © 2012 ISACA® Todos los derechos reservados

Principio 1: Satisfacer las necesidades de las partes interesadas

Las partes interesadas (clientes externos, internos, funcionarios, proveedores accionistas,

etc.), son la razón de ser de las organizaciones, dado que las mismas existen por un

determinado objetivo, y de esa manera se debe crear valor para las partes interesadas, por

tanto, en la organización se debe mostrar un equilibrio en la realización de beneficios,

optimización de riesgos y de recursos, sin tomar en cuenta el origen, tamaño, finalidad.

El ambiente de TI debe estar adecuado a las estrategias y necesidades de la organización,

considerando que todas las organizaciones son únicas.

El alineamiento entre el negocio y TI es elemental para lograr los objetivos estratégicos


En el ámbito de COBIT 5, el Gobierno tiene por objetivo crear valor, a partir de las

necesidades de los interesados, pero optimizando el riesgo y los recursos, como se puede

ver en la siguiente figura:


81

Necesidades de las partes interesadas

Con la implementación de COBIT 5, la organización debe identificar cuáles son las

necesidades de las partes interesadas, dichas necesidades se pueden relacionar a aspectos

sociales, económicos, financieros, tecnológicos, ambientes, etc., las mismas que se

convertirán en los objetivos estratégicos que debe cumplir la organización, de tal manera

que se puede identificar cuáles serán los objetivos de TI que permitirán lograr dichos

objetivos. La creación de valor para la organización se consigue con un equilibrio entre

la realización de beneficios, la optimización de riesgos y la optimización de recursos.

Realización de Beneficios

Los beneficios para la organización se relacionan a aspectos económicos, financieros,

sociales, tecnológicos, entre otros; el conseguir lo beneficios se encuentra relacionado de

manera directa con la misión de la organización, es decir, con su razón de ser.

Optimización de riesgos

Optimizar el riesgo implica el reconocimiento, evaluar el impacto, la probabilidad de

ocurrencia, la definición de estrategias para minimizar el riesgo que permita minimizar el

impacto, transferirlo, de tal manera que se pueda administrar los riesgos.

Figura 42 Objetivos de Gobierno COBIT® 5, © 2012 ISACA® Todos los derechos reservados


82

Optimización de recursos

Al hablar de recursos se hace referencia a las personas, los procesos, y la tecnología, que

permitirán a la organización cumplir con los objetivos estratégicos, por tanto, se debe

considerar que la optimización de recursos trata sobre el uso eficaz, eficiente y

responsable de los recursos humanos, financieros, tecnológicos entre otros.

Equilibrio entre beneficios, riesgos y recursos

Cada organización tiene diferentes partes interesadas, por tanto “la creación de valor”

puede tener significados diferentes y puede existir conflicto dentro del ámbito de la

organización.

Por tanto, el Gobierno Corporativo debe considerar a todas las partes interesadas al tomar

decisiones sobre la evaluación de los recursos, beneficios organizacionales y

minimización del riesgo, pues para cada decisión se puede, y se debe, hacer las siguientes

preguntas:

- ¿Quién recibe los beneficios?

- ¿Quién asume el riesgo?

- ¿Qué recursos se necesitan?

Autoevaluación

Investigue las siguientes cuestiones dentro de la organización que usted trabaja

- Identifique las partes interesadas en su organización

- Identifique las necesidades que tienen las partes interesadas

- Identifique cuales son conflictos entre las partes interesadas, es positivo

- Existen normas o procedimientos para resolver los conflictos

- Desde su perspectiva, TI atiende de manera efectiva las necesidades de las

partes interesadas

- ¿Cómo debe actuar TI para crear valor a los objetivos de la organización de

tal manera que atienda las necesidades de las partes interesadas?

Lo expuesto se resume en la siguiente figura:


83

Figura 43 Resumen Principio 1 – Fuente: Los Autores

Principio 2: Cubrir la organización de forma integral

COBIT 5 se concentra en el gobierno y la gestión de TI las mismas que deben ser

consideradas desde una perspectiva integral a nivel de toda la organización, por tanto, el

Gobierno abarca las áreas operativas, tácticas y estratégicas en la organización, así

también debe considerar a las personas responsables de las actividades.

Esto significa que COBIT 5:

- Integra el gobierno corporativo de TI en el gobierno corporativo, o sea, el

sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra,

de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT

5 está alineado a los últimos desarrollos en gobierno corporativo.

- Cubre todas las funciones y los procesos dentro de la organización; COBIT 5

no solamente se concentra en la “Función de la TI”, sino trata la tecnología de

la información y relacionadas como activos que necesitan ser manejados como

cualquier otro activo, por todos en la Organización.

Con estos principios, se puede observar que COBIT 5 engloba a todos los procesos de

negocio y servicios que son soportados por TI, ya sean internos o externos a la

organización.

Considerando el Principio 1 en donde se establece que para crear valor para las partes

interesadas debe existir un equilibrio entre la obtención de beneficios, optimización de

recursos y riesgos, al cubrir la organización de manera integral (extremo a extremo / punta

a punta) se debe considerar que COBIT provee 7 Habilitadores de Gobierno, los cuales


84

que deben estar alineados a la creación de valor, además se debe considerar el alcance

que debe tener el Gobierno Corporativo.

Tanto los habilitadores como el alcance de gobierno están relacionados con los roles,

actividades y relaciones que deben tener para cumplir la “Creación de Valor”.

COBIT engloba todos los procesos de negocio y servicios que son soportados por TI, ya

sean estos internos o externos.

Figura 44 Componentes del Sistema de Gobierno, © 2012 ISACA® Todos los derechos reservados

En la figura anterior se ha plasmado el enfoque de gobierno de cubrir la organización de

forma integral, es decir, de punta a punta, extremo a extremo.

Habilitadores de Gobierno

COBIT define siete habilitadores para que se logre un eficiente sistema de gobierno, los

mismos son:

1. Principios, políticas y marcos de referencia

2. Procesos

3. Estructuras organizacionales

4. Cultura, ética y comportamiento

5. Información

6. Servicios, Infraestructura y aplicaciones

7. Personas, Habilidades y Competencias


85

Mediante estos habilitadores se logrará alcanzar los objetivos institucionales, es necesario

resaltar que la falta de personal, políticas puede afectar en la capacidad de la organización

para crear valor.

Alcance de Gobierno

Abarca a toda la organización, área de negocios, activos tangibles e intangibles, además

se puede indicar que el alcance se encuentra relacionado con la gestión de proyectos,

evaluación de riesgos, seguridad de la información, desarrollo de sistemas,

mantenimiento de infraestructura, entre otros, es por eso por lo que en cada organización

se debe definir el alcance que se va a dar al gobierno.

Roles, actividades y relaciones

En este sistema se identifica los elementos principales a ser adoptados en una estructura

organizacional, en la siguiente figura se puede observar el flujo y las interacciones que

se presentan entre las diferentes funciones de la organización.

Figura 45 Roles, actividades y relaciones © 2012 ISACA® Todos los derechos reservados

En la figura anterior se definen los actores, relaciones e interacciones que se dan a cabo

en el alcance de un sistema de gobierno, además se puede observar las actividades

organizacionales relacionadas al gobierno y gestión.

Autoevaluación

Resuelva las siguientes preguntas

- Indique los tres componentes principales del gobierno de extremo a extremo

propuesto por COBIT 5

Responda las siguientes preguntas considerando el entorno de la organización en

donde usted labora


86

- De los siete habilitadores de gobierno, identifique los tres menos desarrollados

de tal manera que la gerencia le preste mayor atención para que se pueda

mejorar la efectividad del gobierno.

- ¿Cuál es el alcance del gobierno?, Qué criterios se consideraron para la

definición del alcance del gobierno?

- Basado en la figura de roles, actividades y relaciones y considerando la

estructura organizacional de TI, identifique las principales funciones y

actividades con el gobierno (responsables, directiva, administración,

operaciones y ejecución, aquí se debe identificar personas y funciones que

aporten al sistema de gobierno)

Principio 3: Aplicar un Marco de Referencia Único Integrado

Al revisar los principales marcos de referencia de TI, que se trataron anteriormente

podemos indicar que existen diversas normas ISO, buenas prácticas de TI, calidad,

organización, entre otros. Cada estructura está compuesta por orientaciones específicas

para un subconjunto de actividades de TI dependiendo del alcance que tenga el modelo o

marco de referencia usado., por tanto, el tercer principio actúa como una estructura

unificada integrada de alto nivel para el gobierno y la gestión de TI, de tal manera que se

factible la alineación con normas, modelo, marcos de referencia de buenas prácticas de

TI.

COBIT 5 se le puede considerar una estructura única e integrada en un lenguaje común y

no técnico y agnóstico – tecnológico de acuerdo con:

- Se basa en una arquitectura simple

- Se alinea con otras normas y con esto la organización se ogra que se integre

la estructura de gobierno y gestión

- Es completo, ya que cubre toda la organización, dado que se puede integrar

con otras estructuras, normas y prácticas usadas

La siguiente figura muestra como COBIT 5 es usado como una estructura integrada para

ser considerada un modelo único para el sistema de gobierno de las organizaciones.


87

Figura 46 Marco de referencia integrado único de COBIT 5 © 2012 ISACA® Todos los derechos reservados

Se puede observar como la “Base de Conocimiento COBIT 5” es un modelo y estructura

central de orientación de las buenas prácticas aplicadas a TI, que es soportada por Guías

de ISACA, nuevos materiales, otros estándares y marcos además de los habilitadores o

catalizadores.

Autoevaluación

Indique porque a COBIT 5 se le puede considerar una estructura única e integrada

que permita regular el sistema de gobierno de las organizaciones.

Principio 4: Hacer Posible un Enfoque Holístico

Para que el gobierno y la gestión de las organizaciones puedan ser eficientes y eficaces

se requiere un enfoque sistemático que considere diferentes componentes enlazados, para

lograr que las propiedades de un sistema se pueden integrar de forma total COBIT 5 hace


88

uso de los habilitadores o catalizadores, en este caso influye de forma individual o

colectiva en el gobierno y la gestión de la organización. En este sentido COBIT 5 define

siete categorías de habilitadores como se puede ver en la siguiente figura:

Figura 47 Habilitadores Corporativos COBIT 5 © 2012 ISACA® Todos los derechos reservados

Principios, políticas y marcos de referencia son instrumentos que permiten traducir el

comportamiento deseado en metas prácticas para la gestión diaria.

Procesos representa un de prácticas y actividades para alcanzar determinados objetivos

de tal manera que permitan producir un conjunto de resultados que ayuden a las metas

generales relacionadas con TI.

Estructuras organizativas entidades de toma de decisiones clave en una organización.

Cultura, ética y comportamiento un factor de éxito en las actividades de gobierno y

gestión relacionada a las personas de la organización, pero en muchas ocasiones este

aspecto es subestimado por la administración.

Información impregna toda la organización e incluye toda la información producida y

utilizada por la organización.

Mediante la información se mantiene la organización funcionando y bien gobernada, pero

a nivel operativo, la información es muy a menudo el producto clave de la organización

en sí misma.


89

Servicios, infraestructuras y aplicaciones se refiere a la infraestructura, tecnología y

aplicaciones que proporcionan a la organización, servicios y tecnologías de

procesamiento de la información.

Personas, habilidades y competencias están relacionadas con las personas necesarias

para el éxito en la realización de todas las actividades de la organización y para la correcta

toma de decisiones.

En la práctica los siete habilitadores de COBIT 5, permiten cumplir con el enfoque

holístico, considerando que los mismos están presentes en todos los niveles y actividades

de las organizaciones de acuerdo con lo establecido en el Principio 2 Cubrir la

organización de forma integral.

Toda organización debe considerar un conjunto interconectado de habilitadores, es decir,

cada habilitador necesita de los otros para ser efectivo, dado que los procesos necesitan

información, las estructuras organizativas necesitan habilidades, y comportamiento.

Por tanto, cuando se trata con el gobierno y la gestión de la organización TI, se pueden

tomar buenas decisiones solo cuando se toma en consideración esta naturaleza sistémica

del gobierno y de la gestión.

Ejemplo: La necesidad de seguridad de la información requiere de la creación y puesta

en marcha de varias políticas y procedimientos, las políticas, necesitan por su parte, la

implantación de diferentes prácticas relacionadas a la seguridad. Sin embargo, si la

cultura y ética de la organización y del personal no son apropiadas, los procesos y

procedimientos de seguridad de la información no serán efectivos.

Autoevaluación

Responda las siguientes preguntas:

- Indique cuales son los siete habilitadores definidos por COBIT 5

- Considera usted que los habilitadores influyen en el éxito del sistema de

gobierno y gestión de la organización en la que labora.


90

Principio 5: Separar el Gobierno de la Gestión

La estructura del modelo de referencia de procesos de COBIT 5 diferencia el gobierno de

la gestión, estas dos disciplinas comprenden actividades y estructuras organizacionales

diferentes dado que tienen propósitos y objetivos distintos.

El Gobierno asegura que se evalúen las necesidades, condiciones y opciones de las partes

interesadas para determinar que se alcanzan las metas corporativas equilibradas y

acordadas; estableciendo la dirección a través de la priorización y la toma de decisiones;

y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas.

ISACA. (2011).

La Gestión planifica, construye, ejecuta y controla actividades alineadas con la dirección

establecida por el cuerpo de gobierno para alcanzar las metas empresariales. ISACA.

(2011).

COBIT 5 defiende que las organizaciones implementen procesos de gobierno y de gestión

de manera que las unidades se encuentren cubiertas de acuerdo con como se muestra en

la siguiente figura:

Figura 48 Área clave de Gobierno y Gestión 5 © 2012 ISACA® Todos los derechos reservados


91

En la mayoría de organizaciones el Gobierno es responsabilidad de la Junta Directiva

bajo el liderazgo de su presidente, y la gestión responsabilidad de la Gerencia Ejecutiva,

bajo el liderazgo del Gerente General (CEO).

COBIT 5 incluye un Modelo de Referencia de Procesos (PRM por su sigla en inglés), que

define y describe en detalle un número de procesos de gestión y de gobierno.

La siguiente figura muestra el conjunto completo de los 37 procesos de gobierno y gestión

de COBIT 5. Los detalles de todos los procesos, del modelo habilitador específico pueden

encontrarse en la guía de COBIT 5: Procesos Habilitadores

Figura 49 Modelo de Referencia de Procesos de COBIT 5 © 2012 ISACA® Todos los derechos reservados

El área de procesos para el gobierno relaciona los cinco procesos de gobierno que

constan en los dominios: Evaluar, Orientar (Dirigir) y Monitorear. El área de procesos

para la gestión relaciona los procesos de los cuatro dominios que son:

- Alinear, Planificar y Organizar

- Construir, Adquirir e Implementar

- Entregar, dar Servicio y Soporte


92

- Supervisar, Evaluar y Valorar

El Modelo de Referencia de Procesos de COBIT 5 subdivide las actividades y prácticas

de la organización relacionadas con la TI en dos áreas principales – Gobierno y Gestión

– con la Gestión a su vez dividida en dominios de procesos:

- El Dominio de GOBIERNO contiene cinco procesos de gobierno; dentro de cada

proceso se definen las prácticas para Evaluar, Dirigir y Monitorear (EDM).

- Los cuatro dominios de la GESTIÓN están alineados con las áreas de responsabilidad

de Planificar, Construir, Operar y Monitorear (PBRM por sus siglas en inglés).

Autoevaluación

Responda las siguientes preguntas:

- Defina Gobierno y Gestión en el ámbito de COBIT 5

- Indique cuales son los procesos de gobierno de TI (1), y cuales son procesos

de gestión de TI (2) en el ámbito del modelo de referencia de procesos que se

revisado en párrafos anteriores.

Garantizar la entrega de

beneficios

Gestionar la innovación

Gestionar los cambios Garantizar la optimización del

riesgo

Gestionar los activos Gestionar Portafolio

Garantizar optimización de los

recursos

Gestionar los Proveedores

Gestionar la estrategia Gestionar la transparencia

Conceptos básicos de ITIL 3

ITIL = Biblioteca de Infraestructura de Tecnologías de la Información

ITIL, se lo puede definir como el conjunto de buenas prácticas que son usadas para la

Gestión de Servicios de Tecnología de la Información, por tanto, tiene como finalidad

proporcionar guías de calidad para la prestación de servicios de TI, además de los

procesos, funciones y otras competencias necesarias para sustentarlos.

Mediante ITIL se puede lograr entregar valor a los clientes a través de los servicios, así

como también se mejora la interacción con los clientes (internos / externos), permite la


93

optimización del servicio dado que se puede monitorear y medir el mismo, gestionar el

riesgo, el conocimiento y las competencias que se pueden presentar en los diferentes

servicios de TI que son prestados a toda la organización ya sea para uso interno y/o

externo

ITIL al ser un conjunto de buenas prácticas se la puede aplicar en cualquier organización

de cualquier índole sean estas públicas o privadas, grandes o pequeñas nacionales,

internacionales o multinacionales y con la aplicación de ITIL se puede optimizar y reducir

costos en TI y por ende en toda la organización.

Beneficios de implementar ITIL

Una implementación exitosa de ITIL en una organización le permitirá tener una gestión

de los servicios de TI adecuada y la misma le ayudará a ser eficaz y eficiente, de tal

manera que se pueden establecer los siguientes beneficios:

- Apoya en la mejora de servicios de TI

- Reduce los costos en la entrega de servicios de TI

- Mejora el desempeño de los procesos

ITIL ha ido evolucionando desde su primera versión, en la actualidad se maneja en cinco

etapas fundamentales que cubren todo el ciclo de vida de un servicio TI, los mismos que

son:

1. Estrategia del Servicio

2. Diseño del Servicio

3. Transición del Servicio

4. Operación del Servicio

5. Mejora Continua del Servicio


94

Figura 50 Etapas COBIT 5 – Fuente OCG-ITIL V3

Estrategia del Servicio

Esta etapa tiene como principal objetivo convertir la gestión del servicio en un activo

estratégico, por ende, es la parte medular del ciclo de vida del servicio, considerando

dicha afirmación y con el afán de lograr el cumplimiento del objetivo, es necesario

establecer los servicios que se van a brindar tanto desde la perspectiva del cliente y el

mercado general en el que se desarrolla la organización.

Esta etapa permitirá que las demás etapas se ajusten a la visión y políticas del negocio

desde el punto de vista estratégico.

Los procesos asociados directamente a la etapa de Estrategia son:

- Gestión Financiera: el proceso responsable de garantizar la prestación de

servicios con costos adecuados y determinando una adecuada y correcta

relación entre el precio y la calidad

- Gestión del Portafolio de Servicios: el proceso responsable de realizar la

inversión la actualización, mantenimiento de servicios que se encuentran en

operación, así como también nuevos servicios, que permitan ofrecer a los

clientes internos y externos el máximo valor y a su vez minimizar costos y

riesgos.

- Gestión de la Demanda: es el proceso que se encarga de responsable de

modular la oferta con la demanda existente en el mercado.


95

Diseño del Servicio

La función principal en esta etapa es la diseñar nuevos servicios o modificar los existentes

para ser incorporados en el catálogo de servicios y su posterior puesta en producción,

además debe cumplir las directrices que se establezcan en la etapa de estrategia, debe

ayudar a la misma para que los servicios diseñados cumplan lo siguiente:

- Se adecuen a las necesidades del mercado.

- Sean eficientes en costos

- Cumplan los estándares de calidad adoptados.

- Aporten valor a clientes tanto internos como externos

Los procesos de la etapa de Diseño son:

- Gestión del Catálogo de Servicios: es el proceso responsable de crear y

mantener un catálogo de servicios TI de la organización se debe incluir toda

la información importante: administradores, estado, proveedores, etc.

- Gestión de Niveles de Servicio: es el proceso responsable de ajustar y

garantizar los niveles de calidad de los servicios TI que se encuentran en

operación y los servicios que se encuentran en diseño.

- Gestión de la Capacidad: es el proceso responsable de garantizar que la

organización dispone de la capacidad suficiente en recursos tecnológicos ya

sean de hardware y software para que los servicios funcionen de manera

adecuada.

- Gestión de la Disponibilidad: es el proceso responsable de garantizar que se

cumplan los niveles de disponibilidad acordados en los niveles de servicios,

ya sean estos internos y/o externos.

- Gestión de la Continuidad de los Servicios TI: es el proceso responsable de

establecer planes de recuperación de desastres y contingencia que permitan

asegurar la continuidad de los servicios TI primordiales y del negocio en un

tiempo predeterminado con el menor impacto posible.

- Gestión de la Seguridad de la Información: es el proceso responsable de

establecer las políticas de integridad, confidencialidad y disponibilidad de la

información.


96

- Gestión de Proveedores: es el proceso responsable de mantener la relación con

los proveedores y hacer cumplir todo lo estipulado en los contratos y/o

convenios.

Transición del Servicio

En esta etapa los servicios que fueron definidos en la etapa de diseño se deben integrar al

entorno de producción que manejan las organizaciones, y los mismos sean accesibles a

los clientes internos y/o externos autorizados.

En la epata de transición se debe cumplir lo siguientes objetivos:

- Controlar y dar soporte en todo el proceso de cambio tanto del modificado como

del nuevo servicio

- Garantizar que los nuevos servicios cumplen los requisitos y estándares de

calidad que se han definido en las etapas de estrategia y diseño

- Reducir los riesgos que se puedan presentar en el cambio de tal manera que no

afecten a los servicios que se encuentran en producción

- Mejorar la satisfacción del cliente respecto a los servicios prestados.

- Comunicar de los cambios a realizar a todos los usuarios que participan en el

cambio

En esta etapa se debe planificar todo el proceso de cambio, para ello se debe contar con

los ambientes de prueba y pre producción necesarios, establecer y cumplir el respectivo

plan de pruebas, tener definidos los planes de despliegue y retorno a la última versión

del servicio sin que esto afecte la operación normal de los servicios que se encuentran

en producción.

Los procesos de la etapa de Transición son:

- Gestión de Cambios: es el proceso responsable de controlar y la puesta en

producción de la modificación de los servicios y de los nuevos servicios de tal

manera que se cumpla con todo lo que se definió en las etapas anteriores,


97

- Gestión de la Configuración y Activos del Servicio de TI: es el proceso

responsable del registro y gestión de los elementos de configuración y activos del

servicio. Este proceso da soporte a prácticamente todos los aspectos de la Gestión

del Servicio

- Gestión de Entregas y Despliegues: Es el proceso responsable de probar e

implementar las nuevas versiones de los servicios en los ambientes de pruebas y

pre producción según las normas definidas en la etapa de diseño con el fin de

establecer la versión final del servicio que será puesto en producción.

- Gestión del Conocimiento: es el proceso que se encarga de la gestión toda la

información relevante a la prestación de los servicios asegurando que esté

disponible para los todos los agentes implicados en su concepción, diseño,

desarrollo, implementación y operación.

- Planificación y soporte a la Transición: es el proceso responsable de planificar y

coordinar todo el proceso de transición asociado a la creación o modificación de

los servicios TI.

- Validación y pruebas: es el proceso responsable de garantizar que los servicios

cumplan los requisitos preestablecidos antes de su paso al entorno de producción.

- Evaluación del cambio: es el proceso responsable de evaluar la calidad general de

los servicios, su rentabilidad, su uso, la percepción de sus usuarios.

Operación del Servicio

Es la etapa más crítica del ciclo de vida del servicio, dado que en esta etapa es donde los

servicios se encuentran disponibles para el uso de los clientes internos y externos, además

que la calidad será evaluada por estos con el uso de dichos servicios.

Esta etapa es la que se encarga de recoger toda la información que le servirá de base a la

etapa de mejora continua del servicio de tal manera que esta etapa pueda ofrecer

soluciones y cambios para beneficios de los clientes.

Los procesos de la etapa de Operación del Servicio son:


98

- Gestión de Eventos: es el responsable de monitorear todos los eventos que

sucedan en la infraestructura TI con el objetivo de asegurar el correcto

funcionamiento y ayudar a prever incidentes futuros.

- Gestión de Incidentes: es el responsable de registrar todos los incidentes que

afecten a la calidad del servicio y restaurarlo a los niveles acordados de calidad

en el más breve plazo posible.

- Gestión de Requerimientos: es el proceso responsable de gestionar los

requerimientos de usuarios y clientes que habitualmente requieren pequeños

cambios en la prestación del servicio.

- Gestión de Problemas: es el proceso responsable de analizar y ofrecer

soluciones a aquellos incidentes que por su frecuencia o impacto degradan la

calidad del servicio

- Gestión de Acceso a los Servicios TI: es el proceso responsable de garantizar

que sólo las personas con los permisos adecuados puedan acceder a la

información de carácter restringido.

Las funciones involucradas en la etapa de Operación del servicio son las responsables de

que los servicios cumplan los objetivos solicitados por los clientes y de gestionar toda la

tecnología necesaria para la prestación de dichos servicios:

- Centro de Servicios: responsable de todos los procesos de interacción con los

usuarios de los servicios TI.

- Gestión de Operaciones TI: responsable de la operación diaria del servicio.

- Gestión Técnica: es una unidad funcional que incluye a todos los equipos,

grupos y departamentos involucrados en la gestión y soporte de la

infraestructura TI.

- Gestión de Aplicaciones: esta unidad funcional es la responsable de la gestión

del ciclo de vida de las aplicaciones TI

Mejora Continua del Servicio

En la actualidad nos encontramos en constante cambio, por tanto, se debe ofrecer los

mejores servicios mediante procesos que se hayan optimizado y que permitan tener una

mayor satisfacción del cliente.


99

En consecuencia, se necesita que los procesos se adecuen a los modelos y protocolos

vigentes, los cuales les permitirá tener calidad de tal manera que se cumplan los plazos y

las formas establecidas, y lleven a la obtención de efectividad a toda la organización de

tal manera que los clientes obtener el máximo valor del servicio recibido.

Para que la mejora continua pueda desarrollarse en los servicios se ha basado en el Ciclo

de Deming, el mismo que maneja las cuatro fases: planificar, hacer, verificar y actuar.

- Planificar: definir los objetivos y los medios para conseguirlos.

- Hacer: implementar la visión preestablecida.

- Verificar: comprobar que se alcanzan los objetivos previstos con los recursos

asignados.

- Actuar: analizar y corregir las desviaciones detectadas, así como proponer

mejoras a los procesos utilizados.

Figura 51 Etapas del ciclo de vida del servicio vs Ciclo de Deming

En la figura anterior se puede observar cómo se engranan las fases de ciclo de Deming

con las etapas del ciclo de vida del servicio, de tal manera que la planificación se

encuentra en la estrategia y el diseño, y así se observa cómo van encajando las fases de

Deming con el ciclo de vida del servicio.

Para realizar la mejora de procesos se puede aplicar los siguientes pasos:

1. Definir lo que se debería medir

2. Definir lo que podemos medir

3. Recopilar datos


100

4. Procesar los datos

5. Analizar los datos

6. Presentar y usar la información

7. Implementar acciones correctivas

Conceptos básicos de SGSI – ISO 17799

La norma ISO 17799 establece las guías y principios necesarios para iniciar una

implementación, mantenimiento y procesos de mejora en la gestión de la seguridad de la

información en una organización en base a las buenas prácticas en la cuales se fundamenta

Villalón (2005).

Define diez dominios de control que cubren en forma total la Gestión de la Seguridad de

la Información, además cuenta con 36 objetivos de control y 127 controles.

Figura 52 Dominios ISO 17799 – Elaborado: Los Autores


101

CAPÍTULO III – AUDITORÍA INFORMÁTICA

Auditoría Informática

Según Kell (1998), “Es un proceso sistemático para obtener y evaluar evidencia de una

manera objetiva respecto de las afirmaciones concernientes a actos económicos y eventos

para determinar el grado de correspondencia entre estas afirmaciones y criterios

establecidos y comunicar los resultados a los usuarios interesados”.

En el ambiente de sistemas, los exámenes de las operaciones que realiza un sistema de

cómputo con la finalidad de evaluar la situación del mismo. Los auditores deben tener la

capacidad de validar los reportes y de probar la autenticidad y la precisión de los datos y

la información que se maneja.

De acuerdo con Muñoz (2002), Auditoría informática es la revisión técnica especializada

y exhaustiva que se realiza a los sistemas computacionales, software e información

utilizados en una organización, sean individuales, compartidos y/o redes, así como las

instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes.

En un esfuerzo formal la Real Academia Española (RAE), define la palabra “auditoría”

como: “Revisión sistemática de una actividad o de una situación para evaluar el

cumplimiento de las reglas o criterios objetivos a aquellas que deben someterse.”

Con los antecedentes descritos se puede señalar que auditoría informática es un proceso

profesional que permite realizar un análisis a todos los elementos de las TIC, el mismo

que debe ser independiente, riguroso y objetivo de acuerdo con las técnicas definidas, con

el fin de precautelar la información, el uso adecuado de los elementos de las TIC que es

ejecutado posteriormente a los hechos sucedidos y de esa manera generar un dictamen

que permita establecer posibles soluciones y/o planes de mejora que promuevan la

economía, eficiencia y eficacia. Por tanto, no debe ser visto a la auditoría como algo para

encontrar culpables, sino más bien para hacer cumplir la normativa, contratos, políticas,

procedimientos establecidos y aprobados en cada organización o emitidas por órganos de

control.

Se la conoce también como auditoria de sistemas, y su principal objetivo es evaluar:


102

- sistemas informáticos en forma integral

- los procedimientos y seguridad de los dispositivos tecnológicos

- hardware o software que posea la organización, ya sean propios o contratado bajo

la modalidad de servicios.

En la actualidad, la importancia creciente de las telecomunicaciones ha propiciado que

las comunicaciones, redes de telecomunicaciones, se auditen por separado, aunque

formen parte del entorno general de los sistemas que ofrece la organización.

Para iniciar una auditoría es necesario conocer ciertas definiciones, las mismas que han

sido tomadas de Muñoz (2002) que ayudaran a comprender de mejor manera el desarrollo

de una auditoría informática; a continuación, se detallan las siguientes definiciones:

- Método. - Procedimiento para hallar el conocimiento y enseñarlo

- Metodología. - Descripción secuencial de la manera de efectuar una operación o

serie de operaciones

- Planeación. - Proceso de decidir de antemano qué se hará y de qué manera.

Incluye determinar las misiones globales, identificar resultados claves y fijar

objetivos específicos, así como políticas de desarrollo, programas y

procedimientos para alcanzarlos

- Plan. - El plan es un método detallado, formulado de antemano, para hacer algo,

características que debe tener son: referirse al futuro, señalar acciones, existe un

elemento de identificación o causalidad personal

- Programa. - Conjunto estructurado de diversas actividades con un cierto grado

de homogeneidad respecto del producto o resultado final, al que se deben asignar

recursos humanos, financieros, materiales

- Presupuesto. - Estimación programada en forma sistemática de los ingresos y

egresos que maneja un organismo en un periodo determinado

- Evento. - Determinación de acontecimientos que llevan fines específicos de

transmisión de ideas, de imágenes y sonidos, para un fin determinado

- Actividad. - Conjunto de operaciones ejecutadas o de actos desarrollados por una

o varias personas y que contribuyen al logro de una función

- Tiempo. -Duración de las cosas sujetas a cambio

- Políticas. - Criterio de acción que es elegido como guía en el proceso de toma de

decisiones al poner en práctica o ejecutar las estrategias, programas y proyectos

específicos a nivel institucional


103

- Tarea. – Elemento de trabajo que consume recursos, con una duración limitada

- Plan de trabajo. – Representación gráfica de las tareas y actividades de un

proyecto, las mismas que muestran el tiempo y el responsable de cada una.

Tipos de Auditoría Informática

De acuerdo con la experiencia se puede definir los siguientes tipos de auditoría:

- Auditoría de Seguridad Física y Lógica a los elementos de TI

- Auditoría de Planificación

- Auditoría de Producción

- Auditoría a la Gestión de la unidad de TI

Auditoría de Seguridad Física y Lógica a los elementos de TI

Para realizar una auditoría de seguridad física y lógica se debe tener en cuenta los

siguientes lineamientos:

- Seguridad Física: Acceso a de instalaciones del Centro de Computo de acuerdo

con roles y responsabilidades

- Seguridad Lógica: Protege el acceso de usuarios, acceso de acuerdo con

responsabilidades a archivos y transacciones

Por tanto, al realizar una auditoría de este tipo se podría plantear las siguientes

interrogantes:

Seguridad Física

Preguntas SI NO

1. ¿Se han adoptado medidas de seguridad en la dirección de informática?

2. ¿Existe una persona responsable de la seguridad?

3. ¿Se ha dividido la responsabilidad para tener un mejor control de la

seguridad?

4. ¿Existe personal de vigilancia en la organización?

5. ¿La vigilancia se contrata:

a) Directamente?

b) Por medio de organizaciones especializadas

6. ¿Existe una clara definición de funciones entre los puestos claves?

7. ¿Se investiga a los vigilantes cuando son contratados directamente?


104

8. ¿Se controla el trabajo fuera del horario?

9. ¿Se registran las acciones de los operadores para evitar que realicen alguna

que pueda dañar el sistema?

10. ¿Existe vigilancia en el Centro de datos las 24 horas?

11. ¿A la entrada del Centro de Datos existe:

a) Vigilante?

b) Recepcionista?

c) Tarjeta de control de acceso?

d) Nadie?

12. ¿Se ha establecido que información puede ser accedida y por qué persona?

13. ¿Existe control estricto en las modificaciones?

14. ¿Existe alarma para detectar condiciones anormales del ambiente en el

cuarto frio?

Seguridad Lógica

Preguntas SI NO

1. ¿Se ha implementado medidas de seguridad a nivel de accesos a SGBD,

aplicaciones relacionales y demás software propietario?

2. ¿Existe una persona responsable de la seguridad lógica?

3. ¿Se han firmado los respectivos acuerdos de confidencialidad por parte de

todos los usuarios de la organización?

4. ¿A todos los usuarios de la organización se ha socializado las medidas de

seguridad lógica?

5. ¿Existen logs de los ingresos y transacciones que realiza cada usuario en

los diferentes aplicativos? Tabla 199 Preguntas Auditoría Seguridad Física y Lógica – Fuente: Los Autores

Entre otras que el auditor podrá realizar con el fin de establecer de manera clara la

evaluación que se desee lograr en la organización, de tal forma que se pueda levantar la

mayor cantidad de información para poder evaluar el sistema de seguridad física y lógica


Auditoría de Planificación en TI

Mediante este tipo de auditoría se pretende conocer y evaluar el plan de contingencia de

negocios (BCP por sus siglas en inglés Business Continuity Plan), plan de recuperación

de desastres (DRP por sus siglas en inglés Disaster Recovery Plan); los mismos deberán

tener un alto nivel de integración con la organización, dado que la misma es quien debe

definir cuáles son los servicios que son soportados por el área de TI que deben ser puestos

en operación para que la organización pueda seguir operando.


105

Por tanto, el área de TI deberá analizar, diseñar e implementar el BCP de acuerdo con las

necesidades organizacionales.

Además, en este tipo de auditoría también se debe revisar el Plan Estratégico de TI (PETI)

y el Plan de desarrollo y mantenimiento de software, los mismos que deberán contar con

todos los elementos necesarios que permitan el apoyo al Plan Estratégico Institucional.

Otro elemento que se debe evaluar es el nivel de participación y compromiso de los

directivos en la elaboración de los respectivos planes.

Para que todo lo indicado anteriormente pueda ser evaluado se pueden plantear las

siguientes interrogantes:

Planificación

Preguntas SI NO

1. ¿Existe BCP en la organización?

2. ¿Existe DRP en el área de TI?

3. ¿Se han realizado pruebas del DRP?

4. ¿Existe la documentación aprobado del BCP y DRP?

5. ¿Cada que tiempo se realizan las pruebas del BCP?

6. ¿Existen responsables de dar inicio al BCP?

7. ¿Se ha estimado cual debe ser el tiempo máximo de puesta en marcha del

BCP?

8. ¿Existen las responsables del área de TI de ejecutar el DRP?

9. ¿Existe un inventario de todo el software tanto propietario como

desarrollado en la organización?

10. ¿Se ha establecido los respectivos contratos de soporte del software

propietario?

11. ¿Existe una lista de proyectos para el desarrollo de sistemas y fechas

programadas de implantación que está considerado dentro del PETI?

12. ¿Está relacionado el PETI con un plan estratégico de desarrollo de la

organización?

13. ¿Existe la persona que autoriza los proyectos?

14. ¿Existen técnicas para el control de los proyectos?

15. ¿Se llevan a cabo revisiones periódicas de los sistemas para determinar si

aún cumplen con los objetivos para los cuales fueron diseñados?

16. ¿Los analistas son también programadores?

Tabla 200 Preguntas Auditoría de Planificación – Fuente: Los Autores

Entre otras que el auditor podrá realizar con el fin de establecer de manera clara la

evaluación que se desee lograr en la organización, de tal forma que se pueda levantar la


106

mayor cantidad de información que permita la evaluación del BCP, DRP, PETI, Plan de

desarrollo y mantenimiento de software.

Auditoría de Producción de TI

Mediante esta auditoría se pretende evaluar los procedimientos que se ejecutan en el

Centro de Datos en la operación diaria (Administración de Software base, Base de datos,

Aplicaciones o Sistemas, Obtención de respaldos, recuperación de respaldos, gestión de

incidentes, problemas, cambios, continuidad, disponibilidad, servicios, entre otros). Así

como también todo lo relacionado a mantenimiento de los activos informáticos.

Entonces se pueden plantear las siguientes interrogantes que permitirán obtener

información acerca del ambiente tecnológico que presta servicios a toda la organización.

Producción

Preguntas SI NO

1. ¿Tienen los servidores de datos protección automática contra el fuego?

2. ¿Se verifican con frecuencia la validez de los inventarios de los archivos

magnéticos?

3. ¿Se tienen procedimientos que permitan la reconstrucción de un archivo

en cinta a disco, el cual fue inadvertidamente destruido?

4. ¿Se tienen identificados los archivos con información confidencial y se

cuenta con claves de acceso?

5. ¿Se tiene un responsable, por turno, de los servidores de datos?

6. ¿Se restringe el acceso a los lugares asignados para guardar los

dispositivos de almacenamiento, al personal autorizado?

7. En los procesos que manejan archivos en línea, ¿Existen procedimientos

para recuperar los archivos?

8. ¿Existe un programa de mantenimiento preventivo para cada dispositivo

del sistema de cómputo?

9. ¿Existen tiempos de respuesta y de solución estipulados en los contratos?

10. ¿Existe el plan de mantenimiento preventivo que debe ser proporcionado

por el proveedor?

11. ¿Existe un lugar asignado a las cintas y discos magnéticos? Tabla 21 Preguntas Auditoría de Producción – Fuente: Los Autores

Entre otras que el auditor podrá establecer con el objetivo de obtener toda la información

referente al ambiente de producción en donde se ejecutan los servicios tecnológicos de la

organización y de esta manera comprobar el uso efectivo de la operación diaria del centro

de cómputo.


107

Auditoría a la Gestión de la unidad de TI

Mediante esta auditoría se puede evaluar que el responsable de la unidad de TI organiza,

dirige y controla los recursos de la misma de forma adecuada, para ello se pueden realizar

las siguientes preguntas que permitirán obtener la suficiente información acerca de la

gestión que realiza el responsable de unidad de TI.

Gestión de la Unidad de TI

1. ¿Sabe que hacer el personal en caso de una emergencia?

2. ¿Se ha entrenado al personal sobre el uso de extintores?

3. ¿Existe una persona responsable de la seguridad de autorización de acceso?

4. ¿El personal que trabaja actualmente es adecuado para cumplir con las funciones

encomendadas?

5. ¿Se da algún tipo de inducción al personal para que este informado de las funciones

que realizará?

6. ¿Cuál es la forma de darles a conocer sus funciones?

7. ¿Existe el Plan Estratégico de TI?

8. ¿Se encuentran definidos los objetivos de la unidad de TI?

9. ¿Cumple el personal o encargado del centro de cómputo con dichos objetivos?

10. ¿Los niveles jerárquicos establecidos son necesarios para el desarrollo de las

actividades del área?

11. ¿Existe un programa de mantenimiento del centro de cómputo ya especificado?

12. Señale el periodo aproximado en el cual está estipulado en el programa cumplir el

mantenimiento a las computadoras

a. 2 meses

b. 6 meses

c. Cada año

d. Otro Indique___________________________________________________)

13. ¿Existe la división de trabajo para realizar el mantenimiento del centro de cómputo?

Si____ No____

14. ¿Existen tiempos de respuesta en el programa entre la demanda del usuario de

compostura de su máquina y la solución del problema del usuario?

Si______ No_______

15. ¿Se llevo a cabo la planeación para la instalación de los equipos?

Si_______ No_______

16. ¿Existe un informe técnico en el que se justifique la adquisición del equipo, software

y servicios de computación, incluyendo un estudio costo-beneficio?

Si (¿Cuál? _______________________________) No _____ ¿Por qué no?


108

17. ¿Se sigue la estandarización del Sistema Operativo, software de ofimática,

manejadores de base de datos y se mantienen actualizadas las versiones y la

capacitación sobre modificaciones incluidas?

Si_______ No_______

Tabla 22 Preguntas Auditoría Gestión Unidad de TI – Fuente: Los Autores

El auditor en su afán de conocer todo lo relacionado a la Gestión de TI, y evidenciar que

se cumple de manera efectiva la gestión en la unidad de ti, puede crear más preguntas

relacionadas a la gestión de TI y que el coordinador debe proveer la información

necesaria.

Metodología para una Auditoría Informática

La metodología que se plantea para desarrollar una auditoría informática está basada en

la experiencia profesional la misma que se apoya por la literatura de varios autores que la

han desarrollado a lo largo del tiempo, para ello se tiene que definir las fases que debe

tener una auditoría informática:

- Planeación

- Ejecución

- Dictamen

- Seguimiento

Cada una de las fases indicadas tendrá o no sub fases que permitan realizar el examen de

manera objetiva e independiente sin importar a quien se esté auditando.

Figura 53 Fases de la Auditoría Informática – Fuente: Los Autores


109

Planeación de la Auditoría

En esta fase se definen las actividades necesarias para su ejecución, lo cual se logrará

mediante una adecuada planeación, es decir, se deben identificar de manera clara las

razones por las que se va a realizar la auditoría y determinar el objetivo de la misma, así

como el diseño de métodos, técnicas y procedimientos necesarios para llevarla a cabo y

preparar los documentos que servirán de apoyo para su ejecución, culminando con la

elaboración documental de los planes, programas y presupuestos para la auditoría

En la fase de planeación se debe ejecutar las siguientes fases:

Identificar el origen de la auditoría

El origen de la auditoría se puede generar por solicitud de:

- Autoridades de la organización (auditoría interna)

- Autoridades locales, nacionales (auditoría externa)

- Cumplimiento de planes de contingencia, las mismas se deben realizar de

manera periódica y sirven de ayuda para mitigar riesgos

- Debido a una emergencia que se ha suscitado en la organización, la emergencia

puede ser por desastres naturales, fallas humanas o terrorismo

Visita preliminar al área a ser evaluada

En la visita preliminar se debe establecer los contactos con todos los funcionarios y

empleados de la unidad de TI, en este contacto se debe establecer de manera clara la

problemática existente, de tal manera que se puedan identificar los objetivos iniciales de

la auditoría, además que se puede establecer los recursos y personas necesarias que

intervendrán en la auditoría

Establecer los objetivos de la auditoría

Una vez que se ha identificado el origen de la auditoría y se ha realizado la visita

preliminar se pueden establecer de manera clara y objetiva tanto el objetivo general y

los específicos que se aspira a cumplir mediante el desarrollo de la auditoría.

- Objetivo general


110

Es el término global o general que se pretende alcanzar con el desarrollo de la

auditoría

- Objetivos específicos

Determinar en forma detallada, los fines que se pretenden alcanzar con la auditoría

informática, indicando de manera específica las áreas a evaluar y, de manera

particular, los elementos de TI que van a ser evaluados ya sean Hardware,

Software, Comunicaciones, Seguridad o el cumplimiento de normativa legal

(nacional, propia de la organización) que debe cumplirse.

Determinar los puntos a ser evaluados

Como se ha mencionado anteriormente lo que se va a evaluar a TI son los dispositivos de

las TIC, con esto se puede definir los siguientes aspectos que pueden ser evaluados:

- Evaluar la seguridad de la información, en general, ya sean accesos a la red, a

sistemas de información y dispositivos de HW

- Evaluar los datos, información, documentos, procesos de toda el área de TI

- Evaluar el desarrollo de sistemas de información, incluidos los contratos que se

puedan desprender para verificar su cumplimiento

- Evaluar los sistemas, equipos, instalaciones y componentes

- Evaluar las funciones y actividades del personal del área de sistemas y las áreas y

unidades administrativas que están inmersa en la unidad (departamento, área,

dirección, jefatura, etc.) de TI

Al definir los puntos que se deberán evaluar en la auditoría, se podrá establecer el tipo de

auditoría que se va a realizar de acuerdo con la clasificación que se indicó anteriormente.

Elaborar planes, programas y presupuestos

Con todas las sub fases dentro de la fase de planeación que se han ido cumpliendo, se

puede llegar a establecer el cronograma, en donde se tendrá que definir, recursos

(humanos, financieros), tareas, actividades, fechas de inicio y fin, entregables en cada

fase y los responsables de cada actividad. Con esta información también se llega a

establecer el presupuesto con el cual se va a desarrollar la auditoría.


111

Identificar y definir los métodos, herramientas y técnicas

El auditor deberá hacer la recopilación y evaluación de la evidencia que le permita

establecer los dispositivos, sistemas, aplicaciones, gestión, de la unidad de TI cumplen de

manera eficiente con los objetivos organizacionales y protege la información, mantiene

la integridad de los datos, hace uso eficaz y eficiente de los recursos de las TIC. Para

poder cumplir con la recopilación y evaluación de la evidencia se debe hacer uso de

diferentes métodos, técnicas, herramientas y procedimientos. El uso adecuado de dichas

técnicas establecerá un punto importante para que el resultado de la auditoria se

satisfactorio.

A continuación, se señalan los principales técnicas, herramientas y procedimientos que

se pueden aplicar en una auditoría informática:

Para la recopilación de datos el auditor podrá utilizar:

- Entrevista

- Encuesta

- Cuestionario

- Observación

- Muestreo

- Inventarios

- Experimentos

Para la evaluación de la evidencia el auditor podrá hacer uso de:

- Examen

- Inspección

- Comparación

- Revisión de documentos

- Matriz de evaluación

- Matriz FODA

- Modelos de simulación

- Guías de auditoría


112

Asignar los recursos para la auditoría

En esta sub fase se deberá establecer de manera clara lo siguiente:

- Personal que realizará la auditoría informática

- Identificar al personal clave del área que va a ser evaluada

- Identificar los dispositivos, sistemas y políticas, normativas, leyes que serán de

apoyo en la auditoría

- Del presupuesto de la auditoría se define el recurso económico de la auditoría

- Se definen los recursos materiales que se van a usar en la auditoría

Ejecución de la Auditoría

En esta fase estará determinada por las características concretas, los puntos y los

requerimientos que se estimaron en la etapa de planeación, a continuación, se presenta un

diagrama de flujo general de cómo se deberá ejecutar la auditoría.

Figura 54 Ejecución de la Auditoría – Fuente: Los Autores

Papeles de trabajo

- Son los registros de los diferentes tipos de evidencia acumulada por el auditor.


113

- Los papeles de trabajo son registros que mantiene el auditor de los procedimientos

aplicados como pruebas desarrolladas, información obtenida y conclusiones

pertinentes a que se llegó en el trabajo.

- Algunos ejemplos de papeles de trabajo son los programas de auditoría, los

análisis, los memorandos, las cartas de confirmación y declaración, resúmenes de

documentos de la entidad y papeles preparados u obtenidos por el auditor

Propósitos de los papeles de trabajo

- Ayudar a organizar y coordinar las muchas fases de la revisión de auditoría

- Proporcionar información que será incluida en el informe de auditoría

- Servir como respaldo de la opinión del auditor

Dictamen de la Auditoría

En esta fase se debe preparar el resultado de la auditoría, y el equipo de trabajo debe

preparar los siguientes informes:

- Informe de situaciones detectadas

- Dictamen final

Una vez que se ha elaborado los documentos indicados se deberá proceder a la

presentación del informe final, en la cual se deberá convocar a todos los funcionarios que

participaron en la auditoría, además de todo el equipo de trabajo.

Seguimiento

Una vez que se ha presentado el informe final, se debe realizar un plan de seguimiento,

para que las observaciones, recomendaciones realizadas sean implementadas acorde a lo

establecido.

Para dicha actividad la entidad evaluada puede presentar un cronograma de

implementación, el auditor deberá evaluar el cronograma de implementación y se

procederá a revisar si las observaciones y recomendaciones fueron implementadas y el

estado puede variar entre abierto, progreso, cerrado.


114

Generalmente una auditoría que ha sido calificada como mala o deficiente se la deberá

evaluar en un tiempo aproximado de seis meses a un año para comprobar el debido

cumplimiento de las deficiencias presentadas.

Herramientas Tecnológicas en Auditoría Informática

Las herramientas que se pueden usar en el proceso de auditoría son aquellas que permiten

captar las evidencias, procesar la información dado que permiten realizar un proceso de

contabilización, revisión y auditoria más selectivo y penetrante de las actividades y

procedimientos relativos a un copioso volumen de transacciones.

A continuación, se señalan algunas herramientas que se puedan usar en el proceso de

auditoría:

ACL

Es la herramienta de software preferida por los profesionales de las finanzas y auditoría

para extraer y analizar datos, detectar fraudes y lograr un monitoreo continuo.

Ventajas

- Análisis datos más rápido y eficientemente.

- Produce informes claros.

- Identifica tendencias, indica de excepciones con toda precisión

- Localiza errores y posibles fraudes.

- Identifica problemas de control y garantiza el cumplimiento de los estándares.

- Análisis interactivo, con resultados inmediatos.

- Rapidez y facilidad de uso, lo que permite el análisis de grandes volúmenes de

información

Autoaudit

Es una herramienta dirigida al departamento de auditoría, que permite realizar una

planificación de Auditorías en función de evaluación de riesgos, siguiendo metodologías


115

de evaluación vertical y/o por proceso. Soportando todo el proceso y flujo de trabajo,

desde la fase de planificación, pasando por el trabajo de campo, hasta la preparación del

informe final.

BackTrack

Es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la auditoría

de seguridad y relacionada con la seguridad informática en general

Apex SQL Audit

Es una herramienta de auditoría activa para organizaciones que necesitan auditar bases

de datos Microsoft SQL Server

Auditor Assistant

Sistema integrado de administración de auditorías que le ayuda a realizar, revisar y

controlar su actividad de auditoría de manera más eficiente.

TeamMate

Desarrollado para hacer más eficiente la documentación, elaboración de informes y

proceso de revisión de los papeles de trabajo de la auditoría.

Meycor CobiT Suite

Es una herramienta integral e intuitiva para la implementación del marco COBIT, para el

gobierno, la gestión de riesgos tecnológicos, la seguridad, el control interno, y el

aseguramiento de la TI.


116

Anexo

Ejemplo: Auditoria de hardware y software en estaciones de trabajo

Alcance: La auditoría se realizará sobre los sistemas informáticos en computadoras

personales que estén conectados a la red interna de la organización.

Objetivo: Establecer una visión actualizada de los sistemas de información en cuanto a

la seguridad física, las políticas de uso, transferencia de datos y seguridad de los activos.

Recursos: El número de personas que integraran el equipo de auditoría será de tres, con

un tiempo máximo de ejecución de 4 semanas

Etapas de trabajo

1. Recopilación de información básica

- Antes de dar inicio a la Auditoría se realiza una encuesta al personal directivo

de la organización, con el objetivo de conocer los procesos que se realizan en

los computadores asignados por la misma.

- Con la ayuda del personal directivo esta encuesta será realizada en toda la

organización

- Se debe mantener una entrevista con el personal encargado del área de TI con

el objetivo de conocer el hardware y software usado

2. Identificación de riesgos potenciales

- Se debe evaluar la manera en que se adquieren los nuevos equipos y

aplicativos, los procedimientos deben estar aprobados por los directivos de la

organización, además de contar con los requerimientos mínimos para la

ejecución en el hardware y software base.

- Se deberá contemplar los posibles fallos de seguridad del software y la

configuración de los equipos críticos en el firewall

3. Objetivos de control

- Evaluar la existencia y la aplicación correcta de las políticas de seguridad

- Revisar la normativa, procesos y procedimientos que se encuentren

actualizados y sean comprendidos por todo el personal

- Evaluar el Plan de Recuperación de Desastres


117

- Evaluar el Plan de Seguridad que permita la evaluación de riesgos de los

equipos, programas y datos.

4. Determinación de los procedimientos de control

Objetivo N. 1: Existencia de normativa de hardware.

- El hardware debe estar correctamente identificado y documentado.

- Se debe contar con todas las órdenes de compra y facturas con el fin de contar

con el respaldo de las garantías ofrecidas por los fabricantes.

- El acceso a los componentes del hardware debe estar restringido a las personas

que lo utilizan.

- Se debe contar con un plan de mantenimiento y registro de fechas, problemas,

soluciones y próximo mantenimiento propuesto.

Objetivo N. 2: Política de acceso a equipos.

- Cada usuario deberá contar con su nombre de usuario y contraseña para

acceder a los equipos.

- Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y

alternando mayúsculas y minúsculas).

- Los usuarios saldrán del sistema una vez que haya pasado 10 minutos de

inactividad.

- Todos los usuarios deberán firmar acuerdos de confidencialidad y deben

mantenerse luego de finalizada la relación laboral.

- Uso restringido de medios removibles (USB, CD-ROM, discos externos etc.).

5. Pruebas que realizar

- Son los procedimientos que se llevaran a cabo a fin de verificar el

cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar

las siguientes técnicas:

o Tomar 20 máquinas al azar y evaluar la dificultad de acceso a las

mismas.

o Intentar sacar datos con un dispositivo externo.

o Facilidad para desarmar una computadora personal.

o Facilidad de accesos a información de confidencialidad (usuarios y

claves).

o Verificación de contratos.


118

o Comprobar que luego de 10 minutos de inactividad la sesión del

usuario a expirado

6. Obtención de los resultados

En esta etapa se obtendrán los resultados que surjan de la aplicación de los

procedimientos de control y las pruebas realizadas a fin de determinar si se cumple

o no con los objetivos de control antes definidos. Los datos obtenidos se

registrarán en planillas realizadas a medida para cada procedimiento a fin de tener

catalogado perfectamente los resultados con el objetivo de facilitar la

interpretación de los mismos y evitar interpretaciones erróneas

7. Conclusiones y Comentarios

En este paso se detallará el resumen de toda la información obtenida, así como lo

que se deriva de esa información, sean fallas de seguridad, organización o

estructura empresarial. Se expondrán las fallas encontradas, en la seguridad física

sean en temas de resguardo de información (Casos de incendio, robo), manejo y

obtención de copias de seguridad, en las normativas de seguridad como por

ejemplo normativas de uso de claves, formularios de adquisición de equipos, y

estudios previos a las adquisiciones para comprobar el beneficio que los mismos

aportarían. Finalmente se verán los temas de organización empresarial, como son

partes responsables de seguridad, mantenimiento y supervisión de las otras áreas

8. Redacción del borrador del informe

Se detalla de manera concisa y clara un informe de todos los problemas

encontrados, anotando los datos técnicos de cada una de las máquinas auditadas:

- Marca

- Modelo

- Número de Serie

- Problema encontrado

- Solución recomendada

9. Presentación del borrador del informe, al responsable de informática

Se le presentará el informe borrador al responsable del área de TI, como se aclaró

en el punto anterior, con el máximo de detalle posible de todos los problemas y

posibles soluciones, este informe se pasará por escrito en original y copia

firmando un documento de conformidad del mismo para adquirir un compromiso

fuerte en la solución de los mismos, de esta forma se evitará posibles confusiones

futuras.


119

10. Redacción del Informe Resumen y Conclusiones

Es en este paso es donde se muestran los verdaderos resultados a los responsables

de la organización, el informe presentado dará a conocer todos los puntos

evaluados durante la auditoria, resultados, conclusiones, puntaje y posibles

soluciones.

La conclusión tendrá como temas los resultados, errores, puntos críticos y

observaciones de los auditores. Mientras que en el resumen se verán las posibles

soluciones de esos puntos críticos y fallas, así como recomendaciones para el buen

uso, además de recomendaciones sobre la forma incorrecta de realizar algunos

procedimientos.

11. Entrega del informe a los directivos de la organización

Esta es la última parte de la auditoria y en una reunión se formaliza la entrega

del informe final con los resultados obtenidos en la auditoria.

También se fijan los parámetros, si así se requiere para realizar el seguimiento de

los puntos en los que el resultado no haya sido satisfactorio o simplemente se

quiera verificar que los objetivos de control se sigan cumpliendo a lo largo del

tiempo.


120

Glosario de Términos

BCP

Business Continuity Plan, por sus siglas en inglés, se refiere al Plan de Continuidad

de Negocios, el mismo que deberá ser definido por el área de negocio en conjunto

con la unidad e tecnología, con el objetivo de reestablecer los servicios más

importantes del negocio que usan servicios tecnológicos.

BSC Modelo de Planificación y gestión de desempeño de la estrategia organizacional

CGE Contraloría General del Estado, la misma que regula todo el accionar del sector

público en el Ecuador

CHIPSET Es una placa de circuito impreso con algunos componentes integrados y a la que se

conectan los componentes esenciales de una computadora

CMMI

Integración de modelos de madurez de capacidades o Capability Maturity Model

Integration, es un modelo para la mejora y evaluación de procesos para el

desarrollo, mantenimiento y operación de sistemas de software

CPU

Unidad Central de Procesamiento, la misma que se encarga de realizar las tareas y

actividades que el software requiere para su funcionamiento dentro de un

dispositivo tecnológico

CRM Se refiere a todo software que permite administrar la relación con los clientes

DRP

Disaster Recovery Plan, por sus siglas en Ingles, se refiere al Plan de recuperación

de desastres que debe tener la unidad de tecnología, con el objetivo de

reestablecer los servicios tecnológicos en el menor tiempo posible

DVD Disco de almacenamiento de datos, imagen o sonidos, con una capacidad mayor

que al del disco compacto

ERP

Es un conjunto de sistemas de información que permite la integración de ciertas

operaciones de una empresa, especialmente las que tienen que ver con la

producción, la logística, el inventario, los envíos y la contabilidad.

FIREFOX Navegador de internet, desarrollado por Mozilla, organización sin fines de lucro

IE Navegador de internet, desarrollado por Microsoft

JAVA Lenguaje de programación, orientada a objetos, que permite la creación de

aplicaciones empresariales, seguro, confiable

LINUX

Sistema Operativo, el mismo que es desarrollado por varias empresas, pero el

mismo es libre y se lo puede usar sin restricciones de acuerdo con el acuerdo de

licenciamiento GNU General Public License o GPL

PETI

Plan Estratégico de Tecnologías de la Información, el mismo que contiene todas las

acciones que se deben cumplir en el área de TI en un determinado periodo y que

permitirán cumplir con los objetivos institucionales.

PHP Lenguaje de programación, que permite la creación de aplicaciones empresariales

pero que tiene debilidades en lo relacionado a seguridades


121

RAM

Memoria de acceso aleatorio de la computadora, se puede realizar operaciones de

lectura, escritura los mismos que desaparecen cuando se apaga el dispositivo

tecnológico

RPO Es el tiempo máximo que se puede perder datos de un servicio de TI, debido a un

incidente importante

RTO

Es el tiempo específico dentro del cual se debe restaurar un servicio después de

una interrupción, con el objetivo de evitar consecuencias inaceptables asociadas

en la continuidad del negocio

SCRUM

Es un proceso en el que se aplican de manera regular un conjunto de buenas

prácticas para trabajar colaborativamente, en equipo, y obtener el mejor

resultado posible de un proyecto

SGBD

Sistema de Gestión de Base de Datos, el mismo que permite administrar los datos

que se almacenan en una base de datos, gestiona almacenamiento,

funcionamiento para que se usen los datos por medio de diferentes programas o

aplicaciones

TI Tecnologías de la Información

TIC

Tecnologías de Información y Comunicaciones, las mismas que engloban todo lo

relacionado a hardware, software, comunicaciones y seguridades de la

información

WINDOWS Sistema Operativo, el mismo que es desarrollado por Microsoft, se maneja ya el

esquema de licencias y tiene un costo


122

Bibliografía

Diogo, L. (2015). Fundamentos do COBIT 5. Rio de Janeiro: Escola Superior de Redes,

RNP.

Fernandes, A. y Abreu, V. (2008). Implantando a Governança de TI: da estratégia à

Gestão dos Processos e Serviços. Rio de Janeiro: Brasport.

González, L. J. (2002). Ética latinoamericana. USTA: Bogotá. p. 26

ISACA. (2011). COBIT 5 The Framework (Exposure draft). IL, USA: CRISC

ISACA. (2012). COBIT 5 Un Marco de Negocio para el Gobierno y la Gestión de TI en

la Empresa. USA.

ITGI. (2003). IT Governance Executive Summary. IT Governance Institute.

IT Governance Institute. (2017). Cobit 5. USA: ITGI. Recuperado de:

http://www.isaca.org/cobit/pages/default.aspx

Kell, W., Boynton W. y Ziegler R. (1995). Auditoría Moderna. México: Continental

Laudon, K. y Laudon, J. (2012). Sistemas de Información Gerencial. México: Pearson

Educación.

Muñoz R., C. (2002). Auditoría en Sistemas Computacionales. México: Pearson

Educación.

Rezende D., A. (2008). Planejamento de Sistemas de Informação e Informática: Guia

Prático para Planejar a Tecnologia da Informação Integrada ao Planejamento

Estratégico das Organizações. São Paulo: Atlas.

Piattini, M. y Del Peso, E. (2002). Auditoría informática: un enfoque práctico.

Madrid:Ra-Ma.

Pinilla F. J. (1997). Auditoria informática, aplicaciones en producción. ECOE

Villalón, A. (2005) El Sistema de Gestión de Seguridad de la Información: Calidad de la

información. Recuperado de: https://goo.gl/jwWXHi

Weill P. y Ross J. (2004). IT Governance: How Top Performers Manage IT Decision

Rights for Superior Results. Boston, MA: Harvard Business School Press.

Netgrafía

ITIL.org. (2017). ITIL, COBIT, ISO 2000, ISO 27000. Recuperado de

http://os.itil.org/en/vomkennen/itil/index.php

ISO.org (2017). International Organization for Standardization. Recuperado de

https://www.iso.org/standard/39612.html

SICE (2017) Derechos de Propiedad Intelectual. Recuperado de

http://www.sice.oas.org/int_prop/nat_leg/Ecuador/L320a.asp

Registro Oficial (2017). Ley De Comercio Electrónico, Firmas Electrónicas Y Mensajes

De Datos. Recuperado de

http://www.redipd.es/legislacion/common/legislacion/ecuador/ecuador_ley_200

2-67_17042002_comelectronico.pdf

Contraloría General del Estado (2017). Normas de Control Interno. Recuperado de

http://www.contraloria.gob.ec/Portal/Busqueda/normas%20de%20control%20int

erno

http://www.isaca.org/cobit/pages/default.aspx

https://goo.gl/jwWXHi

http://os.itil.org/en/vomkennen/itil/index.php

https://www.iso.org/standard/39612.html

http://www.sice.oas.org/int_prop/nat_leg/Ecuador/L320a.asp

http://www.redipd.es/legislacion/common/legislacion/ecuador/ecuador_ley_2002-67_17042002_comelectronico.pdf

http://www.redipd.es/legislacion/common/legislacion/ecuador/ecuador_ley_2002-67_17042002_comelectronico.pdf

http://www.contraloria.gob.ec/Portal/Busqueda/normas%20de%20control%20interno

http://www.contraloria.gob.ec/Portal/Busqueda/normas%20de%20control%20interno


123

Datos de los Autores

Ing. Christian Tello Santillán, MBA.

[email protected]

[email protected]

Formación Académica: Ingeniero Informático

Diploma Superior en Gerencia en Investigación y

Planificación Estratégica

Maestría en Administración de Empresas

Experiencia docente: Universidad Central del Ecuador

Universidad Politécnica Salesiana

Ing. Mónica Guerrero Segovia, MTE.

[email protected]

[email protected]

Formación Académica: Ingeniera en Sistemas e Informática

Diplomado en Docencia Universitaria

Maestría en Tecnología Educativa

Experiencia docente: Universidad Central del Ecuador

Universidad Politécnica Salesiana

mailto:[email protected]




Scanned by CamScanner




Documents

Autores: Christian Tello S. Mónica Guerrero S. · organización, existe la auditoría informática. La auditoría informática se ha convertido en un apoyo interno a la organización,