08 0746 CS

Universidad de San Carlos de Guatemala
Facultad de Ingeniera
Escuela de Ingeniera en Ciencias y Sistemas
PRCTICAS INTERNACIONALES PARA LA AUDITORA

DE GESTIN DE TECNOLOGA DE LA INFORMACIN
Ana Virginia Prez Girn

Asesorada por la Inga. Ada Luz Garca Colindres
Guatemala, noviembre de 2013
UNIVERSIDAD DE SAN CARLOS DE GUATEMALA
FACULTAD DE INGENIERA
PRCTICAS INTERNACIONALES PARA LA AUDITORA

DE GESTIN DE TECNOLOGA DE LA INFORMACIN
TRABAJO DE GRADUACIN
PRESENTADO A JUNTA DIRECTIVA DE LA

POR
ANA VIRGINIA PREZ GIRN

ASESORADA POR LA INGA. ADA LUZ GARCA COLINDRES
AL CONFERRSELE EL TTULO DE
INGENIERA EN CIENCIAS Y SISTEMAS
GUATEMALA, NOVIEMBRE DE 2013
UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

NMINA DE JUNTA DIRECTIVA
DECANO
Ing. Murphy Olympo Paiz Recinos
VOCAL I
Ing. Alfredo Enrique Beber Aceituno
VOCAL II
Ing. Pedro Antonio Aguilar Polanco
VOCAL III
Inga. Elvia Miriam Ruballos Samayoa
VOCAL IV
Br. Walter Rafael Vliz Muoz
VOCAL V
Br. Sergio Alejandro Donis Soto
SECRETARIO
Ing. Hugo Humberto Rivera Prez
TRIBUNAL QUE PRACTIC EL EXAMEN GENERAL PRIVADO
DECANO
Ing. Murphy Olympo Paiz Recinos
EXAMINADOR
Ing. Edgar Estuardo Santos Sutuj
EXAMINADOR
Ing. Jos Alfredo Gonzlez Cosenza
EXAMINADOR
Ing. Marlon Francisco Orellana Lpez
SECRETARIO
Ing. Hugo Humberto Rivera Prez
ACTO QUE DEDICO A:
Dios
Por su infinita bondad y amor, al haberme permitido

lograr mis objetivos.
Mara Santsima
Quien me ha acompaado e iluminado en cada

decisin que he tomado en mi vida.
Mi madre
Eluvia Girn Figueroa, por todo el amor y apoyo

incondicional que me ha brindado a lo largo de mi
vida; gracias a ella soy lo que soy.
Mi hermano
Marco Antonio Prez Girn, quien siempre ha estado

acompandome para poder alcanzar mis metas.
Mi familia
Tos, tas, primos y primas; uno de los mejores

regalos de Dios para mi vida.
Mis amigos
Por su amistad y por tantos buenos momentos

compartidos.
Mi asesora
Ada Luz Garca, por todo el apoyo brindado; por su

tiempo y gua permanente para poder desarrollar
este trabajo.
NDICE GENERAL
NDICE DE ILUSTRACIONES ........................................................................... V

GLOSARIO ...................................................................................................... VII
RESUMEN ........................................................................................................ XI
OBJETIVOS .................................................................................................... XIII
INTRODUCCIN ............................................................................................. XV
1.
AUDITORA Y GESTIN DE TECNOLOGA DE LA

INFORMACIN ........................................................................................ 1
1.1.
Objetivos de la auditora de gestin de las tecnologas de

la informacin ............................................................................ 2
1.2.
Definicin del problema ............................................................. 3
1.3.
Definicin de trminos ............................................................... 4
1.4.
Gestin de la tecnologa de la informacin ................................ 7

1.4.1.
Problemas en la gestin de la tecnologa de

la informacin ........................................................... 8
1.4.2.
Evolucin de la gestin de la tecnologa de

informacin ............................................................. 13
2.
ESTNDARES INTERNACIONALES DE
CALIDAD
RELACIONADOS CON LA GESTIN DE LA TECNOLOGA

DE LA INFORMACIN .......................................................................... 17
2.1.
COBIT 4.0................................................................................ 17
2.1.1.
Planificacin y organizacin.................................... 21
2.1.2.
Adquisicin e implementacin ................................ 23
2.1.3.
Entrega de servicio y soporte ................................. 25

I
2.1.4.
2.2.
2.3.
ISO 12207 ............................................................................... 29

2.2.1.
Procesos principales .............................................. 30
2.2.2.
Procesos de apoyo ................................................. 30
2.2.3.
Procesos organizativos .......................................... 32
ISO 17799 ............................................................................... 32

2.3.1.
Poltica de seguridad .............................................. 33
2.3.2.
Aspectos organizativos de la seguridad ................. 33
2.3.3.
Clasificacin y control de activos ............................ 33
2.3.4.
Seguridad ligada al personal .................................. 34
2.3.5.
Seguridad fsica y del entorno ................................ 34
2.3.6.
Gestin de comunicaciones y operaciones ............ 34
2.3.7.
Control de accesos ................................................. 35
2.3.8.
Desarrollo y mantenimiento de sistemas ................ 35
2.3.9.
Gestin de la continuidad del negocio .................... 35
2.3.10.
Cumplimiento ......................................................... 36
2.4.
ITIL .......................................................................................... 36
2.5.
Procesos del PMBOK.............................................................. 39
2.6.
3.
Monitoreo y control ................................................. 28
2.5.1.
Proceso de iniciacin ............................................. 39
2.5.2.
Proceso de planificacin......................................... 40
2.5.3.
Proceso de ejecucin ............................................. 41
2.5.4.
Proceso de seguimiento y control .......................... 42
2.5.5.
Proceso de cierre ................................................... 43
ISO 27001 .............................................................................. 44
METODOLOGA PARA NORMALIZAR LOS DIFERENTES

ESTNDARES INTERNACIONALES DE CALIDAD,
RELACIONADOS CON LA GESTIN DE LA TECNOLOGA
DE LA INFORMACIN ........................................................................ 47
II
4.
3.1.
Importancia de normalizar los estndares ............................... 47
3.2.
Proceso de desarrollo de la metodologa ................................ 48
3.3.
Arquitectura de la metodologa ................................................ 54
ENFOQUES DE LA AUDITORA DE LA TECNOLOGA DE LA

INFORMACIN ...................................................................................... 57
5.
4.1.
Enfoque a la seguridad ........................................................... 57
4.2.
Enfoque a la informacin ......................................................... 59
4.3.
Enfoque a la infraestructura tecnolgica.................................. 61
4.4.
Enfoque al software de aplicacin ........................................... 61
4.5.
Enfoque a las comunicaciones y redes ................................... 62
PRCTICA DE LA AUDITORA DE TECNOLOGA DE LA

INFORMACIN Y SU DESARROLLO ................................................. 65
6.
5.1.
Etapas para la realizacin de una auditora de sistemas......... 65
5.2.
Tcnicas para la auditora informtica ..................................... 71
APLICACIN DE LAS PRCTICAS INTERNACIONALES PARA

LA GESTIN DE TECNOLOGA DE LA INFORMACIN EN UNA
AUDITORA A LAS DE REDES PRIVADAS VIRTUALES VPN- ......... 75
CONCLUSIONES ............................................................................................. 79
RECOMENDACIONES ..................................................................................... 81
BIBLIOGRAFA ................................................................................................. 83
APNDICES ..................................................................................................... 87
III
IV
NDICE DE ILUSTRACIONES
FIGURAS
1.
Esquema de auditora informtica de la gestin de tecnologas

de la informacin ................................................................................ 2
2.
Esquema del concepto clsico de auditora ....................................... 4
3.
Estrategia de las tecnologas de informacin ................................... 16
4.
Objetivos de control de COBIT ......................................................... 19
5.
Cubo de COBIT ................................................................................ 20
6.
ISO 12207 procesos del ciclo de vida del software .......................... 29
7.
Marco de trabajo de ITIL .................................................................. 36
8.
Representacin de grupos de procesos en PMBOOK ..................... 39
9.
Grupo de procesos de iniciacin ...................................................... 40
10.
Grupo de procesos de planificacin ................................................. 41
11.
Grupo de procesos de ejecucin ...................................................... 42
12.
Grupo de procesos de seguimiento y control ................................... 43
13.
Grupo de proceso de cierre .............................................................. 44
14.
Modelo aplicado a los procesos de SGSI......................................... 45
15.
Integracin de buenas prcticas y estndares ................................. 49
16.
Interrelacin entre los diferentes estndares para crear un marco

de gobierno de TI ............................................................................. 51
17.
Estructura para la metodologa integral de la gestin de la

Tecnologa de informacin ............................................................... 55
18.
Relacin entre procesos, metas y mtricas (DS5) ........................... 76
TABLAS
I.
Factores de falla o cancelacin en los proyectos ............................ 9
II.
Etapas de una aditora de sistemas ............................................... 70
VI
GLOSARIO
Base de datos
Es una coleccin de informacin organizada de forma que

un programa de ordenador pueda seleccionar rpidamente
los fragmentos de datos que necesite.
Firewall
Es un sistema de defensa basado en el hecho de que todo

el trfico de entrada o salida a la red debe pasar
obligatoriamente por un sistema de seguridad capaz de
autorizar, denegar, y tomar nota de todo aquello que ocurre,
de acuerdo con una poltica de control de acceso entre
redes.
Framework
Es una estructura conceptual y tecnolgica de soporte

definido, normalmente con artefactos o mdulos de
software concretos, que puede servir de base para la
organizacin y desarrollo de software.
Gateway
Es un dispositivo que permite interconectar redes con

protocolos y arquitecturas diferentes a todos los niveles de
comunicacin.
Gobierno de TI
Ayuda a garantizar que la TI
soporte
las metas del
negocio, optimice la inversin del negocio en TI, y

administre de forma adecuada los riesgos y oportunidades
asociados a la TI.
VII
Granja de
Formado por un grupo de servidores interconectados que a
servidores
su vez actan como un nico servidor.
Hardware
Engloba a todos los componentes de un ordenador,

significando entonces todas las partes duras y fsicas que
se encuentran en un equipo.
Log
Es usado para registrar datos o informacin sobre quin,

qu, cundo, dnde y por qu un evento ocurre para un
dispositivo en particular o aplicacin.
Mesa de
La principal funcin es brindar un soporte a los usuarios en
servicio
relacin con los requerimientos de ayuda, en la utilizacin

de servicios computacionales.
Outsourcing
La subcontratacin, externalizacin o tercerizacin (del

ingls outsourcing) es el proceso econmico en el cual una
empresa mueve o destina los recursos orientados a cumplir
ciertas tareas hacia una empresa externa por medio de un
contrato.
Proxy
Es un equipo intermediario situado entre el sistema del

usuario e internet.
Red
Es un conjunto de equipos informticos y software conectados

entre s por medio de dispositivos fsicos que envan y
reciben
impulsos
elctricos,
ondas
electromagnticas
cualquier otro medio para el transporte de datos
VIII
Router
Su funcin principal consiste en enviar paquetes de datos

de una red a otra.
Servidor
Suelen utilizarse para almacenar archivos digitales. Los

usuarios, por lo tanto, se conectan a travs de la red con el
servidor y acceden a dicha informacin.
Sistema
operativo
Es el software bsico de una computadora que provee una

interfaz entre el resto de programas del ordenador, los
dispositivos de hardware y el usuario.
Software
Programas o aplicaciones instaladas en una computadora

que tienen una funcionalidad especfica y ayuda al usuario
a interactuar con el computador.
TI
Siglas utilizadas para resumir la palabra tecnologa de la

informacin.
TIC
Siglas utilizadas para resumir la palabra tecnologa de la

informacin y la comunicacin.
VPN
Es una tecnologa de red que permite una extensin segura

de la red local sobre una red pblica o no controlada como
internet.
IX
RESUMEN
Hoy en da uno de los activos ms importantes para una organizacin es

la tecnologa y su informacin, por lo que es necesario protegerla y administrar
los riesgos de mltiples intrusos o problemas internos; para ello existe una serie
de estndares, protocolos, mtodos, reglas, herramientas y polticas, para
minimizar los posibles riesgos que afecten a la organizacin.
Los estndares fueron creados para la administracin de las tecnologas

de la informacin con el propsito de crear un conjunto de herramientas de
apoyo que permita a los administradores cerrar la brecha existente entre
requerimientos de control, cuestiones tcnicas y riesgos del negocio.
Es prioridad asegurar la informacin que abarca software (bases de

datos, metadatos, archivos), hardware y todo lo que la organizacin valore
como activo y signifique un riesgo si esta informacin llega a perderse o bien no
est disponible en el momento de tomar decisiones importantes para la
organizacin. Por lo que es necesario incluir dentro de la corporacin una
auditora informtica que evale constantemente la gestin de los sistemas,
redes de comunicaciones, servidores y posterior a ello, describa las
vulnerabilidades que se encuentren en dichas revisiones.
Las auditoras de sistemas de informacin permiten conocer en el

momento de su realizacin cul es la situacin exacta de los activos de
informacin en cuanto a proteccin, control y medidas de seguridad.
XI
Un buen sistema de gestin de informacin de sistemas es para una

organizacin el diseo, implantacin y mantenimiento de un conjunto de
procesos para gestionar eficientemente la accesibilidad de la informacin,
buscando asegurar la confidencialidad, integridad y disponibilidad de los activos
de informacin, minimizando a la vez los riesgos de seguridad de la
informacin.
XII
OBJETIVOS
General
Proveer a los auditores de tecnologa de la informacin, lineamientos con

base en prcticas internacionales, para la realizacin
de una auditora de
gestin a las tecnologas de informacin.
Especficos
1.
Mejorar el proceso de evaluacin de la gestin informtica con base en

estndares internacionales en los diversos tipos de organizaciones, siendo
este, el primer paso para que se pueda realizar una planificacin
estratgica de tecnologa de informacin, integrada a las dems funciones
de la organizacin.
2.
Proponer una metodologa alineada a los estndares internacionales ms

importantes para la auditora de la gestin de las tecnologas de
informacin y mejorar el proceso general de la auditora, enlazndola e
integrndola con estndares internacionales, de manera que se logren
evaluaciones integrales mucho ms acertadas y se contribuya al logro de
los objetivos organizacionales.
XIII
XIV
INTRODUCCIN
Hoy en da una de las mayores preocupaciones de las organizaciones es

la implementacin de tecnologas de informacin, probablemente es porque no
ven que las inversiones realizadas den soluciones inmediatas, tangibles y
medibles; y all donde se vea una oportunidad de mejora, realmente estn
creando un problema difcil de administrar, controlar y caro de mantener.
La auditora informtica se constituye en una herramienta que gestiona la

tecnologa de la informacin en las organizaciones. A travs de auditoras
informticas se pretende medir los riesgos y evaluar los controles en el uso de
las tecnologas de informacin, haciendo uso de estndares internacionales,
tcnicas y estrategias de anlisis, que permitan que la auditora informtica se
convierta en una real y eficiente herramienta de gestin de tecnologas de
informacin, a beneficio de la organizacin.
Los estndares internacionales para la gestin de la tecnologa de la

informacin son guas generales dictadas por expertos en tecnologa, con el
objetivo de promover una buena administracin de los recursos de la
organizacin en un marco adecuado en la estructura del control interno. Estas
normas establecen las pautas bsicas y guan el accionar de los altos directivos
que dirigen las organizaciones.
XV
1.
AUDITORA Y GESTIN DE TECNOLOGA DE LA

INFORMACIN
La
auditora
de
gestin
las
tecnologas
de
informacin
comunicaciones, consiste en el examen de carcter objetivo (independiente),

crtico (evidencia), sistemtico (normas) y selectivo (muestral) de las polticas,
normas, funciones, actividades, procesos e informes de una entidad, con el fin
de emitir una opinin profesional (imparcial) con respecto a :eficiencia en el uso
de los recursos informticos, validez y oportunidad de la informacin,
efectividad de los controles establecidos y la optimizacin de los recursos
tecnolgicos.1
Este enfoque es totalmente compatible con las prcticas y controles
contenidos en COBIT, ITIL, estndares de seguridad de la informacin (ISO
27000) entre otros, que hacen referencia a las pistas de auditora en los
sistemas informticos, controles de acceso a los sistemas, bases de datos,
reas de tecnologa de la informacin y comunicaciones (TICs) rea de
servidores, codificacin de la informacin, prevencin de virus, fraude,
deteccin y mitigacin de intrusos, entre otros; estos estndares no
proporcionan un criterio legal aplicable si no han sido adoptados por la entidad,
pero s procedimientos de auditora para examinar la gestin tecnolgica en las
diferentes organizaciones.
La tecnologa de la informacin ayudada por los distintos estndares,

permite identificar riesgos y controles para brindar apoyo al logro de los
1
http://bibliotecavirtual.olacefs.com/gsdl/collect/guasyman/archives/HASH0155.dir/ManualAudito
riaGestionTICs.pdf. Consulta: 5 de agosto de 2013.
objetivos de la organizacin, para el cumplimiento de sus metas estratgicas,

como se muestra en la siguiente figura.
Figura 1.
Esquema de auditora informtica de la gestin de tecnologas

de la informacin
Fuente:http://bibliotecavirtual.olacefs.com/gsdl/collect/guasyman/archives/HASH0155.dir/Manual
AuditoriaGestionTICs.pdf. Consulta: agosto de 2013.
1.1.
Objetivos de la auditora de gestin de las tecnologas de la

informacin
Objetivo general: evaluar la eficiencia, efectividad y confiabilidad de la

informacin, para la toma de decisiones que permitan corregir los errores,
en caso de que existan, o bien mejorar la forma de actuacin.2
http://bibliotecavirtual.olacefs.com/gsdl/collect/guasyman/archives/HASH0155.dir/ManualAudito
riaGestionTICs.pdf. Consulta: 8 de agosto de 2013.
Objetivos especficos:
Asegurar la integridad, confidencialidad, confiabilidad y oportunidad

de la informacin.
Minimizar existencias de riesgos en el uso de tecnologa de

informacin en los procesos sistematizados.
Conocer la situacin actual del rea informtica para el logro de

objetivos estratgicos y operativos de la institucin.
Apoyar al rea de tecnologa de informacin y comunicaciones y a

las metas y objetivos de la organizacin.
Asegurar la utilidad, confianza, privacidad y disponibilidad en el

ambiente tecnolgico.
1.2.
Definicin del problema
Las organizaciones inician grandes inversiones en tecnologa de

informacin numerosas veces, sin evaluar el impacto que realmente tienen en la
generacin de valor de las mismas. Existen estndares de calidad que han sido
propuestos por entidades a nivel mundial.
Estas normas ilustran de manera amplia y ordenada sobre los elementos

que se deben tener en cuenta para una adecuada gestin informtica. Estas
normas no orientan de manera especfica sobre los procedimientos a seguir,
para una evaluacin integral de la gestin informtica orientada al logro de los
objetivos de un plan estratgico organizacional.
Las normas se miden sobre la base de indicadores de gestin y

resultados a alcanzar establecidos para toda la organizacin, lo que sera el
primer paso a seguir, si se quiere lograr una planificacin estratgica de la
tecnologa de informacin, orientada hacia el logro de los objetivos
organizacionales.
1.3.
Definicin de trminos
A continuacin se definir una serie de trminos importantes para la

correcta comprensin del documento como: auditora, auditora de sistemas,
riesgo, control, control interno informtico, hallazgo, evaluacin del proceso de
software,
metodologa, proceso, proceso de software y tecnologa de
informacin.
Auditora: es la actividad que consiste en la emisin de una opinin

profesional
sobre
si
el
objeto
sometido
anlisis
presenta
adecuadamente la realidad que pretende reflejar y cumple las

condiciones que le han sido prescritas.
Figura 2.
Esquema del concepto clsico de auditora
Fuente: elaboracin propia.
Auditora de sistemas: se encarga de llevar a cabo la evaluacin de

normas, controles, tcnicas y procedimientos que se tienen establecidos
en una empresa, para lograr confiabilidad, oportunidad, seguridad y
confidencialidad de la informacin que se procesa a travs de los sistemas
de informacin. La auditora de sistemas es una rama especializada de la
auditora que promueve y aplica conceptos de auditora en el rea de
sistemas de informacin.
Riesgo: se define como la combinacin de la probabilidad de que se

produzca un evento y sus consecuencias negativas. Los factores que lo
componen son la amenaza y la vulnerabilidad.
Control: establece medidas implementadas en las entidades con la

finalidad de reducir los riesgos existentes y proteger los activos ms
importantes para la organizacin.
Control interno informtico: es el que controla diariamente que todas las

actividades de sistemas de informacin sean realizadas cumpliendo los
procedimientos, estndares y normas fijados por la direccin de la
organizacin y/o la direccin de informtica. La misin del control interno
informtico es asegurarse de que las medidas que se obtienen de los
mecanismos implantados por cada responsable sean correctas y vlidas.
Hallazgo: es el resultado de la evaluacin de la evidencia de la auditora

recopilada frente a los criterios de auditora. Los hallazgos de auditora
pueden indicar tanto conformidad o no conformidad con los criterios de
auditora como oportunidades de mejora.
Evaluacin del proceso del software: la medicin permite que se mejoren

los procesos del software, la planificacin, seguimiento y control de un
proyecto de software; as como evaluar la calidad del producto que se
produce. Las medidas de los atributos del proyecto y del producto se
utilizan para calcular las mtricas del software, las cuales se pueden
analizar para proporcionar indicadores que guan acciones de gestin y
tcnicas.
Metodologa:
la
metodologa
hace
referencia
al
conjunto
de
procedimientos racionales utilizados para alcanzar una gama de objetivos

que rigen en una investigacin cientfica, una exposicin doctrinal o tareas
que requieran habilidades, conocimientos o cuidados especficos.
Proceso: es un conjunto de prcticas relacionadas entre s, llevadas a

cabo a travs de roles y por elementos automatizados, que utilizando
recursos y a partir de insumos producen un satisfactor de negocio para el
cliente.
Proceso de software: es un conjunto de actividades, mtodos, prcticas y

transformaciones que los profesionales usan para desarrollar y mantener
software y los productos asociados (por ejemplo: planes de proyecto,
documentos de diseo, cdigo, casos de prueba, y manuales de usuario).
Tecnologa de la informacin: comprende tanto al hardware de

computadoras, redes y comunicaciones, as como al software de base
(sistemas operativos, servidores proxy, manejadores de bases de datos,
servidores web, etc.) y los sistemas de informacin (sistemas que
soportan procesos relacionados con el manejo de la informacin en las
organizaciones), as como los servicios relacionados, que se usan en las
6
organizaciones para el logro de sus objetivos, tanto dentro de ellas como

en sus interrelaciones con otros miembros de las cadenas de suministros
con las cuales realizan transacciones.
1.4.
Gestin de la tecnologa de la informacin
Consiste en la aplicacin de los procesos de la administracin

(planificacin, ejecucin, seguimiento y control) a los diversos aspectos que
tienen relacin
con los bienes y servicios de tecnologa de informacin,
incluyendo los siguientes aspectos:
Gestin de procesos que tienen que ver con la infraestructura de

tecnologa de informacin
Gestin de proyectos de infraestructura de tecnologa de informacin
Gestin de proyectos de desarrollo de sistemas de informacin
Gestin de requerimientos relacionados con los sistemas de informacin

en produccin.
La gestin de la tecnologa de la informacin se lleva a cabo mediante la

adopcin de buenas prcticas, ampliamente usadas, que proceden de diversas
fuentes como son los estndares ISO 9000, 27001, COBIT, ITIL, entre otros.
El control interno informtico debe estar comprendido dentro de las

labores del rea encargada de la gestin de tecnologa de informacin,
examinando diariamente que todas las actividades de sistemas de informacin
sean realizadas cumpliendo los procedimientos, estndares, y normas fijadas
por la direccin de organizacin y/o la direccin de informtica, as como los
requerimientos legales.
1.4.1.
Problemas en la gestin de la tecnologa de la

informacin
En la actualidad existe un alto ndice de proyectos tecnolgicos que

fracasan, debido a la mala direccin de los responsables pues pierden el
objetivo del proyecto. El xito de un proyecto suele ser muy simple: lograr la
satisfaccin del cliente finalizando el proyecto a tiempo y dentro del presupuesto
inicialmente previsto. Sin embargo, en la prctica, los problemas a los que se
enfrenta el responsable del proyecto cuando intenta cumplir con estos requisitos
son complejos.
A continuacin se dan a conocer los inconvenientes que un directivo de

Tecnologa de la Informacin puede enfrentar durante su administracin para
evitar su fracaso.
Problemtica de los proyectos tecnolgicos: la falta de planeacin, el

inadecuado dimensionamiento, costos
y tiempos subestimados en un
proyecto de tecnologa, se convierten en los grandes impedimentos al

momento de su implementacin.
Control y gestin de proyectos tecnolgicos: el objetivo de la gestin

tecnolgica se centra en el desarrollo de destrezas y herramientas para la
adquisicin y generacin continua de conocimientos dentro de la
organizacin. Para lo cual es necesario crear capacidades especficas en:
Adquisicin de datos
Procesamiento y anlisis de los datos adquiridos
Difusin interna de conocimiento
Conservacin de la informacin: estas capacidades requieren de la

creacin de determinadas condiciones de ndole organizativas y
operativas, dirigidas a crear un ambiente organizacional que estimule la
creatividad y la incorporacin de personal idneo con las herramientas de
trabajo necesarias para el desempeo de sus funciones. La gestin
tecnolgica en busca de un mejor desempeo se apoya en las cuatro
funciones gerenciales: planeacin, organizacin, direccin y control.
La correcta utilizacin de estas funciones facilitar la direccin del

crecimiento tecnolgico de la organizacin. Las principales causas por las que
fracasan los proyectos tecnolgicos se muestran en la siguiente tabla.
Tabla I.
Factores de falla o cancelacin en los proyectos
Factores de dao o cancelacin
Porcentaje (%)
Requerimientos incompletos
13,1
Deficiencia en el involucramiento del usuario
12,4
Deficiencia de recursos
10,6
Expectativas no realistas
9,9
Deficiencia en soporte ejecutivo
9,3
Cambios
en
los
requerimientos
8,7
especificaciones
Deficiencia en la planeacin
8,1
Ya no se necesita ms
7,5
Deficiencia en administracin de TI
6,2
Desconocimiento en tecnologa
4,3
Otros
9,9
Fuente: www.acis.org.co/fileadmin/Articulos/Andres_Salinas.pdf.
Consulta: agosto de 2013.
Segn investigaciones realizadas, los factores que llevan al fracaso un

proyecto tecnolgico son los siguientes:
Falta de compromiso con el proyecto, en el establecimiento de

cronogramas, presupuestos y objetivo de desempeo tcnicos.
Falta de retroalimentacin de la organizacin patrocinadora.
Falta de retroalimentacin por parte del cliente.
Estructura de la organizacin adecuada al equipo del proyecto.
Participacin del equipo del proyecto en la determinacin del cronograma

y los presupuestos.
Entusiasmo del patrocinador.
Procedimiento de control adecuado, especialmente en relacin con los

cambios.
A continuacin se describen algunos de los obstculos y las posibles

soluciones que deben tenerse en cuenta, durante el desarrollo de proyectos
tecnolgicos:
Conocimiento del negocio: el no conocer del negocio es uno de los

mayores problemas en el inicio de un proyecto de tecnologa.
El equipo
de trabajo debe conocer el funcionamiento de la empresa, ya que es

indispensable saber cmo funciona y cules son sus procesos; todo esto
debe ser analizado detenidamente antes de iniciar con el desarrollo de un
10
proyecto tecnolgico. Uno de los factores del xito de un proyecto es que

el equipo de trabajo est conformado por personas que conozcan el
funcionamiento de la empresa y los procesos que van a ser
sistematizados, sin importar que
desconozcan las herramientas
tecnolgicas; de este modo evitarn llegar al fracaso. El conocedor del

negocio debe ser parte de los lderes del proyecto.
Conocimiento de los objetivos especficos: los lderes y miembros del

equipo deben de tener una idea clara del objetivo del proyecto, saber
cmo debe de operar el negocio una vez culmine el desarrollo del
proyecto y qu cambios benficos se vern en la empresa.
Los lderes
del proyecto deben de estar preparados tanto en el tema tcnico como en

lo administrativo, calcular el costo del inicio del proyecto y el costo que se
tendr si no se llegara a terminar con xito.
Es importante que todo el equipo comprenda las consecuencias que se

tendrn para la empresa y el grupo, en caso de que el proyecto llegara a
fallar. Para evitar confusiones se debe de tener identificado cada grupo de
trabajo y su participacin en el resultado del proyecto, preparar reuniones
con ellos, con el fin de explicar el objetivo y las herramientas para lograrlo.
Se debe vender una visin del futuro deseado para la organizacin al
culminar el proyecto.
Resistencia al cambio y desestimacin: siempre existirn usuarios que se

resistan al cambio en todos los niveles de la organizacin; esto debido a
las malas experiencias que se han afrontado en proyectos pasados, pues
no se consiguieron los resultados que se esperaban. La comparacin
entre el sistema tecnolgico antiguo y el nuevo, puede hacer que los
usuarios finales estn en contra del nuevo sistema al primer fallo que
11
ocurra. Un cambio exitoso requiere de lderes de proyecto con iniciativa y

sean firmes con la gente que no pone de su parte para lograr que el
proyecto sea un xito.
Para evitar la desestimacin del proyecto, el directivo de tecnologa de

informacin debe comprender lo que se requiere para la realizacin del
proyecto, y de ser necesario, revisar y ajustar las metas, analizar los
requerimientos solicitados y el equipo de trabajo, con el fin de asegurarse
que las personas estn enfocadas en los resultados del negocio y no se
conformen simplemente con que el sistema funcione.
Equipo de trabajo y sobrecarga: las condiciones del equipo de trabajo y

sobrecarga son las ms difciles de manejar, ya que se dan casi siempre
en la mitad o por finalizar el proyecto; es por ello que se debe asegurar
que el equipo de trabajo tenga la gente adecuada con el conocimiento
necesario, tanto administrativo como operativo. En ciertos casos es
necesario contratar temporalmente personal experto, que oriente al grupo
de trabajo en los vacos que posee. Tener credibilidad y claridad sobre lo
que se est realizando fortalece el proyecto y ante las falencias, capacitar
al grupo de trabajo no es un error, es una ganancia oculta.
Para manejar la sobrecarga de trabajo, es necesario encontrar alternativas

y establecer prioridades, haciendo ver que los requerimientos que no
fueron dados a tiempo, deben esperar a una segunda fase del proyecto.
De no ser posible, es necesario exponer de manera escrita los nuevos
requerimientos, dejando indicado que lo solicitado no fue incluido dentro
del plan inicial y modificar las fechas de entrega, sin alterar las porciones
del proyecto.
12
Cultura organizacional: los lderes del proyecto en muchas ocasiones no

han considerado en su planificacin la cultura de la organizacin como
factor clave. En la mayora de casos, cuando el cambio est en conflicto
con la cultura, la cultura prevalece. An los proyectos ms populares
pueden causar incomodidad. Para un usuario final salir de su zona de
confort es difcil, ya que para l, el proyecto es algo nuevo y desconocido,
sin tener en cuenta el beneficio que produce. Para evitar este factor, es
necesario imaginar las actitudes y comportamientos necesarios en las
personas, para que el proyecto cierre esa brecha cultural de manera
paulatina. En el caso de un proyecto grande, es recomendable empezar
entregando partes pequeas.
El desarrollo de un proyecto de tecnologa, no es una tarea fcil, pero es

un reto que las empresas deben enfrentar, para lograr ser competitivas en
el
mercado,
ya
que
el
recurso
sistemtico
permite
manejar
adecuadamente la informacin y de esta forma, lograr una toma de

decisiones efectiva.
1.4.2.
Evolucin de la gestin de la tecnologa de

informacin
La gestin de la tecnologa de informacin, ha evolucionado muy rpido

en las ltimas dcadas. Las empresas requieren de una alta capacidad para
adaptarse a los permanentes y acelerados cambios de la tecnologa en las
reas de la informtica, sistemas y telecomunicaciones.
La capacidad para desarrollar y utilizar nuevas tecnologas ha permitido

automatizar de forma gradual tareas que anteriormente eran realizadas
manualmente.
13
Las ventajas que ofrecen las tecnologas de la informacin dependen del

punto de vista que establece la organizacin, sobre qu espera de ellas. La
unin de la tecnologa con el uso de los recursos hace que sea permisible una
continua revisin de las ventajas tecnolgicas.
En la actualidad, las empresas que no se encuentran involucradas con

la tecnologa no pueden ser competitivas, ya que una pieza fundamental en
cualquier organizacin es la automatizacin de sus procesos. La globalizacin
permite estar mejor informados, tanto con las empresas, como con los clientes
y proveedores.
Durante mucho tiempo, dentro de las organizaciones, la informtica fue

considerada una herramienta para soportar funciones operativas.
Actualmente es vista como rea de oportunidad para lograr ventajas en

los negocios, permiten mejorar la competitividad del negocio, incremento en las
ventas, mejora el nivel de servicio al cliente, incrementa la productividad y
reduce los costos.
El implementar las tecnologas de la informacin en las organizaciones

no es sencillo, la evolucin que han tenido, as como el entorno de la empresa
crean retos para su implementacin y su funcionamiento. La misin principal de
las tecnologas de la informacin es apoyar a las empresas a automatizar sus
procesos, hacindolas competitivas.
La buena gestin de las tecnologas de informacin en una organizacin

depende de la armona entre estrategias, infraestructura y procesos del
negocio, asociados con los recursos tecnolgicos.
14
La evolucin de las tecnologas de la informacin exige a que se

examinen a conciencia las estrategias de los negocios.
Las organizaciones interesadas en aplicar las tecnologas de la

informacin deben revisar sus estrategias de comercializacin, produccin y
distribucin, para implementar una adecuada estructura, que tome en cuenta
las tendencias tecnolgicas y la visin de lo que se quiere en el futuro.
Se debe especificar cmo se van a satisfacer las necesidades con base

en las prioridades de la estrategia de los sistemas de informacin y la
tecnologa de informacin precisa para desarrollar y operar las aplicaciones
actuales y futuras.
Esto implica establecer la forma en que han de desarrollarse las

aplicaciones y cmo se van a alcanzar, utilizar, controlar y gestionar los
recursos tecnolgicos y humanos necesarios para satisfacer las necesidades de
la empresa.
La estrategia de las tecnologas de informacin dentro de la organizacin

debe estar fundamentada en las necesidades del negocio.
Dicha estrategia debe dar prioridad a la demanda de acuerdo con las

necesidades planteadas, y luego asegurar que se gestiona la oferta de recursos
y de tecnologa, de la mejor forma posible para satisfacer la demanda.
15
Figura 3.
Estrategia de las tecnologas de informacin
Fuente: http://ocw.uoc.edu/informatica-tecnologia-ymultimedia/fundamentos-de-
sistemas-de-informacion/Course_listing. Consulta: julio de 2013.
16
2.
ESTNDARES INTERNACIONALES DE CALIDAD

RELACIONADOS CON LA GESTIN DE LA
TECNOLOGA DE LA INFORMACIN
A continuacin se dar una pequea descripcin de los estndares

internacionales de calidad ms importantes, relacionados con la gestin de las
tecnologas de informacin.
2.1.
COBIT 4.0
Se refiere al objetivo de control para informacin y tecnologas

relacionadas. Es una gua de mejores prcticas presentado como un marco de
trabajo, dirigida a la gestin de tecnologa de la informacin (TI). Fue propuesto
por ISACA (en ingls: Information Systems Audit and Control Association); tiene
una serie de recursos que pueden servir de modelo de referencia para la
gestin de TI, incluyendo un resumen ejecutivo, un marco de trabajo, objetivos
de control, mapas de auditora, herramientas para su implementacin y
principalmente, una gua de tcnicas de gestin3
Es el estndar ms completo, ya que engloba los diversos conceptos

expresados en las normas ISO, CMM y PMBOK. Permite evaluar los diversos
elementos que integran la gestin de la tecnologa de informacin.
http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3
%ADas_relacionadas. Consulta: 14 de agosto de 2013.
17
COBIT ayuda a corregir las brechas existentes entre riesgos de

negocios, necesidades de control y aspectos tcnicos.
Proporciona prcticas
a travs de un marco referencias (framework) de dominios y procesos, presenta

actividades en una estructura manejable y lgica.
Las prcticas de COBIT
representan el consenso de expertos que ayudarn a los profesionales a

optimizar la inversin en la informacin, representando aquello sobre lo que
sern juzgados si las cosas salen mal.
COBIT se enfoca a la orientacin de negocios, est diseado para ser

utilizado como una lista de verificacin detallada para los propietarios de los
procesos de negocio. Proporciona las herramientas para los procesos propios
del negocio que provee la informacin que la organizacin necesita, para llevar
a cabo sus objetivos; los requisitos de las tecnologas de la informacin
necesitan ser gestionados por un conjunto de procesos que se encuentran
agrupados.
COBIT posee un conjunto de 34 objetivos de control para cada uno de

los procesos de las tecnologas de la informacin, agrupados en cuatro
dominios: planificacin y organizacin, adquisicin e implementacin, soporte
de entrega y monitorizacin. Esta estructura abarca todo los aspectos de la
informacin y de la tecnologa que la mantiene. Mediante la direccin de estos
34 objetivos de control de alto nivel, los procesos propios de negocio pueden
garantizar la existencia de un sistema de control adecuado para los entornos de
las tecnologas de la informacin.
18
Figura 4.
Objetivos de control de COBIT
Fuente: ISACA. ISACA. http://www.isaca.org/KnowledgeCenter/Standards/Pages/Standards-for-IS-Auditing-Spanish-.aspx. Consulta: agosto de 2013.
COBIT est diseado para ser utilizado para tres audiencias:
Administracin: para ayudarlos a lograr un balance entre riesgos e

inversiones, controlando el ambiente de tecnologa de informacin
frecuentemente impredecible.
Usuarios: para obtener una garanta en cuanto a la seguridad y controles

de los servicios de tecnologa de informacin.
19
Auditores de sistemas de informacin: para dar soporte a las opiniones

mostradas a la administracin sobre los controles internos y las
necesidades de la audiencia inmediata de la alta gerencia.
El marco referencial conceptual puede ser enfocado desde tres puntos

estratgicos: recursos de TI, requerimientos de negocio para la informacin y
procesos de TI. Estos puntos de vista diferentes permiten al marco referencial
ser accedido eficientemente. A los gerentes de la empresa les interesa un
enfoque de calidad, seguridad o fiduciario. Un gerente de TI desea considerar
recursos de TI por los cuales es responsable. Los auditores se enfocan en el
marco referencial desde un punto de vista de cobertura de control. Estos tres
puntos estratgicos son descritos en el cubo COBIT que se muestra a
continuacin:
Figura 5.
Cubo de COBIT
Fuente: ISACA. http://www.isaca.org/Knowledge-Center/Standards/Pages/Standardsfor-IS-Auditing-Spanish-.aspx. Consulta: agosto de 2013.
20
Los dominios son identificados manejando el lxico que la gerencia

utilizara en las actividades cotidianas de la organizacin (y no vocabulario
utilizado por el auditor). Por lo tanto, cuatro grandes dominios son identificados:
planificacin y organizacin, adquisicin e implementacin; entrega y soporte, y
monitorizacin.
2.1.1.
Planificacin y organizacin
Este dominio se refiere a la identificacin de la forma en que la

tecnologa de informacin puede contribuir de la mejor manera al logro de los
objetivos del negocio. Adems, la consecucin de la visin estratgica necesita
ser planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, deber establecerse una organizacin y una infraestructura
tecnolgica apropiada.
Entre los objetivos de control de este grupo estn los siguientes

procesos:
PO1. Definicin de un plan estratgico: lograr un balance ptimo entre las

oportunidades de tecnologa de informacin y los requerimientos de TI de
negocio.
PO2. Definicin de la arquitectura de la informacin: satisfacer
los
requerimientos de negocio y organizar de la mejor manera posible los

sistemas de informacin, a travs de la creacin y mantenimiento de un
modelo de informacin de negocio.
PO3. Determinacin de la direccin tecnolgica: aprovechar al mximo de

la tecnologa disponible o emergente, satisfaciendo los requerimientos del
21
negocio, a travs de la creacin y mantenimiento de un plan de

infraestructura tecnolgica.
PO4. Definicin de la organizacin y de las relaciones de TI: esto se

realiza por medio de una organizacin conveniente en nmero y
habilidades, con tareas y responsabilidades definidas y comunicadas.
PO5. Manejo de la inversin: tiene como finalidad la satisfaccin de los

requerimientos de negocio, asegurando el financiamiento y el control de
desembolsos de recursos financieros.
PO6. Comunicacin de la direccin y aspiraciones de la gerencia: asegura

el conocimiento y comprensin de los usuarios sobre las aspiraciones de
la gerencia, se concreta a travs de polticas establecidas y transmitidas a
la comunidad de usuarios, necesitndose para esto estndares para
traducir las opciones estratgicas de reglas de usuario prcticas y
utilizables.
PO7. Administracin de recursos humanos: maximizar las contribuciones

del personal a los procesos de TI, satisfaciendo as los requerimientos de
negocio, a travs de tcnicas slidas para administracin de personal.
PO8. Asegurar el cumplimiento con los requerimientos externos: cumplir

con obligaciones legales, regulatorias y contractuales; para ello se realiza
una identificacin y anlisis de los requerimientos externos en cuanto a su
impacto en TI, llevando a cabo las medidas apropiadas para cumplir con
ellos.
22
PO9.
Evaluacin de riesgos: asegurar el logro de los objetivos de TI y
responder a las amenazas hacia la provisin de servicios de TI; para ello

se logra la participacin de la propia organizacin en la identificacin de
riesgos de TI y el anlisis de impacto.
PO10.
Administracin de proyectos: establecer prioridades y entregar
servicios oportunamente y de acuerdo con el presupuesto de la inversin.
PO11.
cliente;
Administracin de
para
ello
se
calidad: satisfacer los requerimientos del
realiza
una
planeacin,
implementacin
mantenimiento de estndares y sistemas de administracin de calidad por

parte de la organizacin.
2.1.2.
Adquisicin e implementacin
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser

identificadas, desarrolladas o adquiridas, as como implementadas e integradas
dentro del proceso del negocio. Adems, este dominio cubre los caminos y el
mantenimiento realizados a sistemas existentes.

procesos:
AI1. Identificacin de soluciones: asegurar un enfoque efectivo y eficiente

para satisfacer los requerimientos del usuario, posibilitado por una
identificacin y anlisis, objetivos y claros, de las oportunidades
alternativas medidas en contraposicin con los requerimientos del usuario.
23
AI2.
Adquisicin y mantenimiento de aplicaciones: proveer funciones
automatizadas que soporten efectivamente el proceso del negocio,

posibilitado
por
una
definicin
de
declaraciones
especficas
de
requerimientos funcionales y operativos, y una implementacin por fase

con productos claros.
AI3. Adquisicin y mantenimiento de la infraestructura tecnolgica: proveer

las plataformas apropiadas para soportar las aplicaciones del negocio,
mediante adquisicin juiciosa de hardware, estandarizacin sobre el
software, evaluacin del rendimiento del hardware y del software, y
administracin consistente del sistema.
AI4. Facilidad de uso: asegurar el debido uso de las aplicaciones y de las

soluciones tecnolgicas establecidas, posibilitados por un enfoque
estructurado del desarrollo de manuales de procedimiento de usuario y de
operaciones, requerimientos de servicio y materiales de entrenamiento.
AI5. Obtencin de recursos tecnolgicos: proveer recursos de TI,

incluyendo personas, hardware, software y servicios cuando sea
necesario, a travs de la definicin de procesos de aprovisionamiento, la
seleccin adecuada de proveedores y la configuracin de condiciones
contractuales.
AI6. Gestin de cambios: minimizar la probabilidad de interrupcin,

alteraciones
no
autorizadas
errores,
mediante
el
anlisis,
la
implementacin y el seguimiento de todos los cambios solicitados y

hechos a la infraestructura existente de TI.
24
AI7. Instalacin y acreditacin de soluciones y cambios: verificar y

confirmar que la solucin es adecuada para el propsito que se pretende,
mediante una instalacin, migracin, conversin y plan de aceptacin, bien
formalizados.
2.1.3.
Entrega de servicio y soporte
Este dominio hace referencia a la entrega de servicios requeridos, que

abarca desde las operaciones tradicionales hasta el entrenamiento, pasando
por seguridad y aspectos de continuidad.

procesos:
DS1. Definir y administrar los niveles de servicio: asegurar la alineacin de

los servicios claves de TI con la estrategia del negocio, enfocndose en la
identificacin de requerimientos de servicio, el acuerdo de niveles de
servicio y el monitoreo del cumplimiento de los niveles de servicio.
DS2. Administrar los servicios de terceros: brindar servicios satisfactorios

de terceros, con transparencia acerca de los beneficios, riesgos y costos,
enfocndose en el establecimiento de relaciones y responsabilidades
bilaterales con proveedores calificados de servicios tercerizados y el
monitoreo de la prestacin del servicio, para verificar y asegurar la
adherencia a los convenios.
DS3. Administrar el desempeo y la capacidad: optimizar el desempeo

de la infraestructura, los recursos y las capacidades de TI, en respuesta a
las
necesidades
del
negocio.
25
Enfocndose
en
cumplir
con
los
requerimientos de tiempo de respuesta de los acuerdos de niveles de

servicio, minimizando el tiempo sin servicio y haciendo mejoras continuas
de desempeo y capacidad de TI, a travs del monitoreo y la medicin.
DS4. Garantizar la continuidad del servicio: asegurar el mnimo impacto al

negocio, en caso de una interrupcin de servicios de TI. Enfocndose en
el desarrollo de resistencia (resilience) en las soluciones automatizadas y
desarrollando, manteniendo y probando los planes de continuidad de TI.
DS5. Garantizar la seguridad de los sistemas: asegurar la informacin

contra uso no autorizado, divulgacin, modificacin, dao o prdida,
implementando controles de acceso lgico que aseguren que el acceso a
sistemas, datos y programas est restringido a usuarios autorizados.
DS6. Identificar y asignar costos: transparentar y entender los costos de TI

y mejorar la rentabilidad a travs del uso bien informado de los servicios
de TI, enfocndose en el registro completo y preciso de los costos de TI,
un sistema equitativo para asignacin acordado con los usuarios de
negocio, y un sistema para reportar oportunamente el uso de TI y los
costos asignados.
DS7. Educar y entrenar a los usuarios: hacer uso efectivo y eficiente de

soluciones y aplicaciones tecnolgicas y el cumplimiento del usuario con
las polticas y procedimientos, enfocndose en un claro entendimiento de
las necesidades de entrenamiento de los usuarios de TI, la ejecucin de
una efectiva estrategia de entrenamiento y la medicin de resultados.
26
DS8. Administrar la mesa de servicio y los incidentes: permite el efectivo

uso de los sistemas de TI, garantizando el anlisis de las consultas de los
usuarios finales, incidentes y preguntas.
DS9. Administrar la configuracin: optimizar la infraestructura, recursos y

capacidades de TI, y llevar registro de los activos de TI, enfocndose en
establecer y mantener un repositorio completo y preciso de atributos de la
configuracin de los activos y de lneas base y compararlos contra la
configuracin actual.
DS10. Administrar los problemas: garantizar la satisfaccin de los usuarios

finales con ofrecimientos de servicios y niveles de servicio, reducir el
retrabajo y los defectos en la prestacin de los servicios y de las
soluciones. Enfocndose en registrar, rastrear y resolver problemas
operativos; investigar las causas raz de todos los problemas relevantes y
definir soluciones para los problemas operativos identificados.
DS11. Administrar los datos: optimizar el uso de la informacin y

garantizar la disponibilidad de la informacin cuando se requiera,
enfocndose en mantener la integridad, exactitud, disponibilidad y
proteccin de los datos.
DS12. Administrar el ambiente fsico: proteger los activos de cmputo y la

informacin del negocio, minimizando el riesgo de una interrupcin del
servicio. Enfocndose en proporcionar y mantener un ambiente fsico
adecuado para proteger los activos de TI contra acceso, dao o robo.
DS13.
Administrar las operaciones: un procesamiento completo y
apropiado de informacin requiere de una efectiva administracin del

27
procesamiento de datos y del mantenimiento del hardware. Este proceso

incluye la definicin de polticas y procedimientos de operacin para una
administracin efectiva del procesamiento programado, proteccin de
datos de salida sensitivos, monitoreo de infraestructura y mantenimiento
preventivo de hardware.
2.1.4.
Monitoreo y control
Todos los procesos necesitan ser evaluados regularmente a travs del

tiempo, para verificar su calidad y suficiencia en cuanto a los requerimientos de
control.
ME1.
Monitorear y evaluar el desempeo de TI: incluye definicin de
indicadores de desempeo relevantes, y la realizacin de reportes

sistemticos y oportunos acerca de los mismos.
ME2. Monitorear y evaluar el control interno: este proceso se encarga de

monitorear las actividades de control interno de la organizacin
relacionadas con TI, y adems identifica las acciones de mejoramiento
posibles.
ME3.
Garantizar
el
cumplimiento
regulatorio:
identifica
leyes
regulaciones aplicables, con el fin de reducir riesgos relacionados con el

no cumplimiento de los requerimientos del negocio.
ME4. Aplicacin del gobierno de TI: satisface la integracin del gobierno

de TI con los objetivos corporativos. Por otra parte, alinea el cumplimiento
de las metas del negocio con las leyes y regulaciones existentes.
28
2.2.
ISO 12207
Es una estndar que provee una serie de objetivos de control para la

gestin de los proyectos de desarrollo de software, para un desempeo ideal de
las reas de desarrollo de sistemas de informacin.
Este estndar comprende 17 procesos, los cuales son agrupados en tres

categoras principales de apoyo y de organizacin, que se muestran en la
siguiente grfica:
Figura 6.
ISO 12207 procesos del ciclo de vida del software
Fuente: http://normasiso-iec.blogspot.com/2009/10/normas-isoiec-12207.html.
Consulta: agosto de 2013.
29
2.2.1.
Procesos principales
Los procesos principales son cinco, los cuales brindan servicio a las
partes principales durante el ciclo de vida del software. Estos son:
Adquisicin:
define las
actividades
del adquiriente, es
decir,
la
organizacin que adquiere un sistema, producto, software o servicio de

software.
Suministro: se relaciona con las actividades del proveedor, organizacin

que proporciona sistema, producto o servicio de software al adquiriente.
Desarrollo: define las actividades que tiene que llevar a cabo el

desarrollador, organizacin que define y desarrolla el producto software.
Operacin: define las actividades del operador, organizacin que

proporciona el servicio de operar un sistema informtico en su entorno
real.
Mantenimiento: define las actividades del responsable de mantenimiento o

la organizacin que se encarga de esta funcin; es decir, la gestin de las
modificaciones al producto, para mantenerlo actualizado y operativo.
2.2.2.
Procesos de apoyo
Este proceso soporta y coordina el desarrollo y el ciclo de vida de las

actividades primarias. Apoya a otros procesos para llevar a cabo una funcin
especializada.
30
Est compuesto por 8 procesos:
Documentacin: este proceso define las acciones necesarias para

registrar toda la informacin generada por los procesos del ciclo de vida.
Gestin de la configuracin: este proceso evala las configuraciones, as

como la administracin de versiones.
Aseguramiento de la calidad: asegura objetivamente que los productos de

software satisfagan los requerimientos especificados y se ajusta a los
planes establecidos.
Verificacin: verifica los productos y servicios de software.
Validacin: valida los productos de software del proyecto del software.
Revisin conjunta: se enfoca tanto en revisiones tcnicas como

administrativas, para evaluar el estado de los productos producidos.
Auditora: define las acciones para establecer el cumplimiento de los

requerimientos, planes y contratos.
Solucin de problemas: define el proceso para resolver los problemas que

sean encontrados, sin interesar su naturaleza, durante la ejecucin del
desarrollo, operacin, mantenimiento y otros procesos.
31
2.2.3.
Procesos organizativos
Este proceso apoya la administracin de todo el ambiente de desarrollo,

est comprometido en seguir cuatro procesos:
Administracin: el objetivo de este proceso es proveer administracin a

todos los procesos del proyecto, incluyendo administracin del producto y
del proyecto.
Infraestructura:
este
proceso
resguarda
el
hardware,
software,
herramientas, tcnicas y estndares que se necesitan para la ejecucin de

los otros procesos.
Mejora de procesos: este proceso define las acciones que una

organizacin realiza para establecer, medir, controlar y mejorar los
procesos de su ciclo de vida.
Recursos humanos: define las actividades para proveer personal

capacitado adecuadamente.
2.3.
ISO 17799
Es una norma que provee una serie de objetivos de control para la

gestin de procesos y proyectos de infraestructura de tecnologa de
informacin.
Tambin incluye secciones relacionadas con la seguridad en el desarrollo

de sistemas de informacin y la gestin de la continuidad del negocio. Incluye
los siguientes grupos de objetivos de control.
32
2.3.1.
Poltica de seguridad
Entre los objetivos de control de este grupo estn:
Documento de poltica de seguridad de la informacin
Revisin y evaluacin
2.3.2.
Aspectos organizativos de la seguridad
Estructura para la seguridad de la informacin: comit, recursos,

responsabilidades,
asesora
de
expertos,
organizaciones y evaluacin independiente.
Seguridad en los accesos de terceras partes
Outsourcing
2.3.3.
Clasificacin y control de activos
Responsabilidades sobre los activos
Clasificacin de la Informacin
33
colaboracin
entre
2.3.4.
Seguridad ligada al personal
Seguridad en la definicin del trabajo y recursos
Formacin y capacitacin en seguridad de la informacin
Respuesta ante incidencias y malos funcionamientos de la seguridad
2.3.5.
Seguridad fsica y del entorno
Entre los objetivos de control de este grupo pueden mencionarse:
reas seguras
Seguridad de los equipos
Controles generales
2.3.6.
Gestin de comunicaciones y operaciones
Procedimientos y responsabilidades de operacin
Planificacin y aceptacin del sistema
Proteccin contra software malicioso
Gestin Interna de respaldo y manipulacin
Gestin de redes
Uso y seguridad de los medios de informacin
Intercambio de Informacin y software
34
2.3.7.
Control de accesos
Entre los objetivos de control de este grupo pueden citarse:
Requisitos de negocio para el control de accesos
Gestin de acceso a usuarios
Responsabilidades de los usuarios
Control de acceso a la red
Control de acceso al sistema operativo
Control de acceso a las aplicaciones
Seguimiento de accesos y usos del sistema
Informtica mvil y teletrabajo
2.3.8.
Desarrollo y mantenimiento de sistemas
Requisitos de seguridad en los sistemas
Seguridad de las aplicaciones
Controles criptogrficos
Seguridad de los archivos del sistema
Seguridad en los procesos de desarrollo y soporte
2.3.9.
Gestin de la continuidad del negocio
Entre los objetivos de control de este grupo pueden citarse:
Planificacin
Prueba
35
Mantenimiento y reevaluacin de los planes de continuidad
2.3.10.
Cumplimiento
Cumplimiento de los requisitos legales
Revisiones de la poltica de seguridad y la conformidad tcnica
Consideraciones sobre la auditora de sistemas
2.4.
ITIL
Provee de una metodologa para la gestin de los requerimientos de

desarrollo que tienen que ver con los sistemas en produccin (los sistemas que
ya estn utilizando los usuarios de las diversas reas de la organizacin).
Figura 7.
Marco de trabajo de ITIL
Fuente: ITSMF LIBRARY. Fundamentos de gestin de servicios de TI basado en ITIL. p. 26.
36
Una organizacin que adopta las buenas prcticas de la gestin de

servicios de tecnologa de informacin de ITIL, mejora significativamente la
velocidad de atencin de requerimientos de desarrollo de sistemas de
informacin.
A continuacin se detalla la gestin de la atencin de requerimientos de

ITIL:
Previo a la atencin, se han definido o desarrollado:
Criterios para determinar qu requerimientos se pueden atender por

el operador que atiende en la mesa de servicio (service desk), quien
es el ente que canaliza los diversos requerimientos, tanto que tengan
que ver con procesos de desarrollo de sistemas de informacin como
con procesos de gestin de infraestructura de tecnologa de
informacin.
Niveles de servicio
Criterios para determinar los siguientes niveles de servicio en funcin

de la complejidad y naturaleza del requerimiento, adems de las
competencias de los recursos disponibles. Comnmente los criterios
estn en funcin del perjuicio que podra ocasionar la ausencia de los
servicios de tecnologa de informacin, afectndose a:
Clientes externos y clientes internos

Solo clientes externos
Solo clientes internos
37
Un sistema de informacin para soporte de transacciones y para la

gestin del conocimiento de las transacciones registradas en la mesa
de servicio.
Todos los requerimientos de atenciones sobre las tecnologas de

informacin en produccin, se realizan a travs del service desk, ya sea
por
telfono,
requerimientos
sistema
al
inicio
de
informacin
son
considerados
correo
electrnico.
incidentes;
es
Los
decir,
interrupciones a la operacin normal de los servicios de tecnologa de

informacin.
Los requerimientos reportados son ingresados a la gestin de incidentes,

de acuerdo con los niveles de servicio previamente definidos.
La gestin de problemas aparece para solucionar las causas de incidentes

comunes que han sido registrados en el service desk. Ello a su vez,
generar nuevos requerimientos.
La gestin de incidentes o la gestin de problemas pueden provocar:
Que se inicie la gestin de cambios (cualquier cambio por mnimo

que parezca debe ser registrado con los correspondientes efectos en
la gestin de versiones y la gestin de configuraciones).
Que se inicie la gestin de versiones (gestin de versiones de

documentos, cdigo fuente, ejecutables, etc.).
Que se inicie la gestin de configuraciones (configuraciones en

hardware, software de base y sistemas de informacin).
38
2.5.
Procesos del PMBOK
El PMBOK Project management body of knowledge, o Gua de los

fundamentos de la direccin de proyectos, es una sntesis de los diversos
conceptos y metodologas de la gestin de proyectos, agrupados bajo un
enfoque de procesos. Permite la comprensin de la gestin de proyectos, a
travs de la interaccin de un grupo de
procesos, los cuales se pueden
observar en la siguiente figura.
Figura 8.
Representacin de grupos de procesos en PMBOK
Fuente: <http://www.ehu.es/Degypi/PMBOK/cap3PMBOOK.htm>.Consulta: agosto de 2013.
2.5.1.
Proceso de iniciacin
El proceso de iniciacin refina la descripcin del alcance inicial y los

recursos que la organizacin est dispuesta a invertir. Si an no hubiera sido
designado, se elegir al director del proyecto. Tambin se documentarn las
restricciones y asunciones iniciales. Esta informacin se refleja en el acta de
constitucin del proyecto y, una vez aprobado, queda oficialmente autorizado.
Si bien el equipo de direccin del proyecto puede ayudar a redactar el acta de
constitucin del mismo, la aprobacin y financiacin se realizan fuera de los
lmites del proyecto.
39
Como parte del grupo de procesos de iniciacin, muchos proyectos grandes

o complejos pueden dividirse en fases. La revisin de los procesos de iniciacin
al comienzo de cada fase permite mantener el proyecto enfocado en los
objetivos de negocio que pretende satisfacer, como se puede observar en la
siguiente figura
Figura 9.
Grupo de procesos de iniciacin
Fuente: GLOBAL STANDARD. Gua de los fundamentos de la direccin de proyectos. p.44.
2.5.2.
Proceso de planificacin
El grupo de procesos de planificacin ayuda a recoger informacin de varias

fuentes de diverso grado de completitud y confianza. Los procesos de
planificacin desarrollan el plan de gestin del proyecto. Estos procesos
tambin identifican, definen y maduran el alcance y el coste del proyecto y
planifican las actividades que se realizan dentro del mismo. A continuacin se
muestra dicho proceso.
40
Figura 10.
Grupo de procesos de planificacin
2.5.3.
Proceso de ejecucin
Este grupo de procesos implica coordinar personas y recursos, as como

integrar y realizar las actividades del proyecto, de acuerdo con el plan de
gestin del mismo. Este grupo de procesos tambin aborda el alcance definido
en el enunciado del alcance del proyecto e implementa los cambios aprobados,
como se muestra en la siguiente figura.
41
Figura 11.
Grupo de procesos de ejecucin
Fuente: GLOBAL STANDARD. Gua de los fundamentos de la direccin de proyectos. p. 55.
2.5.4.
Proceso de seguimiento y control
El beneficio clave de este grupo de procesos es que el rendimiento del

proyecto se observa y se mide regularmente para identificar las variaciones
respecto del plan de gestin del mismo.
El grupo de procesos de seguimiento y control tambin incluye controlar los

cambios y recomendar acciones preventivas como anticipacin de posibles
problemas. A continuacin se muestra la grfica de dicho proceso.
42
Figura 12.
Grupo de procesos de seguimiento y control
2.5.5.
Proceso de cierre
Este grupo de procesos, una vez completado, verifica que los procesos
definidos se completen dentro de todos los grupos de procesos para cerrar el
proyecto o una fase de l, segn corresponda, y establece formalmente que se
ha finalizado un proyecto o fase del mismo. A continuacin se muestra la grfica
de dicho proceso.
43
Figura 13.
Grupo de proceso de cierre
2.6.
ISO 27001
Esta norma adopta el modelo de procesos planificar-hacer-verificaractuar, que se aplica para estructurar todos los procesos del seguridad de la
gestin de la seguridad de la informacin. Se toman como elementos de
entrada los requisitos de seguridad de la informacin y las expectativas de las
partes interesadas, y a travs de las acciones y procesos necesarios, se
producen resultados de seguridad de la informacin, que cumplen estos
requisitos y expectativas.
Esta norma brinda un modelo robusto para implementar los principios en

aquellas directrices que controlan la evaluacin de riesgos, diseo e
implementacin de la seguridad, gestin y reevaluacin de la seguridad.
44
Figura 14.
Modelo aplicado a los procesos de SGSI
Fuente: Norma tcnica Colombiana NTC-ISO/IEC 27001.
http://www.ehu.es/Degypi/PMBOK/cap3PMBOOK.htm#3.1_Procesos_de_Direccin_de
_Proyectos>. Consulta: junio de 2013.
Planificar: establecer la poltica, los objetivos, procesos y procedimientos

de seguridad pertinentes para gestionar el riesgo y mejorar la seguridad
de la informacin, con el fin de entregar resultados acordes a las polticas
y objetivos globales de una organizacin.
Hacer: implementar y operar la poltica, los controles, procesos y

procedimientos del SGSI.
Verificar: evaluar, y, en donde sea aplicable, medir el desempeo del

proceso contra la poltica y los objetivos de seguridad y la experiencia
prctica, y reportar los resultados a la direccin, para su revisin.
45
Actuar: emprender acciones correctivas y preventivas con base en los

resultados de la auditora interna del SGSI y la revisin por la direccin,
para lograr la mejora continua del SGSI.
46
3.
METODOLOGA PARA NORMALIZAR LOS DIFERENTES

ESTNDARES INTERNACIONALES DE CALIDAD,
RELACIONADOS CON LA GESTIN DE LA TECNOLOGA DE
LA INFORMACIN
3.1.
Importancia de normalizar los estndares
Los estndares proporcionan un conjunto de criterios que se deben

tomar en cuenta al momento de realizar una auditora de la gestin de
tecnologa de informacin; pero, no dan procedimientos enmarcados en una
metodologa que permita auditar de manera integral la gestin de la tecnologa
de informacin, alineada al logro de objetivos estratgicos organizacionales.
Si no se tiene una metodologa integral, no se puede llegar a un anlisis

profundo que permita encontrar las causas de los problemas y por ende,
realizar un diagnstico que realmente sirva para realizar una planificacin
estratgica de tecnologa de informacin alineada a la planificacin estratgica
organizacional, y las auditoras podran verse limitadas a la evaluacin de
decenas o cientos de aspectos aislados cuya solucin realmente no beneficiara
de la mejor manera a la organizacin.
La metodologa para la auditora integral de la gestin de las tecnologas

de la informacin (MAIGTI) enlaza los numerosos conceptos de las buenas
prcticas de la gestin de las tecnologas de informacin (COBIT), la gestin de
los procesos del ciclo de vida de desarrollo de software (ISO/IEC 12207), las
buenas prcticas de la gestin de la seguridad de la informacin (ISO/IEC
17799), la gestin de servicios de tecnologa de informacin (ISO/IEC 20000 o
47
ITIL), as como la gestin de proyectos del Project Management Institute

(PMBOK), sobre la base de una simplificacin del proceso general de auditora.
3.2.
Proceso de desarrollo de la metodologa
Como se mencion anteriormente, una mala gestin en la tecnologa de

la informacin representa alrededor del 65 % de los problemas en las
organizaciones, no solo hay que gestionar correctamente para lograr un
resultado positivo para la empresa, sino que tambin hay que aplicar las
tcnicas adecuadas para el xito.
El tratar de seguir al pie de la letra una determinada metodologa para

todos los proyectos de una compaa no es del todo acertada; cada proyecto es
diferente, cada uno tiene distintos alcances, presupuestos y tiempos distintos.
Por ende, usar una sola metodologa para todos no es lo ms ptimo.
Asimismo, la falta de compromiso del equipo con la metodologa elegida

hace la tarea ms difcil y genera mayores dificultades, ya que los involucrados
no harn lo que se supone deben hacer. Muchas veces esto se da por una falta
de entrenamiento adecuado o por una resistencia al cambio de las personas.
Se debe determinar cmo los diversos estndares que existen hoy en

da pueden ayudar a resolver los problemas de las empresas, recalcando que
para cada uno de los problemas, hay ms de un modelo aplicable para
gestionar dichas problemticas. Es decisin de cada compaa determinar el
que mejor se adapte a sus necesidades y polticas empresariales. Los
estndares no siempre encajan el uno con el otro, cada uno de ellos fue creado
por distintas personas, distintos tiempos, distintos lugares y con propsitos
distintos.
48
Por ello, a pesar de que pueda haber varios estndares que den solucin
a determinada problemtica, cada uno de ellos fue creado para resolver un
matiz especfico de dicha problemtica, con un enfoque especfico y con un
nivel de granularidad distinto. El reto se encuentra en saber qu partes de cada
estndar o modelo pueden ser para cada compaa.
Es de primordial importancia el saber elegir las mejores prcticas,

procesos y estrategias entre todos estos estndares y poder generar a partir de
estas partes seleccionadas, un modelo personalizado y adaptado totalmente
para una organizacin en particular.
En la siguiente figura se muestra la
integracin de los diferentes estndares.
Figura 15.
Integracin de buenas prcticas y estndares
ITIL V.3
PMI V.4
COBIT V.4.0
ESTRATEGIA
CMMI
DISEO
TRANSICIN
OPERACIN
MEJORA CONTINUA
INICIACIN
PLANIFICACIN
EJECUCIN
SEGUIMIENTO Y
CONTROL
CIERRE
RISKI
eTOM
SOA
PLANIFICACIN Y
ORGANIZACION
ADQUISICIN E
IMPLEMENTACIN
ENTREGA Y
SOPORTE
MONITOREO Y
EVALUACIN
MEJORES PRCTICAS DE TI
Fuente: http://es.scribd.com/doc/115518531/Buenas-Practicas-Gobierno-Ti.
Consulta: junio de 2013.
Esta variedad de estndares, la necesidad de analizarlos y elegir lo mejor

entre ellos para el uso dentro de la compaa, plantea distintos retos que deben
saber afrontarse:
49
Integrar dichos estndares es muchas veces un rompecabezas; se debe

saber elegir las partes que ms convengan a la empresa, de cada uno de
estos estndares.
Elegir y construir un propio marco de trabajo basado en diversos

estndares; se debe evitar el riesgo de querer incluir ms de la cuenta
dentro de dicho marco de trabajo. Lograr y mantener un marco de trabajo
simple y eficaz es a lo que se debe apuntar.
Se debe evaluar tambin el costo de implantar determinado estndar y

determinada combinacin de ellos. Si no se establece un presupuesto
claro, se corre el riesgo de fracasar en la puesta en marcha de este
proyecto.
La falta de compromiso y apoyo de la alta gerencia puede conllevar a un

resultado negativo. Sin una fuerza de soporte de la alta gerencia, el
proyecto no tomar el vuelo que requiere y quedar a medio camino.
Definir un cronograma es crucial; se debe realizar una implantacin de

estndares de gobierno de las TI de tal manera que permita una adopcin
veloz, y a la vez una adecuada institucionalizacin de los procesos
relacionados con dichos estndares. La implantacin por fases podra ser
una buena alternativa en caso los tiempos para una implantacin total
sean muy largos para las expectativas de la compaa.
Muchas veces se obvia la correcta capacitacin y entrenamiento del

personal que estar a cargo de los procesos implantados. Esto conlleva a
una resistencia al cambio y a una falta de institucionalizacin de las
50
prcticas implantadas. Para eliminar este problema, la concientizacin y

entrenamiento a los empleados y dems involucrados es necesaria.
Finalmente, un reto relevante es encontrar el momento ideal para

proponer e implantar determinado estndar. Muchas veces estas
iniciativas son rechazadas por la alta gerencia debido al mal momento en
que fueron propuestas. Se debe saber escoger el momento ideal en el que
dicha propuesta tendr la mayor acogida posible. Lgicamente esto se
debe sopesar con las necesidades y prioridades de la organizacin.
A continuacin se muestra cada uno de los estndares mencionados en

el captulo anterior, cada uno de ellos en contexto y cmo ellos se
interrelacionan entre s para crear un marco global para el gobierno de TI.
Figura 16.
Interrelacin entre los diferentes estndares para crear un

marco de gobierno de TI
Fuente:http://es.scribd.com/doc/115518531/Buenas-Practicas-Gobierno-Ti.
Consulta: julio de 2013.
51
A continuacin se detalla los principales elementos en comn y

diferencias entre cada uno de estos estndares para una mejor eleccin del
estndar a utilizar, segn las necesidades de la empresa.
ITIL versus CMMI: el modelo ITIL se aplica al ciclo de vida completo de TI,
pero se enfoca en los procesos operacionales (postimplementacin de un
determinado servicio o infraestructura TI). De all proviene el gran
problema de ITIL, que no cubre adecuadamente las fases de desarrollo de
software ni la gestin de proyectos asociada a esa fase de construccin de
activos software. Por otro lado, CMMI generalmente se aplica al desarrollo
del servicio o infraestructura en TI (durante el diseo y la implantacin).
Sin embargo ambos tienen un punto comn: la gestin de la entrega.
Ambos modelos poseen actividades recomendadas para la gestin de la
entrega de nuevos elementos de software e infraestructura.
Analizando ambos modelos, se puede observar que CMMI se centra en

garantizar la calidad en el desarrollo de software mientras que ITIL
garantiza la explotacin del producto. Por ello, muchas empresas
consideran
que
ambas
metodologas
no
son
excluyentes,
sino
complementarias, embarcndose en proyectos de anlisis y definicin de

procesos que permitan encajar ambas filosofas de trabajo (en conjunto
abarcan desde el desarrollo del software hasta la gestin del
mantenimiento y servicios del mismo).
ITIL versus PMBOK: los entregables de un proyecto trabajado con el

modelo PMBOK (PMI) pueden ser gestionados tambin usando el modelo
ITIL para gestin de servicios. La gestin de servicios brinda un conjunto
de
procesos
para
garantizar
el
correcto
funcionamiento
de
la
infraestructura TI de la organizacin. Esta gestin de servicios involucra

52
manejar adecuadamente los fallos que puedan suceder (gestin de

incidentes) que conllevan a realizar ajustes en dichos servicios e
infraestructura. Dichos ajustes no solo ni ms ni menos que proyectos de
actualizacin de los servicios TI, que pueden ser manejados siguiendo los
procesos estndar de PMBOK o con aquellos que el mismo modelo ITIL
propone. Por ello el principal punto de interseccin entre ITIL y PMBOK se
encuentra en el proceso de gestin del cambio y la creacin de nuevos
servicios. Los trminos y nomenclaturas, usando por cada uno de estos
estndares para esta gestin del cambio, varan en cada modelo.
Finalmente, ambos poseen actividades similares para realizar dicha

gestin del cambio. El enfoque de ITIL para el manejo del cambio es
orientado a garantizar la disponibilidad y operatividad del servicio dentro
del contexto de un determinado acuerdo de nivel de servicio firmado con el
cliente del servicio. Por otro lado, el enfoque de PMBOK respecto de esta
gestin de cambios es garantizar la calidad dentro del marco, la triple
restriccin que todo proyecto debe considerar: costo, tiempo, calidad
y riesgos. Puede decirse entonces que estos dos estndares son
complementarios a la vez, dependiendo del enfoque que quiera dar la
organizacin en los procesos de interseccin. Se pueden usar ambos
modelos en conjunto, para gestionar servicios basado en ITIL y gestionar
los cambios en dichos servicios usando PMBOK.
ITIL versus COBIT: quiz sea COBIT quien ms puntos presente frente a
ITIL, aunque se presenten como complementarias. Incluso COBIT puede
que tenga mayor alcance que ITIL, ya que abarca todo el espectro de
actividades de IT, mientras que ITIL est centrado solo en service
management (gestin del servicio).
53
Ambos modelos son tambin complementarios y se pueden usar juntos:

ITIL para lograr efectividad y eficiencia en los servicios TI y COBIT para verificar
la conformidad en cuanto a disponibilidad, rendimiento, eficiencia y riesgos
asociados de dichos servicios con los objetivos y estrategias de la compaa,
usando para ello mtricas claves y cuadros de mando que reporten dicha
informacin.
La razn para usar estos estndares y realizar una integracin entre

ellos, es ayudar a la organizacin a cumplir sus objetivos de negocio.
Hay muchos estndares, y la lista seguir creciendo; todas pueden

usarse en conjunto; esto crea retos de integracin por resolver. Pero se pueden
adaptar piezas de cada estndar y usarlas de manera personalizada en cada
organizacin.
Por otro lado, no hay una manera nica de hacerlo; no hay recetas
mgicas para decidir qu usar y cmo usarlo, pero si hay gua y mucha
documentacin de ayuda y soporte.
3.3.
Arquitectura de la metodologa
La estructura de objetivos de control compone la metodologa, la cual a

su vez est basada en el modelo de procesos, sobre la base del proceso
general de auditora de la ISO 19011:2002 (lineamientos sobre auditoras de
gestin de calidad), como se ve en la figura.
54
Figura 17.
Estructura para la metodologa integral de la gestin de la

tecnologa de informacin
Fuente: ALFARO PAREDES, Emigdio Antonio.

<http://www.tesislatinoamericanas.info/index.php/record/view/48709. Consulta: mayo de 2013.
La metodologa resultante comprende los elementos siguientes: la finalidad

de la auditora, el alcance, es decir el detalle de lo que est incluido y lo que no
est incluido como parte de la auditora, requerimientos de informacin, proceso
de evaluaciones a realizar y las salidas como papeles de trabajo e informe de
auditora, con los hallazgos o evidencias de la ejecucin del proceso.
55
56
4.
ENFOQUES DE LA AUDITORA DE LA TECNOLOGA DE

LA INFORMACIN
4.1.
Enfoque a la seguridad
La seguridad informtica puede llegar a entenderse solamente para equipos

y entornos tcnicos, como si la informacin en otros ambientes no requiriera
proteccin, cuando son las propias operaciones de la entidad, las que requieren
proteccin.
Si no existen medidas y adecuada proteccin, se puede perder informacin

vital, o por lo menos no estar disponible en el momento requerido y se puedan
tomar decisiones errneas.
Debe de evaluarse en la auditora si los modelos de seguridad estn en

armona con las nuevas arquitecturas y las distintas plataformas de la
organizacin.
Al realizar una auditora enfocada a la seguridad, deben de tomarse los

siguientes aspectos:
Fundamentos de seguridad: polticas, planes, funciones; etc.
El desarrollo de las polticas
Amenazas fsicas y externas
Control de accesos (fsicos, lgicos)
57
Para evaluar riesgos hay que pensar, entre otros elementos, el tipo de
informacin almacenada procesada y transmitida, la criticidad de las
aplicaciones, la tecnologa usada, el marco legal y la organizacin misma. Para
ello es necesario evaluar las vulnerabilidades que existen, ya que la cadena de
proteccin se podr romper con mayor probabilidad por los eslabones ms
dbiles, que sern los que preferentemente intentarn usar de forma no
autorizada.
En un proceso de auditora, se evaluar todos estos aspectos

mencionados adems de otros; por ejemplo, si la seguridad es realmente una
preocupacin a nivel de la corporacin, no es suficiente que exista presupuesto
para ello, es necesaria una cultura de seguridad y que exista un comit que fije
y apruebe los objetivos correspondientes. Si la organizacin auditada est en
medio de un proceso de implementacin de la seguridad, la evaluacin se
centrar en los objetivos, los planes, proyectos que hay en curso y los medios
usados o previstos.
Cuando se habla de seguridad siempre se refiere a sus tres dimensiones

clsicas y son las siguientes:
La confidencialidad: se cumple cuando solo las personas autorizadas

pueden conocer los datos o la informacin correspondientes.
La integridad: consiste en que solo el usuario autorizado puede variar los

datos (deben quedar pistas para control posterior y para auditora.)
La disponibilidad: se alcanza si las personas autorizadas pueden acceder

a tiempo a la informacin.
58
Entre las fases de la auditora de seguridad se encuentran:
Auditora de la seguridad fsica: se evalan las resguardos fsicos de

datos, programas, instalaciones, equipos redes y soportes, y por supuesto
habr que considerar a las personas, que estn protegidas y existan
medidas de evacuacin, alarmas, salidas alternativas, as como que no
estn expuestas a riesgos superiores a los considerados admisibles en la
entidad e incluso en el sector.
Auditora de la seguridad lgica: es necesario verificar que cada usuario

nicamente pueda acceder a los recursos que autorice el propietario,
segn su funcin, y con las posibilidades que el propietario haya fijado:
consulta, modificacin, eliminacin y ejecucin; lo que se representara en
una matriz de accesos.
En cuanto a autenticacin, el mtodo ms usado es la contrasea, cuyas

caractersticas estarn acordes con las normas y estndares que la
organizacin establezca, que podran contemplar la criticidad de los recursos
que sern accedidos.
4.2.
Enfoque a la informacin
La proteccin de los datos puede tener varios enfoques respecto de las
caractersticas citadas: la confidencialidad, disponibilidad e integridad. Puede

haber datos crticos en cuanto a su confidencialidad, u otros datos cuya
criticidad viene dada por la disponibilidad; si se pierden, pueden causar
perjuicios graves; o en los casos ms extremos, pueden poner en peligro la
corporacin.
59
Finalmente, pueden existir otros datos crticos atendiendo a su

integridad, especialmente cuando su prdida no puede detectarse fcilmente o
una vez detectada, no es fcil reconstruirlos.
Los datos pueden provenir tanto, dentro o fuera de la organizacin, y

pueden incluir preparacin, autorizacin e incorporacin al sistema, ya sea por
el cliente, por empleados, o bien ser captado por otra forma; debe revisarse
cmo se verifican los errores.
Al realizar una auditora enfocada a la informacin, deben de tomarse en

cuenta los siguientes aspectos:
Proceso
de
los
almacenamiento;
datos:
que
controles
existan
copias
de
validacin,
suficientes,
integridad
sincronizadas
protegidas.
Salida de resultados: controles en transmisiones, impresin y distribucin.
Retencin de la informacin y proteccin en funcin de su clasificacin:

destruccin de los diferentes soportes que la contengan cuando ya no sea
necesaria, o bien su desmagnetizacin.
Designacin de propietarios: clasificacin de los datos, restriccin de su

uso para pruebas, inclusin de muestras para poder detectar usos no
autorizados.
Clasificacin de los datos e informacin: debe revisarse quin la ha

realizado y segn qu criterios y estndares; no suele ser prctico que
haya ms de cuatro o cinco niveles.
60
Cliente-servidor: es necesario verificar los controles en varios puntos, y no
solo en uno central como en otros sistemas, y a veces en plataformas

heterogneas, con niveles y caractersticas de seguridad muy diferentes, y
con posibilidad de transferencia de ficheros o de captacin y exportacin
de datos, que pueden perder sus protecciones al pasar de una plataforma
a otra.
4.3.
Enfoque a la infraestructura tecnolgica

Se debe conocer, comprender y analizar de manera global la gestin en
tecnologa de la informacin, su infraestructura o plataforma tecnolgica y los

sistemas de informacin aplicados a la organizacin, tales como:
Granja de servidores y sus caractersticas
Seguridad perimetral
Estructura de redes
Sistemas operativos
Software y hardware de seguridad
Inventario de hardware y software (con el propsito de establecer el nivel

de obsolescencia o actualizacin)
Adquisiciones (Inversiones) en recursos de tecnologa de la informacin
Infraestructura elctrica
4.4.
Enfoque al software de aplicacin
Todos los desarrollos deben estar autorizados a distinto nivel segn la

importancia del desarrollo a abordar, incluso autorizados por un comit, si los
costes o los riesgos superan unos umbrales.
61
Al realizar una auditora enfocada al software de aplicacin, deben de

tomarse en cuenta los siguientes aspectos:
Revisin de programas por parte de tcnicos independientes, o bien por

auditores preparados: a fin de determinar la ausencia de caballos de
Troya, bombas lgicas y similares, adems de verificar la calidad del
programa.
Proteccin de los programas: a menos desde dos perspectivas, de los

programas que sean propiedad de la entidad, realizados por el personal
propio o contratado de su desarrollo a terceros, como el uso adecuado de
aquellos programas de los que se tenga licencia de uso.
4.5.
Enfoque a las comunicaciones y redes

En las polticas de la organizacin debe reconocerse que los sistemas,
redes y mensajes transmitidos y procesados son propiedad de la organizacin y

no deben usarse para otros fines no autorizados, por seguridad y por
productividad. Los usuarios tendrn restriccin de accesos segn dominios,
nicamente podrn cargar los programas autorizados, y solo podrn variar las
configuraciones y componentes los tcnicos autorizados. Se revisarn
especialmente las redes cuando existan repercusiones econmicas, ya se trate
de transferencia de fondos o comercio electrnico. Al realizar una auditora
enfocada a las comunicaciones y redes, deben de tomarse en cuenta los
siguientes aspectos:
Tipos de redes y conexiones
Tipos de transacciones
62
Tipos de terminales y protecciones: fsicas, lgicas, llamadas de retorno.
Transferencia de ficheros y controles existentes.
Consideracin especial respecto de las conexiones externas, a travs de

pasarelas (gateway) y encaminadores (routers).
Internet e intranet: separacin de dominios e implantacin de medidas

especiales, como normas y cortafuegos (firewall), y no solo en relacin
con la seguridad, sino por accesos no justificados por la funcin
desempeada, como a pginas de ocio o erticas..
Correo electrnico: tanto por privacidad y para evitar virus, como para que
el uso del correo sea adecuado y referido a la propia funcin, y no utilizado
para fines particulares.
Proteccin de programas: tanto la prevencin del uso no autorizado de

programas propiedad de la entidad o de los que tengan licencia de uso.
Control sobre las pginas web: quin puede modificar y desde dnde;
finalmente preocupan tambin los riesgos que pueden existir en el
comercio electrnico.
63
64
5.
PRCTICA DE LA AUDITORA DE TECNOLOGA DE LA

INFORMACIN Y SU DESARROLLO
5.1.
Etapas para la realizacin de una auditora de sistemas
Etapa de planeacin de la auditora: este es el primer paso para

determinar cmo se va a ejecutar la auditora; se deben identificar las
razones por las que se quiere a realizar la auditora, establecer el objetivo
de la misma, el diseo de mtodos, tcnicas y procedimientos necesarios
para llevarla a cabo y para la solicitud de documentos que servirn de
apoyo para la ejecucin; terminando con la elaboracin de la
documentacin de los planes, programas y presupuestos para llevarla a
cabo. Para poder llevar a cabo la etapa de planeacin es necesario
realizar:
Identificar el origen de la auditora: esto es necesario para poder dar

inicio a su planeacin; en esta se debe determinar por qu surge la
necesidad o inquietud de realizar una auditora.
Visita preliminar al rea informtica: este es el segundo paso en la

planeacin de la auditora, que consiste en realizar una visita
preliminar al rea de informtica en la que se llevar a cabo la
revisin, luego de conocer el origen de la auditora y antes de
iniciarla formalmente; el propsito es el de tener un primer contacto
con el personal asignado a dicha rea, conocer la distribucin de los
sistemas y dnde se localizan los servidores y equipos terminales en
el centro de cmputo, sus caractersticas, las medidas de seguridad y
65
otros aspectos relacionados con las problemticas que se presentan

en el rea auditada.
Establecer el objetivo general de la auditora, con el fin de indicar lo

que se pretende alcanzar con el desarrollo de la auditora
informtica; mas en l se plantean todos los aspectos que se
pretende evaluar.
Establecer los objetivos especficos: especificar los fines individuales

que se pretenden para el logro del objetivo general, donde se
sealan especficamente los sistemas, componentes o elementos
concretos que sern evaluados.
Determinar los puntos que sern evaluados: luego de determinar los

objetivos de la auditora se deben relacionar los aspectos que sern
evaluados, y para esto se debe considerar aspectos especficos del
rea informtica y de los sistemas computacionales tales como: la
gestin administrativa del rea de informtica, el cumplimiento de las
funciones del personal informtico y usuarios de los sistemas, los
sistemas en desarrollo, la operacin de los sistemas en produccin,
los programas de capacitacin para el personal del rea y usuarios
de los sistemas, proteccin de las bases de datos, datos
confidenciales y accesos a las mismas, proteccin de las copias de
seguridad y la restauracin de la informacin, entre otros aspectos.
Elaborar el plan y programa de auditora: para realizar la planeacin

formal de la auditora informtica y de sistemas, en la cual se
concretan los planes, programas y presupuestos para llevarla a cabo;
se deben elaborar los documentos formales para el desarrollo de la
66
auditora, donde se delimiten las etapas, eventos y actividades y los

tiempos de ejecucin para el cumplimiento del objetivo, anexando el
presupuesto con los costos de los recursos que se utilizarn para
llevarla a cabo.
Algunos de los aspectos a tener en cuenta para elaborar el plan de

auditora sern: las actividades que se van a realizar, los
responsables de realizarlas, los recursos materiales y tiempos, el
flujo de eventos que sirven de gua, la estimacin de los recursos
humanos, materiales e informticos que sern utilizados, los tiempos
estimados para las actividades y la auditora, los auditores
responsables
participantes
de
las
actividades,
otras
especificaciones del programa de auditora.
Identificar y seleccionar los mtodos y herramientas para la auditoria:

en este se determina la documentacin y medios necesarios para
llevar a cabo la revisin y evaluacin en la organizacin,
seleccionando
diseando
los
mtodos,
procedimientos,
herramientas, e instrumentos necesarios de acuerdo con los planes,

presupuestos y programas establecidos anteriormente para la
auditora. Para ello se deben considerar los siguientes puntos:
Establecer la gua de ponderacin de cada uno de los puntos

que se debe evaluar
Elaborar una gua de la auditora
Elaborar el documento formal de la gua de auditora
67
Determinar las herramientas, mtodos y procedimientos para la

auditora de sistemas
Disear los sistemas, programas y mtodos de pruebas para la

auditora.
Asignar los recursos para la auditora: con la asignacin de los

recursos humanos, informticos, tecnolgicos y de cualquier otro
tipo, se llevar a cabo la auditora.
Etapa de ejecucin de la auditora: al terminar la etapa de la planeacin

de la auditora, se contina con la ejecucin de la misma, la cual est
determinada por las caractersticas propias, los puntos elegidos y los
requerimientos estimados en la planeacin.
Etapa de dictamen de la auditora: la tercera etapa, luego de la planeacin

y ejecucin, es emitir el dictamen; este es el resultado final de la auditora,
donde se presentan los siguientes puntos:
o
Elaboracin del informe de las situaciones que se han detectado
La elaboracin del dictamen final
Presentacin del informe de auditora
Para poder llevar a cabo esta etapa es necesario analizar la informacin y

elaborar un informe de las situaciones detectadas, a lo que se le llamar
hallazgo; las partes en que se divide son las siguientes:
Sumilla: es el ttulo o encabezamiento que resume la observacin
68
Condicin: este trmino se refiere al hecho irregular o deficiencia

determinada, cuyo grado de desviacin debe ser demostrada y
sustentada con evidencias.
Criterio: es la norma o estndar tcnico profesional, alcanzable en el

contexto evaluado, que permite al auditor tener la conviccin de que
es necesario superar una determinada accin u omisin de la
organizacin en procura de mejorar la gestin. Los criterios ms
comunes a utilizar en la auditora son: normas tcnicas, estndares
internacionales, polticas internas de la organizacin y elementos de
la estructura del control interno.
Causa: es la razn fundamental por la cual ocurri la condicin, o el

motivo por el que no se cumpli el criterio o norma.
Efecto: es la consecuencia real o potencial cuantitativo o cualitativo

que ocasiona la observacin, indispensable para establecer su
importancia y recomendar a la administracin que tome las acciones
requeridas para corregir su condicin.
Elaborar el informe final: el auditor debe terminar la elaboracin del

informe final de auditora y complementarlo con el dictamen final,
para despus presentarlo a los directivos del rea auditada, para que
conozcan la situacin actual del rea, antes de presentarlo al
representante o gerente de la empresa.
El informe debe contener los siguientes puntos: introduccin,

objetivos (general, especficos), alcance de la auditoria, antecedentes
69
(base
legal
de
la
organizacin),
hallazgos,
observaciones,
conclusiones, recomendaciones y anexos.
Una vez comentadas las debilidades encontradas con los auditados,

se elabora el informe final, lo cual es garanta de que los auditados
ya aceptaron las debilidades encontradas y que luego se plasman en
documentos formales.
Elaborar el Informe formal: el ltimo paso es presentar formalmente

el informe y el dictamen de la auditora al ms alto de los directivos
de la organizacin, donde se informa de los resultados de la misma.
Tanto el informe como el dictamen deben presentarse en forma
resumida, correcta y profesional.
Tabla II.
Etapas de una aditora de sistemas
Fuente: http://auditordesistemas.blogspot.com/2011/11/metodologia-para-realizarauditoria.html. Consulta: agosto de 2013.
70
5.2.
Tcnicas para la auditora informtica
Las tcnicas de auditora son mtodos prcticos de investigacin y

prueba que utiliza el auditor para obtener la evidencia necesaria que sustente
sus observaciones y recomendaciones; su empleo se basa en su criterio, segn
las circunstancias. Dentro de las tcnicas utilizadas en una auditora informtica
se pueden mencionar:
Cuestionarios:
las
auditoras
informticas
se
realizan
recabando
informacin y documentacin de todo tipo. Los informes finales dependen

de analizar las situaciones de debilidad o fortaleza de los diferentes
entornos. El trabajo de campo del consiste en lograr obtener toda la
informacin necesaria para la emisin de un juicio global objetivo, siempre
amparado en hechos demostrables, llamados tambin evidencias. Estos
cuestionarios deben de ser muy especficos para cada situacin, y se
debe de tener cuidado en su fondo y forma. Sobre esta base, se estudia y
analiza la documentacin recibida, de modo que tal anlisis determine a
su vez la informacin que deber elaborar el propio auditor. El cruce de
informacin es una de las bases fundamentales de la auditora.
Entrevistas: es una de las actividades personales ms importante que

realiza el auditor; en ellas, se acumula informacin, y mejor matizada, que
la proporcionada por medios propios puramente tcnicos o por las
respuestas escritas en cuestionarios. La entrevista entre auditor y auditado
se basa fundamentalmente en el concepto
interrogatorio.
El auditor
informtico experto entrevista al auditado siguiendo un cuidadoso sistema

previamente establecido, consistente en que bajo la forma de una
conversacin correcta y lo menos tensa posible, el auditado conteste
sencillamente a una serie de preguntas sencillas y variadas. Sin embargo,
71
esta sencillez es solo aparente, tras ella debe existir una preparacin muy
elaborada y sistematizada, y que es diferente para cada caso en
particular.
Lista de chequeo: el auditor deber aplicar la tcnica de la lista de

chequeo, de modo que el auditado responda claramente a las preguntas
que se tengan formuladas. Se deber interrumpir lo menos posible a este,
solamente en los casos en que las respuestas se aparten sustancialmente
de la pregunta. En algunas ocasiones, se har necesario para que
responda con amplitud un tema concreto.
Trazas y/o huellas: con continuidad, el auditor informtico debe verificar

que los programas, tanto de los sistemas como de usuario, realizan
exactamente las funciones previstas y no otras. Para ello se apoya en
productos de software, que entre otras funciones, rastrean los caminos
que siguen los datos a travs del programa.
Software para auditora: se utilizan productos de software llamados

paquetes de auditora,
estos sirven para la obtencin de muestreos
estadsticos que permitan la elaboracin de una hiptesis de la situacin

real. En la actualidad, los productos de Software especiales para la
auditora informtica, se orientan principalmente hacia la extraccin de
datos de ficheros y bases de datos de la organizacin auditada.
Peritaje informtico: se conoce como peritaje informtico a los estudios e

investigaciones orientados a la obtencin de una prueba informtica de
aplicacin en un asunto judicial, para que sirva a un juez en la toma de
decisiones sobre la culpabilidad o inocencia del involucrado.
72
Observacin: esta tcnica consiste en examinar los diferentes aspectos

que intervienen en el funcionamiento del rea informtica y los sistemas
de software.
73
74
6.
APLICACIN DE LAS PRCTICAS INTERNACIONALES

PARA LA GESTIN DE TECNOLOGA DE LA INFORMACIN
EN UNA AUDITORA A LAS DE REDES PRIVADAS
VIRTUALES VPN-
Se desarrollar a base de ejemplo una auditora basada en redes

privadas virtuales debido a su incremento en los ltimos aos en todo el mundo,
ya que se hace necesaria la bsqueda de nuevas formas de conexin en
cualquier momento y en todo lugar; el ser humano siempre busca nuevas
formas de poder realizar sus actividades de una forma fcil, en ello se muestra
la necesidad de utilizar una red privada virtual.
No obstante ante el incremento de esta necesidad, surgen ciertos

mecanismos engaosos que afectan el entorno de estas redes y su seguridad;
por ende a la informacin que estas respaldan.
Estos mecanismos engaosos, en su mayora de casos afectan
la
seguridad, acarreando como consecuencia diferentes riesgos informticos,

generando un gran impacto negativo si no se tiene el control respectivo dentro
de dicha entidad.
Para mitigar o eliminar estos riesgos se deben definir controles

informticos como la seguridad de los sistemas de informacin, la cual se define
como la disciplina que trata de los riesgos informticos, en donde la auditora se
involucra en este proceso de proteccin y preservacin de la informacin y de
sus medios de proceso.
75
Tomando en cuenta este concepto, si los controles informticos son

llevados de manera inadecuada, surge una nueva necesidad, la de auditar
dicho control para determinar las amenazas, vulnerabilidades y riesgos que
tiene el servicio informtico relacionados con las redes privadas virtuales.
.
Se propone realizar una auditora basada en COBIT 4.0, con el proceso
DS5, para auditar la seguridad de las redes privadas virtuales, con el fin de
mejorar la disponibilidad, confiabilidad, confidencialidad, cumplimiento e
integridad de la informacin, ya que estas buenas prcticas son genricas y
estn previstas a ser aplicables y adaptables en cualquier organizacin
independiente del tipo, tamao o naturaleza. Estn enfocadas a los dominios
de diseo, administracin y seguridad, adecuado a su realidad, ya que el
objetivo de las buenas prcticas es alinear la tecnologa con el negocio, como
se puede ver en la siguiente figura.
Figura 18.
Relacin entre procesos, metas y mtricas (DS5)
Fuente: ISACA. http://www.isaca.org/Knowledge-Center/Standards/Pages/Standardsfor-IS-Auditing-Spanish-.aspx. Consulta: agosto de 2013.
76
De acuerdo con estas consideraciones, las buenas prcticas propuestas

evalan de forma completa los dominios de diseo, administracin y seguridad
de la red inalmbrica, relacionados con las metodologas, estndares y normas
internacionales.
El
proceso
DS5 (garantizar la seguridad de los sistemas) busca
garantizar la seguridad que satisface el requisito de negocio de TI para

mantener la integridad de la informacin y
de la infraestructura de
procesamiento, y minimizar el impacto de las vulnerabilidades e incidentes de

seguridad, enfocndose en la definicin de polticas, procedimientos y
estndares de seguridad de tecnologa y en el monitoreo, deteccin, reporte y
resolucin de las vulnerabilidades e incidentes de seguridad.
Esto se logra con:
El entendimiento de los requerimientos, vulnerabilidades y amenazas de

seguridad.
La administracin de identidades
y autorizaciones de los usuarios de
forma estandarizada.
Probando la seguridad de forma regular.
Y se mide con:
El nmero de incidentes que daan la reputacin con el pblico.
El nmero de sistemas donde no se cumplen los requerimientos de

seguridad.
77
El nmero de violaciones en la segregacin de tareas.
Asimismo, se utilizarn tambin las buenas prcticas de TI, ISO 17799,

enfocadas a la seguridad en el desarrollo de sistemas de informacin y a la
gestin de la continuidad del negocio. Tomando los objetivos de control como
polticas de seguridad, control de accesos, seguridad fsica y del entorno, entre
otros.
A continuacin se desarrollar el caso basado en redes privadas virtuales

VPN- , en donde se pretende ejemplificar los pasos a realizar en una auditora.
Antes de iniciar con el plan y programa de auditora, se debe de realizar

una visita preliminar para conocer la forma en que el rea de informtica de la
organizacin administra la red privada virtual, sus procedimientos, polticas,
configuraciones, accesos, entre otros. Por lo que se debe de concertar una cita
con la persona encargada de su administracin.
Ya obtenido el primer acercamiento con el rea informtica y los insumos

necesarios para llevar a cabo la revisin, se procede a realizar el plan y
programa de la auditora.
78
CONCLUSIONES
1.
La auditora de gestin a las tecnologas de informacin apoyan en la

revisin y
evaluacin de los controles, sistemas, procedimientos
informticos, su utilizacin, eficiencia y seguridad, a fin de que por medio

del sealamiento se logre una utilizacin ms eficiente y segura de la
informacin que servir para una adecuada toma de decisiones.
2.
La gestin de tecnologa de informacin evala los sistemas de

informacin en general, desde sus entradas, procedimientos, controles,
archivos, seguridad y obtencin de informacin, contribuyendo con la
direccin al logro de una administracin eficaz.
3.
Los estndares ayudan a definir los requisitos para una buena gestin de
la seguridad de la informacin, ya que se han concebido para garantizar la
seleccin de controles genricos, para que todo tipo de organizacin
pueda implementarlas.
4.
El uso de estndares en la gestin de la tecnologa de la informacin

posibilita la toma de decisiones adecuadas que garanticen las relaciones
costo-beneficio y la optimizacin de su uso.
79
80
RECOMENDACIONES
1.
Las organizaciones deben de adoptar estndares internacionales para

basar sus evaluaciones sobre el nivel de cumplimiento de los procesos
utilizados para dirigir y controlar la organizacin, hacia el logro de sus
objetivos.
2.
Debe aplicarse la gestin de tecnologa de informacin, utilizando

adecuadamente los recursos tecnolgicos de la organizacin, para lograr
los beneficios esperados.
3.
El uso de una metodologa, apoyada de un conjunto de buenas prcticas,

ayuda a una organizacin a planificar, disear, ejecutar y evaluar los
planes de tecnologa de la informacin necesarios para el cumplimiento de
los objetivos establecidos.
81
82
BIBLIOGRAFA
1.
ALFARO PAREDES, Emigdio Antonio.
Metodologa para la auditora
integral de la gestin de la tecnologa de la informacin. Pontificia

Universidad
Catlica
de
Per.
[en
lnea].
<http://www.tesislatinoamericanas.info/index.php/record/view/48709>
[Consulta: mayo de 2013].
2.
Colombia. Norma tcnica colombiana NTC-ISO/IEC 27001. [en lnea].

http://www.ehu.es/Degypi/PMBOK/cap3PMBOOK.htm#3.1_Procesos
_de_Direccin_de_Proyectos>[Consulta: junio de 2013].
3.
GLOBAL STANDARD. Gua de los fundamentos de la direccin de

proyectos. 4a ed. Pennsylvania: Project Management Institute, 2008.
393 p.
4.
GUITART HORMIGO, Isabel. Fundamentos de sistemas de informacin.

Universidad de Catalua, Espaa. [en lnea].
<http://ocw.uoc.edu/informatica-tecnologia-ymultimedia/fundamentosde-sistemas-de-informacion/Course_listing> [Consulta: julio de 2013].
5.
ISACA.
Estndares.
[en
lnea].
<http://www.isaca.org/Knowledge-
Center/Standards/Pages/Standards-for-IS-Auditing-Spanish-.aspx>
[Consulta: agosto de 2013].
6.
ISTMF LIBRARY. Fundamentos de gestin de servicios TI basados en ITIL.

USA: Van Harem Publishing, 2004. 250 p.
83
6.
Manual de auditora de gestin a las tecnologas de informacin y

comunicaciones.
[en
lnea].
<http://bibliotecavirtual.olacefs.com/gsdl/collect/guasyman/archives/H
ASH0155.dir/ManualAuditoriaGestionTICs.pdf>[Consulta: agosto de
2013].
6.
OLALDE AZKORRETA, Karle. Introduccin a los procesos de DP para un

proyecto.
[en
lnea].
<http://www.ehu.es/Degypi/PMBOK/cap3PMBOOK.htm>. [Consulta:
agosto de 2013].
7.
SALINAS DUARTE, Andrs Ernesto. Obstculos en la gestin de proyectos

en tecnologas de informacin y comunicacin y posibles soluciones.
[en
lnea].
<http://www.acis.org.co/fileadmin/Articulos/Andres_Salinas.pdf>.
[Consulta: agosto de 2013].
8.
SLIDESHARE. Mejores prcticas para el manejo de tecnologa de

informacin
en
las
organizaciones.
[en
lnea].
<http://www.slideshare.net/rosmelys/mejores-practicas-para-elmanejo-de-tecnologa-de-informacin-en-la-organizaciones> [Consulta:
junio de 2013].
9. VILCHES, Ernesto. Gua de gestin de servicios basada en fundamentos de

ITIL.
[en
lnea].
http://albinogoncalves.files.wordpress.com/2011/03/itil-v3-2010.pdf>.
[Consulta: junio de 2013].
84
10. WIKIPEDIA. Objetivos de control para la informacin. [en lnea].

http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%
C3%B3n_y_tecnolog%C3%ADas_relacionadas> [Consulta: julio de
2013].
85
86
APNDICES
Apndice 1.
Apndice 1a.
Planificacin de la auditora
Revisin a la gestin de conexiones de red privada virtual

VPN-
1. Objetivo general: evaluar la efectividad y aseguramiento de la gestin de

conexiones de red privada virtual VPN-
2. Objetivos especficos:
Evaluar el control interno establecido para la gestin de conexiones de red

privada virtual.
Evaluar la administracin de accesos a la red privada virtual y la

confidencialidad de la informacin brindada a travs de la misma.
Evaluar el registro de las pistas de auditora en conexiones a la red

privada virtual.
3. Alcance: la evaluacin comprender el ambiente de control relacionado,

correspondiente al ao 2013.
4. Criterios: las pruebas se enfocarn en el anlisis de la informacin recabada

de acuerdo con su importancia relativa, y otros criterios que el auditor, a su
juicio profesional considere conveniente, de conformidad al alcance definido.
87
5. Informe: resultado de la ejecucin de la auditora conforme a la

programacin formulada, evidenciada en documentacin que sustente
resultados conforme a los objetivos establecidos; se espera un informe de
auditora a rendir ante las autoridades de la institucin.
6. Presupuesto de tiempo: de conformidad con los recursos disponibles, el

alcance de la auditora y programacin de pruebas, se asignar el tiempo
efectivo conforme a las actividades que se resumen a continuacin:
Apndice 1b.
Asignacin de tiempo para las actividades
Actividad
Tiempo asignado
Familiarizacin
2 semanas
Evaluacin preliminar de
1 semana
Control interno
Definicin de plan y programa
1 semana
de auditora
Ejecucin de auditora
1 semana
Elaboracin y presentacin de
Dos das
proyecto de informe
7. Recursos:
Personal nombrado: auditores de sistemas de informacin
Elaborado por: auditores de sistemas de informacin
Aprobado por: jefe del departamento de auditora de sistemas de

informacin y estudio
88
Apndice 2.
Programa de la auditora
Revisin a la gestin de conexiones de red privada

Virtual -VPN-
Definicin: evaluar los controles informticos asociados al registro,

autorizacin y monitoreo de usuarios y sus gestiones realizadas mediante
conexiones VPN-, a fin de establecer la efectividad de los mismos.
Objetivos especficos:
Evaluar el control interno establecido para la gestin de conexiones

de red privada virtual.
Evaluar la administracin de accesos a la red privada virtual.
Evaluar el registro de las pistas de auditora para conexiones a la red

privada virtual.
Alcance: el examen comprender la evaluacin del ambiente de control

relacionado, correspondiente al ao 2013 y otros que el auditor considere
necesarios para las pruebas de la auditora.
Seleccin de la muestra: la muestra se enfocar
en el anlisis de la
informacin
conexiones
registrada
en
las
bitcoras
de
-VPN-,
correspondientes al ao 2013 y otros datos que el auditor considere

necesarios para las pruebas de la auditora.
89
Apndice 2a.
Nm.
Trabajo a desarrollar
DESCRIPCIN
REFERENCIA
P/T
HECHO
POR
REVISADO
POR
Para cumplir con el objetivo 1:

Evaluar
el
control
interno
establecido para la gestin de

conexiones
de
red
privada
virtual.
Elaborar lo siguiente:
Con base en los resultados

de
la
familiarizacin
evaluacin
preliminar
y
de
control interno, efectuar una
PT.1
revisin al marco de control,

PT.3
definido para la gestin de

conexiones de red privada
AUDITORES
virtual.
1
Identificar
lineamientos
evaluar
los
formales
PT.1
implementados que refieren
PT.3
las actividades de control

actuales.
Solicitar
las
reglas
del
PT.2
Firewall incluyendo IPS para

-VPN
Analizar
concluir
PT.3
al
respecto.
90
SUPERVISOR
Continuacin del apndice 2a.
N
m.
DESCRIPCIN
REFERENCIA
P/T
HECHO
POR
REVISADO
POR
AUDITOR
SUPERVISOR
Evaluar
la
administracin
de
accesos a la red privada virtual.
PT.2
Solicitar
al
informtica
rea
de
listado
de
usuarios que poseen acceso

PT.4
a la red privada virtual.
Del
listado
obtenido
de
usuarios que tienen acceso a

la red privada virtual realizar
lo siguiente:
Generar un listado de
usuarios con acceso a la
red
privada
virtual
PT.4
revisar que coincida con

el listado proporcionado.
o
Revisar la existencia de
usuarios genricos y su
funcin.
Analizar
concluir
al
respecto.
91
Continuacin del apndice 2a.
Nm.
DESCRIPCIN
REFERENCIA
P/T
HECHO
POR
REVISADO
POR
AUDITOR
SUPERVISOR

PT.2
Evaluar el registro de las pistas

de auditora para conexiones a la
PT.2
red privada virtual.

Solicitar al rea informtica

los logs de acceso a la red
PT.5
privada virtual.
De los logs proporcionados

seleccionar una muestra y
realizar lo siguiente:
PT.2
Revisar que los usuarios

que tienen operaciones
registradas,
se
encuentran en el listado
de accesos autorizados
que proporcion el rea
Informtica.
Realizar consultas a las bitcoras
de base de datos, para verificar
si
los
usuarios
identificados
anteriormente tienen operaciones

en horario inhbil.
92
Apndice 3.
Cuestionario de control interno PT. 1
Revisin a la gestin de conexiones de red privada

virtual -VPNDatos generales:
Fecha:_______________
Nombre y puesto que desempea:_________________________________

Favor responder las preguntas en los espacios correspondientes y adjuntar la
documentacin que corresponde.
NM.
PREGUNTAS
NO
COMENTARIOS
Objetivo:
Evaluar
los
controles
informticos
asociados al registro, autorizacin y

monitoreo de usuarios y sus gestiones
realizadas mediante conexiones a la red
privada virtual -VPN-
Se
cuenta
procedimientos
con
polticas,
y/o
X
GUA PARA VPN
manuales
relacionados con la administracin y uso

de las conexiones de la red privada
virtual VPN-?
En caso afirmativo, favor indicar el
nombre
completo
de
la
poltica,
procedimientos y/o manuales aplicables

y proporcionar una copia.
En caso negativo, favor describir en
comentarios las actividades que realizan
para la administracin y uso de las
conexiones de la red privada virtual
VPN.
Se cuenta con normas, polticas o
Administracin
procedimientos para la gestin de altas,

bajas o modificacin de accesos de los
usuarios de conexiones -VPN-?
93
para
solicitudes de accesos
X
VPN.
Continuacin del apndice 3.
NM.
PREGUNTAS
NO
COMENTARIOS
En caso afirmativo, favor indicar el

nombre
completo
poltica
de
la
norma,
procedimiento
proporcionar una copia.

comentarios
las
actividades
que
realizan para administrar la gestin de

altas,
bajas
modificacin
de
accesos de los usuarios para el uso

de conexiones VPN-
Cules son los medios utilizados

para la autenticacin de usuarios en
conexiones VPN? Explique.
Se cuenta con pistas de control
Existe
un
conector
las
entre el servidor de
actividades realizadas por un usuario
VPN y el servidor de
a travs de una conexin VPN-?
autenticacin.
(logs)
que
permitan
revisar
En caso afirmativo:
Indicar
si
existen actividades
de
monitoreo de estos logs.

comentarios las acciones que realizan
para
monitorear
las
actividades
realizadas por un usuario a travs de
una conexin VPN-?
Existe monitoreo por

medio de logs.
94
Continuacin del apndice 3.

NM.
PREGUNTAS
Se cuenta con un documento o

referencia
donde
se
tengan
NO
COMENTARIOS
definidos los siguientes aspectos?
Tiempo mximo de conexin
a VPN-
Protocolos autorizados a ser

utilizados
en
Conexiones VPN
conexiones
VPN.
Das y horarios permitidos
de conexin.
Clasificacin
informacin
de
que
la
no
es
permitido operar a travs de

este medio.
Respondido por: _______________________________
95
Firma y sello
Apndice 4.
Requerimiento Nm. 01
Para:
Persona encargado del rea Informtica
De:
Auditor de sistemas
Asunto:
Requerimiento de informacin
PT. 2
Derivado a la revisin a la gestin de conexiones de red privada virtual VPN- y

para efectos de la ejecucin de la auditora solicito se sirva proporcionar la
siguiente informacin:
Listado de cuentas de usuarios con acceso a -VPN- .
Reglas del Firewall incluyendo IPS para -VPN- .
Logs de acceso a la red privada virtual del ao 2013.
Atentamente,
Auditor de sistemas.
96
Apndice 5.
Ejecucin de la auditora. Actividades para cumplir con los

objetivos
PT. 3
Actividades para cumplir con el objetivo 1
Objetivo 1: evaluar el control interno establecido para la gestin de conexiones

de red privada virtual.
Se identificaron y evaluaron los lineamientos formales implementados que

refieren las actividades de control actuales por medio del cuestionario de
control interno. Los lineamientos identificados son los siguientes:
Para administracin, monitoreo cuentan con la gua para VPN.
Para la gestin de altas, bajas o modificacin de acceso cuentan con

la poltica de administracin para solicitudes de accesos VPN.
Existe monitoreo por medio de Log sobre la utilizacin de la red VPN.
Se tienen reglas establecidas del firewall.
Se solicitaron las reglas del firewall incluyendo IPS para -VPN-
De lo cual se concluy: existen lineamientos para poder evaluar el control

interno establecido para la gestin de conexiones de red privada virtual.
97
PT. 4
Objetivo 2: evaluar la administracin de accesos a la red privada virtual.
Se solicit al rea informtica el listado de usuarios que poseen acceso a

la red privada virtual.
Se gener listado de usuarios con acceso a VPN desde la
lnea de
comando, con la instruccin NET GROUP /DOMAIN.
Se verific la existencia de usuarios genricos en los perfiles de VPN.
De lo cual se concluy: existen usuarios genricos para el uso de la red

privada virtual VPN- y accesos VPN-
asociados a usuarios de soporte
externo con contrato expirado.
PT. 5
Objetivo 3: evaluar el registro de las pistas de auditora para conexiones a la red

privada virtual.
Logs proporcionados por la gerencia de informtica.
Se gener listado de usuarios con acceso a VPN desde la
lnea de
comando con la instruccin NET GROUP /DOMAIN.
De los logs proporcionados se observ lo siguiente:

o
Usuarios que no se encuentran en el listado proporcionado por la

gerencia de informtica.
98
Usuarios sin registro de informacin dentro de la institucin.
De lo cual se concluy: falta de disponibilidad de registros histricos de

las conexiones -VPN-
Apndice 6.
Informe de auditora. Revisin a la gestin de
conexiones de red privada virtual -VPN-
A.
Hallazgo 1: falta de disponibilidad de registros histricos de conexiones

VPN. Durante la ejecucin de la auditora, se determin que existe
dificultad para obtener informacin especfica, relacionada con las
conexiones VPN de los usuarios a travs de la bitcora del firewall, debido
al gran volumen de datos registrados y la cantidad de trabajo que conlleva
extraerlos.
Criterios:
Las polticas internas de la organizacin establecen que es

conveniente dejar por escrito, los procedimientos de autorizacin,
registro, custodia y control oportuno de todas las operaciones. Los
procedimientos de registro, autorizacin y custodia son aplicables a
todos los niveles de organizacin, independientemente de que las
operaciones sean financieras, administrativas u operativas; deben
contar con la definicin de su campo de competencia y el soporte
necesario para rendir cuenta de las responsabilidades inherentes a
su cargo.
99
La norma internacional ISO 17779 indica que se deben establecer

controles especiales para salvaguardar la confidencialidad e
integridad del procesamiento de los datos que pasan a travs de
redes.
Causa: la bitcora del firewall integra todos los registros histricos de

conexiones, incluyendo las conexiones VPN en un solo repositorio; por lo
que es necesario manejar grandes volmenes de informacin, para
separar los registros correspondientes a conexiones especficas de VPN.
Efecto: se dificulta poder determinar las fechas y horas en que un usuario

realiz conexiones VPN hacia los sistemas de la organizacin, con el
propsito de brindar trazabilidad de sus operaciones realizadas en dichos
sistemas.
Recomendaciones:
Considerar la incorporacin de un servidor de bitcoras que permita

la administracin efectiva de diferentes archivos de logs y garantice
su disponibilidad cuando se requiera.
Considerar la incorporacin de herramientas de generacin de

reportes que faciliten la gestin de los logs, al momento de
revisiones de control o de requerimientos de seguridad.
B.
Hallazgo 2: accesos VPN activos asociados a usuarios de soporte externo

con contrato expirado. En bitcoras proporcionadas para el ao 2013, se
identificaron conexiones VPN, que corresponden a usuarios que prestaron
100
sus servicios para la organizacin, sin embargo se verific que el contrato

de estas personas no se encuentra actualmente vigente.
Apndice 6a.
Usuarios y fechas en que realizaron conexiones
No.
Usuario
Fechas en las
que realizaron
conexiones en
bitcoras
proporcionadas
Luis Fernando
Romero
18-sep-13
Mara
Luisa
Pimentel
10-oct-13
Ricardo
Morataya
12-oct-13
El personal referido perteneca a un grupo de asesores de una empresa

externa a la organizacin; sin embargo, esta empresa brind servicios de
soporte y desarrollo especializado para un sistema de informacin gerencial en
el ao 2009, segn contrato CONTRATO-700-2009, mismo que se encuentra
expirado.
Criterios:
o
La norma internacional Cobit 4.0 indica que se debe proporcionar

una
proteccin
adecuada
contra
accesos
no
autorizados,
modificaciones y envos incorrectos de informacin sensitiva durante

la transmisin de datos.
La norma ISO 17779 indica que se requiere un conjunto de controles

para lograr y mantener la seguridad de las redes informticas. Los
101
administradores de redes deben implementar controles para

garantizar la seguridad de los datos en la misma, y la proteccin de
los servicios conectados contra el acceso no autorizado.
Causa: falta de remocin oportuna de los accesos otorgados por el rea

Informtica al personal externo, al trmino de su relacin contractual con
la organizacin.
Efecto: el acceso de VPN vigente para estos usuarios, les permite

conectarse a los servidores y equipos donde figuran como administradores
locales, a travs del uso del escritorio remoto, teniendo plena libertad de
operar en estos servidores y equipos.
Riesgo: que el acceso sea utilizado para obtener informacin sensible de

la organizacin y ser enviados a sitios externos.
Recomendacin: que el rea informtica coordine la remocin inmediata

de los accesos referidos en el hallazgo, y a la vez se implemente una
revisin sobre la totalidad de los usuarios con acceso a VPN, con el fin de
depurar los accesos asignados a los mismos, conforme al puesto y
funciones que desempean.
C.
Hallazgo 3: cuentas no personales (genricas) con acceso activo a redes

VPN. Se identificaron cuentas activas con acceso activo a VPN, que no
identifican de forma individual al personal que las usa, condicionando la
trazabilidad de lo ejecutado con dichas cuentas.
Criterio: la buena prctica de tecnologa de la informacin COBIT 4.0,

establece que para una buena administracin de
102
accesos, debe
considerar el uso de una identificacin personal de usuario de tal manera

que este pueda ser localizado y sea responsable de sus acciones. El uso
de identificadores para un grupo de usuarios no debe permitirse.
Causa: debilidad en las actividades de supervisin y monitores de

accesos.
Efecto: condiciona la identificacin de la persona responsable de las

conexiones realizadas con esta cuenta, en operaciones especficas para
efectos de la rendicin de cuentas.
Recomendacin: proceder a remover el acceso VPN de las cuentas no

personales que figuran en los perfiles de VPN y a brindar el acceso a las
cuentas especficas del personal que lo necesite segn su funcin y
puesto de trabajo.
103

08 0746 CS

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

08 0746 CS

Hochgeladen von

Copyright:

Verfügbare Formate

Universidad de San Carlos de Guatemala

PRCTICAS INTERNACIONALES PARA LA AUDITORA

Ana Virginia Prez Girn

Guatemala, noviembre de 2013

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

PRCTICAS INTERNACIONALES PARA LA AUDITORA

PRESENTADO A JUNTA DIRECTIVA DE LA

ANA VIRGINIA PREZ GIRN

INGENIERA EN CIENCIAS Y SISTEMAS

GUATEMALA, NOVIEMBRE DE 2013

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

NMINA DE JUNTA DIRECTIVA

Ing. Murphy Olympo Paiz Recinos

Ing. Alfredo Enrique Beber Aceituno

Ing. Pedro Antonio Aguilar Polanco

Inga. Elvia Miriam Ruballos Samayoa

Br. Walter Rafael Vliz Muoz

Br. Sergio Alejandro Donis Soto

Ing. Hugo Humberto Rivera Prez

TRIBUNAL QUE PRACTIC EL EXAMEN GENERAL PRIVADO

Ing. Murphy Olympo Paiz Recinos

Ing. Edgar Estuardo Santos Sutuj

Ing. Jos Alfredo Gonzlez Cosenza

Ing. Marlon Francisco Orellana Lpez

Ing. Hugo Humberto Rivera Prez

ACTO QUE DEDICO A:

Por su infinita bondad y amor, al haberme permitido

Quien me ha acompaado e iluminado en cada

Eluvia Girn Figueroa, por todo el amor y apoyo

Marco Antonio Prez Girn, quien siempre ha estado

Tos, tas, primos y primas; uno de los mejores

Por su amistad y por tantos buenos momentos

Ada Luz Garca, por todo el apoyo brindado; por su

NDICE DE ILUSTRACIONES ........................................................................... V

AUDITORA Y GESTIN DE TECNOLOGA DE LA

Objetivos de la auditora de gestin de las tecnologas de

Definicin del problema ............................................................. 3

Definicin de trminos ............................................................... 4

Gestin de la tecnologa de la informacin ................................ 7

Problemas en la gestin de la tecnologa de

Evolucin de la gestin de la tecnologa de

RELACIONADOS CON LA GESTIN DE LA TECNOLOGA

Adquisicin e implementacin ................................ 23

Entrega de servicio y soporte ................................. 25

ISO 12207 ............................................................................... 29

Procesos principales .............................................. 30

Procesos de apoyo ................................................. 30

Procesos organizativos .......................................... 32

ISO 17799 ............................................................................... 32

Poltica de seguridad .............................................. 33

Aspectos organizativos de la seguridad ................. 33

Clasificacin y control de activos ............................ 33

Seguridad ligada al personal .................................. 34

Seguridad fsica y del entorno ................................ 34

Gestin de comunicaciones y operaciones ............ 34

Control de accesos ................................................. 35

Desarrollo y mantenimiento de sistemas ................ 35

Gestin de la continuidad del negocio .................... 35

Procesos del PMBOK.............................................................. 39

Monitoreo y control ................................................. 28

Proceso de iniciacin ............................................. 39

Proceso de ejecucin ............................................. 41

Proceso de seguimiento y control .......................... 42