You are on page 1of 17

RESUMEN TEMA N 06

PROGRAMA DE AUDITORIA COBIT


El programa de auditora hace referencia a la programacin de las
actividades y asignacin de los procesos a auditar a cada uno de
los miembros del equipo auditor, por lo tanto inicialmente se debe
determinar el estndar que se va a aplicar, quienes sern los
miembros del equipo auditor y la especialidad de cada uno de ellos,
y posteriormente se hace la asiganacin de las tareas para cada
uno de ellos.
Para este caso se usar el estndar CobIT 4.1 de donde se tomar
los procesos y objetivos de control relacionados directamente con el
objetivo general y alcances que fueron determinados en el plan de
auditora.
Cabe mencionar que dentro de cada proceso existen varios
objetivos de control y que no se debe seleccionar solo un objetivo
de control sino que pueden ser todos o aquellos que ms estn
relacionados
con
los
alcances
de
la
auditora.
Ejemplo de programa de auditora para un sistema de
informacin.
Inicialmente hay que tener en cuenta el plan de auditora porque
all se tiene el objetivo que se pretende en la auditora y los
alcances
de
cada
uno
de
los
tem
evaluados.
Plan de auditora
Objetivo general: Evaluar el sistema de informacin de usado para
el sistema de matrcula para garantizar la seguridad en cuanto a
confidencialidad, integridad y disponibilidad que permitan el
mejoramiento del sistema de control existente.
Alcances: En cuanto a los alcances de la auditora se trabajar el
mdulo de matrcula acadmica en lnea, incluyendo los procesos
de registro y control, y el sistema de control interno que maneja la
dependencia para la proteccin de los datos e informacin.
Del mdulo de matrcula acadmica se evaluar: Asignaturas a
matricular del Pensum, Asignaturas a matricular de formacin

humanstica, Matricular idiomas extranjeros, Cancelacin de


asignaturas del Pensum, Cancelacin de formacin humansticas,
Cancelacin idiomas extranjeros, Autorizaciones, Reporte de
Matrcula, Actualizacin de informacin, Calificaciones, Calendario
Horarios, Horarios Humanstica.
En cuanto al hardware: En cuanto al hardware se evaluar el
inventario de hardware de servidores, equipos y redes, incluyendo
los procesos mantenimiento, adquisicin y actualizacin de los
mismos.
En cuanto al sistema: En cuanto al sistema se evaluar la
funcionalidad, procesamiento, seguridad perimetral del sistema,
seguridad interna del sistema, entradas y salidas generadas por el
sistema, calidad de los datos de entrada, la configuracin del
sistema, la administracin del sistema, planes de contingencias.
En cuanto a la operatividad del sistema: En cuanto a la
operatividad del sistema se evaluar los usuarios que manejan la
informacin, la administracin del sistema y el monitoreo del
sistema.
Teniendo en cuenta el objetivo y los alcances especificados
anteriormente, y una vez seleccionado el estndar a trabajar (CobIT
4.1), se selecciona los dominios y procesos del estndar que tengan
relacin
directa
con
el
objetivo
y
los
alcances.
PROGRAMA

DE

AUDITORA

Para realizar el proceso de auditora al Sistema de informacin de


Registro y control acadmico, se utilizar el estndar de mejores
prctica en el uso de Tecnologa de informacin (TI) COBIT
(Objetivos de Control para la Informacin y Tecnologas
Relacionadas), donde se especifica el dominio, el proceso y los
objetivos de control que se debe trabaar en relacin directa con el
objetivo y alcances, dentro de ellos se elegira los siguientes:
Dominio: Planeacin Y Organizacin (PO). Este dominio cubre
las estrategias y las tcticas, tiene que ver con identificar la manera
en que las tecnologas de informacin pueden contribuir de la mejor
manera al logro de los objetivos de una entidad.

Los procesos seleccionados que se revisar y los objetivos de


control a verificar son los siguientes:
Proceso: PO1 Definir un Plan Estratgico de TI: La definicin de
un plan estratgico de tecnologa de informacin, permite la gestin
y direccin de los recursos de TI de acuerdo a las estrategias y
requerimientos de la dependencia.
Los objetivos de control relacionados con los alcances de la
auditora son los siguientes:
PO1.3 Ecaluacin del desempeo y la capacidad actual: La
dependencia de registro y control acadmico manteiene una
evaluacin perodica del desempeo de los planes institucionales y
de los sistemas de informacin encaminados a la contribucin del
cumplimiento de los objetivos de la dependencia.
PO2 Definir la Arquitectura de la Informacin: Permite definir un
modelo de informacin, con el fin de integrar de forma transparente
las aplicaciones dentro de los procesos de la dependencia.
Los objetivos de control que se evaluaran son los siguientes:
PO2.2 Diccionario de datos y reglas de sintaxis de datos: Es
necesario la existencia de un diccionario de datos del sistema en la
dependencia y las actualizaciones que se hayan realizado al mismo
en las actualizaciones del sistema de acuerdo a los nuevos
requerimientos.
PO2.3 Esquema de clasificacin de los datos: Se debe establecer
un marco de referencia de los datos, clasificndolos por categorias,
y con la definicin de normas y polticas de acceso a dichos datos.
PO2.4 Administracin de la integridad de datos: Los desarrolladores
de la aplicacin deben garantizar la integridad y consistencia de los
datos almacenados mediante la creacin de procesos y
procedimientos.
PO4 Definir los Procesos, Organizacin y Relaciones de
TI: Dentro del rea de sistemas debe estar claro y definido el
personal de la tecnologa de la informacin, los roles, las funciones
y responsabilidades, permitiendo el buen funcionamiento de
servicios que satisfagan los objetivos de la Institucin.

Los objetivos de control que se evaluarn son los siguientes:


PO4.6 Establecer roles y responsabilidades: Evaluar el
comportameinto de los roles y las responsabilidades definidas para
el personal de TI, el el rea informtica (administradores de la red.
administrador de sistema, supervisor de los indicadores de
cumplimiento, otros)
PO4.7 Responsabilidad del aseguramiento de la calidad de TI: Se
debe asignar la responsabilidad para el desempeo de la funcin de
aseguramiento de la calidad (QA) proporcionando el grupo QA del
rea informtica los controles y la experiencia para comunicarlos.
Ademas se debe asegurar que la ubicacin organizacional, la
responsabilidades y el tamao del grupo de QA satisfacen los
requerimientos de la dependencia.
PO4.8 Responsabilidad sobre el riesgo, la seguridad y el
cumplimiento: Se debe establecer la propiedad y la responsabilidad
de los riesgos relacionados con TI a un nivel superior apropiado.
Definir y asignar roles crticos para administrar los riesgos de TI,
incluyendo la responsabilidad especfica de la seguridad de la
informacin, la seguridad fsica y el cumplimiento. Establecer
responsabilidad sobre la adminsitracin del riesgo y la seguridad a
nivel de toda la dependencia para manejar los problemas a nivel
institucional. Es necesario asignar responsabilidades adicionales de
administracin de la seguridad a nivel del sistema especfico para
manejar problemas relacionados con la seguridad.
PO4.9 Propiedad de datos y del sistema: Proporcionar a la
dependencia de registro y control los procedimientos y herramientas
que le permitan enfrentar sus responsabilidades de propiedad sobre
los datos y los sistemas de informacin.
PO4.13 Personal clave de TI: Definir e identificar el personal clave
de TI y minimizar la dependencia de una sola persona
desempeando la funcin de trabajo crtico.
PO8 Administrar la Calidad: Se debe elaborar y mantener un
sistema de administracin de calidad, el cual incluya procesos y
estndares probados de desarrollo y de adquisicin. Esto se facilita
por medio de la planeacin, implantacin y mantenimiento del
sistema
de
administracin
de
calidad,
proporcionando

requerimientos, procedimientos y polticas claras de calidad. Los


requerimientos de calidad se deben manifestar y documentar con
indicadores cuantificables y alcanzables. La mejora continua se
logra por medio del constante monitoreo, correccin de
desviaciones y la comunicacin de los resultados a los interesados.
La administracin de calidad es esencial para garantizar que TI est
dando valor a la informacin de la dependencia, mejora continua y
transparencia para los interesados.
Los objetivos de control que sern evaluados son los siguientes:
PO8.3 Estndares de desarrollo y de adquisicin: Adoptar y
mantener estndares para desarrollo y adquisicin que siga el ciclo
de vida, hasta los entregables finales incluyendo la aprobacin o no
en puntos clave con base en los criterios de aceptacin acordados.
Los temas a considerar incluyen los estndares de codificacin del
software, normas de nomenclatura, los formatos de archivos,
estndares de diseo para los esquemas y diccionarios de datos,
estndares para interfaz de ususrio, inter operatividad, eficiencia en
el desempao del sistema, escalabilidad, estndares para el
desarrollo y pruebas, validacin de los requerimientos, planes de
pruebas, pruebas unitarias, y de integracin.
PO8.5 Mejora continua: Mantener y comunicar regularmente un
plan global de calidad que promueva la mejora contnua.
PO9 Evaluar y administrar los riesgos de TI: Encargado de
identificar, analizar y comunicar los riesgos de TI y su impacto
potencial sobre los procesos y metas de la dependencia, con el
objetivo de asegurar el logro de los objetivos de TI.
PO9.1 Marco de trabajo de administracin de riesgos: Se debe
establecer un marco de referencia de evaluacin sistemtica de
riesgos que contenga una evaluacin regular de los riesgos de la
parte fsica de las comunicaciones, servidores y equipos con
indicadores de cumplimiento.
PO9.3 Identificacin de eventos: Identificar los riesgos (una
amenaza explota las vulnerabilidades existentes), clasificandolas si
son relevantes y en que medida afectan al rea informtica y la
dependencia de registro y control donde se maneja el sistema de
informacin.

PO9.4 Evaluacin de los riesgos de TI: Medir los riesgos a travs de


la evaluacin peridica de la probabilidad e impacto de los riesgos
identificados, usando mtodos cuantitativos y cualitativos, que
permitan la medicin del riesgo encontrado.
PO9.5 Respuesta a los riesgos: Definir un plan de accin contra
riesgos, el proceso de respuesta a riesgos debe identificar las
estrategias tales como evitar, reducir, compartir o aceptar los
riesgos determinando los niveles de tolerancia a los riesgos y los
controles para mitigarlos.
PO9.6 Mantenimiento y monitoreo de un plan de accin de riesgos:
Priorizar y planear las actividades de control y respuesta a la
solucin de riesgos encontrados, teniendo en cuenta tambin la
parte econmica de la solucin de esta prioridad. Monitorear la
ejecuccin de los planes y reportar cualquier desviciacin a la alta
direccin.
Dominio: Adquirir e implementar (AI) Para llevar a cabo la
estrategia TI, se debe identificar las soluciones, desarrollarlas y
adquirirlas, as como implementarlas e integrarlas en la empresa,
esto para garantizar que las soluciones satisfaga los objetivos de la
empresa.
De este dominio se ha seleccionado los siguientes procesos y
objetivos
de
control:
AI2 Adquirir y Mantener Software Aplicativo: Las aplicaciones
deben estar disponibles de acuerdo con los requerimientos de la
dependencia. Este proceso cubre el diseo de las aplicaciones, la
inclusin apropiada de controles aplicativos y requerimientos de
seguridad, y el desarrollo y la configuracin en s de acuerdo a los
estndares. Esto permite apoyar la operatividad de la dependencia
de forma apropiada con las aplicaciones automatizadas correctas.
AI2.1 Diseo de Alto Nivel: Traducir los requerimientos a una
especificacin de diseo de alto nivel para la adquisicin de
software, teniendo en cuenta las directivas tecnolgicas y la
arquitectura de informacin dentro de la dependencia. Tener
aprobadas las especificaciones de diseo por la dependencia para
garantizar que el diseo de alto nivel responde a los requerimientos.

Reevaluar cuando sucedan discrepancias significativas tcnicas o


lgicas durante el desarrollo o mantenimiento.
AI2.2 Diseo Detallado: Preparar el diseo detallado y los
requerimientos tcnicos del software de aplicacin. Definir el criterio
de aceptacin de los requerimientos. Aprobar los requerimientos
para garantizar que corresponden al diseo de alto nivel. Realizar
reevaluaciones cuando sucedan discrepancias significativas
tcnicas o lgicas durante el desarrollo o mantenimiento.
AI2.3 Control y Posibilidad de Auditar las Aplicaciones:
Implementar controles de aplicacin automatizados tal que el
procesamiento sea exacto, completo, oportuno, autorizado y
auditable.
AI2.4 Seguridad y Disponibilidad de las Aplicaciones: Abordar la
seguridad de las aplicaciones y los requerimientos de disponibilidad
en respuesta a los riesgos identificados y en lnea con la
clasificacin de datos, la arquitectura de la informacin, la
arquitectura de seguridad de la informacin y la tolerancia a riesgos
de la organizacin.
AI2.5 Configuracin e Implantacin de Software Aplicativo
Adquirido: Configurar e implementar software de aplicaciones
adquiridas para conseguir los objetivos de negocio.
AI2.6 Actualizaciones Importantes en Sistemas Existentes:
En caso de cambios importantes a los sistemas existentes que
resulten en cambios significativos al diseo actual y/o funcionalidad,
seguir un proceso de desarrollo similar al empleado para el
desarrollo de sistemas nuevos.
AI2.7 Desarrollo de Software Aplicativo: Garantizar que la
funcionalidad de automatizacin se desarrolla de acuerdo con las
especificaciones de diseo, los estndares de desarrollo y
documentacin, los requerimientos de calidad y estndares de
aprobacin. Asegurar que todos los aspectos legales y
contractuales se identifican y direccionan para el software aplicativo
desarrollado por terceros.
AI2.9 Administracin de los Requerimientos de Aplicaciones:
Seguir el estado de los requerimientos individuales durante el
diseo, desarrollo e implementacin, y aprobar los cambios a los

requerimientos a travs de un proceso de gestin de cambios


establecido.
AI2.10 Mantenimiento de Software Aplicativo: Desarrollar
una estrategia y un plan para el mantenimiento de aplicaciones de
software.
AI3 Adquirir y Mantener Infraestructura Tecnolgica: Las
Dependencias deben contar con procesos para adquirir,
Implementar y actualizar la infraestructura tecnolgica. Esto
requiere de un enfoque planeado para adquirir, mantener y proteger
la infraestructura de acuerdo con las estrategias tecnolgicas
convenidas y la disposicin del ambiente de desarrollo y pruebas.
Esto garantiza que exista un soporte tecnolgico en la organizacin.
AI3.1
Plan
de
Adquisicin
de
Infraestructura
Tecnolgica: Generar un plan para adquirir, Implementar y mantener
la infraestructura tecnolgica que satisfaga los requerimientos
establecidos funcionales y tcnicos que est de acuerdo con la
direccin tecnolgica de la dependencia. El plan debe considerar
extensiones futuras para adiciones de capacidad, costos de
transicin, riesgos tecnolgicos y vida til de la inversin para
actualizaciones de tecnologa. Evaluar los costos de complejidad y
la viabilidad del software al aadir nueva capacidad tcnica.
AI3.2 Proteccin y Disponibilidad del Recurso de
Infraestructura: Implementar medidas de control interno, seguridad y
auditabilidad durante la configuracin, integracin y mantenimiento
del hardware y del software de la infraestructura para proteger los
recursos y garantizar su disponibilidad e integridad. Se deben definir
y comprender claramente las responsabilidades al utilizar
componentes de infraestructura sensitivos por todos aquellos que
desarrollan e integran los componentes de infraestructura. Se debe
monitorear y evaluar su uso.
AI3.3 Mantenimiento de la Infraestructura: Desarrollar una
estrategia y un plan de mantenimiento de la infraestructura y
garantizar que se controlan los cambios, de acuerdo con el
procedimiento de administracin de cambios de la dependencia.
Incluir una revisin peridica contra las necesidades, administracin
de parches y estrategias de actualizacin, riesgos, evaluacin de
vulnerabilidades y requerimientos de seguridad.

AI3.4 Ambiente de Prueba de Factibilidad: Establecer el


ambiente de desarrollo y pruebas para soportar la efectividad y
eficiencia de las pruebas de factibilidad e integracin de
aplicaciones e infraestructura, en las primeras fases del proceso de
adquisicin y desarrollo. Hay que considerar la funcionalidad, la
configuracin de hardware y software, pruebas de integracin y
desempeo, migracin entre ambientes, control de la versiones,
datos y herramientas de prueba y seguridad.
AI6 Administrar cambios: Para realizar algn cambio bien sea de
software, de hardware de comunicaciones o de servidores, debe
existir un proceso que administre formalmente y controladamente
dichos cambios, cada cambio debe seguir un proceso de recepcin,
evaluacin, prioridad y autorizacin previo a la implantacin, sin
obviar la constatacin o revisin despus del cambio, esto con el fin
de reducir riesgos que impacten negativamente la estabilidad o
integridad del ambiente del buen funcionamiento de las
comunicaciones y servidores.
AI6.3 Cambios de emergencia: La Dependencia debe tener
establecido un proceso para definir, plantear, evaluar y autorizar los
cambios de emergencia que no sigan el proceso de cambio
establecido. La documentacin y pruebas se realizan, posiblemente,
despus de la implantacin del cambio de emergencia.
AI6.4 Seguimiento y reporte del estatus de cambio: Se
debe hacer un seguimiento a travs de un reporte de las solicitudes
de cambio, de solucin y autorizacin.
AI6.5 Cierre y documentacin del cambio: Establecer un
proceso de revisin para garantizar la implantacin completa de los
cambios.
Dominio Entregar Y Dar Soporte (DS). Encargado de garantizar
la entrega de los servicios requeridos por la empresa, dentro de
este dominio se evaluar los siguientes procesos y objetivos de
control:
DS4 Garantizar la Continuidad del Servicio: Es importante que
dentro de la dependencia se garantice la continuidad de los
servicios de TI, para ello es importante desarrollar, mantener y
probar planes de continuidad y as asegurar el mnimo impacto en
caso de una interrupcin de servicios TI, esto se logra con el

desarrollo y mantenimiento (mejorado) de los planes de


contingencia de TI, con entrenamiento y pruebas de los planes de
contingencia de TI y guardando copias de los planes de
contingencia.
DS4.2 Planes de continuidad de TI: La metodologa de
continuidad debe ser diseado para reducir el impacto de un
desastre, debe presentar diferentes alternativas de recuperacin
inmediata de los servicios, tambin debe cubrir los lineamientos de
uso, los roles y responsabilidades, los procedimientos, los procesos
de comunicacin y el enfoque de pruebas.
DS4.3 Recursos crticos de TI: Revisar si se lleva un control
de los planes de continuidad, de acuerdo al nivel de prioridad,
asegurarse de que la respuesta y la recuperacin estn alineadas
con las necesidades prioritarias de la dependencia y considerar los
requerimientos de resistencia, respuesta y recuperacin para
diferentes niveles de prioridad.
DS4.4 Mantenimiento del plan de continuidad de TI: Se debe
mantener el plan de continuidad activo, vigente y actualizado y que
refleje de manera continua los requerimientos actuales del rea
Informtica y de la dependencia de registro y control.
DS4.5 Pruebas del plan de continuidad de TI: Es importante
que dentro de la dependencia el plan de continuidad sea conocido
por todas las partes interesadas, es esencial que los cambios en los
procedimientos y las responsabilidades sean comunicados de forma
clara y oportuna. Hacer pruebas de continuidad de forma regular
para asegurar que los procesos de TI pueden ser recuperados de
forma efectiva y as probar que el plan es efectivo o sino corregir
deficiencias en el plan, y as ejecutar un plan de accin para permitir
que el plan permanezca aplicable.
DS4.6 Entrenamiento del plan de continuidad de TI: La
organizacin debe asegurarse que todos las partes involucradas
reciban capacitaciones de forma regular respecto a los procesos y
sus roles y responsabilidades en caso de incidente o desastre.
Verificar e incrementar el entrenamiento de acuerdo con los
resultados de las pruebas de contingencia.
DS4.9 Almacenamiento de Respaldos Fuera de las
Instalaciones: Almacenar fuera de las instalaciones todos los

medios de respaldo, documentacin y otros recursos de TI crticos,


necesarios para la recuperacin de TI y para los planes de
continuidad de la dependencia. El contenido de los respaldos a
almacenar debe determinarse en conjunto entre los responsables
de los procesos de la dependencia y el personal de TI. La
administracin del sitio de almacenamiento externo a las
instalaciones, debe apegarse a la poltica de clasificacin de datos y
a las prcticas de almacenamiento de datos de la organizacin. Las
directivas de TI debe asegurar que los acuerdos con sitios externos
sean evaluados peridicamente, al menos una vez por ao,
respecto al contenido, a la proteccin ambiental y a la seguridad.
Asegurarse de la compatibilidad del hardware y del software para
poder recuperar los datos archivados y peridicamente probar y
renovar los datos archivados.
DS4.10 Revisin Post Reanudacin: Una vez lograda una exitosa
reanudacin de las funciones de TI despus de un desastre,
determinar si las directivas de TI ha establecido procedimientos
para valorar lo adecuado del plan y actualizar el plan en
consecuencia.
DS5 Garantizar la seguridad de los sistemas: Garantizar la
proteccin de la informacin e infraestructura de TI con el fin de
minimizar el impacto causado por violaciones o debilidades de
seguridad de la TI.
Los objetivos de control que se evaluarn son los siguientes:
DS5.2 Plan de Seguridad de TI: Trasladar los requerimientos
de la dependencia, riesgos y cumplimiento dentro de un plan de
seguridad de TI completo, teniendo en consideracin la
infraestructura de TI y la cultura de seguridad. Asegurar que el plan
esta implementado en las polticas y procedimientos de seguridad
junto con las inversiones apropiadas en los servicios, personal,
software y hardware. Comunicar las polticas y procedimientos de
seguridad a los interesados y a los usuarios.
DS5.3 Administracin de Identidad: Asegurar que todos los
usuarios (internos, externos y temporales) y su actividad en
sistemas de TI (Entorno de TI, operacin de sistemas, desarrollo y
mantenimiento) deben ser identificables de manera nica. Permitir
que el usuario se identifique a travs de mecanismos de
autenticacin. Confirmar que los permisos de acceso del usuario al

sistema y los datos estn en lnea con las necesidades del mdulo
definidas y documentadas y que los requerimientos de trabajo estn
adjuntos a las identidades del usuario. Asegurar que los derechos
de acceso del usuario se solicitan por la gerencia del usuario,
aprobados por el responsable del sistema e implementado por la
persona responsable de la seguridad. Las identidades del usuario y
los derechos de acceso se mantienen en un repositorio central. Se
despliegan tcnicas efectivas en coste y procedimientos rentables, y
se mantienen actualizados para establecer la identificacin del
usuario, realizar la autenticacin y habilitar los derechos de acceso.
DS5.4 Administracin de Cuentas del Usuario: Garantizar
que la solicitud, establecimiento, emisin, suspensin, modificacin
y cierre de cuentas de usuario y de los privilegios relacionados,
sean tomados en cuenta por un conjunto de procedimientos. Debe
incluirse un procedimiento de aprobacin que describa al
responsable de los datos o del sistema otorgando los privilegios de
acceso. Estos procedimientos deben aplicarse a todos los usuarios,
incluyendo administradores, usuarios externos e internos, para
casos normales y de emergencia. Los derechos y obligaciones
relativos al acceso a los sistemas e informacin del mdulo deben
acordarse contractualmente para todos los tipos de usuarios.
Realizar revisiones regulares de la gestin de todas las cuentas y
los privilegios asociados.
DS5.5
Pruebas,
Vigilancia
y
Monitoreo
de
la
Seguridad: Garantizar que la implementacin de la seguridad en TI
sea probada y monitoreada de forma pro-activa. La seguridad en TI
debe ser re-acreditada peridicamente para garantizar que se
mantiene el nivel seguridad aprobado. Una funcin de ingreso al
sistema (loggin) y de monitoreo permite la deteccin oportuna de
actividades inusuales o anormales que pueden requerir atencin.
DS5.6 Definicin de Incidente de Seguridad: Implementar
procedimientos para atender casos de incidentes, mediante el uso
de una plataforma centralizada con suficiente experiencia y
equipada con instalaciones de comunicacin rpidas y seguras.
Igualmente establecer las responsabilidades y procedimientos para
el manejo de incidentes.
DS5.7 Proteccin de la Tecnologa de Seguridad: Garantizar
que la tecnologa relacionada con la seguridad sea resistente al
sabotaje y no revele documentacin de seguridad innecesaria.

DS5.8 Administracin de Llaves Criptogrficas: Asegurar que


la informacin de transacciones (datos, password, llaves
criptogrficas) es enviada y recibida por canales confiables
(trustedpaths), mediante encriptamiento de sistemas y usuarios.
DS5.9 Prevencin, Deteccin y Correccin de Software
Malicioso: Garantizar procedimientos para el manejo y correccin
de problemas ocasionados por software malicioso generalmente en
el caso de virus.
DS5.10 Seguridad de la Red: En la organizacin al existir
conexin a la red de internet se debe implementar el uso de
tcnicas de seguridad y procedimientos de administracin
asociados como firewalls, para proteger los recursos informticos y
dispositivos de seguridad.
DS7 Educar y Entrenar a los Usuarios: Para una educacin
efectiva de todos los usuarios de sistemas de TI, incluyendo
aquellos dentro de TI, se requieren identificar las necesidades de
entrenamiento de cada grupo de usuarios. Adems de identificar las
necesidades, este proceso incluye la definicin y ejecucin de una
estrategia para llevar a cabo un entrenamiento efectivo y para medir
los resultados. Un programa efectivo de entrenamiento incrementa
el uso efectivo de la tecnologa al disminuir los errores,
incrementando la productividad y el cumplimiento de los controles
clave tales como las medidas de seguridad de los usuarios.
Para ello se tomaran en cuenta los siguientes objetivos de control:
DS7.1 Identificacin de Necesidades de Entrenamiento y
Educacin: Establecer y actualizar de forma regular un programa de
entrenamiento para cada grupo objetivo de empleados, que incluya:
Implementar procedimientos junto con el plan de largo plazo,
valores sistmicos (valores ticos, cultura de control y seguridad,
otros), implementacin de nuevo software e infraestructura de TI
(paquetes y aplicaciones), perfiles de competencias y certificaciones
actuales y/o credenciales necesarias, metodos de impartir la
capacitacin, tamao del grupo, accesibilidad y tiempo.
DS7.3 Evaluacin del Entrenamiento Recibido: Al finalizar el
entrenamiento, evaluar el contenido del entrenamiento respecto a la
relevancia, calidad, efectividad, percepcin y retencin del

conocimiento, costo y valor. Los resultados de esta evaluacin


deben contribuir en la definicin futura de los planes de estudio y de
las sesiones de entrenamiento.
DS8 Administrar la Mesa de Servicio y los Incidentes: asegurar
que cualquier problema experimentado por los usuarios o
estudiantes sea atendido apropiadamente realizando una mesa de
ayuda que proporcione soporte y asesora de primera lnea.
DS8.1 Mesa de Servicios: Establecer la funcin de mesa
de servicio, la cual es la conexin del usuario con TI, para registrar,
comunicar, atender y analizar todas las llamadas, incidentes
reportados, requerimientos de servicio y solicitudes de informacin.
Deben existir procedimientos de monitoreo y escalamiento basados
en los niveles de servicio acordados en los SLAs, que permitan
clasificar y priorizar cualquier problema reportado como incidente,
solicitud de servicio o solicitud de informacin. Medir la satisfaccin
del usuario final respecto a la calidad de la mesa de servicios y de
los servicios de TI.
DS8.3 Escalamiento de Incidentes: Establecer procedimientos
de mesa de servicios de manera que los incidentes que no puedan
resolverse de forma inmediata sean escalados apropiadamente de
acuerdo con los lmites acordados en el SLA y, si es adecuado,
brindar soluciones alternas. Garantizar que la asignacin de
incidentes y el monitoreo del ciclo de vida permanecen en la mesa
de servicios, independientemente de qu grupo de TI est
trabajando en las actividades de resolucin.
DS8.4 Cierre de Incidentes: Establecer procedimientos para el
monitoreo puntual de la resolucin de consultas de los usuarios.
Cuando se resuelve el incidente la mesa de servicios debe registrar
la causa raz, si la conoce, y confirmar que la accin tomada fue
acordada con el usuario.
DS8.5 Anlisis de Tendencias: Emitir reportes de la actividad
de la mesa de servicios para permitir a la dependencia medir el
desempeo del servicio y los tiempos de respuesta, as como para
identificar tendencias de problemas recurrentes de forma que el
servicio pueda mejorarse de forma continua.
DS9 Administracin de la Configuracin: Mantener un depsito
centralizado donde se almacene la informacin de configuracin de

software y hardware, ofreciendo as mayor disponibilidad a los


usuarios y administradores del sistema, adems de mantener un
inventario actualizado de la existencia fsica de TI.
El objetivo de control que se evalua es el siguiente:
DS9.3 Revisin de Integridad de la Configuracin: El rea
Informtica debe revisar peridicamente los datos de configuracin
para verificar y confirmar la integridad de la configuracin actual y
ejecuta rutinas de revisin de software instalado para establecer
inconsistencias o desviaciones que perjudiquen los intereses de la
organizacin o que violen polticas de uso.
DS12 Administracin del Ambiente Fsico: La proteccin del
equipo de cmputo y del personal, requiere de instalaciones bien
diseadas y bien administradas. El proceso de administrar el
ambiente fsico incluye la definicin de los requerimientos fsicos del
centro de datos (site), la seleccin de instalaciones apropiadas y el
diseo de procesos efectivos para monitorear factores ambientales
y administrar el acceso fsico. La administracin efectiva del
ambiente fsico reduce las interrupciones del mdulo ocasionadas
por daos al equipo de cmputo y al personal.
DS12.1 Seleccin y Diseo del Centro de Datos: Registro y
control y el rea Informtica deben definir y seleccionar los centros
de datos fsicos para el equipo de TI para soportar la estrategia de
tecnologa ligada a la estrategia del negocio. Esta seleccin y
diseo del esquema de un centro de datos debe tomar en cuenta el
riesgo asociado con desastres naturales y causados por el hombre.
Tambin debe considerar las leyes y regulaciones correspondientes,
tales como regulaciones de seguridad y de salud en el trabajo.
DS12.2 Medidas de Seguridad Fsica: Evaluar las medidas
de seguridad fsicas alineadas con los requerimientos de la
organizacin. Las medidas deben incluir, zonas de seguridad, la
ubicacin de equipo crtico y de las reas de envo y recepcin. En
particular mantenga un perfil bajo respecto a la presencia de
operaciones
crticas
de
TI.
Deben
establecerse
las
responsabilidades sobre el monitoreo y los procedimientos de
reporte y de resolucin de incidentes de seguridad fsica.
DS12.3
Acceso
Fsico: Evaluar
e
implementar
procedimientos para otorgar, limitar y revocar el acceso a locales,

edificios y reas de emergencias. El acceso a locales, edificios y


reas debe justificarse, autorizarse, registrarse y monitorearse. Esto
aplica para todas las personas que accedan a las instalaciones,
incluyendo personal, estudiantes, visitantes o cualquier tercera
persona.
DS12.4 Proteccin Contra Factores Ambientales: Disear e
implementar medidas de proteccin contra factores ambientales.
Deben instalarse dispositivos y equipo especializado para
monitorear y controlar el ambiente.
DS12.5
Administracin
de
Instalaciones
Fsicas: Se
debe administrar las instalaciones, incluyendo el equipo de
comunicaciones y de suministro de energa, de acuerdo con las
leyes y los reglamentos, los requerimientos tcnicos y de la
institucin, las especificaciones del proveedor y los lineamientos de
seguridad y salud.
DS13 Administracin de Operaciones: Se requiere de una
efectiva administracin proteccin de datos de salida sensitivos,
monitoreo de infraestructura y mantenimiento preventivo de
hardware en la organizacin.
Para ello se evalua el siguiente objetivo de control:
DS13.5 Mantenimiento Preventivo del Hardware: Evaluar los
procedimientos para garantizar el mantenimiento oportuno de la
infraestructura para reducir la frecuencia y el impacto de las fallas o
de la disminucin del desempeo.
Dominio Monitorear Y Evaluar (ME). Todos los procesos del
mdulo de matrcula necesitan ser evaluados regularmente a travs
del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control, integridad y confidencialidad, por tal se
evaluara el sigueinte proceso:
ME2 Monitorear y Evaluar el Control Interno: Se debe
proporcionar e incrementar los niveles de confianza entre la
organizacin, empleados y clientes con respecto a las operaciones
eficientes y efectivas dentro del mdulo.
ME2.3 Excepciones de Control: Identificar los incidentes,
analizar e identificar sus causas raz subyacentes para establecer

acciones correctivas necesarias y verificar si los resultados de los


controles, son reportados y analizados rpidamente, para evitar
errores e inconsistencias y que sean corregidos a tiempo.
Finalmente se establecer las responsabilidades de cada
integrante del grupo auditor respecto a los procesos que sern
evaluados y se crea un cronograma de las actividades de
evaluacin que se realizarn en el proceso de auditora.