FUENTES DE CONOCIMIENTO

REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO,
PRUEBAS DE ANALISIS DE AUDITORIA

PAGINA
ENTIDAD AUDITADA JSH Security
1 DE 1
PROCESO
Administrar la configuracin
AUDITADO
RESPONSABLE Henry Vargas
MATERIAL DE
COBIT 4.1
SOPORTE
Entregar y Dar Soporte (DS)
DOMINIO
DS9 Administrar la configuracin
PROCESO

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
Realizacin de preguntas a
supuestos, donde se
Entrevista al administrador de propongan posibles
cada una de las plataformas incidentes, y se d
de seguridad Pruebas de estrs a
explicacin por parte del
plataformas de seguridad
personal de administracin
Revisin de manuales de de cada plataforma, como
Pruebas de seguridad a
configuracin dicha solucin actuara
la plataforma
frente al problema
Revisin de documentos de planteado.
Revisin de
las mejores prcticas segn configuracin de las
cada plataforma por cada Realizar pruebas de
plataformas.
fabricante recorrido de los
procedimientos y polticas
Revisar la asignacin de
Documentos de polticas y roles y privilegios
Revisin de las pruebas de
procedimientos de seguridad
seguridad realizadas sobre
la plataforma

AUDITOR RESPONSABLE:
Henry Vargas Hincapi
 ENTREVISTA

FORMATO DE ENTREVISTA
ENTIDAD AUDITADA JSH Security PAGINA
1 DE 1
PROCESO AUDITADO Administrar la configuracin
RESPONSABLE Julin Andrs Embus Ipia
MATERIAL DE SOPORTE COBIT 4.1
DOMINIO Entregar y Dar Soporte (DS)
PROCESO DS9 Administracin de la configuracin
ENTREVISTADO Julin Andrs Embus Ipia
CARGO Ingeniero Senior de seguridad
N PREGUNTA RESPUESTA

Existe procedimiento para la solicitud de

1 creacin de usuarios y asignacin de
permisos?

Se reconoce la necesidad de contar con una

2
administracin de configuracin?

Se llevan a cabo tareas bsicas de

3
administracin de configuraciones,?

Se realiza registro y aplicacin de control de

4 cambios para la administracin de las
plataformas?

En caso de incidentes se maneja

administracin de problemas, donde se
5
evidencie seguimiento y escalabilidad de
fallas?

Los procedimientos y las prcticas de trabajo

6
se han documentado?

Quin realiza la creacin asignacin de

7
usuario y permisos y cmo se documentan?

Se lleva a cabo algn tipo de automatizacin

8 para ayudar a rastrear cambios en el software
o en el hardware?

Los procedimientos y los estndares se

9
comunican e incorporan al personal?
 Las desviaciones son monitoreadas,
10
rastreadas y reportadas.?

Se utilizan herramientas automatizadas para

11 fomentar el uso de estndares y mejorar la
estabilidad?

Los sistemas de administracin de

12 configuraciones cubren la mayora de los
activos de TI?

Los anlisis de excepciones, as como las

verificaciones fsicas, se aplican de manera
13
consistente y se investigan las causas desde
su raz?

Todos los activos de TI se administran en un

sistema central de configuraciones que
14 contiene toda la informacin necesaria acerca
de los componentes, sus interrelaciones y
eventos?

La informacin de las configuraciones est

15 alineada con los catlogos de los
proveedores?

Los reportes de los puntos de referencia,

brindan informacin esencial sobre el software
y hardware con respecto a reparaciones,
16
servicios, garantas, actualizaciones y
evaluaciones tcnicas de cada unidad
individual?

Se fomentan las reglas para limitar la

17
instalacin de software no autorizado?

La gerencia proyecta las reparaciones y las

actualizaciones utilizando reportes de anlisis
18
que proporcionan funciones de programacin
de actualizaciones?

La gerencia proyecta la renovacin de

19
tecnologa?
 El rastreo de activos y el monitoreo de
20 activos individuales de TI los protege y
previene de robo y de mal?

LISTA CHEQUEO

FORMATO LISTA CHEQUEO

Entregar y Dar Soporte DS9 Administrar la

DOMINIO PROCESO
(DS) configuracin

OBJETIVO DE CONTROL DS9.1 Repositorio y Lnea Base de Configuracin

CONFORME
N ASPECTO EVALUADO OBSERVACIN
SI NO

Establecer una herramienta de

soporte y un repositorio central que
1 contenga toda la informacin
relevante sobre los elementos de
configuracin

Monitorear y grabar todos los activos

2
y los cambios a los activos

Mantener una lnea base de los

elementos de la configuracin para
3 todos los sistemas y servicios como
punto de comprobacin al que volver
tras el cambio.

DS9.2 Identificacin y Mantenimiento de Elementos de

OBJETIVO DE CONTROL
Configuracin

Establecer procedimientos de
configuracin para soportar la gestin
4
y rastro de todos los cambios al
repositorio de configuracin.

Integrar estos procedimientos con la

gestin de cambios, gestin de
5
incidentes y procedimientos de
gestin de problemas.
 OBJETIVO DE CONTROL DS9.3 Revisin de Integridad de la Configuracin

Revisar peridicamente los datos de

configuracin para verificar y
6
confirmar la integridad de la
configuracin actual e histrica.

Revisar peridicamente el software

instalado contra la poltica de uso de
software para identificar software
7
personal o no licenciado o cualquier
otra instancia de software en exceso
del contrato de licenciamiento actual

Reportar, actuar y corregir errores y

8
desviaciones.

CUESTIONARIO

FORMATO DE CUESTIONARIO
ENTIDAD AUDITADA JSH Security PAGINA
1 DE 1
PROCESO AUDITADO Administrar la configuracin
RESPONSABLE Henry Vargas
MATERIAL DE SOPORTE COBIT 4.1
DOMINIO Entregar y Dar Soporte (DS)
PROCESO DS9 Administrar la configuracin

La escala de calificacin de cada una de las preguntas va de 1 hasta 5, donde 1 significa que no es
importante tener el control para el auditor y 5 significa que es importante que se tenga el control, el
auditor debe tratar de dar estas calificaciones lo ms objetivamente posible para aplicar la frmula y
calcular el porcentaje de riesgo.

N PREGUNTA CALIFICACIN OBSERVACIN

Existe procedimiento para la solicitud

1 de creacin de usuarios y asignacin
de permisos?

Se reconoce la necesidad de contar

2 con una administracin de
configuracin?
 Se llevan a cabo tareas bsicas de
3
administracin de configuraciones,?

Se realiza registro y aplicacin de

4 control de cambios para la
administracin de las plataformas?

En caso de incidentes se maneja

administracin de problemas, donde se
5
evidencie seguimiento y escalabilidad
de fallas?

Los procedimientos y las prcticas de

6
trabajo se han documentado?

Quin realiza la creacin asignacin

7 de usuario y permisos y cmo se
documentan?

Se lleva a cabo algn tipo de

automatizacin para ayudar a rastrear
8
cambios en el software o en el
hardware?

Los procedimientos y los estndares

9 se comunican e incorporan al
personal?

Las desviaciones son monitoreadas,

10
rastreadas y reportadas.?

Se utilizan herramientas
11 automatizadas para fomentar el uso de
estndares y mejorar la estabilidad?

Los sistemas de administracin de

12 configuraciones cubren la mayora de
los activos de TI?

Los anlisis de excepciones, as

como las verificaciones fsicas, se
13
aplican de manera consistente y se
investigan las causas desde su raz?

Todos los activos de TI se administran

14 en un sistema central de
configuraciones que contiene toda la
 informacin necesaria acerca de los
componentes, sus interrelaciones y
eventos?

La informacin de las configuraciones

15 est alineada con los catlogos de los
proveedores?

Los reportes de los puntos de

referencia, brindan informacin
esencial sobre el software y hardware
16 con respecto a reparaciones, servicios,
garantas, actualizaciones y
evaluaciones tcnicas de cada unidad
individual?

Se fomentan las reglas para limitar la

17
instalacin de software no autorizado?

La gerencia proyecta las

reparaciones y las actualizaciones
18 utilizando reportes de anlisis que
proporcionan funciones de
programacin de actualizaciones?

La gerencia proyecta la renovacin de

19
tecnologa?

El rastreo de activos y el monitoreo de

20 activos individuales de TI los protege y
previene de robo y de mal?