AuditoríaSistemasEjemplos prácticos.2012v0

Modelo Organizacional y Operativo de la práctica de la auditoría informática.

Ejemplos prácticos

MODELO ORGANIZACIONAL Y OPERATIVO

DE LA PRÁCTICA DE LA AUDITORÍA INFORMÁTICA

Damián Ruiz Soriano (CISA, CISSP. Lead Auditor)

Departamento de Auditoría de Sistemas de Producción de Bankia

[email protected]

23 de octubre de 2012

1

Ejemplos prácticos Auditoría de procesos

Auditorías de Arquitecturas Tecnológicas

mailto:[email protected]


Ejemplos prácticos. 2

Evaluar la estructura de control interno

Fortalezas y debilidades materiales en el diseño e implementación de controles internos y su eficacia para alcanzar los objetivos de control

Auditoría Informática: Misión

Controles

Objetivo de Control

Conceptos básicos.

Objetivos de control. Controles

Evaluación

Evaluar

Práctica de control=Controles



•Políticas, procedimientos, prácticas y estructuras organizacionales implementadas para proveer una certeza razonable de que se alcanzarán los objetivos de negocio de una organización y que los eventos de riesgo no deseados serán previstos o detectados.

•El control es el medio por el cual se alcanza los objetivos de control.

•Un objetivo de control en TI es una definición del resultado o propósito que se desea alcanzar implementando prácticas de control (técnicos, humanos, procedimentales) en un proceso específico de TI (o directamente con las actividades específicas dentro del proceso)

• Los objetivos de control son requisitos de alto nivel que deben ser considerados para el control eficaz del proceso.

Controles

Objetivo de Control

Conceptos básicos.


Evaluación

Evaluar •Políticas, procedimientos, prácticas y estructuras organizacionales implementadas.

Práctica de control=Controles



…

Sistema de Administración de Problemas

Escalamiento de Problemas

Seguimiento de Problemas

…

Objetivo

de Control

La Gerencia deberá definir e implementar procedimientos de escalamiento de problemas para

asegurar que los problemas sean resueltos oportunamente de la manera más eficiente.

Estos procedimientos deberán asegurar que las prioridades sean establecidas apropiadamente.

Controles •Los escalamientos de problemas se notifican al nivel apropiado.

•Se evalúa periódicamente el proceso de manejo de problemas (efectividad y eficiencia).

•Se realizan reportes de incidentes para los eventos críticos

Proceso

Actividad

…

Asegurar el servicio continuo

Garantizar la seguridad del sistema

…

Administración de Instalaciones

Administración de problemas e incidentes

Administración de Operaciones

Conceptos básicos.


Evaluación



Identificación Objetivos de Control

Identificar objetivos de control de

alto nivel del propietario del proceso

Mapear con objetivos de control de

alto nivel con marcos de referencia.

(identificar ausencias)

Objetivos de Control. Controles. Pueden estar identificados (o no) e implementados (o no) por parte

del propietario del proceso.

En cualquier caso el Auditor debe estar capacitado para definir/exigir objetivos de control y

controles a partir de modelos de buenas prácticas de gestión y control (ej. CoBIT, ITIL)

Analizar documentación existente asociada

al proceso a auditar, para identificar

controles definidos formalmente o tareas

de las cuales se puedan inferir controles.

Mapear con controles de marcos de

referencia. (identificar ausencias)

Identificación de Controles

Desarrollar un cuestionario de puntos de control

Definir objetivos de control de alto

nivel según marcos de referencia.

Definir prácticas de control que den

cobertura a los objetivos de control. Analizar

los marcos de referencia.

Existen

definiciones

formales

NO existen

definiciones

formales

Conceptos básicos.


Evaluación



Evolución de la práctica auditora de

Sistemas de Información

Mejores prácticas: "una manera de hacer las cosas o un trabajo, aceptado ampliamente por la

industria y que funciona correctamente..." Aidan Lawes, CEO itSMF

"Las mejores prácticas" son la mejor identificación de acercamiento a una situación basada

en observaciones sobre organizaciones efectivas en similares circunstancias de negocio.

Un acercamiento a "las mejores prácticas"

significa la búsqueda de ideas y experiencias

que han funcionado con aquellos que emprendieron

actividades similares en el pasado y

se decide cuál de esas prácticas son relevantes

con la situación actual que se tiene.

Una vez identificadas, se prueban con intención de

ver si las mismas funcionan, antes de incorporarlas

cómo prácticas aprobadas

en su propio proceso documentado.

"Las mejores prácticas" evitan "re-inventar la rueda",

sino que es el aprendizaje a través de otros,

con implementaciones que han sido

desarrolladas para que funcionen correctamente.

Metodología

Objetivos de Control. Controles. [Mejores prácticas]



• Objetivos de Control para Tecnología de Información

• ¿Qué es?: Un estándar de Controles y Auditoría de Tecnología Informática

• Un conjunto internacional y actualizado de objetivos de control para tecnología de

información que sea de uso cotidiano para gerentes, auditores.

Cobit

• Gerencia (apoyo a decisiones de inversión en TI y control sobre el rendimiento de

las mismas, analizar el costo beneficio del control)

• Auditores : soportar opiniones sobre los controles de los proyectos de TI , su

impacto en la organización y determinar el control mínimo requerido.

• Responsables de TI: para identificar los controles que requieren en sus áreas

• Define las actividades de TI de una organización, en un modelo genérico de procesos.

• El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común

para todos los implicados en los trabajos de la organización, con el fin de que visualicen y administren

las actividades de TI. La incorporación de un modelo y un lenguaje común para todas las partes de un

negocio involucradas en TI es uno de los pasos iniciales más importantes hacia un buen gobierno.

• Brinda un marco de trabajo para la medición y monitorización del desempeño de las Tecnologías de

Información, e integra las mejores prácticas administrativas.

• Fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades. Determina las

actividades y los riesgos que requieren ser administrados.

Objetivos de control. Controles. Cobit

Mejores prácticas. Fuente 1/3



• Requerimientos de la información del negocio.

• Recursos de Tecnología Informática

• Procesos de Tecnología Informática

Pilares del Modelo CobiT

REQUERIMIENTOS

DE INFORMACIÓN

DEL NEGOCIO

RECURSOS

DE TI

PROCESOS

DE TI





• Confidencialidad: Protección de la información sensible contra divulgación no autorizada o desde el punto de vista del uso no autorizado.

– Grado de protección que tiene la información y los sistemas de información para evitar el acceso no autorizado

• Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.

– Que la información sea coherente, competa, fiable y veraz

• Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos.

– Que la información y los sistemas de información estén disponibles siempre que se necesiten

• Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa.

• Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en su debido momento oportuna, correcta, consistente y de manera utilizable .

– Que los sistemas informáticos sea suficientes para dar soporte a los procesos

• Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica).

– Que los costes en los que se incurre sean razonables y proporcionados a sus necesidades y que estén correctamente gestionados

• Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.

Requerimientos de la Información del Negocio





• Datos: Los objetos de información. Información interna y externa, estructurada o no, gráficas, sonidos, etc. Información

• Aplicaciones: Entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Aplicaciones propias, desarrolladas por terceras casa o compradas a terceros.

• Tecnología: Incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.

• Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Infraestructura: Hardware, sistemas operativos, gestores de bases de datos, redes e instalaciones.

• Recurso Humanos: Todo lo relacionado con la gestión de personal propio o subcontratado para planificar, adquirir, prestar servicios, dar soporte y monitorizar los sistemas de Información.

Recursos de Tecnología Informática





Procesos de TI :Los Tres Niveles

Dominios

Agrupación Natural de procesos, normalmente corresponden a un dominio

o una responsabilidad organizacional

Procesos

Conjuntos o series de actividades unidas con

delimitación o cortes de control.

Actividades o tareas

Acciones requeridas para lograr un resultado medible. Las

Actividades tienen un ciclo de vida mientras que las tareas

son discretas.

• Planificación y Organización (Planning and Organization)

• Adquisición e implementación (Acquisition and Implementation)

• Prestación de Servicios y Soporte (Delivery and Support)

• Seguimiento (monitoring)





OBJETIVOS DEL NEGOCIO

OBJETIVOS DE GOBIERNO

Eficiencia

Aplicaciones

Información

Infraestructura

Personas

ENTREGA

Y

SOPORTE

MONITORIZAR

Y

EVALUAR

ADQUISICIÓN

E

IMPLEMENTACIÓN

INFORMACION

RECURSOS

DE

TI

MARCO DE REFERENCIA

C O B I T

Efectividad Confidencialidad

Integridad

Disponibilidad

Cumplimiento

DS1 Definir y administrar niveles de servicio.

DS2 Administrar servicios de terceros.

DS3 Administrar desempeño y capacidad.

DS4 Asegurar continuidad de servicio.

DS5 Garantizar la seguridad de sistemas.

DS6 Identificar y asignar costos.

DS7 Educar y capacitar usuarios.

DS8 Administrar servicios de apoyo e incidentes.

DS9 Administrar la configuración.

DS10 Administrar problemas.

DS11 Administrar datos.

DS12 Administrar el ambiente físico.

DS13 Administrar operaciones.

ME1 Monitorear y Evaluar el desempeño de TI.

ME2 Monitorear y Evaluar el control interno.

ME3 Garantizar el cumplimiento regulatorio.

ME4 Proveer Gobierno de TI.

PO1 Definir un plan estratégico de TI.

PO2 Definir la arquitectura de información.

PO3 Determinar la dirección tecnológica.

PO4 Definir los procesos de TI, la

organización y sus relaciones.

PO5 Administrar las inversiones en TI.

PO6 Comunicar la dirección y objetivos de la

gerencia.

PO7 Administrar los recursos humanos de TI.

PO8 Administrar calidad.

PO9 Evaluar y administrar riesgos de TI.

PO10 Administrar proyectos.

AI1 Identificar soluciones de automatización.

AI2 Adquirir y mantener software de aplicación.

AI3 Adquirir y mantener la infraestructura tecnológica.

AI4 Permitir la operación y uso.

AI5 Obtener recursos de TI.

AI6 Administrar cambios.

AI7 Instalar y acreditar soluciones y cambios.

PLANIFICACIÓN

Y

ORGANIZACIÓN

Confiabilidad





Pro

ceso

s T

I Dominios

Procesos

Actividades

Criterios de la Información Relación entre componentes

• Requerimientos de la información del negocio.

• Recursos de Tecnología Informática

• Procesos de Tecnología Informática





DOMINIO PROCESOSEfe

ctiv

idad

Eficie

ncia

Confid

enci

alid

ad

Inte

gridad

Dis

ponibili

dad

Cum

plimie

nto

Confia

bilidad

Perso

nas

Aplic

acio

nes

Tecnolo

gía

inst

alac

iones

Dat

os

PLAN Y

ORGANIZACIÓN

PO1 Definir el plan estratégico de TI P S √ √ √ √ √

PO2 Definir la Arquitectura de la información P S S S √ √

PO3 Determinar la dirección tecnológica P S √ √

PO4 Definir procesos, organización y relaciones de TI P S √

PO5 Administra la inversión en TI P P S √ √ √ √

PO6 Comuinicar las aspiraciones y la dirección de Gerencia P S √

PO7 Administrar Recursos Humanos de TI P P √

PO8 Administrar calidad P P S √ √ √

PO9 Evaluar y Administrar riesgos de TI P S P P P S S √ √ √ √ √

PO10 Administrar proyectos P P √ √ √ √

PO11 Administrar calidad P P P S √ √ √ √

AI1 Identificar soluciones automatizadas P S √ √ √

AI2 Adquiriri y mantener el Software aplicativo P P S S S √

AI3 Adquiriri y mantener el la Infraestructura ttecnológica P P S √

AI4 Facilitar la operación y el uso P P S S S √ √ √ √

AI5 Adquirir recursos de TI P S S √ √ √ √ √

AI6 Administrar Cambios P P P P S √ √ √ √ √

DS1 Definir y administrar niveles de Servicio P P S S S S S √ √ √ √ √

DS2 Administrar servicios de terceros P P S S S S S √ √ √ √ √

DS3 Administrar desempeño y capacidad P P S √ √ √

DS4 Garantizar la continuidad del Servicio P S P √ √ √ √ √

DS5 Garantizar la seguridad de los sistemas P P S S S √ √ √ √ √

DS6 Identificar y asignar costos P P √ √ √ √ √

DS7 Educar y entrenar a los usuarios P S √

DS8 Administrar la mesa de servicio y los incidentes P P √ √

DS9 Administrar la configuración P S S √ √ √

DS10 Administrar lños problemas P P S √ √ √ √ √

DS11 Administrar los datos P P √

DS12 Administrar el ambiente físico P P √

DS13 Administrar las operaciones P P S S √ √ √ √

M1 Monitorear y evaluar el desempeño de TI P P S S S S S √ √ √ √ √

M2 Monitorear y evaluaar el control interno P P S S S P S √ √ √ √ √

M3 Garantizar cumplimiento interno P P S S S P S √ √ √ √ √

M4 Proporcionar Gobierno de TI P P S S S P S √ √ √ √ √

ENTREGA Y SOPORTE

MONITORIZACIÓN Y

EVALUACIÓN

PLAN Y

ORGANIZACIÓN

ADQUISICIÓN E

IMPLEMENTACIÓN

Relación entre componentes





DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeño y capacidad. DS4 Asegurar continuidad de servicio. DS5 Garantizar la seguridad de sistemas. DS6 Identificar y asignar costos. DS7 Educar y capacitar usuarios. DS8 Administrar servicios de apoyo e incidentes. DS9 Administrar la configuración. DS10 Administrar problemas. DS11 Administrar datos. DS12 Administrar el ambiente físico. DS13 Administrar operaciones.

Dominio: DS Entrega y Soporte

DS8.1 Mesa de Servicio (Service Desk)

DS8.2 Registros de consultas de clientes

DS8.3 Escalamiento de incidentes

DS8.4 Cierre de incidentes

DS8.5 Análisis de tendencias

Pro

ceso

s del D

om

inio

Actividades del proceso «Administrar servicios

de apoyo e incidentes»

Proceso

Actividad

Responder de manera oportuna y efectiva a las consultas y problemas

de los usuarios de TI, requiere de una mesa de servicio bien diseñada

y bien ejecutada, y de un proceso de administración de incidentes.

Este proceso incluye la creación de una función de mesa de servicio

con registro, escalamiento de incidentes, análisis de tendencia,

análisis causa-raiz y resolución.

Los beneficios del negocio incluyen el incremento en la productividad

gracias a la resolución rápida de consultas. Además, el negocio puede

identificar la causa raíz (tales como un pobre entrenamiento a los

usuarios) a través de un proceso de reporte efectivo.

Establecer procedimientos de mesa de servicios de manera que los

incidentes que no puedan resolverse de forma inmediata sean

escalados apropiadamente de acuerdo con los límites acordados en

el SLA y, si es adecuado, brindar soluciones alternas.

Garantizar que la asignación de incidentes y el monitoreo del ciclo de

vida permanecen en la mesa de servicios, independientemente de

qué grupo de TI esté trabajando en las actividades de resolución

Objetivo de control de alto nivel para el PROCESO

Objetivo de control detallado para la ACTIVIDAD



Emitir reportes de la actividad de la mesa de servicios para permitir

a la gerencia medir el desempeño del servicio y los tiempos

derespuesta, así como para identificar tendencias de problemas

recurrentes de forma que el servicio pueda mejorarse de forma

continua.

Actividad Objetivo de control detallado para la ACTIVIDAD



COBIT 4.1









CoBIT Control Practices. Proporciona directivas para alcanzar los objetivos de control.

Documento detallado de ayuda para la justificación y diseño de controles.

Asociado a cada OBJETIVO DE CONTROL

(1) Riesgos que se evitan

(2) Valor que se obtiene.

(3) PRACTICAS DE CONTROL. Instrucción para la consecución del objetivo.

Control Objective

Actividad n (del proceso p)

Texto del Objetivo de Control

detallado para la actividad n

Value Drivers

Valores que se obtienen

cuando se cubre el

objetivo de control

Ejemplos de riesgos

que se evitan cunado

se cubre elobjetivo de

control

Risk Drivers

Control Practices

1.

2. Instrucciones para la consecución del objetivo

3.

Proceso p





CoBIT Control Practices.

DS8 Administrar servicios de apoyo e incidentes

DS8.3 Escalado de Incidentes





CoBIT Control Practices.


DS8.5 Reporte y análisis de tendencias





IT Assurance Guide (Using COBIT). Guía de Aseguramiento de TI.

Reemplaza a un documento anterior de directrices de auditoría.

Se trata de una guía sobre la forma en que COBIT puede servir de apoyo

para diversas actividades de aseguramiento y cómo se puede realizar una

revisión (auditoría) del aseguramiento en cada uno de los procesos de TI.

Control Objective

Actividad n (del proceso p)

Texto del Objetivo de Control detallado

para la actividad n

Value Drivers

Valores que se obtienen

cuando se cubre el

objetivo de control

Ejemplos de riesgos

que se evitan cunado

se cubre elobjetivo de

control

Risk Drivers

Test de Control Design

1.

2. Instrucciones para la revisión del diseño del control

3.

Proceso p

Texto del Objetivo de Control de alto nivel para el proceso p





IT Assurance Guide


DS8.3 Escalado de Incidentes





IT Assurance Guide


DS8.5 Reporte y análisis de tendencias









¿Qué es ITIL?

Una biblioteca que documenta las Buenas Prácticas de la Gestión de Servicios de TI.

ITIL es un estándar enfocado a la planificación, provisión y soporte de servicios de TI.

Describe la arquitectura para establecer y operar la gestión de servicios de TI.

¿Por qué es útil ITIL a la práctica de la Auditoría Informática?

Framework para identificar un mapa de procesos de TI (tareas, actividades, y roles)

Herramienta para identificar objetivos de control y controles dentro de los procesos a auditar.

Objetivos de control. Controles. ITIL


•Provisión de Servicios TI

•Soporte de Servicios TI

•Perspectiva de Negocios

•Gestión de Infraestructura

•Perspectiva de Negocio


Ejemplos prácticos. 26 26

Soporte de Servicios Provisión de Servicios

Gestión de Incidencias

Gestión de Problemas

Gestión de Cambios

Gestión de la Configuración

Gestión de la Capacidad

Gestión de la Disponibilidad

Gestión de la Continuidad

Gestión Financiera

Gestión de Niveles de Servicio





Cobit e ITIL son frameworks complementarios que nos permiten identificar procesos, actividades y tareas y dentro de ellos, objetivos de control, en la Auditoría de Procesos.





FFIEC IS Requeriments

(Federal Financial Institutions Examination Council‟s)

El estándar utilizado por la Reserva Federal de EEUU como guía de trabajo para evaluar la

idoneidad y adecuación de los controles implantados sobre los sistemas de información de las

Entidades Financieras que presentan oficinas en Estados Unidos.

Dispone de cuadernos de revisión (IT Examination Handbook):

IS- Information Security

AUD – Audit

OT – Outsourcing Technology Services

TSP – Technology Services Provider

BCP – Business Continuity Plan

Herramienta para identificar objetivos de control y controles dentro de los procesos a auditar.



Procesos

Procedimientos Guías Técnicas

Configuraciones técnicas

IT Governance

Conceptos básicos.


Evaluación (Niveles)

Determinar si practicas establecidas (Procedimientos,

Instrucciones de trabajo) se están instrumentando y

ejecutando.

Verificar si los controles son adecuados e identificar los

riesgos (debilidades) para la organización.

Verificación de cumplimiento de objetivos. Eficacia

Evaluar la eficiencia. Identificar oportunidades de mejora.

Identificar las causas origen de un problema establecido.



PolíticaProcesosPolíticaProcesos

ProcedimientosGuías TécnicasProcedimientosGuías Técnicas

Configuraciones técnicasControles

Configuraciones técnicasControles

Gestión

Control

IT Governance

Objetivos de control. Controles.

Metodologías (Tipologías)

Identificación

Proceso

Identificación

Objetivos

Control

Análisis y

verificación

de controles

Valoración

Controles

Definición de

controles

(comprobaciones)

Desarrollo

herramienta

de soporte

Revisión y

análisis

Resultados

[Adecuación]



[ Introducción ]

Objetivos

Alcance y limitaciones

Hechos observados

Conclusiones

Recomendaciones

[ Manifestaciones ]

Aspectos Organizativos

Descripción de Arquitectura/Proceso

Objetivos de Control

Valoración de controles


Informe Auditor

Puntos de Control



Ejemplos prácticos

Auditorías orientadas a procesos.

Auditorías de SLA‟s

Modelo Organizacional y Operativo

de la práctica de la auditoría

informática



Objetivo

Alcance considerado

Área de Producción. La Gestión de Niveles de Servicio comprende los procesos de

planificación, coordinación, diseño, acuerdo, monitorización e informe de los ANS y la revisión

continua de los logros del servicio para asegurarse un mantenimiento y mejora de la calidad

del servicio necesaria, justificable en términos de su coste.

Al tratarse de un proceso en curso (ANS‟s en vigor) ha quedado fuera del alcance todas las

actividades previas al establecimiento de los ANS* estableciéndose como alcance del análisis

de la gestión del proceso::

Monitorización y reporte. Actividad que permite evaluar y gestionar el rendimiento de los

proveedores e identificar potenciales deficiencias.

Revisión del servicio. Debe estar establecido un procedimiento de revisión de los

acuerdos orientado al cumplimiento de objetivos y detección de deficiencias.

Programa de mejora del servicio. Actividades proactivas de detección y toma de acciones

no asociadas a deficiencias y/o incumplimientos.

Mantenimiento de los contratos ANS.

* Actividades de planificación, catalogo de servicios, diseño de ANS, negociado y acuerdos

Revisión y evaluación del nivel de cumplimiento de todos los Acuerdos de Nivel de

Servicio (en adelante ANS) involucrados en la operativa del Área de Producción.

Análisis del Proceso de Gestión de Nivel de Servicio (proceso responsable de garantizar

que se satisfagan los ANS‟s y que cualquier influencia adversa sobre la calidad del

servicio sea normalizada)

Objetivo. Alcance



Área de Producción. Esta Área, tiene, entre otras, como misión "definir, desarrollar y gestionar

el soporte técnico y funcionamiento de los sistemas del Grupo" . Y dentro de sus funciones, en

relación con la gestión de equipos e infraestructura tecnológica y el aseguramiento de la

disponibilidad de las plataformas, presta soporte técnico para el desarrollo y mantenimiento de

los sistemas.

…

Proveedor n. [De los ANS‟s y/o del análisis de las operativas se obtiene]. (1) Ámbito del acuerdo:

lo que cubre y lo que se excluye -y por tanto no es responsabilidad del prestador del servicio-,

(2) Responsabilidades y obligaciones del Cliente y del Proveedor del servicio - acciones que uno

y otro deben llevar a cabo para el cumplimiento normal de acuerdo-..





Criterio

auditor ITIL

ISO 27001

COBIT

Controles

conceptos Buenas prácticas

CISA

Identificación

Proceso

Identificación

Objetivos

Control.

Controles

Análisis y

verificación

de controles

Valoración

Controles

Diagrama

procesos

Roles

Actividades

Identificación

controles

Modelo

de Madurez

Modelo

Teórico

Metodología



Modelo teórico



Criterio

auditor ITIL

ISO 27001

COBIT

Controles


CISA

Identificación

Proceso

Identificación

Objetivos

Control.

Controles

Análisis y

verificación

de controles

Valoración

Controles

Diagrama

procesos

Roles

Actividades

Identificación

controles

Modelo

de Madurez

COBIT. Se han utilizado controles del capítulo “Entrega y Servicio”, apartados DS1

“Definición y Gestión de niveles de servicio” y DS2 “Gestión de Servicios con terceros”.

Las mejores prácticas indicadas para la “Gestión de Niveles de Servicio” del “Libro

de Provisión de Servicio” de la librería ITIL.

Outsourcing Technology Services, IT Examination Handbook, de la FFIEC (Federal

Financial Institutions Examination Council).

Tres fuentes de metodologías de control, buenas prácticas y cumplimientos normativos:

Metodología

Objetivos de Control. Controles

Modelo

Teórico



Provisión de

Servicio





1.- Aspectos generales

2.- Horario de servicio

3.- Disponibilidad

4.- Fiabilidad

5.- Soporte y atención al cliente

6.- Tráfico y consumo

7.- Tiempo de respuesta de las transacciones

8.- Tiempo de ejecución de procesos en diferido

9.- Procedimientos de Gestión del cambio

10.- Continuidad de los servicios TI

11.- Seguridad Física y Lógica

12.- Impresión

13.- Facturación

14.- Revisión e informes de los servicios

15.- Incentivos/Penalizaciones del rendimiento

COMPROBACIÓN DE

RAZONABILIDAD.COMPLETITUD

Se valida el contenido frente a las tres

fuentes de metodologías de control,

buenas prácticas y cumplimientos

normativos elegidos

ANÁLISIS DE

PROCESO/TAREAS. ENTREGABLES

Todos aquellos objetivos de control

que lleven asociados procedimientos,

adicionalmente a la verificación de su

razonabilidad/completitud, serán

revisadas sus tareas y entregables.

Incluye procesos,

tareas, entregables,…

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles

Es

qu

em

a m

od

elo

de

Ac

ue

rdo

de

Niv

el

de

Se

rvic

io



Aspectos generales: Se analizan las partes implicadas en el acuerdo, firmantes, fechas, ámbitos del acuerdo, responsabilidades clientes-proveedor y descripción de los servicios cubiertos.

Horario de servicio: Además del horario que se proporcionará, se deberá considerar diferencias horarias, posibles acuerdos de ampliación, horarios especiales y calendario del servicio.

Disponibilidad: Establecimiento de alcances y objetivos medibles. Deben quedar estipulados periodos y métodos de medida.

Fiabilidad: Existencia de términos de fiabilidad , indicadores (ej. número máximo de interrupciones, tiempo medio entre incidentes…), su monitorización y registro.

Soporte y atención al cliente: Deben quedar estipuladas las condiciones de asistencia al cliente, procedimientos, categorización/priorización de incidencias y registro/documentación de las mismas.

Tráfico y consumos: Estipular volúmenes de tráfico/consumo potenciales para poder identificar las dificultades en el rendimiento originadas por un tráfico/consumo excesivo, superior al acordado.

Tiempo de respuesta de las transacciones: Objetivos para los tiempos de respuesta media o máxima de las estaciones de trabajo. Lo más común es que se expresen en porcentaje. Se podrán establecer rangos que identifiquen tiempos de respuesta y porcentaje de ocurrencia.

Tiempo de ejecución de procesos en diferido: Para procesos en diferido (ej. cierres,…), que conllevan consumo de recursos y ejecuciones lentas y costosas, deberán establecerse tiempos para la provisión de entradas, y el tiempo y el lugar para la entrega de los resultados.

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



Gestión de Cambios: Procedimiento para la aprobación, gestión e implementación de las peticiones y órdenes de cambio, que normalmente estará basado en la categoría y urgencia o prioridad del cambio.

Continuidad de los servicios TI: Deben contemplarse los planes de continuidad de los servicios ofrecidos por el proveedor, y cómo ponerlos en marcha. Igualmente, debe existir información acerca del objetivo de cualquier servicio reducido o modificado en caso de desastre.

Seguridad Física y Lógica: Referencias a la política de seguridad de la organización (control de contraseñas, violaciones de seguridad, software no autorizado, virus, etc) y detalles de responsabilidades para cualquiera de las partes (i.e., protección antivirus, firewalls, etc.).

Impresión: En caso necesario, se incluirá información sobre cualquier condición especial relativa a la impresión o a las impresoras (i.e., detalles sobre la distribución de las mismas, notificación previa de grandes volúmenes, manejo de documentos con especial valor…).

Facturación: Se establecerán periodos y fórmulas de facturación, y bonificaciones o penalizaciones que haya que pagar si los objetivos del servicio no cumplen con lo esperado.

Revisiones e informes: Se deberá especificar cuándo y cómo se revisarán los objetivos del servicio, qué informes se realizarán, distribución de los informes, reuniones de seguimiento y su frecuencia, etc.

Incentivos/Penalizaciones del rendimiento: Se incluirán detalles sobre cualquier acuerdo relacionado con los incentivos y/o penalizaciones económicas basadas en el rendimiento real contrastado con los niveles de servicio previamente acordados.

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



Condiciones de asistencia de soporte al cliente: Deberán estar reflejadas las responsabilidades/eximentes del proveedor del servicio y del cliente.

n.a

Procedimiento para la resolución de problemas e incidencias: El ANS debe incluir un adecuado procedimiento para la resolución y reporte de incidencias registradas como consecuencia de la operativa de servicio.

Horario de soporte al cliente: Debe estar reflejado sea diferente o no del horario de servicio.

n.a

Provisiones para posibles ampliaciones de soporte al cliente: Se comprueba la existencia de cláusulas, procedimientos para solicitud de ampliaciones, condiciones de la solicitud de ampliación (quién, cómo,…), tiempo de preaviso necesario y tipos de ampliaciones contenidas en el acuerdo.

Horarios especiales: Si procede, se fijarán condiciones para horarios vacacionales, festivos o no laborables (tanto para el cliente como para el proveedor). Se establecerán todas las condiciones especiales para dichas excepciones y el medio de recibir asistencia (ej.vía telefónica).

n.a

Soporte y atención al cliente (1/2) Razonabilidad Completitud

Auditoría Proceso/Tareas

Entregables

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



Tiempo objetivo de respuesta a los incidentes. Deben fijarse objetivos relacionados con el tiempo que transcurre desde la comunicación de la incidencia hasta que el equipo de mantenimiento se pone en disposición de resolverla.

Prioridad en la resolución de incidentes: Debe establecerse una categorización de incidentes y un orden de resolución en función de prioridades previamente catalogadas.

Tiempo objetivo de resolución de incidentes: Deben fijarse objetivos relacionados con el tiempo de resolución (tiempo desde que hay constancia que se ha recibido la incidencia hasta que realmente se resuelve y se cierra).

Procedimientos operacionales. Los operadores deben disponer de operativas de actuación ante problemas reiterados.

Documentación de los problemas comunicados y registrados: Fecha de ocurrencia, descripción incidencia, intervinientes (escalado y a qué nivel, si es necesario), solución y resolución adoptada.

Soporte y atención al cliente (2/2) Razonabilidad Completitud

Auditoría Proceso/Tareas

Entregables

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



1.- Aspectos generales n.a

2.- Horario de servicio

3.- Disponibilidad

4.- Fiabilidad

5.- Soporte y atención al cliente Revisar Revisar

6.- Tráfico y consumo

7.- Tiempo de respuesta de las transacciones

8.- Tiempo de ejecución de procesos en diferido

9.- Procedimientos de Gestión del cambio Revisar Revisar

10.- Continuidad de los servicios TI

11.- Seguridad Física y Lógica Revisar Revisar

12.- Impresión n.a

13.- Facturación

14.- Revisión e informes de los servicios Revisar Revisar

15.- Incentivos/Penalizaciones del rendimiento

Razonabilidad Completitud

Proceso/Tareas Entregables

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



Criterio

auditor ITIL

ISO 27001

COBIT

Controles


CISA

Identificación

Proceso

Identificación

Objetivos

Control.

Controles

Análisis y

verificación

de controles

Valoración

Controles

Diagrama

procesos

Roles

Actividades

Identificación

controles

Modelo

de Madurez

Modelo

Teórico

Metodología

Valoración. Modelo de Madurez. [Mejores prácticas]



Objetivo: Elaboración de criterios que nos permitan evaluar el proceso desde el punto de vista de la

administración y control de proceso.

Desarrollar un contenido del modelo de valoración basado en Modelos de Madurez, a partir del cual

se podrá identificar el nivel de control interno del proceso auditado.

El enfoque de los Modelos de Madurez para el control sobre procesos de las TI consiste en el

desarrollo de un método de asignación de puntuación para que una organización, proceso o actividad

pueda ser calificado.

Optimizado

Definido

Repetible

Inicial

Proceso autogestionado y basado

en mejores prácticas

Proceso monitorizado y medible

Proceso formalizado y

documentado

Proceso intuitivo y repetible

Proceso AdHoc y desorganizado

Características del proceso

Gestionado

Nivel de Madurez

Inexistente Proceso Inexistente

Utilizar modelos de

madurez genéricos

(ej Cobit)

Utilzar modelos de

madurez específicos

del proceso auditado

(fuente: Cobit)

Metodología




Inexistente Total falta de un proceso reconocible. No existe reconocimiento de problemas que resolver.

Inicial Evidencias del reconocimiento de problemas y necesidad de resolución. Sin embargo, no hay procesos estandarizados aunque hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por caso. El método general de la administración es desorganizado.

Repetible Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No hay capacitación o comunicación formal de procedimientos estándar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores.

Definido Procedimientos estandarizados y documentados. Los procedimientos mismos no son sofisticados sino que son la formalización de las prácticas existentes.

Administrado Es posible monitorizar y medir el cumplimiento de los procedimientos y emprender acción donde los procesos parecen no estar funcionando efectivamente. Los procesos están bajo constante mejoramiento y presentan buenas prácticas. Se usan automatismos y herramientas en una forma limitada o fragmentada.

Optimizado Procesos refinados a nivel de mejor práctica, basados en los resultados de mejora continua y madurez de otras organizaciones. Se usan herramientas en una forma integrada para automatizar el flujo de trabajo para mejorar la calidad y la efectividad.

Metodología

Valoración. Modelo de Madurez Genérico

Cobit. Modelo de madurez genérico

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



Inexistente Las responsabilidades y la rendición de cuentas no están definidas.

No hay políticas y procedimientos formales respecto a la contratación con terceros.

Los servicios de terceros no son ni aprobados ni revisados por la gerencia.

No hay actividades de medición y los terceros no reportan.

A falta de una obligación contractual de reportar, la alta gerencia no está al tanto de la calidad del servicio prestado.

Inicial La gerencia está conciente de la importancia de la necesidad de tener políticas y procedimientos documentados para la administración de los servicios de terceros, incluyendo la firma de contratos.

No hay condiciones estandarizadas para los convenios con los prestadores de servicios.

La medición de los servicios prestados es informal y reactiva.

Las prácticas dependen de la experiencia de los individuos y del proveedor (por ejemplo, por demanda).

Repetible El proceso de supervisión de los proveedores de servicios de terceros, de los riesgos asociados y de la prestación de servicios es informal.

Se utiliza un contrato pro-forma con términos y condiciones estándares del proveedor (por ejemplo, la descripción de servicios que se prestarán).

Los reportes sobre los servicios existen, pero no apoyan los objetivos del negocio.

Metodología

Valoración. Modelo de Madurez Específico

Cobit. Modelo de madurez específico

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



Definido Hay procedimientos bien documentados para controlar los servicios de terceros con procesos claros para tratar y negociar con los proveedores.

La naturaleza de los servicios a prestar se detalla en el contrato e incluye requerimientos legales, operacionales y de control.

Se asigna la responsabilidad de supervisar los servicios de terceros.

Los términos contractuales se basan en formatos estandarizados.

El riesgo del negocio asociado con los servicios del tercero esta valorado y reportado.

Administrado Se establecen criterios formales y estandarizados para definir los términos de un acuerdo, incluyendo alcance del trabajo, servicios/entregables a suministrar, suposiciones, calendario, costos, acuerdos de facturación y responsabilidades.

Se asignan las responsabilidades para la administración del contrato y del proveedor.

Las aptitudes, capacidades y riesgos del proveedor son verificadas de forma continua.

Los requerimientos del servicio están definidos y alineados con los objetivos del negocio.

Existe un proceso para comparar el desempeño contra los términos contractuales para evaluar los servicios actuales y futuros del tercero.

Todas las partes involucradas tienen conocimiento de las expectativas del servicio, de los costos y de las etapas.

Se acordaron los KPIs y KGIs para la supervisión del servicio


Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles

Metodología




Optimizado Los contratos firmados con los terceros son revisados de forma periódica en intervalos predefinidos.

La responsabilidad de administrar a los proveedores y la calidad de los servicios prestados está asignada.

Se monitorea el cumplimiento de las condiciones operacionales, legales y de control y se implantan acciones correctivas.

El tercero está sujeto a revisiones periódicas independientes y se le retroalimenta sobre su desempeño para mejorar la prestación del servicio.

Las mediciones varían como respuesta a los cambios en las condiciones del negocio.

Las mediciones ayudan a la detección temprana de problemas potenciales con los servicios de terceros.

La notificación completa y bien definida del cumplimiento de los niveles de servicio, está asociada con la compensación del tercero.

La gerencia ajusta el proceso de adquisición y monitoreo de servicios de terceros con base en los resultados de los KPIs y KGIs.


Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles

Metodología




Adecuación Descripción y acciones necesarias

Óptimo Además de cumplir las características del nivel elevado, existe una estrategia continua de mejoramiento de controles.

Están gestionada su eficacia y eficiencia mediante métricas, cuadros de mando, etc…

Elevado

Los controles que alcanzan el objetivo de control:

Están perfectamente definidos.

Están implementados y operativos prevaleciendo controles automáticos

Son medibles.

Adecuado

Existe un control o conjunto de controles definidos, establecidos y operativos que dan cobertura al objetivo de control.

Los controles pueden ser manuales y automáticos y los procedimientos y operaciones son correctos

Razonable

Existen controles que alcanzan el objetivo de control.

Pero los procedimientos y operaciones asociados a los controles presentan deficiencias.

Si la evaluación de un control es evaluada como “razonable”, son necesarias acciones correctivas y debe desarrollarse un plan de

mejora que analice y subsane las deficiencias en procedimientos y operaciones.

Mejorable

El objetivo de control no es alcanzado debido a:

la ausencia de algún control

la presencia de controles inefectivos.

Debilidades materiales en el diseño e implementación

Si la evaluación de un control es evaluada como “mejorable”, son necesarias acciones correctivas y debe desarrollarse un plan que

incorpore estas acciones dentro de un período de tiempo prudente.

Deficiente

(o nulo)

El objetivo de control no es alcanzado debido a que

No existen control(es)

Si la evaluación de un control es evaluada como de “deficiente o nulo”, existe una necesidad inmediata de acciones correctivas.

El sistema puede continuar operando pero debe ponerse en marcha un plan de acción correctivo tan pronto como sea posible.

Metodología

Valoración. Otro



Ejemplos prácticos

Auditoría de procesos.

Auditoría de Gestión de Proyectos de Producción



informática



Objetivo

Alcance considerado

Objetivo. Alcance

Revisión de las actividades relacionadas con la Gestión de Proyectos sin desarrollo de software

(ej. implantación de arquitecturas hardware, infraestructuras de comunicaciones, etc.)

Gestión de Proyectos sin desarrollo de software. En Bankia las actividades desarrollo de software

siguen una metodología acreditada con el nivel de madurez 3 del modelo CMMI-DEV que indica que

se posee y aplica un modelo de trabajo definido, maduro y eficaz.

Las premisas del modelo de evaluación utilizado y el diseño de sus controles han sido que bajo una

política de mínimos, si el proyecto evaluado contempla los controles analizados, se pueda tener

garantías razonables de la existencia de un marco de control de desviaciones (tolerancias ) y

riesgos.



Criterio

auditor ITIL

ISO 27001

COBIT

Controles


CISA

Identificación

Proceso

Identificación

Objetivos

Control.

Controles

Análisis y

verificación

de controles

Valoración

Controles

Diagrama

procesos

Roles

Actividades

Identificación

controles

Modelo

de Madurez

Modelo

Teórico

Metodología



Criterio

auditor ITIL

ISO 27001

COBIT

Controles


CISA

Identificación

Proceso

Identificación

Objetivos

Control.

Controles

Análisis y

verificación

de controles

Valoración

Controles

Diagrama

procesos

Roles

Actividades

Identificación

controles

Modelo

de Madurez

Modelo

Teórico

Metodología




Metodología




Inicio deProyecto

Cierre delProyecto

Ejecucióndel Proyecto

Equipo Gestión

GestiónEventos

BusinessCase Plan de

ProyectoDescripciónde ProductoProductos de Gestión

GobiernoSeguimiento

y control

Informes EstadoProductos

Ciclo de Vida

En opinión de Auditoría Informática, una gestión básica de proyectos debe contemplar al menos una adecuada estructura de

gobierno, un ciclo de vida básico y un mínimo de soporte documental como base de definiciones, compromisos y trazabilidad de

actividades críticas. Por ello la actual revisión está centrada en tres áreas: Gobierno, Productos de Gestión y Ciclo de Vida, sobre

las cuales se comprueba la presencia y cumplimiento de actividades garantes de un buen gobierno y control del proyecto.

•Gobierno. Se revisa la presencia de una estructura de gestión que contemple los interesados (stakeholders), actividades de

reporte y seguimiento; y gestión de eventos no planificados o inciertos (cuestiones y riesgos).

•Productos de Gestión. Se establecen unos mínimos productos documentales donde se soporten requisitos, aspectos

organizacionales o de planificación. Como su nombre y contenido puede variar en cada proyecto, la revisión se realiza

garantizando que si un punto de control no está contemplado en el Producto evaluado, tampoco está en otro elemento del

proyecto o bajo otra denominación.

•Ciclo de vida. Se han establecido como actividades básicas sobre las cuales se analizarán la presencia de controles: (1)

actividades de Inicio y Puesta en Marcha del Proyecto, (2) la Ejecución del Proyecto y (3) el Cierre del Proyecto. Los controles no

están orientados a la presencia de fases o actividades sino a la presencia de controles sobre la planificación, la entrega de

productos en tiempo y forma y la gestión de desviaciones.

Metodología




I N D I C E

1 INTRODUCCIÓN __________________________________________________________ 2

1.1 Antecedentes __________________________________________________________ 2

1.2 Áreas de revisión _______________________________________________________ 2

2 ÁREAS DE REVISIÓN _____________________________________________________ 3

2.1 Gobierno ______________________________________________________________ 3

2.1.1 Equipo de Gestión del proyecto _______________________________________ 3

2.1.2 Seguimiento y reporte _______________________________________________ 5

2.1.3 Gestión de cuestiones y riesgos. ______________________________________ 5

2.2 Controles sobre Productos de gestión _____________________________________ 6

2.2.1 Business Case _____________________________________________________ 6

2.2.2 Descripción del Producto ____________________________________________ 7

2.2.3 Plan de Proyecto ___________________________________________________ 8

2.2.4 Informes de Seguimiento ____________________________________________ 9

2.3 Ciclo de vida __________________________________________________________ 10

2.3.1 Inicio y puesta en marcha del Proyecto _______________________________ 10

2.3.2 Ejecución del Proyecto _____________________________________________ 11

2.3.3 Cierre del proyecto _________________________________________________ 12

3 CONCLUSIONES_________________________________________________________ 14

4 OPINIONES Y RECOMENDACIONES ______________________________________ 15

5 MANIFESTACIONES _____________________________________________________ 16

6 Anexo. Dinámica de evaluación ____________________________________________ 17

Metodología


Cuadro 3 Controles sobre seguimiento y reporte

Punto de control Resultado

Gestor. El rol de gestor de las actividades de Seguimiento y Control del Proyecto está

definido y asignado (ej. Project Manager)

Alcance. Entre los aspectos a controlar figuran al menos: (1) los desvíos en las fechas de

obtención de productos, compromisos e hitos que requieran modificar la planificación vigente, (2) y la gestión de eventos (cuestiones, incidentes y riesgos) y (3) los recursos humanos (equipo) y económicos (presupuesto).

(1)

Estrategia de reporte (informes). Está definido y acordado un reporte con: (1) los canales

de comunicación y destinatarios, (2) el contenido de los reportes y (3) la frecuencia.

Estrategia de seguimiento. Están definidos y acordados: (1) los responsables, (2) el

mecanismo de seguimiento –Comité, reunión, …- , (3) su periodicidad y (4) los registros de su actividad y sus decisiones (ej. actas de reunión)

(2)

Cobertura. Las actividades de seguimiento y control del proyecto se realizan sobre los

todos elementos de gestión del proyecto.

Acciones correctivas/preventivas. En caso de identificarse desvíos, problemas con

productividades, incidencias o incumplimientos de objetivos existen acciones correctoras (o preventivas) con su correspondiente plan de acción. Todas las acciones están registradas y sometidas a revisión de su progreso en las reuniones de seguimiento



Criterio

auditor ITIL

ISO 27001

COBIT

Controles


CISA

Identificación

Proceso

Identificación

Objetivos

Control.

Controles

Análisis y

verificación

de controles

Valoración

Controles

Diagrama

procesos

Roles

Actividades

Identificación

controles

[Modelo

de Madurez]

Modelo

Teórico

Metodología

Valoración. Controles



Leyenda Elevado Mejorable Deficiente Adecuado Razonable

Equipo de gestión del proyecto

Seguimiento y reporte

Gestión de cuestiones y riesgos.

Business Case

Descripción del Producto

Plan de Proyecto

Inicio y puesta en

marcha del Proyecto

Ejecución del

Proyecto

Cierre del proyecto

Proyecto1

Proyecto2

Proyecto3

…

Proyecton

Evaluación final

Metodología

Valoración.



Metodología

Valoración.

Adecuación Descripción y acciones necesarias

Elevado

Los controles que alcanzan el objetivo de control:

Están perfectamente definidos.

Están implementados y operativos prevaleciendo controles automáticos

Son medibles.

Adecuado

Existe un control o conjunto de controles definidos, establecidos y operativos que dan cobertura al objetivo de control.

Los controles pueden ser manuales y automáticos y los procedimientos y operaciones son correctos

Razonable

Existen controles que alcanzan el objetivo de control.

Pero los procedimientos y operaciones asociados a los controles presentan deficiencias.

Mejorable

El objetivo de control no es alcanzado debido a:

la ausencia de algún control

la presencia de controles inefectivos.

Debilidades materiales en el diseño e implementación

Deficiente

(o nulo)

El objetivo de control no es alcanzado debido a que

No existen control(es)



Ejemplos prácticos

Auditoría de procesos.

Auditoría de Gestión de Usuarios



informática



Objetivo

Alcance considerado

Objetivo. Alcance

Auditoría de la estructura general de control interno de las actividades relacionadas con la gestión

de usuarios de los principales sistemas. El objetivo básico ha sido el siguiente:

Revisión de los principales elementos en la gestión de usuarios: circuitos de altas y bajas de

identificadores de usuario, asignación de permisos, procesos de revisión y resolución de

incidencias.

… las diferentes categorías de usuarios identificados en el capítulo B) Catalogación/Tipología de

usuarios del presente informe, quedando fuera del alcance de la auditoría (1) el análisis de

usuarios residuales no contemplados en esta catalogación, (2) los aspectos técnicos de

autenticación en los diferentes sistemas corporativos.

De esta forma las principales áreas de trabajo de la auditoría han sido:

Identificación y análisis de los principales circuitos involucrados en la gestión de usuarios.

Análisis de la gestión de perfiles de acceso a información y sistemas.

Estudio de procedimientos de revisión de usuarios y permisos de accesos.

Análisis de las actividades relacionadas con la gestión de usuarios realizada por otros grupos

de trabajo distintos al Departamento de Seguridad Informática.

Gestión de incidencias relacionadas con la gestión de usuarios.





Dpto. de Seguridad de la Información: La gestión de seguridad en sus aspectos de planificación,

definición y control de acceso lógico a la información, programas, sistemas y recursos, residentes en los

SSII del Grupo Altea, se realizará de forma centralizada, siendo esta responsabilidad del Dpto. de

Seguridad de la Información. Sin embargo, existen operativas de seguridad, tales como administración de

usuarios y control de acceso que pueden ser realizadas por otros Departamentos; al respecto indicar que

la definición y el control de dichas operativas continuarán residiendo en el Dpto. de Seguridad de la

Información.

Dirección de RRHH. Los procedimientos corporativos de contratación de personal de RRHH incluyen,

expresamente, dotar a las nuevas incorporaciones de los identificadores de usuario necesarios y de los

accesos a servicios y aplicaciones, que pudieran requerir en el desempeño de sus funciones.

Centro de Atención a Usuarios. Ofrece un primer nivel de atención que integra consultas y resolución de

incidencias de aspectos relacionados con la gestión de usuarios.

Administradores de Sistemas (administración delegada de usuarios y el control de acceso): Tal y como se

ha descrito anteriormente existen actividades relacionadas con la gestión de usuarios realizadas por

otros Departamentos (ej. administración operativa de identificadores de usuarios y control de acceso).

Aunque la ejecución de dichas actividades es realizada por el grupo funcional designado, el Seguridad

Informática mantiene la definición y el control de estas operativas.

Personas autorizadas. Para la realización de las solicitudes relacionadas con la aprobación de los

accesos a la información y otras posibles solicitudes, se considera persona autorizada a los Directores

de … o aquel responsable en quien ellos deleguen expresamente, y por escrito, esa función (Directores

de Departamento, Coordinador Grupo…). Esta delegación deberá ser comunicada al Departamento de

Seguridad de la Información.



Circuitos de gestión de usuarios

Gestión de perfiles

Procesos de depuración

Administración de usuarios delegada

Gestión de incidencias

[ Introducción ]

Objetivos


Hechos observados

Conclusiones

Recomendaciones

[ Manifestaciones ]


Descripción de Arquitectura/Proceso




Criterio

auditor ITIL

ISO 27001

COBIT

Controles


CISA

Identificación

Proceso

Identificación

Objetivos

Control.

Controles

Análisis y

verificación

de controles

Valoración

Controles

Diagrama

procesos

Roles

Actividades

Identificación

controles

Modelo

de Madurez

Modelo

Teórico

Metodología



Ciclo de vida de la Identidad

Se inicia la relación

Promoción

Cambio de destino

Contraseña bloqueada

La relación finaliza

Contraseña caduca

Modificación de accesos

lógicos

Gestión de contraseñas

Sustitución

Autorización

temporal

Gestión de Tarjetas

De-provisioning

Gestión de acceso

Provisioning

Administración rutinaria de usuarios

Modelo

Teórico

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



[1] Usuario interno: Empleado de Caja Madrid o una empresa del Grupo Caja Madrid cuyos datos y sistemas productivos son gestionados por la Unidad de Sistemas y Operaciones. Apartado 2.6 (Convenciones del documento), Capítulo 2 (Políticas y Directrices de Seguridad de la Información), Documento de Políticas y Directrices de Seguridad de la Información, CNSI. [2] “Usuario externo: (1) Tercero subcontratado prestando servicios en instalaciones del Grupo Caja Madrid y cuyo acceso sea directo a los sistemas centrales de Caja Madrid, (2) Empresas del Grupo que, teniendo en custodia previa sus sistemas, se conectan a sistemas de Caja Madrid, (3) Proveedores que se conectan en modo remoto en su acceso a los Sistemas Centrales del Grupo, (4) Empresas Colaboradoras, (5) Ceca, Visa, Banco de España y otras entidades colaboradoras, (6) Asesores, Abogados y otros colaboradores habituales; y (7) Personas que cursan estudios en centros educativos con los que Caja Madrid tiene suscritos programas de cooperación educativa.” Apartado 2.6 (Convenciones del documento), Capítulo 2 (Políticas y Directrices de Seguridad de la Información), Documento de Políticas y Directrices de Seguridad de la Información, CNSI.

Roles

Actividades

Us

ua

rio

s F

ina

les

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



[1] Usuario interno: Empleado de Caja Madrid o una empresa del Grupo Caja Madrid cuyos datos y sistemas productivos son gestionados por la Unidad de Sistemas y Operaciones. Apartado 2.6 (Convenciones del documento), Capítulo 2 (Políticas y Directrices de Seguridad de la Información), Documento de Políticas y Directrices de Seguridad de la Información, CNSI. [2] “Usuario externo: (1) Tercero subcontratado prestando servicios en instalaciones del Grupo Caja Madrid y cuyo acceso sea directo a los sistemas centrales de Caja Madrid, (2) Empresas del Grupo que, teniendo en custodia previa sus sistemas, se conectan a sistemas de Caja Madrid, (3) Proveedores que se conectan en modo remoto en su acceso a los Sistemas Centrales del Grupo, (4) Empresas Colaboradoras, (5) Ceca, Visa, Banco de España y otras entidades colaboradoras, (6) Asesores, Abogados y otros colaboradores habituales; y (7) Personas que cursan estudios en centros educativos con los que Caja Madrid tiene suscritos programas de cooperación educativa.” Apartado 2.6 (Convenciones del documento), Capítulo 2 (Políticas y Directrices de Seguridad de la Información), Documento de Políticas y Directrices de Seguridad de la Información, CNSI.

Roles

Actividades

Ge

sto

res

: s

oli

cit

an

tes

, a

uto

riza

do

res

…

Solicitantes de accesos. Para la realización de las solicitudes de aprobación de los

accesos a la información, se considera persona autorizada a los Directores de XXX o

aquel responsable en quien ellos deleguen expresamente.

Recursos Humanos. Los procedimientos corporativos de contratación de personal

del Recursos Humanos incluyen, expresamente, dotar a las nuevas incorporaciones

de los identificadores de usuario necesarios y de los accesos a servicios y

aplicaciones, que pudieran requerir en el desempeño de sus funciones.

Seguridad Informática. Responsabilidad operativa de la seguridad y gestión de

seguridad en sus aspectos de planificación, definición y control de acceso lógico a

la información, programas, sistemas y recursos. Adicionalmente existen operativas

de seguridad, tales como administración de usuarios y control de acceso que

pueden ser realizadas por otros Departamentos. La definición y el control de dichas

operativas continuarán residiendo en Seguridad Informática.

Centro de Atención a Usuarios. Primer nivel de atención que integra consultas y

resolución de incidencias de aspectos relacionados con la gestión de usuarios.

Administradores de Sistemas. Ejecutan actividades relacionadas con la gestión de

usuarios (ej. administración operativa de identificadores de usuarios y control de

acceso).

…

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



Diagrama

procesos

Buzón

Seguridad

InformáticaBuzón

Técnico

Seguridad

Correo

Electrónico

NO ok

Correo / Formulario

Alta/Baja/Modificación

Usuario

Necesidad

Info adicional

Análisis (1)

Petición

Técnico Seguridad

No OKValoración

Necesidad

No

Solicitud

Solicitud

Respuesta

Denegación

Si

Recepción

Técnicos

Sistemas

Solicitud de

Implementación

Implementación

en

Sistemas

Comunicación

Aprobación

Implementación

Implementación

Efectuada

Implementación

efectuada +

lista de usuarios

autorizados

Combrobación

Automática

Credenciales

NO ok

Combrobación

Manual

Credenciales

OK

OKAsignación

1. Ticket

2. Técnico Seguridad

Comunicación

(1) Usuario

(2) Técnico Seguridad

OK

Verificación

accesos

Verificación

Información

recibida

(1)

(2)

Us

ua

rio

Au

tori

za

do

Se

gu

rid

ad

Info

rmá

tic

a

Té

cn

ico

s

Sis

tem

as

Cir

cu

ito

#n

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



Diagrama

procesos

Cir

cu

ito

#n

Impreso firmado

de solicitud de

alta

Alta de solicitud

en aplicación X

Envío automático

de solicitud a

Seguridad

Alta de usuario

(2)

Generación de

sobre ciego

Verificación de

información recibida

Asignación e

inactivación de Token

Recepción

- Token

- Clave

- Impreso de

reconocimiento y

aceptación de

cláusulas de seguridad

Desvío de llamada a

CAU (1)

Verificación de

identidadActivación de Token

Entrega personal a usuario:

- Token

- Sobre ciego con Clave

- Impreso de reconocimiento y

aceptación de cláusulas de

seguridad

Firma del

impreso de

reconocimiento

y aceptación

de cláusulas

de seguridad

Archivado de impresos

firmados

Primera

conexión al

Sistema

Formalización de Operación

Valija y Correo

Electrónico

Correo

Electrónico

Valija y Correo

Electrónico

Valija

Valija

CA

U (

1)

CA

U (

2)

Se

gu

rid

ad

Info

rmá

tic

aD

ire

cc

ión

(1

)D

ire

cc

ión

(2

)

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



C.1. Formalización: Debe existir un procedimiento formal y operativo de registro de altas y bajas

que proporcione garantías de acceso y revocado de identificadores de usuario sobre todos los

sistemas de información y servicios.

C.2 Verificación de credenciales: Debe existir un sistema de comprobación de credenciales del

solicitante de forma que únicamente personas autorizadas puedan efectuar solicitudes

relacionadas con accesos. Los procedimientos deben asegurar que los procesos de

autorización han sido completados y disponen de los permisos oportunos previamente a la

concesión del acceso.

C.3 Criterios de concesión de accesos. Principios de necesidad de conocer y de lo que no está

explícitamente permitido, está prohibido: “La concesión de derechos de acceso se regirá por el

criterio de „sólo si es estrictamente necesario‟ y se establecerá por defecto la denegación de

acceso a los recursos”. “La autorización de acceso estará determinada por la necesidad de

utilización para el desarrollo de las distintas actividades dentro de la organización.”

Considerando estos principios: las acciones automáticas de gestión de usuarios y permisos de

acceso deben estar respaldadas mediante un sistema de perfiles; y todo proceso manual debe

contener un análisis de la petición en relación a los criterios de concesión de accesos…

Identificación

controles

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



C.4 Actualización de inventarios de usuarios/accesos: Existencia de un mantenimiento formalizado

del registro de todos los usuarios autorizados para usar un servicio. El sistema que soporte dicho

registro debe ser distinto del utilizado por los propios sistemas para el control de acceso.

C.5 Comunicación de políticas de seguridad: Verificación de la entrega a los usuarios de una

comunicación que, al menos, contemple: (1) Normas relativas al uso de dispositivos de

autenticación, identificador de usuario y contraseña -carácter personal e intransferible,

recomendaciones en la composición de la contraseña y sus cambios-, (2) Normas relativas a la

monitorización de los sistemas de información -motivos y conocimiento-, (3) Normas relativas a la

propiedad de la información, (4) Normas relativas a la responsabilidad, (5) Normas relativas al uso

del sistema de información y (6) Normas relativas al cumplimiento del marco legal vigente.

Adicionalmente, se comprueba el reconocimiento firmado de la comprensión de sus condiciones

de acceso, compromisos y posibilidad de sanciones por incumplimiento de normativas.

C.6 Protección de credenciales de acceso: Verificación: (1) uso de contraseñas temporales

seguras para el primer acceso y obligatoriedad de cambio en el primer uso, (2) uso de conductos

seguros para hacer llegar las contraseñas, (3) claves temporales son únicas para un usuario y no

adivinables, (4) acuse de recibo de recepción de contraseñas por parte de los usuarios e (5)

inclusión de compromisos de protección de las identidades digitales (contraseñas, tarjetas,

tokens, etc…) en cláusulas de seguridad incluidas en contratos y/o entrega de credenciales.

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



C.7 Eliminación de autorizaciones: Comprobación de la existencia de eliminaciones

inmediatas de las autorizaciones de acceso a los usuarios (tanto empleados, como

proveedores, colaboradores, usuarios administradores de sistemas/aplicaciones, etc…)

que abandonan la Organización.

C.8 Cambio de autorizaciones: Debe existir un procedimiento eficiente que permita efectuar

cambios/revisiones inmediatas de las autorizaciones de acceso para los usuarios que

cambian de funcionalidad dentro de la Organización.

C.9 Segregación de actividades: Se comprueba que las distintas actividades (solicitudes,

aprobaciones, implementación en los sistemas) cumplen el principio de segregación de

funciones, esto es, que todas estas actividades evitan la concentración de funciones en

una misma persona.

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



() Aunque existe supervisión para la solicitudes de permisos de acceso, no se han observado evidencias formales

de análisis/comprobaciones de las mismas y registro de esta actividad efectuada sobre la solicitudes.

() Para el entorno X, existe un registro independiente de usuarios activos junto con datos detallados para llevar a

cabo su gestión, si bien, tal y como se ha podido comprobar, dicho registro no se encuentra actualizado.

() En estos circuitos, el contenido de las comunicaciones no contempla las mejores prácticas recomendadas que

hemos indicado en este control, careciendo, a su vez, de un reconocimiento firmado de la comprensión de la

política de seguridad corporativa y sus condiciones de acceso.

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



Criterio

auditor ITIL

ISO 27001

COBIT

Controles


CISA

Identificación

Proceso

Identificación

Objetivos

Control.

Controles

Análisis y

verificación

de controles

Valoración

Controles

Diagrama

procesos

Roles

Actividades

Identificación

controles

Modelo

de Madurez

Modelo

Teórico

Metodología




Objetivo: Identificación de áreas potenciales de riesgo, recomendando, en su caso, posibles

soluciones que mitiguen los eventuales riesgos detectados:

Uso de conductos no seguros para hacer llegar las contraseñas a los usuarios…

Prácticas inadecuadas en el uso de contraseñas temporales,…

Ausencia de un proceso eficiente de eliminación de autorizaciones…

Deficiencias en los procedimientos de mantenimiento de las autorizaciones de acceso

para los usuarios que cambian de funcionalidad o de Centro dentro de la Organización…

Ausencia de un catálogo/inventariado de perfiles de acceso como base para

conocimiento, asignaciones, revisiones, depuraciones y ayuda a la toma de decisiones

de concesión de permisos,…

Ausencia de revisiones periódicas de los derechos de acceso de los usuarios (más

frecuentes de las autorizaciones de derechos de acceso con privilegios especiales)

Ausencia de revisiones de los derechos de acceso de los usuarios después de todo

cambio de actividad funcional o finalización de actividades (ej. contrato).

…

Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



Objetivo: Elaboración de criterios que nos permitan evaluar el proceso desde el punto de vista de la

administración y control de proceso.

Desarrollar un contenido del modelo de valoración basado en Modelos de Madurez, a partir del cual

se podrá identificar el nivel de control interno del proceso auditado.

El enfoque de los Modelos de Madurez para el control sobre procesos de las TI consiste en el

desarrollo de un método de asignación de puntuación para que una organización, proceso o actividad

pueda ser calificado.

Optimizado

Definido

Repetible

Inicial

Proceso autogestionado y basado

en mejores prácticas

Proceso monitorizado y medible

Proceso formalizado y

documentado

Proceso intuitivo y repetible

Proceso AdHoc y desorganizado

Características del proceso

Gestionado

Nivel de Madurez

Inexistente Proceso Inexistente

Utilizar modelos de

madurez genéricos

(ej Cobit)

Utilzar modelos de

madurez específicos

del proceso auditado

(fuente: Cobit)

Metodología




Identificación

Proceso

Identificación

Objetivos

Control

Controles

Análisis y

verificación

de controles

Valoración

Controles



Áreas de análisis Valoración Descripción

Circuitos de gestión de

usuarios

Los circuitos analizados están estandarizados, documentados y existe

seguimiento de procesos por parte de sus ejecutores que lo aplican de

manera general.

Gestión de perfiles

Las actividades de definición, catalogación y gestión de permisos (en

peticionarios y técnicos de seguridad) a nivel corporativo se

encuentran parcialmente conseguidas pero no pueden catalogarse a

como definidas o administradas según nuestro modelo de madurez.

Procesos de depuración

de usuarios y revisión

de accesos

Aunque existen evidencias de actividades de depuración y revisión

éstas son aperiódicas y no están sujetas a un método susceptible de

seguimiento y gestión.

Administración de

usuarios delegada

De forma general, existe un seguimiento de los procedimientos por

parte de sus ejecutores, pero no hay comunicación formal de los

mismos y definición de ciertas actividades (ej. revisión de usuarios o

gestión de contraseñas). Los procedimientos no están estandarizados,

ni documentados y no hay productos identificables que testifiquen una

gestión continua de la actividad delegada.

Gestión de incidencias

La resolución de incidencias por parte del CAU está compuesta por

procedimientos estandarizados/documentados y se han detectado

planes de mejora basados en análisis de resultados. Aunque el

responsable del servicio efectúa seguimientos de incidencias éstos no

presentan acciones orientadas a medir el cumplimiento de los

procedimientos propios de un proceso administrado.



Ejemplos prácticos

Auditoría de Arquitecturas Tecnológicas

Auditoría Seguridad Lógica Plataforma Sun Solaris



informática



[ Introducción ]

- Puntos de control

(comprobaciones)

Objetivos


Hechos observados

Conclusiones

Recomendaciones

[ Manifestaciones ]


Descripción de la Arquitectura


Definición de

objetivos de

control

Desarrollo

herramienta

de soporte

Revisión y

análisis

Adecuación

y mejora




Objetivo

Alcance considerado

Toda la plataforma Sun Solaris corporativa.

Auditoría de la Seguridad Lógica de la infraestructura del entorno Sun Solaris

gestionada por el Departamento Técnico XYZ (Producción) y el Departamento de

Seguridad. Sus objetivos básicos han sido los siguientes:

(1) Verificar la implantación de adecuados niveles de seguridad lógica y control interno

de la plataforma Sun Solaris, con el fin de comprobar que los riesgos informáticos

se encuentran adecuadamente controlados.

(2) Efectuar la revisión de los procedimientos y controles asociados a las actividades

de implantación y administración de sistemas en sus aspectos de seguridad lógica.

(3) Proponer la implantación de recomendaciones que permitan minimizar eventuales

riesgos identificados con el fin de garantizar la integridad, confidencialidad y

disponibilidad de los servicios ofrecidos por esta infraestructura.



En la definición y administración de la seguridad del entorno Sun Solaris intervienen:

El DEPARTAMENTO TÉCNICO DE SISTEMAS que gestiona la infraestructura Sun Solaris

realizando actividades de dimensionamiento, implantación y mantenimiento; y que tiene

delegada la administración operativa de la seguridad y entre otros aspectos debe:

-Seguir las recomendaciones de seguridad indicadas por Departamento de Seguridad,

mediante Guías Técnicas (documentos de requisitos de seguridad) específicas para

entornos o notas puntuales.

- Implantar las recomendaciones de seguridad (configuración, parches…) indicadas por los

fabricantes de las arquitecturas específicas, los fabricantes de los servicios o las

recomendaciones de la comunidad informática para el entorno que se administre.

El DEPARTAMENTO DE SEGURIDAD, es responsable de la administración operativa de la

seguridad y supervisa las actividades de las Áreas de Sistemas orientadas a definir y/o

establecer parámetros, reglas y condiciones de seguridad en los distintos sistemas.

Adicionalmente, diseña e implanta mecanismos de monitorización y diagnóstico permanente,

allí donde se estime conveniente en función del riesgo, para verificar la adecuada implantación

de los controles de seguridad en los sistemas de información.




Definición de

controles

(comprobaciones)

Desarrollo

programa

soporte

Revisión

Análisis

Resultados

Adecuación

Mejora

Ejecución

Programa

plataforma

Definición de controles

(comprobaciones)

Desarrollo

herramienta

de soporte

Revisión y

análisis

Resultados

[Adecuación]

Metodología



Matriz de

controles

Categorización

de controles por

tipo máquina

Scripts de

auditoría

Resultados

(evidencias

de auditoría) Informes detallados

Dossier técnico

individual

Grado

adecuación

global

Ejecución

de scripts

Resultados y Análisis


Definición de

controles

(comprobaciones)

Desarrollo

programa

soporte

Revisión

Análisis

Ejecución

Programa

plataforma



Desarrollo

Programa

de

soporte

Definición de

controles Revisión y

análisis

Resultados

Adecuación

Mejora

3 Áreas de Control

320 Puntos de control

Ejecución

Programa

Plataforma

Cuerpo Normativo de Seguridad de la Información corporativo

Normativa Técnica Corporativa específica del entorno (Sun Solaris, “Unix”,…)

Informes de Seguridad del Departamento de Seguridad Informática.

Guías Técnicas de Seguridad (Fabricantes, Sun Microsystems, SANS…)

Know how técnicos auditores (experiencia

en administración de sistemas, formación a

medida específica, prácticas en laboratorio..).

Matriz de

controles

Objetivo Definir y priorizar el conjunto de controles a considerar durante la revisión y

especificar su requerimiento en función del tipo de máquinas de Tipo 1 (requisitos

máximos), Tipo 2 (requisitos estándar) o Tipo 3 (requisitos mínimos)

Tarea Resultado

Identificar, agrupar y priorizar el conjunto de

controles que se revisarán durante el trabajo

de campo.

Matriz de controles de la plataforma Sun

Solaris.

Identificar los controles, del conjunto anterior,

que se requerirán los distintos tipos de

máquina (Tipo 1, Tipo 2 y Tipo 3).

Matriz de controles por tipo de máquina.

+



•Software base instalado

•Control de acceso.

•Sistema de ficheros.

•Configuración del kernel.

•Planificación de procesos.

•Servicios de red.

•Registros de Auditoría

•Protección del equipo

En el análisis realizado de cara a exigir niveles de seguridad en las pruebas se han distinguido tres

tipos de servidores:

Tipo 1,. Requisitos mayores de seguridad. Ejemplo de dichas máquinas serían los portales de

Internet, cuyo grado de exposición frente a amenazas es elevado.

Tipo 2, Menos exposición que Tipo 1. Necesitan menos requisitos de seguridad. Ejemplo de estas

máquinas serían los servidores de la red interna que dan soporte al negocio.

Tipo 3, Requisitos de seguridad son mínimos. Ejemplo: máquinas y elementos de uso interno que

no soportan servicios críticos de forma directa (ej. servidores de consolas)

A1. Análisis de parches

A2. Parametrización

A.3 Análisis de usuarios

Áre

as d

e C

on

tro

l

Agrupaciones de Controles x Área

Cate

go

rizació

n

Desarrollo

Programa

de

soporte

Definición de


análisis

Resultados

Adecuación

Mejora

Ejecución

Programa

Plataforma



•Software base instalado

•Control de acceso.

•Sistema de ficheros.

•Configuración del kernel.

•Planificación de procesos

•Servicios de red.

•Registro de Auditoría

•Protección del equipo

Parametrización

Desarrollo

Programa

de

soporte

Definición de


análisis

Resultados

Adecuación

Mejora

Ejecución

Programa

Plataforma



Matriz de

controles

Scripts de

auditoría

Análisis del estado del nivel de parches.

Análisis de la configuración y parametrización de seguridad.

Análisis de usuarios. Y ficha X usuario.

“Imagen” del sistema durante la revisión y obtención de los principales

ficheros de configuración como evidencia de auditoría.

Resultados

(evidencias de

auditoría)

2000+ líneas de código

Desarrollo

Programa

de

soporte

Definición de

controles

Revisión y

análisis

Resultados

Adecuación

Mejora

Ejecución

Programa

Plataforma



•Desarrollo y pruebas en laboratorio Auditoría

•Plan de ejecución con Producción

•Primeras ejecuciones en entorno de pruebas

bajo control/supervisión de Producciíón.

•Análisis y algún ajuste fino

•Ejecuciones en los servidores

-Envío de [paquete] de resultados a un

servidor/repositorio del laboratorio Auditoría.

Pruebas desatendidas

10 mínutos x Ejecución en

background

Desarrollo

Programa

de

soporte

Definición de

controles

Revisión y

análisis

Resultados

Adecuación

Mejora

Ejecución

Programa

Plataforma



Scripts de

auditoría

Resultados

(evidencias de

auditoría) (3) Informes detallados

(1) Dossier técnico

individual

Adecuación

global

Ejecución

de scripts Por Servidor

Configuración y parametrización

Análisis de usuarios

Nivel de parches

Desarrollo

Programa

de soporte

Definición de

controles

Revisión y

análisis

Resultados

Adecuación

Mejora

Ejecución

Programa

Plataforma



Informes detallados

Dossier técnico

individual

Grado de

adecuación

global

Análisis de

Configuración y

Parametrización (Informe 1/3)

Desarrollo

Programa

de soporte

Definición de

controles

Revisión y

análisis

Resultados

Adecuación

Mejora

Ejecución

Programa

Plataforma



Informes detallados

Dossier técnico

individual

Grado de

adecuación

global

Análisis

de usuarios (Informe 2/3)

+ Ficha X Usuario

Desarrollo

Programa

de soporte

Definición de

controles

Revisión y

análisis

Resultados

Adecuación

Mejora

Ejecución

Programa

Plataforma



Informes detallados

Dossier técnico

individual

Grado de

adecuación

global

Análisis

de parches (Informe 3/3)

Desarrollo

Programa

de soporte

Definición de

controles

Revisión y

análisis

Resultados

Adecuación

Mejora

Ejecución

Programa

Plataforma



Informes detallados

Dossier técnico

individual

Grado de

adecuación

global

Análisis de configuración


Análisis de parches

Detalle puntos

de control

Desarrollo

Programa

de soporte

Definición de

controles

Revisión y

análisis

Resultados

Adecuación

Mejora

Ejecución

Programa

Plataforma



ANÁLISIS DE CONFIGURACIÓN. GRADO GLOBAL DE ADECUACIÓN TIPO 1

79,83% 80,48%82,86%

73,54%

80,69%79,42%

82,65%

72,02%

83,30%

0,00%

10,00%

20,00%

30,00%

40,00%

50,00%

60,00%

70,00%

80,00%

90,00%

100,00%

% M

EDIO

c-13

0

c-14

4

c-15

0

c-06

3

c-06

4

c-06

0

c-09

4

c-17

5

MÁQUINAS ANALIZADAS

% C

UM

PL

IMIE

NT

O

Análisis de configuración

Informes detallados

Dossier técnico

individual

Grado de

adecuación

global

TIPO 1 y TIPO 2

…

GRADO GLOBAL DE ADECUACIÓN TIPO 1

60%65% 63%

69%

59%65%64%

63,4%63%

0,0%

10,0%

20,0%

30,0%

40,0%

50,0%

60,0%

70,0%

80,0%

90,0%

100,0%

% M

EDIO

c-13

0

c-14

4

c-15

0

c-06

3

c-06

4

c-06

0

c-09

4

c-17

5


% C

UM

PL

IMIE

NT

O

Análisis de parches

GRADO GLOBAL DE ADECUACIÓN TIPO 1

87%83% 83% 83%83%

77%

83%86,3% 83%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

% M

EDIO

c-130

c-144

c-150

c-063

c-064

c-060

c-094

c-175


% C

UM

PLI

MIE

NTO


Grado de Adecuación

Global del parque de equipos

analizados

Desarrollo

Programa

de soporte

Definición de

controles

Revisión y

análisis

Resultados

Adecuación

Mejora

Ejecución

Programa

Plataforma



Informes detallados

Dossier técnico

individual

Grado de

adecuación

global

Matrices de tendencias Elaboración de CONCLUSIONES:

controles NO IMPLANTADOS

Desarrollo

Programa

de soporte

Definición de

controles

Revisión y

análisis

Resultados

Adecuación

Mejora

Ejecución

Programa

Plataforma



Informes detallados

Dossier técnico

individual

Grado de

adecuación

global

Elaboración de CONCLUSIONES:

servidores NO ESTANDARIZADOS Matrices de tendencias

Desarrollo

Programa

de soporte

Definición de

controles

Revisión y

análisis

Resultados

Adecuación

Mejora

Ejecución

Programa

Plataforma



Matriz de

controles por

plataforma

Matriz de

controles por

tipo de

máquina

Scripts de

auditoría

Resultados

(evidencias

de auditoría)

Fichas de

usuarios

(por máquina)

Informes detallados

Dossier técnico

individual

Grado de

adecuación

global

Resultados. Adecuación. Mejora Documentación generada

Desarrollo

Programa

de soporte

Definición de

controles

Revisión y

análisis

Resultados

Adecuación

Mejora

Ejecución

Programa

Plataforma



Adecuación y mejora: Durante proceso auditoría

Una vez enviados los informes detallados y resultado de los scripts,

se llevaron a cabo más de 80 acciones correctoras “inmediatas”.

% adecuación medio ANÁLISIS DE CONFIGURACIÓN

75,86% 79,42%

+3,56%

TIPO 1

69,54% 75,06% +5,52%

TIPO 2

% adecuación medio ANÁLISIS DE USUARIOS

48,05% 63,39% +15,34% 45,04% 67,69% +22,66%

TIPO 1 TIPO 2

Desarrollo

Programa

de soporte

Definición de

controles

Revisión y

análisis

Resultados

Adecuación

Mejora

Ejecución

Programa

Plataforma



Adecuación y mejora: Proceso de adecuación

Identificar objetivo de control a mejorar Estudiar puntos de control

Consultar informe detallado:

No conformidades y causa

Desarrollo

Programa

de soporte

Definición de

controles

Revisión y

análisis

Resultados

Adecuación

Mejora

Ejecución

Programa

Plataforma

Documents

AuditoríaSistemasEjemplos prácticos.2012v0