COBIT

ESCUELA POLITCNICA NACIONAL
FACULTAD DE INGENIERA DE SISTEMAS

APLICACIN DE COBIT 4.1 EN LA AUDITORA DE UNA APLICACIN INFORMTICA TIPO WEB DE UNA INSTITUCIN FINANCIERA.
PROYECTO PREVIO A LA OBTENCIN DEL TTULO DE INGENIERO EN SISTEMAS INFORMTICOS Y DE COMPUTACIN
CORAISACA AREVALO JENNY LOURDES jennylourdes88@hotmail.com LLUMIQUINGA PILLAJO CSAR FERNANDO fer_jl8@hotmail.com
DIRECTOR: ING. ANDRS LARCO andres.larco@epn.edu.ec
QUITO, NOVIEMBRE 2012
ii
DECLARACIN
Nosotros, Jenny Lourdes Coraisaca Arvalo y Csar Fernando Llumiquinga Pillajo, declaramos bajo juramento que el trabajo aqu descrito es de nuestra autora, que no ha sido previamente presentado para ningn grado o calificacin profesional y que hemos consultado las referencias bibliogrficas que se incluyen en este documento.
A travs de la presente declaracin cedemos nuestros derechos de propiedad intelectual correspondientes a este trabajo a la Escuela Politcnica Nacional, segn lo establecido en la Ley de Propiedad Intelectual, por su Reglamento y por la normatividad constitucional vigente.
Jenny Lourdes Coraisaca Arvalo
Csar Fernando Llumiquinga Pillajo
iii
CERTIFICACIN
Certifico que el presente trabajo fue desarrollado por Jenny Lourdes Coraisaca Arvalo y Csar Fernando Llumiquinga Pillajo, bajo mi supervisin.
Ing. Andrs Larco DIRECTOR DEL PROYECTO
iv
AGRADECIMIENTO
Agradezco a mi madre por el sacrificio y amor que ha demostrado para ofrecerme su legado ms grande que es la educacin.
A mis tos Jos y Bachita por hacer el papel de padres sustitutos ante la ausencia fsica de mam.
A mi abuelita que con sus consejos y oraciones siempre me ha llenado de buenas energas para salir adelante.
A mi compaero Fernando por su dedicacin en la culminacin de este proyecto y por ser ese amigo incondicional durante toda nuestra carrera universitaria.
A Lenin, por su paciencia y comprensin para la realizacin de este trabajo.
A Andrs Larco, por su empuje, direccin y jaladas de oreja cuando fue necesario hacerlo.
Jenny.
Quiero empezar agradeciendo a las personas ms importantes de mi vidaMi mami Carmen, mi pap Arturo. Gracias madre por estar siempre a mi lado, gracias por todo tu apoyo darme nimo y palabras de aliento cuando las cosas no me salan bien. Gracias padre por brindarme tu apoyo y darme la mejor herencia que un padre puede dar a su hijo el estudio.
Gracias a mis hermanos Sandra y Edwin, por ser un apoyo incondicional, por ser mis amigos y compaeros que siempre estuvieron ah cuando los necesite. Mi querida amiga y compaera Jennicita, como no agradecerte de todo corazn, por todo el aguante, la paciencia de estos aos y por soportarme en mis momentos de estrs y enojo. Gracias por siempre brindarme tu apoyo y ser mi mejor amiga. Sin ti, hubiera sido complicado llegar a la consecucin de esta meta que algn da nos planteamos.
Gracias a mis compaeros de trabajo especialmente a Jessy y Alejita que creyeron en m y que con sus consejos me dieron nimo para seguir adelante en este proyecto.
Tambin, quiero agradecer a
mis amigos y compaeros de carrera, que me
brindaron su mano amiga cuando lo necesite.
Finalmente un sincero agradecimiento a Andrs Larco, nuestro tutor de tesis y amigo, por la paciencia y gua en la consecucin de este trabajo.
Fernando.
vi
DEDICATORIA
A mi madre, abuelita y hermana, quienes siempre han estado apoyndome en todo momento y ofrecindome un ambiente familiar hermoso, que me ha enseado a valorar y entender lo realmente importante en mi vida.
Jenny
Dedico este trabajo a esas personas maravillosas que siempre han estado a mi lado en los momentos buenos y no tan buenos en mi vida, mis padres, mis hermanos y en especial a mi sobrina Danita, porque con su sola presencia llena de alegra y amor cada uno de mis das. Fernando
vii
CONTENIDO
PRESENTACIN ........................................................................................................ 1 RESUMEN .................................................................................................................. 2 CAPITULO 1 - MARCO TERICO .............................................................................. 3 1.1 AUDITORA DE APLICACIONES INFORMTICAS TIPO WEB UTILIZANDO DIRECTRICES DE AUDITORA DE COBIT 4.1 ...................................................... 3 1.1.1 1.1.2 1.1.3 AUDITORA DE SISTEMAS DE INFORMACIN .................................... 3 APLICACIONES WEB ............................................................................. 4 MARCO DE TRABAJO DE COBIT 4.1 .................................................... 5
1.1.4 INTRODUCCIN A LAS DIRECTRICES DE COBIT PARA AUDITORA DE APLICACIONES ........................................................................................... 11 1.2 DEFINICIN DE CONTROLES PARA LA AUDITORIA DE APLICACIONES INFORMTICAS .................................................................................................... 13 1.2.1 OBJETIVOS DEL CONTROL INTERNO .................................................. 14 1.2.2 CONTROLES GENERALES DE TI............................................................ 15 1.2.3 CONTROLES DE APLICACIN ................................................................ 15 1.2.4 ANLISIS DE LOS PROCESOS COBIT 4.1 Y OBJETIVOS DE CONTROL PARA AUDITORA DE APLICACIONES INFORMTICAS. ............................... 19 1.3 MARCOS DE TRABAJO PARA EL DESARROLLO DE LA AUDITORA ......... 24 1.3.1 COBIT 4.1 .................................................................................................. 24 1.3.2 ITIL V3 ....................................................................................................... 24 1.3.3 ISO 27002 .................................................................................................. 27 1.3.4 INTERRELACIN DE LOS ESTNDARES COBIT 4.1, ITIL V3, E ISO/IEC 27002 PARA AUDITORA DE APLICACIONES INFORMTICAS. .................... 29 CAPITULO 2 PLAN DE AUDITORIA DE LA APLICACIN WEB............................ 30 2.1. ESTUDIO DE LA APLICACIN WEB CAJERO DE VENTANILLAS A SER AUDITADA ............................................................................................................. 30 2.1.1 DESCRIPCIN .......................................................................................... 30 2.1.2 ARQUITECTURA FSICA .......................................................................... 30
viii
2.1.2.1 Servidores ............................................................................................... 31 2.1.3 ARQUITECTURA LOGICA ........................................................................ 32 2.1.4 MDULOS Y TRANSACCIONES DE LA APLICACIN CV ...................... 33 2.2. ELABORACIN DEL PROGRAMA DE AUDITORA ...................................... 35 2.2.1 ELABORACIN DEL PROGRAMA DE AUDITORA PARA LA EVALUACIN DE LA APLICACIN WEB.......................................................... 36 2.3. DEFINICIN DEL ALCANCE DEL PROGRAMA DE AUDITORA ................. 46 2.3.1. FACTOR 1: CRITERIOS QUE ORIENTAN A LA SEGURIDAD................ 46 2.3.2 FACTOR 2. CRITERIOS QUE SE FOCALIZAN EN LA CALIDAD ............ 47 2.3.3 FACTOR 3. CUMPLIMIENTO .................................................................... 47 2.3.4 FACTOR 4. RECURSOS INVOLUCRADOS EN LOS PROCESOS .......... 47 CAPITULO 3. EJECUCIN DEL PLAN DE AUDITORA ......................................... 50 3.1. RELEVAMIENTO Y EJECUCIN DE LA AUDITORA ................................... 50 3.2. ANLISIS DE RIESGOS DE LAS VULNERABILIDADES IDENTIFICADAS .. 53 3.2.1 MATERIALIDAD DE LOS HALLAZGOS .................................................... 55 3.2.2 EVALUACIN DE RIESGOS ................................................................... 58 3.3. ELABORACIN DEL INFORME FINAL ...................................................... 65 CAPITULO 4: CONCLUSIONES Y RECOMENDACIONES...................................... 79 4.1. CONCLUSIONES ........................................................................................... 79 4.2. RECOMENDACIONES ................................................................................... 81 BIBLIOGRAFA ......................................................................................................... 83 GLOSARIO................................................................................................................ 85 ANEXOS ................................................................................................................... 86
ix
LISTA DE TABLAS
Tabla 1. 1 Definicin de Directrices de Auditora....................................................... 11 Tabla 1. 2 Directrices - Auditora de Aplicaciones ..................................................... 13 Tabla 1. 3 Clasificacin Tipos de Control .................................................................. 14 Tabla 1. 4 Controles de Aplicacin ............................................................................ 16 Tabla 1. 5 Controles ACn de acuerdo al tipo de control ............................................ 18 Tabla 1. 6 Anlisis de los procesos COBIT 4.1 y Objetivos de control ..................... 19 Tabla 2. 1 Descripcin Servidores ............................................................................. 31 Tabla 2. 2 Descripcin Clientes ................................................................................. 32 Tabla 2. 3 Herramientas de Desarrollo...................................................................... 32 Tabla 2. 4 Elementos Mdulo Transacciones............................................................ 34 Tabla 2. 5 Elementos Mdulo Consultas ................................................................... 35 Tabla 2. 6 Elementos Mdulo Reportes .................................................................... 35 Tabla 2. 7 Elementos Mdulo Control ....................................................................... 35 Tabla 2. 8 Elementos Mdulo Herramientas ............................................................. 35 Tabla 2. 9 Importancia del Programa de Auditora .................................................... 36 Tabla 2. 10 Programa de Auditora ......................................................................... 37 Tabla 3. 1 Interrelacin: Vulnerabilidad, Amenaza, Riesgo ....................................... 55 Tabla 3. 2 Hallazgos de vulnerabilidades Identificados y Riesgos Asociados ........... 56 Tabla 3. 3 Definicin de Significancia de Riesgo....................................................... 59 Tabla 3. 4 Modelo Estndar para anlisis de Riesgo. ............................................... 60 Tabla 3. 5 Anlisis y Evaluacin de Riesgos ............................................................. 61 Tabla 3. 6 Anlisis de la Observacin 1 - Usuarios : ex - empleados........................ 68 Tabla 3. 7 Anlisis Observacin 2 - Uso de usuarios genricos................................ 69 Tabla 3. 8 Anlisis Observacin 3 - Usuarios sin depurar Call Center. ..................... 70 Tabla 3. 9Anlisis Observacin 1- Usuarios sin depurar rea operativa. .................. 70 Tabla 3. 10 Anlisis Observacin 5- Transacciones sin validacin previa. ............... 71 Tabla 3. 11 Anlisis Observacin 6 - Procedimientos para parametrizacin, no documentado............................................................................................................. 72 Tabla 3. 12 Anlisis Observacin 8 Aplicacin sin log de parametrizacin ............ 73 Tabla 3. 13 Anlisis Observacin 8 - Falta de revisin de logs. ................................ 74 Tabla 3. 14 Anlisis Observacin 9 - Problemas frecuentes de la aplicacin. .......... 75 Tabla 3. 15 Anlisis Observacin 10 - Planes de contingencia no probados ............ 76 Tabla 3. 16 Procedencia de las Observaciones del Informe Final............................. 78
LISTA DE FIGURAS Figura 1. 1 Arquitectura Bsica Aplicacin Web.......................................................... 5 Figura 1. 2 Estructura COBIT 4.1 ................................................................................ 7 Figura 1. 3 Marco de Trabajo COBIT 4.1 .................................................................... 9 Figura 1. 4 Relacin entre controles definidos COBIT 4.1 ........................................ 10 Figura 1. 5 Objetivos de Control de Aplicacin vs Criterios de Informacin .............. 18 Figura 2. 1 Arquitectura de la Aplicacin .................................................................. 31 Figura 2. 2 Distribucin Servidores .......................................................................... 31 Figura 2. 3 Arquitectura Lgica de la Aplicacin ...................................................... 32 Figura 2. 4 Mdulos Aplicacin Cajero de Ventanillas ............................................ 34
PRESENTACIN
La evolucin de los sistemas de informacin en las instituciones financieras del Ecuador ha generado la necesidad de garantizar la integridad, disponibilidad, confidencialidad de la informacin y su grado de apoyo al proceso de negocio, en todos los mbitos que a tecnologa de la informacin se refieren. En consecuencia el procesamiento de la informacin y la rapidez con la que se realiza son de vital importancia en las instituciones financieras, provocando que cada vez necesiten de ms control sobre sus datos y los sistemas que utilizan.
El presente trabajo de Auditora Informtica, se ha realizado a la aplicacin web Cajero de Ventanillas, que es una de las principales aplicaciones con la que cuenta la institucin financiera y que se encuentra relacionada directamente con el cliente, con el fin de identificar y corregir los hallazgos de vulnerabilidades que pueden provocar riesgos para la institucin y sus clientes.
La propuesta de auditora permitir seleccionar los objetivos de control a ser auditados en la aplicacin informtica tipo web, como resultado se obtendr un
informe con el detalle de los hallazgos de vulnerabilidades o inexistencia de controles, los riesgos que pueden ocasionar y los planes de mitigacin
recomendados.
Con los hallazgos de vulnerabilidades, los riesgos asociados a stas y las recomendaciones emitidas para mitigar las mismas, la institucin financiera podr aceptar o no las sugerencias para definir un plan de mejora de la aplicacin auditada.
Por razones de seguridad y confidencialidad de la informacin, no se mencionar el nombre de la institucin financiera, ni de la aplicacin informtica auditada, tampoco detalles que permitan identificarlas.
RESUMEN
El presente proyecto de titulacin est compuesto de cuatro captulos y anexos, que tienen como principal objetivo, presentar los resultados de la auditora realizada a la aplicacin web de una institucin financiera, utilizando las directrices de auditora de COBIT 4.1.
En el Captulo I se define los principales conceptos que intervienen en la auditora informtica de aplicaciones, la descripcin general del tipo de aplicacin que se utilizar como caso de estudio, se describen los controles, las directrices de COBIT 4.1 utilizados para la auditora de aplicaciones y se presenta el cuadro comparativo con los principales marcos de trabajo que pueden ser utilizados para una auditora informtica, como: COBIT 4.1, ITIL V3, ISO 27002.
En el Captulo II se detallan las caractersticas de la aplicacin que va a ser auditada, se elaborar el programa de auditora en base a las directrices seleccionadas para la auditora de aplicaciones informticas y se definir el alcance del programa tomando en consideracin factores definidos de acuerdo a los criterios de informacin dados por COBIT 4.1.
En el Captulo III se presenta la ejecucin de la auditora de la aplicacin informtica tipo web, el anlisis de riesgos de los hallazgos de vulnerabilidades y la elaboracin del informe final de auditora con las recomendaciones emitidas a la institucin financiera, para mitigar los riesgos identificados en aplicacin informtica.
Finalmente en el Captulo IV se presentan las conclusiones y recomendaciones del presente proyecto.
CAPITULO 1 - MARCO TERICO

El presente captulo define los principales conceptos que intervienen en la auditora informtica de aplicaciones, el caso de estudio a realizarse es de una aplicacin web; se describen los controles, las directrices de COBIT 4.1 utilizados para la auditora de aplicaciones, y se presenta el anlisis comparativo con los principales marcos de trabajo que pueden ser utilizados para una auditora informtica.
1.1 AUDITORA DE APLICACIONES INFORMTICAS TIPO WEB UTILIZANDO DIRECTRICES DE AUDITORA DE COBIT 4.1
1.1.1 AUDITORA DE SISTEMAS DE INFORMACIN
Segn el Manual de Preparacin del Examen CISA 2011, se define a la Auditora de Sistemas de Informacin1como: Proceso mediante el cual se recolecta y evala la evidencia para determinar si los Sistemas de Informacin (SI) y los recursos relacionados protegen adecuadamente los activos, mantienen la integridad y disponibilidad de los datos y del sistema, proveen informacin relevante y confiable, logran de forma efectiva las metas organizacionales, usan eficientemente los recursos y tienen en efecto los controles internos que proveen una certeza razonable de que los objetivos del negocio, operacionales y de control sern alcanzados y que los eventos no deseados sern evitados o detectados y corregidos de forma oportuna. La auditora de una aplicacin es parte de la Auditora de Sistemas de Informacin y se refiere a la verificacin de los controles de la aplicacin que pueden ser manuales programados y que sirven para garantizar la integridad y exactitud de los registros. El auditor de SI debe identificar las fortalezas o debilidades de dichos controles. Una auditora de aplicaciones informticas se puede realizar cuando: 1
El sistema o aplicacin se est evaluando para su adquisicin.
En el contexto de la Auditora de Sistemas, los Sistemas de Informacin se refieren a un conjunto de elementos hardware, software, recursos humanos y datos, interrelacionados para la administracin y procesamiento de la informacin, esta interpretacin puede variar dependiendo del campo en el que se est aplicando.
Antes de que el sistema de aplicacin entre en produccin (pre-ejecucin) y Despus de que la aplicacin ha entrado en produccin.
Los objetivos y el alcance de una auditora de aplicaciones, pueden variar pero deben incluir: Los objetivos y el alcance de la revisin. El auditor que va a ejecutar la revisin. Una declaracin sobre la independencia de los auditores de los proyectos o aplicaciones a ser auditadas. Inicio de la revisin. El tiempo que tomar la revisin. Entrega de informes. Arreglo para las reuniones de cierre y discusiones de los informes.
1.1.2
APLICACIONES WEB
Son aplicaciones a las que se accede va web por una red como internet o una intranet. Las aplicaciones web no se ejecutan en computadores personales, estas alojan sus componentes en infraestructuras diferentes (hardware y software) de tal forma que mltiples usuarios puedan acceder a stas de forma simultnea.
1.1.2.1 Arquitectura La arquitectura de una aplicacin define como se organizan los distintos mdulos que la componen. En una aplicacin web, la arquitectura est basada en el modelo cliente / servidor, se define bsicamente los siguientes elementos: Cliente: navegador (Front end). Servidor: servidor web (Middleware). Servidor Datos: Base de Datos (Back end). Comunicacin: Protocolo HTTP, TCP/IP.
Figura 1. 1Arquitectura Bsica Aplicacin Web
Fuente: http://rua.ua.es/dspace/bitstream/10045/4412/5/03c-AplicacionesWeb.pdf
Cliente: Gestiona las peticiones del usuario y la recepcin de las pginas que provienen del servidor. Interpreta documentos HTML.
Servidor Web El servidor web habilita el acceso mediante el protocolo http a un sitio web realizando conexiones con el cliente generando una respuesta del lado del cliente. Protocolos de Comunicacin - IP: Internet Protocol. TCP: Transmition Control Protocol. HTTP: Hipertext Transfer Protocol.
1.1.3
MARCO DE TRABAJO DE COBIT 4.1
COBIT (Control Objectives for Information and related Technology)Objetivos de Control para la Informacin y Tecnologas relacionadas, es un marco de trabajo creado por la Asociacin de Auditora y Control de Sistemas de Informacin, ISACA (Information Systems Audit and Control Association) para las Tecnologas de la informacin (TI) y de Gobierno de TI constituyndose como un marco de referencia y un conjunto de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas tcnicos, riesgos de negocio y comunicar ese nivel de control a los Interesados.
COBIT fue publicado por primera vez en 1996, la versin actual, COBIT 4.1 se public en 2007. ISACA finaliz la versin de COBIT 5 para finales del ao 2011 y su publicacin fue en el ao 2012. COBIT 4.1 brinda un marco de trabajo para administrar y controlar las actividades de TI y sustenta cinco requerimientos para un marco de control, estos son:
1. Enfoque en el negocio COBIT consigue un enfoque fuerte en el negocio al alinear los objetivos de TI con los objetivos del negocio. 2. Orientacin a procesos Con la propiedad de los procesos definida, asignada y aceptada, la organizacin est mejor capacitada para mantener el control durante los perodos de cambios rpidos o crisis organizacional. 3. Aceptacin general COBIT es un estndar probado y globalmente aceptado para alinear TI al Negocio. COBIT provee a sus usuarios la siguiente informacin: Direccin ejecutiva.- Para obtener valor de las inversiones y para balancear las inversiones en riesgo y control en un ambiente de TI con frecuencia impredecible. Gerencia del negocio.- Para obtener certidumbre sobre la administracin y control de los servicios de TI, proporcionados internamente o por terceros. Gerencia de TI.- Para proporcionar los servicios de TI que el negocio requiere para dar soporte a la estrategia del negocio de una forma controlada y administrada. Auditores.- Para respaldar sus opiniones y/o para proporcionar asesora a la gerencia sobre controles internos.
4. Requerimientos regulatorios Las organizaciones utilizan COBIT para verificar el cumplimiento de las regulaciones exigidas por las entidades de control (internas / externas) en torno al desempeo de TI. 5. Lenguaje comn COBIT se aplica a los SI de toda la empresa. Est basado en la filosofa que TI necesita ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos. 1.1.3.1. Estructura
COBIT se divide en tres niveles: Dominios, Procesos y Actividades En el Figura 1.2 se resume la estructura de COBIT 4.1 que define que los recursos de TI son manejados por procesos de TI para lograr que las metas de TI respondan a los requerimientos del negocio.
Figura 1. 2 Estructura COBIT 4.1
Fuente: http://www.isaca.org/Knowledge-Center/COBIT/Documents/COBIT4.1spanish.pdf
Dominios.- Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. Estos dominios son: Planear y Organizar. Adquirir e Implementar. Entregar y Dar Soporte. Monitorear y Evaluar.
Procesos.- COBIT subdivide a TI en 34 procesos de acuerdo a las reas de responsabilidad de planear, construir, ejecutar y monitorear, ofreciendo una visin de punta a punta de las TI. Los conceptos de arquitectura empresarial ayudan a identificar aquellos recursos esenciales para el xito de los procesos, estos son:
Aplicaciones.- Entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Datos.- Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc.
Tecnologa.- Incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes,
telecomunicaciones, multimedia, etc. Instalaciones.- Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano.- Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.
Actividades.- Acciones requeridas para lograr un resultado medible.
El marco de trabajo COBIT 4.1 se muestra en el Figura 1.3, est compuesto por cuatro dominios que contienen 34 procesos genricos.
Figura 1. 3 Marco de Trabajo COBIT 4.1
Fuente: http://www.isaca.org/Knowledge-enter/COBIT/Documents/COBIT4.1spanish.pdf
1.1.3.2 Objetivos de Control COBIT define objetivos de control para los 34 procesos, as como para el proceso general y los controles de aplicacin.
Control se define como las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para brindar una seguridad razonable que los objetivos
10
de negocio se alcanzarn y los eventos no deseados sern prevenidos o detectados y corregidos.
Los objetivos de control de TI de COBIT 4.1 estn organizados por proceso de TI, en total se describen 302 objetivos de control detallados. Adems, de los objetivos de control detallados, cada proceso COBIT tiene requerimientos de control genricos que se identifican con PCn() que significa Process Control Number (Nmero de Control de Proceso). Tambin, ofrece un conjunto de objetivos de control de
aplicaciones, identificados por ACn() que significa Application Control Number (Nmero de Control de Aplicacin). En el Figura 1.4 se muestra la relacin entre los controles definidos por COBIT 4.1.
Figura 1. 4 Relacin entre controles definidos COBIT 4.1
Fuente: http://www.isaca.org/Knowledge-enter/COBIT/Documents/COBIT4.1spanish.pdf
11
1.1.4
INTRODUCCIN A LAS DIRECTRICES DE COBIT PARA AUDITORA DE APLICACIONES
Las Directrices son guas orientadas a proveer a la Gerencia de TI, la direccin para mantener bajo control la informacin de la empresa y sus procesos relacionados, para monitorear el logro de las metas organizacionales y para monitorear el desempeo de cada proceso de TI.
Las directrices de COBIT se constituyen como los Objetivos de Control de Alto Nivel (Procesos definidos de COBIT 4.1, correspondiente a cada dominio). Un ejemplo de
directriz de auditora: PO9 Evaluar y Administrar Riesgos de TI, asociado a los objetivos de control detallados, utilizndolos para proporcionar a la gerencia la certeza o recomendaciones de mejoramiento.
Tabla 1. 1 Definicin de Directrices de Auditora Fuente: Elaborado por los autores
1.1.4.1 Objetivos de las Directrices Contar con una estructura para auditar y evaluar controles. Proveer informacin sobre cmo cumplir la Auditora de SI. Ayudar a los directivos a identificar en qu casos los controles son suficientes, o para asesorarlos respecto a los procesos que requieren ser mejorados. Constituir una gua para el auditor de SI, el mismo que debe: o Usar el juicio profesional para aplicarlas. o Poder justificar cualquier diferencia.
1.1.4.2 Directrices de COBIT 4.1 orientadas a la auditoria de aplicaciones informticas
Para cumplir con una auditora de aplicaciones informticas, las directrices ms relevantes que se pueden utilizar, son las detalladas en la Tabla 1.2 en donde se marca con una X aquellas sugeridas por ISACA y aquellas que han sido definidas por la institucin financiera para los procesos de auditora.
12
A utilizarse segn definiciones de la institucin financiera para los procesos de auditora. X X
Sugeridas por 2 ISACA (G14 )
Anlisis realizado Directrices de COBIT 4.1
PO2 - Definir la arquitectura de la Informacin P04 - Definir Procesos, Organizacin y Relaciones de TI PO7 - Administrar Recursos Humanos de TI PO8 Administrar Calidad P09 - Evaluar y Administrar Riesgos de TI AI2 - Adquirir y Mantener el Software Aplicativo AI6 Administrar Cambios AI7 - Instalar y Acreditar Soluciones y Cambios DS2 - Administrar Servicios de Terceros DS3 - Administrar Desempeo y Capacidad DS4 - Garantizar la Continuidad del Servicio DS5 - Garantizar la Seguridad de los Sistemas DS10 - Administrar los Problemas DS11 - Administrar los Datos ME2 - Monitorear y Evaluar el Control Interno AC2Recoleccin y Entrada de Informacin Fuente AC3 Verificaciones de exactitud, totalidad, y autenticidad X X X X X X X X X X
X X X X X X X X X
X X
Directriz de auditora definida por ISACA que describe las prcticas recomendadas para la revisin de los sistemas de aplicacin, vigente desde Noviembre 2001. La informacin completa de la Directriz G14, se encuentra en http://www.isaca.org/Knowledge-Center/Standards/Documents/G14AppSysRev-15Oct08.pdf
Criterios de Informacin sugeridos por ISACA (G14) S S P P S S P S S P
13
AC4 Integridad y Validez del Procesamiento AC5 Revisin de Salidas, Reconciliacin y Manejo de Errores
X X
AC6 Autenticacin e integridad de transacciones X Tabla 1. 2 Directrices - Auditora de Aplicaciones Fuente: Elaborado por los autores
Segn la directriz G14 definida por ISACA, los criterios de informacin para una revisin de sistemas de aplicacin son:
P= Primarios: Disponibilidad, confiabilidad, integridad y confidencialidad. S= Secundarios: Cumplimiento, eficacia y eficiencia. Adems, existen directrices de auditora de Sistemas de Informacin definidas por ISACA, que pueden ser de mucha utilidad para el auditor al momento de planificar una auditora de aplicaciones informticas. El auditor debe considerarlas utilizando su criterio profesional para su aplicacin y estar preparado para justificar cualquier desviacin. Estas se describen en el Anexo 1: Directrices de auditora de Sistemas de Informacin definidas por ISACA, para el presente proyecto destaca la Directriz G14.
1.2 DEFINICIN DE CONTROLES PARA LA AUDITORIA DE APLICACIONES INFORMTICAS

Segn el Manual de Preparacin del Examen CISA 2011, los controles se definen como: polticas, procedimientos, prcticas y estructura organizacional implantados con la finalidad de reducir riesgos. Son establecidos para proveer seguridad razonable de que los objetivos de la organizacin sern alcanzados. Existe dos aspectos claves que los controles deben atender son: Qu debera lograrse. Qu debera evitarse.
14
A continuacin se describe en la Tabla 1.3 la clasificacin de los diferentes tipos de control.
Clase Preventivos
Funcin - Detectan los problemas antes de que aparezcan. - Monitorean tanto la operacin como las entradas. - Intentan predecir los problemas potenciales antes de que ocurran y realizan ajustes. - Evitan que ocurra un error, omisin o acto malicioso. - Utilizan controles que detectan e informan la ocurrencia de un error, omisin acto fraudulento.
Ejemplos - Segregar funciones. - Controlar acceso a instalaciones fsicas. - Utilizar documentos bien diseados. - Establecer procedimientos adecuados para la autorizacin de transacciones.
Detectivos
- Revisin de logs de seguridad o transacciones para detectar intentos de acceso no autorizado. - Revisin de logs transaccionales para identificar transacciones inusuales. - Planificacin de contingencia. - Procedimientos de respaldo.
Correctivos
- Minimizar el impacto de una amenaza - Remediar errores descubiertos por controles detectivos. - Identificar la causa de un problema. - Corregir errores que surgen de un problema. - Modificar los sistemas de procesamiento para minimizar futuras ocurrencias del problema.
Tabla 1. 3 Clasificacin Tipos de Control Fuente: Manual de Preparacin del Examen CISA 2011
1.2.1 OBJETIVOS DEL CONTROL INTERNO El objetivo de control interno son los resultados deseados que deben ser alcanzados con la implementacin de actividades de control, que son las tareas que se deben realizar para cumplir dicho objetivo. Por ejemplo: Cumplimiento de las polticas corporativas. Confiabilidad de los procesos. Confiabilidad de los servicios de TI, entre otros.
15
Una variante de los objetivos de control interno son los objetivos de control de TI, que son objetivos de control interno orientados a procesos de TI. Por ejemplo: Salvaguarda de activos. Eficacia y eficiencia de operaciones. Integridad de la informacin sensitiva. Integridad de la informacin financiera para accionistas / pblico, autorizacin de las transacciones, entre otros.
1.2.2 CONTROLES GENERALES DE TI Los Controles Generales de TI estn dirigidos a los controles del ambiente
computacional y de los sistemas operativos. Por ejemplo: Estrategia y direccin de TI. Desarrollo de sistemas y control de cambios. Operaciones de procesamiento de datos. Procedimientos de aseguramiento de calidad del procesamiento de datos. Controles de acceso fsico. Planeacin de continuidad del negocio / Recuperacin de desastres Redes y comunicaciones. Administracin de bases de datos.
1.2.3 CONTROLES DE APLICACIN Los controles de aplicacin consisten de actividades manuales y/o automatizadas una combinacin de las dos, que aseguran que la informacin cumple con ciertos criterios, estn dirigidos a las aplicaciones computacionales individuales que soportan los procesos del negocio. Por ejemplo: Acceso a las funciones de las aplicaciones. Validaciones en la entrada de datos. Niveles de autorizacin para transacciones en la aplicacin. Reportes. Pistas de auditora, entre otros.
16
Los
controles
de
aplicacin
se
establecen
sobre
funciones
de
entrada,
procesamiento y salida de datos, como se describe en la Tabla 1.4.

Tipo Control Controles de Entrada/Origen: Controles de Procesamiento Funcin Objetivo
Controles de salida:
Controles de integridad
Mantener la integridad de los Ingresar datos completos, datos que son ingresados al correctos y vlidos. sistema Generalmente automatizados, Validar que el procesamiento proveen una forma de asegurar realice la tarea correcta. que el procesamiento de las transacciones sea completa, adecuada y autorizada Direccionan a las operaciones Obtener resultados que que fueron realizadas con los satisfagan las expectativas. datos. Se puede establecer comparaciones entre las salidas generadas y los ingresos realizados Verificar la integridad y Datos completos y vlidos consistencia de los datos durante todo el proceso. procesados Tabla 1. 4 Controles de Aplicacin
Fuente: Manual de Preparacin del Examen CISA 2011
COBIT 4.1
define seis controles de aplicacin ACn, como se mencion
anteriormente, en la seccin: 1.1.3.2 Objetivos de Control, Estos son:
AC1 Preparacin y Autorizacin de Informacin Fuente. Asegurar que los documentos fuente estn preparados por personal autorizado y calificado siguiendo los procedimientos establecidos, teniendo en cuenta una adecuada segregacin de funciones respecto al origen y aprobacin de estos documentos. Los errores y omisiones pueden ser minimizados a travs de buenos diseos de formularios de entrada. Detectar errores e irregularidades para que sean informados y corregidos.
AC2 Recoleccin y Entrada de Informacin Fuente. Establecer que la entrada de datos se realice en forma oportuna por personal calificado y autorizado. Las correcciones y reenvos de los datos que fueron errneamente ingresados se deben realizar sin comprometer los niveles de
17
autorizacin de las transacciones originales. En donde sea apropiado para reconstruccin, retener los documentos fuentes originales durante el tiempo necesario.
AC3 Chequeos de Exactitud, Integridad y Autenticidad Asegurar que las transacciones son exactas, completas y vlidas. Validar los datos ingresados, y editar o devolver para corregir, tan cerca del punto de origen como sea posible.
AC4 Integridad y Validez del Procesamiento Mantener la integridad y validacin de los datos a travs del ciclo de procesamiento. Deteccin de transacciones transacciones vlidas. errneas no interrumpe el procesamiento de
AC5 Revisin de Salidas, Reconciliacin y Manejo de Errores Establecer procedimientos y responsabilidades asociadas para asegurar que la salida se maneja de una forma autorizada, entregada al destinatario apropiado, y protegida durante la transmisin; que se verifica, detecta y corrige la exactitud de la salida y que se usa la informacin proporcionada en la salida.
AC6 Autenticacin e Integridad de Transacciones Antes de pasar datos de la transaccin entre aplicaciones internas y funciones de negocio/operativas (dentro o fuera de la empresa), verificar el apropiado direccionamiento, autenticidad del origen e integridad del contenido. Mantener la autenticidad y la integridad durante la transmisin o el transporte.
En la Tabla1.5 se muestra los tipos de control ACn de acuerdo al tipo de control.
18
Tipos de Control Controles de Entrada/Origen
- Autorizacin de entrada de datos firmas en formularios por lotes documentos de origen, controles de acceso en lnea, contraseas, identificacin de terminal o estacin de trabajo. Controles de AC4 - Re-clculos manuales en base a Procesamiento muestras para asegurarse que los datos fueron procesados correctamente. - Verificacin de edicin para validar que los datos ingresados y procesados por una aplicacin sean ntegros y vlidos. Controles de salida AC5 - Registro y almacenamiento de formularios negociables, sensibles y crticos en un lugar seguro. - Distribucin de reportes de acuerdo a parmetros de distribucin autorizada. Controles de integridad AC6 - Controles en los procesos de modificacin, insercin, eliminacin actualizacin de datos, para garantizar que la informacin sea vlida a lo largo de todo el proceso. Tabla 1. 5 Controles ACn de acuerdo al tipo de control Fuente: http://auditoriasistemasucb.pbworks.com/f/ProcesosCOBIT41_ig.pdf
Controles de Aplicacin- ACn AC1 AC2 AC3
Ejemplos
COBIT 4.1 define la relacin P=primaria S= secundaria entre los Objetivos de Control de Aplicacin y los Criterios de Informacin.
Figura 1. 5 Objetivos de Control de Aplicacin vs Criterios de Informacin
Fuente: http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/ Pages/COBIT-andApplication-Controls-A-Management-Guide.aspx
19
1.2.4 ANLISIS DE LOS PROCESOS COBIT 4.1 Y OBJETIVOS DE CONTROL PARA AUDITORA DEAPLICACIONES INFORMTICAS. Las directrices de COBIT utilizadas para la auditora de aplicaciones informticas, estn representados por varios de los procesos de los Dominios de COBIT 4.1 y de sus objetivos de control asociados. A continuacin se presenta un anlisis de los procesos de COBIT 4.1 y de los objetivos de control que pueden utilizarse para planificar y efectuar una auditora de aplicaciones informticas tipo web o de cualquier otra arquitectura, los que se utilizarn son aquellos definidos segn anlisis realizado por los autores descritos en la Tabla 1. 2 Directrices - Auditora de Aplicaciones.
Proceso de COBIT 4.1 PO2 Definir la arquitectura de informacin
Definicin del Proceso La funcin de los sistemas de informacin crea y actualiza peridicamente el modelo de informacin del negocio y define los sistemas apropiados para optimizar el uso de esta informacin. Esto abarca el desarrollo de un diccionario de datos y las reglas de sintaxis de datos de la organizacin, el esquema de clasificacin de los datos y los niveles de seguridad. Este proceso mejora la calidad de la gestin de toma de decisiones, al garantizar la entrega de informacin confiable y segura, facilitando la racionalizacin de los recursos de sistemas de informacin para satisfacer adecuadamente las estrategias empresariales. Este proceso de TI tambin es necesario para consolidar la responsabilidad de reportar el estado de la integridad y la seguridad de los datos, ampliando la eficacia y el control del intercambio de informacin entre las aplicaciones y la organizacin.
Objetivos de Control COBIT 4.1 PO2.4 Gestin de integridad
Tabla 1. 6 Anlisis de los procesos COBIT 4.1 y Objetivos de control para auditora de aplicaciones informticas. Fuente: Elaborado por los Autores en base a COBIT 4.1.
20
Proceso de COBIT 4.1 PO4 Definir los procesos, organizacin y
Definicin del Proceso
Objetivos de Control COBIT 4.1
relaciones de TI
AI2 Adquirir mantener software aplicativo
AI6 Gestionar cambios
Una organizacin de TI est definida en base a las necesidades de personal, las aptitudes, funciones, obligacin de rendir cuenta, autoridad, roles, responsabilidades y la supervisin. Esta organizacin se incrusta en un marco de procesos de TI que garantice la transparencia y el control, as como la participacin de altos ejecutivos y la gerencia de la organizacin. Un comit de estrategia asegura que la junta de supervisin de las TI, y uno o ms comits de direccin en la que participan las reas de negocios y TI, determinen la priorizacin de los recursos de TI de acuerdo a las necesidades del negocio. Se habilitan los procesos, las polticas y los procedimientos administrativos para todas las funciones, con especial atencin al control y garanta de calidad, gestin de riesgos, seguridad de la informacin, propiedad de datos y sistemas, y la segregacin de funciones. TI es involucrada en los procesos relevantes de decisin para asegurar el soporte oportuno de los requerimientos del negocio. Las aplicaciones se hacen disponibles en lnea con los requerimientos del negocio. Este proceso cubre el diseo de las aplicaciones, la inclusin correcta de los controles de aplicacin y los requerimientos de seguridad, as como el desarrollo y la configuracin alineados con los estndares. Esto le permite a las organizaciones apoyar apropiadamente sus operaciones de negocios con las aplicaciones automatizadas correctas. Todos los cambios relacionados con la infraestructura y aplicaciones dentro del entorno de produccin, inclusive los mantenimientos de emergencia y los parches, se gestionan formalmente y de modo controlado. Los cambios (inclusive sobre procedimientos, procesos y parmetros de servicio y de sistema) son registrados, evaluados y autorizados antes de su implementacin y comparados contra los resultados luego de su implementacin. Esto asegura una mitigacin de los riesgos que afecten negativamente la estabilidad o integridad del entorno de produccin.
PO4.11 Segregacin de funciones
AI2.3 Control y auditabilidad aplicaciones.
de
las
AI6.1 Estndares y procedimientos para cambios. AI6.2 Evaluacin de impacto, priorizacin y autorizacin. AI6.3 Cambios de emergencia. AI6.4 Seguimiento y reporte de estado de los cambios. AI6.5 Cierre y documentacin del cambio
Continuacin Tabla 1. 6 Anlisis de los procesos COBIT 4.1 y Objetivos de control para auditora de aplicaciones informticas.
21
Proceso de COBIT 4.1 AI7 Instalar y acreditar soluciones y cambios
Definicin del Proceso Los nuevos sistemas necesitan entrar en operacin una vez que se ha completado el desarrollo, lo que requiere de pruebas adecuadas en un entorno dedicado con datos de prueba relevantes, la definicin del despliegue e instrucciones de migracin, la planificacin de la liberacin, el pase a produccin y una revisin luego de su implementacin. Esto asegura que los sistemas en operacin estn alineados con las expectativas y resultados acordados. La necesidad de asegurar que los servicios de terceros (proveedores, vendedores y asociados) cumplan con los requerimientos del negocio requiere un proceso de gestin de terceros. Este proceso se realiza definiendo claramente los roles, responsabilidades y expectativas en los acuerdos con terceros as como la revisin y monitoreo de tales acuerdos en busca de eficacia y cumplimiento. La gestin eficaz de servicios de terceros minimiza el riesgo de negocio asociado con el incumplimiento de proveedores. La necesidad de gestionar el desempeo y la capacidad de los recursos de TI requiere de un proceso para su revisin peridica, lo que incluye pronosticar necesidades futuras basndose en requerimientos de carga de trabajo, almacenamiento y contingencia. Este proceso provee la garanta de que los recursos de informacin que soportan los requerimientos del negocio estn disponibles en forma continua.
Objetivos de Control COBIT 4.1 AI7.6 Pruebas de cambios. AI7.7 Pruebas de aceptacin final. AI7.8Promocin a produccin.
DS2 Gestionar los servicios de terceros
DS2.3 Gestin de riesgos de proveedores. DS2.4 Monitoreo del desempeo de proveedores
DS3 Gestionar el desempeo y la capacidad
DS3.4 Disponibilidad de recursos de TI
DS4 Garantizar la continuidad del servicio
La necesidad de proveer servicios continuos de TI requiere del desarrollo, mantenimiento y pruebas de planes de continuidad de TI, utilizar almacenamiento de respaldos fuera de las instalaciones y proporcionar entrenamiento peridico sobre el plan de continuidad. Un proceso eficaz de servicio continuo minimiza la probabilidad y el impacto de una interrupcin de un servicio crtico de TI en funciones y procesos claves del negocio.
DS4.2 Planes de Continuidad de TI DS4.4 Mantenimiento del Plan de Continuidad de TI DS4.8 Recuperacin y Reanudacin de los Servicios de TI DS4.9 Almacenamiento externo de respaldos
22
Proceso de COBIT 4.1 DS5 Garantizar la seguridad de los sistemas
Definicin del Proceso
Objetivos de Control COBIT 4.1
La necesidad de mantener la integridad de la informacin y proteger los activos de TI precisa de un proceso de gestin de seguridad, lo que incluye establecer y mantener los roles, las responsabilidades, polticas, estndares y procedimientos de seguridad de TI. Adems, realizar monitoreos de seguridad y pruebas peridicas e implementar acciones correctivas para identificar debilidades de seguridad o incidentes. Una gestin efectiva de seguridad protege todos los activos de TI para minimizar el impacto de vulnerabilidades de seguridad e incidentes en el negocio. Una efectiva administracin de problemas requiere la identificacin y clasificacin de problemas, el anlisis de las causas desde su raz, y la resolucin de problemas. El proceso de administracin de problemas tambin incluye la identificacin de recomendaciones para la mejora, el mantenimiento de registros de problemas y la revisin del estatus de las acciones correctivas. Un efectivo proceso de administracin de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y satisfaccin del usuario. La gestin eficaz de datos precisa de la identificacin de las necesidades de datos. El proceso de gestin de datos tambin incluye el establecimiento de procedimientos eficaces para la gestin de la biblioteca de medios, backup, restauracin y una adecuada eliminacin de los medios. La gestin de datos ayuda a garantizar la calidad, oportunidad y disponibilidad de los datos del negocio.
DS5.3 Gestin de identidad. DS5.4 Gestin de cuentas de usuario. DS5.11 Intercambio de datos Sensitivos
DS10 Administrar Problemas
DS10.1 Identificacin y Clasificacin de Problemas
DS11 Gestionar datos
DS11.1 Requerimientos del negocio para la gestin de datos DS11.2 Acuerdos para el almacenamiento y la conservacin DS11.3 Sistema de gestin de librera de medios DS11.4 Eliminacin DS11.5 Respaldo y restauracin DS11.6 Requisitos de seguridad para la gestin de datos
23
Proceso de COBIT 4.1 AC2 Recoleccin y Entrada de Informacin Fuente AC3 Verificaciones de exactitud, totalidad, y autenticidad AC4 Integridad y Validez del Procesamiento AC5 Revisin de Salidas, Reconciliacin y Manejo de Errores AC6 Autenticacin e integridad de transacciones
Definicin del Proceso Establecer que la entrada de datos se realice en forma oportuna por personal calificado y autorizado. Las correcciones y reenvos de los datos que fueron errneamente ingresados se deben realizar sin comprometer los niveles de autorizacin de las transacciones originales. En donde sea apropiado para reconstruccin, retener los documentos fuentes originales durante el tiempo necesario. Asegurar que las transacciones son exactas, completas y vlidas. Validar los datos ingresados, y editar o devolver para corregir, tan cerca del punto de origen como sea posible.
Objetivos de Control COBIT 4.1 AC2 Recoleccin y Entrada de Informacin Fuente
AC3 Verificaciones de exactitud, totalidad, y autenticidad
Mantener la integridad y validacin de los datos a travs del ciclo de procesamiento. Deteccin de transacciones errneas no interrumpe el procesamiento de transacciones vlidas. Establecer procedimientos y responsabilidades asociadas para asegurar que la salida se maneja de una forma autorizada, entregada al destinatario apropiado, y protegida durante la transmisin; que se verifica, detecta y corrige la exactitud de la salida; y que se usa la informacin proporcionada en la salida. Antes de pasar datos de la transaccin entre aplicaciones internas y funciones de negocio/operativas (dentro o fuera de la empresa), verificar el apropiado direccionamiento, autenticidad del origen e integridad del contenido. Mantener la autenticidad y la integridad durante la transmisin o el transporte.
AC4 Integridad Procesamiento
Validez
del
AC5 Revisin de Salidas, Reconciliacin y Manejo de Errores
AC6 Autenticacin e integridad de transacciones
24
1.3 MARCOS DE TRABAJO PARA EL DESARROLLO DE LA AUDITORA

Actualmente existen varios estndares reconocidos internacionalmente cuya misin principal es guiar a las empresas al logro de sus objetivos y mejoras en su gobierno de TI en base a lo denominado como mejores prcticas, dichos estndares deben aplicarse al negocio dependiendo de la particularidad del mismo y de los procesos a auditarse. Las mejores prcticas de TI posibilitan y soportan:
Una mejor gestin de TI que es esencial para el xito de la estrategia de la empresa. Un gobierno eficaz de las actividades de TI. Un marco de referencia eficaz para la gestin de polticas, controles internos y prcticas definidas, que es necesario para que todos sepan lo que hay que hacer.
Muchos otros beneficios, incluyendo ganancia de eficiencias, menor dependencia de expertos, menos errores, mejora de la confianza de los socios de negocios y de entidades reguladores.
A continuacin se detalla el marco de trabajo para los tres estndares que en la actualidad estn ampliamente utilizados a nivel global, estos son: COBIT 4.1, ITIL v3 e ISO 27002. 1.3.1 COBIT 4.1 La estructura de COBIT 4.1 ha sido detallada en la seccin 1.1.3 Marco de Trabajo COBIT 4.1. 1.3.2 ITIL V3 ITIL por sus siglas en ingls significa Information Technology Infrastructure Library (Biblioteca de la Infraestructura de TI). Sus orgenes se remontan a la dcada de los 80 cuando el gobierno britnico, preocupado por la calidad de
25 los servicios TI de los que dependa la administracin, solicito a una de sus agencias la CCTA, Central Computer and Telecommunications Agency (Agencia Central para la Informtica y las Telecomunicaciones), que se convirti en la OGC, Office of Government Commerce (Oficina de Comercio Gubernamental), en abril del 2001, para que desarrollara un estndar para la provisin eficiente de servicios TI. ITIL V3 es una serie de publicaciones que se utilizan para describir y optimizar un marco de trabajo para la Gestin de la calidad de Servicio dentro de una organizacin. La filosofa de ITIL es globalmente reconocida como la fundacin de las mejores prcticas de la Gestin de Servicio de TI. Su objetivo de mejorar la calidad de los servicios TI ofrecidos, evitar los problemas asociados a los mismos y en caso de que estos ocurran ofrecer un marco de actuacin para que estos sean solucionados con el menor impacto y rapidez.
1.3.2.1 Estructura ITIL v3 consta de cinco libros basados en el ciclo de vida del servicio, estos son: Estrategia del Servicio. Se enfoca en el estudio de mercado y posibilidades mediante la bsqueda de servicios innovadores que satisfagan al cliente tomando en cuenta la real factibilidad de su puesta en marcha. As mismo se analizan posibles mejoras para servicios ya existentes.
Diseo del Servicio Una vez identificado un posible servicio el siguiente paso consiste en analizar su viabilidad. Para ello se toman factores tales como infraestructura disponible, capacitacin del personal y se planifican aspectos como seguridad y prevencin ante desastres. Para la puesta en marcha se toman en consideracin la reasignacin de cargos (contratacin, despidos, ascensos, jubilaciones, entre otros), la infraestructura y software a implementar.
26 Transicin del Servicio Antes de poner en marcha el servicio se deben realizar pruebas. Para ello se analiza la informacin disponible acerca del nivel real de capacitacin de los usuarios, estado de la infraestructura, recursos TI disponible, entre otros. Luego se prepara un escenario para realizar pruebas; se replican las bases de datos, se preparan planes de rollback (reversin) y se realizan las pruebas. Luego de ello se limpia el escenario hasta el punto de partida y se analizan los resultados, de los cuales depender la implementacin del servicio. En la evaluacin se comparan las expectativas con los resultados reales.
Operacin del Servicio En este punto se monitorea el funcionamiento del servicio, se registran eventos, incidencias, problemas, peticiones y accesos al servicio.
Mejora Continua del Servicio Se utilizan herramientas de medicin y feedback para documentar la informacin referente al funcionamiento del servicio, los resultados obtenidos, problemas ocasionados, soluciones implementadas, entre otros. Para ello se debe verificar el nivel de conocimiento de los usuarios respecto al nuevo servicio, fomentar la investigacin referente al servicio y compartir la informacin al resto de los usuarios.
1.3.2.2 Funciones, procesos y roles ITIL marca una clara distincin entre funciones y procesos, adicional incorpora el concepto de rol.
Funcin: es una unidad especializada en la realizacin de una cierta actividad y es la responsable de su resultado. Las funciones incorporan todos los recursos y capacidades necesarias para el correcto desarrollo de dicha actividad. Las funciones tienen como principal objetivo dotar a las organizaciones de una estructura acorde con el principio de especializacin.
Proceso: es un conjunto de actividades interrelacionadas orientadas a cumplir un objetivo especfico.
27 Los procesos comparten las siguientes caractersticas: Cuantificables y se basan en el rendimiento. Tienen resultados especficos. Tienen un cliente final que es el receptor de dicho resultado. Se inician como respuesta a un evento.
El Centro de Servicios y la Gestin del Cambio son dos claros ejemplos de funcin y proceso respectivamente.
Rol: es un conjunto de actividades y responsabilidades asignadas a una persona o un grupo. Una persona o grupo puede desempear simultneamente ms de un rol. Hay cuatro roles genricos que juegan un papel especialmente importante en la gestin de servicios TI:
Gestor del Servicio.- Es el responsable de la gestin de un servicio durante todo su ciclo de vida: desarrollo, implementacin,
mantenimiento, monitorizacin y evaluacin. Propietario del Servicio.- Es el ltimo responsable cara al cliente y a la organizacin TI de la prestacin de un servicio especfico. Gestor del Proceso.- Es el responsable de la gestin de toda la operativa asociada a un proceso en particular: planificacin,
organizacin, monitorizacin y generacin de informes. Propietario del Proceso.- Es el ltimo responsable frente a la organizacin TI de que el proceso cumple sus objetivos. Debe estar involucrado en su fase de diseo, implementacin y cambio asegurando en todo momento que se dispone de las mtricas necesarias para su correcta monitorizacin, evaluacin y eventual mejora.
1.3.3 ISO 27002
El estndar internacional fue publicado por la ISO (www.iso.org/ISO/home.htm) y la IEC, que establecieron el comit tcnico mixto ISO/IEC JTC 1. La fuente histrica para el estndar fue BS 7799-1, cuyas partes esenciales fueron tomadas en el desarrollo de la norma ISO/IEC 17799:2005. Su primera edicin
28 en el ao 2000 y actualizada en junio de 2005. Se puede clasificar como las mejores prcticas actuales en materia de sistemas de gestin de seguridad de la informacin. El objetivo del estndar ISO/IEC 27002:2005 es brindar informacin a los responsables de la implementacin de seguridad de la informacin de una organizacin. Es definida como una buena prctica para desarrollar y mantener normas de seguridad y prcticas de gestin en una organizacin para mejorar la fiabilidad en la seguridad de la informacin en las relaciones interorganizacionales.
1.3.3.1 Estructura
Se definen las estrategias de 133 controles de seguridad organizados bajo 11 dominios. La ISO 27002 recalca la importancia de la gestin del riesgo y establece que no es necesario aplicar cada parte, sino slo aquellas que sean relevantes de acuerdo a las necesidades de la organizacin. Proporciona recomendaciones de las mejores prcticas en la gestin de la seguridad de la informacin a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestin de la seguridad de la informacin. La seguridad de la informacin se define en el estndar como: la preservacin de la confidencialidad (asegurando que slo quienes estn autorizados pueden acceder a la informacin), integridad (asegurando que la informacin y sus mtodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran). La ISO 27002 incluye once secciones principales, estas son: 1. Poltica de Seguridad de la Informacin. 2. Organizacin de la Seguridad de la Informacin. 3. Gestin de Activos de Informacin. 4. Seguridad de los Recursos Humanos. 5. Seguridad Fsica y Ambiental. 6. Gestin de las Comunicaciones y Operaciones.
29 7. Control de Accesos. 8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin. 9. Gestin de Incidentes en la Seguridad de la Informacin. 10. Gestin de Continuidad del Negocio. 11. Cumplimiento. Dentro de cada seccin, se especifican los objetivos de los distintos controles para la seguridad de la informacin.
1.3.4 INTERRELACIN DE LOS ESTNDARES COBIT 4.1, ITIL V3, EISO/IEC 27002 PARA AUDITORA DE APLICACIONES INFORMTICAS.
Las mejores prcticas y los estndares ayudan a posibilitar un gobierno eficaz de las actividades de TI. El uso de estndares y mejores prcticas tales como COBIT 4.1, ITIL v3 e ISO/IEC 27002, actividades de TI. mejora el desempeo, transparencia y control sobre
Para el presente trabajo utilizaremos COBIT 4.1. Sin embargo se determina que se puede combinar las directrices de otros estndares, las mejores prcticas de TI deben ajustarse a los requisitos del negocio y ser integradas entre s y con los procedimientos internos. En el Anexo 2: Interrelacin de los Marcos de Trabajo COBIT-ITIL-ISO27002, se describe el anlisis de los procesos de COBIT 4.1 y sus objetivos de control que se indican en la Tabla 1. 6: Anlisis de los procesos COBIT 4.1 y Objetivos de control para auditora de aplicaciones informticas, para la ejecucin de una auditora de aplicaciones, los cuales han sido mapeados a secciones especficas de ITIL e ISO/IEC 27002.
30
CAPITULO 2 PLAN APLICACIN WEB

2.1.
DE
AUDITORIA
DE
LA
ESTUDIO DE LA APLICACIN WEB CAJERO DE
VENTANILLAS A SER AUDITADA

La aplicacin a ser auditada se la denominar como: Cajero de Ventanillas (CV) que es aquella usada por los cajeros en ventanilla para procesar las transacciones de depsitos, retiros, pago de cheques, pago a proveedores, recaudaciones entre otros.
2.1.1 DESCRIPCIN La aplicacin CV, est basada en la Arquitectura Windows DNA3, que significa por sus siglas en ingls: Windows Distributed InterNet Applications Architecture (Arquitectura de Aplicaciones de Internet Distribuida).
El cliente trabaja en computadoras personales enlazados a un servidor de red, los componentes pueden ser instalados en un servidor de componentes en servidor de aplicaciones.
2.1.2 ARQUITECTURA FSICA La infraestructura para implementar el modelo de computacin distribuida en Internet en el que est basado el sistema CV, se muestra en el Figura 2.1.
Windows DNA es la nomenclatura utilizada por Microsoft para definir a una coleccin de tecnologas que permiten a la plataforma Windows e internet trabajar en conjunto. Algunas de sus tecnologas son el Active X, DHTML y COM.
31
Figura 2. 1 Arquitectura de la Aplicacin
Fuente: Entidad Bancaria
2.1.2.1 Servidores La distribucin y configuracin de los servidores est basada en el siguiente esquema:
Figura 2. 2 Distribucin Servidores
Descripcin Servidor Web
Cantidad 3
Software Sistema Operativo Windows 2003 Server. Microsoft Frameworks 1.0
Servidor de Base de Datos
Sistema Operativo Windows 2003 Server. SQL Server 2000
Tabla 2. 1 Descripcin Servidores Fuente: Entidad Bancaria
32
2.1.2.2 Clientes
Descripcin PCs Agencias Cantidad 250 Software Sistema Operativo Windows XP superior. Microsoft Internet Explorer 6.0 o superior. Tabla 2. 2 Descripcin Clientes Fuente: Entidad Bancaria
2.1.2.3 Herramientas de Desarrollo La aplicacin ha sido desarrollada con plataforma .NET. La siguiente tabla muestra los diferentes leguajes que permitieron desarrollar el aplicativo CV.
Ambiente Cdigo Interfaz Cliente Actives Componentes de Negocio Cdigo Servidor Herramienta de Desarrollo Jscript, VbScript, HTML Visual Basic 6.0 C# Asp.NET
Tabla 2. 3 Herramientas de Desarrollo Fuente: Entidad Bancaria
2.1.3 ARQUITECTURA LOGICA Se identifica los componentes internos, cada uno de los cuales ser responsable de resolver los diferentes servicios de la aplicacin, estos componentes son:
Figura 2. 3 Arquitectura Lgica de la Aplicacin
33 Usuarios.-Ente que interacta directamente con la aplicacin CV, en este caso Cajeros y Supervisores. Capa de Presentacin.-Parte de la solucion o proyecto que ofrece al usuario un modo de interactuar con la aplicacin. Capas empresariales.-Una vez que el proceso de usuario ha recopilado los datos necesarios, stos se pueden utilizar para realizar un proceso empresarial de negocio. Capa de datos.-La mayora de las aplicaciones y servicios necesitan obtener acceso a un repositoriode datos en un momento determinado del proceso empresarial. Orgenes de datos.-Estructura de almacenamiento de informacin. Servicios.-Programas expuestos para que las aplicaciones puedan interactuar entre s, ejemplo: web service.
La aplicacin CV interacta con otras aplicaciones para proveer varios servicios al usuario final, estas son: Core Financiero.- Contiene la informacin de los clientes y es la encargada de autorizar o no las transacciones. acceso de los usuarios a la aplicacin. Divisas.- Para obtener el valor de la cotizacin de las divisas la transaccin de compra o venta de divisas. Cubos de Informacin.- Toma la informacin de todas las Adems, controla el
transacciones realizadas para formar el cubo de ventanillas y obtener informacin gerencial. Tarjetas de Crdito.- Para verificar la informacin y el saldo a pagar de los clientes. Switch Transaccional.- Para realizar las transacciones obtenidas por concepto de recaudaciones.
2.1.4 MDULOS Y TRANSACCIONES DE LA APLICACIN CV
La aplicacin CV consta de cinco mdulos, compuestos por transacciones que han sido definidas de acuerdo a las necesidades del negocio, en la Figura 2.4 se detalla estos mdulos.
34
Figura 2. 4 Mdulos Aplicacin Cajero de Ventanillas
Mdulo
No. Elementos
15 Transacciones
Elemento Inicializar las transacciones Pago de Cheques Depsitos Retiros Pago a Proveedores Recaudaciones Bono de Solidaridad Pago Aportes y Fondos IESS Pago de Pensiones del IESS Certificacin de Cheques Ruteos de transacciones Reversos de transacciones Actualizar Libreta Cambiar Libreta Compra / Venta de Divisas
Tabla 2. 4 Elementos Mdulo Transacciones
35
Mdulo Consultas No. Elementos 3 Elemento Lista de Transacciones Lista de Cajeros Cuadre de Oficina
Tabla 2. 5 Elementos Mdulo Consultas
Mdulo Reportes
No. Elementos 4
Elemento Planilla Total Efectivo Planilla Total Cheques Planilla Total Cajero Planilla Detalles Retenciones
Tabla 2. 6 Elementos Mdulo Reportes
Mdulo Control
No. Elementos 3
Elemento Trasferencias con Bveda Configuracin de la Oficina Registro Ingreso / Egreso de Caja
Tabla 2. 7 Elementos Mdulo Control
Mdulo Herramientas
No. Elementos 2
Elemento Firmas Calculadora
Tabla 2. 8 Elementos Mdulo Herramientas
2.2. ELABORACIN DEL PROGRAMA DE AUDITORA

El programa de auditora es la estrategia que utilizar el auditor de SI para realizar la evaluacin de su asignacin en particular, ste identifica el alcance, los objetivos para lograr evidencia suficiente, competente y confiable para obtener y sustentar las conclusiones y opiniones de auditora. Segn COBIT los auditores de SI evalan los sistemas de TI desde las siguientes perspectivas: Seguridad (confidencialidad, integridad y disponibilidad). Calidad (efectividad, eficiencia, confiabilidad). Cumplimiento. Recursos Involucrados en los procesos.
36 2.2.1 ELABORACIN DEL PROGRAMA DE AUDITORA PARA LA EVALUACIN DE LA APLICACIN WEB
Un programa de auditora no sigue necesariamente un conjunto especfico de pasos, provee como mnimo los pasos secuenciales para obtener una comprensin del objeto a auditar, en este caso la aplicacin CV con el objetivo de evaluar la estructura de control, probar los controles y lograr evidencia suficiente, competente y confiable para obtener y sustentar las conclusiones y recomendaciones. El producto inicial y crtico del proceso de auditora debe ser el programa de auditora, que es la gua para la ejecucin y documentacin de todos los siguientes pasos de la auditora.
Tabla 2. 9 Importancia del Programa de Auditora
Fuente: Elaborado por los autores.
A continuacin se muestra el desarrollo de un programa de auditora para aplicaciones informticas el cual se ha desarrollado utilizando las directrices de COBIT 4.1 y de sus objetivos de control detallados, los mismos que se definieron previamente (Seccin: 1.2.4 Anlisis de los Procesos COBIT 4.1 y Objetivos de Control para Auditora de Aplicaciones Informticas).
Ms adelante se definirn los objetivos de control y actividades que se utilizarn para la auditora de la aplicacin web CV.
37
Directriz de COBIT 4.1 (Proceso COBIT utilizado) No Aplica
Objetivo de Control detallado de COBIT 4.1 No Aplica
DS5 - Garantizar la DS5.3 Gestin seguridad de los identidad sistemas. DS5.4 Gestin cuentas de usuario
Objetivo de Control Descripcin Objetivo Actividades de Control (DEFINIDAS EN (Definido por los de Control (Definido BASE A LAS GUAS DE AUDITORA DE autores) por los autores) COBIT 4.1 Y DE LOS AUTORES) Comprensin de la Comprender el proceso 1.1. Relevar el proceso del negocio aplicacin. del negocio y la forma 1.2. Comprender los mdulos de la como la aplicacin lo aplicacin con sus respectivas maneja. funcionalidades. de Revisin del control de Se han definido 2.1. Verificar la existencia de un accesos y manejo de polticas y procedimiento para la administracin de contraseas de la procedimientos de usuarios que acceden a las aplicaciones. seguridad para la 2.2. Validar que los usuarios creados en la de aplicacin. administracin de aplicacin son los autorizados y que los ex usuarios. empleados y personal de vacaciones La aplicacin cuenta con tcnicas y herramientas de seguridad lgica para restringir el acceso a los recursos de informacin. hayan sido desactivados. 2.3. Validar los parmetros establecidos para la contrasea en la aplicacin (Complejidad, longitud, histricos, caducidad, etc.) y que estn de acuerdo a las mejores prcticas y a las polticas definidas en la institucin. 2.4. Verificar los inicios de sesin mltiples, accesos por URLs, tiempo de inactividad de la aplicacin. 3.1. Verificar que el procedimiento de creacin, asignacin y mantenimiento de perfiles se cumple de acuerdo a las polticas y procedimientos de seguridad de la informacin de la institucin.
DS5 - Garantizar la DS5.4 Gestin de seguridad de los cuentas de usuario. sistemas. PO4.11 Segregacin de PO4 - Definir los funciones. procesos, organizacin y relaciones de TI.
Los perfiles de usuario cuentan con procedimientos de control aprobado por la gerencia para garantizar que son generados y asignados con base en las funciones de los cargos y el principio de segregacin de tareas. Tabla 2. 10 Programa de Auditora - Fuente: Elaborado por los Autores
Revisin de los perfiles de usuarios autorizados en la aplicacin y la segregacin de funciones.
38
Directriz de COBIT 4.1 (Proceso COBIT utilizado) DS5 - Garantizar la seguridad de los sistemas
Objetivo de Control Objetivo de Control Descripcin Objetivo detallado de COBIT (Definido por los de Control (Definido 4.1 autores) por los autores) DS5.3 Gestin de Transacciones Crticas. Identificacin de las identidad Transacciones Crticas y su asignacin a usuarios autorizados.
PO2 Definir arquitectura informacin.
de Revisin de los controles asociados a la salida y entrega de informacin. AC5 Revisin de AC5 Revisin de Salidas, Reconciliacin Salidas, Reconciliacin y Manejo de Errores. y Manejo de Errores.
la PO2.4 Gestin de integridad.
Se han definido controles que aseguren que los datos son entregados a los usuarios en una forma consistente y segura.
AC2 Recoleccin y AC2 Recoleccin y Revisin de los Existen procedimientos Entrada de Informacin Entrada de Informacin controles asociados al de control de entrada Fuente Fuente ingreso de datos. que aseguren que toda transaccin que vaya a ser procesada sea AC3 Verificaciones de AC3 Verificaciones de recibida y registrada exactitud, totalidad, y exactitud, totalidad, y correcta y autenticidad. autenticidad completamente. 6.2. Verificar los controles automatizados implementados para efectuar el registro de los datos 6.3. Verificar la existencia de un procedimiento para la modificacin de las parametrizaciones del sistema y validar su cumplimiento.
Continuacin Tabla 2.10 Programa de Auditora
Actividades de Control (DEFINIDAS EN BASE A LAS GUAS DE AUDITORA DE COBIT 4.1 Y DE LOS AUTORES) 4.1. Identificar las transacciones crticas de la aplicacin en conjunto con los responsables de la aplicacin / mdulos y validar su funcionalidad. 4.2. Identificar los perfiles y usuarios que tengan las transacciones/opciones identificadas como crticas. 4.3. Validar el principio de segregacin de funciones 5.1. Verificar que los reportes que contienen informacin sensible tenga controles para impedir se proceda a exportar los datos. 5.2. Revisar que la informacin sensible que est siendo consultada a travs de la aplicacin sea realizada por usuarios autorizados. 6.1. Validar que exista un control de monto mximo por transaccin y cuando se supere ese valor se solicite autorizacin de la lnea de supervisin y validar todas las transacciones que requieren de autorizacin
39
Directriz de COBIT 4.1 Objetivo de Control (Proceso COBIT detallado de COBIT utilizado) 4.1 DS5 Garantizar la DS5.11 Intercambio de seguridad de los datos sistemas Sensitivos
Objetivo de Control (Definido por los autores) Revisin de los controles asociados al procesamiento batch.
Descripcin Objetivo de Control (Definido por los autores) Existen controles de procesamiento aprobados por la gerencia que aseguren la integridad y la exactitud de los datos.
AC4 Integridad y Validez del Procesamiento
AC4 Integridad y Validez del Procesamiento
Revisin de los Existen controles de controles asociados al procesamiento procesamiento on line. aprobados por la gerencia que aseguren la integridad y la exactitud de los datos procesados.
Actividades de Control (DEFINIDAS EN BASE A LAS GUAS DE AUDITORA DE COBIT 4.1 Y DE LOS AUTORES) 7.1. Verificar si existe una proteccin adecuada para la informacin sensitiva durante la transmisin y transporte en cuanto a accesos y modificaciones no autorizadas. 7.2. Identificar las carpetas FTP y verificar que la lista de usuarios de las carpetas identificadas y sus permisos sean los autorizados. 7.3. Verificar el procedimiento cuando se detecta un error en los archivos 8.1. Identificar los controles que se utilizan en la aplicacin para asegurar que los datos se procesen correctamente y sin el riesgo de duplicar o eliminar informacin (Anular, reversar, corregir). 8.2. Analizar los controles que se tienen en la aplicacin para garantizar el registro en la base de datos de las transacciones que se ejecutan en lnea 8.3. Identificar el procedimiento a seguir en caso de encontrar errores durante el procesamiento de informacin e impedir que estos errores afecten a la operacin del sistema (rollback de la transaccin).
40
Directriz de COBIT 4.1 (Proceso COBIT utilizado) 9 DS5 Garantizar seguridad de sistemas
Objetivo de Control detallado de COBIT 4.1
Objetivo de Control (Definido por los autores)
Descripcin Objetivo de Control (Definido por los autores)
Actividades de Control (DEFINIDAS EN BASE A LAS GUAS DE AUDITORA DE COBIT 4.1 Y DE LOS AUTORES)
la DS5.4 Gestin de Integridad de los datos. Revisin de la 9.1. Validar que el personal que puede los cuentas de Usuario. afectacin directa a los acceder a la base de datos de la datos de la base de aplicacin es el adecuado. datos de la aplicacin. 9.2. Identificar las tablas crticas de la aplicacin. 9.3. Validar los permisos de los usuarios con accesos a tablas crticas de la base de datos de la aplicacin.
10 DS10 problemas
Se valida con el rea Gestionar DS10.1 Identificacin y Revisin de errores y usuaria cuales son los clasificacin de necesidades en la errores ms comunes problemas funcionalidad de la que se presentan en aplicacin. las funcionalidades de la aplicacin y se revisa que necesidades funcionales no se incluyen dentro de la aplicacin.
10.1. Revisar con el rea usuaria los errores ms comunes en las funcionalidades de la aplicacin 10.2. Revisar con el rea usuaria cuales son las necesidades funcionales que la aplicacin no cubre.
41
Directriz de COBIT 4.1 (Proceso COBIT utilizado)
Objetivo de Control detallado de COBIT 4.1 AI6.1 Estndares y procedimientos para cambios AI6.2 Evaluacin de impacto, priorizacin y autorizacin AI6.3 Cambios de emergencia
Descripcin Objetivo de Control (Definido por los autores) Las modificaciones a los sistemas de aplicacin existentes se implantan adecuadamente y funcionan de acuerdo con las intenciones de la gerencia.
11
AI6.4 Seguimiento y reporte de estado de AI6 Gestionar cambios los cambios AI7 Instalar y acreditar AI6.5 Cierre y soluciones y cambios. documentacin del cambio AI7.6 Pruebas de cambios AI7.7 Pruebas de aceptacin final AI7.8 Promocin a produccin. AI2.3 Control y auditabilidad de las aplicaciones
Revisin de los cambios efectuados en la aplicacin.
Existen bitcoras (logs) donde se registren los accesos a informacin crtica en 11.1. Verificar la existencia de un la aplicacin. Adems, procedimiento para la ejecucin de estos registros son cambios en la aplicacin. revisados regularmente para evaluar si el acceso y uso de dicha informacin fue el adecuado
42
Directriz de COBIT 4.1 (Proceso COBIT utilizado) 12
AI2 Adquirir y mantener AI 2.3 Control y Evaluacin de los logs software aplicativo auditabilidad de las de auditora de la aplicaciones aplicacin
13
DS2 Gestionar los DS2.3 Gestin servicios de terceros riesgos de proveedores
de Evaluacin de aspectos contractuales. Licencias en caso de aplicaciones de terceros
DS2.4 Monitoreo del desempeo de proveedores
Descripcin Objetivo de Control (Definido por los autores) Los niveles de seguridad de la aplicacin se activan para registrar e informar de incidentes de seguridad que no cumplan las polticas definidas por la institucin; los informes generados se revisan peridicamente y se toman medidas correctivas. Existen contratos para el mantenimiento y soporte tcnico de la aplicacin que garanticen la disponibilidad de la aplicacin en trminos que garanticen la calidad del servicio a la institucin
Actividades de Control (DEFINIDAS EN BASE A LAS GUAS DE AUDITORA DE COBIT 4.1 Y DE LOS AUTORES) 12.1. Validar si la aplicacin cuenta con logos transaccionales y de seguridad, si estn activados y qu informacin almacenan. 12.2. Verificar si se realiza una revisin peridica de estos logos y la existencia de un procedimiento de las acciones a tomar en caso de encontrar novedades (formal o no) 12.3. Identificar a qu niveles se reporta la informacin encontrada en los logs de la aplicacin 13.1. Revisar la existencia, completitud y vigencia de los contratos para la adquisicin y mantenimiento de la aplicacin 13.2. Validar que los contratos cuenten con clusulas que especifiquen los niveles de servicio de la aplicacin y su correspondiente monitoreo por las partes 13.3. Verificar que los contratos cuenten con clusulas que no pongan en riesgo la disponibilidad del servicio de la aplicacin ni su informacin 13.4. Revisar la existencia y validez de las licencias para el uso del aplicativo
43
Directriz de COBIT 4.1(Proceso COBIT utilizado)
Objetivo de Control detallado de COBIT 4.1 DS3.4 Disponibilidad de recursos de TI
14
DS4.2 Planes de el Continuidad de TI la DS4.4 Mantenimiento del Plan de Continuidad DS4 Garantizar la de TI continuidad del servicio DS4.8 Recuperacin y Reanudacin de los Servicios de TI DS3 Gestionar desempeo y capacidad
La gerencia dispone de un estudio de evaluacin de impacto en clientes y usuarios debido a fallas o cadas temporales de la Evaluacin del impacto aplicacin, as como de de las contingencias y un plan para la su remediacin remediacin de la contingencia
14.1. Verificar la existencia de procedimientos de contingencia tecnolgica, operativa y su adecuada aplicacin
44
Directriz de COBIT 4.1 (Proceso COBIT utilizado) 15
Objetivo de Control detallado de COBIT 4.1 DS4.9 Almacenamiento externo de respaldos
DS4 Garantizar la continuidad del servicio DS11 Gestionar datos
DS11.1 Requerimientos del negocio para la gestin Relevamiento de datos DS11.2 Acuerdos para administracin respaldos el almacenamiento y la conservacin DS11.3 Sistema gestin de librera de medios DS11.4 Eliminacin DS11.5 Respaldo restauracin y de
de
la Los respaldos de obtenidos con relacin a la aplicacin son adecuados
15.1. Validar con el rea usuaria que el perodo de respaldo vaya de acuerdo a las necesidades del negocio y que cumplan con lo establecido por las entidades de control.
DS11.6 Requisitos de seguridad para la gestin de datos
45
Directriz de COBIT 4.1 (Proceso COBIT utilizado)
16
Cumplimiento
Revisar si los reportes y la informacin cumplen con todos los aspectos legales impuestos por las entidades de control.
16.1. Identificar con los responsables de la aplicacin (negocio), si existen reportes que deban ser emitidos para las entidades de control y si su emisin es correcta.
46
2.3. DEFINICIN DEL ALCANCE DEL PROGRAMA DE AUDITORA

Definir el alcance del programa de auditora permite identificar qu objetivos de control sern incluidos en la revisin y en base a ello emitir el informe de la auditora.
El alcance de la auditora est determinado de acuerdo con el objeto a auditar, el cual est compuesto por todos los recursos informticos (personas, equipos, aplicaciones, capacitacin, entre otros.), la informacin y los controles.
Para definir el alcance se ha establecido factores que permitan calificar a cada uno de los objetivos de control establecidos para la auditora de aplicaciones informticas tipo web, de tal manera que se pueda determinar si los controles cumplen con los criterios de informacin establecidos por COBIT 4.1, los mismos que son: efectividad, eficiencia, integridad, disponibilidad, confidencialidad, confiabilidad y cumplimiento.
De acuerdo a COBIT a estos criterios se los puede agrupar en factores que estn orientados a la seguridad, calidad, cumplimiento y recursos involucrados en los procesos.
2.3.1. FACTOR 1: CRITERIOS QUE ORIENTAN A LA SEGURIDAD SEGN COBIT Confidencialidad.- Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Integridad.- Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad.- Se refiere a que la informacin est disponible cuando sea requerida por los procesos del negocio en cualquier momento. Tambin involucra a la proteccin y salvaguarda de los recursos.
47
2.3.2 FACTOR 2. CRITERIOS QUE SE FOCALIZAN EN LA CALIDAD SEGN COBIT Efectividad.- Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, consistente y de manera utilizable. Eficiencia.- Consiste en que la informacin sea generada con el ptimo (ms productivo y econmico) uso de los recursos. Confiabilidad.- Se refiere a proporcionar la informacin apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades de reportes financieros y de cumplimiento. correcta,
2.3.3 FACTOR 3. CRITERIO ORIENTADO AL CUMPLIMIENTO SEGN COBIT Cumplimiento.- Se refiere a acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales est sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, as como polticas internas. 2.3.4 FACTOR 4. RECURSOS INVOLUCRADOS EN LOS PROCESOS SEGN COBIT Aplicaciones.- Incluyen sistemas automatizados y procedimientos manuales que procesan informacin. Informacin.- Son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de informacin. Infraestructura.- Es la tecnologa y las instalaciones (hardware, sistemas operativos, sistemas de administracin de base de datos, redes, multimedia, entre otros., as como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. Personas.- Personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de informacin. Estas pueden ser internas, por outsourcing o contratadas de acuerdo al requerimiento del negocio.
48
Estos criterios se encuentran enlazados a cada una de las directrices de COBIT 4.1, cada criterio de informacin tiene una referencia definida por COBIT 4.1, los mismos que son: primario, secundario o en blanco ya que algunos procesos tienen mayor impacto en la meta de TI que otros.
A continuacin se define la razn por la cual los criterios pueden ser primarios, secundarios o se encuentran en blanco, segn COBIT.
Primario.- Si definen objetivos de control que impactan directamente los criterios de informacin considerados.
Secundario.- Si definen objetivos de control que solo satisfacen una extensin pequea o satisfacen indirectamente al criterio de informacin considerado.
En blanco.- Podra ser aplicable. Sin embargo los requerimientos son satisfechos de una forma ms apropiada por otro criterio en este proceso y/o en otro proceso.
El detalle de la matriz que muestra cada proceso calificado con sus criterios de informacin y su referencia, se lo muestra en el Anexo 3:
Matriz_Alcance_de_Auditora.xlsx.
Pueden existir varios criterios para definir el alcance de un programa de auditora, uno de ellos es presentado en la matriz descrita en el Anexo 3, que define los criterios de COBIT4.1 que se enfocan en la seguridad, calidad, cumplimiento y los recursos involucrados. Los objetivos de control que se pueden definir para ser
evaluados pueden ser determinados en base a las ponderaciones que se han establecido. Por ejemplo el criterio para seleccionar estos objetivos de control
pueden ser los que hayan alcanzado una calificacin de riesgo alto. Otro de los criterios que el auditor de Sistemas puede tomar, es en base al conocimiento de la aplicacin y del entorno tecnolgico que le rodea, en cuyo caso
49
los objetivos de control a ser auditados se definirn en base a la experiencia del auditor.
Es recomendable trabajar con los dos criterios descritos anteriormente, ya que stos se complementan.
Para el presente trabajo se tomarn los dos criterios definidos: Objetivos de Control con calificacin de riesgo Alto y experiencia del auditor, en el transcurso de la elaborarn y
ejecucin de la auditora de los controles implementados, se establecern las observaciones resultado del proceso.
En el Captulo 3, se incluir en el Programa de Auditora, los objetivos de control resultado de los criterios definidos anteriormente.
50
CAPITULO 3. EJECUCIN DEL PLAN DE AUDITORA

En la ejecucin de la auditora se debe cumplir los objetivos planteados que se describen en el programa de auditora. Los objetivos de la auditora incluyen el aseguramiento del cumplimiento, la confidencialidad, integridad y disponibilidad de los recursos de informacin y de TI.
En este captulo se verificar el nivel de cumplimiento de los criterios de informacin definidos por COBIT 4.1, para la aplicacin Cajero de Ventanillas, de acuerdo a los objetivos de control establecidos en el Captulo 2.
Para verificar dicho cumplimiento se ha utilizado las siguientes tcnicas de auditora:
Pruebas de cumplimiento.- Consiste en recolectar evidencia con el propsito de probar el cumplimiento de una organizacin con procedimientos de control, y determinar si estos estn siendo aplicados de acuerdo a las polticas y procedimientos de gestin determinados por la entidad. Por ejemplo: polticas de control de cambios de programas, accesos de usuarios, entre otros.
Pruebas sustantivas.- Consiste en recolectar evidencia para evaluar la integridad de transacciones individuales, datos u otra informacin. Por
ejemplo: clculo de intereses pagado en una muestra de cuentas de clientes.
3.1. RELEVAMIENTO Y EJECUCIN DE LA AUDITORA

Durante esta etapa el auditor debe tener como elemento principal de trabajo a la evidencia, entendindose a esta como cualquier informacin usada por el auditor de SI para determinar si el objeto que est siendo auditado cumple con los criterios de informacin, en base a las evidencias relevantes que son definidas a criterio y
51
experiencia del auditor regulaciones de la entidad, se obtendrn las respectivas conclusiones.
A continuacin se describen las tcnicas de recopilacin de evidencia que sern utilizadas:
Revisin de estructuras organizacionales. Revisin de polticas y procedimientos estndares. Revisin de la documentacin de la aplicacin. Entrevista con personal involucrado. Observaciones de procesos y desempeo de los usuarios. Inspeccin y verificacin.
Otro de los elementos utilizados en la ejecucin de la auditora son las tcnicas de muestreo, que son aplicadas cuando por factores de tiempo y costo no se puede realizar la verificacin total de todas las transacciones eventos en una poblacin definida. Segn el Manual de Preparacin del Examen CISA 2011.Se define a la muestra como un subconjunto de miembros de una poblacin utilizada para realizar pruebas y se usa para inferir caractersticas de una poblacin.
Las tcnicas de muestreo utilizadas en Auditora son:
Tcnicas de muestreo estadstico.- Basadas en las leyes matemticas de la probabilidad para calcular el tamao de la muestra y seleccionar los objetos. El auditor decide cuantitativamente el grado de aproximacin con que la muestra debera representar a la poblacin. Al utilizar este tipo de muestra, la seleccin de los objetos pueden ser o no representativos, pues se seleccionan al azar. Para utilizar esta tcnica de muestreo se pueden utilizar herramientas automticas como son: ACL Audit Command Language (Lenguaje de Comandos de Auditoria) e IDEA, Interactive Data Extraction and Analysis (Software para Anlisis y Extraccin de Datos en forma Interactiva).
52
Tcnicas de muestreo no estadstico.- Segn el Manual de Preparacin al Examen CISA 2011 , las tcnicas de muestreo no estadstico son aquellas en la cual el tamao de la muestra y los elementos seleccionados son determinados en base al juicio y experiencia del auditor respecto al criterio subjetivo de cuales elementos tienen mayor importancia y riesgo.
Para la ejecucin de la presente auditora se utilizar la Tcnica de Muestreo no estadstico.
Durante la ejecucin de la auditora, el auditor de SI en base a las pruebas realizadas en cada objetivo de control, determina si un control es efectivo o inefectivo. Un control es efectivo cuando existe y est implementado de acuerdo a regulaciones, polticas, mejores prcticas entre otros parmetros de control establecidos por la entidad de tal manera que mitiguen los riesgos que se puedan presentar, Un control es inefectivo si ste no existe, est mal implementado o est incompleto, consecuentemente no mitiga los riesgos que se pueden presentar.
En el Anexo 4. Relevamiento y Ejecucin de la Auditora, se describe el trabajo realizado en la auditora de la aplicacin informtica, Cajero de Ventanilla, que muestra la evaluacin de los objetivos de control definidos en el Captulo 2. Adems, se define si un objetivo de control es efectivo o inefectivo.
53
3.2. ANLISIS DE RIESGOS DE LAS VULNERABILIDADES IDENTIFICADAS

Esta fase est destinada a identificar, evaluar y valorar los riesgos de las
vulnerabilidades encontradas, la frecuencia, impacto y probabilidad de ocurrencia de los mismos.
Es importante aclarar varios conceptos que se utilizarn a partir de la presente seccin para mayor comprensin y objetividad del anlisis, estos son: amenaza, vulnerabilidad, hallazgo, riesgo, en base a estos criterios se realizar el anlisis de riesgo de las vulnerabilidades identificadas en la aplicacin Cajero de Ventanillas.
AMENAZA
Evento que puede crear situaciones de incertidumbre ante
la posibilidad de
ocurrencia de algn hecho daino sobre recursos de informacin, tales como: destruccin, divulgacin, modificacin de datos, negacin de servicios.
HALLAZGO
Cualquier situacin deficiente y relevante que determine el auditor mediante procedimientos de auditora sobre reas crticas. Por lo tanto, abarca hechos y asuntos que llaman la atencin del auditor y que en su opinin merecen ser comunicados a los funcionarios responsables de la entidad auditada y a otras personas interesadas.
VULNERABILIDAD
La vulnerabilidad es una condicin o conjunto de condiciones que pueden hacer que una amenazase concrete y haga dao a los SI, se origina por una deficiencia en los
54
controles, debido a que estn mal diseado, incompletos, mal implementados ausentes, cuando el auditor encuentra una vulnerabilidad se dice que existe hallazgo de una vulnerabilidad. el
RIESGO
Segn la Gua ISO/CEI 73, el riesgo se define como la combinacin de la probabilidad de un suceso y sus consecuencias, es el potencial de que una amenaza dada explote las vulnerabilidades de un activo o grupo de activos, causando prdida o dao a los mismos. Componentes del riesgo
Procesos y/o activos (incluyendo todos los activos de una organizacin, fsicos, financieros, humanos e intangibles / informacin).
Impacto.- magnitud del resultado cuando una amenaza explota una vulnerabilidad.
Probabilidad.- combinacin de la frecuencia de ocurrencia de la amenaza (cada cunto ocurre la amenaza) y la exposicin (cada cunto ocurre la actividad que contiene la amenaza).
Tipos de Riesgos
Riesgo inherente.- es una condicin que siempre est presente y puede ocurrir debido a la naturaleza del negocio riesgo.
Riesgo residual.- permanecen despus de que se haya realizado acciones o implementado controles para reducir el impacto y la probabilidad de un acontecimiento adverso.
El auditor de SI debe evaluar las fortalezas y debilidades de los controles y determinar si son efectivos o inefectivos para cumplir los objetivos de control
55
establecidos. A partir de esta definicin, se pueden identificar los hallazgos de vulnerabilidades y determinar el riesgo que stas implican.
En la Tabla 3.1 se describe algunos ejemplos para mayor claridad a los conceptos antes mencionados.
Amenaza Sustraccin de informacin. Indisponibilidad aplicacin Vulnerabilidad Incorrecta asignacin de perfiles. de la Ausencia de un proceso de contingencia definido para la aplicacin. Ubicacin del Centro de Datos en el subsuelo en una zona con alto nivel de lluvias. Sistema de extincin de incendios sin mantenimiento durante el ltimo ao. Falta de capacitacin en el manejo de situaciones crticas al personal de seguridad de la entidad. Riesgo Acceso a Informacin confidencial por personas no autorizadas. Prdida de servicios que presta la aplicacin. Mala imagen ante clientes. Prdida de clientes. Prdida total o parcial del servicio Prdida de informacin. Prdida total del servicio Prdida de informacin. Prdida de vidas humanas. Prdida del servicio Prdida de informacin.
Inundacin
Incendio
Asalto
Tabla 3. 1 Interrelacin: Vulnerabilidad, Amenaza, Riesgo
Fuente: Elaborado por los Autores
3.2.1 MATERIALIDAD DE LOS HALLAZGOS La materialidad de los hallazgos significa cuales de estos deben presentarse en un reporte de auditora, teniendo en cuenta qu informacin es significativa para los distintos niveles de gerencia y el efecto en la organizacin en caso de que no se realicen las acciones correctivas.
En la Tabla 3.2, se detallan los hallazgos identificados en la aplicacin Cajero de Ventanillas y los riesgos asociados.
56
ACTIVIDADES DE CONTROL (DEFINIDAS EN BASE A LAS GUAS DE CONCLUSIN HALLAZGOS DE VULNERABILIDADES AUDITORA DE COBIT 4.1 Y DE LOS AUTORES) 2.2. Validar que los Inefectivo La poltica "Administracin de Usuarios" elaborada usuarios creados en la por el rea de Seguridad de la Institucin Financiera aplicacin son los (IF), indica que: "En ambiente de Produccin ningn autorizados y que los usuario mantendr el estado de activo, cuando el ex empleados y empleado propietario del mismo, se encuentre personal en perodo de definitivamente separado de la IF", sin embargo, de la vacaciones hayan sido revisin a los usuarios que tienen acceso a la desactivados. aplicacin CV, se identific que existen 7 personas que se encuentran en la lista de ex empleados de la IF y todava permanecen como usuarios activos de la aplicacin que tienen asignados opciones como: "Retiros y Depsitos en cuentas de clientes" 2.2. Validar que los Inefectivo La poltica "Administracin de Usuarios" elaborada usuarios creados en la por el rea de Seguridad de la IF, indica que: Se aplicacin son los generarn usuarios genricos nicamente para identificar a los componentes o programas que autorizados y que los ex empleados y realizan transacciones de batch, convivencia, entre personal en perodo de otros y no para ser usados bajo responsabilidad de vacaciones hayan sido los funcionarios de la IF, sin embargo, se identificaron que existen 25 usuarios genricos que desactivados. son utilizados por los Cajeros, para sus labores diarias. 4.2. Identificar los Inefectivo La poltica "Definicin de Perfiles" elaborada por el perfiles y usuarios que rea de Seguridad de la Informacin de la IF, indica tengan las que: "Los responsables de las reas debern depurar transacciones/opciones y ratificar al menos una vez al ao, los perfiles de su identificadas como rea'', sin embargo, de la revisin efectuada a una crticas muestra de perfiles y transacciones crticas de la aplicacin CV bajo la responsabilidad del rea Call Center, se identific a 5 usuarios que por la naturaleza de sus funciones y por el riesgo inherente no deberan tener acceso a dichas opciones por ejemplo: Recaudaciones, Cuadre de la ventanilla, Anular/Reversar. Adems, de la revisin efectuada a una muestra de perfiles y transacciones crticas de la aplicacin CV bajo la responsabilidad del rea Operativa, identificamos opciones asignadas a 20 usuarios que por la naturaleza de sus funciones y por el riesgo inherente no deberan tener acceso a dichas opciones. Por ejemplo: Recaudaciones, Depsitos, Pago de Cheques, Retiros, Configuracin de Oficinas Tabla 3. 2 Hallazgos de vulnerabilidades Identificados y Riesgos Asociados Fuente: Elaborado por los Autores
RIESGOS
Acceso a transacciones e informacin confidencial por ex empleados
Imposibilidad de deteccin de usuarios que realizaron transacciones inusuales.
Acceso a informacin confidencial y ejecucin de transacciones crticas por personal que no debera tener asignado dichas transacciones
57
ACTIVIDADES DE CONTROL (DEFINIDAS EN BASE A LAS GUAS DE AUDITORA DE COBIT 4.1 Y DE LOS AUTORES) 6.2. Verificar los controles automatizados implementados para efectuar el registro de los datos
CONCLUSIN
HALLAZGOS DE VULNERABILIDADES
RIESGOS
Inefectivo
Existe operaciones de pago y depsito que no verifican el nombre y cuenta del cliente al momento de procesar la transaccin, por lo que si el cajero de ventanilla digit de forma incorrecta el nmero de la cuenta o si estuvo mal la cuenta en la papeleta de pago o depsito, la transaccin se registrar con errores.
- Procesar transacciones en cuentas incorrecta
- Reclamos de los clientes por De la revisin a la muestra de transacciones, se identifica transacciones que en las siguientes no se realiza la validacin incorrectas mencionada anteriormente: - Pago de tarjetas de crdito - Pago de Corporacin que produce cosmticos.
6.3. Verificar la existencia de un procedimiento para la modificacin de las parametrizaciones del sistema y validar su cumplimiento
Inefectivo
La aplicacin CV para su adecuado funcionamiento utiliza ciertos parmetros como: montos sobre los cuales se solicita el ruteo para autorizacin de transacciones, nmero de retiros permitidos por da, entre otros, en la revisin identificamos que no existe un procedimiento documentado para crear o modificar los parmetros de la aplicacin en el que se incluyan los pasos a seguir para realizar cambios a los parmetros, las personas que autorizan, ingresan y revisan los cambios.
Cambios no autorizados a los parmetros de la aplicacin
La aplicacin CV no dispone de un log que almacene la informacin de los cambios a los parmetros, nicamente se cuenta con una tabla en la base de datos donde se encuentran los parmetros vigentes del aplicativo. 10.1. Revisar con el rea usuaria los errores ms comunes en las funcionalidades de la aplicacin Inefectivo En la revisin al reporte de problemas frecuentes, se identifica que existen 30 registros de problemas que se presentan con recurrencia en la aplicacin CV y que fueron reportados en el primer trimestre del ao 2012 por el rea de tecnologa de la entidad, estos son: - Servicios no disponibles en la aplicacin - La aplicacin no se encuentra disponible o presenta lentitud
Dificultad para detectar oportunamente cambios no autorizados a los parmetros Prdida de la imagen de la IF ante sus clientes, por indisponibilidad de los servicios que ofrece la aplicacin
Continuacin Tabla 3. 2 Hallazgos de vulnerabilidades Identificados y Riesgos Asociados
58
ACTIVIDADES DE CONTROL (DEFINIDAS EN BASE A LAS GUAS DE CONCLUSIN HALLAZGOS DE VULNERABILIDADES AUDITORA DE COBIT 4.1 Y DE LOS AUTORES) 12.3. Identificar Inefectivo La aplicacin CV tiene activado un log en el que se registra a qu niveles se informacin de las transacciones que realiza el cliente. Este reporta la log no es monitoreado peridicamente, consecuentemente informacin no se informa las novedades registradas. encontrada en los logs de la Mediante la revisin peridica de estos logs podran aplicacin identificarse actividades sospechosas, por ejemplo intentos de acceso fallidos por repetidas ocasiones, transacciones seguidas por montos elevados, entre otros. 14.1. Verificar la Inefectivo La norma "JB-2005 834 Gestin de Riesgo Operativo" de la 4 existencia de Superintendencia de Bancos y Seguros del Ecuador (SBS) procedimientos indica que: Todas las instituciones controladas debern de contingencia contar con procedimientos de contingencia debidamente tecnolgica, probados. Adems, los planes de contingencia deben incluir operativa y su un cronograma y procedimientos de prueba y mantenimiento adecuada del plan. Se identific que no se han realizado pruebas aplicacin formales del plan de contingencia en caso de fallas en los servidores de la aplicacin para garantizar la efectividad y el correcto funcionamiento del mismo.
RIESGOS
No identificacin de transacciones inusuales
- Interrupcin o paralizacin de los procesos que operan con la aplicacin. - Sanciones de la entidad de control por incumplimiento de la norma
Continuacin Tabla 3. 2 Hallazgos de vulnerabilidades Identificados y Riesgos Asociados
3.2.2EVALUACIN DE RIESGOS Una vez que los riesgos han sido identificados es necesario valorarlos, para ello se requiere la determinacin y clculo de los criterios de anlisis de riesgo para lo cual se puede utilizar dos mtodos usados frecuentemente, estos son:
Mtodo cualitativo.- Son clasificaciones sencillas de significancia del riesgo que pueden ser alto, medio bajo, con base en el juicio profesional del auditor
Entidad que regula y supervisa en el Ecuador el sistema financiero, de seguros privados y de seguridad social.
59
de SI y del conocimiento del negocio. comnmente utilizados. -
Son los ms sencillos y ms
Mtodo Cuantitativo.- Usan valores numricos o letras para describir la significancia del riesgo en base al impacto y la probabilidad de ocurrencia de los mismos.
Significancia del riesgo, es el grado o nivel de afectacin (alto, medio o bajo) que podra tener un riesgo en la consecucin de un objetivo para la efectividad de las operaciones, confiabilidad de la informacin o cumplimiento.
Tabla 3. 3 Definicin de Significancia de Riesgo
Para realizar el anlisis y la valoracin del riesgo se utilizar el Mtodo Cuantitativo, en el cual es necesario elaborar las escalas de probabilidad e impacto. Esto con la finalidad de obtener una calificacin del riesgo.
Para el presente trabajo se utilizar una matriz de modelo estndar para anlisis de riesgo, que puede ser utilizada para cualquier organizacin en la cual se est realizando auditora a sus aplicaciones o procesos de negocio.
60
MODELO PARA ANLISIS DE RIESGO ESTANDAR PARA UNA ORGANIZACIN Probabilidad de que algo salga mal Rara vez Ocasional Probable No es probable Puede suceder Bastante que suceda algunas veces. probable que pero es suceda alguna posible. vez. A A E
Impacto del riesgo
Categora
Improbable No es probable que suceda.
Frecuente Probable que suceda inmediatamente o en un breve perodo de tiempo.
CATASTRFICO Puede ocasionar la suspensin del negocio por un tiempo extendido o su desaparicin. CRTICO Puede ocasionar daos personales graves, daos materiales importantes, prdida financiera considerable y/o publicidad negativa para la organizacin. MARGINAL Puede ocasionar daos personales menores, daos materiales, prdida financiera y/o publicidad negativa para la organizacin. INSIGNIFICANTE El peligro representa una amenaza mnima a la seguridad y normal funcionamiento de la organizacin.
Riesgo extremadamente alto Riesgo alto
A M B Riesgo moderado Riesgo bajo
Las actividades de esta categora contienen niveles de riesgo inaceptables, incluida la posibilidad de daos catastrficos y crticos. Las empresas deben considerar la posibilidad de eliminar o modificar las actividades que tienen una calificacin "E" luego de aplicar todas las estrategias de gestin de riesgo razonables. Las actividades de esta categora contienen riesgos potencialmente graves que, probablemente, pueden suceder. Se aconseja aplicar estrategias proactivas de gestin de riesgos para reducir el riesgo. Las empresas deben considerar la manera de modificar o eliminar los riesgos inaceptables. Las actividades de esta categora contienen algn nivel de riesgo que probablemente no suceda. Las empresas deben considerar qu se podra hacer para gestionar el riesgo y evitar resultados negativos. Las actividades de esta categora contienen un riesgo mnimo que probablemente no suceda. Las empresas pueden continuar con estas actividades de acuerdo con lo planificado.
Tabla 3. 4 Modelo Estndar para anlisis de Riesgo.
Fuente: Instituto de Auditores Internos Auditora Basada en Riesgos
61
En la Tabla 3.5 se muestra la significancia de los riesgos en base al impacto y la probabilidad de las vulnerabilidades halladas durante la auditora de la aplicacin, para ello se utilizar la informacin descrita en las Tablas 3.2 y 3.4.
Hallazgo de las vulnerabilidades La poltica "Administracin de Usuarios" elaborada por el rea de Seguridad de la IF, indica que: "En ambiente de Produccin ningn usuario mantendr el estado de activo, cuando el empleado propietario del mismo, se encuentre definitivamente separado de la Institucin Financiera (IF)", sin embargo, de la revisin a los usuarios que tienen acceso a la aplicacin CV, se identific que existen 7 personas que se encuentran en la lista de ex empleados de la IF y todava permanecen como usuarios activos de la aplicacin que tienen asignados opciones como: "Retiros y Depsitos en cuentas de clientes" La poltica "Administracin de Usuarios" elaborada por el rea de Seguridad de la IF, indica que: Se generarn usuarios genricos nicamente para identificar a los componentes o programas que realizan transacciones de batch, convivencia, entre otros y no para ser usados bajo responsabilidad de los funcionarios de la IF, sin embargo, se identificaron que existen 25 usuarios genricos que son utilizados por los Cajeros, para sus labores diarias.
Riesgo
Impacto Probabilidad Significancia
Acceso a transacciones e informacin confidencial por ex empleados
Crtico
Ocasional
Alto
Imposibilidad de deteccin de usuarios que realizaron transacciones inusuales.
Crtico
Rara vez
Moderado
Tabla 3. 5 Anlisis y Evaluacin de Riesgos
62
Hallazgo de las vulnerabilidades La poltica "Definicin de Perfiles" elaborada por el rea de Seguridad de la Informacin de la IF, indica que: "Los responsables de las reas debern depurar y ratificar al menos una vez al ao, los perfiles de su rea'', sin embargo, de la revisin efectuada a una muestra de perfiles y transacciones crticas de la aplicacin CV bajo la responsabilidad del rea Call Center, se identific a 5 usuarios que por la naturaleza de sus funciones y por el riesgo inherente no deberan tener acceso a dichas opciones por ejemplo: Recaudaciones, Cuadre ventanilla, Anular/Reversar de la
Riesgo
Acceso a informacin confidencial y ejecucin de Crtico transacciones crticas por personal que no debera tener asignado dichas transacciones
Rara vez
Moderado
La poltica "Definicin de Perfiles", menciona que "Los responsables de las reas debern depurar y ratificar al menos una vez al ao, los perfiles de su rea'', sin embargo, de la revisin efectuada a una muestra de perfiles y transacciones crticas de la aplicacin CV bajo la responsabilidad del rea Operativa, identificamos opciones asignadas a 20 usuarios que por la naturaleza de sus funciones y por el riesgo inherente no deberan tener acceso a dichas opciones. Por ejemplo: Recaudaciones, Depsitos, Pago de Cheques, Retiros, Configuracin de Oficinas
Acceso a informacin confidencial y ejecucin de transacciones Crtico crticas por personal que no debera tener asignado dichas transacciones
Rara vez
Moderado
Continuacin Tabla 3.5 Anlisis y Evaluacin de Riesgos
63
Hallazgo de las vulnerabilidades Existe operaciones de pago y depsito que no verifican el nombre y cuenta del cliente al momento de procesar la transaccin, por lo que si el cajero de ventanilla digit de forma incorrecta el nmero de la cuenta o si estuvo mal la cuenta en la papeleta de pago o depsito, la transaccin se registrar con errores.
Riesgo
- Procesar transacciones en cuentas incorrectas Crtico Ocasional Alto
- Reclamos de los clientes por De la revisin a la muestra de transacciones transacciones, se identifica que en las incorrectas siguientes no se realiza la validacin mencionada anteriormente: - Pago de tarjetas de crdito - Pago de Corporacin que produce cosmticos. La aplicacin CV para su adecuado funcionamiento utiliza parmetros como: montos sobre los cuales se solicita el ruteo para autorizacin de transacciones, nmero de retiros permitidos por da, entre otros, en la revisin se identifica que no existe un procedimiento documentado para crear o modificar los parmetros de la aplicacin en el que se incluyan los pasos a seguir para realizar cambios a los parmetros, las personas que autorizan, ingresan y revisan los cambios.
Cambios no autorizados a los parmetros de la aplicacin
Crtico
Rara vez
Moderado
La aplicacin CV no dispone de un log que almacene la informacin de los cambios a los parmetros, nicamente se cuenta con una tabla en la base de datos donde se encuentran los parmetros vigentes del aplicativo.
Dificultad para detectar oportunamente cambios no autorizados a los parmetros
Marginal Probable
Moderado
64
Hallazgo de las vulnerabilidades En la revisin al reporte de problemas frecuentes, se identifica que existen 30 registros de problemas que se presentan con recurrencia en la aplicacin CV y que fueron reportados en el primer trimestre del ao 2012 por el rea de tecnologa de la entidad, estos son: - Servicios no disponibles en la aplicacin - La aplicacin no se encuentra disponible o presenta lentitud La aplicacin CV tiene activado un log en el que se registra informacin de las transacciones que realiza el cliente. Este log no es monitoreado peridicamente, consecuentemente no se informa las novedades registradas. La norma "JB-2005 834 Gestin de Riesgo Operativo" de la Superintendencia de Bancos y Seguros del Ecuador (SBS) indica que: Todas las instituciones controladas debern contar con procedimientos de contingencia debidamente probados. Adems, los planes de contingencia deben incluir un cronograma y procedimientos de prueba y mantenimiento del plan. Se identific que no se han realizado pruebas formales del plan de contingencia en caso de fallas en los servidores de la aplicacin para garantizar la efectividad y el correcto funcionamiento del mismo.
Riesgo
Impacto Probabilidad Significancia Ocasional Alto
Prdida de la Crtico imagen de la IF ante sus clientes, por indisponibilidad de los servicios que ofrece la aplicacin
No identificacin de transacciones inusuales
Marginal Probable
Moderado
Interrupcin o paralizacin de los procesos que operan con la aplicacin Sanciones de la entidad de control por incumplimiento de la norma Crtico Probable Alto
65
3.3. ELABORACIN DEL INFORME FINAL
Previo al informe final de auditora, se debe elaborar el borrador del mismo, que contendr los resultados obtenidos en el proceso de auditora, los cuales sern comunicados a los representantes de la entidad auditada e involucrado en el proceso. Posterior a la revisin de este documento el mismo constituir como base para la elaboracin del informe final de auditora.
Segn el Manual de Preparacin al Examen CISA 2011, los informes de auditora son el producto final del trabajo de auditora de SI. Son usados por el auditor de SI para reportar a la gerencia sus hallazgos y recomendaciones.
De acuerdo al concepto anterior, el informe final es el resultado del proceso de auditora, en el cual el auditor describe a los niveles de gerencia de la entidad, los hallazgos identificados en base a los controles inefectivos y las recomendaciones para mitigar los riesgos asociados. No se incluir en el informe criterios sobre los controles efectivos.
No existe un formato exacto de un informe de auditora, vara en cada organizacin dependiendo de las polticas y procedimientos utilizados. Sin embargo un patrn comn de informe tiene la siguiente estructura y contenido:
Identificacin del informe.- Nombre identificativo.
Identificacin del cliente.- Destinatarios y personas que solicitan la auditora.
Identificacin de la entidad auditada.- Organizacin/entidad/rea objeto de la auditoria.
Normativa aplicada.- Identificar las normas legales y profesionales. Ejemplo: COBIT 4.1, ISO 27002, entre otros.
66
Alcance de la auditoria.- Naturaleza y extensin del trabajo.
Periodo de la auditoria.- Definir las fechas en las cuales se inicia y termina la auditora.
Limitaciones al alcance.- Detallar lo que no se realizar en la auditora, ejemplo: No se auditar los controles de procesamiento batch.
Informe Resultados Dictamen Opiniones y Prrafos de salvedades en caso de ser necesarios. Se deben colocar todas las observaciones agrupadas por objetivos principales y sus respectivas recomendaciones resumidas, adems, por cada objetivo se debe emitir una opinin.
Respuestas del auditado.- Acciones que se van a tomar para cubrir o mitigar los riesgos identificados.
Plazo de implementacin.- El auditado debe otorgar el plazo y las acciones necesarias para cubrir las recomendaciones emitidas.
A continuacin se presenta el informe final de la aplicacin CV, en base a la informacin descrita en la Tabla 3.5
67
INFORME DE AUDITORA DE LA APLICACIN CAJERO DE VENTANILLA

Identificacin del informe Entidad: Aplicacin Auditada 01-2012-ACV Aplicacin Cajero de Ventanillas Institucin Financiera Cajero de Ventanillas
Normativa utilizada Directrices del Marco de Trabajo COBIT 4.1.
Alcance
La auditora cubre la verificacin de los siguientes controles y seguridades dela aplicacin Cajero de Ventanilla:
Revisin de los usuarios que tienen asignado en los perfiles, transacciones definidas como crticas.
Verificacin de los parmetros de seguridad de la contrasea de acceso. Verificacin de controles para evitar errores o duplicacin en el registro de la informacin de las opciones crticas: ingreso y aprobacin de transacciones, cierre de caja, cuadres y parametrizacin.
Revisin y anlisis de pistas de auditora. Validacin de usuarios, roles y privilegios en la base de datos de la aplicacin. Revisin del esquema de respaldos y plan de contingencia.
Periodo de la auditora
El proceso de auditora se realiz en el segundo trimestre del ao 2012.
Limitaciones al alcance
No se presentaron limitaciones en el alcance de la auditora.
68
Resultados Los resultados detallados a continuacin han sido desarrollados en base a los hallazgos identificados.
Revisin de la administracin de usuarios y perfiles Se debe realizar las siguientes actividades:
Revisin del listado de usuarios activos en la aplicacin, con los perfiles y opciones asignadas.
Revisin de las siguientes polticas: Administracin de Usuarios, Definicin de Perfiles.
Revisin del procedimiento: Manual de Procedimientos de Mantenimiento de Usuarios, entregados por el Departamento de Seguridad de la Informacin.
Observacin No. 1. Usuarios correspondientes a ex empleados activos en la aplicacin.
Riesgo: Nivel de Riesgo: Recomendaciones:
rea Responsable: Comentarios del auditado: Fecha de implementacin acordada:
La poltica "Administracin de Usuarios" elaborada por el rea de Seguridad de la IF, indica que: "En ambiente de Produccin ningn usuario mantendr el estado de activo, cuando el empleado propietario del mismo, se encuentre definitivamente separado de la Institucin Financiera (IF)", sin embargo, de la revisin a los usuarios que tienen acceso a la aplicacin CV, se identific que existen 7 personas que se encuentran en la lista de ex empleados de la IF y todava permanecen como usuarios activos de la aplicacin que tienen asignados opciones como: "Retiros y Depsitos en cuentas de clientes" Acceso a transacciones e informacin confidencial por ex empleados. Alto. Eliminar inmediatamente a los usuarios correspondientes a ex empleados de todos los aplicativos a los cuales tengan acceso. Cumplir con la poltica de "Administracin de Usuarios" en lo referente a la eliminacin de los usuarios correspondientes a ex empleados. Seguridad de la Informacin de la IF. Se proceder a la eliminacin de los accesos de los ex empleados Septiembre 30, 2012
Tabla 3. 6 Anlisis de la Observacin 1 - Usuarios : ex - empleados
Fuente: Elaborado por los autores
69
Observacin No. 2 Uso de usuarios genricos en ambiente de produccin
La poltica "Administracin de Usuarios" elaborada por el rea de Seguridad de la IF, indica que: Se generarn usuarios genricos nicamente para identificar a los componentes o programas que realizan transacciones de batch, convivencia, entre otros y no para ser usados bajo responsabilidad de los funcionarios de la IF, sin embargo, se identificaron que existen 25 usuarios genricos que son utilizados por los Cajeros, para sus labores diarias. Dificultad para identificar quin ejecut posibles transacciones inusuales. Moderado Analizar inmediatamente el uso de los usuarios genricos por parte de los empleados de la IF y considerar la posibilidad de proceder a eliminar dichos usuarios.
Riesgo: Nivel de Riesgo: Recomendaciones:
rea Responsable : Seguridad de la Informacin IF Comentarios del Se proceder a realizar un anlisis de los usuarios genricos auditado: utilizados y del resultado de este anlisis se proceder no a la eliminacin de los mismos.
Fecha implementacin acordada:
de Diciembre 31, 2012
Tabla 3. 7 Anlisis Observacin 2 - Uso de usuarios genricos
La poltica "Definicin de Perfiles" elaborada por el rea de Seguridad de la Informacin de la IF, indica que: "Los responsables de las reas debern depurar y ratificar al menos Usuarios sin depurar una vez al ao, los perfiles de su rea'', sin embargo, de la revisin Call Center efectuada a una muestra de perfiles y transacciones crticas de la aplicacin CV bajo la responsabilidad del rea Call Center, se identific a 5 usuarios que por la naturaleza de sus funciones y por el riesgo inherente no deberan tener acceso a dichas opciones por ejemplo: Recaudaciones, Cuadre de la ventanilla, Anular/Reversar. Observacin No. 3 Riesgo: Acceso a informacin confidencial y ejecucin de transacciones crticas por personal que no debera tener asignado dichas transacciones. Moderado
Nivel de Riesgo:
70
Recomendaciones:
Solicitar al rea de Seguridad de la Informacin de la IF la eliminacin de las opciones de la aplicacin CV de los usuarios que por la naturaleza de sus funciones no deberan tener acceso a dichas opciones
rea Responsable : Call Center IF Comentarios del Se proceder a eliminar las opciones de los perfiles y de ser el auditado: caso se proceder a eliminar los usuarios que no deban acceder a dichas opciones Fecha implementacin acordada: de Noviembre 30, 2012
Tabla 3. 8 Anlisis Observacin 3 - Usuarios sin depurar Call Center.
La poltica "Definicin de Perfiles", menciona que "Los responsables de las reas debern depurar y ratificar al menos una vez al ao, los perfiles de su rea'', sin embargo, de la revisin efectuada a una Usuarios sin depurar muestra de perfiles y transacciones crticas de la aplicacin CV bajo rea Operativa la responsabilidad del rea Operativa, identificamos opciones asignadas a 20 usuarios que por la naturaleza de sus funciones y por el riesgo inherente no deberan tener acceso a dichas opciones. As por ejemplo tenemos: Recaudaciones, Depsitos, Pago de Cheques, Retiros, Configuracin de Oficinas Observacin No.4 Riesgo: Acceso a informacin confidencial y ejecucin de transacciones crticas por personal que no debera tener asignado dichas transacciones. Moderado Solicitar al rea de Seguridad de la Informacin de la IF la eliminacin de las opciones de la aplicacin CV de los usuarios que por la naturaleza de sus funciones no deberan tener acceso a dichas opciones.
Nivel de Riesgo: Recomendacin:
rea Responsable : rea Operativa IF. Comentarios del Se solicitar la eliminacin de las opciones de la aplicacin de los auditado: usuarios que no requieren tener acceso. Fecha de Diciembre 31, 2012 implementacin acordada :
Tabla 3. 9Anlisis Observacin 1- Usuarios sin depurar rea operativa.
71
Revisin de los controles implementados en el ingreso de datos Se debe realizar las siguientes actividades:
Pruebas con los usuarios de la aplicacin Cajero de Ventanilla. Pruebas para verificar los controles implementados para efectuar el correcto registro de los datos.
Verificacin de la existencia de parmetros ingresados en la aplicacin y su administracin de acuerdo a las polticas establecida por la IF para ello.
Observacin No.5. Transacciones validacin previa.
Existe operaciones de pago y depsito que no verifican el nombre y cuenta del cliente al momento de procesar la transaccin, por lo que si el cajero de ventanilla digit de forma incorrecta el nmero sin de la cuenta o si estuvo mal la cuenta en la papeleta de pago o depsito, la transaccin se registrar con errores. De la revisin a la muestra de transacciones, se identifica que en las siguientes no se realiza la validacin mencionada anteriormente: -Pago de tarjetas de crdito -Pago de Corporacin que produce cosmticos. - Procesar transacciones en cuentas incorrectas. - Reclamos de los clientes por transacciones incorrectas.
Riesgos
Nivel de Riesgo: Recomendaciones:
Alto. Solicitar al rea de Tecnologa de la IF realice los cambios en la aplicacin CV para que el cajero de ventanilla pueda validar la cuenta y datos del cliente antes de procesar la transacciones, en la muestra se identificaron las siguientes transacciones: - Pago de tarjetas de crdito -Pago de Corporacin que produce cosmticos.
rea Responsable Comentarios auditado: Fecha implementacin acordada:
rea Operativa IF del Se gener un proyecto para mejoras del aplicativo, en el cul se incluirn estas validaciones. de Marzo 31, 2013
Tabla 3. 10 Anlisis Observacin 5- Transacciones sin validacin previa.
72
Revisin de los parmetros y logs de auditora Se realizaron pruebas con los usuarios de la aplicacin Cajero de Ventanilla.
La aplicacin CV para su adecuado funcionamiento utiliza ciertos parmetros como: montos sobre los cuales se solicita el ruteo para autorizacin de transacciones, nmero de retiros permitidos para por da, entre otros, en la revisin se identifica que no existe un no procedimiento documentado para crear o modificar los parmetros de la aplicacin en el que se incluyan los pasos a seguir para realizar cambios a los parmetros, las personas que autorizan, ingresan y revisan los cambios. Cambios no autorizados a los parmetros de la aplicacin. Moderado. Definir, aprobar y difundir un procedimiento para la modificacin de los parmetros de la aplicacin CV de la IF que incluya lo siguiente: - Pasos a seguir para realizar cambios en los parmetros - Responsables que autorizan, ingresan y revisan los cambios para verificar que no se hayan realizado cambios no autorizados. rea Operativa IF. del Se elaborar un procedimiento para la modificacin de parmetros de la aplicacin. de Diciembre 31, 2012
Observacin No.6 Procedimiento parametrizacin, documentado.
Riesgo :
Nivel de Riesgo: Recomendaciones :
rea responsable: Comentarios auditado: Fecha implementacin acordada:
Tabla 3. 11 Anlisis Observacin 6 - Procedimientos para parametrizacin, no documentado
Evaluacin de los logs de auditora de la aplicacin
Se debe realizar las siguientes actividades: Revisin de la existencia de logs de auditora para las principales transacciones de la aplicacin. Validacin de la existencia de revisiones peridicas de estos logs.
73
La aplicacin CV no dispone de un log que almacene la informacin de los cambios a los parmetros, nicamente se cuenta con una tabla en la base de datos donde se encuentran los Aplicacin sin log de parmetros vigentes del aplicativo. parametrizacin. Observacin No.7 Riesgo Dificultad para detectar oportunamente cambios no autorizados a los parmetros Moderado Solicitar al rea de Tecnologa de la IF la implementacin de un log que almacene la transaccin mediante la cual se realizaron las modificaciones a los parmetros de la aplicacin CV - Realizar una revisin peridica a estos logs dejando las respectivas evidencias rea Operativa Se solicitar al rea Tecnologa de la IF la implementacin de un log que registre los cambios a los parmetros del aplicativo. Diciembre 31, 2012
Nivel de Riesgo Recomendaciones
rea Responsable Comentarios del auditado: Fecha de implementacin acordada
Tabla 3. 12 Anlisis Observacin 8 Aplicacin sin log de parametrizacin
74
Observacin No.8
La aplicacin CV tiene activado un log en el que se registra informacin de las transacciones que realiza el cliente. Este log no Falta de revisin de es monitoreado peridicamente, consecuentemente no se informa logs las novedades registradas Riesgo Nivel de Riesgo Recomendaciones : No identificacin de transacciones inusuales Moderado Realizar una revisin peridica a estos logs y registrar las respectivas evidencias de los eventos encontrados. rea Operativa
rea/Responsable : Comentarios auditado:
Fecha implementacin acordada :
del Se realizarn las revisiones de log transaccional de la aplicacin cuando haya algn reclamo de los clientes o requerimiento oficial que involucre informacin mayor a los 15 das. Se realizar una primera revisin en el mes de octubre del 2012 de Octubre 31, 2012
Tabla 3. 13 Anlisis Observacin 8 - Falta de revisin de logs.
Revisin de errores y necesidades en la funcionalidad de la aplicacin
Se debe realizar las siguientes actividades:
Revisin de los reportes de problemas frecuentes presentados en la aplicacin.
Verificacin de que las soluciones presentadas para corregir los problemas eran las efectivas.
75
En la revisin al reporte de problemas frecuentes, se identifica que existen 30 registros de problemas que se presentan con recurrencia en la aplicacin CV y que fueron reportados en el Problemas frecuentes primer trimestre del ao 2012 por el rea de tecnologa de la de la aplicacin entidad, estos son: -Servicios no disponibles en la aplicacin -La aplicacin no se encuentra disponible o presenta lentitud Observacin No.9 Riesgo Prdida de la imagen de la IF ante sus clientes, por indisponibilidad de los servicios que ofrece la aplicacin Alto Realizar un anlisis de los problemas frecuentes presentados, definir e implementar las acciones correctivas para evitar que estos problemas se sigan presentando
Nivel de Riesgo Recomendaciones -
rea/Responsable rea de Tecnologa IF Comentarios del Se propondr un proyecto para corregir los errores frecuentes auditado: presentados en la aplicacin. Fecha implementacin acordada de Diciembre 31, 2012
Tabla 3. 14 Anlisis Observacin 9 - Problemas frecuentes de la aplicacin.
Revisin de las contingencias
Se debe realizar las siguientes actividades:
Revisin de los planes de contingencia tecnolgicos y operativos definidos en caso de prdidas del servicio de la aplicacin.
Verificacin si los planes de contingencia definidos son los adecuados y van de acuerdo a las necesidades del negocio
Verificacin si los planes son probados de forma continua y si los resultados son documentados.
76
Observacin No.10
La norma "JB-2005 834 Gestin de Riesgo Operativo" de la Superintendencia de Bancos y Seguros del Ecuador (SBS) indica Planes de contingencia que: Todas las instituciones controladas debern contar con no probados procedimientos de contingencia debidamente probados. Adems, los planes de contingencia deben incluir un cronograma y procedimientos de prueba y mantenimiento del plan. Se identific que no se han realizado pruebas formales del plan de contingencia en caso de fallas en los servidores de la aplicacin para garantizar la efectividad y el correcto funcionamiento del mismo. Riesgos : - Interrupcin o paralizacin de los procesos que operan con la aplicacin - Sanciones de la entidad de control por incumplimiento de la norma. Alto Realizar pruebas del procedimiento de contingencia definido para el aplicativo CV, documentarlas y preparar informes con los resultados de las pruebas rea de Tecnologa IF del Se realizar un anlisis de los recursos necesarios para la ejecucin de las pruebas al plan de contingencia, con el resultado de este anlisis se proceder a la realizacin o no de las pruebas. de Diciembre 31, 2012
Nivel de Riesgo: Recomendaciones:
rea/Responsable: Comentarios auditado: Fecha implementacin acordada :
Tabla 3. 15 Anlisis Observacin 10 - Planes de contingencia no probados
77
En la siguiente tabla se resume la procedencia de cada una de las observaciones descritas en el informe final de acuerdo al proceso de auditora realizado y que se detalla en el Anexo 4: Relevamiento y Ejecucin de la Auditora.xlsx
Nmero
de Nombre de la Observacin
Directriz de COBIT Objetivo de Control 4.1 detallado de COBIT 4.1
Observacin
Usuarios correspondientes a DS5 Garantizar la DS5.3 Gestin ex empleados activos en la Seguridad de los Identidad. aplicacin. Sistemas DS5.4 Gestin
de
de
cuentas de usuario 2 Uso de usuarios genricos en DS5 ambiente de produccin Garantizar de la DS5.3 Gestin de
Seguridad Sistemas
los Identidad. DS5.4 Gestin de
cuentas de usuario 3 Usuarios Center sin depurar Call DS5 Garantizar de la DS5.3 Gestin de
Seguridad Sistemas
los Identidad.
Usuarios sin depurar rea DS5 Operativa
Garantizar de
la DS5.3
Gestin
de
Seguridad Sistemas
los Identidad.
Transacciones sin validacin AC2 Recoleccin y AC2 Recoleccin y previa. entrada de entrada de informacin fuente AC3 de totalidad autenticidad informacin fuente Verificaciones exactitud, y
Verificaciones AC3 exactitud, de
y totalidad autenticidad
Procedimiento parametrizacin, documentado.
para AC2 Recoleccin y AC2 Recoleccin y no entrada informacin fuente de entrada informacin fuente de
78
AC3 de
Verificaciones exactitud, y
totalidad autenticidad 7 Aplicacin sin parametrizacin. log
y totalidad autenticidad
de AC2 Recoleccin y AC2 Recoleccin y entrada informacin fuente AC3 de totalidad autenticidad de entrada informacin fuente Verificaciones exactitud, y de
y totalidad autenticidad y AI 2.3 Control
Falta de revisin de logs
AI2
Adquirir
mantener aplicativo 9
software auditabilidad de las aplicaciones 10.1 y de
Problemas frecuentes de la DS10 Gestionar DS aplicacin Problemas Identificacin clasificacin problemas
10
Planes de contingencia no DS3 Gestionar probados desempeo y capacidad DS4 Garantizar
el DS3.4 Disponibilidad la de recursos de TI DS4.2 Planes de
la continuidad de TI del DS4.4 Mantenimiento del
continuidad servicio
plan de continuidad de TI DS4.8 Recuperacin y reanudacin de los servicios de TI.
Tabla 3. 16 Procedencia de las Observaciones del Informe Final
79
CAPITULO 4: CONCLUSIONES Y RECOMENDACIONES

4.1. CONCLUSIONES
Para el desarrollo del presente trabajo fue importante la utilizacin del marco de referencia COBIT4.1, que permiti evaluar los controles de la aplicacin
informtica, utilizada como caso de estudio en la institucin financiera, con el objetivo de ayudar a que la aplicacin informtica est alineada con los objetivos del negocio. Cada auditor debe ajustar los objetivos de control propuestos a la realidad de la empresa y de la aplicacin informtica que se va auditar. No existe un estndar al cual se deba regir de forma obligatoria para la ejecucin de una auditora. Para la ejecucin del presente trabajo fue necesario realizar varias tareas y actividades de revisin en la institucin financiera, que sustenten las observaciones identificadas y el anlisis del presente trabajo; stas se detallan en el Anexo 5: Documentos Ejecucin Auditora de la Aplicacin Cajero de Ventanillas. Si durante la ejecucin de la auditora, el Auditor de Sistemas de Informacin identifica que un control est mal diseado, incompleto, mal implementado o simplemente no existe, ste puede decidir incluir algunas pruebas que permitan fundamentar la integridad del procesamiento de informacin, estas pruebas son las llamadas pruebas sustantivas.
En la ejecucin de una Auditora de Aplicaciones Informticas, se debe poner nfasis en la revisin de los usuarios internos y sus opciones asignadas a travs de los perfiles de acceso, la incorrecta asignacin de stos, es a menudo una causa principal de problemas a nivel interno en las entidades.
80
Durante la ejecucin de la auditora, el auditor de Sistemas de Informacin en base a las pruebas realizadas en cada objetivo de control, determina si un control es efectivo o inefectivo, en base a este ltimo se determina los hallazgos de vulnerabilidades que se incluirn en el informe de auditora.
En el informe de auditora se reportan los hallazgos de vulnerabilidades con la finalidad de emitir las recomendaciones necesarias para la mitigacin de los riesgos que stas pueden presentar. Adems, se pueden incluir comentarios constructivos sobre procesos y controles efectivos y existentes.
El informe de auditora debe contener las respuestas y plazos de cumplimiento dados por los representantes e involucrados de la entidad auditada, a las recomendaciones emitidas para mitigar los riesgos de los hallazgos de vulnerabilidades, caso contrario los riesgos identificados deben ser asumidos por la gerencia de la entidad auditada.
En la ejecucin de la auditora se han encontrado 10 hallazgos de los cuales el 40 % (4) tienen asociados riesgos de significancia Alto y el 60 % (6) de riesgo Moderado, esta informacin debe ser transmitida a la gerencia de la institucin financiera para su gestin en la elaboracin de planes de accin para mitigar los hallazgos de vulnerabilidades que generan mayor riesgo a la institucin.
81
4.2. RECOMENDACIONES
El anlisis realizado en el presente trabajo puede ser utilizado como base para la auditora de aplicaciones informticas. Adems, se puede incluir otras directrices como las mencionadas en el Anexo 2: Interrelacin de los Marcos de Trabajo COBIT-ITIL-ISO27002 y propias de COBIT 4.1.
Se debe tomar en cuenta el conocimiento de la organizacin, del proceso o de la aplicacin objeto de la auditora, con el fin de definir de forma correcta el programa de auditora y establecer el tiempo que tomar la ejecucin de la misma.
Definir de forma correcta el alcance de la auditora, es un factor importante para el cumplimento de la misma, pues en esta fase se identifican las directrices de su realizacin.
Se recomienda tomar en cuenta variables como el tamao de la organizacin, la cantidad de procesos a evaluar, la metodologa a utilizar, conformacin del equipo auditor, entre otros, para que el resultado de la planificacin sea adecuada.
Se debe recopilar la evidencia necesaria que justifique las novedades o hallazgos identificados en la auditora, sin esta evidencia, una condicin reportable u observacin puede ser eliminada del informe final.
Se debe presentar claramente los hallazgos de vulnerabilidades y los riesgos que implican para la entidad, de tal manera que la entidad auditada asuma las propuestas para implantar las recomendaciones como objetivos de la organizacin.
82
No se debe ignorar las debilidades de control solo porque stas se encuentren fuera del alcance de una revisin, si existen debilidades que el auditor ha identificado, stas deben ser reportadas e informadas.
La entidad auditada debe prestar atencin a los riesgos identificados, para implementar las recomendaciones emitidas en el proceso de auditora con la finalidad de prevenir a la organizacin posibles intentos de fraude y colusin utilizando la aplicacin.
En el proceso de auditora, los auditores deben actuar con escepticismo profesional y centrarse en torno a verificar la eficacia de los controles implementados ya que la probabilidad de descubrir posibles actividades
fraudulentas aumentan; Dudar de todo hasta que demuestren lo contrario. Los hallazgos de vulnerabilidades de significancia BAJA pueden ser incluidos en el informe de auditora, no como una observacin sino como una oportunidad de mejora, o ser presentados de forma independiente a travs de un memorando.
Se puede recomendar a la gerencia de la entidad auditada el definir un periodo de tiempo posterior a la emisin del informe de auditora, para realizar la verificacin al cumplimiento de las acciones correctivas acordadas por las reas auditadas.
Se debe emitir recomendaciones que sean realistas y de acuerdo a los requerimientos de la entidad auditada.
83
BIBLIOGRAFA
AGERS. (s.f.). Gua ISO/CEI 73. Recuperado el Julio de 2012, de Asociacin Espaola, Gerencia de Riesgos y Seguros: http://www.agers.es/pdf/noticiasinteres/Guia_ISO-CEI_73.pdf BANDA, H. A., & CARRILLO, P. (Octubre de 2011). Curso COBIT 4.1. BETANZOS Rodriguez, A. I. (Diciembre de 2011). Auditora y Control de Sistemas de Informacin en Tecnologa. Recuperado el Enero de 2012, de http://www.gestiopolis.com/finanzas-contaduria-2/auditoria-control-sistemas-deinformacion-en-tecnologia.htm CRESPO, A. (Julio de 2008). ITIL V3- la versin ms estratgica de este cdigo de buenas prcticas. Recuperado el Febrero de 2012, de http://www.techweek.es/estandares/informes/1003446002901/itil-v3-version-masestrategica.1.html ERB, M. (s.f.). Gestin de Riesgo en la Seguridad Informtica. Recuperado el Julio de 2012, de http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/ GONZALO Alonso, F. (junio de 2005). Gerencia de riesgos Introduccin (I/III). Recuperado el agosto de 2012, de Asociacin Colegio Nacionalde Ingenieros del ICAI: www.icai.es/publicaciones/anales_get.php?id=472 ISACA. (2008). Alineando COBIT 4.1,ITIL v3, ISO/IEC 27002 en Beneficio del Negocio. Recuperado el Octubre de 2011, de http://www.isaca.org/KnowledgeCenter/Research/Documents/Alineando-Cobit-4.1,-ITIL-v3-y-ISO-27002-en-beneficiode-la-empresa-v2,7.pdf ISACA. (2011). Certified Information System Auditor-Manual de Preparacin al Exmen CISA 2011 . ISACA. (2007). COBIT 4.1. Recuperado el Diciembre de 2010, http://www.isaca.org/Knowledge-Center/cobit/Documents/cobiT4.1spanish.pdf de
ISACA. (2011). COBIT 5 InitiativeWork Plan Overview. Recuperado el Diciembre de 2011, de http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-5-InitiativeStatus-Update.aspx ISACA. (2009). Cobit and Application Controls A Management Guide. Recuperado el Junio de 2011, de http://www.isaca.org/Knowledge-
84
Center/Research/ResearchDeliverables/Pages/COBIT-and-Application-Controls-AManagement-Guide.aspx ISACA. (2007). COBIT Objetivos de Control 3a Edition . ISACA. (2007). COBIT Security Baseline An Information Security Survival Kit 2nd Edition. Recuperado el Agosto de 2012, de http://www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/Pages/COBIT-Security-Baseline-AnInformation-Security-Survival-Kit-2nd-Edition1.aspx ISACA. (Diciembre de 2008). IS AUDITING GUIDELINE-G14 APPLICATION SYSTEM REVIEWS. Recuperado el Diciembre de 2011, de http://www.isaca.org/Knowledge-Center/Standards/Documents/G14-AppSysRev15Oct08.pdf ISACA. (2007). IT Assurance Guide . Recuperado el mayo de 2012, de www.itgi.org ISACA. (2007). IT Assurance Guide: Using COBIT . Recuperado el julio de 2011, de http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/ITAssurance-Guide-Using-COBIT.aspx Resumen de COBIT 4.1. (s.f.). Recuperado el Abril de http://auditoriasistemasucb.pbworks.com/f/ProcesosCOBIT41_ig.pdf 2011, de
SDI, S. D. (2009). ITIL V3 Service Management Foundation. Recuperado el Julio de 2012, de http://www.sdila.com Universidad de, Sevilla. (Octubre de 2004). Introduccion a las Aplicaciones WEB. Recuperado el Noviembre de 2011, de Departamento de Lenguaje y Sistemas Informticos: http://www.lsi.us.es/docencia/get.php?id=352 Universidad, de. Alicante. (2006). Qu es una aplicacin Web. Recuperado el Noviembre de 2011, de Departamente de Lenguaje y Sistemas: http://rua.ua.es/dspace/bitstream/10045/4412/5/03c-AplicacionesWeb.pdf
85
GLOSARIO
ASP: Es un fichero de slo texto que contiene las secuencias de comandos, junto con el HTML necesario. CGI: Son programas que se ejecutan en el servidor, pueden servir como pasarela con una aplicacin o base de datos o para generar documentos html de forma automtica. HTTP: Protocolo de la capa de aplicacin, que permite el servicio de transferencia de pginas de hipertexto entre el cliente WEB y los servidores. IP: Protocolo de la capa de Red, que permite definir la unidad bsica de transferencia de datos y se encarga del direccionamiento de la informacin, para que llegue a su destino en la red. ISACA: Organizacin global sin fines de lucro que establece las pautas para los profesionales de gobernacin, control, seguridad y auditora de informacin. Proveedor de conocimiento, certificaciones, comunidad, apoyo y educacin en seguridad y aseguramiento de sistemas de informacin, gobierno empresarial, administracin de TI as como riesgos y cumplimiento relacionados con TI. JSP: Segmentos de cdigo en Java que se insertan dentro de pginas web, de forma anloga a los ASPs. PHP : Lenguaje cuyos programas se insertan tambin dentro de las pginas web, al igual que los ASPs y JSPs. Servlets: Programas en Java que se ejecutan de forma persistente en el servidor, y que, por lo tanto, tienen una activacin muy rpida, y una forma ms simple de hacerlo. Estos programas procesan una peticin y generan la pgina de respuesta. TCP: Protocolo de la Capa de Transporte, que permite dividir y ordenar la informacin a transportar en paquetes de menor tamao para su transporte y recepcin.
86
ANEXOS
Anexo 1: Directrices de auditora de Sistemas de Informacin definidas por ISACA. Anexo 2: Interrelacin de los Marcos de Trabajo COBIT-ITIL-ISO27002. Anexo 3: Matriz para Definir el Alcance de Auditora. Anexo 4: Relevamiento y Ejecucin de la Auditora Anexo 5: Documentos Ejecucin Auditora de la Aplicacin CV.

COBIT

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

COBIT

Загружено:

Авторское право:

Доступные форматы

ESCUELA POLITCNICA NACIONAL

FACULTAD DE INGENIERA DE SISTEMAS

DIRECTOR: ING. ANDRS LARCO andres.larco@epn.edu.ec

QUITO, NOVIEMBRE 2012

Jenny Lourdes Coraisaca Arvalo

Csar Fernando Llumiquinga Pillajo

Ing. Andrs Larco DIRECTOR DEL PROYECTO

A Lenin, por su paciencia y comprensin para la realizacin de este trabajo.

Tambin, quiero agradecer a

mis amigos y compaeros de carrera, que me

brindaron su mano amiga cuando lo necesite.

Finalmente en el Captulo IV se presentan las conclusiones y recomendaciones del presente proyecto.

CAPITULO 1 - MARCO TERICO

El sistema o aplicacin se est evaluando para su adquisicin.

Figura 1. 1Arquitectura Bsica Aplicacin Web

MARCO DE TRABAJO DE COBIT 4.1

Figura 1. 2 Estructura COBIT 4.1

Actividades.- Acciones requeridas para lograr un resultado medible.

Figura 1. 3 Marco de Trabajo COBIT 4.1

de negocio se alcanzarn y los eventos no deseados sern prevenidos o detectados y corregidos.

Figura 1. 4 Relacin entre controles definidos COBIT 4.1

INTRODUCCIN A LAS DIRECTRICES DE COBIT PARA AUDITORA DE APLICACIONES

1.1.4.2 Directrices de COBIT 4.1 orientadas a la auditoria de aplicaciones informticas

A utilizarse segn definiciones de la institucin financiera para los procesos de auditora. X X

Sugeridas por 2 ISACA (G14 )

Anlisis realizado Directrices de COBIT 4.1

Criterios de Informacin sugeridos por ISACA (G14) S S P P S S P S S P

1.2 DEFINICIN DE CONTROLES PARA LA AUDITORIA DE APLICACIONES INFORMTICAS

A continuacin se describe en la Tabla 1.3 la clasificacin de los diferentes tipos de control.

procesamiento y salida de datos, como se describe en la Tabla 1.4.

Fuente: Manual de Preparacin del Examen CISA 2011

define seis controles de aplicacin ACn, como se mencion

anteriormente, en la seccin: 1.1.3.2 Objetivos de Control, Estos son:

En la Tabla1.5 se muestra los tipos de control ACn de acuerdo al tipo de control.

Tipos de Control Controles de Entrada/Origen

Controles de Aplicacin- ACn AC1 AC2 AC3

Figura 1. 5 Objetivos de Control de Aplicacin vs Criterios de Informacin

Fuente: http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/ Pages/COBIT-andApplication-Controls-A-Management-Guide.aspx

Proceso de COBIT 4.1 PO2 Definir la arquitectura de informacin

Objetivos de Control COBIT 4.1 PO2.4 Gestin de integridad

Proceso de COBIT 4.1 PO4 Definir los procesos, organizacin y

Definicin del Proceso

Objetivos de Control COBIT 4.1

AI2 Adquirir mantener software aplicativo

AI6 Gestionar cambios

PO4.11 Segregacin de funciones

AI2.3 Control y auditabilidad aplicaciones.

Proceso de COBIT 4.1 AI7 Instalar y acreditar soluciones y cambios

DS2 Gestionar los servicios de terceros

DS2.3 Gestin de riesgos de proveedores. DS2.4 Monitoreo del desempeo de proveedores

DS3 Gestionar el desempeo y la capacidad

DS3.4 Disponibilidad de recursos de TI

DS4 Garantizar la continuidad del servicio

Proceso de COBIT 4.1 DS5 Garantizar la seguridad de los sistemas

Definicin del Proceso

Objetivos de Control COBIT 4.1

DS10 Administrar Problemas

DS10.1 Identificacin y Clasificacin de Problemas

DS11 Gestionar datos

Objetivos de Control COBIT 4.1 AC2 Recoleccin y Entrada de Informacin Fuente

AC3 Verificaciones de exactitud, totalidad, y autenticidad

AC4 Integridad Procesamiento

AC5 Revisin de Salidas, Reconciliacin y Manejo de Errores

AC6 Autenticacin e integridad de transacciones