TALLER DE APLICACIÓN DE LAS PRÁCTICAS DE ASEGURAMIENTO DE LA TI

APLICANDO COBIT

Alumnos:
 Palacios Gamarra Giancarlo
 Salazar Llanos Darwin Jhordan

OBJETIVO
Identificar los Prácticas y Actividades de Gobierno/Gestión que debieron aplicarse para
prevenir las situaciones o debilidades descritas.

PROCEDIMIENTO
El evaluador utilizará como marco de referencia el modelo de procesos de TI COBIT,
las metas de TI asociadas a cada proceso y las tablas RACI. Se utilizará el siguiente
formato como papel de trabajo:

Metas TI
Dominio Proceso Prá ctica Actividad Responsables
relacionadas
Alinear, APO02 APO02.02 1. Desarrollar Director General
Planificar y Gestionar la Evaluar el un punto de 01 Financiero (CFO)
Organizar Estrategia entorno, referencia del Alineamiento
capacidades y negocio, de TI y Director de
rendimiento entorno de TI, estrategias de Operaciones (COO)
actuales. capacidades y negocio
servicios Director de
actuales 07 Entrega de Informá tica/Sistemas
respecto al que servicios de TI (CIO)
las necesidades de acuerdo a
futuras puedan los requisitos
ser comparadas. del negocio
Incluir el
correspondiente 17
detalle, a alto Conocimiento,
nivel, de la experiencia e
arquitectura iniciativas
empresarial para la
actual innovació n del
(negocios, negocio
informació n,
datos,
aplicaciones y
dominios de
tecnología),
procesos de
negocio,
procesos de TI y
sus
procedimientos,
estructura
organizativa de
TI, provisió n de
servicios
externos,
gobierno de TI,
habilidades y
 competencias
de TI en toda la
empresa.
1. Definir y
revisar
perió dicamente
los objetivos y
métricas con las
partes
interesadas
para identificar
cualquier
detalle
significativo
omitido y
definir la
razonabilidad
de metas y
tolerancias.
2. Comunicar
MEA01 los cambios
MEA01.02 11
Supervisar, propuestos en
Establecer los Optimizació n Director de
Supervisar, Evaluar y las metas y
objetivos de de activos, Informá tica/Sistemas
Evaluar y Valorar el tolerancias de
cumplimiento recursos y (CIO)
Valorar Rendimiento rendimiento y
y capacidades de Jefe de Desarrollo
y la cumplimiento
rendimiento. TI
Conformidad (referidos a las
métricas) con
las partes
interesadas
clave con la
debida
diligencia (p. ej.,
legal, auditoría,
RR.HH., ética,
cumplimiento y
financiero).
3. Hacer pú blico
a los usuarios
de la
informació n los
cambios en
metas y
tolerancias.
Construir, BAI06 BAI06.02 3. Supervisar 07 Entrega de Ejecutivos de negocio
Adquirir e Gestionar los Gestionar todos los servicios de TI
Implementa Cambios cambios de cambios de de acuerdo a Gestor de Servicio
r emergencia. emergencia y los (Service Manager)
realizar requisitos del
revisiones post- negocio Gestor de Seguridad
implantació n de la Informació n
involucrando a 10 Seguridad
todas las partes de la
interesadas. La informació n,
revisió n debería infraestructura
considerar e de
iniciar acciones procesamiento
correctivas y aplicaciones
basadas en

Aseguramiento de TI – Ing. Ernesto Karlo Celi Arévalo

 causas raíz tales
como
problemas en
los procesos de
negocio,
desarrollo y
mantenimiento
de
sistemas de
aplicació n,
entornos de
desarrollo y
pruebas,
documentació n
y manuales e
integridad de
datos.

DESCRIPCIÓN DE LAS SITUACIONES O DEBILIDADES ENCONTRADAS

Situación 1. Administración de Requerimientos al Departamento de Desarrollo

de Sistemas.

La atención de requerimientos (mejoras adaptaciones a los sistemas) solicitados por

los usuarios al Dpto. de Desarrollo de Sistemas son realizadas a través de un
procedimiento manual no aprobado (Hoja de Requerimientos), que en ocasiones no
permite realizar el seguimiento oportuno del requerimiento quedando pendientes
algunas solicitudes de cambios o mejoras de los sistemas.

Situación 2. Carencia de Documentación de las Pruebas de Programas y de

Sistemas.

Durante nuestra revisión se apreció la ausencia de procedimientos formales que

documenten apropiadamente el plan de pruebas de nuevas funcionalidades; en cuanto
a descripción de las mismas, datos a ser usados, metodología para el desarrollo de
dichos datos y los resultados esperados.

Situación 3. Catalogación de Versiones de Programas Fuentes

En nuestra revisión hemos observado que el Dpto. de Micro computación y Redes

tiene el control de los programas fuentes de los aplicativos almacenados en un
servidor. Además se apreció la falta de procedimientos para el control de estos
programas fuentes. Sin embargo el Dpto. de Desarrollo de Sistemas debería
considerar un inventario de los programas fuentes y sus versiones instaladas en los
computadores así como también un procedimiento para la actualización de estas
versiones.

Aseguramiento de TI – Ing. Ernesto Karlo Celi Arévalo

Situación 4. Carencia de Procedimientos Estándares de desarrollo (Programas,
Pantallas y Diseño de Tablas)

Durante nuestra revisión se apreció la ausencia de procedimientos que estandaricen el

trabajo de los analistas y programadores de los sistemas en lo referente a las
estructuras de elaboración del código de los programas y diseños de las pantallas de
ambiente visual.
Se observó que algunos sistemas tienen el manual de diseño lógico y no el de diseño
físico. Además contienen: Nivel Cero, Diccionario de Datos y La relación de tablas
(Bosquejo final sin normalizar).

Situación 5. Carencia de Herramientas de Modelamiento de datos

Se ha observado que el Departamento de Desarrollo de Sistemas, no cuenta con

herramientas de tecnología de información que permita realizar las actividades de
Modelamiento de Datos y Elaboración de Diagramas de Entidad Relación.

Situación 6. Existencia de Software Aislado

Durante nuestra revisión evidenciamos la existencia de un software que es utilizado

para el “Manejo de las Planillas” administrado por el usuario. Este sistema no esta
integrado a los sistemas actualmente existentes y los Departamentos de desarrollo de
sistemas y redes de micro computación no brindan el soporte correspondiente a este
aplicativo.

Situación 7. Carencia de Pistas de Auditoría

En el proceso de relevamiento evidenciamos que algunos aplicativos existentes no

guardan información acerca de pistas de auditoría originando que no existan
mecanismos para realizar las actividades de control de los procesos del negocio.

Situación 8. Bitácoras de Actividad.

Hemos observado que no existe un registro (log de actividades) en donde se aprecie

cronológicamente los trabajos, cambios o modificaciones ocurridas durante el tiempo
de funcionamiento de los computadores, así como también un registro histórico de las
paradas de los sistemas y de los mantenimientos realizados a los servidores.

Situación 9. Carencia de Procedimientos de Respaldo y Recuperación de

programas fuentes

Hemos evidenciado la carencia de procedimientos formales de respaldo y

recuperación en tal sentido solo se realizan estas actividades para ciertos servidores
como los ubicados en la sede Tomas Valle.

Situación 10. Plan de Contingencias

Hemos evidenciado que no existe un procedimiento formal por escrito y coordinado

que evidencie la preparación de los sectores ante alguna posible contingencia. Solo se
ha evidenciado un programa de los mantenimientos efectuados a algunos equipos.

Aseguramiento de TI – Ing. Ernesto Karlo Celi Arévalo

Situación 11. Inventario de Hardware y Software

Hemos observado que no se encuentra un inventario debidamente actualizado y que

contenga además información necesaria para poder realizar actividades de control. En
tal sentido solo se encuentran inventarios que no son lo suficientemente fáciles de
revisar y actualizar.

Situación 12. Política Antivirus

Uno de los principales riesgos en lo que respecta a la Seguridad de la Información es

el impacto que tienen los Virus Informáticos sobre la información que maneja la
compañía.

En nuestra evaluación hemos evidenciado que la Sub Gerencia de Informática y

Racionalización de ABCD cuenta con un antivirus denominado MATABICHO el que no
ofrece las características de un antivirus corporativo que debe estar instalado en los
Servidores y en los equipos de cómputo de los usuarios.

Aseguramiento de TI – Ing. Ernesto Karlo Celi Arévalo