Entendimiento de CGTIEntendimiento de los Dominios de CGTIGua
para la siguiente tabla:ExplicacinNarrativa Controles claveEntender
y documentar las actividades de control de TI esperables en el
cliente. El auditor de TI debe determinar si esta actividad, o una
variacin de la misma, est o no presente en el cliente en
particular. Descripcin a detalle de la actividad que la compaa
realiza. (Qu, Cmo, Quin, Dnde, Cundo. Evidencia. Supervisin y
autorizacin. SoD )Evaluar la capacidad del control para cubrir el
objetivo para el cul fue diseado. Seleccionar como clave el menor
conjunto de controles que satisfagan los objetivos de control -
comenzar con aquel control sin el cual no se podra vivir). Incluir
en esta columna el ttulo del control. Crear un EGA por cada control
clave identificado en esta columna
Actividades / TareasNarrativa - Descripcin de la actividad de
control especfica (Qu, Cmo, Quin, Dnde, Cundo, Evidencia,
Supervisin y autorizacin, S o D)
El objetivo principal de esta etapa es obtener un detalle
acabado de la actividad de control que revisaremos, es decir, se
pide, que el auditor comprenda el entorno en que se desarrolla el
control, sus responsables, situaciones que puedan por algn motivo
afectar el control, casos que a nuestro entender necesitan una
explicasin del cliente de los motivos por los cuales no habra que
incluirlos para ser testeados, dnde se efecta el control, con que
periocidad, existe algun otro control en caso que ste falle?.
Se deben considerar stas recomendaciones y otras que el criterio
del auditor considere incluir que permita asegurar que se tiene la
debida comprensin del control y el entorno en que se
desarrolla.Controles claveEvaluacin de diseo para cada control y
conclusinAcceso a datos (Puntos de foco sugeridos - documentar lo
que aplique al cliente e instalacin especficos)Administracin de
actividades de seguridadAdministracin de la seguridad1) Existe un
proceso de administracin de seguridad para agregar con oportunidad
cuentas de aplicaciones con base en la autorizacin de los
administradores de los procesos de negocio.
2) Existe un proceso de administracin de seguridad para cambiar
con oportunidad cuentas de aplicaciones con base en la autorizacin
de los administradores de los procesos de negocio.
3) Existe un proceso de administracin de seguridad para remover
con oportunidad cuentas de aplicaciones con base en la autorizacin
de los administradores de los procesos de negocio.
4) Los permisos de acceso de los usuarios a las aplicaciones son
revisados peridicamente por los administradores de los procesos de
negocio para asegurar que los accesos efectuados son requeridos por
las responsabilidades laborales de los usuarios.
5) Se ha establecido un proceso de revisin de altas o cambios de
perfiles en cuanto a potenciales conflictos a producirse. Seguridad
de datos1) La administracin ha implementado un proceso de
administracin de seguridad para otorgar el acceso de usuarios a
nivel de base de datos que asegura accesos de acuerdo con las
necesidades del negocio y buenas prcticas de control.
2) La administracin ha implementado un proceso de administracin
de seguridad para cambiar el acceso de usuarios a nivel de base de
datos que asegura accesos de acuerdo con las necesidades del
negocio y buenas prcticas de control.
3) La administracin ha implementado un proceso de administracin
de seguridad para remover oportunamente el acceso de usuarios a
nivel de sistema operativo y base de datos que asegura accesos de
acuerdo con las necesidades del negocio y buenas prcticas de
control.
4) Los ambientes de datos de las aplicaciones han sido
configurados apropiadamente para restringir el acceso directo a los
datos a travs de conexiones directas a la Base de Datos.
5) Los cambios en los datos realizados fuera de la aplicacin
(accesos directos) son debidamente controlados y autorizados.
6) Se realizan revisiones peridicas de los permisos de acceso
directo a datos a fin de validar que los accesos se mantienen en
base a las responsabilidades de los usuarios.
7) Los servidores son configurados con base en parmetros de
seguridad (Revisin por WorkProgram base de datos)Seguridad de
sistema operativo1) La administracin ha implementado un proceso de
administracin de seguridad para otorgar el acceso de usuarios a
nivel de sistema operativo que asegura accesos de acuerdo con las
necesidades del negocio y buenas prcticas de control.
2) La administracin ha implementado un proceso de administracin
de seguridad para cambiar el acceso de usuarios a nivel desistema
operativo que asegura accesos de acuerdo con las necesidades del
negocio y buenas prcticas de control.
3) La administracin ha implementado un proceso de administracin
de seguridad para remover oportunamente el acceso de usuarios a
nivel de sistema operativo y base de datos que asegura accesos de
acuerdo con las necesidades del negocio y buenas prcticas de
control.
4) Se ha implantado un procedimiento de control de cambios
formal para modificaciones en los parmetros de sistema operativo
con aprobacin de funcionarios de nivel apropiado.
5) Se realizan actividades peridicas de revisin de los parmetros
de configuracin del sistema operativo.
6) Los servidores son configurados con base en parmetros de
seguridad (Revisin por WorkProgram sistema operativo)
Seguridad de redSeguridad fsica1) El acceso fsico a las
instalaciones de los servidores y datos es apropiadamente
restringido.
Segregacin de funciones en Administracin de seguridad1) Las
responsabilidades para gestin de la base de datos, administracin de
sistemas operativos y administracin de la red han sido
adecuadamente segregadas.Desarrollo de programas(Puntos de foco
sugeridos - documentar lo que aplique al cliente e instalacin
especficos)Actividades de implementacin y admistracin de
desarrollosPlaneacin, anlisis y diseo1) La aprobacin del
responsable del proyecto es requerida antes del inicio de la fase
de construccin.
Construccin/seleccin de paquetes1) Existen ambientes separados
de desarrollo, pruebas y produccin para las aplicaciones y su
acceso ha sido restringido adecuadamente.
Validacin en ambientes de calidad y pruebas1) Se llevaron a cabo
las pruebas suficientes y adecuadas de acuerdo a la relevancia de
cada cambio. El usuario final es involucrado en las pruebas de
cambios a los sistemas y se requiere la autorizacin del rea
administrativa del usuario para la aceptacin del proyecto y se
mantiene documentacin formal de las pruebas realizadas que
incluyen: - Programas de prueba (scripts). - Descripcin de los
escenarios de la prueba. - Datos de entrada. - Resultados
esperados. - Resultados obtenidos. - Aislamiento de problemas y
procedimientos de resolucin.Conversin de datos1) Existen
procedimientos de prueba desarrollados por el usuario para asegurar
la totalidad, exactitud y validez de la conversin (ejemplo:
Reportes clave, comparacin de informacin, etc).Implementacin1) Los
proyectos son autorizados por la administracin del negocio y por el
jefe de proyecto antes de su implementacin en el ambiente de
produccin.
Segregacin de funciones en desarrollo de programas respecto
de:Codificacin de cambios o proyectosAcceso de Escritura Ambiente
de DesarrolloTransferencia Archivos de PruebasEjecucin de
PruebasAutorizacin de PruebasAcceso de Escritura Ambiente de
PruebasTransferencia Archivos de ProduccinAcceso Escritura Ambiente
de Produccin1) Existen ambientes separados de pruebas y produccin
para las aplicaciones y su acceso ha sido restringido
adecuadamente.
2) Las responsabilidades requeridas en el proceso de desarrollo
e implantacin de sistemas han sido adecuadamente
segregadas.Documentacin y capacitacinCambios a aplicaciones(Puntos
de foco sugeridos - documentar lo que aplique al cliente e
instalacin especficos)Actividades de mantenimientoEspecificacin,
autorizacin y seguimiento de requerimientos de cambios1) Todos los
requerimientos de cambios a programas y/o configuracin del
aplicativo (RFC) son registrados en una bitcora y la gestin de la
bitcora es llevada por personal independiente a los
desarrolladores.
2) Todos los requerimientos de cambios a programas y/o
configuracin del aplicativo (RFC) son autorizados por los dueos del
proceso.
3) La implementacin de los cambios a programas y/o configuracin
del aplicativo es llevada a cabo a travs de un proceso formal de
implementacin. En el caso de los cambios con mayor impacto en la
Totalidad, Exactitud y Validez de la informacin, se espera que
dicho proceso considere:- Anlisis de impactos- Determinacin de reas
y personas involucradas - Que exista un plan "de retorno"- Que
prevean procedimientos y responsables de seguimiento.- Que exista
un procedimiento de actualizacin e la documentacin de
configuracin.
ConstruccinValidacin en ambientes de calidad y pruebas1) Para
aquellos cambios a programas y/o configuracin del aplicativo que
tengan impacto en la Totalidad, Exactitud o Validez de la
informacin, existen planes formales de prueba que incluyen: -
Programas de prueba - Descripcin de los escenarios de la prueba. -
Datos de entrada. - Resultados esperados. - Resultados obtenidos. -
Aislamiento de problemas y procedimientos de resolucin.
2) Se involucra a los usuarios en las pruebas de cambios y se
requiere la autorizacin del rea administrativa del usuario para la
aceptacin del cambio a programas y/o configuracin del aplicativo. -
Existen evidencia de las pruebas de aceptacin por parte del usuario
finalImplementacin1) Todos los cambios a programas y/o configuracin
del aplicativo son autorizados por la administracin antes de su
implementacin en el ambiente de produccin.
Documentacin y capacitacinSegregacin de funciones en cambios a
aplicaciones:Codificacin de cambios o proyectosAcceso de Escritura
Ambiente de DesarrolloTransferencia Archivos de PruebasEjecucin de
PruebasAutorizacin de PruebasAcceso de Escritura Ambiente de
PruebasTransferencia Archivos de ProduccinAcceso Escritura Ambiente
de Produccin1) Las responsabilidades de autorizacin de implantacin
de cambios a programas y/o configuracin del aplicativo y la
liberacin de los mismos han sido adecuadamente segregadas.
2) Existen ambientes separados de pruebas y produccin para las
aplicaciones y su acceso ha sido restringido adecuadamente.
3) Las responsabilidades requeridas en el proceso de desarrollo
e implantacin de sistemas han sido adecuadamente segregadas.
Operaciones de cmputo(Puntos de foco sugeridos - documentar lo
que aplique al cliente e instalacin especficos)
Administracin de operaciones de cmputoGestin de procesos batch1)
Existen controles para asegurar que los procedimientos batch
relevantes para el proceso y control de informacin financiera son
ejecutados en su totalidad, en el orden definido y en horarios
especficos (de ser aplicable).
Gestin de procesos en tiempo en real Procesamiento de
respaldos1) Se han implantado procedimientos adecuados de resguardo
de la informacin para asegurar la disponibilidad de la informacin
histrica requerida por leyes y otras normas (p.e. back-ups,
resguardo en sitio alterno, mantenimiento de toda la informacin en
lnea, etc.)
Administracin de problemas (soporte)1) Existe un procedimiento
para la resolucin de problemas operacionales (de usuarios), las
fallas son registradas y se monitorea su resolucin.
2) Existe un procedimiento de resolucin de problemas con impacto
en el reporte financiero definido y documentado y las fallas que
pueden afectar la totalidad, exactitud o validez de la informacin
son registradas y se monitorea su resolucin.Recuperacin de
desastres)1) Se ha desarrollado un Disaster Recovery Plan formal
basado en un anlisis de impacto al negocio (BIA) el cual es probado
al menos una vez al ao y se encuentra adecuadamente difundido
(aplica en el caso de entidades financieras)
2) Existen controles para la recuperacin de sistemas crticos en
una localidad alterna en caso de algn evento o desastre, en cuanto
a la integridad de datos y transacciones.
Segregacin de funciones en Operaciones de cmputo