guia de auditoria po-01.doc

Guas de Auditoria

FIN

Planificacin y Organizacin

FINES

PO 1 Definir un Plan Estratgico para las Tecnologas de la Informacin

OBJETIVOS DE CONTROL:

1.Tecnologa de la informacin como parte del Plan a largo y corto plazo de la

Organizacin.

2.Plan de la tecnologa de la Informacin a largo plazo.

3.Planificacin de la tecnologa de la Informacin a largo plazo - Enfoque y

Estructura.

4.Cambios en el Plan a largo plazo de la tecnologa de la informacin.

5.Planificacin a corto plazo de la Tecnologa de la Informacin.

6.Evaluacin de los sistemas existentes.

TANTO LOS OBJETIVOS DE CONTROL DETALLADOS COMO LOS DE ALTO NIVEL SON AUDITADOS MEDIANTE:

OS DE CONTROL

Obtencin de conocimiento a travs de:

Entrevistas:

Director General.

Director de Operaciones. Director de Finanzas. Director de las TI.

Miembros del comit de planificacin de los servicios de informacin.

Direccin y personal de recursos humanos de los servicios de informacin.

Obteniendo:

Polticas y procedimientos inherentes al proceso de la planificacin.

Funciones y responsabilidades de planificacin de la Direccin.

Objetivos y planes a corto y largo plazo de la organizacin.

Objetivos y planes a corto y largo plazo de la tecnologa de la informacin. Informes de estado y actas de las reuniones del comit de planificacin.

Evaluacin de los controles:

Considerando si:

Las polticas y procedimientos de negocio de los servicios de informacin siguen un

enfoque de planificacin estructurado. Se ha establecido una metodologa para formular y modificar los planes y que cubran, como mnimo:

--Misin y metas de la organizacin.

--Iniciativas de la tecnologa de la informacin para soportar la misin y las

metas de la organizacin.

--Oportunidades para las iniciativas de la tecnologa de la informacin.

--Estudios de viabilidad de las iniciativas de la tecnologa de la informacin.

--Evaluacin de los riesgos de las iniciativas de la tecnologa de la informacin.

--Inversin ptima en tecnologa de la informacin actual y futura.

--Reingeniera de las iniciativas de la tecnologa de la informacin para reflejar

los cambios en la misin y las metas de la organizacin.

--Evaluacin de las estrategias alternativas para las aplicaciones de datos,

tecnologa y organizacin.

Los cambios de la organizacin, la evolucin tecnolgica, los requerimientos

regulatorios, la reingeniera de los procesos de negocio, las fuentes externas e internas, etc. estn siendo consideradas y dirigidas adecuadamente en el proceso de planificacin.

Existen planes de la tecnologa de la informacin a corto y largo plazo, si stos se actualizan, estn dirigidos adecuadamente a la empresa en general, si su misin y proyectos de la tecnologa de la informacin para las funciones clave del negocio estn soportados por la documentacin apropiada segn lo definido en la metodologa de planificacin de la tecnologa de la informacin.

Existe una revisin para asegurar que los objetivos de las tecnologas de la

informacin y los planes a corto y largo plazo continan satisfaciendo los objetivos y los planes a corto y largo plazo de la organizacin.

Los propietarios de los procesos y la Direccin de los planes de la tecnologa de la informacin llevan a cabo las revisiones y aprobaciones formales.

El plan de la tecnologa de la informacin evala los sistemas de informacin existentes en trminos del grado de automatizacin, funcionalidad, estabilidad, complejidad, costes, fortalezas y debilidades del negocio.

Evaluacin de la suficiencia:

Probando que:

Las actas de las reuniones del comit de planificacin de los servicios de informacin reflejan el proceso de planificacin.

Existe una metodologa de la planificacin comunicada segn lo indicado.

Se incluyen iniciativas de la tecnologa de la informacin en los planes a corto y largo plazo de los servicios de informacin (por ejemplo, cambios de hardware, planificacin de capacidad, arquitectura de la informacin, desarrollo u obtencin de nuevos sistemas, planificacin de recuperacin en caso de desastre, instalacin de plataformas para nuevos procesamientos, etc.).

Las iniciativas de la tecnologa de la informacin soportan la investigacin, la formacin,

la asignacin de personal, las instalaciones, el hardware y el software.

Se han identificado las implicaciones para las iniciativas de la tecnologa de la informacin.

Se ha tenido en consideracin la optimizacin de inversiones en tecnologa de la informacin actuales y futuras.

Los planes a corto y largo plazo de la tecnologa de la informacin son consistentes con los planes a corto y largo plazo de la organizacin, as como con los requerimientos de negocio de sta.

Se han modificado los planes para reflejar los cambios.

Los planes a largo plazo de la tecnologa de la informacin son traducidos peridicamente en planes a corto plazo.

Existen tareas para implementar los planes.

Evaluacin del riesgo de que no se cumplan los objetivos de control:

Llevando a cabo:

Mediciones ("Benchmarking") de los planes estratgicos de la tecnologa de la informacin con respecto a organizaciones similares o buenas prcticas industriales reconocidas y estndares internacionales.

Una revisin detallada de los planes de las TI para asegurar que las iniciativas de la tecnologa de la informacin reflejan la misin y las metas de la organizacin.

Una revisin detallada de los planes de las TI para determinar si, como parte de las soluciones de la tecnologa de la informacin contenidas en los planes, se han identificado reas de debilidad dentro de la organizacin que requieren ser mejoradas.

Identificando:

Fallos en la tecnologa de la informacin para satisfacer la misin y las metas de la organizacin.

Fallo en la tecnologa de la informacin para concordar los planes a corto y largo plazo.

Fallos en la tecnologa de la informacin para satisfacer planes a corto plazo.

Fallos en la tecnologa de la informacin para satisfacer alineamientos de costes y tiempos.

Oportunidades de negocio no aprovechadas.

Oportunidades de la tecnologa de la informacin no aprovechadas.

PO 2 Definir la Arquitectura de la Informacin


1.Modelo de la arquitectura de la Informacin.

2.Diccionario de datos corporativo y reglas de sintaxis de los datos.

3.Esquema de Clasificacin de los Datos.

4.Niveles de Seguridad.

OBJETIVOS DE CONTROL


FINES

Obtencin de conocimiento mediante:

Entrevistas:

Director de las TI.

Miembros del comit de planificacin de los servicios de informacin. Direccin de los servicios de informacin.

Responsable de Seguridad.

Obteniendo:

Polticas y procedimientos sobre la arquitectura de la informacin. Modelo de la arquitectura de la informacin.

Documentos que soportan el modelo de la arquitectura de la informacin, incluyendo el modelo de datos corporativo.

Diccionario de datos corporativo. Poltica de propiedad de datos.

Funciones y responsabilidades de planificacin de la Direccin. Objetivos y planes a corto y largo plazo de la tecnologa de la informacin.

Informe de estado y actas de las reuniones del comit de planificacin.


Considerando si:

Las polticas y procedimientos de los servicios de informacin dirigen el desarrollo y mantenimiento del diccionario de datos.

El proceso utilizado para actualizar el modelo de la arquitectura de la informacin se basa en los planes a corto y largo plazo, considera los costes y riesgos asociados y asegura que las aprobaciones formales de la Direccin se obtienen antes de hacer modificaciones al modelo.

Se utiliza algn proceso para mantener actualizados el diccionario de datos y las reglas de sintaxis de los datos.

Se utiliza algn medio para distribuir el diccionario de datos para asegurar que ste sea accesible para las reas de desarrollo y que los cambios se reflejan inmediatamente.

Las polticas y procedimientos de los servicios de informacin dirigen la

clasificacin de los datos, incluyendo categoras de seguridad y propiedad de datos, y si las reglas de acceso para las clases de datos estn claras y apropiadamente definidas.

Los estndares definen la clasificacin por defecto de los datos que no contienen un identificador de clasificacin de datos.

Las polticas y procedimientos de los servicios de informacin dirigen lo siguiente:

La existencia de un proceso de autorizacin que requiere que el propietario de

los datos (tal como lo define la poltica de propiedad de datos) autorice todos los

accesos a stos datos, as como los atributos de seguridad de los mismos.

Los niveles de seguridad estn definidos para cada clasificacin de datos.

Los niveles de acceso estn definidos y son apropiados para la clasificacin de

datos. El acceso a datos confidenciales requiere de niveles de acceso explcitos y

que los datos nicamente se proporcionan si existe una verdadera necesidad de

acceder a ellos.


Probando que:

Estn identificados los cambios realizados en el modelo de la arquitectura de la

informacin para confirmar que dichos cambios reflejan la informacin de los planes a largo y corto plazo, as como los costes y los riesgos.

La evaluacin del impacto de cualquier modificacin o cambio realizado en el diccionario de datos para asegurar que stos han sido comunicados efectivamente.

Existen varios sistemas de aplicacin operacional y proyectos de desarrollo para confirmar que el diccionario de datos es utilizado para la definicin de datos.

El diccionario de datos recoge toda la documentacin para confirmar que ste define los atributos de los datos y los niveles de seguridad para cada uno.

Es apropiada cada clasificacin de datos, los niveles de seguridad, los niveles de acceso y "defaults".

Cada clasificacin de datos define claramente:

Quin puede tener acceso.

Quin es responsable de determinar el nivel de acceso apropiado.

La aprobacin especfica requerida para el acceso.

Los requerimientos especiales para el acceso (por ejemplo, acuerdo de

confidencialidad).


Llevando a cabo:

Mediciones ("Benchmarking") del modelo de la arquitectura de la informacin en relacin con organizaciones similares o estndares internacionales y buenas prcticas reconocidas en la industria del sector.

Una revisin detallada del diccionario de datos para asegurar que est completo en lo referente a los elementos clave.

Una revisin detallada de los niveles de seguridad definidos para los datos

delicados, con el fin de verificar que se haya obtenido la autorizacin apropiada para el acceso y que el acceso sea consistente con los niveles de seguridad definidos en las polticas y procedimientos de los servicios de informacin.

Identificando:

Inconsistencias en el modelo de la arquitectura de la informacin , en el modelo y diccionario de datos corporativo, en los sistemas de la informacin asociados y en los planes a largo y corto plazo de la tecnologa de la informacin.

Elementos obsoletos en el diccionario de datos corporativo y reglas de sintaxis de los datos en las que se haya perdido tiempo debido a cambios realizados inadecuadamente en el diccionario de datos.

Elementos de datos en los que la propiedad no haya sido clara y apropiadamente determinada.

Clasificacin de datos que han sido definidos de manera inapropiada.

Niveles de seguridad de datos inconsistentes con la regla de "necesidad de acceso" ("need to know").

FINES

PO 3 Determinar la Direccin Tecnolgica


1.Planificacin de la Infraestructura Tecnolgica.

2.Supervisin de Futuras Tendencias y Regulaciones.

3.Contingencia de la Infraestructura Tecnolgica.

4.Planes de Adquisicin de Hardware y Software.

5.Estndares Tecnolgicos.



Obtencin de un entendimiento a travs de:

Entrevistas:

Director General.



Obteniendo:

Polticas y procedimientos relacionados con la planificacin y el

seguimiento de la infraestructura tecnolgica.

Tareas y responsabilidades de planificacin de la Direccin.

Objetivos y planes a largo y corto plazo de la organizacin.

Objetivos y planes a largo y corto plazo de la tecnologa de la informacin.

Plan de adquisicin de hardware y software de la tecnologa de la

informacin.

Plan de infraestructura tecnolgica.

Estndares de la tecnologa.

Informes de estado y actas de las reuniones del comit de planificacin.


Considerando si:

Existe un proceso para la creacin y la actualizacin regular del plan de

infraestructura tecnolgica para confirmar que los cambios propuestos estn siendo

examinados primero para evaluar los costes y riesgos inherentes, y que la aprobacin de la Direccin se obtiene antes de realizar cualquier cambio en el plan.

El plan de infraestructura tecnolgica est siendo comparado con los planes a largo y corto plazo de la tecnologa de la informacin.

Existe un proceso para la evaluacin de la situacin tecnolgica actual de la

organizacin para asegurar que abarca aspectos tales como la arquitectura de sistemas, la direccin tecnolgica y las estrategias de migracin.

La poltica y procedimientos de los servicios de informacin aseguran la

consideracin de la necesidad de evaluar y realizan un seguimiento de las tendencias y condiciones regulatorias tecnolgicas presentes y futuras, y si stas se tienen en consideracin durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica.

Se planifican el impacto logstico y ambiental de las adquisiciones tecnolgicas.

Las polticas y procedimientos de los servicios de informacin aseguran que se

considera la necesidad de evaluar sistemticamente el plan tecnolgico con respecto a contingencias (por ejemplo, redundancia, resistencia, adecuacin y capacidad evolutiva de la infraestructura).

La direccin de los servicios de informacin evala tecnologas de vanguardia, e incorpora tecnologas apropiadas a la infraestructura de los servicios de informacin actual.

Los planes de adquisicin de hardware y software suelen satisfacer las necesidades identificadas en el plan de infraestructura tecnolgica y si stos se aprueban apropiadamente.

Se encuentran establecidos los estndares de la tecnologa para los componentes tecnolgicos descritos en el plan de infraestructura tecnolgica.


Probando que:

La direccin de los servicios de informacin comprende y utiliza el plan de infraestructura tecnolgica.

Se han realizado cambios en el plan de infraestructura tecnolgica para identificar los costes y riesgos inherentes, y que dichos cambios reflejan las modificaciones a los planes a largo y corto plazo de la tecnologa de la informacin.

La direccin de los servicios de informacin comprende el proceso de seguimiento y evaluacin de las nuevas tecnologas e incorpora tecnologas apropiadas a la infraestructura de los servicios de informacin actual.

La direccin de los servicios de informacin comprende el proceso de evaluar sistemticamente el plan tecnolgico en cuanto a contingencias (por ejemplo, redundancia, resistencia, adecuacin y capacidad evolutiva de la infraestructura).

Existe un espacio adecuado en los servicios de informacin adecuado para alojar el hardware y software actualmente instalado, as como nuevo hardware y software adquirido

segn el plan de adquisiciones actual aprobado.

El plan de adquisicin de hardware y software cumple con los planes a largo y corto plazo de la tecnologa de la informacin, reflejando las necesidades identificadas en el plan de infraestructura tecnolgica.

El plan de infraestructura tecnolgica dirige la utilizacin de la tecnologa actual y futura.

Se cumple con los estndares de la tecnologa y que stos son agregados e incorporados como parte del proceso de desarrollo.

El acceso permitido es consistente con los niveles de seguridad definidos en las polticas y procedimientos de los servicios de informacin, y se ha obtenido la autorizacin apropiada para el acceso.


Llevando a cabo:

Mediciones ("Benchmarking") de la planificacin de la infraestructura tecnolgica en relacin con organizaciones similares o estndares internacionales y buenas prcticas reconocidas en la industria del sector.

Una revisin detallada del diccionario de datos para verificar que est completo en lo referente a elementos clave.

Una revisin detallada de los niveles de seguridad definidos para datos confidenciales.

Identificando:

Inconsistencias en el modelo de la arquitectura de la informacin y en el modelo y el diccionario de datos corporativo, en los sistemas de informacin asociados y en los planes a largo y corto plazo de la tecnologa de la informacin.

Elementos del diccionario de datos y reglas de sintaxis de datos obsoletos.

Contingencias que no han sido consideradas en el plan de infraestructura tecnolgica.

Planes de adquisicin de hardware y software de la tecnologa de la informacin que no reflejan las necesidades del plan de infraestructura tecnolgica.

Estndares de la tecnologa que no son consistentes con el plan de infraestructura tecnolgica o con los planes de adquisicin de hardware y software de la tecnologa de la informacin.

Un plan de infraestructura tecnolgica o planes de adquisicin de hardware y

software de la tecnologa de la informacin que no son consistentes con los estndares de la tecnologa.

Elementos clave omitidos en el diccionario de datos.

FINE

PO 4 Definir la Organizacin de las TI y sus relaciones


1.Comit de planificacin o de direccin de las TI.

2.Ubicacin organizativa de las TI.

3.Revisin de Logros De la organizacin.

4.Roles y Responsabilidades.

5.Responsabilidad del aseguramiento de la calidad.

6.Responsabilidad de la Seguridad Lgica y Fsica.

7.Propiedad y Custodia.

8.Propiedad de Datos y Sistemas.

9.Supervisin.

10. Segregacin de Tareas.

11. Asignacin de Personal para las TI.

12. Descripcin de Puestos o Trabajos para el Personal de las TI.

13. Personal Clave de las Tecnologas de la informacin.

14. Polticas y Procedimientos para personal contratado.

15. Relaciones.

BJETIVOS DE CONTROL


Obtencin de conocimiento mediante:

Entrevistas:

Director General.


Responsable de Asegurar la Calidad.

Responsable de Seguridad de la informacin.

Miembros del comit de planificacin de los servicios de informacin, recursos humanos y Direccin.

Obteniendo:

Funciones y responsabilidades de planificacin de la Direccin.

Objetivos y planes a largo y corto plazo de la organizacin.

Objetivos y planes a largo y corto plazo de la tecnologa de la informacin. Organigrama de la organizacin que muestre la relacin entre los servicios de informacin y otras funciones.

Polticas y procedimientos relacionados con la organizacin y las relaciones de la tecnologa de la informacin.

Polticas y procedimientos relacionados con asegurar la calidad.

Polticas y procedimientos utilizados para determinar los requerimientos de asignacin de personal de los servicios de informacin y Organigrama de la organizacin de los servicios de informacin.

Funciones y responsabilidades de los servicios de informacin. Descripcin de los puestos clave de los servicios de informacin.

Informes de estado y actas de las reuniones del comit de planificacin. Evaluacin de los controles:

Considerando si:

Las polticas y los comunicados de la Direccin aseguran la independencia y la autoridad de los servicios de informacin.

Se han definido e identificado los miembros, las funciones y las responsabilidades del comit de planificacin de los servicios de informacin.

Los estatutos del comit de planificacin de los servicios de informacin alinean las metas del comit con los objetivos y los planes a largo y corto plazo de la organizacin, y con los objetivos y planes a largo y corto plazo de la tecnologa de la informacin.

Se han establecido procesos para aumentar el conocimiento la concienciacin, la comprensin y la habilidad para identificar y resolver los problemas de direccin de la informacin.

Las polticas consideran la necesidad de evaluar y modificar la estructura de la organizacin para satisfacer los objetivos y circunstancias en continuo cambio.

Existen procesos e indicadores de rendimiento para determinar la efectividad y aceptacin de los servicios de informacin.

La Direccin se asegura que las funciones y responsabilidades estn siendo llevadas a cabo.

Existen polticas que determinan las funciones y responsabilidades para todo el personal dentro de la organizacin con respecto a sistemas de informacin, control y seguridad internos.

Existen campaas regulares para aumentar la concienciacin y disciplina en cuanto al control y la seguridad interna.

Existen polticas y funciones para asegurar la calidad.

La funcin de asegurar la calidad cuenta con la independencia suficiente con respecto al personal de desarrollo de sistemas y con una asignacin de personal y experiencia adecuados para llevar a cabo sus responsabilidades.

Existen procedimientos establecidos dentro de la funcin de asegurar la calidad para distribuir los recursos y asegurar el cumplimiento de las pruebas y la aprobacin del aseguramiento de la calidad antes de que se implementen nuevos sistemas o cambios en los mismos.

La Gerencia ha asignado formalmente la responsabilidad a lo largo de toda la

organizacin para la formalizacin de polticas y procedimientos de control y seguridad internos (tanto lgicos como fsicos) a algn empleado de la seguridad de la informacin.

El responsable de la seguridad de la informacin comprende adecuadamente las

funciones y responsabilidades y si stas han mostrado consistencia con respecto a la poltica de seguridad de la informacin de la organizacin.

La poltica de seguridad de la organizacin define claramente las responsabilidades sobre la seguridad de la informacin que cada propietario de activos (por ejemplo, usuarios, direccin y administradores de seguridad) debe llevar a cabo.

Existen polticas y procedimientos que cubren los datos y la propiedad de los sistemas para todas las fuentes de datos y sistemas ms importantes.

Existen procedimientos para revisar y mantener los cambios en la propiedad de los datos y los sistemas regularmente.

Existen polticas y procedimientos que describen las prcticas de supervisin para

asegurar que las funciones y responsabilidades son ejercidas apropiadamente y que todo el personal cuenta con suficiente autoridad y recursos para llevar a cabo sus funciones y responsabilidades.

Existe una segregacin de funciones entre los siguientes pares de unidades:

desarrollo y mantenimiento de sistemas.

desarrollo y operaciones de sistemas.

desarrollo y mantenimiento de sistemas y seguridad de la informacin.

operaciones y control de datos.

operaciones y usuarios.

operaciones y seguridad de la informacin.

La asignacin de personal y la competencia de los servicios de informacin se mantiene para asegurar su habilidad para proporcionar soluciones tecnolgicas efectivas.

Existen polticas y procedimientos para la evaluacin y validacin de las descripciones de los puestos de los servicios de informacin.

Existen funciones y responsabilidades para procesos clave, incluyendo actividades del ciclo de vida de desarrollo de los sistemas (requerimiento, diseo, desarrollo, pruebas), seguridad de la informacin, adquisicin y planificacin de capacidad.

Se utilizan indicadores clave de rendimiento y factores crticos de xito para medir los resultados de los servicios de informacin en el logro de los objetivos de las organizaciones.

Existen polticas y procedimientos en los servicios de informacin para controlar las actividades de los consultores y el resto del personal contratado, asegurando as la proteccin de los activos de la organizacin.

Existen procedimientos aplicables a la tecnologa de la informacin contratada que son adecuados y consistentes con las polticas de adquisicin de la organizacin.

Existen procesos para coordinar, comunicar y documentar los intereses dentro y fuera del directorio de los servicios de informacin.

FINES


Probando que:

El comit de planificacin de los servicios de informacin vigila a los mismos as como sus actividades.

Existe una jerarqua de la informacin de los servicios de informacin.

La localizacin de los servicios de informacin dentro de la organizacin es efectiva en cuanto a facilitar la relacin con la alta Gerencia.

La Direccin de los servicios de informacin comprende cules son los procesos utilizados para seguir, medir e informar sobre la realizacin de los servicios de informacin.

Se utilizan los indicadores clave para evaluar el rendimiento.

Los procesos analizan los resultados reales comparndolos con las metas a conseguir, con el fin de determinar las acciones correctivas a realizar cuando los resultados reales no alcanzan las metas.

La direccin acta ante cualquier variacin significativa con respecto a los niveles esperados de resultado.

La direccin evala la capacidad de respuesta y la habilidad de los servicios de informacin para proporcionar soluciones de la tecnologa de la informacin que satisfagan las necesidades de usuarios y propietarios.

La Gerencia de los servicios de informacin conoce sus funciones y responsabilidades.

Asegurar la calidad se involucra en la prueba y aprobacin de los planes de los proyectos de los servicios de informacin.

El personal de seguridad de la informacin revisa los sistemas operativos y los sistemas de aplicacin esenciales.

La adecuacin de los informes o documentacin al evaluar la seguridad de la informacin (tanto lgica como fsica) ya existe o esta en desarrollo.

Existe suficiente conocimiento, concienciacin y una aplicacin consistente de las polticas y procedimientos de seguridad de la informacin.

El personal asiste a la formacin sobre seguridad y control interno.

La propiedad de los datos y sistemas se encuentra definida para todos los activos de la informacin.

Los propietarios de datos y sistemas han aprobado los cambios realizados en dichos

datos y sistemas.

Todos los datos y sistemas cuentan con un propietario que es responsable del control sobre los datos y sistemas.

El acceso a todos los activos de datos y sistemas es aprobado por el reponsable o los responsables de dichos activos.

La lnea directa de la autoridad y supervisin asociada con el puesto est en conformidad con las responsabilidades del responsable.

Las descripciones de los puestos definen claramente tanto la autoridad como la responsabilidad.

Las descripciones de los puestos definen claramente las aptitudes de los negocios, las relaciones y las tcnicas necesarias.

Las descripciones de puestos han sido comunicadas con precisin y comprendidas por el personal.

Las descripciones de los puestos para la funcin de los servicios de informacin contienen indicadores clave de rendimiento que han sido comunicados al personal.

Las funciones y responsabilidades del personal de los servicios de informacin

corresponden tanto a las descripciones publicadas de los puestos como al organigrama.

Existen las descripciones de los puestos clave y que stas incluyen las ordenes de la organizacin relativas a los sistemas de informacin, control y seguridad internos.

Existe precisin en la descripcin de los puestos en comparacin con las responsabilidades actuales de los encargados de dichos puestos.

Existe una natural y suficiente segregacin y limitacin de funciones dentro de los servicios de informacin.

El personal de la tecnologa de la informacin mantiene la competencia.

Es apropiada la descripcin de los puestos como base para la adecuacin y la claridad de las responsabilidades, autoridad y criterios de rendimiento.

Las responsabilidades de la direccin contratadas han sido asignadas al personal apropiado.

Los trminos de los contratos son consistentes con los estndares de los contratos de la organizacin, y los trminos y condiciones contractuales estndar han sido revisados y evaluados por un consultor legal, y se ha llegado a un acuerdo.

Los contratos contienen clusulas apropiadas con respecto al cumplimiento de:

polticas de seguridad corporativa y control interno, y estndares de la tecnologa de la informacin.

Existen procesos y estructuras que garantizan una coordinacin efectiva y eficiente para lograr relaciones con xito.


Llevando a cabo:

Mediciones ("Benchmarking") de la organizacin y de las relaciones en

comparacin con otras organizaciones similares o estndares internacionales y buenas prcticas reconocidas por la industria.

Una revisin detallada para determinar el impacto sobre la organizacin causada por un comit de planificacin de los servicios de informacin no efectivo.

Una revisin detallada para medir el progreso de los servicios de informacin al tratar con los problemas de los sistemas de la informacin e implementar soluciones tecnolgicas.

Una revisin detallada para evaluar la estructura de la organizacin, las aptitudes del personal, las funciones y responsabilidades asignadas, la propiedad de datos y sistemas, la supervisin, la segregacin de funciones, etc.

Una revisin detallada del aseguramiento de la calidad para determinar su efectividad en la satisfaccin de los requerimientos de la organizacin.

Una revisin detallada de la seguridad de la informacin para determinar su

efectividad para proporcionar seguridad general en la organizacin (tanto lgica como fsica) y formacin de conocimiento y concienciacin sobre seguridad.

Una revisin detallada de los contratos para confirmar que stos han sido ejecutados apropiadamente por ambas partes y que cumplen con los trminos contractuales estndar de la organizacin.

Identificando:

Debilidades de los servicios de informacin y sus actividades ocasionadas por una vigilancia poco efectiva por parte del comit de planificacin de dicha funcin.

Lagunas, deficiencias, etc. en la estructura de la organizacin que traen como resultado ineficacia e ineficiencia en los servicios de informacin.

Estructuras de la organizacin inapropiadas, falta de funciones, personal

insuficiente, deficiencias en competencia, funciones y responsabilidades no apropiadas, confusin en la propiedad de los datos y los sistemas, problemas de supervisin, falta de segregacin de funciones, etc.

Sistemas en proceso de desarrollo, modificados o implementados que cumplen con los requerimientos de seguridad de la calidad.

Sistemas en proceso de desarrollo, modificados o implementados que cumplen con los requerimientos de seguridad (lgica, fsica, o ambos).

Contratos que no cumplen con los requerimientos contractuales de la organizacin.

Coordinacin y comunicacin nada efectivas entre los servicios de informacin y otros intereses dentro y fuera de esta funcin.

PO 5 Administrar las Inversiones en Tecnologa de la Informacin


1 Presupuesto Operativo Anual para las TI. 2 Supervisin de Coste y Beneficio. 3 Justificacin de Coste y Beneficio.




Entrevistas:

Director de Finanzas. Director de las TI.


Obteniendo:

Polticas, mtodos y procedimientos de la organizacin relacionados con la elaboracin del presupuesto y los costes.

Polticas y procedimientos de los servicios de informacin relacionados con la elaboracin del presupuesto , las actividades y los costes.

Presupuesto actual y del ao anterior para los servicios de informacin.

Objetivos y planes de la organizacin a corto y largo plazo.

Objetivos y planes a corto y largo plazo de la tecnologa de la informacin. Funciones y responsabilidades de planificacin de la Direccin.

Informes sobre las variaciones producidas y otros informes relacionados con el control y el seguimiento de las variaciones que se producen.

Informes de estado y actas de las reuniones del comit de planificacin. Evaluacin de los controles:

Considerando si:

El proceso de elaboracin del presupuesto de los servicios de informacin es consistente con el proceso de la organizacin.

Existen polticas y procedimientos para asegurar la preparacin y la aprobacin

adecuada de un presupuesto anual para los servicios de informacin, que sea consistente con el presupuesto y los planes a corto y largo plazo de la organizacin y los planes a corto y largo plazo de la tecnologa de la informacin.

El proceso de elaboracin del presupuesto est vinculado con la direccin de las unidades ms importantes de los servicios de informacin que contribuyen a su preparacin.

Existen polticas y procedimientos para realizar un seguimiento regular de los costes reales y compararlos con los costes presupuestados y si los costes reales tienen como base el sistema de contabilidad de costes de la organizacin.

Existen polticas y procedimientos para garantizar que la entrega de los servicios por parte de los servicios de informacin estn justificados en cuanto a costes y estn en lnea con los costes de la industria.


Probando que:

El presupuesto de los servicios de informacin es el adecuado para justificar el plan operativo anual de dicha funcin.

Las categoras de gastos de los servicios de informacin son suficientes, apropiadas y han sido clasificadas adecuadamente.

El sistema habitual para registrar, procesar e informar sobre los costes asociados con las actividades de los servicios de informacin de forma rutinaria es adecuado.

El proceso de revisin de los costes compara adecuadamente los costes reales con los presupuestados.

Los anlisis sobre el coste y beneficio, llevados a cabo por la direccin de los

grupos de usuarios afectados, la funcin de los servicios de informacin y la Direccin de la organizacin son revisados adecuadamente.

Las herramientas utilizadas para el control de los costes son usadas de forma efectiva y apropiada.


Llevando a cabo:

Mediciones ("Benchmarking") de presupuestos y costes con respecto a otras organizaciones y buenas prcticas reconocidas en la industria y estndares internacionales apropiados.

Una revisin detallada del presupuesto actual y del ao inmediato anterior con respecto a los resultados reales, variaciones y acciones correctivas aplicadas.

Identificando:

Los presupuestos de los sistemas de informacin que no estn en lnea con el presupuesto y los planes a corto y largo plazo de la organizacin, y con los planes a corto y largo plazo de la tecnologa de la informacin.

Los costes reales tenidos en cuenta de los servicios de informacin que no han sido capturados.

FINES

PO 6 Comunicar los objetivos y directrices de la Direccin


OL

1.Entorno Positivo de Control de la Informacin.

2.Responsabilidad de la Direccin en cuanto a Polticas.

3.Comunicacin de las Polticas de la Organizacin.

4.Recursos para la Implementacin de las Polticas.

5.Mantenimiento de Polticas.

6.Cumplimiento de Polticas, Procedimientos y Estndares.

7.Compromiso con la Calidad.

8.Poltica sobre el Marco de referencia para la Seguridad y el Control Interno.

9.Derechos de la Propiedad Intelectual.

10. Polticas para Situaciones Especficas.

11. Comunicacin para la concienciacin sobre Seguridad en las TI.



Entrevistas:

Director General.


Responsable de Seguridad.


Obteniendo:

Polticas y procedimientos relacionados con el marco de referencia de control

positivo y el programa de conocimiento y concienciacin de la direccin, con el marco de referencia de seguridad y control interno y con el programa de calidad de los servicios de informacin.

Las funciones y responsabilidades de planificacin de la Direccin.

Objetivos y planes a corto y largo plazo de la organizacin.

Objetivos y planes a corto y largo plazo de la tecnologa de la informacin. Informes de estado y actas de las reuniones del comit de planificacin. Un programa de comunicacin.


Considerando si:

Las polticas y procedimientos de la organizacin crean un marco de referencia y un programa de conocimiento y concienciacin, prestando atencin especfica a la

tecnologa de la informacin, propiciando un entorno de control positivo y considerando aspectos como:

Integridad.

Valores ticos.

Cdigo de conducta.

Seguridad y control interno.

Competencia del personal.

Filosofa y modo de actuar de la direccin.

Responsabilidad, atencin y direccin proporcionadas por el consejo directivo o

su equivalente.

La alta gerencia promueve un entorno de control positivo a travs del ejemplo.

La direccin ha aceptado la responsabilidad total sobre la formulacin, el

desarrollo, la documentacin, la promulgacin, el control y la revisin peridica de las polticas que rigen las metas y directivas generales.

Existe un programa de conocimiento y concienciacin formal para proporcionar comunicacin y formacin relacionados con el entorno positivo de control de la direccin.

Existen polticas y procedimientos de la organizacin para asegurar que son asignados los recursos adecuados y apropiados para implementar las polticas de la organizacin de manera oportuna.

Existen procedimientos apropiados para asegurar que el personal comprende las polticas y procedimientos implementados, y que se cumple con dichas polticas y procedimientos.

Las polticas y procedimientos de los servicios de informacin definen, documentan y mantienen una filosofa, polticas y objetivos formales que rigen la calidad de los sistemas y servicios producidos, y que stos son consistentes con la filosofa, polticas y objetivos de la organizacin.

La direccin de los servicios de informacin asegura que la calidad de la

filosofa, las polticas y objetivos es comprendida, implementada y mantenidas a todos los niveles de los servicios de informacin.

Existen procedimientos que consideran la necesidad de revisar y aprobar

peridicamente los estndares, directivas, polticas y procedimientos clave relacionados con la tecnologa de la informacin.

La Direccin ha aceptado la responsabilidad total sobre el desarrollo de un marco de referencia para el enfoque general de seguridad y control interno.

El documento del marco de referencia de seguridad y control interno especifica la poltica, propsito, objetivos, estructura administrativa, alcance dentro de la organizacin, asignacin de responsabilidades y definicin de sanciones y acciones

disciplinarias de seguridad y control interno asociados con la falta de cumplimiento de las polticas de seguridad y control interno.

Las polticas de seguridad y control interno identifican el proceso de control interno de la organizacin e incluyen componentes de control tales como:

Entorno de control.

Reevaluacin de los riesgos.

Actividades de control.

Informacin y comunicacin.

Seguimiento.

Existen polticas para asuntos especiales para documentar las decisiones

administrativas sobre actividades, aplicaciones, sistemas y tecnologas particulares.


Probando que:

Los esfuerzos de la direccin para fomentar el control positivo cubren aspectos clave tales como: integridad, valores ticos, cdigo de conducta, seguridad y control interno, competencia del personal, filosofa y forma de actuar de la direccin, responsabilidad, atencin y direccin.

Los empleados han recibido el cdigo de conducta y lo comprenden.

Se han comunicado las polticas de la direccin relacionadas con el entorno de control interno de la organizacin.

Existe el compromiso de la direccin en cuanto a los recursos para formular,

desarrollar, documentar, promulgar y controlar las polticas relativas al control interno.

Existe propiedad y habilidad para adaptarse a las condiciones en continuo cambio de las revisiones regulares de los estndares, directivas, polticas y procedimientos por parte de la direccin.

Los esfuerzos de seguimiento de la direccin aseguran la asignacin adecuada y apropiada de los recursos para implementar de manera oportuna las polticas de la organizacin.

Los esfuerzos de reforzamiento por parte de la direccin con respecto a los

estndares, directivas, polticas y procedimientos relacionados el control interno estn asegurando su cumplimiento a travs de toda la organizacin.

La filosofa, polticas y objetivos de calidad determinan el cumplimiento y la

consistencia con la filosofa, polticas y procedimientos corporativos y de los servicios de informacin.

La direccin de los servicios de informacin y el personal de desarrollo y

operaciones determinan la filosofa de calidad y su poltica de relaciones, y que los

procedimientos y objetivos son comprendidos y cumplidos por todos los niveles dentro de los servicios de informacin.

Los procesos de medicin aseguran que los objetivos de la organizacin son alcanzados.

Miembros seleccionados de la direccin estn involucrados y comprenden el

contenido de las actividades de seguridad y control interno (por ejemplo, informes de excepcin, conciliaciones, comparaciones, etc.) que estn bajo su responsabilidad.

Las funciones individuales, las responsabilidades y lneas de autoridad se

comunican claramente y se comprenden en todos los niveles de la organizacin.

Los departamentos seleccionados evalan procedimientos para realizar un

seguimiento regular de forma rutinaria sobre actividades de seguridad y control interno (por ejemplo, informes de excepcin, conciliaciones, comparaciones, etc.) y existe un proceso para proporcionar retroalimentacin a la direccin.

La documentacin del sistema seleccionado confirma que las decisiones

administrativas del sistema especfico han sido documentadas y aprobadas de acuerdo con las polticas y procedimientos de la organizacin.

La documentacin del sistema seleccionado confirma que las decisiones

administrativas con respecto a actividades, sistemas de aplicacin o tecnologas particulares han sido aprobadas por la Direccin.


Llevando a cabo:

Mediciones ("Benchmarking") del marco de referencia del control de la informacin y del programa de conocimiento y concienciacin de la direccin en relacin con organizaciones similares o estndares internacionales y buenas prcticas de la industria reconocidas.

Una revisin detallada y de proyectos aprobados de seguridad y control interno para determinar que los proyectos fueron aprobados y tomaron como base un anlisis de los riesgos y, coste y beneficio.

Identificando:

Un marco de referencia de control dbil que ponga en duda el compromiso de la direccin en cuanto al fomento de un entorno de control interno positivo a travs de la organizacin.

Fallos en la direccin para comunicar de forma efectiva sus polticas relacionadas con el entorno de control interno de la organizacin.

Falta de recursos asignados para formular, desarrollar, documentar, promulgar y controlar polticas que cubren el entorno de control interno.

Estndares, directivas, polticas y procedimientos no actualizados.

Incumplimiento por parte de la direccin para asegurar el cumplimiento de los estndares, directivas, polticas y procedimientos a travs de la organizacin.

Deficiencias en los servicios de informacin, en su compromiso con la calidad o en su habilidad para definir, documentar, mantener y comunicar efectivamente una filosofa, polticas y objetivos de calidad.

Debilidades en el marco de referencia de la seguridad y el control interno de la organizacin y en los servicios de informacin.

Ausencia de polticas para asuntos especficos requeridas para dirigir actividades, aplicaciones y tecnologas particulares.

PO 7 Administrar los Recursos Humanos


1.Seleccin y Promocin de Personal.

2.Cualificaciones del Personal.

3.Roles y Responsabilidades.

4.Formacin del Personal.

5.Formacin Cruzado o copias de seguridad del Personal.

6.Procedimientos de acreditacin del Personal.

7.Evaluacin del Rendimiento del Trabajo del Empleado.

8.Cambio de Puesto y Despido.



Entrevistas:

Responsable de Recursos Humanos de la Organizacin y personal seleccionado. Responsable de Seguridad.

Personal seleccionado de seguridad.

Director de los servicios de informacin.

Responsable de Recursos Humanos de los servicios de informacin. Directores seleccionados de los servicios de informacin. Personal seleccionado de los servicios de informacin.

Personal seleccionado asociado con posiciones sensibles en los servicios de informacin.

Obteniendo:

Polticas y procedimientos relacionados con la direccin de los recursos humanos. Descripciones de los puestos, formas de evaluacin del trabajo realizado y formas de desarrollo y formacin.

Expedientes de personal para puestos seleccionados y resto del personal.


Considerando si:

Se utilizan criterios para incorporar y seleccionar personal para cubrir puestos vacantes.

Las especificaciones de las habilidades y conocimientos necesarios para los puestos de staff tienen en consideracin los requerimientos relevantes de los profesionales cuando sea apropiado.

La direccin y los empleados aceptan el proceso de las competencias del puesto.

Los programas de formacin son consistentes con los requerimientos mnimos

documentados de la organizacin relacionados con la educacin, el conocimiento y la concienciacin generales que cubren los temas de seguridad de la informacin.

La direccin est comprometida con la formacin y el desarrollo profesional de sus empleados.

Las brechas tcnicas y administrativas estn identificadas y si se estn llevando a cabo las acciones apropiadas para manejar estas brechas.

Se dan los procesos de formacin cruzado y copias de seguridad de personal habitualmente para las funciones de puestos crticos.

Se da un refuerzo de la poltica de vacaciones ininterrumpidas.

Si el proceso de liquidacin de seguridad de la organizacin es adecuado.

Los empleados son evaluados tomando como base un conjunto estndar de perfiles de competencia para el puesto y si se llevan a cabo evaluaciones de forma peridica.

Los procesos de despido y cambio de puesto aseguran la proteccin de los recursos de la organizacin.

Las polticas y procedimientos de recursos humanos concuerdan con las leyes y regulaciones aplicables.


Probando que:

Las acciones de incorporacin y seleccin, as como los criterios de seleccin reflejan objetividad y relevancia con respecto a los requerimientos del puesto.

El personal cuenta con los conocimientos adecuados para desarrollar las funciones de su puesto o rea de responsabilidad.

Existen descripciones de los puestos, y stas son revisadas y se mantienen actualizadas.

Los expedientes del personal contienen un reconocimiento del mismo en cuanto a la comprensin del programa general de educacin, concienciacin y conocimiento de la organizacin.

Se da el proceso de formacin y educacin continua para el personal asignado a funciones clave.

El personal de seguridad de la informacin ha recibido la formacin apropiada en procedimientos y tcnicas de seguridad.

La direccin y el personal de los servicios de informacin tienen conocimiento, concienciacin y comprenden las polticas y procedimientos de la organizacin.

Los procedimientos de investigacin de los despidos son consistentes con las leyes aplicables que rigen la confidencialidad.

El conocimiento de los objetivos del negocio por parte del personal asignado a las funciones clave de los servicios de informacin incluye la filosofa de los controles internos y los conceptos de control y seguridad de los sistemas de informacin.


Llevando a cabo:

Mediciones ("Benchmarking") de las actividades de recursos humanos en relacin con organizaciones similares o estndares internacionales y buenas prcticas reconocidas en la industria del sector.

Una revisin detallada de las actividades de la direccin de recursos humanos de los servicios de informacin.

Identificando:

Causas y objeciones o quejas por parte de los candidatos potenciales y reales al puesto.

Discrepancias en las actividades de seleccin, transferencia, promocin y despido

relacionadas con:

Polticas y procedimientos no seguidos.

Acciones no aprobadas por parte de la direccin correspondiente.

Acciones no basadas en especificaciones de puestos y calificacin del personal.

Personal:

Calificado inapropiadamente.

Cuyas oportunidades de formacin y desarrollo no estn ligados a las

diferencias con respecto a la competencia.

Cuyas evaluaciones de rendimiento no existen o no dan soporte al puesto

ocupado y las funciones llevadas a cabo.

Cuya investigacin de seguridad asociada a la contratacin no fue llevada a

cabo.

Cuyas investigaciones peridicas de seguridad no han sido llevadas a cabo.

Insuficiencias en los programas de formacin y en las actividades de desarrollo personal.

Insuficiencias en la formacin cruzada y copias de seguridad del personal clave. Reconocimientos de polticas de seguridad que no han sido firmadas.

Presupuestos y tiempos inadecuados asignados a la formacin y desarrollo del personal.

Informes de asistencia del personal que lleva a cabo funciones clave que no indican que se han tomado das de asueto y vacaciones.

PO 8 Asegurar el Cumplimiento con los requerimientos Externos


1.Revisin de los requerimientos Externos.

2.Prcticas y Procedimientos para el Cumplimiento de Requerimiento Externos.

3.Cumplimiento de Seguridad y Ergonoma.

4.Privacidad, Propiedad Intelectual y Flujo de Datos.

5.Comercio Electrnico.

6.Cumplimiento con los Contratos de Seguros.



Entrevistas:

Consejo legal de la organizacin.

Responsable de Recursos Humanos de la Organizacin. Direccin de los servicios de informacin.

Obteniendo:

Requerimiento relevantes gubernamentales o externos (por ejemplo, leyes, legislaciones, guas, regulaciones y estndares) con respecto a relaciones y revisiones de requerimiento externos, aspectos de seguridad y salud (incluyendo ergonoma), aspectos de confidencialidad, requerimiento de seguridad de los sistemas de informacin y transmisin de datos criptogrficos - tanto nacional como internacional.

Estndares y declaraciones contables nacionales o internacionales relacionadas con el uso de comercio electrnico.

Reglamentos sobre impuestos relacionados con el uso del comercio electrnico.

Estndares, polticas y procedimientos sobre:

Revisiones de requerimiento externos.

Seguridad y salud (incluyendo ergonoma).

Confidencialidad.

Seguridad.

Datos clave introducidos, procesados, almacenados, extrados y transmitidos.

Comercio electrnico.

Seguros.

Copias de todos los contratos con socios de comercio electrnico y con el

proveedor de intercambio electrnico de datos (EDI), si aplica copias de todos los contratos de seguros relacionados con la funcin de los servicios de informacin

Orientacin del consejo sobre los requerimientos "uberrimae fidei" (de buena fe) para los contratos de seguros (Uberrimae fidei requiere que ambas partes divulguen completamente a la otra todo lo relacionado con el riesgo. En caso de no mostrarse buena fe en este sentido, el contrato ser anulable por la parte agraviada y no podr se puesto en vigor nuevamente por la parte culpable).

Informes de auditora de auditores externos, proveedores de servicios como terceras partes y dependencias gubernamentales.


Considerando si:

Existen polticas y procedimientos para:

Asegurar las acciones correctivas apropiadas relacionadas con la revisin

oportuna de los requerimientos externos y si existen procedimientos para asegurar el cumplimiento continuo.

Coordinar la revisin de los requerimientos externos, con el fin de asegurar que

se aplican oportunamente las acciones correctivas que garantizan el cumplimiento

de estos requerimiento externos.

Dirigir proteccin apropiada, as como objetivos de seguridad y salud.

Asegurar que se proporciona formacin y educacin en seguridad y salud

apropiadamente a todos los empleados.

Controlar el cumplimiento de las leyes y regulaciones aplicables de seguridad y

salud.

Proporcionar la direccin y enfoque adecuados sobre confidencialidad de tal

manera que todos los requerimientos legales caigan dentro de este alcance.

Informar a los aseguradores acerca de todos los cambios materiales realizados

en el entorno de los servicios de informacin.

Asegurar el cumplimiento con los requerimientos de los contratos de seguros

Asegurar que se lleven a cabo las actualizaciones necesarias cuando se inicia un

contrato de seguros nuevo o modificado.

Los procedimientos de seguridad estn de acuerdo con todos los requerimientos legales y si stos

estn siendo tomados en cuenta adecuadamente, incluyendo:

Proteccin con "passwords" o contraseas y software para limitar el acceso.

Procedimientos de autorizacin.

Medidas de seguridad de los terminales.

Medidas de encriptamiento de los datos.

Controles contra incendios.

Proteccin contra virus.

Seguimiento oportuno de los informes de violaciones.


Probando que:

Las revisiones de los requerimientos externos:

Son actuales, completas y suficientes en cuanto a aspectos legales,

gubernamentales y regulatorios.

Traen como resultado una rpida accin correctiva.

Las revisiones de seguridad y salud son llevadas a cabo dentro de los servicios de informacin para asegurar el cumplimiento de los requerimientos externos .

Las reas problemticas que no cumplan con los estndares de seguridad y salud son rectificadas.

El cumplimiento de los servicios de informacin en cuanto a las polticas y procedimientos de confidencialidad y seguridad.

Los datos transmitidos a travs de las fronteras internacionales no violan las leyes de exportacin.

Los contratos existentes con los proveedores de comercio electrnico consideran adecuadamente los requerimientos especificados en las polticas y procedimientos de la organizacin.

Los contratos de seguros existentes consideran adecuadamente los requerimientos especificados en las polticas y procedimientos de la organizacin.

En donde se han impuesto lmites regulatorios a los tipos de encriptamiento que pueden ser utilizados (por ejemplo, la longitud de la llave), el encriptamiento aplicado cumple con las regulaciones.

En donde las regulaciones o procedimientos internos requieran la proteccin o encriptamiento especial de ciertos elementos de datos (por ejemplo, nmeros PIN bancarios, Nmeros de expedientes de Impuestos, de Inteligencia Militar), dicha proteccin y encriptamiento son proporcionados a estos datos.

Los procesos EDI reales desplegados por la organizacin aseguran el cumplimiento con las polticas y procedimientos de la organizacin y con los contratos individuales del socio de comercio electrnico (y del proveedor EDI).


Llevando a cabo:

Mediciones ("Benchmarking") del cumplimiento de los requerimientos externos,

actividades EDI y requerimiento de contratos de seguros comparando con

organizaciones similares o estndares internacionales y buenas prcticas reconocidas en la industria correspondiente.

Una revisin detallada de los archivos de requerimiento externos para asegurar que se han llevado a cabo acciones correctivas, o bien, que estn siendo implementadas.

Una revisin detallada de los informes de seguridad para evaluar si la informacin clave y confidencial (definida como tal por procedimientos internos o por regulaciones externas) est siendo protegida apropiadamente en cuanto a seguridad y confidencialidad.

Identificando:

Requerimiento externos que no han sido cumplidos por la organizacin.

Acciones significativas ni resueltas, ni corregidas en respuesta a las revisiones de requerimiento externos.

Riesgos de seguridad y salud (incluyendo ergonoma) en el entorno de trabajo que no han sido considerados.

Debilidades en la confidencialidad y la seguridad relacionadas con flujos de datos y flujo de datos internacionales.

Interrupciones en el comercio electrnico.

Debilidades en los contratos con socios comerciales relacionadas con los procesos de comunicacin, mensajes de transaccin, seguridad y almacenamiento de datos.

Debilidades en las relaciones de confianza con socios comerciales. Debilidades y equivocaciones en la cobertura del seguro.

Incumplimientos de los trminos del contrato.

PO 9 Evaluar Riesgos


1.Evaluacin de los riesgos del Negocio.

2.Enfoque de Evaluacin de los riesgos.

3.Identificacin de los riesgos.

4.Medicin de los riesgos.

5.Plan de Accin de los riesgos.

6.Aceptacin de los riesgos.

7.Seleccin de Proteccin.

8.Compromiso de Evaluacin de los riesgos.


Obtencin de un entendimiento a travs de :

Entrevistas:

Direccin de los servicios de informacin.

Personal seleccionado de los servicios de informacin. Personal seleccionado de gestin de los riesgos.

Obteniendo:

Polticas y procedimientos relacionados con la evaluacin de los riesgos. Documentos de evaluacin de los riesgos del negocio.

Documentos de evaluacin de los riesgos operativos.

Documentos de evaluacin de los riesgos de los servicios de informacin.

Detalles de la base sobre la cual se miden los riesgos y la exposicin a los riesgos. Expedientes de evaluacin de los riesgos para personal seleccionado Polticas de seguros que cubren el riesgo residual.



Considerando si:

Existe un marco de referencia para la evaluacin sistemtica de los riesgos,

incorporando los riesgos de la informacin relevantes para el logro de los objetivos de la organizacin y formando una base para determinar la forma en la que los riesgos deben ser manejados a un nivel aceptable.

El enfoque de evaluacin de los riesgos asegura la evaluacin actualizada regular de los mismos tanto a nivel global como a nivel especfico de sistemas.

Existen procedimientos de evaluacin de los riesgos para determinar que los riesgos identificados incluyen factores tanto externos como internos y toman en consideracin los resultados de las auditoras, inspecciones, e incidentes identificados.

Los objetivos de toda la organizacin estn incluidos en el proceso de identificacin de riesgos.

Los procedimientos para el seguimiento de los cambios en la actividad de procesamiento de los sistemas determinan que los riesgos y la exposicin de los sistemas son ajustados oportunamente.

Existen procedimientos para el seguimiento y mejorar continuos de la evaluacin de los riesgos y controles de mitigacin.

La documentacin de evaluacin de los riesgos incluye:

Una descripcin de la metodologa de evaluacin de los riesgos.

La identificacin de exposiciones significativas y los riesgos correspondientes.

Los riesgos y exposiciones correspondientes considerados.

Se incluyen tcnicas de probabilidad, frecuencia y anlisis de amenazas en la identificacin de los riesgos.

El personal asignado para la evaluacin de los riesgos est adecuadamente cualificado.

Existe un enfoque cuantitativo , o cualitativo (o ambos) formal para la identificacin y medicin de los riesgos, amenazas y exposiciones.

Se utilizan clculos y otros mtodos en la medicin de los riesgos, amenazas y exposiciones.

El plan de accin contra riesgos se utiliza en la implementacin de las medidas apropiadas para mitigar los riesgos, amenazas y exposiciones.

La aceptacin del riesgo residual tiene en cuenta:

La poltica de la organizacin.

La identificacin y medicin de los riesgos.

La incertidumbre inherente al enfoque de evaluacin de los riesgos.

El coste y la efectividad de implementar medidas de seguridad y controles.

La cobertura de los seguros compensa el riesgo residual.


Probando que:

Se cumple con el marco de referencia de evaluacin de los riesgos en cuanto a que las evaluaciones de los mismos son actualizadas regularmente para reducir el riesgo a un nivel aceptable.

La documentacin de evaluacin de los riesgos cumple con el marco de referencia de evaluacin de los mismos y se mantiene y prepara apropiadamente.

La direccin y el personal de los servicios de informacin tienen conocimiento y concienciacin y estn involucrados en el proceso de evaluacin de los riesgos.

La direccin comprende los factores relacionados con los riesgos y la probabilidad de amenazas.

El personal relevante comprende y acepta formalmente el riesgo residual.

Los informes emitidos a la Direccin para su revisin y acuerdo, con los riesgos identificados y utilizacin del seguimiento de actividades, de reduccin de los riesgos, son oportunos

El enfoque utilizado para analizar los riesgos tiene como resultado una medida cuantitativa o cualitativa (o ambas) de la exposicin al riesgo.

Los riesgos, amenazas y exposiciones identificados por la direccin y los atributos relacionados con ellos son utilizados para detectar cualquier amenaza especfica.

El plan de accin contra riesgos esta actualizado e incluye controles econmicos y medidas de seguridad para mitigar la exposicin al mismo.

Existen prioridades desde la ms alta hasta la ms baja, y que existe una respuesta apropiada para cada riesgo:

Control planificado preventivo de mitigacin.

Control secundario detectivo.

Control terciario correctivo.

Los escenarios de riesgo frente al control estn documentados, actualizados y comunicados al personal apropiado.

Existe suficiente cobertura de los seguros con respecto al riesgo residual aceptado y ste se considera respecto a varios escenarios de amenaza, incluyendo:

Incendio, inundaciones, terremotos, tornados, terrorismo y otros desastres

naturales no predecibles.

Violaciones de responsabilidades fiduciarias del empleado.

Interrupcin del negocio, ganancias, perdidas, clientes perdidos, etc.

Otros riesgos no cubiertos generalmente por la tecnologa de la informacin y

planes de riesgo y continuidad del negocio.


Llevando a cabo:

Mediciones ("Benchmarking") del marco de referencia de evaluacin de los riesgos con respecto a organizaciones similares o estndares internacionales y buenas prcticas reconocidas en la industria.

Una revisin detallada del enfoque de la evaluacin de los riesgos utilizado para identificar, medir y mitigar los riesgos a un nivel aceptable de riesgo residual.

Identificando:

Riesgos no identificados.

Riesgos que no han sido medidos.

Riesgos no considerados y manejados a un nivel aceptable.

Evaluaciones de los riesgos obsoletos y evaluaciones de la informacin de riesgo obsoleta.

Medidas incorrectas cuantitativas y cualitativas de los riesgos, amenazas y exposiciones.

Planes de accin contra riesgos que no aseguren controles econmicos y medidas de seguridad.

Falta de aceptacin formal del riesgo residual. Cobertura inadecuada de seguros.

PO 10 Gestionar los Proyectos


1.Estructura de la Gestin de Proyectos.

2.Participacin del Departamento de Usuario en el Inicio del Proyecto.

3.Miembros del Equipo del Proyecto y Responsabilidades.

4.Definicin del Proyecto.

5.Aprobacin del Proyecto.

6.Aprobacin de las Fases del Proyecto.

7.Plan Maestro del Proyecto.

8.Plan para asegurar la Calidad del Sistema.

9.Planificacin de los Mtodos de Aseguramiento.

10. Gestin Formal del Riesgo del Proyecto.

11. Plan de Pruebas.

12. Plan de Formacin.

13. Plan de Revisin Post-implementacin.



Entrevistas:

Director de Calidad de la Organizacin.

Director o Coordinador de Calidad de los Proyectos. Equipo del proyecto.

Jefe de Proyecto.

Coordinador de Aseguramiento de Calidad. Director de Seguridad.


Obteniendo:

Polticas y procedimientos relacionados con el marco de referencia de la direccin de proyectos.

Polticas y procedimientos relacionados con la metodologa de direccin de proyectos.

Polticas y procedimientos relacionados con los planes para asegurar la calidad. Polticas y procedimientos relacionados con los mtodos para asegurar la calidad. Plan Maestro del Proyecto de Software (Software Project Master Plan (SPMP)). Plan para asegurar la Calidad del Software (Software Quality Assurance Plan (SQAP)).

Informes de estado del proyecto.

Informes de estado y actas de las reuniones del comit de planificacin. Informes de Calidad del Proyecto.



Considerando si:

El marco de referencia de la direccin de proyectos:

Define el alcance y los lmites para la direccin de proyectos.

Asegura que las demandas del proyecto son revisadas en cuanto a su

consistencia con el plan operativo aprobado y si los proyectos son priorizados de

acuerdo con este plan.

Define la metodologa de la direccin de los proyectos que debe ser adoptada y

aplicada en cada proyecto emprendido, incluyendo:

--Planificacin del proyecto.

--Asignacin del personal.

--Asignacin de responsabilidades y autoridad.

--Distribucin de tareas.

--Presupuestos de los Tiempos y recursos.

--Puntos de revisin.

--Puntos de verificacin.

--Aprobaciones.

Es suficiente y esta actualizado.

Asegura la participacin de la direccin del departamento de usuario afectado

en la definicin y autorizacin de un proyecto de desarrollo, implementacin o

modificacin.

Especifica la base sobre la cual el personal es asignado a los proyectos

Define las responsabilidades y la autoridad de los miembros del equipo del

proyecto.

Asegura la creacin clara y por escrito de los estatutos que definen la

naturaleza y alcance del proyecto antes de comenzar a trabajar sobre el mismo. Proporciona un documento inicial de definicin del proyecto que incluye los

estatutos sobre la naturaleza y alcance del mismo.

Incluye las siguientes razones para llevar a cabo el proyecto, entre ellas:

--Una definicin del problema a ser resuelto o del proceso a ser mejorado.

--Una definicin de la necesidad del proyecto expresada en trminos de

incrementar la habilidad de la organizacin para alcanzar las metas.

--Un anlisis de las deficiencias relevantes de los sistemas existentes.

--Las oportunidades que se abren al incrementar la eficiencia y hacer ms

econmica la operacin.

--El control interno y la necesidad de seguridad deben satisfacerse por los

proyectos.

Considera la manera en que los estudios de viabilidad de los proyectos

propuestos deben ser preparados y aprobados por la Direccin, incluyendo:

--El entorno del proyecto - hardware, software, telecomunicaciones.

--El alcance del proyecto - lo que este incluir y excluir en la primera

implementacin y en las subsecuentes.

--Las limitaciones del proyecto - lo que debe retenerse durante este proyecto, an

cuando las oportunidades de mejora a corto plazo parezcan obvias.

--Los beneficios y costes del proyecto.

Delinea la manera en la que cada fase del proceso de desarrollo (por ejemplo,

preparacin de estudios de viabilidad, definicin de requerimiento, diseo del

sistema, etc.) debe ser aprobada antes de proceder a la siguiente fase del proyecto (por ejemplo, programacin, pruebas del sistema, pruebas de transacciones, pruebas en paralelo, etc.).

Requiere el desarrollo de un SPMP para cada proyecto y especifica la manera

en la que el control debe mantenerse a travs de la vida del proyecto, as como

perodos (puntos de revisin) y presupuestos del mismo.

Cumple con el estndar de la organizacin para SPMPs o, en caso de no existir

ste, con algn otro estndar apropiado.

Requiere el desarrollo de un SQAP para cada proyecto, asegura que ste se

encuentre integrado con el SPMP y que sea revisado y acordado formalmente por

todas las partes involucradas.

Delinea la manera en la que el programa de gestin formal de los riesgos del

proyecto elimina o minimiza los riesgos relacionados con el mismo. Asegura el desarrollo de un plan de pruebas para cada proyecto de desarrollo,

implementacin y modificacin.

Asegura el desarrollo de un plan adecuado para la formacin de personal y de

las funciones de los servicios de informacin para cada proyecto de desarrollo,

implementacin y modificacin. Se realiza un seguimiento y se informa a la

Direccin sobre los puntos de revisin y compra de software, compra de hardware, programacin por contrato, actualizaciones de redes, etc.).

Los puntos de revisin y costes que exceden los importes y tiempos presupuestados requieren la aprobacin de la direccin correspondiente de la organizacin.

SQAP cumple con el estndar de la organizacin para SQAPs, o en caso de no existir ste, con los criterios seleccionados anteriormente.

Las tareas de aseguramiento SQAP soportan la acreditacin de los sistemas nuevos o modificados y aseguran que los estatutos de control interno y seguridad cumplen con los requerimientos .

Todo el personal asignado al proyecto ha sido informado sobre el SPMP y el SQAP y est de acuerdo sobre el resultado final.

El proceso de post-implementacin es una parte integral del marco de referencia de la direccin del proyecto para asegurar que los sistemas de informacin nuevos o modificados han aportado los beneficios planificados.


Probando que:

La metodologa de la direccin de proyectos y todos los requerimientos son seguidos con consistencia.

La metodologa de la direccin de proyectos se comunica a todo el personal apropiado involucrado en el proyecto.

La definicin escrita de la naturaleza y alcance del proyecto concuerda con un patrn estndar.

La naturaleza y el alcance del personal involucrado en la definicin y autorizacin del proyecto, as como la conformidad con la participacin esperada de dicho personal se ajusta a lo estipulado por el marco de referencia de gestin de proyectos.

La asignacin de los miembros del personal al proyecto y la definicin de responsabilidades y autoridad de los miembros del equipo son respetados.

Existe evidencia de una definicin clara y por escrito de la naturaleza y alcance del proyecto antes de comenzar a trabajar sobre el mismo.

Se ha aprobado y preparado un estudio de viabilidad.

Se obtienen las aprobaciones por parte de la direccin de los sistemas de informacin y de los responsables para cada fase del proyecto de desarrollo.

Cada fase del proyecto se completa y se obtienen las aprobaciones apropiadas segn los requerimientos del SPMP.

Se han desarrollado y aprobado el SPMP y el SQAP de acuerdo con el marco de referencia de la direccin de proyectos.

El SPMP y el SQAP son suficientemente especficos y detallados.

Las actividades e informes obligatorios identificados han sido realmente ejecutados (por ejemplo, que se han llevado a cabo reuniones del Comit Ejecutivo de Planificacin, reuniones para el proyecto o similares, se han registrado actas de las reuniones y stas han sido distribuidas a las partes relevantes, se preparan y distribuyen informes a dichas partes relevantes).

Se ha desarrollado y aprobado un plan de pruebas de acuerdo con el marco de

referencia de la direccin de proyectos y ste es suficientemente especfico y detallado.

Las actividades e informes obligatorios identificados en el plan de pruebas han sido realmente ejecutados.

Existen criterios de acreditacin utilizados para el proyecto y stos:

Se derivan de metas e indicadores de rendimiento.

Se derivan de requerimiento cuantitativos acordados.

Aseguran que se satisfacen los requerimientos de control interno y seguridad.

Estn relacionados con el "Qu" esencial frente el "cmo" arbitrario.

Definen un proceso formal de aprobacin y no aprobacin.

Son capaces de una demostracin objetiva dentro de un perodo del tiempo

limitado.

No redefinen simplemente los requerimientos para el diseo de los documentos.

El programa de gestin de los riesgos ha sido utilizado para identificar y eliminar o por lo menos minimizar los riesgos relacionados con el proyecto.

Se ha cumplido con el plan de pruebas, as como las funciones de programacin y seguridad de la calidad que el personal asignado al proyecto, ha creado y revisado, y se ha cumplido con el proceso de aprobacin segn lo esperado.

Se ha preparado un plan para la formacin del personal de los servicios de informacin y para el personal asignado al proyecto, se ha dado el tiempo suficiente para completar las actividades de formacin necesarias, y ha sido utilizado para el proyecto.

Se ha cumplido y seguido un plan de revisin post-implementacin para el proyecto.


Llevando a cabo:

Mediciones ("Benchmarking ") del marco de referencia de direccin de proyectos respecto a organizaciones similares o estndares internacionales y buenas prcticas reconocidas en la industria.

Una revisin detallada de:

El plan maestro del proyecto para determinar el alcance de la participacin del personal y la adecuacin del proceso general para definir, autorizar y ejecutar el proyecto, incluyendo:

Definicin de las funciones del sistema.

Viabilidad, dadas las limitaciones del proyecto.

Determinacin de los costes y beneficios del sistema.

Propiedad de los controles del sistema.

Impacto e integracin en otros sistemas.

Compromiso de los recursos (de personal y econmicos) por parte del jefe del

proyecto.

Definicin de las responsabilidades y autoridad de los participantes en el

proyecto.

Criterios de aceptacin deseables y alcanzables.

Puntos de revisin y verificacin en la autorizacin de las diferentes fases del

proyecto.

Elaboracin de las grficas de Gantt, logs de problemas, resmenes de

reuniones, etc. en la direccin del proyecto.

Informes de calidad para determinar si existen problemas sistemticos en el

proceso de planificacin de la seguridad de la calidad de los sistemas en la

organizacin.

El programa de gestin formal de los riesgos del proyecto para determinar si se

han identificado y eliminado, o por lo menos minimizado.

La ejecucin del plan de formacin para determinar que se ha aprobado

completamente todo el proyecto de desarrollo, implementacin o modificacin del

sistema.

La ejecucin del plan de formacin para determinar que ste ha preparado

adecuadamente a todo el personal en el uso del sistema.

La revisin post-implementacin para determinar si los beneficios otorgados

corresponden con los planificados.

Identificando:

Proyectos que:

Son administrados inadecuadamente.

Han excedido fechas claves.

Han excedido costes.

Son obsoletos.

No han sido autorizados.

No son tcnicamente factibles.

No son econmicos.

No consiguen los beneficios planificados.

No contienen puntos de verificacin.

No son aprobados en puntos de verificacin claves.

No han sido acreditados para implementacin.

No satisfacen los requerimientos de control interno y seguridad.

No eliminan o mitigan los riesgos.

No han sido probados completamente.

Necesitan una formacin no llevada a cabo o inadecuada para el sistema en

proceso de implementacin.

No han contado con una revisin post-implementacin.

PO 11 Gestionar la Calidad


1.Plan General de Calidad.

2.Enfoque de Aseguramiento de la Calidad.

3.Planificacin del Aseguramiento de la Calidad.

4.Revisin de Adherencia del Aseguramiento de la Calidad a los Estndares y

Procedimientos de las TI.

5.Metodologa del Ciclo de vida de desarrollo de los sistemas.

6.Metodologa del Ciclo de vida de desarrollo de los sistemas para los cambios

importantes en la Tecnologa Existente.

7.Actualizacin de la Metodologa del Ciclo de vida de desarrollo de los sistemas.

8.Coordinacin y Comunicacin.

9.Estructura de Adquisicin y Mantenimiento para la Infraestructura de la

Tecnologa.

10.Relaciones del Implementador de la tercera parte.

11.Estndares de Documentacin del Programa.

12.Estndares de Prueba del Programa.

13.Estndares de Pruebas del Sistema.

14.Pruebas en Paralelo/Piloto.

15.Documentacin de Pruebas del Sistema.

16.Evaluacin de Adherencia del Aseguramiento de la Calidad a los Estndares de

desarrollo.

17.Revisin del Aseguramiento de la Calidad para la consecucin de los Objetivos

de las TI.

18.Mtricas de Calidad.

19.Informes de las Revisiones de Aseguramiento de la Calidad.



Entrevistas:

Director General

Miembros del comit de planificacin de los servicios de informacin Director de las TI

Responsable de Seguridad

Director de Calidad de la Organizacin

Director de Calidad de los servicios de informacin

Direccin de los servicios de informacin Propietarios y patrocinadores del sistema

Obteniendo:

Polticas y procedimientos relacionados con la seguridad de la calidad, el ciclo de vida de desarrollo de los sistemas y la documentacin de stos. Funciones y responsabilidades de planificacin de la direccin. Plan estratgico, poltica de calidad, manual de calidad y plan de calidad de la organizacin del Plan estratgico, poltica de calidad, manual de calidad, plan de calidad y plan de direccin de la configuracin de los servicios de informacin. Grficas de todas las funciones de aseguramiento de la calidad. Actas de las reuniones individuales de planificacin de la calidad. Actas de las reuniones convocadas para la revisin de la metodologa del ciclo de vida de desarrollo de los sistemas.

Copias de las revisiones de metodologa del ciclo de vida de desarrollo de los sistemas.

Informes de estado y actas de las reuniones del comit de planificacin.


Considerando si:

El plan de calidad:

Toma como base los planes a corto y largo plazo de la organizacin.

Fomenta la filosofa de mejora continua y responde a las preguntas bsicas de

qu, quin y cmo.

Est completo y actualizado.

El plan de calidad de los servicios de informacin:

Se basa en el plan general de calidad de la organizacin y los planes a corto y

largo plazo de la tecnologa de la informacin.

Fomenta la filosofa de mejora continua y responde a las preguntas bsicas qu,

quin y cmo.

Est completo y actualizado.

Si el enfoque estndar de calidad existe, y si ste:

Es aplicable tanto a las actividades generales como a las especficas del

proyecto.

Es escalable y, de esta manera, aplicable a todos los proyectos.

Se comprende por todo el personal involucrado en un proyecto y en las

actividades de para asegurar la calidad.

Es aplicable a travs de todas las fases de un proyecto.

El enfoque estndar sobre seguridad de la calidad indica los tipos de actividades para asegurar la calidad (y especifica revisiones, auditoras, inspecciones, etc.) a ser llevados a cabo para alcanzar los objetivos del plan general de calidad.

La planificacin para asegurar la calidad recoge el alcance y calendario de las actividades para asegurar la calidad.

Las revisiones de la calidad evalan el cumplimiento general de los estndares, polticas y procedimientos de los servicios de informacin.

La Direccin ha definido e implementado estndares, polticas y procedimientos de los servicios de informacin, incluyendo una metodologa formal del ciclo de vida de desarrollo de los sistemas adquirida, desarrollada internamente o una combinacin de ambas.

La metodologa del ciclo de vida de desarrollo de los sistemas:

Dirige el proceso de desarrollar, adquirir, implementar y mantener sistemas de

la informacin automatizados y tecnologa afn.

Soporta y fomenta los esfuerzos de desarrollo y modificacin que cumplen con

los planes a corto y largo plazo de los servicios de informacin y de la

organizacin.

Requiere un proceso de desarrollo y modificacin estructurado que contenga los

puntos de revisin en momentos clave de decisin, as como la autorizacin para

proceder con el proyecto en cada punto de revisin.

Est completa y actualizada.

Es capaz de ser adaptada para acoplarse a todos los tipos de desarrollo llevados

a cabo dentro de la organizacin.

Es aplicable a la creacin y mantenimiento tanto del software adquirido como el

desarrollado internamente.

Cuenta con provisiones documentadas para cambios tecnolgicos

Ha construido un marco de referencia general en cuanto a la adquisicin y

mantenimiento de la infraestructura tecnolgica.

Cuenta con los pasos a seguir (tales como adquisicin, programacin,

documentacin y pruebas, establecimiento de parmetros, ofertas fijas) que deben ser guiados y estar en lnea con el marco de referencia de adquisicin y mantenimiento de la infraestructura tecnolgica.

Fomenta la aportacin de criterios para la aceptacin de terceras partes como

implementadores, gestin de cambios, gestin de problemas, funciones

participantes, instalaciones, herramientas y estndares, y procedimientos de

software.

Requiere el mantenimiento de documentacin detallada de programacin y de

sistemas (por ejemplo, diagramas de flujo, diagramas de flujo de datos,

programacin, etc.), y dichos requerimiento han sido comunicados a todo el

personal involucrado.

Necesita que la documentacin se mantenga actualizada al producirse cambios.

Requiere la aplicacin de pruebas rigurosas y slidas de programas y sistemas.

D

guia de auditoria po-01.doc

Documents