módulo de gestión de auditoría soportado en tic...

1

“Módulo de Gestión de Auditoría Soportado en TIC para la Gestión de

comunicaciones, seguimiento y revisión del SGSI.”

EDWARD FABIAN PENAGOS GRANADA

1088282693

UNIVERSIDAD TECNOLÓGICA DE PEREIRA

FACULTAD DE INGENIERÍAS ELÉCTRICA, ELECTRÓNICA, FÍSICA Y DE SISTEMAS Y COMPUTACIÓN, PROGRAMA DE INGENIERÍA DE SISTEMAS

Y COMPUTACIÓN

PEREIRA

2013

2

En el proyecto de grado se propuso el definir una guía de procesos de auditoría

interna para verificar el cumplimiento de los aspectos “Gestión de

comunicaciones y operaciones” y “Cumplimiento” definido en la norma ISO

27001, el cual pueda ser utilizado en cualquier organización. Estos procesos

sirven como una lista de chequeo para ayudarle al auditor interno a crear un

informe de auditoría de los aspectos mencionados.

Por lo tanto se le solicita su colaboración, como experto en el tema de

seguridad de la información y la norma ISO 27001, para dar una valoración

cuantitativa sobre si considera que con los procesos definidos en el proyecto se

verifican efectivamente los controles especificados en el anexo A de los

aspectos antes mencionados (A.10 y A.15) de la norma ISO 27001.

La forma en que la auditoría de estos procesos va a ser llevada a cabo, está

dividida en dos momentos, el momento previo a la auditoría y auditoría en sitio.

La auditoría previa, es la etapa de recolección de la información relevante de

los procesos y que este enmarcada dentro de lo necesario para dar unas

buenas bases a la organización para posteriormente certificarse, en esta etapa,

se solicitan documentos tales como políticas de seguridad, manuales de

procedimientos, contratos, bitácoras, registros de auditoría entre otros, esto se

hace con la finalidad de poder contextualizar al auditor cuáles serán los

elementos más importantes a tener en cuenta y para cerciorarse luego que lo

que se encuentra en los documentos, se está llevando a cabo en tiempo real

en el sitio donde se realice la auditoría.

Y la auditoría en sitio, es el momento en el cual, el auditor se presenta en

donde se va realizar la auditoría y comienza a inspeccionar que todo lo que

estaba en la documentación si está siendo cumplido, también observa que las

mejoras y fallas que se hayan encontrado en auditorías pasadas si hayan sido

solucionadas etc.

Para medir el nivel de cumplimiento del proceso de auditoría interna con base

en la norma se debe calificar cada indicador del aspecto en una escala de 0 a

5. Siendo 0 no cumple y 5 cumple completamente.

3

Cumplimiento con base en la norma ISO 27001

ASPECTO: Gestión de comunicaciones y operaciones (Auditoría Previa)

Proceso Control 5 4 3 2 1 0 Observaciones

PROCEDIMIENTOS OPERACIONALES Y

RESPONSABILIDADES

Documentación de los procedimientos de operación

Gestión del cambio Distribución (segregación) de funciones

Separación de las instalaciones de desarrollo, ensayo y operación

GESTIÓN DE LA PRESTACIÓN DEL SERVICIO POR TERCERAS PARTES

Prestación del servicio Monitoreo y revisión de los servicios por terceros

Gestión de los cambios en los servicios por terceras partes

PLANIFICACIÓN Y ACEPTACIÓN DEL SISTEMA

Gestión de la capacidad

Aceptación del sistema

PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS Y

MÓVILES

Controles contra códigos maliciosos

Controles contra códigos móviles

RESPALDO Respaldo de la información

GESTIÓN DE LA SEGURIDAD DE LAS REDES

Controles de las redes Seguridad de los servicios de la red

MANEJO DE LOS MEDIOS

Gestión de los medios removibles

Eliminación de los medios

Procedimientos para el manejo de la información

Seguridad de la documentación del sistema

INTERCAMBIO DE LA INFORMACIÓN

Políticas y procedimientos para el intercambio de información

Acuerdos para el intercambio

Medios físicos en tránsito

Mensajería electrónica Sistemas de información del negocio

4

SERVICIOS DE COMERCIO ELECTRÓNICO

Comercio electrónico Transacciones en línea Información disponible al público

MONITOREO

Registro de auditorías Monitoreo del uso del sistema

Protección de la información del registro

Registros del administrador y del operador

Registro de fallas Sincronización de relojes


ASPECTO: Gestión de comunicaciones y operaciones (Auditoría en Sitio)



RESPONSABILIDADES











MÓVILES




5















MONITOREO





6


ASPECTO: Cumplimiento (Auditoría Previa)


CUMPLIMIENTO DE LOS REQUISITOS LEGALES

Identificación de la legislación aplicable

Derechos de propiedad intelectual (DPI)

Protección de los registros de la organización

Protección de los datos y privacidad de la información personal

Prevención del uso inadecuado de los servicios de procesamiento de información

Reglamentación de los controles criptográficos

CUMPLIMIENTO DE LAS POLÍTICAS Y LAS NORMAS

DE SEGURIDAD Y CUMPLIMIENTO TÉCNICO

Cumplimiento con las políticas y las normas de seguridad

Verificación del cumplimiento técnico

CONSIDERACIONES DE LA AUDITORÍA DE LOS

SISTEMAS DE INFORMACIÓN

Controles de auditoría de los sistemas de información

Protección de las herramientas de auditoría de los sistemas de información


ASPECTO: Cumplimiento (Auditoría en Sitio)









7









Para medir si el procedimiento de auditoría interna es claro se debe calificar

cada indicador del aspecto en una escala de 0 a 5. Siendo 0 no claro y 5

totalmente claro.


ASPECTO: Gestión de comunicaciones y operaciones (Auditoría Previa)



RESPONSABILIDADES











MÓVILES



8
















MONITOREO





9


ASPECTO: Gestión de comunicaciones y operaciones (Auditoría en Sitio)



RESPONSABILIDADES











MÓVILES
















10



MONITOREO






ASPECTO: Cumplimiento (Auditoría Previa)

















11


ASPECTO: Cumplimiento (Auditoría en Sitio)

















Encuesta Validación

En una escala de 0 a 5, donde 0 es complicado de usar y 5 fácil de usar

la herramienta creada en Bizagi, como considera el uso de la

herramienta.

R//:

En una escala de 0 a 5, donde 0 es no se entiende y 5 se entienden las

actividades contempladas en la herramienta Bizagi, como considera la

claridad de las actividades.

R//:

¿El tiempo para desarrollar la auditoría se consideró rápido?:

R//:

¿Cuánto tiempo se demora generar informes en la manera que lo vienen

realizando?

R//:

¿Cuánto tiempo se demora generar informes con la herramienta creada

en Bizagi?

R//:

¿Considera que los resultados obtenidos con la herramienta Bizagi son

útiles para mejorar sus procedimientos y acercarse más a lo

contemplado en la norma ISO 27001 e ISO 27002?

R//:

¿Considera que los resultados obtenidos con la herramienta Bizagi

sirven para hacer una comparación con los análisis internos que realizan

en la organización y así abarcar otros aspectos que no han sido tomados

en cuenta?

R//:

¿Considera que los pre-informes se muestran de manera clara y

ordenada?

R//:

Contenido

1. ASPECTOS GENERALES DE LA AUDITORÍA ......................................................... 2

1.1 Auditoría y tipos de auditoria ................................................................................... 3

1.2 Auditoria interna ......................................................................................................... 4

2.3 Metodología para definición de procesos .............................................................. 6

1.4 Consideraciones generales de los procesos ........................................................ 7

1.5 Descripción de la auditoría ...................................................................................... 9

2. AUDITORIA EMPRESA PILOTO ............................................................................... 10

2.1 Realizando una auditoría por primera vez .......................................................... 11

2.1.1 Inicio de la auditoría ......................................................................................... 11

2.1.2 Solicitud y revisión de documentos ............................................................... 12

2.1.3 Realización de las actividades de auditoría ................................................. 12

2.1.4 Preparación y distribución del reporte de auditoría .................................... 13

2.1.5 Finalización de la auditoría ............................................................................. 13

2.2 Validación de la Hipótesis ...................................................................................... 13

1. ASPECTOS GENERALES DE LA AUDITORÍA

La finalidad de realizar una auditoría es con el fin de establecer si el sistema de

gestión con el cual está trabajando la organización si está siendo efectivo, para

ello se deben establecer los objetivos a cumplir una vez se es auditado, estos

varían según el tamaño y complejidad de la organización, el alcance,

funcionalidad, etc., y para lograr esto, se deben implementar controles internos

para alcanzar estos objetivos. En el libro “Auditoría del control interno” se definen

los controles internos como “un conjunto de normas, procedimientos y técnicas a

través de las cuales se mide y corrige el desempeño para asegurar la consecución

de objetivos y técnicas. Como conjunto constituye un todo, un QUE, esto es, un

objetivo. Por ello está muy ligado al poder (social, cultural, político, económico,

religioso, etc.). Por eso el control, como tal, busca asegurar la consecución de los

objetivos.” 1

El término auditoría se puede encontrar de varias formas, pero todas ellas

concuerdan con el objetivo de esta, encontrar evidencias para evaluar el grado en

que se están cumpliendo y llevando a cabo los objetivos. He aquí algunas de las

definiciones.

La norma ISO 9000: 2000 define una Auditoría de Calidad como:

“Proceso sistemático, independiente y documentado para obtener evidencias y

evaluarlas de manera objetiva con el fin de determinar el alcance al que se

cumplen los criterios de auditoría”2

La norma 19011 define auditoría como “Proceso sistemático, independiente y

documentado para obtener evidencias de la auditoría y evaluarlas de manera

objetiva con el fin de determinar la extensión en que se cumplen los criterios de

auditoría”

Y en el libro “Auditoría de sistemas una visión práctica” se define la auditoría de

sistemas como “La parte de la auditoría interna que se encarga de llevar a cabo la

evaluación de las normas, controles, técnicas y procedimientos que se tienen

establecidos en una empresa para lograr confiablidad, oportunidad, seguridad y

confidencialidad de la información que se procesa a través de computadores; es

decir, en estas evaluaciones se está involucrando tanto los elementos técnicos

como humanos que intervienen en el proceso de la información”3

A partir de este último concepto partimos del hecho que hay varios tipos de

auditoría, así como existen las auditorías internas, también las hay externas.

1 Tomado del libro AUDITORIA DEL CONTROL INTERNO p.4 2 http://informandodecalidad.wordpress.com/2008/04/09/definicion-de-auditoria-de-calidad/ 3 Tomado del libro AUDITORÍA DE SISTEMAS UNA VISIÓN PRÁCTICA p.9

1.1 Auditoría y tipos de auditoria

Auditoria Interna: A veces llamada auditoría de primera parte, es el examen

crítico, sistemático y detallado de un sistema de información de una unidad

económica, realizado por un profesional con vínculos laborales con la misma,

utilizando técnicas determinadas y con el objeto de emitir informes y formular

sugerencias para el mejoramiento de la misma. Estos informes son de circulación

interna y no tienen trascendencia a los terceros pues no se producen bajo la figura

de la Fe Publica.4

Auditoría externa: se compone de “Auditoría a proveedores” y ”Auditorías de

Tercera parte” 5

Auditoría a proveedores: A veces llamada auditoría de segunda parte, es una

parte interesada, como un cliente (de la empresa) o un inversor

Auditoría de tercera parte: Esta es para propósitos legales, regulatorios y

similares. Certifica el cumplimiento de requisitos como los de las normas ISO6

Para la gestión de la seguridad de la información, encontramos que la norma ISO

27000 con el modelo Planear-Hacer-Verificar y Actuar (PHVA) es el más utilizado

en Colombia7, y el objetivo de este y objetivo primordial de las organizaciones es

mantener la información segura y de los sistemas que la procesen, ya que es un

activo vital para el éxito y la continuidad en el mercado de cualquier organización.8

Las fases de este sistema de gestión de seguridad de la información (SGSI) están

de manera específica en la figura [1.1]

4 http://www.gerencie.com/auditoria-externa.html 5 Tomado de la norma ISO 19011 DIRECTRICES PARA LA AUDITORÍA DE LOS SISTEMAS DE GESTIÓN p.5 y 8 6 Tomado del libro GESTION DE LA CALIDAD p.12 7 http://www.acis.org.co/revistasistemas/index.php/component/k2/item/132-seguridad-inform%C3%A1tica-en-colombia-tendencias-2012-2013 8 http://www.iso27000.es/iso27000.html

Figura [1.1]: Ciclo de mejora continua Planear – Hacer – Verificar y Actuar (PHVA)

Fuente: norma ISO 270009

Para el desarrollo de este proyecto, se enfatizara en dos procesos para auditoría

interna de la norma ISO 27001:2005:

Gestión de comunicaciones y operaciones

Cumplimiento

De los cuales se hablará más adelante, pero antes se hará una descripción de una

auditoría interna de los SGSI.

1.2 Auditoria interna

La ISO ha venido desarrollando la norma ISO 19011 que contiene las directrices

para la auditoría de los Sistemas de Gestión, en ella se contempla todo lo que

debe tenerse en cuenta a la hora de realizar una auditoría

Gestión de un programa de auditoría

Realización de auditoría

Competencia y evaluación de auditores

9 http://www.iso27000.es

En la figura [1.2] está el proceso PHVA con su respectivo capítulo de la norma

para tener más conocimiento de su implementación.

Figura [1.2]: Diagrama del flujo del proceso para la gestión de un programa de auditoría

Fuente: norma ISO 19011 DIRECTRICES PARA LA AUDITORÍA DE LOS SISTEMAS DE GESTIÓN10

10 Tomado de la norma ISO 19011 DIRECTRICES PARA LA AUDITORÍA DE LOS SISTEMAS DE GESTIÓN p.15

En la implementación del programa de auditoría, en las actividades de auditoría;

está la generación de informes. En estos informes específicamente para el SGSI,

debe tenerse en cuenta ya que pueden indicar algunas de las siguientes

consideraciones según la evaluación realizada:

1. Existe alguna anomalía: Establecer si todo está correcto o existe alguna falla.

2. Observaciones: las cuales no tiene excesiva relevancia, pero deben ser

tenidas en cuenta en la siguiente fase de auditoría, para ser revisadas en el

momento o para tenerla en cuenta en el siguiente ciclo de mejora.

3. No conformidades menores: Son incidencias encontradas en la implantación

del SGSI, subsanables mediante la presentación de plan de acciones correctivas,

en el que se identifica la incidencia y la manera de solucionarla.

4. No conformidades mayores: Las cuales deben ser subsanadas por la

empresa; sin su resolución y en la mayor parte de los casos, sin la realización de

una auditoría extraordinaria por parte de la entidad de certificación, no se obtendrá

el certificado, ya que se trata de incumplimientos graves de la norma. Se deben

incluir la verificación de las acciones tomadas y el reporte de los resultados de la

verificación.

Es por esto que en el modelamiento de procesos del que trata este proyecto, se

consideran los campos en las formas necesarios para que el auditor ingrese estos

parámetros y los tenga disponibles para realizar el informe de auditoría de forma

más precisa.

2.3 Metodología para definición de procesos

Para la definición de procesos se consideró las propiedades que debe reunir un

buen modelo de procesos según lo indicado en la metodología Magerit:

El proceso:

Tiene un objetivo claramente definido

Permite obtener una visión general y de detalle de los procesos

Identifica eventos que disparan actividades del proceso

Identifica conexiones lógicas entre actividades

Establece las relaciones con el cliente final

Actúa como repositorio y organizador del proceso de información

Ayuda en la identificación de las áreas con problemas que afecten al nivel

de satisfacción del cliente

Contiene gráficos y texto

Crea un vocabulario común

Para el cumplimiento de estas características se definió el siguiente formato que

será utilizado para describir los procesos principales y los procesos de apoyo, en

este formato se explica el contenido que debe indicarse en cada apartado:

Tabla [2.3]: Descripción general de procesos

Fuente: Definición de procesos de auditoría interna del sistema de gestión de seguridad de la

información soportado en TIC's11

1.4 Consideraciones generales de los procesos

Para cada uno de los procesos de este proyecto se tiene un modelo de datos, los

cuales se presentan en la tabla [1.5], los atributos del modelo de datos

representan la información que se requiere almacenar para cada proceso y están

11 Universidad Tecnológica de Pereira, Tomado de la tesis DEFINICIÓN DE PROCESOS DE AUDITORÍA INTERNA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SOPORTADO EN TIC'S p.38

relacionados con las actividades, en él se consideran las formas de evaluar cada

aspecto, Todo está correcto, Observaciones, No conformidad mayor, No

conformidad menor, así como el control, que permiten al auditor continuar con la

auditoría y algunas variables propias para definir el flujo del proceso.

Existen dos tipos de actividades que pueden ser encontradas en los procesos

descritos, las actividades de verificación y/o revisión y las de declaración de no

conformidades, para cada una de estas, se definió una forma a través de la cual el

auditor puede agregar información del proceso para posteriormente realizar el

informe de auditoría final. 12

Tabla [1.5]: Actividades de verificación y/o revisión

MODELO DE DATOS

12 Universidad Tecnológica de Pereira, Tomado de la tesis DEFINICIÓN DE PROCESOS DE AUDITORÍA INTERNA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SOPORTADO EN TIC'S p.34-39

FORMA DE VERIFICACIÓN Y/O REVISIÓN

FORMA DE DECLARACIÓN DE NO CONFORMIDAD

FORMA DE RESUMEN

1.5 Descripción de la auditoría

Para obtener las actividades que se emplearon en el modelamiento y

automatización de estos procesos, se realizó una revisión de la “Guía de auditoría

ISO 27k ISMS implementers forum” (Inglés y español), la “ISO-IEC 27002” y el

“Check list Sans Institute”, esto con el fin de darle al auditor las herramientas y los

ítems relevantes en los procesos que se describen más adelante.

La forma en que la auditoría de estos procesos va a ser llevada a cabo, está

dividida en dos momentos, el momento previo a la auditoría y auditoría en sitio. La

auditoría previa, es la etapa de recolección de la información relevante de los

procesos y que este enmarcada dentro de lo necesario para dar unas buenas

bases a la organización para posteriormente certificarse, en esta etapa, se

solicitan documentos tales como políticas de seguridad, manuales de

procedimientos, contratos, bitácoras, registros de auditoría entre otros, esto se

hace con la finalidad de poder contextualizar al auditor cuáles serán los elementos

más importantes a tener en cuenta y para cerciorarse luego que lo que se

encuentra en los documentos, se está llevando a cabo en tiempo real en el sitio

donde se realice la auditoría.

Y la auditoría en sitio, es el momento en el cual, el auditor se presenta en donde

se va realizar la auditoría y comienza a inspeccionar que todo lo que estaba en la

documentación si está siendo cumplido, también observar que las mejoras y fallas

que se hayan encontrado en auditorías pasadas si hayan sido solucionadas y que

la documentación se encuentra disponible para el personal (autorizado) en todo

momento que lo necesite.

Se debe tener en cuenta que no todas las actividades tienen ambos momentos de

la auditoría, existen algunas actividades que solo pueden ser comprobadas en

sitio, o que se pueden realizar de manera previa, por ejemplo, no es necesario

estar en sitio para pedir manuales y analizarlos, pero si es necesario estar en sitio

para corroborar que los tiempos de restauración de backups si cumplen con el

tiempo especificado.

En los formularios de descripción de procesos asociados a cada uno de estos

aspectos de la norma, se encuentran divididas las actividades que se deben llevar

a cabo en cada momento para facilitar el trabajo del auditor como también se

encuentran los documentos y las herramientas de apoyo que debe solicitar para

garantizar el cumplimiento de cada una de las actividades.

2. AUDITORIA EMPRESA PILOTO

Para realizar la prueba de auditoría se envió una carta a una empresa de la región

solicitando autorización para hacer una validación de los modelos automatizados

anteriormente con la herramienta Bizagi. En esta carta se informó que aspectos de

la norma iban a ser analizados y se dio un aproximado de la duración de la

auditoría tanto para el análisis de documentación como para la validación en sitio.

Junto con la carta, también fue anexado el plan de trabajo de auditoría donde se

especificaban los documentos requeridos para hacer la validación como también

estaban contemplados los aspectos con los controles a cumplir, el método de

validación y los recursos necesarios para validar cada control en específico.

Para poder tener acceso al sitio y a la documentación de esta empresa, se firmó

un acuerdo de confidencialidad y sesión de derechos, donde el auditor se

comprometía a guardar absoluta discreción sobre la identidad de la organización,

las personas involucradas en este proceso y la documentación y hallazgos con el

fin de mantener la confidencialidad de la información.

Esta empresa trabaja con el Modelo Estándar de Control Interno (MECI) como se

muestra en la Figura [2.1].

Figura [2.1]: Modelo de Control Interno

Fuente: Empresa colaboradora

2.1 Realizando una auditoría por primera vez

Como se había mencionado previamente durante el desarrollo de este proyecto en

el capítulo 1, para realizar una auditoría se emplearía la norma ISO 19011 la cuál

presenta una serie de pasos que fueron tomados como punto de partida para

validar este proyecto.

Estas actividades son las que se mencionan a continuación:

2.1.1 Inicio de la auditoría

Alcance: Auditar los aspectos asociados a la seguridad de la información: “Gestión

de comunicaciones y operaciones” y “Cumplimiento” con un tiempo aproximado

de 12 días para el análisis previo, y 5 días para la validación en sitio.

Objetivo: Conocer el cumplimiento de los controles de seguridad de la información

referentes a los aspectos “Gestión de comunicaciones y operaciones” y

“Cumplimiento”

Criterios de auditoría:

Todo correcto.

Observaciones.

No conformidad mayor

No conformidad menor

2.1.2 Solicitud y revisión de documentos

Para la realización de la auditoría, se solicitaron los documentos asociados a los

aspectos mencionados anteriormente, entre los documentos se encuentran los

siguientes:

Declaración de aplicabilidad.

Política de seguridad de la información.

Manuales de procedimientos.

Documento de roles y responsabilidades.

Registros de auditoría y

todo lo relacionado con la parte de cumplimiento para los controles

involucrados.

Posteriormente se procedió a verificar que estos procedimientos si son efectuados

y que esta información también se encuentra completa en sitio para el personal

(autorizado) en todo momento que lo necesite.

En esta etapa, se debía tener en cuenta que la organización está en el proceso de

implementación del SGSI y por consiguiente no pudo ser suministrada con

anterioridad toda la información necesaria para hacer un análisis de

documentación más detallado, los documentos a los que se pudo tener acceso

fueron los que ya estaban tramitados en calidad y que se encuentran disponibles

al público. Por lo tanto, algunas de las actividades que se debían desarrollar

previamente, tuvieron que ser validadas en sitio.

2.1.3 Realización de las actividades de auditoría

Antes de realizar la auditoría se tuvieron en cuenta las siguientes actividades:

Se hizo una pequeña presentación del plan de trabajo de auditoría.

Se realizó la presentación de la Metodología a utilizar.

Se auditaron los aspectos definidos en el alcance.

Se escucharon los comentarios y observaciones sobre el proceso

desarrollado.

Cierre de la reunión.

2.1.4 Preparación y distribución del reporte de auditoría

Con los procesos modelados y automatizados con la herramienta Bizagi, se

obtuvo como resultado de la auditoría previa y en sitio unos informes parciales

donde estaban contenidas las observaciones y no conformidades encontradas en

la empresa, los cuales se pueden observar en el apéndice y que posteriormente

fueron utilizados para la construcción del informe final.

2.1.5 Finalización de la auditoría

Inicialmente se explicó el uso y funcionamiento de la herramienta y luego se

presentaron los pre-informes que fueron socializados con el profesional de

desarrollo para su aprobación y luego compartir los resultados con la dirección.

Luego de su aprobación, se procedió a realizar el informe final que fue analizado

nuevamente con el profesional de desarrollo y la jefe de división.

2.2 Validación de la Hipótesis

Los procesos se diseñaron con base en la norma ISO 27001:2005 y la ISO 27002,

la Guía de auditoría ISO 27k ISMS implementers fórum y el Check list SANS

Institute que posteriormente se modelaron y automatizaron en la herramienta

Bizagi, estos modelos fueron probados por el autor del proyecto para corroborar

que la información almacenada se mantuviera y no se presentara algún tipo de

alteración durante el desarrollo del proceso. Por otra parte, estos modelos también

fueron verificados por expertos en la región en ISO 27001 para finalmente ser

validado en el entorno real de una organización.

Para este proyecto se definieron los siguientes procesos y procesos de soporte.

Tabla [2.1]: Procesos definidos

Procesos principales Procesos de soporte

Gestión de comunicaciones y operaciones. Procedimientos operacionales y responsabilidades.

Gestión de la prestación del servicio por terceras partes.

Planificación y aceptación del sistema.

Protección contra códigos maliciosos y móviles.

Respaldo.

Gestión de la seguridad de las redes.

Manejo de los medios.

Intercambio de la información.

Servicios de comercio electrónico.

Monitoreo.

Cumplimiento. Cumplimiento de los requisitos legales.

Cumplimiento de las políticas y las normas de seguridad.

Consideraciones de la auditoría de los

sistemas de información

Fuente: Autor

En la tabla [2.2] se especifican las variables para validar la hipótesis.

Tabla [2.2] Variables validadas en la hipótesis.

Variable Indicador esperado Indicador obtenido

Número de procesos 15 15

Fuente: Autor

“Sistema de gestión de seguridad soportado en TIC´s para realizar una porte a la competitividad de las empresas de la región”

INFORME FINAL DE AUDITORÍA

INFORME FINAL DE AUDITORÍA DE LOS ASPECTOS “Gestión de

comunicaciones y operaciones” y “Cumplimiento”.

Auditoría realizada como parte del proyecto de grado “Módulo de Gestión de

Auditoría Soportado en TIC para la Gestión de comunicaciones, seguimiento y

revisión del SGSI.” para verificar el cumplimiento de los aspectos “Gestión de

comunicaciones y operaciones” y “Cumplimiento” de la norma ISO 27001.

1. ALCANCE, OBJETIVOS, CRITERIOS Y METODOLOGÍA

Alcance: Auditar los aspectos asociados a la seguridad de la información:

“Gestión de comunicaciones y operaciones” y “Cumplimiento”.

Objetivo: Conocer el cumplimiento de los controles de seguridad de la

información referentes a los aspectos “Gestión de comunicaciones y

operaciones” y “Cumplimiento”

Criterios de auditoría:

Todo correcto.

Observaciones.

No conformidad mayor

No conformidad menor

Metodología

Para realizar la auditoría, se establecieron dos momentos, uno para el análisis

de documentación, etapa en la cual la se hace una revisión de los

procedimientos y la información que la organización suministró para los dos

aspectos mencionados anteriormente y un segundo momento in situ, en el cual

se procede a verificar que los procedimientos que están documentados si se

ejecutan conforme a lo que está escrito y cerciorarse que la información se

encuentra disponible para el personal (autorizado) en todo momento que lo

necesite.

Tiempo estimado para la auditoría previa: 12 días.

Aspecto gestión de comunicaciones y operaciones: 10 días

Aspecto cumplimiento: 2 días

Tiempo real.

Aspecto gestión de comunicaciones y operaciones: 1 día, 4 horas.

Aspecto cumplimiento: 4 horas.


Tiempo estimado para la auditoría en sitio: 5 días

Aspecto gestión de comunicaciones y operaciones: 3 días

Aspecto cumplimiento: 2 días

Tiempo real.

Aspecto gestión de comunicaciones y operaciones: 2 horas

Aspecto cumplimiento:1 hora

2. RESULTADOS DE LA AUDITORÍA

Una vez finalizada la auditoría en los aspectos “Gestión de comunicaciones y

operaciones” y ”Cumplimiento” se encontraron los siguientes resultados:

2.1 Situaciones de no conformidad en la auditoría previa:

Gestión de comunicaciones y operaciones

No hay una política de seguridad completamente definida.

No hay una división física entre los ambientes de producción y

desarrollo, la división se encuentra a nivel lógico en el servidor.

Los niveles de prestación de servicios con el tercero se acuerdan al

realizar los contratos, pero después de ello no se ejercen labores de

vigilancia para constatar el cumplimiento de los términos.

Solo se ha realizado una prueba de restauración de un back up y se

tardó 24 horas y a partir de este resultado se basan para hacer cálculos.

No hay un procedimiento definido para la administración de los medios

removibles del computador tales como cintas, discos, casetes, memorias

y reportes.

No existe un documento donde se registre que han sido eliminados

elementos sensibles, a fin de mantener un rastro de auditoría.

Hay un LOG de fallas presentadas en el sistema, pero no hay un registro

del procedimiento empleado para solventar dicha falla.


2.1.1 Riesgos asociados

No se pueden certificar en ningún sistema de gestión de seguridad de la

información si no hay una política definida.

No se puede tener control sobre posibles alteraciones de código ya que

no se tienen áreas de trabajo específicas para cada fase de desarrollo.

Se pueden estar incumpliendo términos establecidos en el contrato de la

prestación de servicios y no se está ejerciendo ningún tipo de control.

No se puede tener garantía solo con una prueba que la restauración que

hagan de cualquier back up tomará un día.

No se puede llevar trazabilidad sobre los elementos que han sido

eliminados.

Se pueden gastar recursos innecesarios en la búsqueda de soluciones

para solventar fallas que se han presentado antes debido a que no hay

un registro de los procedimientos realizados para solucionar problemas

presentados con anterioridad.

Cumplimiento

El documento donde están siendo definidos explícitamente los estatutos

relevantes, regulaciones y requerimientos contractuales para cada

sistema de información esta apenas en construcción.

El documento donde estén especificados los controles y las

responsabilidades individuales para cumplir con estos requisitos está en

fase de desarrollo.

La estructura de gestión y control para proteger los datos y la privacidad

de la información personal está en fase de desarrollo.

La dirección no aborda labores de monitoreo.


No es posible determinar que se están logrando los objetivos generales

y específicos de la organización si la dirección cabeza del negocio omite

labores de vigilancia.


2.2 Situaciones de no conformidad en sitio:

Gestión de comunicaciones y operaciones.

No se están empleando las labores asociadas a la seguridad de la

información por parte del personal por falta de procedimientos y cultura.

No hay acuerdos para realizar funciones de auditoría y supervisión sobre

los servicios acordados con terceros por lo tanto tampoco existe una

persona o equipo que realice esta función.

No se cuenta con una política bien definida sobre la utilización de

códigos móviles.

No se realiza supervisión sobre las características de seguridad que se

deben tener en cuenta en el almacenamiento para cada tipo de medio

removible, como las condiciones de almacenamiento recomendadas por

el fabricante.

No existen procedimientos para la eliminar los medios de comunicación

que ya no son utilizados.

No se cuenta con medios de comunicación alternativos para afrontar

situaciones con incidentes reales.

No se verifican los resultados fruto del monitoreo de las actividades del

sistema.

2.2.1 Riesgos asociados:

No se encuentran procedimientos detallados y para algunos casos no se

encuentran los procedimientos para la operación de labores cotidianas y

puede dificultar el trabajo de los encargados causando que no se hagan

de la manera apropiada.

Se pueden presentar riesgos en los desarrollos de software por la falta

de división física en los ambientes de desarrollo ya que no se pueden

ejercer mecanismos de control para comprobar que tipo de actividad se

están realizando en cada ambiente.

La falta de acuerdos entre la organización y las partes externas no

permite que se lleve control sobre los niveles de servicio acordados y no

se pueden analizar los riesgos asociados a cualquier tipo de


modificación que hagan en el procesamiento de información y a los

medios para hacerlo.

Si no se cuenta con procedimientos definidos o planes de contingencia

para afrontar situaciones de emergencia, en caso que se presenten, la

continuidad del negocio se puede ver afectada con consecuencias

legales y económicas.

Ignorar las fallas cuando se presentan, puede causar que la

organización más adelante tenga que invertir más recursos en acciones

correctivas.

Cumplimiento

Al momento del registro de inicio, no existe un mensaje de advertencia

que indique que el servicio de procesamiento de información al cual se

está ingresando es propiedad de la organización y que no se permite el

acceso no autorizado

No existe ningún tipo de mecanismo para determinar si los controles

criptográficos cumplen todos los acuerdos, las leyes y los reglamentos

pertinentes

Es considerado dentro de todas las áreas de la organización una

revisión periódica para asegurar el cumplimiento de las políticas de

seguridad, estándares y procedimientos y los sistemas de información

son controlados regularmente para cumplir con la implementación de los

estándares de seguridad pero no hay ninguna política que defina cuales

son los niveles de servicio que deben cumplir.


Personas ajenas a la organización podrían realizar modificaciones,

extraer información, ingresar a lugares críticos del sistema y salir bien

librados de cualquier consecuencia legal ya que no hay una evidencia

clara de haber cometido una infracción.

En caso de que la banca cometa una omisión sobre los controles

criptográficos la organización puede acarrear sanciones económicas y

jurídicas ya siempre debe cerciorarse que se estén cumpliendo los

controles debido a que ambas partes son responsables.


Información sensible puede quedar expuesta ya que no se define que

niveles de servicios y hasta qué punto deben ser analizados.

2.3 Recomendaciones:

Durante el desarrollo de la auditoría se tuvo conocimiento que muchas

de las inconformidades presentadas se deben a la falta de recursos y

personal, debido a eso y apoyándome de la siguiente oración extraída

de la política de seguridad de la información de la organización: “Para la

organización la información es considerada como un activo de valor

estratégico”, se debe realizar una consecución de recursos para

solventar todas la inconformidades asociadas a los problemas de

seguridad actuales y futuros, entre estos recursos se debe realizar

inversión en personal y en compra y alquiler de equipos de cómputo

para realizar pruebas.

Se debe contar con procedimientos más detallados para realizar las

tareas operativas con más claridad.

Se deben establecer auditorías periódicas con los prestadores de

servicios, solicitar informes con cambios que ellos realicen que puedan

afectar la continuidad del negocio, realizar revisiones de los términos

convenidos en el contrato.

La dirección debe ejercer labores continuas de monitoreo sobre las

actividades relevantes, bien sea realizando reuniones periódicas con el

jefe de área, con todos los temas a tener en cuenta, producción,

seguridad, metas, etc. O a través de informes periódicos presentados

por los miembros del equipo de desarrollo para su posterior revisión.

Con la finalidad de poder certificar la organización en algún sistema de

gestión de seguridad de la información se debe contar con prontitud con

documentos como: Política de seguridad, documento de riesgos y

documento de aplicabilidad.

2.4 Hallazgos durante la auditoría.

Uno de los aspectos que más resaltan en esta auditoría fueron los

resultados obtenidos en cuanto a los tiempos de auditoría estimados

frente a los reales, una de las razones fue debido a que no se tuvo


acceso total a los documentos, por otra parte, como se mencionó en las

recomendaciones, hace falta documentación que todavía no se

encuentra a disposición del público, por lo tanto no toda la información

pudo ser analizada y tuvo que ser validada en sitio, y es aquí donde se

produjo una disminución considerable en los tiempos y fue gracias a que

la persona que me acompañó durante el proceso tenía un conocimiento

total sobre el funcionamiento de la organización y de los procesos

involucrados para validar los modelos, y es por ello que muchas de las

actividades que se debían resolver previamente fueron solventadas con

rapidez y eficiencia.

En muchos de los procedimientos existen roles que no están definidos

en el documento de roles de la organización.

Se presenta una ambigüedad entre función y responsabilidad, ya que

algunos de los procedimientos que aparecen a cargo de una persona,

aparece en funciones para unos y en responsabilidades para otros.

Hay personas que desarrollan tareas que no aparecen asociadas en su

rol.

Algunos procedimientos tienen un nombre al interior del procedimiento,

diferente al que aparece en el listado de procedimientos en el portal

web.

Algunos de los roles no aparecen con el mismo nombre que aparece en

el portal web.

Algunos procedimientos es sus actividades tienen como responsables a

varias personas, sin embargo, en la parte donde se hace la descripción

de los roles, no aparecen todos los procedimientos que este cargo

involucra.

Ya que algunos roles tienen asignado el mismo código, hace muy

confusa la tarea de averiguar qué persona es responsable de una

determinada actividad, se sugiere asignar un código a cada miembro o

escribir el nombre completo del cargo en el procedimiento en la parte de

responsable.

MANUAL

Contenido

MANUAL

1. OBJETIVO ............................................................................................................................... 2

2. ¿Qué es BPMN? .................................................................................................................... 2

3. ¿Por qué es importante modelar con BPMN? ................................................................... 2

4. Instalando Bizagi BPMN ....................................................................................................... 3

5. Conociendo la interfaz de Bizagi Process Modeler .......................................................... 7

5.1 Elementos gráficos de BPMN ........................................................................................ 8

5.1.1 Objetos de flujo ......................................................................................................... 8

5.1.2 Eventos: ..................................................................................................................... 8

5.1.3 Canales .................................................................................................................... 10

5.1.4 Artefactos ................................................................................................................. 10

6. Instalación Bizagi edición .NET ......................................................................................... 11

7. Consideraciones de Bizagi BPMN y Bizagi Studio ......................................................... 19

8. Ejecutando un proceso desde Bizagi BPMN ................................................................... 19

9. Conociendo la interfaz de Bizagi Studio ........................................................................... 24

9.1 Model Process: ............................................................................................................... 24

9.2 Model Data ...................................................................................................................... 25

9.3 Define Forms .................................................................................................................. 25

9.4 Business Rules ............................................................................................................... 25

10. Usando la herramienta ...................................................................................................... 25

Consideraciones importantes ............................................................................................. 26

10.1 Utilizando el proyecto automatizado ......................................................................... 26

11. Links adicionales ................................................................................................................ 31

2

1. OBJETIVO

El objetivo de este documento es brindar una ayuda al auditor, para que se

familiarice con la herramienta Bizagi BPMN para el modelado de procesos y

Bizagi XPRESS para la automatización de procesos. Se dará una breve

descripción sobre los elementos de la herramienta que serán suficientes para

que el auditor pueda comenzar a utilizarla. Adicional a ello, se explicará cómo

utilizar los procesos automatizados para realizar los procesos de auditoría en

los aspectos “GESTIÓN DE COMUNICACIONES Y OPERACIONES” y

“CUMPLIMIENTO”.

2. ¿Qué es BPMN?

Business Process Model and Notation (BPMN) es una notación gráfica que

describe la lógica de los pasos de un proceso de Negocio. Esta notación ha

sido especialmente diseñada para coordinar la secuencia de los procesos y los

mensajes que fluyen entre los participantes de las diferentes actividades.

BPMN proporciona un lenguaje común para que las partes involucradas

puedan comunicar los procesos de forma clara, completa y eficiente. De esta

forma BPMN define la notación y semántica de un Diagrama de Procesos de

Negocio (Business Process Diagram, BPD).

BPD es un diagrama diseñado para representar gráficamente la secuencia de

todas las actividades que ocurren durante un proceso, basado en la técnica de

“Flow Chart”, incluye además toda la información que se considera necesaria

para el análisis.

BPD es un diagrama diseñado para ser usado por los analistas, quienes

diseñan, controlan y gestionan procesos. Dentro de un Diagrama de Procesos

de Negocio BPD se utiliza un conjunto de elementos gráficos, agrupados en

categorías, que permite el fácil desarrollo de diagramas simples y de fácil

comprensión, pero que a su manejan la complejidad inherente a los procesos

de negocio. 1

3. ¿Por qué es importante modelar con BPMN?

BPMN es un estándar internacional de modelado de procesos aceptado por la

comunidad.

BPMN es independiente de cualquier metodología de modelado de procesos.

1 Tomado de http://www.bizagi.com/docs/BPMNbyExampleSPA.pdf p.2

3

BPMN crea un puente estandarizado para disminuir la brecha entre los

procesos de negocio y la implementación de estos.

BPMN permite modelar los procesos de una manera unificada y estandarizada

permitiendo un entendimiento a todas las personas de una organización. 2

4. Instalando Bizagi BPMN

Para comenzar a utilizar Bizagi BPMN se accede al siguiente link desde donde

se podrá realizar la descarga

(http://www.bizagi.com/index.php?option=com_content&view=article&id=335&It

emid=267)

Una vez descargado, se ejecuta y lo primero que saldrá será una ventana

como esta, pulse “Aceptar”

En la ventana que sale a continuación no se debe realizar ninguna acción, se

debe dejar así hasta que aparezca la ventana de instalación de Bizagi Process

Modeler.


4

Pulse “Siguiente” y aparecerán los términos de acuerdo de licencia.

“Acepto los términos del acuerdo de licencia” y pulse “Siguiente”.

5

Saldrá una ventana como se muestra a continuación, en esta se deben rellenar

los campos (puede ser su propio nombre en ambos), pulse “Siguiente”

A continuación se define el lugar de instalación, viene el disco (C:\) por defecto.

Pulse “Siguiente”.

6

Pulse “Instalar” para comenzar con el proceso.

Acto seguido, aparecerá una ventana en la cual no se debe realizar alguna

operación, solo esperar.

7

Una vez terminado el proceso de instalación saldrá un recuadro como el que se

muestra, pulse “Finalizar” y el proceso habrá terminado.

5. Conociendo la interfaz de Bizagi Process Modeler

Cuando el proceso de instalación de Bizagi Process Modeler se ha completado,

deberá aparecer en el escritorio un icono como este.

8

De clic dos veces sobre él, hasta que salga una ventana como esta.

OPCIONAL: en caso de que se esté trabajando con una versión anterior (No es

indispensable actualizarla para poder trabajar)

Puede seleccionar la opción “Después” o “Descargar” dependiendo de su

interés.

5.1 Elementos gráficos de BPMN

Estando ya en el programa, se pueden observar una serie de elementos

gráficos de BPMN, estos elementos se encuentran clasificados en 4 categorías:

Objetos de flujo.

Objetos de conexión.

Canales.

Artefactos.

5.1.1 Objetos de flujo

Son los principales elementos gráficos que definen el comportamiento de los

procesos. Dentro de los objetos de Flujo encontramos:

5.1.2 Eventos: Son algo que sucede durante el curso de un proceso de

negocio, afectan el flujo del proceso y usualmente tienen una causa y un

resultado.

9

Dentro de los anteriores ejemplos

utilizamos inicio, fin y temporizador, estos

elementos son eventos y a su vez se

encuentran clasificados en 3 tipos.

Dentro de BPMN existen muchas formas de

iniciar o finalizar un proceso e igualmente

existen muchas cosas que pueden llegar a

suceder durante el transcurso del proceso,

por lo tanto existen diferentes tipos de

eventos de inicio, eventos de fin y eventos

intermedios.

Actividades: Estas Representan el trabajo que es ejecutado dentro de un

proceso de negocio. Las actividades pueden ser compuestas o no, por lo que

dentro del proyecto, fueron utilizados los dos tipos de actividades existentes:

Dentro de los anteriores ejemplos existen diferentes tipos de tareas (Simple,

automáticas, manuales, de usuario, entre otras) y de subprocesos (embebido,

reusable, etc.) que nos permiten diagramar con más profundidad los procesos

suministrando más información y claridad al lector3

Compuertas

Son elementos del modelado que se utilizan para controlar la divergencia y la

convergencia del flujo.

Existen 5 tipos de compuertas, dentro de los ejemplos desarrollados en este

documento pudimos ver el uso de la compuerta Exclusiva y de la compuerta

Inclusiva

Los 5 tipos de compuertas son:

Compuerta Exclusiva

Compuerta Basada en eventos

Compuerta Paralela

Compuerta Inclusiva

Compuerta Compleja


10

Objetos de conexión

Son los elementos usados para conectar dos objetos del flujo dentro de un

proceso.

Dentro de los ejemplos utilizamos la Líneas de secuencia, que conectan los

objetos de flujo, y las asociaciones, que son las líneas punteadas que nos

permitieron asociar anotaciones dentro de algunos flujos.

Existen 3 tipos de objetos de conexión:

Líneas de Secuencia

Asociaciones

Líneas de Mensaje

5.1.3 Canales

Son elementos utilizados para organizar las actividades del flujo en diferentes

categorías visuales que representan áreas funcionales, roles o

responsabilidades.

Pools

Lanes

Fases

5.1.4 Artefactos

Los artefactos son usados para proveer información adicional sobre el proceso.

Dentro de los ejemplos se utilizaron algunas anotaciones dentro del flujo.

Existen 3 tipos:

Objetos de Datos

Grupos

Anotaciones 4


11

6. Instalación Bizagi edición .NET

A la hora de instalar Bizagi para la automatización de procesos se encontrará

con que hay varias opciones, para este manual se seleccionó la versión .NET

que encontrará en esta página.

(http://www.bizagi.com/index.php?option=com_content&view=article&id=338&It

emid=270)

Normalmente se seleccionaría Bizagi Xpress, pero con el cambio que se ha

venido presentando con el cambio de arquitectura de 32 a 64 bits, tendrá

problemas de compatibilidad si descarga la versión Bizagi XPRESS y su

computadora corre con un sistema operativo de 64 bits ya que esta versión

solo tiene soporte para 32 bits.

La funcionalidad de Bizagi Enterprise .net es la misma que la de Bizagi

XPRESS solo que la versión ENTERPRISE es más robusta. Se puede apreciar

el cuadro comparativo aquí.

(http://www.bizagi.com/index.php?option=com_content&view=article&id=339&it

emid=271)

Para comenzar a instalar, se realizan unos pasos similares a la instalación de

Bizagi BPMN.

Se comienza ejecutando el archivo descargado como administrador para evitar

posibles problemas de permisos.

12

Selecciona “Español” y luego pulsa “Aceptar”

Saldrá una ventana como la mostrada a continuación, allí no se debe hacer

nada.

13

Una vez aparece el asistente para el instalador, pulsa “Siguiente”

Al igual que con Bizagi BPMN se acepan los “términos de acuerdo de licencia”

y pulsa “Siguiente”

14

Para el funcionamiento de Bizagi, se necesita una base de datos, así que el

asistente preguntará si desea descargar el SQL Server para crear una, o

también tiene la opción para continuar por si ya la tiene instalada.

Para el propósito de este manual, se explicará la opción de instalar SQL

Server, pulse “Siguiente”.

15

Saldrá un mensaje de instalación de SQL Server, este proceso se tardará

varios minutos mientras se termina la configuración.

Una vez terminado, se llenan los campos de registro al igual que en Bizagi

BPMN (acá también puede poner su propio nombre en ambos campos), pulse

“Siguiente”.

El paso a continuación es muy importante, en el proceso de instalación se

proporcionan dos ambientes para incluirlos en la instalación de Bizagi, para el

objetivo de este manual y de este trabajo que es la automatización de

procesos, se debe seleccionar “Ambiente de desarrollo (Construcción)” y pulsar

“Siguiente”

16

Luego se selecciona el lugar de instalación, al igual que en Bizagi BPMN, está

por defecto el disco (C:\), pulsa “Siguiente”

Saldrá una ventana para comprobar actualizaciones, no es necesario realizarlo,

si usted desea puede hacerlo. Pulse “Siguiente”

Pulse “Instalar”.

17

Aparecerán ventanas como estas, mientras se descargan los archivos

necesarios.

Hasta que salga una ventana con el estado de la instalación

18

Una vez terminado este proceso, se pedirá reiniciar

Después de reiniciar el equipo e incluso antes de hacerlo, debe tener en su

escritorio un icono como este.

19

Finalmente ya estará instalado Bizagi Studio para la automatización de

procesos

7. Consideraciones de Bizagi BPMN y Bizagi Studio

Antes de comenzar a trabajar con Bizagi BPMN y Bizagi Studio es importante

mencionar que:

Los 2 productos de Bizagi son complementarios y por lo tanto su enfoque y

alcance son diferentes.

Mientras que el modelo desarrollado en el Process Modeler tendrá como

objetivos diagramar y documentar, con Bizagi Studio esta especificación de

atributos se hace en la definición del modelo de datos, para convertir sus

procesos en una aplicación completa, donde pueda ejecutar y automatizar los

modelos5, 6

8. Ejecutando un proceso desde Bizagi BPMN

Si una vez creado un modelo se quiere ejecutar desde la interfaz de Bizagi

BPMN, se pulsa “Ejecutar Workflow” que aparece en la parte superior izquierda

de la pantalla.

5 http://feedback.bizagi.com/suite/es/responses/subprocesos-asignados-a-mas-de-un-pool 6 http://feedback.bizagi.com/suite/es/responses/como-insertar-un-nuevo-pool-en-bizagi-studio-100

20

Después de pulsar esa opción, saldrá una ventana para importar el diagrama

del proceso.

Se seleccionan ambas opciones, pulsa “Next”.

Saldrá una ventana nueva donde se dará el nombre al proceso (No puede ser

muy largo), pulse “Next”.

21

El siguiente paso es elegir el nombre del proyecto que será almacenado en la

base de datos, puede crear uno nuevo o seleccionar uno que ya este creado,

pulse “Next”.

Acá debe agregar el nombre que tendrá la base de datos y pulsar “Next”

Este paso también es muy importante, a la hora de autenticarse en la base de

datos, si instaló el SQL Server desde Bizagi, el usuario ya queda registrado

automáticamente, sino es su caso, en “Login name” digite “sa” y en “Password”

“BizAgi2009”o “BizAgi2010” que son las credenciales de Bizagi por defecto, si

22

usted ya tenía una base de datos instalada, deberá loguearse con los datos

asociados a ese servidor, pulse “Next”

Después de esta paso, saldrá una nueva ventana de creación del proyecto,

este proceso, tardará unos minutos.

23

Una vez completado este proceso, llegará a la interfaz de Bizagi Studio

NOTA: El siguiente paso se realiza cuando ya están creados los procesos en la

base de datos y se van a abrir para trabajar directamente en Bizagi Studio.

Al ejecutar Bizagi Studio una vez ya ha sido creado un proceso y se quiere

seguir con el trabajo de automatización, saldrá una ventana como esta donde

se seleccionara uno existente o si es su deseo puede crear uno nuevo.

24

En caso de seleccionar uno ya creado, este lo llevará directamente a la interfaz

de Bizagi presentada en la imagen anterior.

NOTA IMPORTANTE

Es posible que al seleccionar el proyecto, se demore un poco en ejecutar y

salga un mensaje de error como este

Para solucionar este problema tanto para Windows 7 y 8, se deben seguir los

siguientes pasos:

Vaya a inicio -> Panel de Control -> Vista por iconos -> Herramientas

administrativas -> Servicios -> En la lista que se despliega buscan el "Bizagi

Server Operations Service”, clic derecho y escogen la opción iniciar, luego

vuelven a seleccionar el proyecto en que deseaban trabajar y el error debe

estar solucionado.

9. Conociendo la interfaz de Bizagi Studio

Etapas de Bizagi Studio.

Este manual solo hará una descripción de las primeras 4 etapas, que fueron las

empleadas para la realización de este proyecto.

Model Process

Model Data

Define Forms

Business Rules (Define Expressions)

9.1 Model Process:

Modelar el proceso es uno de los primeros pasos en la

implementación de Bizagi. Esta es una etapa vital porque la

aplicación está definida con base en el flujo del proceso

que ha sido modelado.

25

9.2 Model Data:

De acuerdo a la estructura de datos definida en la fase de

diseño de Bizagi, la cual tiene la información requerida

por el proceso basado en las especificaciones del

negocio, una vez el proceso es modelado el modelo

relacional es creado para el proceso. El modelo relacional

especifica las entidades y atributos, y las relaciones

existentes entre ellos, permitiendo a la información ser

agrupada en un camino simple y lógico.

9.3 Define Forms:

Una vez el modelo relacional del proceso es creado y de

acuerdo a las formas o interfaces definidas durante la fase

de diseño de Bizagi, las formas son creadas, las cuales

serán visualizadas en una aplicación web por el usuario

final.

9.4 Business Rules:

Las organizaciones están gobernadas bajo ciertas

políticas o normas, derivadas de diferentes estrategias y

objetivos de las compañías. Como resultado, existen

restricciones, excepciones y cualquier variedad de

condiciones en las diferentes actividades o tareas que

componen el proceso.

En la parte superior derecha encontraran el proceso principal, y un menú

desplegable con los subprocesos que este tenga

10. Usando la herramienta

IMPORTANTE: Cuando ejecute el proyecto automatizado, se deben haber

configurado los tiempos de las actividades para poder observar el análisis de

26

los procesos, se debe tener en cuenta que los indicadores se presentan en

forma de semáforo:

Verde: A tiempo.

Amarillo: Próximo a vencerse

El criterio para indicar que una tarea muestre un ícono en "semáforo amarillo"

corresponde al vencimiento de la misma en el día actual.

Esta advertencia no es actualmente configurable y las tareas tendrán un

semáforo amarillo si el mismo día se vencen.7

Rojo: Vencidos.

Consideraciones importantes

Un día en la herramienta Bizagi equivale a 8 horas, que es el tiempo por

defecto8, si desea modificar el “esquema de horario laboral de la organización”

visite este link.

(http://wiki.bizagi.com/es/index.php?title=Grupos_de_Usuario_y_Esquema_de_

Tiempo_de_Trabajo#Esquema_de_Horario_de_Trabajo)

Para obtener más información sobre como configurar los tiempos de ejecución

visite el siguiente link (http://wiki.bizagi.com/es/index.php?title=Duracion)

Otra consideración importante es que los tiempos de actividades son diferentes

a los tiempos de un proceso, un proceso puede vencerse y sin embargo las

actividades estar a tiempo.

10.1 Utilizando el proyecto automatizado

Una vez el proceso ha sido automatizado, se procede

a ejecutarlo, para ello, se va a la parte superior

izquierda de Bizagi Studio y dar clic en la opción “Run”.

Aquí se abrirá una ventana en su navegador

predefinido y cargará una interfaz como esta.

7 http://feedback.bizagi.com/suite/es/responses/medicion-tiempos-semaforos 8 http://feedback.bizagi.com/suite/es/responses/duracion-actividades-y-procesos

27

Asegúrese que en la barra de direcciones tenga algo como esto:

El (localhost:[puerto_por_donde_se_ejecuta]/[Nombre_de_la _base_de_datos])

Ahora bien, en la interfaz web de Bizagi, se procederá a ejecutar un caso, se va

a “Nuevo” y se selecciona el proceso a ejecutar.

La primer ventana que saldrá, es la ventana de verificación y/o revisión.

Acá se dará la fecha en que comenzó esa actividad del proceso de auditoría, el

campo “Existe Alguna Anomalía“ se debe marcar en “si”, solo en caso de

encontrar una “no conformidad menor” o “no conformidad mayor” y será llevado

a la forma de declaración de no conformidad, de lo contrario, marque la casilla

con “no” y continuará con la actividad siguiente, el campo “observación” será

marcado si tiene alguna recomendación que hacer sobre esta actividad, ya sea

que haya una no conformidad o no (no es de uso obligatorio), y posteriormente

agregar su sugerencia en el campo “recomendaciones”.

28

Si desea obtener más información sobre la actividad, como el número del caso,

ruta del proceso, fecha de expiración de la actividad, etc. De clic sobre la

pestaña que se encuentra al lado izquierdo de cada actividad (la parte marcada

con rojo en la imagen anterior), y obtendrá un recuadro como el que se muestra

a continuación.

Continuando con el proceso de auditoría, si tuvo alguna anomalía en esa

actividad, seleccione la opción “si” en “Existe Alguna Anomalía” como se

muestra en la imagen y este lo llevara a la forma de declaración de no

29

conformidad, en caso de no haber encontrado alguna irregularidad, llegará a la

interfaz de la siguiente actividad.

Los campos “No Conformidad Mayor” y ”No Conformidad Menor”, no son

obligatorios, solo se usan si se presenta una no conformidad.

En la esquina superior izquierda está la opción de “Regresar”, esta opción es

para dejar la auditoría en pausa, y podrá comenzar con ella de nuevo cuando lo

desee, estas actividades que quedan pendientes, se pueden visualizar en la

interfaz web principal.

Al terminar la auditoría, ya sea porque ha finalizado todas las actividades

satisfactoriamente o porque haya tenido que detenerla, aparecerá la forma de

resumen como la que se muestra a continuación con toda la información

relevante de las actividades que fueron ejecutadas para que la organización

conozca sus puntos débiles y así corregirlos.

30

Ahora bien, si se desea tener datos estadísticos sobre el caso en ejecución se

utiliza la opción BAM (Monitoreo de Actividad de Negocio)

En el BAM de procesos se muestra la información relacionada con el caso

actual de acuerdo a los tiempos que hayan sido configurados.

En el BAM de tareas se muestra la información relacionada con la tarea

particular que se esté ejecutando de ese proceso de acuerdo a los tiempos que

hayan sido configurados.

En el análisis de procesos, muestra la información general sobre todos los

casos que se han ejecutado y el análisis de tareas la información general

relacionada con las tareas.

31

11. Links adicionales

Si desea realizar una copia de seguridad de sus procesos y restaurarla

nuevamente, visite el siguiente link

(http://wiki.bizagi.com/es/index.php?title=Backup_y_Restauracion_de_Base_de

_Datos_Bizagi)

Si desea copiar un proyecto a otro servidor, visite el siguiente link

(http://wiki.bizagi.com/es/index.php?title=Como_Copiar_un_Proyecto_a_Otro_S

ervidor)

Plan de Trabajo de la Auditoría para los Aspectos “Gestión de comunicaciones y

operaciones” y ”Cumplimiento”

Se pretende evaluar los riesgos globales asociados a los aspectos “Gestión de

comunicaciones y operaciones” y “Cumplimiento” mediante un programa de auditoría que

consta de objetivos de control y procedimientos de auditoría que deben satisfacer esos

objetivos.

En el proceso de auditoría se llevarán a cabo dos procesos fundamentalmente:

Reunir evidencias para evaluar fortalezas y debilidades de los controles existentes.

Preparar un informe de auditoría que presente esos temas en forma objetiva a la gerencia.

Planificación de la auditoria

Con el propósito de poder llevar a cabo una auditoría del aspecto “Gestión de

comunicaciones y operaciones” y ”Cumplimiento” de manera eficaz, es necesario

comprender el ambiente del negocio, los riesgos y controles asociados para lo cual se

requiere la siguiente información:

Documento de aplicabilidad.

Documento con las políticas de seguridad.

Documento con los procedimientos de operación para las actividades del sistema

asociadas con los servicios de comunicaciones y de procesamiento de información.

Documento de roles y responsabilidades identificadas en el manual de política de

seguridad de la organización.

Documento con los registros de auditoria que contenga todos los cambios realizados a los

servicios y los sistemas de procesamiento de información.

Documento con los registros de aceptación antes de hacer modificaciones a los sistemas

de producción.

Documento con los planes de contingencia después de desastres o fallas significativas en

el servicio.

Documento con la identificación de espacios físicos.

Documento de acuerdo de la prestación de servicios entre las partes.

Actas de reunión con proveedores de servicio

Documento de riesgos.

Documento con los registros de auditoría con sus respectivas acciones correctivas en caso de que se haya encontrado alguna inconformidad.

Documento con los planes de contingencia después de desastres o fallas significativas en el servicio.

Organigrama del área.

Documento con los criterios de aceptación para los sistemas de información presente y

futuro.

Bitácora de las pruebas empleadas para confirmar el cumplimiento pleno de todos los

criterios de aceptación.

Resultados de las pruebas realizadas.

Bitácora de seguimiento al monitoreo de capacidades del sistema.

Documento con los controles y procedimientos para el manejo de software y códigos

maliciosos.

Registros con procesos de capacitación en seguridad y de las reuniones periódicas con los trabajadores para concientizar sobre la importancia de la seguridad de la información.

Documento con los registros de las copias de seguridad realizadas.

Documento con la estrategia de almacenamiento de backups.

Política de manejo de backups.

Procedimiento de continuidad del negocio.

Informes de proceso de validación de recuperación de contingencias con los backups

disponibles.

Backups de los procesos esenciales del negocio.

Documento de responsabilidades y procedimientos para la administración de equipos

remotos.

Documentos con los procedimientos para la instalación de herramientas de gestión de

seguridad y realización de pruebas de detección de vulnerabilidades.

Documento con las políticas de seguridad de la red.

Documentos con los procedimientos para la instalación de herramientas de gestión de

seguridad y realización de pruebas de detección de vulnerabilidades.

Documentos con la situación actual de la red de datos de la organización.

Documento de acuerdo o de definición de los niveles de servicio.

Documento con las amenazas identificadas y las medidas de protección.

Manual de funciones del personal autorizado para la administración de la red.

Documento con los procedimientos para la administración de los medios removibles.

Bitácora de registro de destrucción de información sensible.

Reportes de eliminación y destrucción de cintas y similares.

Documento con los procedimientos y políticas para el almacenamiento de datos.

Contratos de personal que incluya restricciones de divulgación de información y mal uso

de la misma (Documento de roles y responsibilidades)

Documento con los procedimientos de cifrado de la información en curso.

Documento con procedimientos de manejo de la información según su clasificación.

Documento de acuerdos de intercambio de información y de software.

Documento con las amenazas identificadas y las medidas de protección a tomar.

Documento con políticas y procedimientos para proteger la información asociada con la

interconexión de los sistemas de información del negocio.

Documento de los acuerdos de comercio electrónico entre socios comerciales.

Política de seguridad del uso de correo electrónico.

Documentos con la configuración de seguridad de la red

Documento con el procedimiento y las condiciones de aceptación antes de que la

información sea puesta al público.

Documento con los procedimientos para garantizar que las entradas del exterior son

verificadas y aprobadas.

Documento con los registros de las grabaciones.

Documento con los procedimientos para el monitoreo del uso de los servicios de

procesamiento de información.

Bitácora con los resultados de las observaciones de la monitoria.

Documento con los registros de las fallas que se han presentado y los procedimientos y

acciones correctivas

Documento con las fallas reportadas por los usuarios o programas relacionados con el

procesamiento de información o sistemas de comunicación.

Documento con los estatutos relevantes, regulaciones y requerimientos contractuales

para cada sistema de información

Actas de visitas de la SIC (Superintendencia de industria y comercio) que avalen el buen

uso y manejo de las herramientas de procesamiento de la información y de los datos

personales garantizando el derecho al habeas data.

Documento con procedimiento sobre el manejo de información con derechos de

propiedad intelectual.

Contrato de arrendamiento/compra de software.

Registros con su respectiva tabla de retención documental.

Documento con la legislación y los reglamentos pertinentes a la protección y privacidad de

los datos personales.

Políticas de seguridad en cuanto al uso de las instalaciones y el personal autorizado para

ingresar a ellas

Revisar el documento con los requisitos para el cumplimiento de la ley de los controles

criptográficos

Actas y/o comunicados dirigidas al personal de la organización donde se les informe

sobre la política de protección y privacidad de datos.

Documento con los requisitos para el cumplimiento de la ley de los controles

criptográficos.

Documento con las revisiones y acciones correctivas del cumplimiento de las políticas,

cumplimiento técnico y normas de seguridad.

Actas, ó informes de evaluaciones periódicas.

Contratos de auditorías con perfiles de los expertos.

Documento con los controles para salvaguardar los sistemas operativos y las

herramientas de auditoría.

Documentos con las políticas de seguridad y procedimientos para salvaguardar las

herramientas de auditoría de los sistemas de información.

Documentos con procesos de manejo de información durante la auditoría.

Procedimientos para el desarrollo de pruebas de auditoria.

Procedimientos para el manejo del software de auditoria.

Documentos con los requisitos de auditoría y plan de actividades para no interrumpir las

actividades del negocio.

Acuerdos de confidencialidad con los auditores y las firmas de auditoría.

Desarrollo del programa de auditoria

El programa de auditoría es un conjunto documentado de procedimientos diseñados para

alcanzar los objetivos de auditoría planificados. El esquema de auditoría incluye lo

siguiente:

Tema de auditoría: Gestión de comunicaciones y operaciones y Cumplimiento.

Objetivos de Auditoría: Reunir evidencias para evaluar fortalezas y debilidades de los controles existentes. Preparar un informe de auditoría que presente esos temas en forma objetiva a la gerencia. Llevar a cabo una validación del proceso de auditoría modelado en un entorno real.


ASPECTO: Gestión de comunicaciones y operaciones

Proceso: PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES - Previo

Actividades a cumplir Forma de validación Recursos Requeridos Fecha Hora

Revisar documento que contenga los procedimientos de operación, para las actividades del sistema asociadas con los servicios de comunicaciones y de procesamiento de información que esté disponible para todos los usuarios que los necesiten.

Revisión de documentos. Documento con los procedimientos de operación para las actividades del sistema asociadas con los servicios de comunicaciones y de procesamiento de información.

Revisar documento que contenga los roles y responsabilidades, identificadas en el manual de política de seguridad de la organización.

Revisión de documentos. Documento de roles y responsabilidades identificadas en el manual de política de seguridad de la organización.

Revisar si existe un documento con los registros de auditoria que contenga todos los cambios realizados a los servicios y los sistemas de procesamiento de información.

Revisión de documentos. Documento con los registros de auditoria que contenga todos los cambios realizados a los servicios y los sistemas de procesamiento de información. Documento con los registros de aceptación antes de hacer modificaciones a los sistemas de producción.

Verificar que las responsabilidades y los procedimientos formales de gestión para garantizar el control satisfactorio de todos los cambios en los equipos, el software o los procedimientos han sido establecidas.


Documento de roles y responsabilidades identificadas en el manual de política de seguridad de la organización.

Revisar otros controles tales como monitoreo de actividades, registros de auditoría y supervisión por la dirección.

Revisión de documentos. Documento con los registros de auditoria que contenga todos los cambios realizados a los servicios y los sistemas de procesamiento de información. Documento con los registros de aceptación antes de hacer modificaciones a los sistemas de producción.

Revisar que se haya identificado el grado de separación entre los ambientes operativo, de prueba y de desarrollo a fin de que se puedan evitar problemas graves, como la modificación indeseada de archivos, o del entorno del sistema, falla del sistema, cambios involuntarios en el software, introducción de códigos no autorizados y sin probar o alteración los datos operativos con los cuales se pueda cometer fraude.


Proceso: PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES - Sitio

Verificar que los procedimientos tales como: procesamiento y manejo de información, copias de respaldo, requisitos de programación, instrucciones para el manejo de errores y otras condiciones excepcionales, contactos de soporte, Instrucciones de manejo de los medios y los informes especiales, procedimientos para el reinicio y la recuperación del sistema, gestión de los registros de auditoria y de la información de registro del sistema sean usados.

Revisión de documentos.

Revisión de las Instalaciones.

Entrevistas.


Verificar que las modificaciones que se hagan en los sistemas de producción, sean autorizadas por el control de cambios.

Revisión de documentos. Entrevistas.

Documento con los registros de aceptación antes de hacer

modificaciones a los sistemas de producción.

Revisar que los deberes y áreas de responsabilidad estén separados a fin de que se reduzcan las oportunidades para modificaciones por parte de alguna persona no autorizada y que le dé mal uso a la información o a los servicios sin ser detectado.


Documento de roles y responsabilidades identificadas en el manual de política de seguridad de la organización.

Verificar que las instalaciones de desarrollo y de prueba están separadas de las instalaciones operacionales a fin de reducir el riesgo de cambio accidental o acceso no autorizado al software operativo o a los datos del negocio.

Revisión de documentos. Revisión de las instalaciones. Entrevistas.

Documento de roles y responsabilidades identificadas en el manual de política de seguridad de la organización. Documento con la identificación de espacios físicos.

Proceso: GESTIÓN DE LA PRESTACIÓN DEL SERVICIO POR TERCERAS PARTES - Previo

Verificar si existe una empresa externa o contratista (tercero) que maneje alguna de las instalaciones de procesamiento de la información.


Documento de acuerdo de la prestación de servicios entre las partes. Actas de reunión con proveedores de servicio.

Revisar documento donde se establecen con antelación los riesgos asociados a dicha administración, que han sido discutidas con él tercero y que los controles adecuados han sido incorporados en el contrato.




Verificar que se realicen auditorías a intervalos regulares para controlar los servicios, reportes y registros suministrados por terceras partes.


Documento con los registros de auditoría con sus respectivas acciones correctivas en caso de que se

haya encontrado alguna inconformidad.

Actas de reunión con proveedores de servicio.

Verificar que los cambios en la prestación de los servicios, incluyendo mantenimiento y mejora de las políticas existentes de seguridad de la información, en los procedimientos y los controles, se tiene en cuenta la importancia de los sistemas y procesos del negocio involucrados, así como la reevaluación de los riesgos.




Proceso: GESTIÓN DE LA PRESTACIÓN DEL SERVICIO POR TERCERAS PARTES - Sitio

Revisar que la organización verifica la implementación de los acuerdos, monitorea el cumplimiento de ellos y gestiona los cambios para asegurarse que los servicios que se prestan cumplen con los requisitos acordados con los terceros.



Verificar que la organización se cerciora que el tercero mantenga una capacidad de servicio suficiente, junto con planes ejecutables diseñados para garantizar la conservación de los niveles de continuidad del servicio acordados, después de desastres o fallas significativas en el servicio.




Verificar que la organización mantiene suficiente control global y no pierde de vista todos los aspectos de seguridad para la información sensible o crítica, o de los servicios de procesamiento de información que haya procesado, gestionado o tenido acceso el tercero.



Documento de acuerdo de la prestación de servicios entre las partes.

Verificar que existe una persona o equipo de gestión del servicio que monitoree el cumplimiento de los términos y condiciones de seguridad de la información, de los acuerdos y que los


Documento de riesgos. Organigrama del área.

incidentes y problemas de la seguridad de la información se manejan adecuadamente.

Proceso: PLANIFICACIÓN Y ACEPTACIÓN DEL SISTEMA - Previo

Revisar que en las proyecciones de los requisitos de capacidad futura se consideraran los negocios nuevos y los requisitos del sistema, así como las tendencias actuales y proyectadas en la capacidad de procesamiento de información de la organización.


Documento con los criterios de aceptación para los sistemas de información presente y futuro.

Verificar si se llevaron a cabo las pruebas adecuadas para confirmar el cumplimiento pleno de todos los criterios de aceptación antes de la aceptación del sistema de información.


Documento con los criterios de aceptación para los sistemas de información presente y futuro. Bitácora de las pruebas empleadas para confirmar el cumplimiento pleno de todos los criterios de aceptación.

Resultados de las pruebas realizadas.

Revisar si están establecidos los criterios de aceptación para sistemas de información nuevos, actualizaciones y nuevas versiones y se llevan a cabo los ensayos adecuados del sistema durante el desarrollo y antes de la aceptación.




Proceso: PLANIFICACIÓN Y ACEPTACIÓN DEL SISTEMA - Sitio

Verificar que la capacidad de la demanda y las proyecciones de los requerimientos de capacidad futura son monitoreadas para garantizar la disponibilidad de la capacidad y los recursos adecuados para entregar el desempeño requerido del sistema.


Entrevistas.




Verificar que los sistemas de información nuevos, las actualizaciones y las nuevas versiones son migrados a producción después de obtener la aceptación formal.


Entrevistas.


Proceso: PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS Y MÓVILES - Previo

Revisar si existe algún control en contra del uso de software malicioso.


Documento con los controles y procedimientos para el manejo de software y códigos maliciosos. Documento con los controles específicos.

Revisar si existe algún procedimiento para verificar que todos los boletines de alarma sean precisos e informativos con respecto al uso del software malicioso.


Documento con los controles y procedimientos para el manejo de software y códigos maliciosos.

Proceso: PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS Y MÓVILES - Sitio

Verificar si se establecen controles tecnológicos (p. ej., software antivirus) con medidas no técnicas (educación, concienciación y formación).


Documento con los controles y procedimientos para el manejo de software y códigos maliciosos. Registros con procesos de capacitación en seguridad y de las reuniones periódicas con los trabajadores para concientizar sobre la importancia de la seguridad de

la información. Equipo de cómputo para verificar el correcto funcionamiento del antivirus.

Verificar si el antivirus instalado en los equipos verifica y aísla o elimina cualquiera de los virus de la computadora y de los medios de computación.

Revisión de documentos. Pruebas en el sistema.

Equipo de cómputo para verificar el correcto funcionamiento del antivirus.

Verificar que cuándo se autoriza la utilización de códigos móviles, la configuración asegura que dichos códigos operan de acuerdo con la política de seguridad claramente definida, y que se evite la ejecución de los códigos móviles no autorizados.


Documento con los controles y procedimientos para el manejo de software y códigos maliciosos.

Verificar que todo el tráfico proveniente de redes desconocidas dentro de la organización es analizado en busca de virus.

Revisión de documentos. Entrevistas. Pruebas en el sistema.

Equipo de cómputo para validar que toda la información que proviene de redes externas es analizada.

Proceso: RESPALDO - Previo

Revisar si son realizadas regularmente las copias de respaldo de la información.


Documento con los registros de las copias de seguridad realizadas.

Documento con la estrategia de almacenamiento de backups.

Política de manejo de backups.

Procedimiento de continuidad del negocio.

Informes de proceso de validación de recuperación de contingencias con los backups disponibles.

Proceso: RESPALDO - Sitio

Verificar si existen copias de respaldo de la información de los negocios esenciales, tales como servidores de producción, componentes críticos de la red, configuración del backup etc.

Revisión de documentos. Revisión de backups.

Backups de los procesos esenciales del negocio.

Verificar que los medios que almacenan el backup y los procedimientos para restaurarlo son almacenados de manera segura y lejos del sitio actual.


Revisar que los backups y el sitio donde son almacenados cumplen con los requisitos de la norma.

Verificar que los medios que almacenan la copia de respaldo son probados regularmente para asegurarse que éstos pueden ser restaurados dentro del marco de tiempo asignado por el procedimiento operacional para recuperación.


Equipo de cómputo para verificar que las copias son restauradas dentro del marco de tiempo asignado.

Proceso: GESTIÓN DE LA SEGURIDAD DE LAS REDES - Previo

Revisar si existe un documento donde estén establecidos las responsabilidades y procedimientos para la administración de equipos remotos, incluidos los equipos en las áreas de usuarios establecidas.


Documento de responsabilidades y procedimientos para la administración de equipos remotos.

Revisar si existe un control especial para salvaguardar la confidencialidad e integridad en el procesamiento de los datos sobre redes públicas y proteger los sistemas conectados.


Documentos con los procedimientos para la instalación de herramientas de gestión de seguridad y realización de pruebas de detección de vulnerabilidades.


Documentos con los procedimientos para la instalación de herramientas de gestión de seguridad y realización de pruebas de

detección de vulnerabilidades.


Revisar si en los acuerdos sobre los servicios de la red se identificaron e incluyeron las características de seguridad, los niveles de servicio y los requisitos de gestión de todos los servicios de la red, sin importar si los servicios se prestan en la organización o se hayan contratado externamente.



Revisar si las disposiciones de seguridad necesarias para servicios particulares, tales como las características de seguridad, los niveles de servicio y los requisitos de gestión han sido identificadas.




Documento con las amenazas identificadas y las medidas de protección.


Proceso: GESTIÓN DE LA SEGURIDAD DE LAS REDES - Sitio

Verificar si las redes se mantienen y se controlan adecuadamente para protegerlas de las amenazas y mantener la seguridad de los sistemas y aplicaciones que usan la red, incluyendo la información en tránsito.



Verificar si los directores de la red implementan controles que garanticen la seguridad de la información sobre las redes y la protección de los servicios conectados contra el acceso no autorizado.



Manual de funciones del personal autorizado para la

administración de la red.

Proceso: MANEJO DE LOS MEDIOS - Previo

Revisar si existe un procedimiento para la administración de los medios removibles del computador tales como cintas, discos, casetes, memorias y reportes.



Revisar si existe un documento en donde se registre que han sido eliminados elementos sensibles, a fin de mantener un rastro de auditoría.


Bitácora de registro de destrucción de información sensible.

Reportes de eliminación y destrucción de cintas y similares.

Revisar si existen procedimientos para manejar el almacenamiento de la información.


Documento con los procedimientos y políticas para el almacenamiento de datos.

Revisar si estos procedimientos abordan problemas, como la protección contra la divulgación no autorizada de información o el mal uso de ella.


Contratos de personal que incluya restricciones de divulgación de información y mal uso de la misma.

Proceso: MANEJO DE LOS MEDIOS - Sitio

Revisar si todos los datos sensibles o valiosos son encriptados antes de ser transportados para poder tener control de la información en tránsito física y electrónica (a través de las redes).


Documento con los procedimientos de cifrado de la información en curso.

Verificar que los medios de comunicación que ya no son necesarios se eliminan de forma segura y sin peligro utilizando los procedimientos formales.



Verificar si estos procedimientos manejan, procesan, almacenan Revisión de documentos. Documento con

y comunican la información de acuerdo con su clasificación. Entrevistas. procedimientos de manejo de la información según su clasificación.

Verificar que la documentación del sistema está protegida del acceso no autorizado.

Revisión de documentos. Revisión de las instalaciones.

Revisar las condiciones donde está almacenada la documentación.

Verificar que el acceso a la lista del sistema de información es mantenida al mínimo y autorizada por el propietario de la aplicación.


Equipo de cómputo para validar que solo personal autorizado puede ingresar a los archivos específicos del sistema.

Verificar que estos documentos tienen habilitados listas de control de acceso (para que solo sea accesible por un número limitado de usuarios).


Equipo de cómputo para validar que solo personal autorizado puede ingresar a los archivos específicos del sistema.

Proceso: INTERCAMBIO DE LA INFORMACIÓN - Previo

Revisar si existe algún acuerdo formal o informal entre las organizaciones para el intercambio de información y software.



Revisar si el acuerdo aborda problemas de seguridad basados en la sensibilidad de la información de los negocios involucrados.





Revisar si están establecidas políticas, procedimientos y controles formales de intercambio para proteger la información


Documento con políticas y procedimientos para proteger

mediante el uso de todo tipo de servicios de comunicación. la información asociada con la interconexión de los sistemas de información del negocio.

Revisar si existen acuerdos para el intercambio de la información y de software entre la organización y las partes externas.



Revisar si las políticas, procedimientos y normas para proteger la información en los medios físicos y en tránsito están establecidos y referenciados en dichos acuerdos de intercambio.


Documento con políticas y procedimientos para proteger la información asociada con la interconexión de los sistemas de información del negocio.

Revisar si la organización establece, desarrolla e implementa políticas y procedimientos para proteger la información asociada con la interconexión de los sistemas de información del negocio.


Documento con políticas y procedimientos para proteger la información asociada con la interconexión de los sistemas de información del negocio.

Proceso: INTERCAMBIO DE LA INFORMACIÓN - Sitio

Verificar los canales de comunicación alternativos y "pre-autorizados", en especial direcciones de e-mail secundarias por si fallan las primarias o el servidor de correo, y comunicaciones offline por si caen las redes para reducir el estrés en caso de un incidente real.


Equipo de cómputo.

Verificar que la seguridad de los medios de comunicación es tenida en cuenta mientras está siendo transportada.


Revisar las herramientas para verificar que la información que circula por la red de la empresa y más allá de esta, está correctamente encriptada.

Verificar que los medios de comunicación están bien protegidos de accesos no autorizados, mal uso de estos o corrupción durante el transporte más allá de los límites físicos de la organización.



Documento con políticas y procedimientos para proteger

la información asociada con la interconexión de los sistemas de información del negocio

Verificar que la información contenida en la mensajería electrónica tiene la protección adecuada.



Proceso: SERVICIOS DE COMERCIO ELECTRÓNICO - Previo

Revisar si existe un acuerdo de comercio electrónico entre socios comerciales que incluya un acuerdo documentado, que compromete a ambas partes en los términos convenidos de negociación, incluidos los detalles de los problemas de seguridad.



Verificar si estos acuerdos trabajan los 3 aspectos claves (confidencialidad, integridad y disponibilidad) de la seguridad.



Revisar si existe una política establecida para el uso adecuado del correo electrónico o si la política de seguridad aborda los problemas con respecto al uso del correo electrónico.



Revisar si existen algunas pautas establecidas para controlar eficazmente los negocios y los riesgos de seguridad asociados a los sistemas electrónicos de oficina.



Revisar si existen controles establecidos para proteger la integridad de la información a disposición del público de cualquier acceso no autorizado para evitar la modificación no autorizada.


Documentos con la configuración de seguridad de la red

Revisar si existe un proceso formal de aprobación previo a que la información esté disponible al público.


Documento con el procedimiento y las condiciones de aceptación antes de que la información sea puesta al público.

Proceso: SERVICIOS DE COMERCIO ELECTRÓNICO - Sitio

Verificar que la información involucrada en el comercio electrónico que se transmite por las redes públicas está protegida contra actividades fraudulentas, disputas por diferencias contractuales y divulgación o modificación no autorizada.


Documentos con la configuración de seguridad de la red.

Verificar si los controles de seguridad tales como autenticación, autorización, son considerados en el ambiente del comercio electrónico.



Verificar que la información involucrada en las transacciones en línea está protegida para evitar transmisión incompleta, enrutamiento inadecuado, alteración, divulgación, duplicación o repetición no autorizada del mensaje.


Documentos con la configuración de seguridad de la red.

Verificar que los controles involucrados en las transacciones en línea tales como la revisión del antivirus, aislamiento de los archivos adjuntos potencialmente inseguros, control de spam, etc, son puestos en marcha para reducir los riesgos creados por correo electrónico.


Equipo de cómputo para validar los controles de seguridad.

Comprobar que todas las entradas suministradas desde el exterior del sistema son verificadas y aprobadas.


Documento con los procedimientos para garantizar que las entradas del exterior son verificadas y aprobadas.

Equipo de cómputo para validar los controles de seguridad.

Proceso: MONITOREO - Previo

Revisar si se mantiene durante un periodo acordado las grabaciones de los registros de auditoría de las actividades de los usuarios, las excepciones y los eventos de seguridad de la información con el fin de facilitar las investigaciones futuras y el monitoreo del control de acceso.


Documento con los registros de las grabaciones.

Revisar si existe un documento donde se establezcan los procedimientos para el monitoreo del uso de los servicios de


Documento con los procedimientos para el

procesamiento de información. monitoreo del uso de los servicios de procesamiento de información.

Revisar si está establecido el uso de procedimientos de monitoreo para garantizar que los usuarios únicamente ejecutan actividades autorizadas explícitamente.


Documento con los procedimientos para el monitoreo del uso de los servicios de procesamiento de información. Contratos de personal que incluya restricciones de divulgación de información y mal uso de la misma y el alcance de sus actividades.

Revisar que las actividades tanto del operador como del administrador del sistema son registradas.


Bitácora con los resultados de las observaciones de la monitoria.

Revisar que las fallas que se presentan son registradas y analizadas junto con el procedimiento realizado.


Documento con los registros de las fallas que se han presentado y los procedimientos y acciones correctivas.

Revisar si existe un registro de las fallas reportadas por los usuarios o por los programas del sistema relacionadas con problemas de procesamiento de la información o con los sistemas de comunicación.


Documento con las fallas reportadas por los usuarios o programas relacionados con el procesamiento de información o sistemas de comunicación.

Revisar si existe un procedimiento que verifique y corrija cualquier variación significativa en los relojes que varían con el paso del tiempo, lo cual puede ser necesario para las investigaciones o como evidencia en casos disciplinarios o legales.


Documento con los registros de las fallas que se han presentado y los procedimientos y acciones correctivas.

Proceso: MONITOREO – Sitio

Verificar si la organización analiza la criticidad e importancia de los datos que va a monitorizar y cómo esto afecta a los objetivos globales de negocio de la organización en relación a la seguridad de la información.


Documento con los procedimientos para el monitoreo del uso de los servicios de procesamiento de información.

Verificar que los resultados producto del uso de los procedimientos de monitoreo son revisados regularmente.


Documento con los registros de las fallas que se han presentado y los procedimientos y acciones correctivas. Entrevistas.

Revisar si el nivel de monitoreo necesario para servicios individuales se determina mediante una evaluación de riesgos.


Documento con los procedimientos para el monitoreo del uso de los servicios de procesamiento de información.

Verificar que los servicios y la información de la actividad de registro son protegidos contra el acceso o la manipulación no autorizados para que los datos no se puedan modificar, eliminar o poder crear un sentido falso de seguridad.


Equipo de cómputo.

Revisar si existe una función en el sistema para llevar un registro de errores.

Revisión de documentos. Prueba en el sistema.

Equipo(s) de cómputo para validar si hay una función que lleve un registro de los errores.

Verificar si esta función está habilitada. Revisión de documentos. Prueba en el sistema.

Equipo(s) de cómputo para validar si hay una función que lleve un registro de los errores.

Verificar que los relojes de todos los sistemas de procesamiento de información pertinentes dentro de la organización o del dominio de seguridad deberían estar sincronizados con una fuente de tiempo exacta y acordada.

Revisión de documentos. Prueba en el sistema.

Equipo(s) de cómputo para validar que los equipos trabajan con la misma hora.


Aspecto : Cumplimiento

Proceso: CUMPLIMIENTO DE LOS REQUISITOS LEGALES - Previo

Actividades a cumplir Forma de validación Recursos requeridos Fecha Hora

Revisar si existe un documento donde hayan sido definidos explícitamente los estatutos relevantes, regulaciones y requerimientos contractuales para cada sistema de información.


Documento con los estatutos relevantes, regulaciones y requerimientos contractuales para cada sistema de información.

Documento declaración de aplicabilidad.

Revisar si existe un documento donde estén especificados los controles y las responsabilidades individuales para cumplir con estos requisitos.


Documento con los estatutos relevantes, regulaciones y requerimientos contractuales para cada sistema de información.

Revisar si se tiene en cuenta que los requisitos legales varían de un país a otro y pueden variar para la información creada en un país y que se transmite a otro (es decir, el flujo de datos trans-fronterizo).


Actas de visitas de la SIC (Superintendencia de industria y comercio) que avalen el buen uso y manejo de las herramientas de procesamiento de la información y de los datos personales garantizando el derecho al habeas data.

Revisar si la organización se cerciora si al país donde van a ser enviados los datos, cumple con los estándares fijados por la Superintendencia de Industria y Comercio (SIC) sobre el flujo de datos transfronterizo.


Actas de visitas de la SIC (Superintendencia de industria y comercio) que avalen el buen uso y manejo de las herramientas de procesamiento de la información y de los datos personales garantizando el

derecho al habeas data.

Revisar si existen procedimientos para garantizar el cumplimiento de las restricciones legales sobre el uso de los materiales en los que puede haber derechos de propiedad intelectual, tales como derechos de autor, derechos de diseño, marcas.


Documento con procedimiento sobre el manejo de información con derechos de propiedad intelectual.

Revisar si se pueden realizar copias de seguridad propias del software.


Contrato de arrendamiento/compra de software.

Revisar que los registros importantes están protegidos contra pérdida, destrucción y falsificación, de acuerdo con los requisitos estatutarios, reglamentarios, contractuales y del negocio.


Documento de políticas de seguridad de la información.

Revisar si los registros están clasificados en tipos de registro cada uno con detalles de los periodos de retención y los tipos de medio de almacenamiento como papel, microfichas, medios magnéticos, ópticos, etc.


Registros con su respectiva tabla de retención documental.

Revisar si existe una estructura de gestión y control establecida para proteger los datos y la privacidad de la información personal.



Revisar si esta política de protección y privacidad de los datos cumple con la legislación y los reglamentos pertinentes, y se aplica a las cláusulas del contrato.


Documento con la legislación y los reglamentos pertinentes a la protección y privacidad de los datos personales.

Revisar si el uso de las instalaciones de procesamiento de información para cualquier propósito no comercial o no autorizado, sin la aprobación de la administración se considera como un uso inadecuado de las instalaciones.


Políticas de seguridad en cuanto al uso de las instalaciones y el personal autorizado para ingresar a ellas

Verificar que se tiene asesoría legal para garantizar el cumplimiento con las leyes y los reglamentos nacionales.


Organigrama de la organización.

Verificar que los controles criptográficos cumplen todos los acuerdos, las leyes y los reglamentos pertinentes.


Revisar el documento con los requisitos para el cumplimiento de la ley de los controles criptográficos

Proceso: CUMPLIMIENTO DE LOS REQUISITOS LEGALES - Sitio

Verificar que los procedimientos para garantizar el cumplimiento de las restricciones legales sobre el uso de los materiales están bien implementados.



Verificar que los sistemas de almacenamiento de datos son seleccionados de forma tal que los datos requeridos se puedan recuperar en el periodo de tiempo y el formato aceptable, dependiendo de los requisitos que se deben cumplir.


Equipo de cómputo para validar que los datos que estén almacenados y sean solicitados, se recuperen en el formato y tiempo establecido.

Verificar que el sistema de almacenamiento y manipulación garantiza la identificación de los registros y de su periodo de retención tal como se define en los reglamentos o la legislación nacional o regional.

Revisión de documentos. Revisión de las instalaciones. Pruebas en el sistema.

Equipo de cómputo.

Verificar si esta política de protección y privacidad de los datos es comunicada a todas las personas involucradas en el procesamiento de información personal.


Actas y/o comunicados dirigidas al personal de la organización donde se les informe sobre la política de protección y privacidad de datos.

Verificar que en el momento del registro de inicio, existe un mensaje de advertencia que indique que el servicio de procesamiento de información al cual se está ingresando es propiedad de la organización y que no se permite el acceso no autorizado.


Equipo de cómputo para validar el registro al inicio.

Verificar que se tiene asesoría legal para garantizar el cumplimiento con las leyes y los reglamentos nacionales.


Personal de las instalaciones.

Verificar que los controles criptográficos cumplen todos los acuerdos, las leyes y los reglamentos pertinentes.


Documento con los requisitos para el cumplimiento de la ley

de los controles criptográficos. Organigrama.

Proceso: CUMPLIMIENTO DE LAS POLÍTICAS Y LAS NORMAS DE SEGURIDAD Y CUMPLIMIENTO TÉCNICO - Previo

Revisar si se registran los resultados de las revisiones y las acciones correctivas llevadas a cabo por los directores.


Documento con las revisiones y acciones correctivas del cumplimiento de las políticas, cumplimiento técnico y normas de seguridad. Actas, ó informes de evaluaciones periódicas.

Proceso: CUMPLIMIENTO DE LAS POLÍTICAS Y LAS NORMAS DE SEGURIDAD Y CUMPLIMIENTO TÉCNICO - Sitio

Verificar que es considerado dentro de todas las áreas de la organización una revisión periódica para asegurar el cumplimiento de las políticas de seguridad, estándares y procedimientos.



Verificar que la comprobación de la conformidad técnica se lleva a cabo por, o bajo la supervisión de personas competentes y autorizadas.


Contratos de auditorías con perfiles de los expertos.

Verificar que los sistemas de información son controlados regularmente para cumplir con la implementación de los estándares de seguridad.



Proceso: CONSIDERACIONES DE LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN - Previo

Revisar si existen controles para salvaguardar los sistemas operativos y las herramientas de auditoría durante las auditorías de los sistemas de información para evitar el uso inadecuado.


Documento con los controles para salvaguardar los sistemas operativos y las herramientas de auditoría. Documentos con las políticas de seguridad y procedimientos para salvaguardar las herramientas de auditoría de los sistemas de información.

Documentos con procesos de manejo de información durante la auditoría.

Procedimientos para el desarrollo de pruebas de auditoria.

Procedimientos para el manejo del software de auditoria.

Proceso: CONSIDERACIONES DE LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN - Sitio

Verificar que los requisitos de auditoría y las actividades que implican controles de los sistemas operativos son cuidadosamente planificados y acordados para minimizar el riesgo de interrupciones en el proceso de negocio.


Documentos con los requisitos de auditoría y plan de actividades para no interrumpir las actividades del negocio.

Verificar que el acceso a las herramientas de auditoría del sistema, como los archivos de software o los datos están protegidos para evitar cualquier posible mal uso o compromiso.


Revisión de las instalaciones. Equipo de cómputo para revisar configuraciones de seguridad. Acuerdos de confidencialidad con los auditores y las firmas de auditoría.

Verificar que las herramientas de auditoría de los sistemas de información, por ejemplo, software o archivos de datos, están separados de los sistemas operativos y de desarrollo y no se mantienen en librerías de cinta, salvo que se les proporcione un nivel adecuado de protección adicional.


Documentos con las políticas de seguridad y procedimientos para salvaguardar las herramientas de auditoría de los sistemas de información.

En este proyecto de grado se presenta el procedimiento empleado para desarrollar la guía de

procesos de auditoría interna para la seguridad de la información soportada en TIC´s, para

los aspectos “Gestión de comunicaciones y operaciones” y “Cumplimiento” usando la

herramienta para el modelado y sistematización de procesos Bizagi.

Adicionalmente, se describe todo el diseño metodológico y los aspectos a tener en cuenta

en la realización de una auditoría y termina con una auditoría en una empresa colaboradora

donde se validaron los modelos sistematizados.

Para realizar el modelado y sistematización de los procesos se desarrollaron 4 etapas:

Modelado

1. Modelamiento de los procesos.

Para realizar el modelado de los aspectos mencionados anteriormente, se utilizó el estándar

BPMN (Bussiness Process Modeler Notation), las actividades que se emplearon en estos

modelos se obtuvieron a través de un análisis exhaustivo de 3 guías realizadas por expertos

en seguridad de la información (ISO 27k ISMS auditing guideline [1], Checklist SANS

Institute [2] y el NTC-ISO/IEC 27002 [3]), de las cuales se tomaron todos los controles que

tenían en común y algunas actividades particulares de cada documento hasta que finalmente

se obtuvo un compendio con un total de 112 actividades repartidas de la siguiente manera:

Gestión de comunicaciones y operaciones (84):

Actividades previas: 43

Actividades en sitio: 41

Cumplimiento (28):

Actividades previas: 15

Actividades en sitio: 13

Cabe resaltar que el proceso de auditoría se dividió en 2 momentos, una etapa previa para la

recolección y análisis de la información relevante sobre los procesos de la organización, y

la auditoría en sitio para inspeccionar que todo lo que estaba en la documentación si estaba

siendo cumplido.

Sistematización

2. Definición del modelo de datos:

El modelo de datos representa la información que se requiere almacenar para cada proceso

y están relacionados con las actividades [4], en él se consideran las formas de evaluar cada

aspecto, Todo está correcto, Observaciones, No conformidad mayor, No conformidad

menor, así como el control, que permiten al auditor continuar con la auditoría y algunas

variables propias para definir el flujo del proceso.

3. Definición de formas [5].

Son las interfaces que serán visualizadas en una aplicación por el usuario final en la interfaz

web de Bizagi.

Para este proceso se definieron 3 formas, una para la verificación y/o revisión de

actividades, una forma para la declaración de no conformidad y una forma de resumen.

4. Definición de reglas [6].

En esta sección se definen las expresiones y las acciones de los eventos.

Finalmente, para validar los procesos modelados, se consultaron expertos en el área con

conocimientos en la norma ISO 27001:2005 y ellos corroboraron que lo que estaba allí

plasmado si cumplía con su objetivo. Una vez se obtuvo la aprobación por parte de estos, se

hizo una auditoria en una empresa colaboradora donde se utilizó la herramienta

sistematizada, en donde se obtuvieron hallazgos importantes tanto para la empresa como

para el desarrollo de futuros proyectos que involucren el uso de la herramienta Bizagi.

REFERENCIAS

[1] ISO 27k ISMS auditing guideline. Disponible en:

http://www.iso27001security.com/html/27001.html

[2] Checklist SANS institute. Disponible en:

http://www.sans.org/score/checklists/ISO_17799_checklist.pdf

[3] NTC-ISO/IEC 27002. Disponible en:

[4] http://help.bizagi.com/bpmsuite/es/index.html?modelo_de_datos.htm

[5] Bizagi, Bizagi BPM Suite, Descripción Funcional, Disponible en internet en

http://www.bizagi.com/docs/BizAgi%20Descripcion%20Funcional.pdf, p.12

[6] http://help.bizagi.com/bpmsuite/es/index.html?ruta_del_proceso.htm

módulo de gestión de auditoría soportado en tic...

Documents