TallerAUDPTI1020101G03

Auditoria de Sistemas - CHAuditoria Consultores S.A.
Contenido
Auditoria de Sistemas - CHAuditoria Consultores S.A......................................................................... 1
Equipo Auditor ................................................................................................................................ 3
Mauricio Amaya Ríos Cod: 907002 ................................................................................................. 3
Leidy Alejandra Galeano Arias Cod: 907017 ................................................................................... 3
Proceso a auditar: PO8 Administrar la Calidad. .............................................................................. 3
Objetivos de la auditoria ............................................................................................................. 3
Alcance ........................................................................................................................................ 3
Herramientas............................................................................................................................... 3
Proceso a auditar: DS2 Administrar los Servicios de Terceros........................................................ 5
Objetivos de la auditoria ............................................................................................................. 5
Alcance ........................................................................................................................................ 5
Herramientas............................................................................................................................... 5
Proceso a auditar: DS4 garantizar la continuidad del servicio ........................................................ 7
Objetivos de la aduitoria ............................................................................................................. 7
Alcance ........................................................................................................................................ 7
Personas Auditadas ..................................................................................................................... 7
Herramientas............................................................................................................................... 7
Proceso a auditar: DS9 Administrar la configuración ................................................................... 10
Objetivos de la aduitoria ........................................................................................................... 10
Alcance ...................................................................................................................................... 10
Personas Auditadas ................................................................................................................... 10
Herramientas............................................................................................................................. 10
Equipo Auditor
Mauricio Amaya Ríos Cod: 907002
Leidy Alejandra Galeano Arias Cod: 907017
Proceso a auditar: PO8 Administrar la Calidad.
Objetivos de la auditoria
 Comprobar que se estén llevando a cabo los procesos de calidad bajo los estándares
propuestos.
 Evidenciar la existencia de un Sistema de Administración de la Calidad que genere
confianza en las diferentes transacciones del negocio.
 Evaluar la satisfacción de los usuarios finales del sistema, en cuanto a servicio y niveles de
servicio.
 Determinar si el Sistema de Administración de la Calidad se ha implementado y mantenido
apropiadamente.
 Identificar las áreas de mejora potencial.
 Examinar si la administración del proceso de Gestión de la Calidad satisface los
requerimientos del negocio.
Alcance
El alcance describe todo el Sistema de Administración de la Calidad, procedimientos y normas de
calidad aplicadas al para la implantación del sistema dentro de los procesos de la planeación
estratégica, la información administrativa, mejoramiento del Sistema de Administración y control
de la Calidad, gestión tecnológica.
Herramientas
Encuesta
1. ¿Existe en la organización un Sistema de Administración de la Calidad que cumpla con los
estándares y prácticas de desarrollo y adquisición para los procesos de TI?
2. ¿Los requerimientos, estándares y prácticas de TI se encuentran enfocados a la
administración de la calidad en los clientes?
3. ¿Se encuentran definidas e implementadas las mediciones para evaluar el cumplimiento
efectivo del Sistema de Administración de la calidad?
4. ¿Se mantiene y comunica regularmente un plan de calidad para la mejora continua?
5. ¿Se ha desarrollado un programa de entrenamiento para comunicar y enseñar a todos los
empleados de la organización acerca del tema de calidad?
6. ¿Se han definido unas perspectivas de calidad dentro de la gestión de proyectos y
organización de TI?
7. ¿El sistema de administración de la calidad se encuentra implicado en todos los procesos,
incluso los que dependen de terceros?
8. ¿Se realizan encuestas de satisfacción de la calidad por parte de los usuarios?
9. ¿Estas encuestas se realizan constantemente?
10. ¿Las encuestas de satisfacción de calidad llevan hacia un análisis de los procesos de
calidad y posibles mejoras?
11. De acuerdo a dicho análisis qué medidas se toman para el mejoramiento de la calidad en
la organización.
12. ¿Existe un programa bien constituido para la medición de la calidad?
13. ¿El sistema de administración de la calidad se aplica a todas las actividades de TI?
Pruebas de Cumplimiento
Documentos que deben ser verificador para corroborar las respuestas de la encuesta anterior:





Encuesta de satisfacción de calidad.
Resultados de encuestas de satisfacción de calidad.
Planes de mejoramiento de la calidad.
Documento que comprueba la existencia de capacitaciones o entrenamiento de los
empleados en el área de calidad.
Procesos de TI revisados por el sistema de administración de la calidad que satisfacen los
objetivos de calidad.
Proceso a auditar: DS2 Administrar los Servicios de Terceros
Objetivos de la auditoria





Verificar que los servicios brindados por terceros sean satisfactorios y tranparentes en
cuanto a costos y beneficios.
Identificar si todos los servicios de los proveedores están jerarquizados de acuerdo al
grado de importancia del servicio prestado.
Comprobar la calidad de las relaciones con los proveedores en cuanto al acuerdo de nivel
de servicio.
Asegurar que los contratos estén de acuerdo con los requerimientos legales.
Revisar si se cuenta con procesos para monitorear la prestación de los diferentes servicios
prestados por proveedores y si estos se están cumpliendo de acuerdo a las
especificaciones acordadas inicialmente.
Alcance
Dentro del alcance se evaluarán procesos de contratación y negocios con proveedores, la
administración de riesgos la cual además debe considerar acuerdos confidenciales, sanciones e
incentivos que se han realizado, contratos de garantía, conformidad con los requisitos de
seguridad.
Herramientas
Entrevista
1. ¿Existe algún método para la evaluación de servicios prestados por proveedores?
2. ¿Se cuentan con SLA’s (acuerdos de nivel de servicio); es decir, reportes donde se
especifique el nivel acordado para la calidad del servicio?
3. ¿Se identifican y categorizan las relaciones de los servicios de terceros?
4. ¿La organización cuenta con políticas y procedimientos formales respecto a la
contratación de terceros?
5. ¿Existe un plan de riesgos para los servicios prestados por terceros?
6. ¿Las capacidades y riesgos del proveedor son verificadas de forma continua?
7. ¿Se tiene un proceso formal para la supervisión de los proveedores de servicios de
terceros?
8. ¿Hay métodos documentados para controlar los servicios de terceros y negociar con los
proveedores?
9. ¿Los contratos con proveedores están basados en formatos estandarizados?
10. ¿Existen los KPI’s (Indicadores Clave de Desempeño) y KGI’s (indicadores claves de metas)
para medir el desempeño de los procesos con proveedores?
11. ¿Se revisan de forma periódica los contratos realizados con terceros?
12. ¿Se hacen revisiones periódicas del desempeño de los proveedores?
13. ¿Se evalúa la satisfacción de los clientes en los servicios prestados por terceros?
Pruebas de Cumplimiento
 SLA’s
 KPI’s
 KGI’s
 Catalogo de los proveedores
 Reportes de desempeño de los procesos
 Contratos
 Requerimientos de administración de relaciones con terceros
Proceso a auditar: DS4 garantizar la continuidad del servicio
Objetivos de la aduitoria
 Analizar si la compañía cuentas con algún tipo de planes de contingencia para garantizar la
continuidad de los servicios de TI dentro de la organización.
 Determinar la madurez y cobertura de los planes de contingencia, en caso de que la
organización los tenga, sobre los procesos críticos del negocio.
 Analizar el impacto que puede causar sobre el quehacer de la organización la falla de los
servicios de TI que no cuentan con un plan de continuidad del servicio.
 Establecer la participación de las TI en los planes de contingencia en la organización.
 Analizar si el área de TI tiene adecuadamente asignados los roles y responsabilidades en
los planes de continuidad del servicio y en los controles preventivos.
 Determinar si la organización está preparada adecuadamente para fallos en sus sistemas.
Alcance
La auditoria analizara todos los programas o políticas que intenten garantizar que el
funcionamiento de los servicios de TI dentro de la compañía sea continuo y permanente y los
controles actuales que garanticen la continuidad de los servicios prestados por las TI. Además se
verificará que los planes de contingencia organizacionales tienen en cuenta las TI como elementos
críticos del negocio.
Personas Auditadas
Las personas encargadas de la gestión del área de sistemas, o que tengan como función el Análisis
de Riesgos o la planificación de planes de contingencias asociados a las TI.
Herramientas
Para el desarrollo de la auditoria proponemos el uso de dos herramientas: una entrevista sobre las
características técnicas que tiene el sistema para garantizar que el sistema continuara su
funcionamiento y la segunda para obtener información sobre los planes de continuidad del
servicio que se han desarrollado en ella.
Entrevista técnica
1. ¿Existe alguna fuente de energía alterna que garantice el funcionamiento
continuo del centro de cómputo?
2. ¿Existe algún procedimiento, como la creación de backup’s, que garantice la
recuperación de los datos en el caso de algún fallo del sistema?
3. ¿Existen responsables designados para la realización de estas copias?
4. ¿Se llevan a cabo pruebas de los procedimientos de recuperación de datos?
5. ¿Existen procedimientos para asegurar que estas copias están adecuadamente
protegidas y solo disponibles para el personal especialmente autorizado?
6. ¿Actualmente la organización posee alguna alternativa que permita la
continuidad del desarrollo de los procesos normales, luego de una falla total en
el sistema principal?
7. Explicación: Algún tipo de centro de procesamiento alternativo que pueda
permitir la continuidad de las actividades matutinas.
8. ¿Existe una asignación de responsabilidades por actividades en caso de que se
deba llevar a cabo algún proceso de recuperación?
9. ¿Existe algún procedimiento para la documentación de recuperación de
desastres?
10. ¿Existe un repositorio de información sobre desastres ocurridos anteriormente
que provean un panorama para posibles errores a futuro?
11. ¿Se lleva a cabo dentro de la organización algún tipo de registro sobre los
errores más comunes, que permita un análisis de probabilidad de ocurrencia de
fallas?
Entrevista de Planificación de TI
1. ¿Existe dentro de la organización algún marco de continuidad de TI que tome
en cuenta la estructura organizacional de la empresa y cada una de sus
procesos?
2. ¿Se lleva a cabo revisiones periódicas del marco de continuidad de TI?
3. ¿Qué áreas de la organización participan de la creación y mantenimiento de
este marco de continuidad?
4. ¿Se ha desarrollado un análisis de riesgo que involucre las TI dentro de los
procesos críticos de la organización?
5. ¿Se priorizan estos procesos críticos de TI al momento de la asignación de
recursos?
6. ¿Se lleva a cabo un seguimiento prioritario a los procesos críticos de TI de la
organización?
7. ¿Se han probado los planes de continuidad del servicio para verificar si son
efectivos?
8. ¿Se lleva a cabo un proceso de comunicación a todas las áreas de la
organización de estos planes de continuidad?
9. ¿Existe algún tipo de entrenamiento a los usuarios involucrados con los
procesos críticos de la organización en caso de algún altercado?
Entrevista de verificación de Capacitaciones
Este cuestionario está orientado a determinar si los empleados de la organización han participado
de manera activa de las capacitaciones que el algún momento la organización pudo haber llevado
a cabo. En caso de que no se hayan llevado a cabo las capacitaciones, se debe hacer caso omiso de
él.
1. ¿Conoce usted los planes de continuidad de TI que posee la organización?
Si__ No__
2. ¿Ha participado usted activamente de la creación de este plan de continuidad?
Si__ No__
3. ¿Ha participado usted de la creación de algún plan de contingencia que garantice la
continuidad de la prestación de servicios de TI?
Si__ No__
Cuales: _______________________________________________________________
4. ¿Su organización ha realizado capacitaciones para la preparación de planes de
contingencia al momento de que ocurra algún desastre o altercado?
Si __ No __
Cuantas: __
5. ¿Cada cuanto tiempo se llevan a cabo las capacitaciones?
_____
6. ¿Ha participado usted de algún tipo de prueba de un plan de continuidad de TI dentro de
la organización?
Si__ No__
Pruebas de cumplimiento
Documentos que deben ser verificados:
1.
2.
3.
4.
5.
Plan de continuidad del Servicio de TI.
Análisis de riesgo de TI.
Comprobantes de asistentes a capaciones sobre el pan de continuidad.
Fuente alterna de suministro de energía.
Respaldo de datos.
6. Plan de almacenamiento de respaldo de datos.
7. Asignación de roles y responsabilidades por actividades en capacitación, distribución,
pruebas y recuperación de desastres.
8. Requerimientos de resistencia de los recursos de TI.
9. Procesos de recuperación de desastres.
10. Procesos de comunicación.
11. Enfoque de pruebas.
12. Resultados de pruebas.
13. Registro de Actualizaciones.
Proceso a auditar: DS9 Administrar la configuración
Objetivos de la auditoria
 Analizar el nivel de gestión de configuración que posee la compañía relativa a todo el
hardware y software que posee.
 Determinar la magnitud de la desviación entre los repositorios de configuración de los
activos de la organización y el estado real de estos.
 Establecer si la organización cuenta con una asignación de roles y responsabilidades para
la gestión de configuración de las TI.
 Establecer si la organización cuenta con una conciencia de utilización de software solo
original y autorizado.
 Identificar si las políticas organizacionales dirigidas a la utilización de solo software
autorizado son efectivas.
Alcance
Llevar a cabo un análisis de todos los documentos relacionados con la configuración del hardware
y del software que la compañía posee, y si posee políticas internas que garanticen que la
información relacionada estará actualizada en todo momento. Además verificar si posee algún
tipo de sistema que permita recopilar toda la información relacionada y su cobertura en los
procesos de TI de la organización.
Personas Auditadas
Las personas encargadas de la gestión del área de sistemas en especial las encargadas de la
gestión de configuración de la empresa, y de la instalación y la actualización del hardware y
software que esta posee.
Herramientas
Entrevista técnica
1. ¿Existe un inventario de software instalado, utilizado y adquirido por la organización?
2. ¿Se realiza su actualización de forma periódica cada vez que se adquiere y/o instala
software?
3. ¿Se comprueba que se han incluido todos los ordenadores existentes en la realización del
inventario?
4. ¿Existe un responsable encargado de la gestión de la configuración de los recursos de TI?
5. ¿Existe una definición de responsabilidades de los usuarios, técnicos y responsables de
adquisición de software con respecto a software original?
6. ¿Existen políticas diseñadas especialmente para asegurar la adquisición de software
original y evitar copias personales no autorizadas?
7. ¿Se incluye en los contratos de las personas alguna clausula que se pueda aplicar en caso
de la utilización de software no autorizado o la realización de copias no autorizadas?
8. ¿Existe un procedimiento de control para asegurar que las nuevas versiones o
actualizaciones se instalan de acuerdo a las licencias originales, o ultima renovación de las
mismas?
9. ¿Existe en la organización algún tipo de repositorio o software que permita la
administración del inventario del software instalado y la gestión de la configuración de las
TI?
10. En caso de que exista, ¿Es este repositorio usado concurrentemente y actualizado
periódicamente?
11. Existe un responsable de la administración de este repositorio.
Pruebas de cumplimiento
1.
2.
3.
4.
Inventario de Software Instalado
Comprobantes de auditorías de licenciamiento de software realizadas
Asignación de roles y responsabilidades de gestión de configuración
Repositorio de Configuración