Aplicación de Instrumentos Para Los Procesos Seleccionados
DILIGENCIAMIENTO DE INSTRUMENTOS DE AUDITORIA Fuentes de conocimiento: PO9 Evaluar y administrar los riesgos de TI CUAD
Views 57 Downloads 0 File size 246KB
Recommend stories
- Author / Uploaded
- neofares
- Categories
- Cobit
- Software
- Software antivirus
- Malware
- Red de computadoras
Citation preview
DILIGENCIAMIENTO DE INSTRUMENTOS DE AUDITORIA Fuentes de conocimiento: PO9 Evaluar y administrar los riesgos de TI
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA
ENTIDAD AUDITADA PROCESO AUDITADO
RE F
PAGINA 1 DE 1
Colegio Mundo de Praga Proceso de gestión de riesgos informáticos
RESPONSABLE
Carlos Mauricio Rosero
MATERIAL DE SOPORTE
COBIT 4.1
DOMINIO
Planear y Organizar (PO)
PROCESO
PO9 Evaluar y administrar los riesgos de TI
FUENTES DE CONOCIMIENTO
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION
Documento de Manual de riesgos Sistema de control interno Metodología de evaluación de riesgos
Verificar la existencia de documentos respecto a los manuales de riesgos, sistemas de control interno, manuales de convivencia, Existencia de una metodología para la administración de riesgos. Riesgos detectados y su tratamiento.
Medición de resultados de la eficacia y eficacia de los controles existentes. Aplicación de la metodología de administración de riesgos. Comprobar la aplicación de controles frente a los riesgos detectados.
Entrevista: Evaluar y administrar los riesgos de TI ENTREVISTA DOMINIO
Planear y Organizar (PO)
PROCESO
OBJETIVO DE CONTROL Nº CUESTIONARIO ¿El colegio cuenta con una metodología para la administración de los riesgos informáticos? ¿Se realiza la evaluación de los riesgos que pueden afectar la 1 infraestructura tecnológica de la institución, mediante la utilización de una metodología? ¿Se utilizan métodos cualitativos o cuantitativos para medir la 2 probabilidad e impacto de los riesgos que pueden afectar la infraestructura tecnológica? ¿Se cuenta con un sistema de control para mitigar los riesgos que pueden afectar la infraestructura tecnológica del colegio frente a las 3 vulnerabilidades y amenazas, que vulnerabilidades y amenazas son las más frecuentes?, se realiza monitoreo periódico de riesgos?.
PO9 Evaluar y administrar los riesgos de TI RESPUESTA
En el colegio no se realiza procedimiento alguno que tenga que ver con evaluación de riesgos. No se realizan mediciones de probabilidad de impacto de los riesgos.
Lista chequeo: Evaluar y administrar los riesgos de TI LISTA CHEQUEO DOMINIO
Planear y Organizar (PO)
PROCESO
PO9 Evaluar y administrar los riesgos de TI
OBJETIVO DE CONTROL Nº
PO9.1 Marco de trabajo de administración de riesgos:
ASPECTO EVALUADO
CONFORME
SI
NO
OBSERVACIÓN
¿Existe un marco de referencia para la evaluación sistemática de 1 los riesgos a los que está x expuesta la infraestructura tecnológica de la institución? OBJETIVO DE PO9.2 Establecimiento del Contexto del Riesgo: CONTROL ¿Se realiza la evaluación de los riesgos que pueden afectar la 2 infraestructura tecnológica x mediante la utilización de una metodología? OBJETIVO DE PO9.3 Identificación de eventos: CONTROL ¿Se realiza actualización de los diferentes tipos de riesgos que 3 x pueden afectar la infraestructura tecnológica? OBJETIVO DE PO9.4 Evaluación de los riesgos de TI: CONTROL ¿Se utilizan métodos cualitativos o cuantitativos para medir la 4 probabilidad e impacto de los x riesgos que pueden afectar la infraestructura tecnológica? OBJETIVO DE PO9.5 Respuesta a los riesgos: CONTROL ¿Existe un plan de acción para mitigar los riesgos de la 5 x infraestructura tecnológica de forma segura? OBJETIVO DE PO9.6 Mantenimiento y monitoreo de un plan de CONTROL acción de riesgos: ¿Se monitorea el plan de acción 6 en contra de los riesgos de la x infraestructura tecnológica?
Cuestionario: Evaluar y administrar los riesgos de TI CUESTIONARIO CUANTITATIVO ENTIDAD AUDITADA PROCESO AUDITADO RESPONSABLES MATERIAL DE SOPORTE DOMINIO
Colegio Mundo de Praga
REF PAGINA 1 DE 1
Infraestructura Tecnológica Dey Yama – Carlos Mauricio Rosero COBIT 4.1 Planear y Organizar (PO)
OBJETIVO DE CONTROL
PROCES O
PO9 Evaluar y administrar los riesgos de TI
N PREGUNTA SI NO NA REF 1 ¿Existe un marco de referencia para la 3 evaluación sistemática de los riesgos a los que está expuesta la infraestructura tecnológica de la institución? 2 ¿Se realiza la evaluación de los riesgos 4 que pueden afectar la infraestructura tecnológica mediante la utilización de una metodología? 3 ¿Se realiza actualización de los 4 diferentes tipos de riesgos que pueden afectar la infraestructura tecnológica? 4 ¿Se utilizan métodos cualitativos o 4 cuantitativos para medir la probabilidad e impacto de los riesgos que pueden afectar la infraestructura tecnológica? 5 ¿Existe un plan de acción para mitigar 4 los riesgos de la infraestructura tecnológica de forma segura? 6 ¿Se monitorea el plan de acción? 3 TOTAL 0 22 TOTAL CUESTIONARIO 22 Porcentaje de riesgo parcial = (0 * 100) / 22 = 0 Porcentaje de riesgo total = 100 – 0 = 100 PORCENTAJE RIESGO 48,98% (Riesgo Alto) Interpretar este resultado
Fuentes de conocimiento: Adquirir y Mantener Software Aplicativo CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA ENTIDAD AUDITADA PROCESO AUDITADO
REF
PAGINA 1 DE 1 Adquisición y mantenimiento de plataforma Académica Gawss Colegio Mundo de Praga
RESPONSABLE
Carlos Mauricio Rosero
MATERIAL DE SOPORTE
COBIT 4.1
DOMINIO
Adquirir e implementar (AI)
PROCESO
AI2 Adquirir y Mantener Software Aplicativo
FUENTES DE CONOCIMIENTO
Contrato
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION de
Licencia de uso de software.
Revisión de contrato de uso del software de la plataforma académica frente al modelo de contrato informático de licencias de uso Revisión de módulos en operación Documentos de
Revisión de cumplimiento del contrato frente a los módulos operados, el proceso de capacitación, el proceso de actualización, soporte y mantenimiento.
actualizaciones realizadas Documento de soporte de soporte y mantenimiento del software Documento de capacitación y personal capacitado para el manejo del software.
Entrevista: Adquirir y Mantener Software Aplicativo ENTREVISTA Adquirir e implementar AI2 Adquirir y Mantener DOMINIO PROCESO (AI) Software Aplicativo OBJETIVO DE CONTROL Nº CUESTIÓN RESPUESTA No se realizan controles de ¿Conoce si existen controles de procesamiento disponibilidad procesamiento, seguridad y 1 sobre el software contratado, pero disponibilidad sobre el software sí de seguridad para el ingreso a (Gawss) contratado por la institución? él. ¿Considera que el software Gawss Efectivamente, el software gawss realiza todos los procedimientos para si realiza todos los procedimientos 2 las cuales fue contratado por el que le fue solicitado a sus colegio? desarrolladores. Si se cuenta con el contrato, pero ¿Sabe si el colegio tiene firmado un en lo que hace relación al contrato de Licencia de uso de mantenimiento del mismo no 3 software, con el desarrollador del tengo conocimiento si este está aplicativo Gawss, y si en este se estipulado en algún aparte del incluye un plan de mantenimiento? mencionado documento.
Lista chequeo: Adquirir y Mantener Software Aplicativo LISTA CHEQUEO Adquirir e implementar AI2 Adquirir y Mantener PROCESO (AI) Software Aplicativo AI2.3 Control y Posibilidad de Auditar las OBJETIVO DE CONTROL Aplicaciones DOMINIO
Nº
ASPECTO EVALUADO
CONFORME
SI
NO
OBSERVACIÓN
¿Existen controles de procesamiento sobre el software 1 X (Gawss) contratado por la institución? OBJETIVO DE AI2.4 Seguridad y Disponibilidad de las Aplicaciones CONTROL ¿Se verifica periódicamente la seguridad y disponibilidad del 2 X software (Gawss) contratado por la institución? OBJETIVO DE AI2.5 Configuración e Implantación de Software CONTROL Aplicativo Adquirido: ¿El software Gawss realiza todos 3 los procedimientos para las cuales X fue contratado por el colegio? OBJETIVO DE AI2.7 Desarrollo de Software Aplicativo: CONTROL 4
5
¿El colegio tiene firmado un contrato de Licencia de uso de software, con el desarrollador del software Gawss? ¿Los desarrolladores informan sobre las actualizaciones del sistema?, ¿Los desarrolladores brindan el soporte y mantenimiento cuando se requiere por parte del colegio?, ¿cuál es el tiempo de respuesta a esas solicitudes?
X
OBJETIVO DE AI2.10 Mantenimiento de Software Aplicativo: CONTROL 6 ¿Se realiza copias de seguridad x de la información como parte del
mantenimiento?, ¿Existe un plan de mantenimiento para el software Gawss durante el año lectivo?
Cuestionario: Adquirir y Mantener Software Aplicativo CUESTIONARIO CUANTITATIVO ENTIDAD AUDITADA PROCESO AUDITADO RESPONSABLES MATERIAL DE SOPORTE DOMINIO
REF
Colegio Mundo de Praga 1 Infraestructura Tecnológica Dey Yama – Carlos Mauricio Rosero COBIT 4.1 Adquirir e implementar (AI)
PROCES O
N PREGUNTA 1 ¿Existen controles de procesamiento sobre el software (Gawss) contratado por la institución? 2 ¿Se verifica periódicamente la seguridad y disponibilidad del software (Gawss) contratado por la institución? 3 ¿El software Gawss realiza todos los procedimientos para las cuales fue contratado por el colegio? 4 ¿El colegio tiene firmado un contrato
SI 4
AI2 Adquirir y Mantener Software Aplicativo
NO NA
REF
4
5
5
de Licencia de uso de software, con el desarrollador del software Gawss?
5
PAGINA DE 1
¿Existe un plan de mantenimiento para 4 el software Gawss? TOTAL 18 4 TOTAL CUESTIONARIO 22 Porcentaje de riesgo parcial = (18 * 100) / 49 = 81,81 Porcentaje de riesgo total = 100 – 81,81= 18,19 PORCENTAJE RIESGO 18,19% (Riesgo Bajo)
Interpretar este resultado
Fuentes de conocimiento: Adquirir y mantener infraestructura tecnológica CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA ENTIDAD AUDITADA PROCESO AUDITADO
REF
PAGINA 1 DE 1 Adquisición y mantenimiento de infraestructura de red, equipos Colegio Mundo de Praga
RESPONSABLE
Carlos Mauricio Rosero
MATERIAL DE SOPORTE
COBIT 4.1
DOMINIO
Adquirir e implementar (AI)
PROCESO
AI3 Adquirir y mantener infraestructura tecnológica
FUENTES DE CONOCIMIENTO Plan de adquisición de infraestructura tecnológica. Inventario de
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION Verificar la Prueba de existencia de un comparación de plan de inventarios de adquisición de equipos usando recursos de herramientas de
equipos y dispositivos de red. Manual de funciones perfiles y competencias. Plan de mantenimiento de equipos, redes, y sistema eléctrico.
infraestructura tecnológica y compararlo con un plan estándar. Verificar la existencia y actualización periódica de los inventarios de la infraestructura tecnológica. Verificar el registro de uso de los recursos con el fin de obtener un control y seguridad de la infraestructura. Revisión contrato de leasing para alquiler de equipos.
software comprobación de la operatividad de los recursos de infraestructura con respecto al plan de mantenimiento.
Entrevista: Adquirir y mantener infraestructura tecnológica ENTREVISTA AI3 Adquirir y mantener DOMINIO PROCESO infraestructura tecnológica AI3.1 Plan de adquisición de infraestructura OBJETIVO DE CONTROL tecnológica Nº CUESTIÓN RESPUESTA ¿Qué problemas o inconvenientes ha Se han tenido problemas de tenido la institución educativa en pérdida física de algunos equipos cuanto a funcionamiento de la de algunas aulas, problemas de 1 infraestructura tecnológica? iluminación, la red se cae constantemente y no satisface el número de equipos. 2 ¿Cada cuánto tiempo se realiza Se hace mantenimiento al sistema mantenimiento a la infraestructura físico 1 vez cada 6 meses, Adquirir e implementar (AI)
tecnológica?
3
4
aplicaciones de software 2 veces cada 6 meses.
¿Han tenido inconvenientes con el plan de adquisición de la infraestructura tecnológica? Si o No, No se ha tenido inconvenientes ¿Cuáles? con el plan de adquisición de IT
Se ha realizado un contrato de leasing legal para el alquiler de los equipos que están en funcionamiento en el colegio?, existen elementos propios del colegio?, quien realiza el mantenimiento de los equipos?
Lista chequeo: Adquirir y mantener infraestructura tecnológica LISTA CHEQUEO DOMINIO
OBJETIVO DE CONTROL Nº
1
2
3 4
AI3 Adquirir y mantener PROCESO infraestructura tecnológica AI3.1 Plan de adquisición de infraestructura tecnológica
Adquirir e implementar (AI)
ASPECTO EVALUADO ¿Cuentan con un plan de adquisición, para adquirir, implementar y mantener recursos de Infraestructura Tecnológica? ¿El plan considera extensiones futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología? ¿La institución cuenta con un inventario de infraestructura tecnológica? ¿En el inventario se registran los equipos informáticos existentes?
CONFORME
SI
NO X
x
x x
OBSERVACIÓN
(marca, modelo, ubicación, fecha de adquisición, capacidad, etc.) OBJETIVO DE AI3.2 Protección y Disponibilidad del Recurso de CONTROL Infraestructura ¿Se registra el uso, se mantiene 5 un control y seguridad sobre el x hardware y software? ¿Existen normas de control interno donde se garantice la 6 x protección de los recursos para su disponibilidad e integridad? ¿Cuentan con un manual de 7 x funciones? OBJETIVO DE AI3.3 Mantenimiento de la Infraestructura. CONTROL ¿Cuentan con un plan de 8 mantenimiento de la x infraestructura tecnológica? ¿Dentro del plan de 9 mantenimiento se garantiza el x control de cambios? ¿Software (Microsoft office, antivirus, sistema operativo, 10 x En algunos casos aplicativos) licenciado y actualizado? ¿Se hace mantenimiento periódicamente a la infraestructura? (computador Algunas equipos 11 sobremesa, computador portátil, x carecen de extintores, servidores, cableado mantenimiento red, impresoras, enrutadores, reguladores, etc.) ¿Se realizan revisiones a los PCs 12 con el fin de detectar software x malicioso? ¿Los equipos se encuentran Algunos equipos no se 13 x operando? encuentran operando
Cuestionario: Adquirir y mantener infraestructura tecnológica CUESTIONARIO CUANTITATIVO ENTIDAD AUDITADA PROCESO AUDITADO RESPONSABLES MATERIAL DE SOPORTE DOMINIO
Colegio Mundo de Praga
2
3
4
5
6
PAGINA 1 DE 1
Infraestructura Tecnológica Dey Yama – Carlos Mauricio Rosero COBIT 4.1 Adquirir e implementar (AI)
OBJETIVO DE CONTROL N 1
REF
PROCES O
AI3 Adquirir y mantener infraestructura tecnológica
AI3.1 Plan de Adquisición de Infraestructura Tecnológica PREGUNTA SI NO NA REF ¿Cuentan con un plan de adquisición, 4 para adquirir, implementar y mantener recursos de Infraestructura Tecnológica? ¿El plan considera extensiones futuras 4 para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología? ¿La institución cuenta con un 4 inventario de infraestructura tecnológica? ¿En el inventario se registran los 4 equipos informáticos existentes? (marca, modelo, ubicación, fecha de adquisición, capacidad, etc.) ¿Se registra el uso, se mantiene un 4 control y seguridad sobre el hardware y software? ¿Existen normas de control interno 3
donde se garantice la protección de los recursos para su disponibilidad e integridad? 7 ¿Cuentan con un manual de 3 funciones? 8 ¿Cuentan con un plan de 4 mantenimiento de la infraestructura tecnológica? 9 ¿Dentro del plan de mantenimiento se 4 garantiza el control de cambios? 10 ¿Software (Microsoft office, antivirus, 4 sistema operativo, aplicativos) licenciado y actualizado? 11 ¿Se hace mantenimiento 4 periódicamente a la infraestructura? (computador sobremesa, computador portátil, extintores, servidores, cableado red, impresoras, enrutadores, reguladores, etc.) 12 ¿Se realizan revisiones a los PCs con 4 el fin de detectar software malicioso? TOTAL 3 47 TOTAL CUESTIONARIO 50 Porcentaje de riesgo parcial = (3 * 100) / 50 = 6 Porcentaje de riesgo total = 100 – 6 = 94 PORCENTAJE RIESGO 48,98% (Riesgo alto) Interpretar el resultado
Fuentes de conocimiento: Instalar y Acreditar Soluciones y Cambios
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA
ENTIDAD AUDITADA PROCESO AUDITADO
RE F
PAGINA 1 DE 1 Instalación, configuración y funcionamiento de la plataforma Gawss Colegio Mundo de Praga
RESPONSABLE
Carlos Mauricio Rosero
MATERIAL DE SOPORTE
COBIT 4.1
DOMINIO
Adquirir e implementar (AI)
PROCESO
AI7 Instalar y Acreditar Soluciones y Cambios
FUENTES DE CONOCIMIENTO
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION
Manuales del software (manual de instalación, configuración y de usuario).
Comparar los manuales entregados por los desarrolladores del producto frente a los manuales estándar
Verificación cumplimiento requisitos instalación configuración sistema en equipos colegio
del de de y del los del
Entrevista: Instalar y Acreditar Soluciones y Cambios ENTREVISTA Adquirir e implementar AI7 Instalar y Acreditar DOMINIO PROCESO (AI) Soluciones y Cambios OBJETIVO DE CONTROL Nº CUESTIÓN RESPUESTA Si recibí capacitación para el Usted recibió capacitación para el ingreso y uso de los módulos de manejo de los módulos del software 1 inscripción y matricula de Gawss asignados a su perfil laboral? estudiantes. 2
3
4
Usted conoce si existe en el colegio Sinceramente no conozco esa un plan de Pruebas establecidos para información. su aplicación en el software Gawws Usted conoce si existe en el colegio un plan de respaldo establecidos No, no conozco esa información. para su aplicación en el software Gawws Usted tiene los manuales del software disponibles en caso de alguna eventualidad?, los manuales contienen información necesaria para la instalación y manejo del sistema?
Lista chequeo: Instalar y Acreditar Soluciones y Cambios LISTA CHEQUEO Adquirir e implementar PROCESO (AI) OBJETIVO DE CONTROL AI7.1 Entrenamiento DOMINIO
CONFORME
AI7 Instalar y Acreditar Soluciones y Cambios
Nº 1
ASPECTO EVALUADO ¿Se realizan capacitaciones para el manejo del aplicativo Gawss?
SI
NO
OBSERVACIÓN
x
OBJETIVO DE AI7.2 Plan de Prueba CONTROL ¿Existe un plan de pruebas para 2 x el sistema de información? OBJETIVO DE AI7.3 Plan de implementación: CONTROL ¿Existe un plan de respaldo para 3 x el sistema de información? OBJETIVO DE AI7.4 Ambiente de Prueba CONTROL ¿Existe un entorno seguro para ejecutar el plan de pruebas sobre 4 x el sistema de información?
Cuestionario: Instalar y Acreditar Soluciones y Cambios CUESTIONARIO CUANTITATIVO ENTIDAD AUDITADA PROCESO AUDITADO RESPONSABLES MATERIAL DE SOPORTE DOMINIO
Colegio Mundo de Praga
REF PAGINA 1 DE 1
Infraestructura Tecnológica Dey Yama – Carlos Mauricio Rosero COBIT 4.1 Adquirir e implementar (AI)
PROCES O
AI7 Instalar y Acreditar Soluciones y Cambios
OBJETIVO DE CONTROL N
PREGUNTA SI NO NA REF ¿Se realizan capacitaciones para el 3 manejo del aplicativo Gawss? ¿Existe un plan de pruebas para el 4 sistema de información? ¿Existe un plan de respaldo para el 4 sistema de información? ¿Existe un entorno seguro para ejecutar 4 el plan de pruebas sobre el sistema de información? TOTAL 7 8 TOTAL CUESTIONARIO 15 Porcentaje de riesgo parcial = (7 * 100) / 15 = 46,66 Porcentaje de riesgo total = 100 – 46,66= 53,34 PORCENTAJE RIESGO 53,34% (Riesgo Medio) Interpretar los resultados
Fuentes de conocimiento: Administrar los Servicios de Terceros
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA
ENTIDAD AUDITADA PROCESO AUDITADO
RE F
PAGINA 1 DE 1 Servicios brindados por proveedores y otras empresas externas Colegio Mundo de Praga
RESPONSABLE
Carlos Mauricio Rosero
MATERIAL DE SOPORTE
COBIT 4.1
DOMINIO
Entregar y Dar Soporte (DS)
PROCESO
DS2 Administrar los Servicios de Terceros
FUENTES DE CONOCIMIENTO
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION
Documento de políticas de Seguridad Documento estándares de Seguridad Documento de
Verificar la existencia de documentos de controles, políticas o procedimientos existentes respecto a la
Comprobar el cumplimiento de los lineamientos establecidos en el plan de políticas y procedimientos de seguridad de la información.
procedimientos de Seguridad Reportes de cada una de las violaciones e incidentes de seguridad Reportes de cada una de las pruebas periódicas Contrato de servicios de internet Contrato de alquiler de equipos de cómputo Contrato de outsourcing de la plataforma Gwss.
seguridad informática y de la información. Revisión contratos con terceros (internet, plataforma académica y alquiler equipos de cómputo)
Entrevista: Administrar los Servicios de Terceros ENTREVISTA Entregar y Dar Soporte DS2 Administrar los DOMINIO PROCESO (DS) Servicios de Terceros OBJETIVO DE CONTROL Nº CUESTIÓN RESPUESTA 1 ¿Existe algún método para la No se realiza dicha evaluación evaluación de servicios prestados por proveedores? 2
¿Se cuentan con acuerdos de nivel No se realizaron dichos acuerdos de servicio; es decir, reportes donde se especifique el nivel acordado para la calidad del servicio?
3
¿Se identifican y categorizan las No se cuenta con ese documento
relaciones terceros?
de
los
servicios
de
4
¿La organización cuenta con No se cuenta con ese documento políticas y procedimientos formales respecto a la contratación de terceros?
5
¿Existe un plan de riesgos para los No se cuenta con ese documento servicios prestados por terceros?
6
¿Las capacidades y riesgos del No se cuenta con ese documento proveedor son verificadas de forma continua?
7
¿Se tiene un proceso formal para la Se realiza dicha supervisión supervisión de los proveedores de servicios de terceros?
8
¿Hay métodos documentados para No se cuenta con un documento controlar los servicios de terceros y en el que se realicen dichos negociar con los proveedores? controles
9
¿Los contratos con proveedores Si están basados en formatos estandarizados?
10
¿Se revisan de forma periódica los No se realizan revisiones contratos realizados con terceros? posteriores a los contratos ya firmados.
Lista chequeo: Administrar los Servicios de Terceros LISTA CHEQUEO DOMINIO
Entregar y Dar Soporte (DS)
PROCESO
PROCESO DS2: Administrar los Servicios de Terceros:
OBJETIVO DE CONTROL Nº
DS2.1 Identificación de Todas las Relaciones con Proveedores:
ASPECTO EVALUADO
CONFORME
SI
NO
OBSERVACIÓN
¿El colegio tiene firmados contratos con terceros para la prestación de algún servicio, y 1 x estos cumplen con la normatividad establecida para este tipo de documentos? OBJETIVO DE DS2.2 Gestión de Relaciones con Proveedores: CONTROL 2
¿Se cuentan con acuerdos de nivel de servicio; es decir, reportes donde se especifique el nivel acordado para la calidad del servicio?
OBJETIVO CONTROL 3
DE
x
DS2.3 Administración de Riesgos del Proveedor:
¿Existe un plan de riesgos para los servicios prestados por terceros?
x
¿Se establecen acuerdos de confidencialidad con los x proveedores de servicios? OBJETIVO DE DS2.4 Monitoreo del Desempeño del Proveedor: CONTROL 4
5
¿Se tiene un proceso formal para la supervisión de la prestación del servicio brindada por el proveedor de servicios de terceros?
x
Cuestionario: Administrar los Servicios de Terceros CUESTIONARIO CUANTITATIVO
ENTIDAD AUDITADA PROCESO AUDITADO RESPONSABLES
Colegio Mundo de Praga Servicios de terceros Dey Yama – Carlos Mauricio Rosero
R E F PAGINA 1 DE 1
MATERIAL DE SOPORTE DOMINIO
COBIT 4.1 Entregar y Dar Soporte (DS)
PROCES O
DS2 Administrar los Servicios de Terceros
OBJETIVO DE CONTROL N PREGUNTA SI 1 ¿El colegio tiene firmados contratos con 5 terceros para la prestación de algún servicio, y estos cumplen con la normatividad establecida para este tipo de contratos? 2 ¿Se cuentan con acuerdos de nivel de
3
servicio; es decir, reportes donde se especifique el nivel acordado para la calidad del servicio? ¿Existe un plan de riesgos para los servicios prestados por terceros?
4
¿Se establecen acuerdos de 5 confidencialidad con los proveedores de servicios?
5
¿Se tiene un proceso formal para la supervisión de la prestación del servicio brindada por el proveedor de servicios de terceros?
NO NA
REF
4
4
4
TOTAL 10 12 TOTAL CUESTIONARIO 22 Porcentaje de riesgo parcial = (10 * 100) / 22 = 45,45 Porcentaje de riesgo total = 100 – 45,45= 54,55 PORCENTAJE RIESGO 54,55% (Riesgo Medio) Interpretar los resultados
Fuentes de información: Garantizar la Seguridad de los Sistemas
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA
ENTIDAD AUDITADA PROCESO AUDITADO
RE F
PAGINA 1 DE 1 Seguridad de la plataforma académica Funcionamiento del aspecto físico de la red de datos Colegio Mundo de Praga
RESPONSABLE
Carlos Mauricio Rosero
MATERIAL DE SOPORTE
COBIT 4.1
DOMINIO
Entregar y Dar Soporte (DS)
PROCESO
DS5 Garantizar la Seguridad de los Sistemas
FUENTES DE CONOCIMIENTO
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION
Plan de políticas y procedimientos de seguridad de los datos que circulan sobre la plataforma académica Sistema de
Verificar la existencia de un plan de políticas y procedimientos de seguridad de los datos e información en el colegio. Verificar el uso de
Realizar Pruebas de seguridad sobre la plataforma académica Gawss de acuerdo al manual de pruebas OWASP
Realizar
pruebas
llaves criptográficas. Entrevista con el administrador de la plataforma en el colegio Registro de incidentes de seguridad detectados en el sistema
llaves criptográficas en el sistema para envió de información confidencial. Verificación de la seguridad de la plataforma académica Gawss Revisión de las pruebas de seguridad realizadas sobre la plataforma
de seguridad sobre la red de datos Revisar los perfiles de usuarios que tienen acceso a la plataforma académica Gawss
Entrevista: Garantizar la Seguridad de los Sistemas ENTREVISTA DOMINIO
Entregar y Dar Soporte (DS)
PROCESO
OBJETIVO DE CONTROL Nº CUESTIÓN ¿Conoce las vulnerabilidades y amenazas de seguridad, a las que 1 está expuesto el sistema de información? 2 ¿Existe un plan de seguridad? ¿Existen pruebas, vigilancia y 3 monitoreo de la seguridad? 4 ¿Cuál es el manejo de los
DS5 Garantizar la Seguridad de los Sistemas RESPUESTA
Conozco algunas pero no todas las que nos podrían afectar. No existe en el colegio No existen están pruebas Son reportados a la dirección y
5 6
7
8
en el caso del aplicativo Gawws incidentes de seguridad? son reportados a su desarrollador. ¿Se realizan pruebas de resistencia No se han realizado dichas a sabotaje? pruebas. ¿Cuáles son las políticas y En el colegio no se manejan este procedimientos para el manejo de tipo de aplicaciones. llaves criptográficas? ¿Existen medidas preventivas, detectivas y correctivas en la En el colegio no se toman este institución para proteger el sistema tipo de medidas. de información? ¿Existen técnicas y procedimientos de administración, asociados para No se cuenta con dichas autorizar acceso y controlar los técnicas flujos de información desde y hacia internet?
Lista chequeo: Garantizar la Seguridad de los Sistemas LISTA CHEQUEO DOMINIO
OBJETIVO DE CONTROL Nº
DS5 Garantizar la PROCESO Seguridad de los Sistemas DS5.2 Plan de Seguridad de TI
Entregar y Dar Soporte (DS)
ASPECTO EVALUADO
CONFORME
SI
NO
OBSERVACIÓN
Existe un plan de políticas y procedimientos de seguridad con 1 X las inversiones en servicios, personal, software y hardware. Se comunica las políticas de 2 seguridad a los interesados y a X los usuarios. OBJETIVO DE DS5.3 Administración de Identidad CONTROL Existe proceso de autenticación Si, de acuerdo a su para los usuarios internos perfil de usuario, posee 3 (Administrativos, docentes y x diferentes privilegios de estudiantes) que solicitan acceso acceso. al sistema de información.
Existe un repositorio central con la información de usuarios y sus 4 x permisos de acceso al sistema de información de la institución. OBJETIVO DE DS5.4 Administración de Cuentas del Usuario CONTROL Existe un procedimiento para la 5 emisión, suspensión, modificación x y cierre de cuentas de usuarios. OBJETIVO DE DS5.5 Pruebas, Vigilancia y Monitoreo de la CONTROL Seguridad Se realizan periódicamente pruebas de monitoreo a la 6 seguridad del acceso al sistema x de información. OBJETIVO DE DS5.6 Definición de Incidente de Seguridad CONTROL Se realiza monitoreo de los incidentes que se presentan en el 7 X sistema de información. OBJETIVO DE DS5.7 Protección de la Tecnología de Seguridad CONTROL Se realizan pruebas de resistencia 8 x al sabotaje OBJETIVO DE DS5.8 Administración de Llaves Criptográficas CONTROL Se utilizan llaves criptográficas 9 para el envió de información x confidencial. OBJETIVO DE DS5.9 Prevención, detección y corrección de CONTROL software malicioso Existen medidas preventivas, detectivas y correctivas contra Se cuenta con antivirus 10 software malicioso como virus x actualizado informático. OBJETIVO DE DS5.10 Seguridad de la Red CONTROL 11 Existen controles para la x Se cuenta con firewall información que se envía y recibe del sistema operativo
desde internet.
activado.
Cuestionario: Garantizar la Seguridad de los Sistemas CUESTIONARIO CUANTITATIVO ENTIDAD AUDITADA PROCESO AUDITADO RESPONSABLES MATERIAL DE SOPORTE DOMINIO
Colegio Mundo de Praga
REF PAGINA 1 DE 1
Seguridad de la plataforma Gawss y la red de datos Dey Yama – Carlos Mauricio Rosero COBIT 4.1 Entregar y Dar Soporte (DS)
PROCES O
DS5 Garantizar la Seguridad de los Sistemas
OBJETIVO DE CONTROL N 1
2 3
4
5
6
7
PREGUNTA Existe un plan de políticas y procedimientos de seguridad con las inversiones en servicios, personal, software y hardware. Se comunica las políticas de seguridad a los interesados y a los usuarios. Existe proceso de autenticación para los usuarios internos (Administrativos, docentes y estudiantes) que solicitan acceso al sistema de información. Existe un repositorio central con la información de usuarios y sus permisos de acceso al sistema de información de la institución. Existe un procedimiento para la emisión, suspensión, modificación y cierre de cuentas de usuarios. Se realizan periódicamente pruebas de monitoreo a la seguridad del acceso al sistema de información. Se realiza monitoreo de los incidentes
SI
NO NA 4
4 5
5
5
3
4
REF
que se presentan en el sistema de información. 8 Se realizan pruebas de resistencia al 4 sabotaje 9 Se utilizan llaves criptográficas para él 3 envió de información confidencial. 10 Existen medidas preventivas, de 5 detención y correctivas contra software malicioso como virus informático. 11 Existen controles para la información 5 que se envía y recibe desde internet. TOTAL 25 18 TOTAL CUESTIONARIO 43 Porcentaje de riesgo parcial = (25 * 100) / 43 = 58,13 Porcentaje de riesgo total = 100 – 58,13 = 41,87 PORCENTAJE RIESGO
41,87% (Riesgo Medio)
Fuentes de información: Administración de Datos
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA
ENTIDAD AUDITADA PROCESO AUDITADO
RE F
PAGINA 1 DE 1
Colegio Mundo de Praga
Funcionamiento del aspecto físico de la red de datos
RESPONSABLE
Carlos Mauricio Rosero
MATERIAL DE SOPORTE
COBIT 4.1
DOMINIO
Entregar y Dar Soporte (DS)
PROCESO
DS11 Administración de Datos
FUENTES DE CONOCIMIENTO
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION
Procedimiento para el manejo y protección de datos
Verificación de la existencia de un procedimiento para el adecuado
Comprobación del adecuado funcionamiento del procedimiento
Programación anual de realización de copias de seguridad. Manejo de archivos documentales
manejo y protección de la información de la institución.
Verificación del cumplimiento de las jornadas de realización de copias de seguridad.
para el manejo y protección de datos.
Revisión de copias seguridad y restauración.
Verificación de los logs activos de la seguridad de datos y redes
las de su
Entrevista: Administración de Datos ENTREVISTA Entregar y Dar Soporte DS11 Administración de DOMINIO PROCESO (DS) Datos OBJETIVO DE CONTROL Nº CUESTIÓN RESPUESTA ¿Qué tratamiento se le da a un Antes de realizar la donación o equipo, cuando este es calificado dar de baja un computador se como obsoleto, y es eliminado o verifica que en sus unidades de donado a otra institución? cd o disquete, no se encuentre 1 ninguno de estos elementos con información del colegio, y posteriormente se realiza el formateo del disco duro del equipo. ¿En el colegio se realizan copias de En el colegio las copias de seguridad en los equipos de seguridad se realizan cada tres, 2 cómputo? en los equipos que tiene asignados los funcionarios administrativos y cuerpo docente. 3 ¿Si tuviera la necesidad de restaurar Hasta la fecha no he tenido la información de un computador, en el necesidad de restaurar colegio se cuenta con un información, no conozco si en el procedimiento definido para realizar colegio exista tal procedimiento.
4
dicho proceso? Se han realizado pruebas de seguridad sobre la plataforma académica para identificar las posibles vulnerabilidades del sistema o de la red? Y que resultados se han obtenido de dichas pruebas?
Lista chequeo: Administración de Datos LISTA CHEQUEO Entregar y Dar Soporte PROCESO (DS) OBJETIVO DE CONTROL DS11.4 Eliminación: DOMINIO
Nº
ASPECTO EVALUADO
CONFORME
SI
NO
DS11 Administración de Datos OBSERVACIÓN
¿En el colegio se tiene Cuando un equipo se establecido un procedimiento a declara obsoleto y se seguir para garantizar la destruye o dona a otra 1 x eliminación de información de los institución se realiza dispositivos, que se dan de baja o formateo de su disco donan a otra institución? duro. OBJETIVO DE DS11.5 Respaldo y Restauración: CONTROL Se realizan copias de seguridad de los ¿En el colegio se realizan equipos del área 2 backups de forma planeada y x administrativas y periódica? docente cada tres meses ¿Existe un procedimiento a seguir cuando haya la necesidad de No se cuenta con dicho 3 restaurar información de algún x procedimiento equipo de cómputo? OBJETIVO DE DS11.6 Requerimientos de Seguridad para la CONTROL Administración de Datos ¿Existen en el colegio políticas y No se cuenta procedimiento para realizar la políticas 4 x recepción y almacenamiento de procedimientos información? respecto
con o al
Cuestionario: Administración de Datos CUESTIONARIO CUANTITATIVO ENTIDAD AUDITADA PROCESO AUDITADO RESPONSABLES MATERIAL DE SOPORTE DOMINIO
REF
Colegio Mundo de Praga 1
PAGINA DE 1
Infraestructura Tecnológica Dey Yama – Carlos Mauricio Rosero COBIT 4.1 Entregar y Dar Soporte (DS)
PROCES O
DS11 Administración de Datos
OBJETIVO DE CONTROL N PREGUNTA SI NO NA REF 1 ¿En el colegio se tiene establecido un 4 procedimiento a seguir para garantizar la eliminación de información de los equipos, que se dan de baja o donan a otra institución? 2 ¿En el colegio se realizan backups de 5 forma planeada y periódica? 3 ¿Existe un procedimiento a seguir 5 cuando haya la necesidad de restaurar información de algún equipo de cómputo? 4 ¿Existen en el colegio políticas y 5 procedimiento para realizar la recepción y almacenamiento de información? TOTAL 9 10 TOTAL CUESTIONARIO Porcentaje de riesgo parcial = (9 * 100) / 19 = 47,36 Porcentaje de riesgo total = 100 – 47,36 = 52,64 PORCENTAJE RIESGO 52,64% (Riesgo Medio)
Interpretar los resultados obtenidos