IT KEY CONTROLS 11- Manage Data DS11 TEST 1 ITBK-001: Backups of Key Financial Applications are performed - DS11.

5 Respaldo y Restauracin. TEST 2 ITBK-002: Full backups of Key Financial Applications are performed - DS11.5 Respaldo y Restauracin. TEST 3 ITBK-003: Key Financial Application backup data is succesfully restored and verified DS11.5 Respaldo y Restauracin. TEST 4 ITBK-004: Key Financial application backup media is stored in secure location DS11. 6 Requerimientos de seguridadpara la administracin de datos Informacin requerida: Polticas y procedimientos de respaldo y restauracin. Lista de Aplicaciones y servidores que se respaldan. Quin realiza los respaldos y restauracin. Solicitar el log de backup 25 muestras: Respaldo de la data o DBF del KFA, pendiente fecha (Diario) Respaldo de la aplicacin Oracle Financial, pendiente fecha (Semanal)

Solicitar el restore log de KFA u Oracle Financial, se ha realizado restauracin en el 2011. En qu lugar se encuentran las cintas de respaldo, quien se encarga de la custodia, se lleva una bitcora de control de las cintas de respaldo. A quien se debe solicitar la informacin.

10- Manage problems and incidents- DS8 y DS10 TEST 5 ITCM-001:Eventslogs are monitored and evaluated- DS8 Administrar la mesa de servicios e incidentesyDS10 Administracin de Problemas. Informacin requerida: Polticas y procedimientos para el manejo de problemas e incidentes. Solicitar el Reporte de weeklyapplication, system and securityeventlogs de los servidores crticos, pendiente definir fecha.

Solicitar el Eventlogs de los servidores crticos que se van probar, pendiente definir servidores. Solicitar 25 incidentes al azar, pendiente determinar las fechas o los tickets. A quien se debe solicitar la informacin. TEST 6 ITCM-002 IT Management evaluatesthe performance of IT Operations - DS8 Administrar la mesa de servicio e incidentes y DS10 Administracin de problemas Informacin requerida: Reporte de operaciones de TI. Solicitar el reporte mensual, definir los meses a revisar. A quien se debe solicitar la informacin. 5- Manages Changes AI6 y AI7 TEST 7 ITCM-003 Operating System and Anti-virus software upgrades to critical servers are properly tested in a test environment before being promoted to production AI6 Manage Changes y AI7 Install, accredit solution and changes. Informacin requerida: Polticas y procedimientos parael manejo o administracin de cambios. Solicitar la lista de los cambios o actualizaciones efectuados a los SO de servidores y antivirus SW a los servidores crticos, se maneja por tickets. Solicitar las solicitudes de cambios a los sistemas operativos y Anti-virus SW. Documentacin de las pruebas de cambios a los SO y anti-virus SW. Las pruebas se realizan en ambiente de pruebas. Los usuarios aprueban las pruebas. A quien se debe solicitar la informacin. TEST 8 ITCM-004 Operating system and Anti-virus software upgrades to critical servers are approved by management prior to implementation AI6 Manage Changes y AI7 Install, accredit solution and changes. Informacin requerida: Polticas y procedimientos para el manejo o administracin de cambios.

Solicitar la lista de los cambios o actualizaciones efectuados a los SO de servidores y antivirus SW a los servidores crticos, se maneja por tickets. Informacin del control anterior. Documentacin de la aprobacin para la actualizacin de los SO y Anti-virus SW a produccin. A quien se debe solicitar la informacin. 8- Ensure systems security - DS5 TEST 9 ITCM-005 Anti-virus software and virus definition files are kept currenton critical servers, and on workstations - DS5.9 Prevencin, deteccin y correccin de software malicioso. Informacin requerida: Que SW es utilizado de Anti-virus en los servidores y PCs. (Mcfee e EPolicyOrchestor) Reporte semanal de actualizacin de las DATs y engines, definir fechas al azar. A quien se le debe solicitar la informacin. 1- Acquire and maintain application software- AI2 TEST 10 ITDI-001 Application Data Interfaces are accurately documented - AI2.2DiseoDetallado

Informacin requerida: Lista de las interfaces de KFA, preguntar sobre Oracle Financials. Documentacin de las interfaces. A quien se le solicita la documentacin de las interfaces. TEST11 ITGC-001 IT policies and procedures are implemented and maintained- PO6.1, PO6.3, PO6.4, PO6.5 Informacin requerida: Polticas y procedimientos de TI vigentes. Evidencia de la comunicacin de las polticas y procedimientos de TI a la empresa. Cambios efectuados a las polticas vigentes. Aprobacin de los cambios a las polticas vigentes. Cada que tiempo se revisan las polticas y procedimientos de TI, esto debe estar incluido en cada poltica y procedimiento.

A quien se le solicita la informacin.

6- Define and manage service levels DS1 7- Manage third-party services DS2 TEST12 ITGC-002 Contract agreements with applicable third-party service providers include a definition of internal control requirements and acceptance of policies and procedures.DS2 y DS1 Informacin requerida: Solicitar los contratos vigentes de TI a Thirdparty. Solicitar los SLA de los contratos vigentes de TI. A quien se debe solicitar la informacin. 8- Ensure systems security - DS5 TEST 13 ITAS-001 Key Financial Application Access is properly approved by Business System Owner prior to Access being granted - DS5.4 Informacin requerida: Poltica y procedimientos para la adicin, modificacin y eliminacin de usuarios. Solicitar la lista de acceso del personal en el aplicativo, Oracle Financial. Solicitar la lista de personal nuevo a recursos humanos. Solicitar la documentacin de solicitud de creacin de nuevos usuario en Oracle Financial, es por ticket. Solicitar al azar empleados nuevos de Contabilidad. Documentacin de la aprobacin del acceso a los usuarios al aplicativo. A quien se debe solicitar la informacin. TEST14 ITAS-002 Key Financial Application access is revoked promptly upon notification of employment termination - DS5.4 Informacin requerida: Polticas y procedimientos para la adicin, modificacin y eliminacin de usuarios. Lista del personal que ha renunciado o ha sido dado de baja, solicitar a recursos humanos.

Obtener la solicitud de eliminacin de los usuarios en el aplicativo. Obtener la aprobacin de eliminacin del usuario del aplicativo. A quien se debe solicitar la informacin. TEST 15 ITAS-003 Access to Key Financial Application is restricted by unique User ID and password authentication, as defined by policy - DS5.3 Informacin requerida: Obtener la poltica de los parmetros de las claves y creacin de usuarios. Obtener la lista de los usuarios en Oracle Financial. Obtener los parmetros de las claves de los usuarios en Oracle Financial. A quien se debe solicitar la informacin. TEST 16 ITAS-004 Key Financial Application user Access rights are validated by Business System Owner - DS5.4 Informacin requerida: Obtener las polticas y procedimientos para la adicin, modificacin y eliminacin de usuarios. Lista de los usuarios en Oracle Financial. La segregacin de funciones es adecuada, se revisa por lo menos una vez al ao. A quien se debe solicitar la informacin. TEST 17 ITAS-005 Generic accounts for Key Financial are properly documented, and are validated by Business System Owner - DS5.4 Informacin requerida: Obtener los procedimientos para la creacin y manejo de cuentas genricas. Lista de cuentas genricas, si las hay en Oracle Financial. Solicitar la aprobacin de cuentas genricas. Verificar si el audit log, se encuentra habilitado en Oracle Financial. Verifique si las cuentas genricas han sido revisadas trimestralmente. A quien se debe solicitar la informacin.

TEST 18 Number of accounts with administrator rights to Key Financial Applications is limited, and includes only authorized personnel Modificar en base a Oracle Financials. Informacin requerida: Lista de usuarios en Oracle Financial. Usuarios en Oracle Financial con el privilegio de administrador. La segregacin de funciones es adecuada, se revisa trimestralmente. Se han creado nuevas cuentas con privilegios de administrador. Documentacin de la aprobacin de usuarios con el privilegio de Administrador. El audittrail se encuentra habilitado en Oracle Financial. A quien se debe solicitar la informacin TEST 19 ITAS-007 Developers Access to Key Financial Applications is restricted to Read onlyModificar en base a Oracle Financials y la base de datos de Oracle. Informacin requerida: Usuarios que tienen acceso a la base de datos Oracle, incluir query. Usuarios que tienen acceso a Oracle Financials, el reporte lo genera el aplicativo de Oracle. A quien se debesolicitar la informacin. TEST 20 ITAS 008 Access to Key FinancialApplicationproduction data islimited and restrictedtoReadOnly - Modificar en base a la utilizacin de la base de datos Oracle. Informacin requerida: Usuarios que tienen acceso a la base de datos Oracle, incluir query. A que tablas tienen acceso los usuarios de Contabilidad. Los programadores tienen derecho a Oracle en produccin. A quien se debe solicitar la informacin. TEST 21 ITNS 001 Network Access is properly approved by Management prior to access being granted - DS5.4 Informacin requerida: Polticas y procedimientos para la seguridad de la red.

Lista de los sistemas operativos en los servidores o plataformas. Lista de los usuarios en los servidores o plataformas, generar por medio de SW o pantalla. Lista de los nuevos empleados, solicitar a Recursos Humanos. Copia de la solicitud creacinde nuevos usuarios a la red. Copia de la aprobacin de solicitud de nuevos usuarios por IT Management. A quien se debe solicitar la informacin. TEST 22 ITNS 002 Network Access is revoked promptly upon notification of employment termination - DS5.4 Informacin requerida: Polticas y procedimientos para la seguridad de la red. Lista de los sistemas operativos en las plataformas. Lista de los usuarios en los servidores, generar por medio de SW o pantalla. Lista de los empleados dados de baja, solicitar a RH. Copia de la solicitud de nuevos usuarios a la red, seleccionar muestra al azar. Aprobacin de los del IT Management. A quien se solicitar la informacin. TEST 23 ITNS 003 Access to the network is restricted by unique User ID and password authentication, as defined by policy - DS5.4 Informacin requerida: Polticas y procedimientos de seguridad. Lista de los sistemas operativos en las plataformas. Lista de los usuarios en el servidor de dominio, generar por medio de SW o pantalla. Documento de aprobacin de usuarios con ms de un ID. Parmetros de configuracin de las claves en el servidor de dominio. (Account Policies) A quien se debe solicitar la informacin.

TEST 24 ITNS 004: Network account access rights are validated by the Management - DS5.3 Informacin requerida: Lista de los sistemas operativos en los servidores o plataformas. Lista de los usuarios en los servidores o plataformas. Copia de la aprobacin de los derechos de los usuarios. Copia de la revisin de los derechos de los usuarios que tienen acceso a la red. A quien se debe solicitar la informacin. TEST 25 ITNS-005: Generic Accounts are properly documented, and are validated by Management DS5.3 Informacin requerida: Polticas y procedimientos de seguridad de la red. Lista de las cuentas de la red genricas. Copia de la aprobacin de las cuentas de la red genricas creadas en el 2011. El audit log se encuentra habilitado para trazar al usuario en el sistema. TEST 26 ITNS-006: Number of accounts with administrators rights is limited, and includes only authorized personnel Informacin requerida: Lista de los sistemas operativos. Usuarios en el servidor de dominio con el privilegio de administrador. Lista del personal autorizado con el privilegio de administrador. Solicitud de creacin de nuevos usuarios con el privilegio de administrador. Copia de la aprobacin de los nuevos usuarios con el privilegio de administrador. Copia de la aprobacin de los usuarios con el privilegio de administrador. A quien se debe solicitar la informacin. TEST 27 ITNS-007: Access to Key Financial Data Resources is limited and restricted to authorized individuals Informacinrequerida:

TEST 28 ITPS-001: Management reviews and approves the list of personnel with authorized access to the physical environment DS12 Informacin requerida: Polticas y procedimientos de seguridad fsica. Lista del personal autorizado a las instalaciones. Lista del personal laborando a la fecha. Lista del personal del sistema de control de acceso a las instalaciones. ltima revisin de los usuarios autorizados en las instalaciones, preguntar. Reporte de acceso diario a las instalaciones, si hay, preguntar. A quien se debe solicitar la informacin. TEST 29 ITPS-002 The physical environment for IT infrastructure is restricted from unauthorized access - DS12.3 y DS12.5 Informacin requerida: Polticas de Seguridad Fsica. Qu sistema utilizan para el acceso fsico. Que reporte genera el sistema y quien lo administra. Copia de la lista del personal autorizado al IDC y computerroom. Copia de la lista del personal autorizado a las instalaciones. Copia de la bitcora de acceso. A quin se le solicita la informacin.

ITPS-003 The IT infrastructure is maintained and protected from environmental threats (fire, temperature extremes, humidity, power failure, etc.)(DS12.4)(Test 30) Informacin requerida: Polticas y procedimientos de Seguridad Fsica. Ubicacin de los extintores de incendio y tipo de extintor.

Contrato de mantenimiento al sistema de deteccin de incendios. Bitcora de mantenimiento al sistema de deteccin de incendios. Pruebas realizadas al sistema de deteccin de incendios. Contrato de mantenimiento de los aires acondicionados. Contrato de mantenimiento de los UPS. Bitcora de mantenimiento de los Aires Acondicionados. Bitcora de mantenimiento del UPS. A quien se le solicita la informacin. Cuentan con planta elctrica o generador. Contrato de mantenimiento de la planta o generador. Bitcora de mantenimiento de la planta o generador.