Entendimiento de los Dominios de CGTI

Gua para la siguiente tabla:

Explicacin
Entender y documentar las actividades de control de TI esperables en el cliente.
El auditor de TI debe determinar si esta actividad, o una variacin de la misma,
est o no presente en el cliente en particular.

Actividades / Tareas

Acceso a datos
(Puntos de foco sugeridos - documentar lo que aplique al cliente e instalacin
especficos)
Administracin de actividades de seguridad

Administracin de la seguridad

Seguridad de datos

Seguridad de sistema operativo

Seguridad de red

Seguridad fsica

Segregacin de funciones en Administracin de seguridad

Desarrollo de programas
(Puntos de foco sugeridos - documentar lo que aplique al cliente e
instalacin especficos)
Actividades de implementacin y admistracin de desarrollos

Planeacin, anlisis y diseo

Construccin/seleccin de paquetes

Validacin en ambientes de calidad y pruebas

Conversin de datos

Implementacin

Segregacin de funciones en desarrollo de programas respecto de:

Codificacin de cambios o proyectos
Acceso de Escritura Ambiente de Desarrollo
Transferencia Archivos de Pruebas
Ejecucin de Pruebas
Autorizacin de Pruebas
Acceso de Escritura Ambiente de Pruebas
Transferencia Archivos de Produccin
Acceso Escritura Ambiente de Produccin
Documentacin y capacitacin

Cambios a aplicaciones
(Puntos de foco sugeridos - documentar lo que aplique al cliente e
instalacin especficos)
Actividades de mantenimiento

Especificacin, autorizacin y seguimiento de requerimientos de

cambios

Construccin

Validacin en ambientes de calidad y pruebas

Implementacin
Documentacin y capacitacin
Segregacin de funciones en cambios a aplicaciones:
Codificacin de cambios o proyectos
Acceso de Escritura Ambiente de Desarrollo
Transferencia Archivos de Pruebas
Ejecucin de Pruebas
Autorizacin de Pruebas
Acceso de Escritura Ambiente de Pruebas
Transferencia Archivos de Produccin
Acceso Escritura Ambiente de Produccin

Operaciones de cmputo
(Puntos de foco sugeridos - documentar lo que aplique al cliente e
instalacin especficos)

Administracin de operaciones de cmputo

Gestin de procesos batch
Gestin de procesos en tiempo en real
Procesamiento de respaldos

Administracin de problemas (soporte)

Recuperacin de desastres)

Segregacin de funciones en Operaciones de cmputo

Narrativa
Descripcin a detalle de la actividad que la compaa realiza. (Qu, Cmo, Quin, Dnde, Cundo.
Evidencia. Supervisin y autorizacin. SoD )

Narrativa - Descripcin de la actividad de control especfica (Qu, Cmo, Quin, Dnde, Cundo, Evidencia, Supervisin y
autorizacin, S o D)
El objetivo principal de esta etapa es obtener un detalle acabado de la actividad de control que revisaremos, es decir, se pide, que el
auditor comprenda el entorno en que se desarrolla el control, sus responsables, situaciones que puedan por algn motivo afectar el
control, casos que a nuestro entender necesitan una explicasin del cliente de los motivos por los cuales no habra que incluirlos para
ser testeados, dnde se efecta el control, con que periocidad, existe algun otro control en caso que ste falle?.
Se deben considerar stas recomendaciones y otras que el criterio del auditor considere incluir que permita asegurar que se tiene la
debida comprensin del control y el entorno en que se desarrolla.

Controles clave
Evaluar la capacidad del control para cubrir el objetivo para el cul fue diseado. Seleccionar
como clave el menor conjunto de controles que satisfagan los objetivos de control - comenzar
con aquel control sin el cual no se podra vivir). Incluir en esta columna el ttulo del control.
Crear un EGA por cada control clave identificado en esta columna

Controles clave

1) Existe un proceso de administracin de seguridad para agregar con oportunidad cuentas de

aplicaciones con base en la autorizacin de los administradores de los procesos de negocio.
2) Existe un proceso de administracin de seguridad para cambiar con oportunidad cuentas de
aplicaciones con base en la autorizacin de los administradores de los procesos de negocio.
3) Existe un proceso de administracin de seguridad para remover con oportunidad cuentas de
aplicaciones con base en la autorizacin de los administradores de los procesos de negocio.
4) Los permisos de acceso de los usuarios a las aplicaciones son revisados peridicamente por los
administradores de los procesos de negocio para asegurar que los accesos efectuados son requeridos
por las responsabilidades laborales de los usuarios.
5) Se ha establecido un proceso de revisin de altas o cambios de perfiles en cuanto a potenciales
conflictos a producirse.

1) La administracin ha implementado un proceso de administracin de seguridad para otorgar el acceso

de usuarios a nivel de base de datos que asegura accesos de acuerdo con las necesidades del negocio y
buenas prcticas de control.
2) La administracin ha implementado un proceso de administracin de seguridad para cambiar el acceso
de usuarios a nivel de base de datos que asegura accesos de acuerdo con las necesidades del negocio y
buenas prcticas de control.
3) La administracin ha implementado un proceso de administracin de seguridad para remover
oportunamente el acceso de usuarios a nivel de sistema operativo y base de datos que asegura accesos
de acuerdo con las necesidades del negocio y buenas prcticas de control.
4) Los ambientes de datos de las aplicaciones han sido configurados apropiadamente para restringir el
acceso directo a los datos a travs de conexiones directas a la Base de Datos.
5) Los cambios en los datos realizados fuera de la aplicacin (accesos directos) son debidamente
controlados y autorizados.
6) Se realizan revisiones peridicas de los permisos de acceso directo a datos a fin de validar que los
accesos se mantienen en base a las responsabilidades de los usuarios.
7) Los servidores son configurados con base en parmetros de seguridad (Revisin por WorkProgram
base de datos)

1) La administracin ha implementado un proceso de administracin de seguridad para otorgar el acceso

de usuarios a nivel de sistema operativo que asegura accesos de acuerdo con las necesidades del
negocio y buenas prcticas de control.
2) La administracin ha implementado un proceso de administracin de seguridad para cambiar el acceso
de usuarios a nivel desistema operativo que asegura accesos de acuerdo con las necesidades del
negocio y buenas prcticas de control.
3) La administracin ha implementado un proceso de administracin de seguridad para remover
oportunamente el acceso de usuarios a nivel de sistema operativo y base de datos que asegura accesos
de acuerdo con las necesidades del negocio y buenas prcticas de control.
4) Se ha implantado un procedimiento de control de cambios formal para modificaciones en los
parmetros de sistema operativo con aprobacin de funcionarios de nivel apropiado.
5) Se realizan actividades peridicas de revisin de los parmetros de configuracin del sistema
operativo.
6) Los servidores son configurados con base en parmetros de seguridad (Revisin por WorkProgram
sistema operativo)

1) El acceso fsico a las instalaciones de los servidores y datos es apropiadamente restringido.

1) Las responsabilidades para gestin de la base de datos, administracin de sistemas operativos y

administracin de la red han sido adecuadamente segregadas.

1) La aprobacin del responsable del proyecto es requerida antes del inicio de la fase de construccin.

1) Existen ambientes separados de desarrollo, pruebas y produccin para las aplicaciones y su acceso ha
sido restringido adecuadamente.

1) Se llevaron a cabo las pruebas suficientes y adecuadas de acuerdo a la relevancia de cada cambio. El
usuario final es involucrado en las pruebas de cambios a los sistemas y se requiere la autorizacin del
rea administrativa del usuario para la aceptacin del proyecto y se mantiene documentacin formal de
las pruebas realizadas que incluyen:
- Programas de prueba (scripts).
- Descripcin de los escenarios de la prueba.
- Datos de entrada.
- Resultados esperados.
- Resultados obtenidos.
- Aislamiento de problemas y procedimientos de resolucin.

1) Existen procedimientos de prueba desarrollados por el usuario para asegurar la totalidad, exactitud y
validez de la conversin (ejemplo: Reportes clave, comparacin de informacin, etc).
1) Los proyectos son autorizados por la administracin del negocio y por el jefe de proyecto antes de su
implementacin en el ambiente de produccin.

1) Existen ambientes separados de pruebas y produccin para las aplicaciones y su acceso ha sido
restringido adecuadamente.
2) Las responsabilidades requeridas en el proceso de desarrollo e implantacin de sistemas han sido
adecuadamente segregadas.

1) Todos los requerimientos de cambios a programas y/o configuracin del aplicativo (RFC) son
registrados en una bitcora y la gestin de la bitcora es llevada por personal independiente a los
desarrolladores.
2) Todos los requerimientos de cambios a programas y/o configuracin del aplicativo (RFC) son
autorizados por los dueos del proceso.
3) La implementacin de los cambios a programas y/o configuracin del aplicativo es llevada a cabo a
travs de un proceso formal de implementacin. En el caso de los cambios con mayor impacto en la
Totalidad, Exactitud y Validez de la informacin, se espera que dicho proceso considere:
- Anlisis de impactos
- Determinacin de reas y personas involucradas
- Que exista un plan "de retorno"
- Que prevean procedimientos y responsables de seguimiento.
- Que exista un procedimiento de actualizacin e la documentacin de configuracin.

1) Para aquellos cambios a programas y/o configuracin del aplicativo que tengan impacto en la
Totalidad, Exactitud o Validez de la informacin, existen planes formales de prueba que incluyen:
- Programas de prueba
- Descripcin de los escenarios de la prueba.
- Datos de entrada.
- Resultados esperados.
- Resultados obtenidos.
- Aislamiento de problemas y procedimientos de resolucin.
2) Se involucra a los usuarios en las pruebas de cambios y se requiere la autorizacin del rea
administrativa del usuario para la aceptacin del cambio a programas y/o configuracin del aplicativo.
- Existen evidencia de las pruebas de aceptacin por parte del usuario final

1) Todos los cambios a programas y/o configuracin del aplicativo son autorizados por la administracin
antes de su implementacin en el ambiente de produccin.

1) Las responsabilidades de autorizacin de implantacin de cambios a programas y/o configuracin del

aplicativo y la liberacin de los mismos han sido adecuadamente segregadas.
2) Existen ambientes separados de pruebas y produccin para las aplicaciones y su acceso ha sido
restringido adecuadamente.
3) Las responsabilidades requeridas en el proceso de desarrollo e implantacin de sistemas han sido
adecuadamente segregadas.

1) Existen controles para asegurar que los procedimientos batch relevantes para el proceso y control de
informacin financiera son ejecutados en su totalidad, en el orden definido y en horarios especficos (de
ser aplicable).

1) Se han implantado procedimientos adecuados de resguardo de la informacin para asegurar la

disponibilidad de la informacin histrica requerida por leyes y otras normas (p.e. back-ups, resguardo en
sitio alterno, mantenimiento de toda la informacin en lnea, etc.)

1) Existe un procedimiento para la resolucin de problemas operacionales (de usuarios), las fallas son
registradas y se monitorea su resolucin.
2) Existe un procedimiento de resolucin de problemas con impacto en el reporte financiero definido y
documentado y las fallas que pueden afectar la totalidad, exactitud o validez de la informacin son
registradas y se monitorea su resolucin.
1) Se ha desarrollado un Disaster Recovery Plan formal basado en un anlisis de impacto al negocio
(BIA) el cual es probado al menos una vez al ao y se encuentra adecuadamente difundido (aplica en el
caso de entidades financieras)
2) Existen controles para la recuperacin de sistemas crticos en una localidad alterna en caso de algn
evento o desastre, en cuanto a la integridad de datos y transacciones.

Evaluacin de diseo
para cada control y
conclusin