TALLER DE APLICACIN DE LAS PRCTICAS DE ASEGURAMIENTO DE LA TI

OBJETIVO

Identificar los Prcticas de Gobierno/Gestin, que debieron aplicarse para prevenir las
situaciones descritas durante las actividades de procesamiento electrnico de datos.

A continuacin se presentan debilidades de control las cuales estarn a punto de ser

incluidas en un informe de monitoreo que va ser dirigido al Director de la Organizacin

El trabajo se desarrollar en Grupos de 4 personas.

Situacin 1

Administracin de Requerimientos al Departamento de Desarrollo de Sistemas.

La atencin de requerimientos (mejoras adaptaciones a los sistemas) solicitados por

los usuarios al Dpto. de Desarrollo de Sistemas son realizadas a travs de un
procedimiento manual no aprobado (Hoja de Requerimientos), que en ocasiones no
permite realizar el seguimiento oportuno del requerimiento quedando pendientes
algunas solicitudes de cambios o mejoras de los sistemas.

Situacin 2

Carencia de Documentacin de las Pruebas de Programas y de Sistemas.

Durante nuestra revisin se apreci la ausencia de procedimientos formales que

documenten apropiadamente el plan de pruebas de nuevas funcionalidades; en cuanto
a descripcin de las mismas, datos a ser usados, metodologa para el desarrollo de
dichos datos y los resultados esperados.
Situacin 3

Catalogacin de Versiones de Programas Fuentes

En nuestra revisin hemos observado que el Dpto. de Micro computacin y Redes

tiene el control de los programas fuentes de los aplicativos almacenados en un
servidor. Adems se apreci la falta de procedimientos para el control de estos
programas fuentes. Sin embargo el Dpto. de Desarrollo de Sistemas debera
considerar un inventario de los programas fuentes y sus versiones instaladas en los
computadores as como tambin un procedimiento para la actualizacin de estas
versiones.

QUE PROCESO DEBEN IMPLEMENTAR

Construir, adquirir e implementar

BAI01 Gestionar programas y proyectos.
BAI02 Gestionar la definicin de requisitos.
BAI03 Gestionar la identificacin y construccin de soluciones.
BAI04 Gestionar la disponibilidad y la capacidad.
BAI05 Gestionar la introduccin del cambio organizativo.
BAI06 Gestionar los cambios.
BAI07 Gestionar la aceptacin del cambio y la transicin.
BAI08 Gestionar el conocimiento.
BAI09 Gestionar los activos.
BAI10 Gestionar la configuracin.

QUE PRACTICAS
Nombre de la
Practice ID Prctica de gobierno
Prctica
BAI01.01 Mantener un Mantener un enfoque estndar para la gestin de
enfoque programas y proyectos que posibilite revisiones y
estndar para la tomas de decisin de gobierno y de gestin y
gestin de actividades de gestin de la entrega, enfocadas en la
programas y consecucin de valor y de objetivos (requisitos,
proyectos. riesgos, costes, cronograma y calidad) para el negocio
de una forma consistente.

Aseguramiento de TI Ing. Ernesto Karlo Celi Arvalo

BAI02.01 Definir y Basndose en el caso de negocio, identificar, priorizar,
mantener los especificar y acordar los requerimientos de
requerimientos informacin de negocio, funcionales, tcnicos y de
tcnicos y control que cubra el alcance/entendimiento de todas
funcionales de las iniciativas necesarias para alcanzar los resultados
negocio. esperados de la solucin de negocio de TI propuesta.

BAI03.01 Disear Desarrollar y documentar diseos de alto nivel usando

soluciones de tcnicas de desarrollo gil o por fases apropiadas y
alto nivel. acordadas. Asegurar elmalineamiento con la estrategia

TI y la arquitectura empresarial. Revalorar y actualizar

los diseos cuando sucedan cuestiones significativas
durante las fases de diseo detallado o de
construccin o segn la solucin evolucione. Asegurar
que las partes
interesadas participen activamente en el diseo y en la
aprobacin de cada versin.

Practice ID Nombre de la Prctica de gobierno

Prctica

Aseguramiento de TI Ing. Ernesto Karlo Celi Arvalo

BAI04.01 Evaluar la Evaluar la disponibilidad, el rendimiento y la capacidad
disponibilidad, de los servicios y recursos para asegurar que se
rendimiento y encuentra disponible una capacidad y un rendimiento
capacidad actual justificables en costes para dar soporte a las
y crear una lnea necesidades del negocio y para entregar el servicio de
de referencia. acuerdo a los ANSs. Crear lneas de referencia para
la disponibilidad, el rendimiento y la capacidad para
comparaciones futuras.

Practice ID Nombre de la Prctica de gobierno

Prctica

BAI05.01 Establecer el Comprender el alcance e impacto del cambio divisado

deseo de y la disposicin/voluntad de cambiar de las partes
cambiar. interesadas. Identificar las acciones para motivar a las
partes interesadas para aceptar y querer que el cambio
sea exitoso.

Aseguramiento de TI Ing. Ernesto Karlo Celi Arvalo

Practice ID Nombre de la Prctica de gobierno
Prctica

BAI06.01 Evaluar, priorizar Evaluar todas las peticiones de cambio para

y autorizar determinar su impacto en los procesos de negocio y
peticiones de los servicios TI, y analizar si el cambio afectar
cambio. negativamente al entorno operativo e introducir un
riesgo inaceptable.
Asegurar que los cambios son registrados, priorizados,
categorizados, analizados, autorizados, planificados y
programados.

Nombre de la
Practice ID Prctica de gobierno BAJOS
Prctica
BAI07.01 Establecer un Establecer un plan de implementacin que cubra la
plan de conversin de datos y sistemas, criterios de aceptacin
implementacin. de las pruebas,
comunicacin, formacin, preparacin del
lanzamiento, paso a produccin, soporte inicial en
produccin, plan de marcha atrs
o de contingencia y una revisin post-implantacin.
Obtener la aprobacin de las partes relevantes. 0

QUE TAREAS O ACTIVIDADES

Aseguramiento de TI Ing. Ernesto Karlo Celi Arvalo

Situacin 4.

Carencia de Procedimientos Estndares de desarrollo (Programas, Pantallas y

Diseo de Tablas)

Durante nuestra revisin se apreci la ausencia de procedimientos que estandaricen el

trabajo de los analistas y programadores de los sistemas en lo referente a las
estructuras de elaboracin del cdigo de los programas y diseos de las pantallas de
ambiente visual.
Se observ que algunos sistemas tienen el manual de diseo lgico y no el de diseo
fsico. Adems contienen: Nivel Cero, Diccionario de Datos y La relacin de tablas
(Bosquejo final sin normalizar).

Situacin 5.

Carencia de Herramientas de Modelamiento de datos

Se ha observado que el Departamento de Desarrollo de Sistemas, no cuenta con

herramientas de tecnologa de informacin que permita realizar las actividades de
Modelamiento de Datos y Elaboracin de Diagramas de Entidad Relacin.

Situacin 6.

Existencia de Software Aislado

Durante nuestra revisin evidenciamos la existencia de un software que es utilizado

para el Manejo de las Planillas administrado por el usuario. Este sistema no esta
integrado a los sistemas actualmente existentes y los Departamentos de desarrollo de
sistemas y redes de micro computacin no brindan el soporte correspondiente a este
aplicativo.

Situacin 7

Carencia de Pistas de Auditora.

En el proceso de relevamiento evidenciamos que algunos aplicativos existentes no

guardan informacin acerca de pistas de auditora originando que no existan
mecanismos para realizar las actividades de control de los procesos del negocio.

Situacin 8.

Bitcoras de Actividad.

Hemos observado que no existe un registro (log de actividades) en donde se aprecie

cronolgicamente los trabajos, cambios o modificaciones ocurridas durante el tiempo
de funcionamiento de los computadores, as como tambin un registro histrico de las
paradas de los sistemas y de los mantenimientos realizados a los servidores.

Aseguramiento de TI Ing. Ernesto Karlo Celi Arvalo

Situacin 9.

Carencia de Procedimientos de Respaldo y Recuperacin de programas fuentes

Hemos evidenciado la carencia de procedimientos formales de respaldo y

recuperacin en tal sentido solo se realizan estas actividades para ciertos servidores
como los ubicados en la sede Tomas Valle.

Situacin 10.

Plan de Contingencias.

Hemos evidenciado que no existe un procedimiento formal por escrito y coordinado

que evidencie la preparacin de los sectores ante alguna posible contingencias. Solo
se ha evidenciado un programa de los mantenimientos efectuados a algunos equipos.

Situacin 11.

Inventario de Hardware y Software

Hemos observado que no se encuentra un inventario debidamente actualizado y que

contenga adems informacin necesaria para poder realizar actividades de control. En
tal sentido solo se encuentran inventarios que no son lo suficientemente fciles de
revisar y actualizar.

Situacin 12.

Poltica Antivirus

Uno de los principales riesgos en lo que respecta a la Seguridad de la Informacin es

el impacto que tienen los Virus Informticos sobre la informacin que maneja la
compaa.
En nuestra evaluacin hemos evidenciado que la Sub Gerencia de Informtica y
Racionalizacin de ABCD cuenta con un antivirus denominado MATABICHO el que
no ofrece las caractersticas de un antivirus corporativo que debe estar instalado en los
Servidores y en los equipos de cmputo de los usuarios.

Aseguramiento de TI Ing. Ernesto Karlo Celi Arvalo