Empresa a auditar Objetivo de Control Fecha Auditoria

Educar y Entrenar a los Usuarios. 07 07 08

Bibiana García Duque.

Auditores
Paula Andrea Zuluaga.
Responsable auditado
El propósito de está auditoria incluye la definición y ejecución de una estrategia para llevar a
cabo un entrenamiento efectivo y para medir los resultados.
 CONTENIDO

CONTENIDO................................................................................................................ ..................2

1. DESCRIPCIÓN DEL PROCESO............................................................................. ..................3

1.1 OBJETIVO DE CONTROL DE ALTO NIVEL ............................................................................................... 3

1.2 OBJETIVOS DE CONTROL DETALLADOS..................................................................................................5
1.3 INFORMACIÓN DE APOYO.....................................................................................................................6
1.3.1 DIRECTRICES GENERALES..................................................................................................................6
1.3.2 GRÁFICA RACI..............................................................................................................................6
1.3.3 METAS Y MÉTRICAS..........................................................................................................................7
1.4 MODELO DE MADUREZ......................................................................................................................7

2. GUÍA DE AUDIOTORIA................................................................................... .......................10

2.1 OBJETIVOS DE CONTROL...................................................................................................................10

2.2 OBTENCIÓN DE CONOCIMIENTO..........................................................................................................10
2.2.1 RECURSO HUMANO A CONSULTAR......................................................................................................10
2.2.2 INFORMACIÓN A CONOCER................................................................................................................10
2.3 ASPECTOS A EVALUAR.......................................................................................................................11
2.3.1 EVALUACIÓN DE LOS CONTROLES, CONSIDERANDO SI:...........................................................................11
2.3.2 EVALUACIÓN DE LA SUFICIENCIA, PROBANDO QUE:..............................................................................13

2.3.3 EVALUACIÓN DEL RIESGO................................................................................................................14

2.4 HERAMIENTAS.................................................................................................................................14
Educar y Entrenar a los Usuarios.
CHauditoria Consultores S.A.

1. DESCRIPCIÓN DEL PROCESO

1.1 Objetivo de control de alto nivel

Para una educación efectiva de todos los usuarios de sistemas de TI, incluyendo
aquellos dentro de TI, se requieren identificar las necesidades de entrenamiento
de cada grupo de usuarios. Además de identificar las necesidades, este proceso
incluye la definición y ejecución de una estrategia para llevar a cabo un
entrenamiento efectivo y para medir los resultados. Un programa efectivo de
entrenamiento incrementa el uso efectivo de la tecnología al disminuir los errores,
incrementando la productividad y el cumplimiento de los controles clave tales
como las medidas de seguridad de los usuarios.
Cumplimiento

Confiabilidad
Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

P S

Satisface el requisito del negocio de TI para: el uso efectivo y eficiente de

soluciones y aplicaciones tecnológicas y el cumplimiento del usuario con las
políticas y procedimientos.

Enfocándose en: un claro entendimiento de las necesidades de entrenamiento de

los usuarios de TI, la ejecución de una efectiva estrategia de entrenamiento y la
medición de resultados.

Descripción del proceso Página 3 de 14

Educar y Entrenar a los Usuarios.
CHauditoria Consultores S.A.

Se logra con:

Establecer un programa de entrenamiento

Organizar el entrenamiento

Impartir el entrenamiento

Monitorear y reportar la efectividad del entrenamiento

Y se mide con:

Número de llamadas de soporte debido a problemas de entrenamiento.

Porcentaje de satisfacción de los participantes con el entrenamiento recibido.

Lapso de tiempo entre la identificación de la necesidad de entrenamiento y la

impartición del mismo.

Focos de gobierno IT:

Primaria: Entrega de Valor.

Secundaria: Alineación estratégica y Administración de riesgos.

Recursos de TI implicados:

 Personas.

Descripción del proceso Página 4 de 14

Educar y Entrenar a los Usuarios.
CHauditoria Consultores S.A.

1.2 Objetivos de control detallados

DS7.1 Identificación de necesidades de entrenamiento y educación:

Establecer y actualizar de forma regular un programa de entrenamiento para cada
grupo objetivo de empleados, que incluya:
• Estrategias y requerimientos actuales y futuros del negocio.
• Valores corporativos (valores éticos, cultura de control y seguridad, etc.)
• Implementación de nuevo software e infraestructura de TI (paquetes y
aplicaciones)
• Habilidades, perfiles de competencias y certificaciones actuales y/o credenciales
necesarias.
• Métodos de impartición (por ejemplo, aula, web), tamaño del grupo objetivo,
accesibilidad y tiempo.

DS7.2 Impartición de entrenamiento y educación: Con base en las necesidades

de entrenamiento identificadas, identificar: a los grupos objetivo y a sus miembros,
a los mecanismos de impartición eficientes, a maestros, instructores y consejeros.
Designar instructores y organizar el entrenamiento con tiempo suficiente.
Debe tomarse nota del registro (incluyendo los prerrequisitos), la asistencia, y de
las evaluaciones de desempeño.

DS7.3 Evaluación del entrenamiento recibido: Al finalizar el entrenamiento,

evaluar el contenido de la entrenamiento respecto a la relevancia, calidad,
efectividad, percepción y retención del conocimiento, costo y valor. Los resultados
de esta evaluación deben contribuir en la definición futura de los planes de estudio
y de las sesiones de entrenamiento.

Descripción del proceso Página 5 de 14

Educar y Entrenar a los Usuarios.
CHauditoria Consultores S.A.

1.3 Información de apoyo

1.3.1 Directrices Generales

1.3.2 Gráfica RACI

Descripción del proceso Página 6 de 14

Educar y Entrenar a los Usuarios.
CHauditoria Consultores S.A.

1.3.3 Metas y métricas

1.4 Modelo de Madurez

La administración del proceso de educar y entrenar a los usuarios que satisfagan

los requerimientos del negocio de TI de tener un uso efectivo y eficiente de
soluciones y aplicaciones tecnológicas y lograr que los usuarios cumplan con las
políticas y los procedimientos es:

0 No-existente cuando, hay una total falta de programas de entrenamiento y

educación. La organización no reconoce que hay un problema a ser atendido
respecto al entrenamiento y no hay comunicación sobre el problema.

Descripción del proceso Página 7 de 14

Educar y Entrenar a los Usuarios.
CHauditoria Consultores S.A.

1 Inicial/Ad Hoc cuando, hay evidencia de que la organización ha reconocido la

necesidad de contar con un programa de entrenamiento y educación, pero no hay
procedimientos estandarizados. A falta de un proceso organizado, los empleados
han buscado y asistido a cursos de entrenamiento por su cuenta. Algunos de
estos cursos de entrenamiento abordan los temas de conducta ética, conciencia
sobre la seguridad en los sistemas y prácticas de seguridad. El enfoque global de
la gerencia carece de cohesión y sólo hay comunicación esporádica e
inconsistente respecto a los problemas y enfoques para hacerse cargo del
entrenamiento y la educación.

2 Repetible pero intuitivo cuando, hay conciencia sobre la necesidad de un

programa de entrenamiento y educación, y sobre los procesos asociados a lo
largo de toda la organización. El entrenamiento está comenzando a identificarse
en los planes de desempeño individuales de los empleados. Los procesos se han
desarrollado hasta la fase en la cual se imparte entrenamiento informal por parte
de diferentes instructores, cubriendo los mismos temas de materias con diferentes
puntos de vista. Algunas de las clases abordan los temas de conducta ética y de
conciencia sobre prácticas y actividades de seguridad en los sistemas. Hay una
gran dependencia del conocimiento de los individuos. Sin embargo, hay
comunicación consistente sobre los problemas globales y sobre la necesidad de
atenderlos.

3 Proceso definido cuando, el programa de entrenamiento y educación se

institucionaliza y comunica, y los empleados y gerentes identifican y documentan
las necesidades de entrenamiento. Los procesos de entrenamiento y educación se
estandarizan y documentan. Para soportar el programa de entrenamiento y
educación, se establecen presupuestos, recursos, instructores e instalaciones. Se
imparten clases formales sobre conducta ética y sobre conciencia y prácticas de
seguridad en los sistemas. La mayoría de los procesos de entrenamiento y
educación son monitoreados, pero no todas las desviaciones son susceptibles de

Descripción del proceso Página 8 de 14

Educar y Entrenar a los Usuarios.
CHauditoria Consultores S.A.

detección por parte de la gerencia. El análisis sobre problemas de entrenamiento y

educación solo se aplica de forma ocasional.

4 Administrado y medible cuando, hay un programa completo de entrenamiento

y educación que produce resultados medibles. Las responsabilidades son claras y
se establece la propiedad sobre los procesos. El entrenamiento y la educación son
componentes de los planes de carrera de los empleados. La gerencia apoya y
asiste a sesiones de entrenamiento y de educación. Todos los empleados reciben
entrenamiento sobre conducta ética y sobre conciencia y prácticas de seguridad
en los sistemas. Todos los empleados reciben el nivel apropiado de entrenamiento
sobre prácticas de seguridad en los sistemas para proteger contra daños
originados por fallas que afecten la disponibilidad, la confidencialidad y la
integridad. La gerencia monitorea el cumplimiento por medio de revisión constante
y actualización del programa y de los procesos de entrenamiento. Los procesos
están en vía de mejora y fomentan las mejores prácticas internas.

5 Optimizado cuando, el entrenamiento y la educación dan como resultado la

mejora del desempeño individual. El entrenamiento y la educación son
componentes críticos de los planes de carrera de los empelados. Se asignan
suficientes presupuestos, recursos, instalaciones e instructores para los
programas de entrenamiento y educación. Los procesos se afinan y están en
continua mejora, tomando ventaja de las mejores prácticas externas y de modelos
de madurez de otras organizaciones. Todos los problemas y desviaciones se
analizan para identificar las causas de raíz, se identifican y llevan a cabo acciones
de forma expedita. Hay una actitud positiva con respecto a la conducta ética y
respecto a los principios de seguridad en los sistemas. La TI se utiliza de manera
amplia, integral y óptima para automatizar y brindar herramientas para los
programas de entrenamiento y educación. Se utilizan expertos externos en
entrenamiento y se utilizan benchmarks del mercado como orientación.

Descripción del proceso Página 9 de 14

Educar y Entrenar a los Usuarios.
CHauditoria Consultores S.A.

2. GUÍA DE AUDIOTORIA

2.1 Objetivos de control

Identificación de las necesidades de formación.

Organización del Formación.

Principio de Seguridad y Conciencia del Formación.

2.2 Obtención de conocimiento

2.2.1 Recurso humano a consultar

Director de formación o de recursos humanos de la organización.

Director de formación o de recursos humanos de los servicios de información.

Responsable y empleados seleccionados de los servicios de información.

Responsables y empleados seleccionados de los departamentos de usuarios.

2.2.2 Información a conocer

Políticas y procedimientos generales para la organización con respecto a la

formación sobre controles y conciencia sobre seguridad, beneficios para los
empleados enfocados al desarrollo, programas de formación para los usuarios de

Descripción del proceso Página 10 de 14

Educar y Entrenar a los Usuarios.
CHauditoria Consultores S.A.

los servicios, instalaciones educacionales y requerimientos de educación

continua profesional.

Programas, políticas y procedimientos de formación y de educación de los

servicios de información relacionados con controles y concienciación sobre
seguridad, seguridad técnica y controles.

Programas de formación disponibles (tanto internos como externos) sobre

seguridad y conciencia sobre controles introductorios y continuos, así como
para formación dentro de la organización.

2.3 Aspectos a evaluar

2.3.1 Evaluación de los controles, considerando si:

Existen políticas y procedimientos relacionados con una concienciación

continuada sobre seguridad y controles.

Se cuenta con un programa de educación y formación enfocado a los

principios de seguridad de los sistemas de información y de control.

Los nuevos empleados tienen conocimiento y conciencia de la responsabilidad

sobre seguridad y control con respecto a la utilización y la custodia de los
recursos de los sistemas de información.

Se cuenta con políticas y procedimientos vigentes relacionados con la

formación y si éstos están actualizados con respecto a la configuración técnica de
los recursos de los sistemas de información.

Existe disponibilidad de oportunidades de formación interna, considerando

también la asistencia a los empleados.

Descripción del proceso Página 11 de 14

Educar y Entrenar a los Usuarios.
CHauditoria Consultores S.A.

Existe disponibilidad de oportunidades de formación técnica externa,

considerando también la asistencia a los empleados.

Si una función de formación asesora sobre las necesidades de formación

del personal con respecto a la seguridad y controles, trasladando estas
necesidades en oportunidades de formación tanto interna como externa.

Se requiere a todos los empleados asistir a la formación sobre concienciación de

la necesidad de control y seguridad continuamente, esta información
incluirían, sin limitarse a:

Principios generales de seguridad de los sistemas.

Conducta ética de los servicios de información.
Prácticas de seguridad para la protección contra daños ocasionados por
fallos que afectan la disponibilidad, confidencialidad, integridad y resultado de
las funciones de una forma segura.
Existen las responsabilidades asociadas con la custodia y utilización de los
recursos de los sistemas de información.
La seguridad de la información y los sistemas de información cuando se
utilizan externamente.

La capacitación sobre la sensibilización respecto a la seguridad incluye una

política para evitar la exposición de la información sensible a través de
conversaciones (ej., avisando sobre el estado de la información a todas las
personas que toman parte en la conversación).

Descripción del proceso Página 12 de 14

Educar y Entrenar a los Usuarios.
CHauditoria Consultores S.A.

2.3.2 Evaluación de la suficiencia, probando que:

Los nuevos empleados tienen conciencia y conocimiento sobre seguridad,

controles y responsabilidades fiduciarias de poseer y utilizar recursos de los
sistemas de información.

Las responsabilidades de los empleados con respecto a la confiabilidad,

integridad, disponibilidad, confidencialidad y seguridad de todos los recursos de
los sistemas de información es comunicada continuamente.

Un grupo de los servicios de información es formalmente responsable de la

formación, concienciación sobre seguridad y controles, y mantenimiento de
programas de educación continua para certificaciones profesionales.

Se considera continuamente la evaluación de las necesidades de formación

para los empleados.

El desarrollo o la participación en los programas de formación relacionados

con la seguridad y los controles es parte de los requerimientos de formación.

Existen programas reales nuevos y a largo plazo de formación y

concienciación sobre seguridad para los empleados.

Los acuerdos de confidencialidad son firmados por todos los empleados.

No faltan estatutos de confidencialidad y conflicto de intereses para los

empleados.

Descripción del proceso Página 13 de 14

Educar y Entrenar a los Usuarios.
CHauditoria Consultores S.A.

2.3.3 Evaluación del riesgo

2.3.3.1 Llevando a cabo:

Una revisión de los manuales de formación en cuanto a su adecuación y

suficiencia con respecto a los controles de seguridad, confidencialidad,
confiabilidad, disponibilidad e integridad.

Entrevistas al personal de los servicios de información para determinar la

identificación de las necesidades de formación y la extensión o satisfacción de
tales necesidades.

2.3.3.2 Identificando

Inconsistencias en el currículum ofrecido como respuesta a las necesidades de

formación.

Deficiencias en la concienciación de los usuarios en cuanto a los problemas de

seguridad relacionados con la utilización de los recursos de los sistemas de
información.

2.4 Heramientas

Las herramientas para esta auditoria están consignadas en Herramientas Auditoria

DS7

Descripción del proceso Página 14 de 14