Business">
Mimbela em
Mimbela em
Mimbela em
TESINA
AUTORES
Medalith Ingrid MIMBELA ESTRADA
Ralph Guido PALOMINO GUTIÉRREZ
ASESOR
José Antonio PÉREZ QUITANILLA
Lima, Perú
2010
Reconocimiento - No Comercial - Compartir Igual - Sin restricciones adicionales
https://creativecommons.org/licenses/by-nc-sa/4.0/
Usted puede distribuir, remezclar, retocar, y crear a partir del documento original de modo no
comercial, siempre y cuando se dé crédito al autor del documento y se licencien las nuevas
creaciones bajo las mismas condiciones. No se permite aplicar términos legales o medidas
tecnológicas que restrinjan legalmente a otros a hacer cualquier cosa que permita esta licencia.
Referencia bibliográfica
AGRADECIMIENTOS
Nuestro agradecimiento a los profesores de la UNMSM por ser una guía para
nuestro desarrollo personal y profesional durante nuestro paso por la
universidad.
Gracias a Dios, por la vida y por los sueños que poco a poco se van
haciendo realidad.
Ficha catalográfica
Mimbela Estrada, Medalith Ingrid
Palomino Gutiérrez, Ralph Guido
Diseño de un Sistema Experto de Apoyo a los Procesos de Auditoría basado en
COBIT: Caso Práctico Auditoría de Base de Datos (Proceso PO2)
Seguridad y Auditoría Informática
(Lima 2010)
RESUMEN
Palabras claves:
Auditoría, Cobit, Sistema Experto, Estándar, Diseño Sistemas.
ABSTRACT
This research work represents the completion of the studies carried out on
the field of Systems Auditing. The investigation arises as a result of the
growing need of organizations have automated tools that allow managing
information in a timely and reliable. However due to this need, the systems
are increasingly complex, integrated and related. This makes it increasingly
necessary in all organizations ensure compliance with established rules and
procedures related with the management of information technologies.
The result of this work is designing software to support the audit, based on
the of best practices (framework) for IT: COBIT, which allows its users to
obtain the level of maturity in the IT area using a simple method: validation
the level of maturity through questionnaires, through weighting scheme, a
plan of audit activity and recommendations for improving the level of
maturity in the IT area.
The proposed design represents a flexible tool that allows coupling widely
new evaluation standards by updating the knowledge base in each COBIT
control objective. It is also easy to maintain, flexible and simple. Through
this work aims to bring an organization to continuous improvement
procedures, the recommendations and, thus, maintain better control of
software and activities related thereto.
Keywords:
Audit, Cobit, Expert System, Standard, Systems Design.
INDICE
AGRADECIMIENTOS ....................................................................................... 3
RESUMEN ..................................................................................................... 5
ABSTRACT .................................................................................................... 6
INDICE ......................................................................................................... 7
INTRODUCCION ........................................................................................... 11
CAPITULO I .................................................................................................. 12
ANTECEDENTES ........................................................................................... 12
DEFINICION DEL PROBLEMA .......................................................................... 14
PROPUESTA ................................................................................................. 14
OBJETIVOS DEL TRABAJO .............................................................................. 15
1. Objetivo General............................................................................... 15
2. Objetivos Específicos ......................................................................... 15
JUSTIFICACION ............................................................................................ 16
ALCANCES ................................................................................................... 16
LIMITACIONES ............................................................................................. 16
CAPITULO II ................................................................................................ 17
MARCO TEORICO .......................................................................................... 17
1. Marcos de Referencia Para Auditoría ........................................................ 17
1.1 Objetivos de Control para Información y Tecnología (COBIT) ................. 17
1.2 Objetivos de Control y auditoria de Bases de Datos .............................. 19
2. Conceptos de Auditoria ...................................................................... 23
3. Auditoria y Seguridad en Servidores de Base de Datos .......................... 26
3.1 Seguridad y auditoria en Base de Datos Oracle .................................... 27
3.2 Seguridad y auditoria en un entorno de SQL Server .............................. 27
3.3 Seguridad y auditoria en un entorno de Base de datos DB2 ................... 28
3.4 Seguridad y auditoria en un entorno de Base de datos MySQL ............... 28
4. Sistemas Expertos ............................................................................ 29
Aspectos técnicos de un sistema experto ..................................................... 29
Tipos de Sistemas Expertos ....................................................................... 33
Tecnologías de Sistemas Expertos .............................................................. 34
Métodos de Validación de Un Sistema Experto para auditoria ......................... 35
Validación de un sistema experto ................................................................ 35
CAPITULO III ............................................................................................... 37
ESTADO DEL ARTE ........................................................................................ 37
I. Contexto ......................................................................................... 37
II. Sistemas desarrollados ...................................................................... 37
A. AUDES ............................................................................................ 37
B. Planning Advisor. .............................................................................. 41
C. Sistema Experto para auditoria de Plantas nucleares ............................. 43
D. Oracle Internal Controls Manager [OICM] ............................................ 46
E. DENDRAL......................................................................................... 48
F. MILK ............................................................................................... 49
G. Jasper II .......................................................................................... 51
H. DIAMS ............................................................................................. 52
I. El modelo KLC .................................................................................. 52
J. El Proyecto MDKT ............................................................................. 53
K. Acquisition Solution Knowledge Center ............................................... 54
L. Meycor Cobit Suite. ........................................................................... 54
BENCHMARK ................................................................................................ 56
Benchmarking Marcos de Referencia para Auditoría de TI .............................. 56
Benchmarking Sistemas apoyo a la Auditoría y Sistemas Expertos. ................. 58
CAPITULO IV ................................................................................................ 60
APORTE TEORICO ......................................................................................... 60
MAPA DE PROCESOS COBIT PARA BASE DE DATOS ....................................... 64
Índice de Ilustraciones
Índice de Tablas
INTRODUCCION
CAPITULO I
ANTECEDENTES
PROPUESTA
1. Objetivo General
2. Objetivos Específicos
JUSTIFICACION
ALCANCES
LIMITACIONES
CAPITULO II
MARCO TEORICO
Las actividades o procesos definidos para COBIT v.4.1 son las siguientes:
Las salidas cuadran rutinariamente con los totales de control relevantes. Las
pistas de auditoría facilitan el rastreo del procesamiento de las
transacciones y la conciliación de datos alterados.
Controles de límites
2. Conceptos de Auditoria
Principio de Autenticidad
El principio fundamental de la Auditoría es el de autenticidad. El auditor
tiene que analizar todos los elementos informativos de la empresa con dos
objetivos principales: comprobar la corrección de lo realizado (calidad), y
que la información presentada refleja la situación verdadera sin
ambigüedades (fiabilidad). [AUDIT]
Por su amplitud:
- Auditoría total: Afecta a todos los elementos de la empresa.
- Auditoría parcial: Se concentra en determinados elementos de la
empresa.
Por su frecuencia:
- Auditoría permanente: Se realiza periódicamente a lo largo del
ejercicio económico.
- Auditoría ocasional: Se realiza de forma esporádica.
2.2.1 Principios
2.2.2 Tipos
Los Servidores de Base de Datos son cada vez más complejos y no solo se
limitan a la instalación de un repositorio de datos o Sistema Gestor de Base
de Datos (SGBD), por el contrario poseen una serie de herramientas y
características que también deben ser analizadas. Un SGBD posee distintos
elementos los cuales se presentan de forma detallada en el siguiente
esquema.
SGBD
Protocolo y
servicios de red
Diccionario y NUCLEO -
Sistema Operativo
catalogo de KERNEL
Datos
Software para
Recuperación
(backups)
Lenguaje de 4 Mecanismos de
Aplicaciones, generación Administración
adaptadores,
librerías
Middlewares y
protocolos
Software o Gestión de
paquetes de Usuarios
Auditoria
4. Sistemas Expertos
Base de hechos
Base de conocimientos
Motor de inferencia
Módulos de comunicación o de entrada-salida que se subdivide en:
Módulo de consulta o del usuario
Módulo de trabajo o del experto
Usuario Experto
INICIO
Determina una
regla NO
Es
correcta
La regla se
incorpora a la
Base de
Conocimiento
SI
Más
Reglas
FIN
INICIO
Detecta un
hecho
SI NO
Es
correcto
El hecho se
incorpora la
base de hechos
NO
Existe Se determina
regla para una regla
este hecho
SI NO
Más
hechos
FIN
VERIFICACIÓN DE UN HECHO
En este proceso, una vez tomado un hecho, se produce el encadenamiento
hacia atrás. Es decir, se parte de la premisa para llegar a los datos
[JCScarabino, 2000].
INICIO
Incorporo el
hecho
Encadenamien
to hacia atrás
Se Veré A Ingreso
FIN verifica? todos los de reglas
hechos?
SI SI
A Ingreso
Veré
de Hechos
todas las
reglas?
SI
DEDUCCIÓN DE UN HECHO
En este proceso, primero se requieren los datos para analizar la premisa. O
sea, partimos del:
INICIO
Encadenamiento
hacia adelante
SI A Ingreso
Usé todas
de Hechos
las
reglas?
Métodos de validación
CAPITULO III
I. Contexto
A. AUDES
1
RACF: Es un producto de IBM, consiste en una plataforma de seguridad que proporciona
control para z/OS y z/VM.
A.1 Diseño
De cada una de estas etapas las que son más importantes son las
siguientes:
A.1.1 Detección
A.1.2. Seguimiento
En la mayor parte del desarrollo del proyecto, las guías del sistema y otros
documentos usados por los auditores de seguridad no han sido escritos por
los programadores. Las personas responsables de escribir a documentación
son en general, profesionales calificados en trabajos de seguridad. En
términos generales la estructura de los procesos de violación de seguridad
es la siguiente, primero la acción es ignorada hasta un umbral, si sobrepasa
ese umbral se inician acciones de rastreo y luego acciones correctivas. Por
ejemplo para el caso de “violación parcial de inicio de sesión” la secuencia
fue documentada de la siguiente manera:
B. Planning Advisor.
Es un software desarrollado por Methodware de apoyo a la auditoria que
automatiza el proceso de planificación permitiendo al usuario definir los
grupos de proceso a evaluar y mostrándole las actividades a realizar,
además permite mantener un diccionario de datos y la lista de riesgos a
evaluar. El software permite adaptar el plan a la organización actualizando
información como: nombre de los recursos, áreas involucradas, definición
de los términos y tiempo de ejecución.
Esta herramienta está basada en riesgos, al aplicar este enfoque permite
aplicar los recursos de la auditoría a las áreas con mayor exposición
potencial. [Advisorv5].
Planning Advisor incluye entre sus diferentes módulos: Reportes y
diagramas indicando las unidades o áreas de proceso auditadas y los niveles
alcanzados, de acuerdo a la información ingresada por el auditor.
Esta herramienta contiene todos los procesos y los objetivos de control de
Cobit en su tercera versión.
El uso de Oracle Tutor, que se entrega como parte de OICM, permite crear
descripciones de procesos utilizando una interfaz de procesamiento de texto
además genera automáticamente diagramas de proceso correspondiente.
Oracle Tutor también ofrece procesos pre-definidos para la documentación
de Oracle E-Business Suite.
OICM proporciona una biblioteca que almacena los riesgos, controles,
procedimientos de auditoría, así como a sus asociaciones para los procesos
de negocio. OICM le permite asociar cada proceso con una cuenta
importante de estado financiero. También puede añadir atributos
personalizados a los riesgos, controles y procedimientos de auditoría.
Además de los tipos pre-definidos de riesgos para la ley Sarbanes-Oxley y
Basilea II, OICM le permite crear otras nuevas para apoyar a otros
reglamentos.
E. DENDRAL
El proyector DENDRAL tuvo sus orígenes en 1965, cuando Feighembaum,
tras instalarse en la Universidad de Stanford, comenzó a trabajar con el
profesor Joshua Lederberg, especializado en Química Molecular. Ambos
investigadores, compartían la misma inquietud: la posibilidad de usar los
ordenadores para modelar el pensamiento científico. [DENDRAL1]
E.1 Motivación
Una molécula se pude considerar como un grafo donde cada nodo
representa un átomo y cada eje que une dos nodos, la unión química que
existe entre ambos.
Para conocer la estructura de una molécula, se utiliza un espectrómetro
másico que permite, a través de un haz de electrones, dividir la molécula en
distintos iones. Estos iones o fragmentos son acelerados y medidos unos
por uno, ordenándose por su número másico. El análisis de estos
fragmentos, tal y como se explica posteriormente, da lugar al conocimiento
de la estructura inicial de la molécula. El principal problema que aparece en
dicho estudio es la aleatoriedad que se produce en la fragmentación de
moléculas complejas, no siempre se produce del mismo modo; se considera
que el bombardeo de electrones es una fuerza no determinista. Entonces,
¿cómo se pueden obtener los resultados deseados?
Un programa que permitiera enumerar todas las estructuras posibles que se
ajustan a los datos de partida, datos obtenidos del espectrómetro másico, y
que elimine aquellos que no cumplen las restricciones, lograría análisis más
eficientes de moléculas complejas, ya que este tipo de problemas son de
complejidad exponencial.
Primera Fase Consistía en calcular todos los compuestos que podían dan
lugar al número másico de la molécula inicial, teniendo en cuenta el número
másico de cada uno de los átomos en los que se dividía el compuesto y las
restricciones de valencia. Estas restricciones permitieron podar el árbol de
posibles soluciones rápidamente, reduciendo el coste computacional de la
búsqueda exhaustiva que se estaba realizando.
F. MILK
G. Jasper II
H. DIAMS
I. El modelo KLC
J. El Proyecto MDKT
El módulo permite:
Funcionalidades
El Modelo de Maduración.
Acceso multi-usuario y sincronización de respuestas para
evaluaciones efectuadas fuera de línea (off-line).
Gráficas de la evaluación del Modelo de Maduración, los Proyectos y
las Recomendaciones.
Reportes detallados del Modelo de Maduración y los Proyectos en
formato RTF, XLS y HTML.
Formularios para la evaluación del Modelo de Maduración en formato
HTML, que pueden ser evaluados en cualquier momento, enviados vía
e-mail al Administrador del producto y luego incorporados al
software.
Ayuda en línea.
El módulo utiliza Microsoft Access.
BENCHMARK
Un sistema puede evaluarse de dos formas para comprobar que cumple sus
atributos de calidad:
Flexibilidad.
Usabilidad.
Funcionalidad.
Adaptabilidad.
Seguridad.
Los acrónimos para identificar cada una de los sistemas a evaluar son:
CAPITULO IV
APORTE TEORICO
ESQUEMA DE EVALUACIÓN
Variables
- Puntaje máximo.
- Puntaje mínimo.
El puntaje máximo y mínimo definirán el rango entre los cuales puede variar
el puntaje final que se puede obtener en una auditoría, luego todo ese
rango será divido en 6 intervalos:
MODELO DE LA SOLUCIÓN
Dominios Libros
Otra parte importante de este modelo son las actividades, las actividades a
realizar son aquellas tareas que el sistema escoge para organizar un plan de
trabajo para los usuarios, estas actividades son seleccionadas por el sistema
gracias al nivel de madurez obtenido tras las encuestas, pero también son
actividades que están relacionadas a cada objetivo de control, es así que si
en alguno de los procesos de auditoría se detecta la no necesidad de
realizar una encuesta y el plan de trabajo depende solo de validaciones de
Nivel de
Madurez
Objetivo de Plan de
Control Trabajo
Actividades Recomenda
ciones
PO Planear y Organizar
AI Adquirir e Implantar
ME MONITOREAR Y EVALUAR
Planificar y Organizar
Objetivos Primarios
- Eficiencia
- Integridad
Objetivos secundarios
- Efectividad
- Confidencialidad
OBJETIVOS/METAS DE LA AUDITORIA
Optimizar el uso de información
Tener en cuenta y proteger los activos de TI
Proteger el logro de los objetivos de TI
Establecer la claridad del impacto de negocio de los riesgos a los objetivos y Recursos de TI
Variables de medición
- El porcentaje de elementos de datos redundantes / duplicados
Primarias
- Alineación estratégica
- Administración de recursos
Secundarias
- Entrega de valor
- Administración de riesgos
Recursos de TI
- Aplicaciones
- Información
Entradas
P01 - Planes estratégicos y tácticos de TI
AI1 - Estudio de factibilidad de requerimientos del negocio
AI7 - Revisión post-implantación
DS3 - Información de desempeño y capacidad
ME1 - Entrada de desempeño a planeación de TI
Salidas
Esquema de clasificación de datos (Salidas: AI2)
Plan de sistemas de negocio optimizado (Salidas: PO3, AI2)
Diccionario de datos (Salidas: AI2, DS11)
Arquitectura de información (Salidas: P03, DS5)
Clasificaciones asignadas de datos (Salidas: DS1, DS4, DS5, DS11, DS12)
Procedimientos y herramientas de clasificación (Salida externa a COBIT)
Enlazado con
PO2.1 Modelo de Arquitectura de Información empresarial. Peso la Pregunta
Salidas
La gerencia reconoce la necesidad de una arquitectura de información. El desarrollo de los componentes de una
Nivel 1 arquitectura de información ocurre de manera ad hoc.
Surge un proceso de arquitectura de información y existen procedimientos similares, aunque intuitivos e informales,
que se siguen por distintos individuos dentro de la organización. Las personas obtienen sus habilidades al construir la
Nivel 2 arquitectura de información por medio de experiencia práctica y la aplicación repetida de técnicas.
La importancia del modelo de arquitectura se entiende y se acepta, y la responsabilidad de su aplicación se asigna y se
comunica de forma clara. Los procedimientos, herramientas y técnicas relacionados, aunque no son sofisticados, se han
estandarizado y documentado. Se han desarrollado políticas básicas de arquitectura de información, incluyendo algunos
requerimientos estratégicos, aunque el cumplimiento de políticas y herramientas no se refuerza de manera
Nivel 3 consistente.
Se da soporte completo al desarrollo e implantación de la arquitectura de información por medio de métodos y técnicas
formales. La responsabilidad sobre el desempeño del proceso de desarrollo de la arquitectura se refuerza y se mide el
Nivel 4 éxito de la arquitectura de información. El proceso de definición de arquitectura de información es proactivo.
El valor del modelo de arquitectura de la información para el negocio se enfatiza de forma continua. El personal de TI
cuenta con la experiencia y las habilidades necesarias para desarrollar y dar mantenimiento a una arquitectura de
Nivel 5 información robusta. La arquitectura de la información se encuentra en un proceso de mejora continua.
Tabla 10. Niveles de Madurez para el Objetivo de Control PO2.1
Validar que existan modelos de referencia para la Diseñar y establecer cada proceso clave de TI de tal manera que sea repetible y consecuentemente
arquitectura, definición de datos. produzca los resultados esperados. Proveer una secuencia lógica pero flexible y escalable de
actividades que lleve a los resultados deseados y que sea lo suficientemente ágil para manejar las
excepciones y emergencias. Usar procesos consistentes, cuando sea posible, y ajustarlos sólo
cuando no se pueda evitar.
Validar que se aplican de forma adecuada y constante Enfatizar el uso de políticas y estandares para la arquitectura de TI como generador de valor dentro
las indicaciones del documento de arquitectura de de la organización.
información
Validar la consistencia entre el modelo de TI y la
arquitectura existente en la organización
Validar que existe personal de TI asignado y capacitado
para la documentacion de la arquitectura.
Enlazado con
PO2.2 Diccionario de datos empresarial y reglas de sintaxis de datos Peso la pregunta
1 ¿La organización cuenta con un Diccionario de datos empresarial?
abre: 2-8 , 9
siempre se
Si cuenta con un diccionario de datos 0 muestra
cierra 2-8,
No cuenta con un diccionario de datos 0 directo a la 9
¿Cuál es el rol de la persona o equipo encargados de crear/modificar
2 el diccionario de datos?
Jefe de TI 10
Arquitecto de Sistemas 8.3
Oficial de Seguridad (analista de seguridad de Información) 6.6
DBA 4.9
Analista de Sistemas 3.2
Desarrollador 1.5
Otro rol interno 0
¿Cada cuanto tiempo se realiza un proceso de actualización del
3 Diccionario de datos?
Frecuentemente, con periodicidad (cada semana –mes) 10
Frecuente, con periodicidad (cada mes – tres meses) 8.75
Poco frecuente, con periodicidad ( cada tres meses –seis meses) 7.50
Escasamente frecuente, con periodicidad (seis meses – Anualmente) 6.25
Muy Frecuente, sin periodicidad (semana –mes) 5.00
Frecuente, sin periodicidad (mes – tres meses) 3.75
Poco frecuente, sin periodicidad (tres meses –seis meses) 2.50
Escasamente frecuente, sin periodicidad (meses – Anualmente) 1.25
No es frecuente (0) 0
¿El diccionario de Datos de la organización es un documento válido
4 para el personal encargado de la(s) Base(s) de Datos?
Si, es útil en su totalidad (100%-80%) 10
Si, es útil (80%-60%) 7.5
Parcialmente es útil (60%-40%) 5
Escasamente útil (40%-20%) 2.5
No es útil (20%-0%) 0
¿Se realiza un proceso de verificación/control de calidad del
5 diccionario elaborado/modificado?
Si se ejecuta un proceso optimo de control de calidad 10
Se ejecuta un proceso de control de calidad 7
Se realiza un proceso mínimo de control de calidad 4
Salidas
Se cuenta con un modelo de datos empresarial el cual es elaborado por un responsable con los conocimientos
Nivel 3 necesarios, el documento actualizado y se reconoce la necesidad de realizarlo de forma continua.
El responsable de crear el diccionario de datos y las definiciones tiene un rol asociado con la tareas que realiza. El
proceso de actualización del diccionario y las reglas de sintaxis de datos se realiza de manera continua, es evaluado de
Nivel 4 acuerdo a la reglas de calidad de la organización.
Se reconoce la creación de un dicccionario de datos como un documento que genera valor y aporta a la arquitectura de
TI .El documento y actualizado de forma proactiva, es validado de acuerdo a las reglas de calidad y estandares de la
Nivel 5 organización. El documento representa de forma completa el estado real de la información de TI
Tabla 13. Niveles de Madurez para el Objetivo de Control PO2.2
Nivel 3
Validar la consistencia entre el diccionario de datos y Diseñar un proceso estandarizado de definición de datos y reglas de sintaxis . Evaluar la asignación
las entidades que forman parte del sistema. de una persona o equipo encargados del objetivo y de su mejora.
Definir un modelo estandarizado y frecuente para representar los cambios en el ambiente real.
Enlaza con
PO2.3 Esquema de clasificación de datos Peso Pregunta
1 ¿La organización cuenta con Esquemas de clasificación de datos?
Si 0 abre: 2- 7
No 0 cierra: 2- 7
¿El Esquema de clasificación de datos cuenta con reglas/sugerencias
2 para controlar y proteger la información clasificada?
Si cuenta con reglas 10
No tiene reglas definidas 0
¿Cuál es el rol de la persona o equipo encargados de crear/modificar los
3 esquemas de clasificación de datos?
Jefe de TI 10
Oficial de Seguridad (analista de seguridad de Información) 8.3
Arquitecto de sistemas 6.6
DBA 4.9
Analista de Sistemas 3.2
Desarrollador 1.5
Otro rol interno 0
¿Los esquemas de clasificación de datos de la organización son un
4 documento útil para el personal encargado de la(s) Base(s) de Datos?
Si, es útil en su totalidad (100%-80%) 10
Si, es útil (80%-60%) 7.5
Si, es parcialmente es útil (60%-40%) 5
Se, escasamente útil (40%-20%) 2.5
No es útil (20%-0%) 0
¿El esquema definido por la organización sigue un estándar de la
5 industria?
Si, un estándar internacional 10
Si, un estándar interno 5
No sigue un estándar especifico 0
¿Con que frecuencia se actualizan los Esquemas de clasificación de
6 datos?
Frecuentemente, con periodicidad (cada semana –mes) 10
Frecuente, con periodicidad (cada mes – tres meses) 8.75
Poco frecuente, con periodicidad ( cada tres meses –seis meses) 7.50
Escasamente frecuente, con periodicidad (seis meses – Anualmente) 6.25
Muy Frecuente, sin periodicidad (semana –mes) 5.00
Salidas
La organización reconoce tiene un esquema de clasificación de datos realizado de forma intuitiva e informal por
Nivel 2 personal no especializado . El esquema de clasificación es compartido con el personal involucrado.
La organización reconoce y utiliza el esquema como un modelo de referencia para la información que maneja. El
Nivel 3 esquema de clasificacion de datos es compartido de forma oportuna con el personal.
La clasificación de datos se realiza de acuerdo a un essquema aceptado por la industria. Las actualizaciones son
realizadas de manera continua por una persona o equipo con los conocimientos necesarios para la tarea. Se reconoce la
Nivel 4 necesidad de comunicar el esquema a los involucrados.
La clasificación de datos es realizada por personal idóneo en la organización .Se comuncian las actualizaciones y mejoras
del esquema de clasificación a los interesados de forma proactiva. La organización identifica la necesidad de clasificar la
Nivel 5 información y mantenerla restringida a los interesados.
Tabla 16. Niveles de Madurez para el Objetivo de Control PO2.3
Nivel 1
Validar que el área de TI reconoce la importancia de
definir un esquema de clasificación de datos Aplicar los controles de acuerdo a la clasificación definida.
Validar la existencia de un esquema de clasificación de Asignar los roles asociados a la definición del esquema de clasificación
datos
Validar que existan procedimientos de manejo de la
clasificacion de información
Validar que existe comunicación entre el área de TI y el
equipo de decisión de la empresa para la definición del
esquema de clasificación
Nivel 2
Validar la frecuencia con que se realizan las reuniones
para actualizar y validar la aplicación del esquema de Mantener la consistencia entre el esquema de clasificación aprobado por el área de TI y el aplicado
clasificación de datos. para el SGBD.
Definir un proceso estandarizado de clasificación de información el cual debe ser comunicado al
Validar que se actualiza el esquema de clasificación de
personal de TI que interactúe con la Base de Datos.
datos, por solicitud de la jefatura/gerencia.
Nivel 3
Validar la aplicación del esquema de control de Mantener la consistencia entre el esquema de clasificación aprobado por el área de TI y el aplicado
información para el SGBD.
Validar el personal o equipo encargado de establecer el Enfatizar el uso de esquemas de información como un control de la información crítica dentro de la
esquema de información y validarlo. base de datos.
Validar que el esquema y sus actualizaciones son
compartidos de forma oportuna con los interesados.
Nivel 4
Validar que se utiliza un esquema de clasficación
respaldado por un estándar internacional. Enfatizar el uso de esquemas de clasificación de datos estándar.
Asegurar que la información se retiene a aquellos que no Mantener y validar de forma continua el cumplimiento del esquema de clasificación.
tienen acceso.
Validar que el uso del del esquema de clasificación como
herramienta de control para la entrega de información en
el servidor de Base de Datos.
Validar la ultilidad del esquema de clasificación
Validar la frecuencia de actualización o validación del
esquema de clasificación.
Nivel 5
Identificar propietarios de datos Mantener y validar de forma continua el cumplimiento del esquema de clasificación.
Validar que el esquema de clasificacion de datos use un
esquema de clasificacion adecuado: Estandar / acordado
en la organización.
Asegurar que la información se retiene a aquellos que no
tienen acceso.
Validar que se realiza un proceso de mejora continua
Validar que se brinde información confiable, útil y
consistente para la aplicación del esquema de
clasificación.
Tabla 17. Plan de Actividades y Recomendaciones para el Objetivo de
Control PO2.3
Enlaza con
PO2.4 IT Administración de la integridad Peso Pregunta
¿Los procedimientos de administración de integridad se encuentran
1 definidos y documentados?
Plan definido, documentado (100%-80%) 0 abre: 2-7
Plan parcialmente definido, documentado (80%-60%) 0 abre: 2-7
Plan definido, no documentado (60%-40%) 5 cierra: 2 - 7
Plan parcialmente definido, no documentado (40%-20%) 2.5 cierra: 2 - 7
El plan no está definido (20%-0%) 0 cierra: 2 - 7
¿Los procedimientos de integridad contienen información importante
2 para el personal de TI que usa el servidor de Base de Datos?
Si, en su totalidad (100%-80%) 10
Si incluye (80%-60%) 7.5
Si, parcialmente (60%-40%) 5
Sí, pero es muy escasa la información (40%-20%) 2.5
No incluye (20%-0%) 0
¿Los procedimientos de administración de integridad siguen un
3 estándar de la organización?
Si, en su totalidad (100%-80%) 10
Si, se ajusta a la plantilla (80%-60%) 7.5
Sí, pero se permite cambiar la estructura (60%-40%) 5
Sí, pero se ajusta muy poco a la plantilla indicada (40%-20%) 2.5
No, es elaborada a criterio del equipo (20%-0%) 0
¿Los procesos de validación de datos utilizados en el servidor cumplen
4 el estándar establecido?
Si, en su totalidad (100%-80%) 10
Si, se ajusta al estándar (80%-60%) 7.5
Sí, pero parcialmente (60%-40%) 5
Sí, pero se ajusta muy poco al estándar (40%-20%) 2.5
No, no se ajusta al estándar (20%-0%) 0
¿Existe(n) un procedimiento(s) para garantizar la consistencia de los
5 datos del servidor?
Si, está definido y documentado (100%-80%) 10
Si, está definido pero no documentado (80%-60%) 7.5
Parcialmente definido, documentado (60%-40%) 5
Parcialmente definido, no documentado (40%-20%) 2.5
El procedimiento no está definido (20%-0%) 0
¿Cada cuanto tiempo se actualizan los procedimientos de
6 administración de integridad?
Frecuentemente, con periodicidad (cada semana –mes) 10
Frecuente, con periodicidad (cada mes – tres meses) 8.75
Poco frecuente, con periodicidad ( cada tres meses –seis meses) 7.50
Escasamente frecuente, con periodicidad (seis meses – Anualmente) 6.25
Muy Frecuente, sin periodicidad (semana –mes) 5.00
Frecuente, sin periodicidad (mes – tres meses) 3.75
Poco frecuente, sin periodicidad (tres meses –seis meses) 2.50
Escasamente frecuente, sin periodicidad (meses – Anualmente) 1.25
No es frecuente (0) 0
¿El documento es entregado/actualizado de forma oportuna para su
7 uso cotidiano?
Frecuentemente, con periodicidad (cada semana –mes) 10
Frecuente, con periodicidad (cada mes – tres meses) 8.75
Poco frecuente, con periodicidad ( cada tres meses –seis meses) 7.50
Escasamente frecuente, con periodicidad (seis meses – Anualmente) 6.25
Muy Frecuente, sin periodicidad (semana –mes) 5.00
Frecuente, sin periodicidad (mes – tres meses) 3.75
Poco frecuente, sin periodicidad (tres meses –seis meses) 2.50
Escasamente frecuente, sin periodicidad (meses – Anualmente) 1.25
No es frecuente (0) 0
Tabla 18. Tabla de Consultas Objetivo de Control: PO2.4
Salidas
Nivel 1
Validar que existan procedimientos de manejo de Definir el proceso de administración de integridad y aplicarlo. Asignar el rol encargado de la tarea
integridad de datos de administración.
Validar que existe comunicación entre el área de TI y el Aplicar y documentar los procesos de administración de integridad y consistencia de datos.
equipo de decisión de la empresa para la definición
inicial del proceso de administración de integridad.
Validar que se reonoce la necesidad de administrar la
integridad de las TI.
Nivel 2
Validar el mantenimiento de la integridad de los datos,
por solicitud de la jefatura/gerencia. Incrementar la frecuencia de ejecucion del proceso de control y administración de integridad.
Validar el procedimiento de control y consistencia de Especializar y capacitar al personal encargado de la tarea. Establecer un documento o plantilla de
datos en el servidor. referencia interna para el control de la consistencia de datos en el Servidor.
Validar el rol del personal encargado de administrar la
integridad y validar las recomendaciones.
Nivel 3
Definir un proceso estándar para el proceso de administración de integridad. Identificar la
importancia de su aplicación y actualización. Indentificar el rol encarga de la ejecución,
Validar la consistencia entre los documentos de actualización y mejora del proceso de administración de integridad.
integridad de información y las actividades realizadas
por el personal de TI
Objetivos primarios:
- Efectividad
- Eficiencia
- Variables de medición
- El porcentaje de roles con descripciones de puestos y autoridad
documentados
- El número de unidades/procesos de negocio que no reciben soporte de
TI y que deberían recibirlo, de acuerdo a la estrategia
- Número de actividades clave de TI fuera de la organización de TI que no
son aprobadas y que no están sujetas a los estándares organizacionales
de TI
Primarias
- Administración de recursos
- Administración de riesgos
Secundarias
- Alineación Estratégica
Recursos de TI
- Personas
Entradas
P01 - Planes estratégicos y tácticos de TI
P07 - Políticas y procedimientos de TI y RH, matriz de habilidades de TI,
descripciones de puestos
P08 - Actividades de mejoramiento de calidad
P09 - Planes de actividades para corregir riesgos relacionados con TI
ME1 - Planes de acciones correctivas
ME2 - Reportar la efectividad de los controles de TI
ME3 - Catálogo de requerimientos legales y regulatorios relacionados con
los servicios de TI
ME4 - Mejoras al marco de procesos
Salidas
Marco de trabajo para el proceso de TI (Salidas: ME4)
Propietarios de sistemas documentados (Salidas: AI7, DS6)
Organización y relaciones de TI (Salidas: P07)
Marco de procesos, roles documentados y responsabilidades de TI (Salidas:
Todos)
Roles y responsabilidades documentados (Salidas: PO7)
Enlazado con
PO4.6 Roles y Responsabilidades Peso la Pregunta
1 ¿La organización elabora un Manual de roles y responsabilidades?
Plan definido, documentado (100%-80%) 0 abre: 2-5
Plan parcialmente definido, documentado (80%-60%) 0 abre: 2-5
Plan definido, no documentado (60%-40%) 5 cierra: 2-5
Plan parcialmente definido, no documentado (40%-20%) 2.5 cierra.2-5
El plan no está definido (20%-0%) 0 cierra: 2-5
2 ¿Cada cuanto tiempo es actualizado este manual?
Frecuentemente, con periodicidad (cada semana –mes) 10
Frecuente, con periodicidad (cada mes – tres meses) 8.75
Poco frecuente, con periodicidad ( cada tres meses –seis meses) 7.50
Escasamente frecuente, con periodicidad (seis meses – Anualmente) 6.25
Muy Frecuente, sin periodicidad (semana –mes) 5.00
Frecuente, sin periodicidad (mes – tres meses) 3.75
Poco frecuente, sin periodicidad (tres meses –seis meses) 2.50
Escasamente frecuente, sin periodicidad (meses – Anualmente) 1.25
No es frecuente (0) 0
¿La estructura de este Manual es elaborada mediante una plantilla
3 estandarizada por la organización?
Si, en su totalidad (100%-80%) 10
Si se ajusta a la plantilla (80%-60%) 7.5
Sí, pero se permite cambiar la estructura (60%-40%) 5
Sí, pero se ajusta muy poco a la plantilla indicada (40%-20%) 2.5
No, es elaborada a criterio del equipo (20%-0%) 0
¿Este manual incluye especificaciones requeridas para el personal
4 encargado de trabajar con Bases de Datos?
Si, en su totalidad (100%-80%) 10
Si incluye (80%-60%) 7.5
Si, parcialmente (60%-40%) 5
Enlaza con
PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento Peso la Pregunta
1 ¿Existe un plan de riesgos para el área de TI?
Plan definido, documentado (100%-80%) 0 abre: 2-5
Plan parcialmente definido, documentado (80%-60%) 0 abre: 2-5
Plan definido, no documentado (60%-40%) 5 cierra: 2-5
Plan parcialmente definido, no documentado (40%-20%) 2.5 cierra.2-5
El plan no está definido (20%-0%) 0 cierra: 2-5
2 ¿Con que frecuencia es actualizado este plan de riesgos?
Frecuentemente, con periodicidad (cada semana –mes) 10
Frecuente, con periodicidad (cada mes – tres meses) 8.75
Poco frecuente, con periodicidad ( cada tres meses –seis meses) 7.50
Escasamente frecuente, con periodicidad (seis meses – Anualmente) 6.25
Muy Frecuente, sin periodicidad (semana –mes) 5.00
Frecuente, sin periodicidad (mes – tres meses) 3.75
Poco frecuente, sin periodicidad (tres meses –seis meses) 2.50
Escasamente frecuente, sin periodicidad (seis meses – Anualmente) 1.25
No es frecuente (0) 0
¿Este plan de riesgos incluye acciones para eventualidades a nivel de
3 servidores de Base de Datos?
Incluye la mayoría de eventos de riesgo para un servidor de Base de Datos
(100%-80%) 10
Incluye los eventos de de riesgo para un servidor de Base de Datos (80%-
60%) 7.5
Incluye parcialmente los eventos de de riesgo para un servidor de Base de
Datos (60%-40%) 5
Incluye escasamente los eventos de de riesgo para un servidor de Base de
Datos (40%-20%) 2.5
No incluye (20%-0%) 0
4 ¿Los riesgos son manejados de acuerdo al plan definido?
En su mayoría se documenta y trabaja de acuerdo al plan (100%-80%) 10
Son manejados de acuerdo al plan (80%-60%) 7.5
Son manejados guiándose parcialmente del plan (60%-40%) 5
Son manejados guiándose escasamente del plan (40%-20%) 2.5
No se consulta el plan ante un evento de riesgo o no existe plan 0
Enlaza con la
PO4.9 Propiedad de datos y de sistemas Peso Pregunta
¿Se tiene definida la propiedad (dueños) de los datos almacenados en
1 el servidor?
Definido, documentado (100%-80%) 0 abre: 2-5 y 10
Parcialmente definido, documentado (80%-60%) 0 abre: 2-5 y 10
Definido, no documentado (60%-40%) 5 cierra: 2-5 y 10
Parcialmente definido, no documentado (40%-20%) 2.5 cierra: 2-5 y 10
No está definido (20%-0%) 0 cierra: 2-5 y 10
2 ¿Con que frecuencia se actualiza esta información?
Muy Frecuente con periodicidad (cada semana –mes) 10
Frecuente con periodicidad (cada mes – tres meses) 8.75
Poco frecuente con periodicidad ( cada tres meses –seis meses) 7.50
Escasamente frecuente con periodicidad (seis meses – Anualmente) 6.25
Muy Frecuente sin periodicidad (semana –mes) 5.00
Frecuente sin periodicidad (mes – tres meses) 3.75
Poco frecuente sin periodicidad (tres meses –seis meses) 2.50
Escasamente frecuente sin periodicidad (meses – Anualmente) 1.25
No es frecuente (0) 0
¿La propiedad de datos está definida relacionándola con
3 responsabilidades y obligaciones para los dueños de los datos?
Definido, documentado (100%-80%) 10
Definido, no documentado (80%-60%) 7.5
Parcialmente definido, documento (60%-40%) 5
Parcialmente definido, no documento (40%-20%) 2.5
No está definido (20%-0%) 0
4 ¿Los datos están clasificados de acuerdo a un criterio específico?
Si, clasificados de acuerdo a uno o más de los siguientes criterios:
confidencialidad, importancia, dueño de la información,
tiempo/antigüedad 10
Si, clasificados de acuerdo a un criterio interno 6
No, están clasificados de forma arbitraria 4
No están clasificados 0
¿El documento o plan de propiedad de datos refleja la situación actual
5 de la información contenida en el servidor de base de datos?
Esta actualizado en su mayoría (100%-80%) 10
Actualizado (80%-60%) 7.5
Parcialmente actualizado (60%-40%) 5
Escasamente actualizado (40%-20%) 2.5
No actualizado (20%-0%) 0
Enlaza con
PO4.11 Segregación de funciones Peso la Pregunta
¿Se tiene definido el proceso de segregación de funciones en el servidor
1 de BD auditado?
Se conoce, se aplica y se documenta bajo estándares (al 100%-80%) 0 abre: 2-5
Se conoce, se aplica y se documenta sin estándares (80%-60%) 0 abre: 2-5
Se conoce, se aplica pero no se documenta (60%-40%) 0 abre: 2-5
Se conoce pero no se aplica adecuadamente (40%-20%) 0 abre: 2-5
No se conoce (20%-0%) 0 cierra: 2-5
¿El concepto de Segregación de funciones, se está cumpliendo de forma
2 efectiva?
Se cumple a totalidad de forma organizada y documentada (100%- 80%) 10
Se cumple totalmente sin documentación (80%-60%) 7.5
Se cumple parcialmente con documentación (60%-40%) 5
Se cumple parcialmente sin documentación (40%-20%) 2.5
No se cumple, o se realiza de forma inadecuada (20%-0%) 0
¿Cada cuanto tiempo se realiza un proceso de monitoreo de segregación
3 de funciones?
Muy Frecuente con periodicidad (cada semana –mes) 10
Frecuente con periodicidad (cada mes – tres meses) 8.75
Poco frecuente con periodicidad ( cada tres meses –seis meses) 7.50
Escasamente frecuente con periodicidad (seis meses – Anualmente) 6.25
Muy Frecuente sin periodicidad (semana –mes) 5.00
Frecuente sin periodicidad (mes – tres meses) 3.75
Poco frecuente sin periodicidad (tres meses –seis meses) 2.50
Escasamente frecuente sin periodicidad (meses – Anualmente) 1.25
No es frecuente (0) 0
¿Existe un mecanismo tecnológico asociado al cumplimiento de este
4 objetivo?
Tiene instalado un software adquirido (cumple a totalidad el objetivo) 0 abre 5
Tiene instalado un software adquirido (cumple parcialmente el objetivo) 0 abre 5
Tiene configurado un software/proceso desarrollado internamente
(cumple a totalidad el objetivo) 0 abre 5
Tiene configurado un software/proceso desarrollado internamente (
cumple parcialmente el objetivo) 0 abre 5
Es manejado a nivel de la aplicación 2 cierra 5
No tiene un mecanismo tecnológico 0 cierra 5
5¿Qué tipo de software es este mecanismo tecnológico?
Parte del SGBD 10
Aplicación de proveedor externo (desarrollo por terceros) 7
Desarrollo interno. 4
Aplicación propietaria de otro fabricante (software propietario) 0
Tabla 24. Tabla de consultas del Objetivo de Control PO4.11
Objetivos Primarios:
- Confidencialidad
- Integridad
- Disponibilidad
- Objetivos Secundarios:
- Efectividad
- Eficiencia
- Cumplimiento
- Confiabilidad
- Variables de medición:
- Porcentaje de objetivos críticos de TI cubiertos por la evaluación de
riesgos
- Porcentaje de riesgos críticos de TI identificados con planes de acción
elaborados
- Porcentaje de planes de acción de administración de riesgos aprobados
para su implantación
Recursos de TI
- Aplicaciones
- Información
- Infraestructura
- Personas
Entradas
PO1 - Planes estratégicos y tácticos de TI, portafolio de servicios de TI
P010 - Plan de administración de riesgos de proyectos
DS2 - Riesgos de proveedores
DS4 - Resultados de pruebas de contingencia
DS5 - Amenazas y vulnerabilidades de seguridad
ME1 - Tendencias y eventos de riesgos históricos
ME4 - Apetito empresarial de riesgos de TI
Salidas
Evaluación de riesgos (Salidas: P01, DS4, DS5, DS12, ME4)
Reporte de riesgos (Salidas: ME4)
Directrices de administración de riesgos relacionados con TI (Salidas: P06)
Planes de acciones correctivas para riesgos relacionados con TI (Salidas:
P04, AI6)
Enlaza con la
PO9.2 Establecimiento del contexto del riesgo Peso Pregunta
¿La organización tiene identificados los riesgos que se pueden presentar a
1 nivel de plataformas de bases de datos?
Perdida de servicio por falla de hardware 0.83
Perdida de servicio por error humano 0.83
Acceso no autorizado 0.83
Filtrado de información en la red 0.83
El puntaje de
Filtrado de información por usuarios autorizados 0.83
esta consulta
Filtrado de información por usuarios no autorizados 0.83 es la suma de
Perdida de datos por modificación indebida (con posibilidad de todas las
recuperación) 0.83 opciones
Perdida de datos por falla de hardware (sin posibilidad de recuperación 0.83 seleccionadas
Perdida de datos por modificación indebida (sin posibilidad de por el usuario
recuperación) 0.83
Perdida de datos por falla de hardware (con posibilidad de recuperación 0.83
Mal uso de información clasificada 0.83
Perdida de archivos de contingencia 0.83
Cierra todas
las opciones
anteriores.
No identificado 0 Cierra: 2
¿Los riesgos identificados abarcan todas las áreas vulnerables de los
2 servidores de Base de Datos?
Transmisión en la red 2 El puntaje de
Acceso de usuarios (Privilegios, permisos, contraseñas) 2 esta consulta
es la suma de
Seguridad de almacenamiento 2 todas las
opciones
Comunicaciones con aplicaciones 2 seleccionadas
Identifica otras áreas no listada en las opciones 2 por el usuario
No identifica riesgos 0 cierra: 4 y 5
¿A nivel de organización este proceso de evaluación de riegos está alineado
3 con el análisis de riegos de la organización?
Enlaza con la
PO9.3 Identificación de eventos Peso Pregunta
¿Los eventos se encuentran identificados de forma adecuada en el área
1 de TI?
Identificado, documentado (100%-80%) 10
Identificado, no documentado (80%-60%) 7.5
Parcialmente identificado, documentado (60%-40%) 5
Parcialmente identificado, no documentado (40%-20%) 2.5 cierra 2 - 4
No está identificado (20%-0%) 0 cierra 2 - 4
2 Seleccionar los eventos identificados por el área de TI
El software de base de datos está instalado sobre un controlador de
dominio 1
La organización tiene la última versión del fabricante de SGBD 1
Están limitados los privilegios de sistema a los usuarios administradores 1
Los permisos del sistema operativo están limitados a los requerimientos
mínimos de la base de datos (no permisos de administrador) 1 El puntaje de
El equipo de desarrollo no tiene acceso directo al entorno de Base de esta consulta
datos de producción 1 es la suma de
Los usuarios de la base de datos tienen los privilegios mínimos para todas las
trabajar. 1 opciones
Las opciones de auditoría para base de datos están habilitadas seleccionadas
(procedimientos, paquetes, disparadores) 1 por el usuario
La autenticación, control o conexión remotos no están activados en el
servidor (a nivel de Sistema Operativo o SGBD) 1
El Software del SGBD se encuentra instalado en una versión certificada
(aprobada por el fabricante) 1
Otros 1
Cierra todas
las opciones
anteriores.
No se identifica ningún tipo de eventos 0 Cierra: 3
Del grupo de eventos identificados se encuentra definido el impacto de
3 una brecha de seguridad o incumplimiento
Definido de forma completa 10
Parcialmente definido 5
No definido 0
4 Esta información es actualizada y mantenida con frecuencia
Muy Frecuente con periodicidad (cada semana –mes) 10
Frecuente con periodicidad (cada mes – tres meses) 8.75
Poco frecuente con periodicidad ( cada tres meses –seis meses) 7.50
Enlaza con la
PO9.4 Evaluación de riesgos Peso Pregunta
1 ¿Cada uno de los grupos de riesgos se encuentra documentados?
Si 10
No 0
Muy probable 10
poco probable 7.5
probable 5
imposible 2.5
No es monitoreado 0
¿Cuál es la posibilidad de que ocurra un evento de riesgo negativo? de
tipo: Perdida de archivos físicos del SO (eliminación, borrado, corrupción
8 de archivo)
Muy probable 10
poco probable 7.5
probable 5
imposible 2.5
No es monitoreado 0
¿Cuál es la posibilidad de que ocurra un evento de riesgo negativo? de
tipo: Perdida de archivos físicos del SGBD (eliminación, borrado,
9 corrupción de archivo)
Muy probable 10
poco probable 7.5
probable 5
imposible 2.5
No es monitoreado 0
¿Cuál es la posibilidad de que ocurra un evento de riesgo negativo? de
10 tipo: Perdida de servicio por acceso no autorizado al SGBD
Muy probable 10
poco probable 7.5
probable 5
imposible 2.5
No es monitoreado 0
¿Cuál es la posibilidad de que ocurra un evento de riesgo negativo? de
11 tipo: Filtrado de información por acceso no autorizado al SGBD
Muy probable 10
poco probable 7.5
probable 5
imposible 2.5
No es monitoreado 0
¿Cuál es la posibilidad de que ocurra un evento de riesgo negativo? de
12 tipo: Problemas de acceso por falla en la red
Muy probable 10
poco probable 7.5
probable 5
imposible 2.5
No es monitoreado 0
¿Cuál es la posibilidad de que ocurra un evento de riesgo negativo? de
13 tipo: Modificación errónea de datos por la aplicación
Muy probable 10
poco probable 7.5
probable 5
imposible 2.5
No es monitoreado 0
¿Cuál es la posibilidad de que ocurra un evento de riesgo negativo? de
14 tipo: Modificación errónea de datos por usuarios autorizados
Muy probable 10
poco probable 7.5
probable 5
imposible 2.5
No es monitoreado 0
¿Cuál es la posibilidad de que ocurra un evento de riesgo negativo? de
15 tipo: Perdida de servicio por acceso no autorizado al SO
Muy probable 10
poco probable 7.5
probable 5
imposible 2.5
No es monitoreado 0
¿Cuál es la posibilidad de que ocurra un evento de riesgo negativo? de
16 tipo: Filtrado de información por acceso no autorizado al SO
Muy probable 10
poco probable 7.5
probable 5
imposible 2.5
No es monitoreado 0
¿Cuál es la posibilidad de que ocurra un evento de riesgo negativo? de
17 tipo: Vista de información por usuarios no autorizados
Muy probable 10
poco probable 7.5
probable 5
imposible 2.5
No es monitoreado 0
¿Cuál es la posibilidad de que ocurra un evento de riesgo negativo? de
18 tipo: Vista de información por usuarios autorizados pero no asignados
Muy probable 10
poco probable 7.5
probable 5
imposible 2.5
No es monitoreado 0
¿Cuál es la posibilidad de que ocurra un evento de riesgo negativo? de
19 tipo: Perdida total del servidor por evento de la naturaleza
Muy probable 10
poco probable 7.5
probable 5
imposible 2.5
No es monitoreado 0
Tabla 27. Tabla de consultas del Objetivo de Control PO9.4
Enlaza con la
PO9.5 Respuesta a los riesgos Peso Pregunta
¿Cada uno de los grupos de eventos y los riesgos negativos poseen un
1 plan de respuesta?
Si, está documentado 0 abre 2
Se documenta después de ocurrido 0 abre 2
Si, no está documentado 3 cierra 2
No 0 cierra 2-4
¿El plan de riesgos tiene definidos las personas o áreas encargadas de
2 brindar respuesta al evento?
Los responsables están definidos, documentado (100%-80%) 10
Definido, no documentado (80%-60%) 7.5
Parcialmente definido, documentado (60%-40%) 5
Parcialmente definido, no documentado (40%-20%) 2.5
No está definido (20%-0%) 0
3 ¿El plan garantiza una adecuada reacción ante un riesgo?
Si 10
No en su totalidad 5
No
¿Las estrategias de riesgo están alineadas con el estándar de la
4 organización?
Alineadas en su mayoría (100%-80%) 10
Alineadas (80%-60%) 7.5
Parcialmente alineadas (60%-40%) 5
Escasamente alineadas (40%-20%) 2.5
No está definido (20%-0%) 0
Tabla 28. Tabla de consultas del Objetivo de Control PO9.5
Enlaza con la
PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos Peso Pregunta
¿Los eventos son comunicados de forma adecuada al personal
1 encargado?
Es muy rápido 10
Es rápido 7
Es un proceso lento 4
Es muy lento el proceso 0
¿El proceso de inicio, atención y cierre de un evento es administrado
2 adecuadamente?
Adecuado y mejorado (documentado) 10
Adecuado no mejorado (no documentado) 8 cierra 3
Efectuado (documentado) 6
Efectuado (no documentado) 4 cierra 3
Inadecuado (documentado) 2
Inadecuado (no documentado) 0 cierra 3
3 ¿Con que frecuencia se actualizan los planes de respuesta a riesgos?
Muy Frecuente con periodicidad (cada semana –mes) 10
Frecuente con periodicidad (cada mes – tres meses) 8.75
Poco frecuente con periodicidad ( cada tres meses –seis meses) 7.50
Escasamente frecuente con periodicidad (seis meses – Anualmente) 6.25
Muy Frecuente sin periodicidad (semana –mes) 5.00
Frecuente sin periodicidad (mes – tres meses) 3.75
Poco frecuente sin periodicidad (tres meses –seis meses) 2.50
Escasamente frecuente sin periodicidad (meses – Anualmente) 1.25
No es frecuente (0) 0
¿Existe un área o persona encargado de monitorear la correcta
4 atención del evento?
Si es un especialista 10
Si es una persona encargada 7.5
Es una persona temporal 5
No identifica quien es el encargado 2.5
No 0
¿Después de ser atendido el evento de riego se realiza un seguimiento
5 para evitar cualquier riesgo residual?
Sí, siempre se realiza 10
Si, en algunos casos 7
Nunca se realiza 4
No conoce el procedimiento 0
Tabla 29. Tabla de consultas del Objetivo de Control PO9.6
CAPITULO V
APORTE PRÁCTICO
I. Estructura de la solución
c. Modulo de reportes
Base de Datos
II. Tecnología
Oracle 10g R2 ®
Modelo de Paquetes
Area de TI
Directorio/ Alta
Gerencia Desarrollo y Redes y
aplicaciones comunicaciones
Area de soporte
Area de Auditoria/
cumplimiento de TI
Informe de
negocio, no
informe tecnico
Gerencia/Direccion
Área de Auditoria
Auditor Jefe
Auditor de procedimientos
Planificar proceso de Auditoria
Auditar procesos e involucrados
Área de TI
Área de Seguridad
Oficial/Equipo de seguridad
(f rom Area de TI)
Definir niveles de informacion
(from Area de T I)
Recomendar configuraciones
minimas de seguridad
Oficial/Equipo de seguridad
(f rom Area de TI)
Definir niveles de informacion
(from Area de T I)
Recomendar configuraciones
minimas de seguridad
Documentar incidencias,
Jefe de area de TI
seguimiento y solucion
(f rom Area de TI)
Redes y Comunicaciones
Jefe de Redes de
Comunicaciones
(f rom Area de TI)
Controlar accesos de usuarios
Infraestructura y hardware
Analizar adquisicion de HW
Jefe de area de TI
certificado
(f rom Area de TI)
Analizar requrimientos de HW y SW
DBA
(f rom Area de TI)
Auditoria y Reportes
Entrenamiento
Administración
de la Aplicación
Auditoría y entrenamiento
<<extend>>
Evaluador
(f rom Area de Auditoria
...)
Administración de la aplicación
Reportes
Auditor Jefe
(f rom Area de Auditoria
...) CUS011 Crear reporte final de
auditoria de BD
CÓDIGO CUS001
NOMBRE Iniciar Sesión
DESCRIPCIÓN Permite al usuario el ingreso a la aplicación
ACTORES Todos los usuarios
Diagrama de Secuencia
Ingresar datos
Validar datos
Datos correctos
Validar usuario
Obtener usuario
Datos usuario
Usuario correcto
Permisos
Menú de trabajo
Diagrama de Colaboración
4: Validar usuario
8: Obtener permisos 5: Obtener usuario
9: Consultar permisos por rol
6: Datos usuario
: Ctrl Acceso Datos 10: Permisos : BD
CÓDIGO CUS002
NOMBRE Iniciar proceso de auditoria
DESCRIPCIÓN Permite al usuario iniciar un nuevo proceso de evaluación o auditoría
ACTORES Evaluador
Diagrama de Secuencia
Validar datos
Datos correctos
Procesos y objetivos
Procesos y objetivos
Validar datos
Datos validos
Guardar datos
Registrar
Resultado
Comunicar resultado
Mostrar resultado
6: Procesos y objetivos
: Ctrl Acceso Datos 14: Resultado : BD
Ilustración 33. Diagrama de colaboración CUS002
CÓDIGO CUS003
NOMBRE Realizar encuesta
DESCRIPCIÓN Permite al usuario responder las encuestas de la auditoría
ACTORES Encuestado
Diagrama de Secuencia
: Encuestado
Seleccionar encuesta
Obtener encuesta
Preguntas
Responder preguntas
Guardar y finalizar
Registrar respuestas
Registrar
Resultado
Comunicar resultado
Mostrar resultado
Diagrama de Colaboración
1: Seleccionar encuesta
7: Responder preguntas 2: Obtener encuesta
8: Guardar y finalizar 9: Registrar respuestas
: Aplicacion
: BD
Ilustración 35. Diagrama de colaboración CUS003
CÓDIGO CUS004
NOMBRE Generar reporte de nivel de madurez
Permite al usuario conocer el resultado de las encuestas y tener una idea
DESCRIPCIÓN
del nivel de madurez en la que se encuentra la organización.
ACTORES Evaluador
EXCEPCIONES No aplica
En caso de presentarse un error se debe
mostrar el mensaje “El servicio no se
RESULTADO
encuentra disponible. Por favor intente más
tarde.”
Este caso de uso se ejecuta a pedido del
FRECUENCIA
usuario
REQ. NO FUNCIONALES ASOCIADOS No aplica
CASOS DE USO RELACIONADOS No aplica
Tabla 33. Especificación del CUS004 Generar reporte de madurez.
Diagrama de Secuencia
Seleccionar auditoria
Encuenta completa
Generar reporte
Obtener resultados
Resultado encuesta
Generar reporte
Diagrama de Colaboración
4: Generar reporte
9: Generar reporte
CÓDIGO CUS005
NOMBRE Generar plan de trabajo
Permite al usuario responder conocer el resultado de las encuestas y
DESCRIPCIÓN tener una idea del nivel de madurez en la que se encuentra la
organización.
ACTORES Evaluador
Diagrama de Secuencia
Seleccionar auditoria
Resultado validacion
Obtener actividades
Resultado encuesta
Actividades
Generar reporte
Diagrama de Colaboración
CÓDIGO CUS006
NOMBRE Registrar resultado de la evaluación.
DESCRIPCIÓN Permite al usuario registrar los resultados de su evaluación.
ACTORES Evaluador
Diagrama de Secuencia
Seleccionar auditoria
Resultado validación
Registrar resultados
Validar datos
Resultado validación
Registrar datos
Registrar
Resultado
Comunicar resultado
Diagrama de Colaboración
10: Resultado
: Ctrl Acceso Datos : BD
CÓDIGO CUS007
NOMBRE Registrar proceso de auditoria
DESCRIPCIÓN Permite al usuario registrar los procesos para realizar una auditoría.
ACTORES Auditor
Diagrama de Secuencia
Seleccionar dominio
Retornar datos
Mostrar datos
Seleccionar proceso
Registrar
Validar datos
Resultado validación
Registrar datos
Registrar
Resultado
Comunicar resultado
4: Retornar datos
: Ctrl Acceso Datos 15: Resultado : BD
CÓDIGO CUS008
NOMBRE Ingresar información de la organización
DESCRIPCIÓN Permite al usuario registrar los datos de la organización a auditar.
ACTORES Evaluador
Diagrama de Secuencia
Validar datos
Resultado validación
Registrar datos
Registrar datos
Resultado
Comunicar resultado
Mostrar resultado
7: Comunicar resultado
4: Registrar datos
5: Registrar datos
6: Resultado
: Ctrl Acceso Datos : BD
CÓDIGO CUS009
NOMBRE Realizar mantenimiento de reglas
Permite al usuario modificar o registrar nuevas reglas para el cálculo del
DESCRIPCIÓN
nivel de madurez.
ACTORES Evaluador
Diagrama de Secuencia
Seleccionar proceso
Validar datos
Resultado validación
Registrar datos
Registrar datos
Resultado
Comunicar resultado
Mostrar resultado
Dominio
Nivel de Madurez
Tipo de Auditoria
0..*
1..n Proceso de Control
1..n Recomendaciones
1 Resultado
Alternativa 1..n
1..*
Actividad
Respuesta
Plan de Trabajo Area
Persona
Auditoria Organizacion
Usuario
Base de Datos
Reportes
Auditoria
Administrar politicas
Reporte por proceso
Reglas de madurez
Busqueda de procesos por organizacion Reporte de Nivel de Madurez
Red Interna
Servidor de
Aplicacion solo Aplicaciones Servidor
de uso interno de BD
PC's auditor
PC Directivo/Gerente experto
Cliente de la
aplicacion
PC
instalado para
Evaluador
vista de reportes
PC usuarios
Administrador de la
encuestados
aplicación
DESKTOP PRESENTACION
ENTIDADES
DE LOGICA DE
CONTROLADORAS
NEGOCIO NEGOCIO
COMPONENTES ACCESO A
LOGICOS DATOS
BASE
DE
DATOS
TRABAJOS FUTUROS
En vista que los procesos y objetivos de control del COBIT pueden ser
complementados por otros estándares, se pueden adaptar dichos
estándares (Por Ejemplo: ISO) para la complementación de tareas, siempre
adaptado al modelo de trabajo y estandarizado al modelo de evaluación
planteado: Encuestas por objetivo de control, actividades y
recomendaciones por nivel de madurez.
ANEXO I
GLOSARIO DE TÉRMINOS
BIBLIOGRAFIA
http://www.ingentaconnect.com/content/klu/busi/2001/00000030/0000000
4/00236430
[Aligning Cobit] Aligning Cobit 4.1, ITIL v3 and ISO 27002 for Business
Benefit
IT Governance Institute, Office of Government Commerce © 2008 ITGI.
http://www.isaca.org/Content/ContentGroups/Research1/Deliverables/Align
ing_COBIT,ITILV3,ISO27002_Bus_Benefit_12Nov08_Research.pdf
[ICAEW]
http://www.icaew.com/index.cfm/route/158423/icaew_ga/en/Home/Institut
e_of_Chartered_Accountants_in_England_and_Wales
[ISO 9001] http://www.normasycertificaciones.com/iso-9001