UNIVERSIDAD TECNOLOGIA NACIONAL
Facultad Regional Córdoba
CASITI2010: Consultoria en Auditoría de SI/TI
Curso: 5K2 Grupo: 8 Año: 2010
Actividad Práctica N°1: “JAYHAWK MEDICAL SUPPLY
INC.”
Profesores: Antonelli Matterson, Horacio E.
Cuevas, Juan Carlos
Gimenez Zens, Ines Luz
Spesso, Aldo Jorge
Alumnos: Jornet, Paola Andrea Leg. 50208
Juncos, Marcos Leg. 46927
González Márquez, Verónica Leg. 48076
Grgich, Martín Leg.49218
López, Cristian Jesús Leg. 50362
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
2
Tabla de contenidos
Introducción...................................................................................................................... 5
Problemática ................................................................................................................. 5
Soluciomática ............................................................................................................... 5
Sistema de Gestión de Base de Datos (DBMS)................................................................ 6
AI6.1: Estándares y Procedimientos para Cambios ................................................. 6
AI6.2 Evaluación del impacto, Priorización y Autorización........................................ 8
AI6.3: Cambio de Emergencia .................................................................................... 9
AI6.4: Seguimiento y Reporte del Estatus de Cambio............................................ 11
AI6.5: Cierre y Documentación del Cambio ............................................................ 12
AI7.1: Entrenamiento ............................................................................................... 13
AI7.5: Conversión de sistemas y datos.................................................................... 15
AI7.7: Prueba de aceptación final ............................................................................ 16
AI7.9: Revisión Posterior a la Implantación .............................................................. 17
DS5.3: Administración de Identidad .......................................................................... 19
Sistema de Gestión de Relaciones con los clientes (CRMS) ......................................... 20
AI6.1: Estándares y Procedimientos para Cambios ............................................... 20
AI6.2: Valoración del impacto, Priorización y Autorización...................................... 22
AI6.3: Cambio de Emergencia .................................................................................. 23
AI6.4: Seguimiento y Reporte del Estatus de Cambio............................................ 25
AI6.5: Cierre y Documentación del Cambio ............................................................ 26
AI7.1: Entrenamiento ............................................................................................... 27
AI7.7: Prueba de aceptación final ............................................................................ 29
AI7.9: Revisión Posterior a la Implantación .............................................................. 31
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
3
DS5.3: Administración de Identidad .......................................................................... 32
Sistema de Gestión de Cadena de Abastecimiento (SCMS) .......................................... 33
AI6.1: Estándares y Procedimientos para Cambios ............................................... 33
AI6.2:Valoración del impacto, Priorización y Autorización....................................... 35
AI6.4: Seguimiento y Reporte del Estatus de Cambio............................................ 37
AI6.5: Cierre y Documentación del Cambio ............................................................ 38
AI7.1:Entrenamiento ................................................................................................ 39
AI7.7: Prueba de aceptación final ............................................................................ 41
AI7.9: Revisión Posterior a la Implantación .............................................................. 42
DS5.3: Administración de Identidad .......................................................................... 44
Sistema de Gestión de Recursos Humanos / Contabilidad............................................. 45
AI6.1: Estándares y Procedimientos para Cambios ............................................... 45
AI6.2: Valoración del impacto, Priorización y Autorización...................................... 47
AI6.4: Seguimiento y Reporte del Estatus de Cambio............................................ 49
AI6.5: Cierre y Documentación del Cambio ............................................................ 50
AI7.1: Entrenamiento ............................................................................................... 51
AI7.5: Conversión de sistemas y datos.................................................................... 54
AI7.7 Prueba de aceptación final ............................................................................. 55
AI7.9: Revisión Posterior a la Implantación .............................................................. 57
DS5.3: Administración de Identidad .......................................................................... 58
Aplicaciones de Inteligencia de Negocios...................................................................... 59
AI6.1: Estándares y Procedimientos para Cambios ............................................... 59
AI6.2 Valoración del impacto, Priorización y Autorización....................................... 62
AI6.4: Seguimiento y Reporte del Estatus de Cambio............................................ 63
AI6.5: Cierre y Documentación del Cambio ............................................................ 64
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
4
AI7.1: Entrenamiento ............................................................................................... 65
AI7.5: Conversión de sistemas y datos.................................................................... 67
AI7.7: Prueba de aceptación final ............................................................................ 68
AI7.9: Revisión Posterior a la Implantación .............................................................. 69
DS5.3: Administración de Identidad .......................................................................... 70
Conclusión...................................................................................................................... 72
Bibliografía..................................................................................................................... 73
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
5
Introducción
Problemática
Jayhawk Medical Suply SA (JMS) es una organización que se dedica a la venta de una línea de equipo durable y suministros desechables para hospitales, clínicas y oficinas de los doctores. Su línea de productos se extiende desde depresores de la lengua y aplicadores para máquinas de rayos X y equipos de resonancia magnética.
La institución desea invertir en tecnología adquiriendo una serie de sistemas informáticos para así brindar un mejor servicio a sus clientes como también mejorar su operativa.
Estos subsistemas no son desarrollados internamente, por lo cual se ha realizado una auditoria sobre dichos sistemas adquiridos.
Se debe identificar controles críticos de cambio de sistema que necesitan ser probados para suplir evidencia para evaluar la efectividad operativa por lo tanto se debe diseñar un programa de pruebas de auditoria.
Soluciomática
Se leyó y estudió cabalmente cada uno de los documentos sugeridos por la cátedra, y se procedió a analizar los controles críticos y pruebas a la auditoria realizada.
Para llevar a cabo el diseño de las pruebas tuvimos que analizar las características de los subsistemas como su funcionalidad integral, su alineación con los requerimientos de la organización.
Teniendo en cuenta este análisis hemos evaluado las prácticas de control y pasos de aseguramiento descriptos en COBIT para así distinguir y detectar cuales de ellos son los que se aplican de una mejor manera a los subsistemas adquiridos y analizando el impacto que estos tienen en los objetivos de la organización.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
6
Sistema de Gestión de Base de Datos (DBMS)
AI6.1: Estándares y Procedimientos para Cambios - Establecer procedimientos de administración de cambio formales para manejar de manera estándar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos, procesos, parámetros de sistema y servicio, y las plataformas fundamentales.
Prácticas de Control
Pasos de Aseguramiento
1. Desarrollar, documentar y difundir un marco de gestión del cambio que especifique las políticas y procesos, incluyendo:
• Funciones y responsabilidades
• Clasificación y priorización de todos los cambios basados en riesgos del negocio
• Evaluación de impacto
• Autorización y aprobación de todos los cambios por parte de los dueños de los procesos del negocio y TI
• Seguimiento y estado de los cambios
• Impacto sobre la integridad de los datos (por ejemplo, todos los cambios a los datos de los archivos hechos en el sistema y control de aplicaciones en lugar de la intervención directa del usuario).
• Revisar el marco de gestión del cambio para determinar si en este se incluye:
• -La definición de funciones y responsabilidades
• Clasificación (por ejemplo, entre infraestructura y software de aplicación) y la priorización de todos los cambios
• Evaluación del impacto, procedimiento para la autorización y aprobación
• Seguimiento de los cambios
• Mecanismo de control de versiones
• Impacto sobre la integridad de los datos (por ejemplo, todos los cambios en los archivos de datos se realizan a través del sistema o aplicaciones de
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
7
control y no mediante la intervención directa del usuario)
• Gestión del cambio desde el inicio hasta la revisión y cierre de ese cambio.
• Definición de los procedimientos de reversión (deshacer un cambio)
• Utilización de un proceso de "cambios de emergencia"
• Planificación de la continuidad del Negocio
• Utilización de un sistema de gestión de registros
• Evidencias de Auditoría
• Segregación de funciones
2 Considere el impacto que tienen los proveedores de servicios contratados (por ejemplo, tercerización de infraestructuras, desarrollo de aplicaciones y servicios compartidos) sobre el proceso de gestión de cambios. Considere la posibilidad de integrar la gestión de cambios de la organización con los procesos de gestión de cambio de los prestadores de servicios. Considere el impacto que tiene el proceso de gestión de cambios organizacional, en las condiciones contractuales y los acuerdos de nivel de servicio (SLAs).
• Pregunte si y confirme que los procesos y procedimientos para los proveedores de servicios contratados (por ejemplo, infraestructura, desarrollo de aplicaciones, proveedores de servicios de aplicaciones, servicios compartidos) están incluidos en el proceso de gestión de cambios.
• Determinar si el proceso y los procedimientos incluyen los términos contractuales y los SLA. (Niveles de Acuerdo de Servicio)
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
8
Consideramos que es muy importante aplicar este control crítico al DBMS ya que todo cambio
que sea introducido en la BD debe ser realizado dentro de un marco de gestión de cambios para
que dicho cambio sea más controlado. Es decir, definir quien va a ser el responsable, evaluar el
impacto que puede ocasionar, que sea aprobado por la gerencia, etc. Esto es importante de
realizar ya que el DBMS juega un papel muy importante en el SIE.
También es importante determinar cual es el papel del proveedor a la hora de implementar dicho
cambio, ya que el DBMS es provisto por un Proveedor de servicios. Por lo tanto hay que
determinar los Niveles de acuerdo de Servicio.
AI6.2 Evaluación del impacto, Priorización y Autorización – Garantizar que todas las
solicitudes de cambio se evalúan de una manera estructurada en cuanto a impactos en el
sistema operacional y su funcionalidad. Esta evaluación deberá incluir categorización y
priorización de los cambios. Previo al a migración hacia producción, los interesados
correspondientes autorizan los cambios.
Prácticas de Control
Pasos de Aseguramiento
1. Desarrollar un proceso que permita a
los propietarios de procesos de negocio
e IT a solicitar cambios en la
infraestructura, sistemas o
aplicaciones. Desarrollar controles
para asegurar que todos estos cambios
sólo se dan a través de la solicitud del
proceso de cambio de gestión.
• Aceptar propuestas de cambio solo si
previamente se encuentran definidas
formalmente, de manera detallada y
explicita.
2 Evaluar a todas las solicitudes de
manera estructurada. Garantizar que el
proceso de evaluación aborda el
análisis de impacto en la
infraestructura, sistemas y
aplicaciones. Considerar la seguridad,
legales, contractuales y el
cumplimiento de las implicaciones del
cambio solicitado. Considerar también
• Mostrar y confirmar que las
solicitudes de cambio se evalúan y se
documentan en un método
estructurado que aborda el análisis
del impacto en la infraestructura,
sistemas y aplicaciones
• Analizar las solicitudes en base a
normativas, estándares vigentes que
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
9
las interdependencias entre los
cambios. Involucrar a los propietarios
de procesos de negocio en proceso de
evaluación.
contribuyan a comprender si se
cumple con los marcos de trabajo
implementados por las empresas
• Mostrar y confirmar que la seguridad,
legales, contractuales y aplicaciones
de cumplimiento se consideran en el
proceso de evaluación para el cambio
solicitado y que los dueños de
negocios están involucrados
3 Asegúrese de que cada cambio sea
aprobado formalmente por los
propietarios de procesos de negocio y
técnicos involucrados de TI ,que sean
pertinentes
• Mostrar y confirmar que cada
cambio solicitado sea aprobado
oficialmente por los dueños de los
procesos de negocio.
• Solo implementar cambios aprobados
que previamente han sido analizados
en base a sus características,
viabilidad y usabilidad.
Al ser el DBMS un software muy específico, dedicado a servir de interfaz entre la base de datos,
el usuario y las aplicaciones que la utilizan, es fundamental definir con claridad los cambios
que se plantean., la viabilidad de dichos cambios debe ser analizada y tener especial atención si
los mismos son necesarios para el negocio.
Cualquier cambio debe ser avalado por la normativa vigente empleada contemplando todos los
aspectos de integridad, seguridad necesarios.
AI6.3: Cambio de Emergencia – Establecer un proceso para definir, plantear, evaluar y
autorizar los cambio de emergencia que no siga el proceso de cambio establecido. La
documentación y la prueba se realizaran, posiblemente, después de la implantación del
cambio de emergencia.
Prácticas de Control
Pasos de Aseguramiento
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
10
1. Asegúrese de que existe un proceso
documentado dentro del proceso de
gestión del cambio global para
declarar, evaluar, autorizar y registrar
un cambio de emergencia
2 Asegúrese de que los cambios de
emergencia se procesan de acuerdo
con el elemento de cambio de
emergencia del proceso de gestión del
cambio formal
3 Asegúrese de que todos los acuerdos
de acceso de emergencia para los
cambios estén debidamente
autorizados, documentados y
aprobados después de que el cambio se
ha aplicado.
4 Llevar a cabo un estudio de
seguimiento de todos los cambios de
emergencia, entre todas las partes
interesadas. La revisión debería
considerar las implicaciones para
aspectos como el posterior
mantenimiento del sistema de
aplicación, el impacto sobre el
desarrollo y entornos de prueba,
calidad de las aplicaciones de
desarrollo de software, documentación
y manuales, y la integridad de datos.
• Pregunte y confirme que existe un
proceso establecido para que los
solicitantes e interesados para realizar
el seguimiento del estado de las
solicitudes en las distintas etapas del
cambio gestión de procesos.
• Preguntar y confirmar que el sistema
de seguimiento y presentación de
informes supervisa el estado de las
solicitudes de cambio (por ejemplo,
rechazados, aprobados pero no
iniciados, aprobado y en proceso).
• Preguntar y confirmar que la gestión
revisa y controla el estado detallado
de los cambios y el estado general
(por ejemplo, el análisis por
antigüedad de los pedidos de
cambios).
•
Preguntar y confirmar que los
cambios aprobados son abiertos y
cerrados en el momento oportuno,
dependiendo de la prioridad.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
11
Incorporamos este control crítico al DBMS ya que en el caso de que se caiga la BD o que ocurra
algún problema que impida que se pueda acceder a la BD, deberíamos poder solucionar dicho
problema a la brevedad ya que el SIE necesita constantemente recolectar y actualizar datos en la
BD. Por lo tanto incorporamos este control critico que nos permite realizar cambios urgentes,
pero manteniendo cierto gestión de cambio o procedimientos.
AI6.4: Seguimiento y Reporte del Estatus de Cambio - Establecer un sistema de
seguimiento y reporte para mantener actualizados a los solicitantes de cambio y a los
interesados relevantes, acerca del estatus del cambio a las aplicaciones, a los
procedimientos, a los procesos, parámetros del sistema y del servicio y las plataformas
fundamentales.
Prácticas de Control
Pasos de Aseguramiento
1
Categorice las solicitudes de cambio
en el proceso de seguimiento (por
ejemplo, ha sido rechazada, aprobado
pero aún no iniciados, aprobados y en
proceso, y cerrado).
• Verificar, y confirmar que el sistema
de seguimiento y presentación de
informes supervisa el estado de las
solicitudes de cambio (por ejemplo,
rechazados, aprobados pero no
iniciados, aprobado y en proceso).
2
Implementar informes sobre la
situación de los cambios con los
parámetros de rendimiento para
permitir un examen de gestión y
control tanto de la situación detallada
de los cambios y el estado general (por
ejemplo, el análisis por antigüedad de
los pedidos de cambios). Asegúrese de
que los informes de estado forman una
pista de auditoría para que los cambios
posteriormente puedan ser rastreados
desde su creación hasta la disposición
• Verificar, y confirmar que la gestión
revisa y controla el estado detallado
de los cambios y el estado general
(por ejemplo, el análisis por
antigüedad de los pedidos de
cambios).
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
12
final.
Es importante establecer una categorización de las solicitudes de cambio para poder realizar un
seguimiento de las mismas y tener conocimiento del estado actual en que se encuentren.
Además, contar con un informe sobre la situación de los cambios permitirá tener estadísticas
importantes sobre los mismos como así también poder hacer un rastreo en su ciclo de vida.
Consideramos que es muy importante aplicar este control crítico al DBMS ya que todo cambio
que sea introducido en la BD debe ser realizado dentro de un marco de gestión de cambios para
que dicho cambio sea más controlado
Este es un control importante para poder Gestionar los Cambios y se aplicara a todos los
subsistemas que forman parte de SIE.
AI6.5: Cierre y Documentación del Cambio - Siempre que se implantan cambios al sistema,
actualizar el sistema asociado y la documentación de usuario y procedimientos
correspondientes. Establecer un proceso de revisión para garantizar la implantación completa
de los cambios.
Prácticas de Control
Pasos de Aseguramiento
1
Asegúrese de que la documentación,
incluyendo los procedimientos
operativos, la información de
configuración, documentación de la
aplicación, pantallas de ayuda y
materiales de capacitación-sigue el
procedimiento de gestión del cambio
mismo y se considera una parte integral
del cambio.
• Verificar, y confirmar que la
documentación de cambio (por ejemplo,
los procedimientos operativos, la
información de configuración,
documentación de la solicitud, pantallas
de ayuda, materiales de capacitación) es
hasta la fecha.
2
Actualizar los procesos de negocio para
los cambios en el hardware o software,
para asegurar que la funcionalidad nueva
• Verificar, y confirmar que la
documentación de procesos de negocio
se actualiza por los cambios
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
13
o mejorada se utiliza. implementados en hardware o software
Es muy importante aplicar este control sobre el Sistema de Gestión de Base de Datos, ya que la
gestión del cambio debe corresponderse con la actualización de los sistemas y documentación
asociados para mantener la integridad y consistencia del mismo sabiendo la importancia que
este tipo de sistemas tiene para la empresa.
Así mismo, debe mantenerse el sistema actualizado para poder utilizar las nuevas
funcionalidades y mejoras del sistema.
Este control es de vital importancia para mantener el sistema SIE completamente integro y
consistente, ya que actualiza los cambios efectuados en cualquier modulo a todos los sistemas y
documentación asociada. Por este motivo se aplicara a todos los subsistemas.
AI7.1: Entrenamiento—Entrenar al personal de los departamentos afectados y al grupo
de operaciones encargado de TI, de acuerdo con el plan de entrenamiento e
implementación definido y sus materiales asociados, como parte de cada desarrollo de
sistema de información, implementación o modificación de un proyecto.
Prácticas de Control
Pasos de Aseguramiento
1 Confirme que exista un proceso para
asegurar que el plan de entrenamiento
se ejecuta satisfactoriamente.
Complete la documentación detallando
cómo se cumple el plan de formación.
Algunos ejemplos de información
crucial son: la lista de los miembros
del equipo invitados a asistir a la
capacitación, los asistentes, las
evaluaciones de logro de los objetivos
de aprendizaje y un apartado con
opiniones/encuestas.
• Definir detalladamente las
características del plan de
capacitación
• Verificar que el plan de capacitación
implementado satisface las
necesidades de conocimientos
requeridas por el áreas SI/Ti para
lograr los objetivos del negocio
• Pregunte si y confirme que (por
ejemplo, a través de entrevistas con
miembros clave del personal o a
través de la inspección del plan del
proyecto) que el plan de
entrenamiento identifica y abarca a
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
14
los grupos afectados grupos (por
ejemplo, los usuarios finales, las
operaciones de TI, soporte y
capacitación para el desarrollo de
aplicaciones de TI, proveedores de
servicios).
• Inspeccione la documentación de
capacitación para determinar el
cumplimiento con el plan de
formación (por ejemplo, la lista de
los miembros del equipo invitados a
los entrenamientos, lista de
participantes efectivos, formularios
de evaluación para el logro de los
objetivos de aprendizaje,
retroalimentación etc.).
2 Monitoree el entrenamiento para
obtener información que podría
conducir a posibles mejoras tanto en la
formación como en el sistema.
•
• Pregunte si y confirme que existe
un proceso para verificar el
cumplimiento del plan de
entrenamiento.
• Pregunte si y confirme que hay
un proceso de control del
entrenamiento, para obtener
retroalimentación que podría
conducir a posibles mejoras en el
sistema.
Monitorear todos los cambios
planificados, para garantizar que las
necesidades de entrenamiento han sido
consideradas y que se crearon los
planes adecuados. Considere la
• Pregunte si y confirme que los
cambios planificados son
monitoreados, para asegurar que
las necesidades de formación se
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
15
posibilidad de retrasar el cambio si el
entrenamiento no se ha realizado y la
falta de formación pone en peligro la
aplicación del cambio.
consideran adecuadas y los
planes adecuados son creados.
El manejo el manejo de DBMS requiere una capacitación adecuada que entrene al personal
involucrado de forma efectiva y eficaz. Una previa organización es indispensable para definir
los temas que deberán ser tratados, quienes serán los involucrados y la forma de entrenamiento
que se brindara.
AI7.5: Conversión de sistemas y datos - Plan de conversión de datos y migración de
infraestructuras como parte de los métodos de desarrollo de la organización, incluyendo
pistas de auditoría, respaldo y vuelta atrás.
Prácticas de Control
Pasos de Aseguramiento
1. Definir un plan conversión de datos y
un plan de migración de la
infraestructura. Consideramos, por
ejemplo, el hardware, redes, sistemas
operativos, software, datos de
transacción, archivos principales,
respaldos y archivos, interfaces con
otros sistemas (tanto internos como
externos), procedimientos, y
documentación del sistema en el
desarrollo del plan.
2 Confirmar que el plan de conversión
de datos no requiere cambios en los
valores de datos a menos que sea
absolutamente necesario por razones
de negocios. Documentar los cambios
realizados a los valores de datos, y la
aprobación segura del proceso de
negocio de datos originarios.
• Confirmar a las entrevistas con
miembros de la administración
cruciales o inspección de políticas y
procedimientos. La conversión de
datos y esos planes de mitigación de
infraestructura existen, y consideran
lo siguiente: El hardware, las redes,
los sistemas operativos, el software,
los datos de transacción, los archivos
principales, los respaldos y los
archivos, las interfaces con otros
sistemas internos y externos,
procedimientos, documentación de
sistema, etc.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
16
3 Considerar en tiempo real de
recuperación de desastres, la
planificación de continuidad del
negocio, y la reversión en la
conversión de datos y plan de
migración de infraestructura en la
gestión del riesgo, las necesidades del
negocio, o reglamentario, o exigir el
cumplimiento de los requisitos.
6 Asegurar de que hay una copia de
seguridad de todo el sistema y los
datos obtenidos en el punto anterior de
la conversión, las pistas de auditoría se
mantienen para permitir la conversión
a un seguimiento posterior, y hay una
emergencia y un plan de recuperación
en caso de que la conversión falla.
Asegurar de que la retención de datos
de backup y archivados se ajustan a las
necesidades empresariales y de
reglamentación o los requisitos de
cumplimiento.
Consideramos que es muy importante aplicar este control crítico al DBMS porque es de suma
importancia contar con un sistema robusto de copias de seguridad, sobretodo para aquellos
datos de mayor importancia. Los sistemas pueden convertirse por múltiples motivos, entre otros
que nos parece importante nombrar son: Necesidad de cumplir con nuevos requerimientos de
información, porque nuevas aplicaciones, por ejemplo en tiempo real, requieren tiempos de
acceso inmediatos, necesidad de disponer de base de datos más potentes y seguras (ejemplo,
Oracle, arquitectura Cliente-Servidor.
El proceso de conversión de aplicaciones debe planificarse, estimarse los recursos necesarios y
llevar a cabo un liderazgo adecuado del proyecto, para minimizar el riesgo de que los plazos se
prolonguen más allá de lo estimado.
AI7.7: Prueba de aceptación final - Asegurar que los dueños de proceso de negocio y
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
17
los interesados de TI evalúan los resultados de los procesos de pruebas como determina el
plan de pruebas. Remediar los errores significativos identificados en el proceso de prueba,
habiendo completado el conjunto de pruebas identificadas en el plan de pruebas y
cualquier prueba de regresión necesaria. Siguiendo la evaluación, aprobación de la
promoción a la producción.
Prácticas de Control
Pasos de Aseguramiento
1 Asegurar de que el ámbito de
actividades de aceptación final de
evaluación abarca todos los
componentes del sistema de
información (por ejemplo, software de
aplicaciones, instalaciones, tecnología,
procedimientos de los usuarios, los
procedimientos de operación,
seguimiento y apoyo).
2 Asegurar de que el registro de
categorías de errores detectados en el
proceso de prueba ha sido abordada
por el equipo de desarrollo. Asegurar
de que la causa de los errores ha sido
remediadas (por ejemplo, mediante
cambios apropiados a la aplicación o la
configuración o la solución y / o
corrección de retraso cuando el error es
menor).
• Confirmar que los principales
interesados son considerados en las
actividades de prueba de aceptación
final.
• Preguntar y confirmar que los
criterios de éxito son identificados en
el plan de pruebas en las etapas de
recepción definitiva.
Consideramos aplicar este control crítico al DBMS porque además de los típicos análisis de
vulnerabilidades, es conveniente definir y simular una serie de patrones de posibles ataques
sobre nuestra infraestructura contra los que nos podríamos enfrentar, y conocer si estamos
preparados antes ellos, para su monitorización, detección de errores, respuesta y actuación.
AI7.9: Revisión Posterior a la Implantación - Establecer procedimientos en línea con los
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
18
estándares de gestión de cambios organizacionales para requerir una revisión posterior a
la implantación como conjunto de salida en el plan de implementación.
Prácticas de Control
Pasos de Aseguramiento
1 Establecer procedimientos para
asegurar que las revisiones post
implementación identifican, evalúan y
reportan en la extensión para la cual:
• los requisitos comerciales han sido
encontrados
• Esperar que los beneficios
esperados hayan sido alcanzados
• El sistema es considerado usable
• Las expectativas internas y externas
de tenedores de apuestas son
encontradas
• Los impactos inesperados en la
organización han ocurrido
• Los riesgos clave son mitigados
• La gerencia de cambio, instalación y
los procesos de la acreditación fueron
realizados efectivamente y
eficazmente.
2 Consultar a los dueños comerciales de
proceso y gerencia técnica de
tecnología de la información en la
elección de métrica para la medida de
éxito y logro de requisitos y
beneficios.
3 Considerar requisitos para la revisión
de post implementación surgiendo de
negocio exterior y tecnología de la
información (por ejemplo la de
auditoría, la de empresa la de
Confirmar a través de las entrevistas con los
miembros claves del staff que los
procedimientos de post implementación han
sido establecidos.
• Confirmar a través de las entrevistas
con los miembros clave del staff que
los dueños comerciales de proceso y
la tecnología de la información la
gerencia técnica están involucrados
en la selección de métrica para medir
éxito y el logro de requisitos y
beneficios.
• Confirmar a través de las entrevistas
con los miembros clave del staff que
la forma de la revisión de post
implementación está de conformidad
con el proceso administrativo de
cambio y que los dueños comerciales
de proceso y las terceras partes están
involucrados, según el caso.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
19
administración de riesgos, y la
reguladora y la conformidad).
Consideramos que se deben aplicar dichas Prácticas de control y pasos de aseguramiento al
DBMS debido a que se debe evaluar el desempeño, performance y seguridad del sistema una
vez implementado, tomando métricas y luego analizándolas evaluando si se cumple con los
requisitos esperados.
DS5.3: Administración de Identidad - Asegurar que todos los usuarios (internos,
externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, entorno de
TI, operación de sistemas, desarrollo y mantenimiento) deben ser identificables de manera
única. Permitir que el usuario se identifique a través de mecanismos de autenticación.
Confirmar que los permisos de acceso del usuario al sistema y los datos están en línea con
las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo
están adjuntos a las identidades del usuario. Asegurar que los derechos de acceso del
usuario se solicitan por la gerencia del usuario, aprobados por el responsable del sistema e
implementado por la persona responsable de la seguridad. Las identidades del usuario y
los derechos de acceso se mantienen en un repositorio central. Se despliegan técnicas
efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer
la identificación del usuario, realizar la autenticación y habilitar los derechos de acceso.
Prácticas de Control
Pasos de Aseguramiento
1 Establecer y comunicar políticas y
procedimientos para excepcionalmente
identificar, autenticar y autorizar los
mecanismos de acceso y los derechos
de acceso para todos los usuarios bajo
necesidad saber/necesidad para tener
base, basado predeterminado y roles
probados. Claramente indique
responsabilidad de cualquier usuario
para cualquier acción en cualquier de
los sistemas y / o las aplicaciones
complejas.
• Determinar si las practicas de
seguridad requieren que usuarios y
procesos de sistema sean
excepcionalmente identificables y
sistemas para ser configurados para
implementar autenticación antes de
que el acceso es concedido.
• Determinar si el acceso
aprovisionando y los mecanismos de
control de autenticación son
utilizados para controlar el acceso
lógico a través de todos los usuarios,
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
20
2 Definir e implementar un
procedimiento para identificar a
usuarios nuevos y registrar, aprobar y
mantener derechos de acceso. Esto
necesita ser pedido por el usuario
administrador, ser aprobado por el
dueño de sistema e implementado por
la persona responsable.
procesos de sistema y recursos de
tecnología de la información, para
usuarios internos y remotamente
manejados, procesos y sistemas.
Consideramos que se deben aplicar dichas Prácticas de control y pasos de aseguramiento al
DBMS debido a que se deben poder definir roles y usuarios debidamente autorizados con
permisos concedidos dependiendo de las necesidades del negocio, autenticando y autorizando a
estos mediante credenciales.
Sistema de Gestión de Relaciones con los clientes (CRMS)
AI6.1: Estándares y Procedimientos para Cambios - Establecer procedimientos de
administración de cambio formales para manejar de manera estándar todas las solicitudes
(incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos,
procesos, parámetros de sistema y servicio, y las plataformas fundamentales.
Prácticas de Control
Pasos de Aseguramiento
1. Desarrollar, documentar y difundir un
marco de gestión del cambio que
especifique las políticas y procesos,
incluyendo:
• Funciones y responsabilidades
• Clasificación y priorización de todos
los cambios basados en riesgos del
negocio
Revisar el marco de gestión del cambio
para determinar si en este se incluye:
• La definición de funciones y
responsabilidades
• Clasificación (por ejemplo, entre
infraestructura y software de
aplicación) y la priorización de
todos los cambios
• Evaluación del impacto,
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
21
• Evaluación de impacto
• Autorización y aprobación de todos
los cambios por parte de los dueños de
los procesos del negocio y TI
• Seguimiento y estado de los cambios
• Impacto sobre la integridad de los
datos (por ejemplo, todos los cambios
a los datos de los archivos hechos
en el sistema y control de aplicaciones
en lugar de la intervención directa del
usuario).
procedimiento para la autorización
y aprobación
• Seguimiento de los cambios
• Mecanismo de control de
versiones
• Impacto sobre la integridad de
los datos (por ejemplo, todos los
cambios en los archivos de datos se
realizan a través del sistema o
aplicaciones de control y no
mediante la intervención directa
del usuario)
• Gestión del cambio desde el inicio
hasta la revisión y cierre de ese
cambio.
• Definición de los procedimientos
de reversión (deshacer un cambio)
• Utilización de un proceso de
"cambios de emergencia"
• Planificación de la continuidad del
Negocio
• Utilización de un sistema de
gestión de registros
• Evidencias de Auditoría
• Segregación de funciones
2 Considere el impacto que tienen los
proveedores de servicios contratados
(por ejemplo, tercerización de
infraestructuras, desarrollo de
aplicaciones y servicios compartidos)
sobre el proceso de gestión de
cambios. Considere la posibilidad de
integrar la gestión de cambios de la
• Pregunte si y confirme que los
procesos y procedimientos para
los proveedores de servicios
contratados (por ejemplo,
infraestructura, desarrollo de
aplicaciones, proveedores de
servicios de aplicaciones,
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
22
organización con los procesos de
gestión de cambio de los prestadores
de servicios. Considere el impacto que
tiene el proceso de gestión de cambios
organizacional, en las condiciones
contractuales y los acuerdos de nivel
de servicio (SLAs).
servicios compartidos) están
incluidos en el proceso de gestión
de cambios.
• Determinar si el proceso y los
procedimientos incluyen los
términos contractuales y los
SLA. (Niveles de Acuerdo de
Servicio)
El CRMS es el conjunto de procesos de negocio y de políticas, diseñadas para dar servicios a
los clientes. La empresa le brinda información al cliente mediante este sistema, por lo tanto es
importante que las modificaciones y/o actualizaciones que se realicen sobre este modulo estén
dentro de un marco de gestión de cambios para manejar de manera estándar todos los cambios.
Debemos considerar también el impacto que tienen los proveedores de servicios contratados
sobre el proceso de gestión de cambios del CRMS y determinar cuales son los Niveles de
acuerdo de Servicio de dicho proveedor
AI6.2: Valoración del impacto, Priorización y Autorización – Garantizar que todas las
solicitudes de cambio se evalúan de una manera estructurada en cuanto a impactos en el
sistema operacional y su funcionalidad. Esta evaluación deberá incluir categorización y
priorización de los cambios. Previo al a migración hacia producción, los interesados
correspondientes autorizan los cambios.
Prácticas de Control
Pasos de Aseguramiento
1. Dar prioridad a todos los cambios
solicitados. garantizar que el proceso
de gestión del cambio identifica tanto a
las necesidades comerciales y técnicas
para el cambio. Tener en cuenta las
razones legales, reglamentarias y
contractuales para el cambio
solicitado.
• Mostrar y confirmar que el proceso
de gestión del cambio permite a los
propietarios de procesos de negocio e
IT a solicitar cambios en la
infraestructura, sistemas o
aplicaciones.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
23
2 Evaluar a todas las solicitudes de
manera estructurada. Garantizar que el
proceso de evaluación aborda el
análisis de impacto en la
infraestructura, sistemas y
aplicaciones. Considerar la seguridad,
legales, contractuales y el
cumplimiento de las implicaciones del
cambio solicitado. Considerar también
las interdependencias entre los
cambios. Involucrar a los propietarios
de procesos de negocio en proceso de
evaluación.
• Inspeccionar una muestra
representativa de las solicitudes de
gestión del cambio para asegurar que
fueron evaluados, priorizado,
examinado y revisado
adecuadamente.
• Mostrar y confirmar que la seguridad,
legales, contractuales y aplicaciones
de cumplimiento se consideran en el
proceso de evaluación para el cambio
solicitado y que los dueños de
negocios están involucrados
Un módulo de CRM le permite a la empresa identificar los productos y servicios que requieren
sus clientes para poder proveérselos, optimizar los canales de entrega, identificar a grupos de
clientes para desarrollar estrategias, obtener conocimientos acerca de las necesidades actuales de
sus clientes, entender a los grupos dominantes de clientes para establecer relaciones a largo
plazo con ellos, aumentar las ventas de la empresa junto con la satisfacción del cliente, entre
otros. Para cumplimentar todo ello es necesario permitir cambios de forma organizada y
estructurada, la forma de llevar a cabo ellos es determinando prioridades y clasificación de lo
cambios propuesto siempre teniendo presente cuestiones legales y de normativa vigente.
AI6.3: Cambio de Emergencia – Establecer un proceso para definir, plantear, evaluar y
autorizar los cambios de emergencia que no sigan el proceso de cambio establecido. La
documentación y la prueba se realizaran, posiblemente, después de la implantación del
cambio de emergencia.
Prácticas de Control
Pasos de Aseguramiento
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
24
1. Asegúrese de que existe un proceso
documentado dentro del proceso de
gestión del cambio global para
declarar, evaluar, autorizar y registrar
un cambio de emergencia
2 Asegúrese de que los cambios de
emergencia se procesan de acuerdo
con el elemento de cambio de
emergencia del proceso de gestión del
cambio formal
3 Asegúrese de que todos los acuerdos
de acceso de emergencia para los
cambios estén debidamente
autorizados, documentados y
aprobados después de que el cambio se
ha aplicado.
4 Llevar a cabo un estudio de
seguimiento de todos los cambios de
emergencia, entre todas las partes
interesadas. La revisión debería
considerar las implicaciones para
aspectos como el posterior
mantenimiento del sistema de
aplicación, el impacto sobre el
desarrollo y entornos de prueba,
calidad de las aplicaciones de
desarrollo de software, documentación
y manuales, y la integridad de datos.
• Pregunte y confirme que existe un
proceso establecido para que los
solicitantes e interesados para
realizar el seguimiento del estado de
las solicitudes en las distintas etapas
del cambio gestión de procesos.
• Preguntar y confirmar que el
sistema de seguimiento y
presentación de informes supervisa
el estado de las solicitudes de
cambio (por ejemplo, rechazados,
aprobados pero no iniciados,
aprobado y en proceso).
• Preguntar y confirmar que la gestión
revisa y controla el estado detallado
de los cambios y el estado general
(por ejemplo, el análisis por
antigüedad de los pedidos de
cambios).
• Preguntar y confirmar que los
cambios aprobados son abiertos y
cerrados en el momento oportuno,
dependiendo de la prioridad.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
25
Ya que el CRMS es el modulo que brinda servicios al cliente, consideramos que el mismo
debería estar disponible la mayor cantidad de tiempo posible para que los clientes lo usen, y en
caso de que no este disponible, seria una perdida de servicio hacia los clientes y por ende una
perdida de dinero para la empresa. Por lo tanto incorporamos este control critico para que se le
puedan realizar cambios urgentes al modulo CRMS con el objetivo de que este en
funcionamiento el mayor tiempo posible y que estos cambios no afecten en un futuro al buen
funcionamiento del modulo, ya que los cambios urgentes se realizaran dentro de un marco de
control de cambios urgentes.
AI6.4: Seguimiento y Reporte del Estatus de Cambio - Establecer un sistema de
seguimiento y reporte para mantener actualizados a los solicitantes de cambio y a los
interesados relevantes, acerca del estatus del cambio a las aplicaciones, a los
procedimientos, a los procesos, parámetros del sistema y del servicio y las plataformas
fundamentales.
Prácticas de Control
Pasos de Aseguramiento
1
Categorice las solicitudes de cambio
en el proceso de seguimiento (por
ejemplo, ha sido rechazada, aprobado
pero aún no iniciados, aprobados y en
proceso, y cerrado).
• Verificar, y confirmar que el sistema
de seguimiento y presentación de
informes supervisa el estado de las
solicitudes de cambio (por ejemplo,
rechazados, aprobados pero no
iniciados, aprobado y en proceso).
2
Implementar informes sobre la
situación de los cambios con los
parámetros de rendimiento para
permitir un examen de gestión y
control tanto de la situación detallada
de los cambios y el estado general (por
ejemplo, el análisis por antigüedad de
los pedidos de cambios). Asegúrese de
• Verificar, y confirmar que la gestión
revisa y controla el estado detallado
de los cambios y el estado general
(por ejemplo, el análisis por
antigüedad de los pedidos de
cambios).
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
26
que los informes de estado forman una
pista de auditoría para que los cambios
posteriormente puedan ser rastreados
desde su creación hasta la disposición
final.
Es importante establecer una categorización de las solicitudes de cambio para poder realizar un
seguimiento de las mismas y tener conocimiento del estado actual en que se encuentren.
Además, contar con un informe sobre la situación de los cambios permitirá tener estadísticas
importantes sobre los mismos como así también poder hacer un rastreo en su ciclo de vida.
El CRMS es el conjunto de procesos de negocio y de políticas, diseñadas para dar servicios a
los clientes. La empresa le brinda información al cliente mediante este sistema, por lo tanto es
importante que las modificaciones y/o actualizaciones que se realicen sobre este modulo estén
dentro de un marco de gestión de cambios.
Este es un control importante para poder Gestionar los Cambios y se aplicara a todos los
subsistemas que forman parte de SIE.
AI6.5: Cierre y Documentación del Cambio - Siempre que se implantan cambios al sistema,
actualizar el sistema asociado y la documentación de usuario y procedimientos
correspondientes. Establecer un proceso de revisión para garantizar la implantación completa
de los cambios.
Prácticas de Control
Pasos de Aseguramiento
1
Asegúrese de que la documentación,
incluyendo los procedimientos
operativos, la información de
configuración, documentación de la
aplicación, pantallas de ayuda y
materiales de capacitación-sigue el
procedimiento de gestión del cambio
mismo y se considera una parte integral
del cambio.
• Verificar, y confirmar que la
documentación de cambio (por ejemplo,
los procedimientos operativos, la
información de configuración,
documentación de la solicitud, pantallas
de ayuda, materiales de capacitación) es
hasta la fecha.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
27
2
Actualizar los procesos de negocio para
los cambios en el hardware o software,
para asegurar que la funcionalidad nueva
o mejorada se utiliza.
• Verificar, y confirmar que la
documentación de procesos de negocio
se actualiza por los cambios
implementados en hardware o software
Aplicaremos este control al subsistema CRMS para así poder mantener la integridad y
consistencia del mismo, ya que es vital para el funcionamiento de la empresa. Además,
mantenerlo actualizado y aprovechar al máximo su funcionalidad.
Este control es de vital importancia para mantener el sistema SIE completamente integro y
consistente, ya que actualiza los cambios efectuados en cualquier modulo a todos los sistemas y
documentación asociada. Por este motivo se aplicara a todos los subsistemas.
AI7.1: Entrenamiento—Entrenar al personal de los departamentos afectados y al grupo
de operaciones encargado de TI, de acuerdo con el plan de entrenamiento e
implementación definido y sus materiales asociados, como parte de cada desarrollo de
sistema de información, implementación o modificación de un proyecto.
Prácticas de Control
Pasos de Aseguramiento
1. Asegúrese de que el plan de
entrenamiento identifica y aborda a
todos los grupos afectados, incluidos
los usuarios finales del negocio, las
operaciones de TI, soporte y
capacitación en desarrollo de
aplicaciones de TI y a los proveedores
de servicios. El plan de entrenamiento
debe proporcionar la formación de una
manera oportuna. También deberán
identificarse los miembros del equipo
que deben estar capacitados y aquellos
para los que la formación es deseable
• Pregunte si y confirme que (por
ejemplo, a través de entrevistas con
miembros clave del personal o a
través de la inspección del plan del
proyecto) que el plan de
entrenamiento identifica y abarca a
los grupos afectados grupos (por
ejemplo, los usuarios finales, las
operaciones de TI, soporte y
capacitación para el desarrollo de
aplicaciones de TI, proveedores de
servicios).
• Inspeccione la documentación de
capacitación para determinar el
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
28
cumplimiento con el plan de
formación (por ejemplo, la lista de
los miembros del equipo invitados a
los entrenamientos, lista de
participantes efectivos, formularios
de evaluación para el logro de los
objetivos de aprendizaje,
retroalimentación etc.).
2 Monitoree el entrenamiento para
obtener información que podría
conducir a posibles mejoras tanto en la
formación como en el sistema.
• Pregunte si y confirme que hay un
proceso de control del entrenamiento,
para obtener retroalimentación que
podría conducir a posibles mejoras en
el sistema.
• La evaluación periódica sobre los
conocimientos adquiridos en la
capacitación, puede llegar a permitir
el descubrimiento de cambios
interesantes e innovadoras.
• La práctica que brinda el
entrenamiento permitirá conocer
sugerencias, obstáculos que
permitirán aportar mejoras.
• Inspeccione la documentación de
capacitación para determinar el
cumplimiento con el plan de
formación (por ejemplo, la lista de
los miembros del equipo invitados a
los entrenamientos, lista de
participantes efectivos, formularios
de evaluación para el logro de los
objetivos de aprendizaje,
retroalimentación etc.).
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
29
Monitorear todos los cambios
planificados, para garantizar que las
necesidades de entrenamiento han sido
consideradas y que se crearon los
planes adecuados. Considere la
posibilidad de retrasar el cambio si el
entrenamiento no se ha realizado y la
falta de formación pone en peligro la
aplicación del cambio
• Pregunte si y confirme que los
cambios planificados son
monitoreados, para asegurar que las
necesidades de formación se
consideran adecuadas y los planes
adecuados son creados.
• No aplicar cambio si el
entrenamiento no ha dado resultados
satisfactorios
• Pregunte si y confirme que se
considera que las estrategias
alternativas de formación garantizan
que una relación costo-eficiencia se
ha seleccionado e incorporado en el
marco de formación.
• Pregunte si y confirme que existe un
proceso para verificar el
cumplimiento del plan de
entrenamiento.
La capacitación y entrenamiento deben ser periódicas y deben abarcar temas previamente
definidos y avalados por los directivos. Las alternativas de formación deben tener en cuenta la
implicancia costo – beneficio ya que el negocio debe evaluar dichos aspectos y dar el aval para
su implantación.
AI7.7: Prueba de aceptación final - Asegurar que los dueños de proceso de negocio y
las interesados de TI evalúan los resultado de los procesos de pruebas como determina el
plan de pruebas. Remediar los errores significativos identificados en el proceso de prueba,
habiendo completado el conjunto de pruebas identificadas en el plan de pruebas y
cualquier prueba de regresión necesaria. Siguiendo la evaluación, aprobación de la
promoción a la producción.
Prácticas de Control Pasos de Aseguramiento
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
30
1 Asegurar de que el ámbito de
actividades de aceptación final de
evaluación abarca todos los
componentes del sistema de
información (por ejemplo, software de
aplicaciones, instalaciones, tecnología,
procedimientos de los usuarios, los
procedimientos de operación,
seguimiento y apoyo).
3 Asegurar de que la evaluación de
aceptación final se mida según los
criterios de éxito establecidos en el
plan de pruebas. Asegurar de que el
proceso de examen y evaluación es
adecuadamente documentada.
4 Documentar e interpretar los resultados
finales de las pruebas de aceptación, y
presentarlos en una forma que sea
comprensible para los dueños de los
procesos de negocio y TI con el fin de
una reconsideración informada y la
evaluación puede tener lugar.
5 Asegurar que los dueños comerciales
de proceso, las partes pertinentes y las
partes interesadas de TI formalmente
aprueban formalmente el resultado del
proceso de prueba según lo establecido
en el plan de pruebas Esta autorización
es obligatoria antes de la promoción a
la producción.
• Confirmar que los principales
interesados son considerados en las
actividades de prueba de aceptación
final.
• Preguntar y confirmar que la
documentación apropiada para su
revisión y evaluación existe.
• Informar a las partes interesadas
claves si la documentación y
presentación de los resultados finales
de las pruebas de aceptación son
completas y oportunas.
Aplicamos este control crítico a CRMS ya que proporciona la posibilidad de que las diferentes
áreas trabajen juntos con el mismo objetivo: su cliente ideal (el plan de prueba). Además hace
posible el diseño de programas que hagan sentir al cliente como en casa.
Desde la perspectiva de planificación se puede mantener el registro de todas las oportunidades
de negocios, controlando las actividades de cada una de las personas que participan en la venta,
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
31
permitiendo de esta forma mantener un conocimiento del estado real de una oportunidad, y
establecer estrategias que todo el equipo de ventas conozca para que se genere la sinergia
necesaria.
AI7.9: Revisión Posterior a la Implantación - Establecer procedimientos en línea con los
estándares de gestión de cambios organizacionales para requerir una revisión posterior a
la implantación como conjunto de salida en el plan de implementación.
Prácticas de Control
Pasos de Aseguramiento
1 Establecer procedimientos para
asegurar que las revisiones post
implementación identifican, evalúan y
reportan en la extensión para la cual:
• los requisitos comerciales han sido
encontrados
• Esperar que los beneficios
esperados hayan sido alcanzados
• El sistema es considerado usable
• Las expectativas internas y externas
de tenedores de apuestas son
encontradas
• Los impactos inesperados en la
organización han ocurrido
• Los riesgos clave son mitigados
• La gerencia de cambio, instalación y
los procesos de la acreditación fueron
realizados efectivamente y
eficazmente.
2 Convenir e implementar un plan de
acción del que ocuparse asuntos
identificados en la revisión de post
implementación. Involucre a los
dueños comerciales de proceso y
tecnología de la información gerencia
• Confirmar a través de las entrevistas
con los miembros claves del staff que
los procedimientos de post
implementación han sido
establecidos.
• Confirmar a través de las entrevistas
con los miembros clave del staff que
la forma de la revisión de post
implementación está de conformidad
con el proceso administrativo de
cambio y que los dueños comerciales
de proceso y las terceras partes están
involucrados, según el caso.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
32
técnica en el desarrollo del plan de
acción
Consideramos que se deben aplicar dichas Prácticas de control y pasos de aseguramiento al
CRMS debido a que se debe evaluar si el resultado obtenido es el esperado, considerando los
usuarios clave del negocio.
DS5.3: Administración de Identidad - Asegurar que todos los usuarios (internos,
externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, entorno de
TI, operación de sistemas, desarrollo y mantenimiento) deben ser identificables de manera
única. Permitir que el usuario se identifique a través de mecanismos de autenticación.
Confirmar que los permisos de acceso del usuario al sistema y los datos están en línea con
las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo
están adjuntos a las identidades del usuario. Asegurar que los derechos de acceso del
usuario se solicitan por la gerencia del usuario, aprobados por el responsable del sistema e
implementado por la persona responsable de la seguridad. Las identidades del usuario y
los derechos de acceso se mantienen en un repositorio central. Se despliegan técnicas
efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer
la identificación del usuario, realizar la autenticación y habilitar los derechos de acceso.
Prácticas de Control
Pasos de Aseguramiento
1 Asegure que un flujo oportuno de
información está en lugar que reporta
cambios en los trabajos (i.e., Pueble
adentro, pueble fuera, cambio de
personas). Conceda, revoque y adapte
a derechos de acceso del usuario en co-
ordinaciòn con recursos humanos y los
departamentos del usuario para los
usuarios que son nuevos, quien ha
dejado la organización, o quien tienen
cambiado papeles o trabajos
2 Definir e implementar un
• Determinar si las practicas de
seguridad requieren que usuarios y
procesos de sistema sean
excepcionalmente identificables y
sistemas para ser configurados para
implementar autenticación antes de
que el acceso es concedido.
• Estando los papeles predeterminados
y preaprobados son utilizados para
conceder acceso, determine si los
papeles claramente delinean
responsabilidades basadas en los
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
33
procedimiento para identificar a
usuarios nuevos y registrar, aprobar y
mantener derechos de acceso. Esto
necesita ser pedido por el usuario
administrador, ser aprobado por el
dueño de sistema e implementado por
la persona responsable.
privilegios mínimos, y aseguran que
el establecimiento y modificación de
papeles es aprobado por gerencia del
dueño de proceso.
Consideramos que se deben aplicar dichas Prácticas de control y pasos de aseguramiento al
CRMS debido a que se deben tener controles de acceso a información de los clientes o
potenciales cliente debido a que dicha información es confidencial y de uso empresarial y no
debe ser divulgada.
Sistema de Gestión de Cadena de Abastecimiento (SCMS)
AI6.1: Estándares y Procedimientos para Cambios - Establecer procedimientos de
administración de cambio formales para manejar de manera estándar todas las solicitudes
(incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos,
procesos, parámetros de sistema y servicio, y las plataformas fundamentales.
Prácticas de Control
Pasos de Aseguramiento
1. Desarrollar, documentar y difundir un
marco de gestión del cambio que
especifique las políticas y procesos,
incluyendo:
• Funciones y responsabilidades
• Clasificación y priorización de todos
los cambios basados en riesgos del
negocio
• Evaluación de impacto
Revisar el marco de gestión del cambio para
determinar si en este se incluye:
• La definición de funciones y
responsabilidades.
• Clasificación (por ejemplo, entre
infraestructura y software de
aplicación) y la priorización de todos
los cambios.
• Evaluación del impacto,
procedimiento para la autorización y
aprobación.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
34
• Autorización y aprobación de todos
los cambios por parte de los dueños de
los procesos del negocio y TI
• Seguimiento y estado de los cambios
• Impacto sobre la integridad de los
datos (por ejemplo, todos los cambios
a los datos de los archivos hechos
en el sistema y control de aplicaciones
en lugar de la intervención directa del
usuario).
• Seguimiento de los cambios.
• Mecanismo de control de versiones.
• Impacto sobre la integridad de los
datos (por ejemplo, todos los cambios
en los archivos de datos se realizan a
través del sistema o aplicaciones de
control y no mediante la intervención
directa del usuario).
• Gestión del cambio desde el inicio
hasta la revisión y cierre de ese
cambio.
• Definición de los procedimientos de
reversión (deshacer un cambio).
• Utilización de un proceso de
"cambios de emergencia".
• Planificación de la continuidad del
Negocio.
• Utilización de un sistema de gestión
de registros.
• Evidencias de Auditoría.
• Segregación de funciones.
2 Considere el impacto que tienen los
proveedores de servicios contratados
(por ejemplo, tercerización de
infraestructuras, desarrollo de
aplicaciones y servicios compartidos)
sobre el proceso de gestión de
cambios. Considere la posibilidad de
integrar la gestión de cambios de la
organización con los procesos de
gestión de cambio de los prestadores
de servicios. Considere el impacto que
tiene el proceso de gestión de cambios
organizacional, en las condiciones
contractuales y los acuerdos de nivel
• Pregunte si y confirme que los
procesos y procedimientos para los
proveedores de servicios contratados
(por ejemplo, infraestructura,
desarrollo de aplicaciones,
proveedores de servicios de
aplicaciones, servicios compartidos)
están incluidos en el proceso de
gestión de cambios.
• Determinar si el proceso y los
procedimientos incluyen los términos
contractuales y los SLA. (Niveles de
Acuerdo de Servicio)
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
35
de servicio (SLAs).
El modulo de SCMS es importante para la empresa debido a que es la secuencia de proveedores
que contribuyen a la entrega del servicio al cliente final, por lo tanto deberíamos tener un marco
de control de los cambios introducidos en dicho modulo de manera de tener un seguimiento de
los cambios de estados del modulo para poder analizar y sacar conclusiones sobre la mejora del
servicio de entrega de productos al cliente. Sin este control, los cambios se producirían sin
políticas y procesos que brindan información útil a la empresa además de estandarizar el
proceso de cambio y/o actualizaciones de los módulos.
Otro aspecto a tener en cuenta es que como el modulo esta a cargo de un proveedor, se debe
considerar el impacto que tienen los proveedores de servicios contratados sobre el proceso de
gestión de cambios del SCMS y determinar cuales son los Niveles de acuerdo de Servicio de
dicho proveedor
AI6.2:Valoración del impacto, Priorización y Autorización – Garantizar que todas las
solicitudes de cambio se evalúan de una manera estructurada en cuanto a impactos en el
sistema operacional y su funcionalidad. Esta evaluación deberá incluir categorización y
priorización de los cambios. Previo al a migración hacia producción, los interesados
correspondientes autorizan los cambios.
Prácticas de Control
Pasos de Aseguramiento
1. Desarrollar un proceso que permita a
los propietarios de procesos de negocio
e IT a solicitar cambios en la
infraestructura, sistemas o
aplicaciones. Desarrollar controles
para asegurar que todos estos cambios
sólo se dan a través de la solicitud del
proceso de cambio de gestión.
(forma de logística , innovación)
• Mostrar y confirmar que el proceso
de gestión del cambio permite a los
propietarios de procesos de negocio e
IT a solicitar cambios en la
infraestructura, sistemas o
aplicaciones.
• Mostrar y confirmar que los cambios
solicitados se clasifican (por ejemplo
entre: infraestructura, sistema
operativo, redes, aplicación de
sistemas, aplicación del sistema
adquirido)
• Mostrar y confirmar que las
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
36
solicitudes de cambio se evalúan y se
documentan en un método
estructurado que aborda el análisis
del impacto en la infraestructura,
sistemas y aplicaciones
• Mostrar y confirmar que cada
cambio solicitado sea aprobado
oficialmente por los dueños de los
procesos de negocio.
• Inspeccionar una muestra
representativa de las solicitudes de
gestión del cambio para asegurar que
fueron evaluados, priorizado,
examinado y revisado
adecuadamente.
2 Clasificar todos los cambios
solicitados (por ejemplo:
infraestructura, sistema operativo,
redes, aplicación de sistemas,
aplicación del sistema adquirido)
• Clasificar los cambios solicitados por
un criterio común
• Mostrar y confirmar que los cambios
solicitados se clasifican (por ejemplo
entre: infraestructura, sistema
operativo, redes, aplicación de
sistemas, aplicación del sistema
adquirido)
• Confirmar a través de entrevistas con
funcionarios que los cambios
requeridos se priorizan sobre la base
de criterios predefinidos. (por
ejemplo necesidades comerciales y
técnicas para el cambio y requisitos
legales, reglamentarios y
contractuales.)
• Mostrar y confirmar que las
solicitudes de cambio se evalúan y se
documentan en un método
estructurado que aborda el análisis
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
37
del impacto en la infraestructura,
sistemas y aplicaciones
SCMS es el proceso de planificación, puesta en ejecución y control de las operaciones de la red
de suministro con el propósito de satisfacer las necesidades del cliente con tanta eficacia como
sea posible, ya sea con implementación de nuevas tecnologías , infraestructura y nueva logística.
La correcta administración de la cadena de suministro debe considerar todos los
acontecimientos y factores posibles que puedan causar una interrupción.
Para logran una homogeneidad que permita llevar un control de los cambios que se desean
implementar es indispensable una clasificación adecuada a las necesidades del negocio
AI6.4: Seguimiento y Reporte del Estatus de Cambio - Establecer un sistema de
seguimiento y reporte para mantener actualizados a los solicitantes de cambio y a los
interesados relevantes, acerca del estatus del cambio a las aplicaciones, a los
procedimientos, a los procesos, parámetros del sistema y del servicio y las plataformas
fundamentales.
Prácticas de Control
Pasos de Aseguramiento
1
Categorice las solicitudes de cambio
en el proceso de seguimiento (por
ejemplo, ha sido rechazada, aprobado
pero aún no iniciados, aprobados y en
proceso, y cerrado).
• Verificar, y confirmar que el sistema
de seguimiento y presentación de
informes supervisa el estado de las
solicitudes de cambio (por ejemplo,
rechazados, aprobados pero no
iniciados, aprobado y en proceso).
2
Implementar informes sobre la
situación de los cambios con los
parámetros de rendimiento para
permitir un examen de gestión y
control tanto de la situación detallada
de los cambios y el estado general (por
ejemplo, el análisis por antigüedad de
• Verificar, y confirmar que la gestión
revisa y controla el estado detallado
de los cambios y el estado general
(por ejemplo, el análisis por
antigüedad de los pedidos de
cambios).
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
38
los pedidos de cambios). Asegúrese de
que los informes de estado forman una
pista de auditoría para que los cambios
posteriormente puedan ser rastreados
desde su creación hasta la disposición
final.
Es importante establecer una categorización de las solicitudes de cambio para poder realizar un
seguimiento de las mismas y tener conocimiento del estado actual en que se encuentren.
Además, contar con un informe sobre la situación de los cambios permitirá tener estadísticas
importantes sobre los mismos como así también poder hacer un rastreo en su ciclo de vida.
El modulo de SCMS es importante para la empresa debido a que es la secuencia de proveedores
que contribuyen a la entrega del servicio al cliente final, por lo tanto deberíamos tener un marco
de control de los cambios introducidos en dicho modulo.
Este es un control importante para poder Gestionar los Cambios y se aplicara a todos los
subsistemas que forman parte de SIE.
AI6.5: Cierre y Documentación del Cambio - Siempre que se implantan cambios al sistema,
actualizar el sistema asociado y la documentación de usuario y procedimientos
correspondientes. Establecer un proceso de revisión para garantizar la implantación completa
de los cambios.
Prácticas de Control
Pasos de Aseguramiento
1
Asegúrese de que la documentación,
incluyendo los procedimientos
operativos, la información de
configuración, documentación de la
aplicación, pantallas de ayuda y
materiales de capacitación-sigue el
procedimiento de gestión del cambio
mismo y se considera una parte integral
del cambio.
• Verificar, y confirmar que la
documentación de cambio (por ejemplo,
los procedimientos operativos, la
información de configuración,
documentación de la solicitud, pantallas
de ayuda, materiales de capacitación) es
hasta la fecha.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
39
2
Actualizar los procesos de negocio para
los cambios en el hardware o software,
para asegurar que la funcionalidad nueva
o mejorada se utiliza.
• Verificar, y confirmar que la
documentación de procesos de negocio
se actualiza por los cambios
implementados en hardware o software.
Aplicaremos este control al subsistema SCMS para así poder mantener la integridad y
consistencia del mismo. Además, mantenerlo actualizado y aprovechar al máximo su
funcionalidad.
Este control es de vital importancia para mantener el sistema SIE completamente integro y
consistente, ya que actualiza los cambios efectuados en cualquier modulo a todos los sistemas y
documentación asociada. Por este motivo se aplicara a todos los subsistemas.
AI7.1:Entrenamiento—Entrenar al personal de los departamentos afectados y al grupo
de operaciones encargado de TI, de acuerdo con el plan de entrenamiento e
implementación definido y sus materiales asociados, como parte de cada desarrollo de
sistema de información, implementación o modificación de un proyecto.
Prácticas de Control
Pasos de Aseguramiento
1. Monitoree el entrenamiento para
obtener información que podría
conducir a posibles mejoras tanto en la
formación como en el sistema
• La mejora de planificaciones y
distribuciones surge de un
entrenamiento productivo y
orientado.
• Pregunte si y confirme que hay un
proceso de control del entrenamiento,
para obtener retroalimentación que
podría conducir a posibles mejoras en
el sistema de logística y distribución.
• Pregunte si y confirme que (por
ejemplo, a través de entrevistas con
miembros clave del personal o a
través de la inspección del plan del
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
40
proyecto) que el plan de
entrenamiento identifica y abarca a
los grupos afectados grupos (por
ejemplo, los usuarios finales, las
operaciones de TI, soporte y
capacitación para el desarrollo de
aplicaciones de TI, proveedores de
servicios).
2 Para el desarrollo de sistemas,
implementación o modificación de
proyectos, un plan de entrenamiento es
una parte integral del plan maestro
global del proyecto. Asegúrese de que
el plan identifica claramente los
objetivos de aprendizaje, los recursos,
los principales hitos, las dependencias
y las tareas del camino crítico que
afectan la entrega del plan de
formación. El plan debe considerar
estrategias alternativas de
entrenamiento en función de las
necesidades del negocio, nivel de
riesgo (por ejemplo, para sistemas de
misión crítica, puede ser adecuado un
sistema formal de acreditación y
reacreditación de usuario), y
requerimientos regulatorios y de
cumplimiento (por ejemplo, el impacto
de diferentes leyes de privacidad puede
requerir la adaptación de la formación
a un nivel nacional).
• Pregunte si y confirme que un plan de
entrenamiento es parte del plan
global maestro del proyecto para los
proyectos de desarrollo.
• Adecuar el entrenamiento a las
necesidades y objetivos del negocio.
• Inspeccione la documentación de
capacitación para determinar el
cumplimiento con el plan de
formación (por ejemplo, la lista de
los miembros del equipo invitados a
los entrenamientos, lista de
participantes efectivos, formularios
de evaluación para el logro de los
objetivos de aprendizaje,
retroalimentación etc.).
El entrenamiento para lograr una unificación entre el subsistema SCMS y SIE se lograra
definiendo aspectos de capacitación relacionados con la mejora de planificaciones y
distribuciones lo cual solo puede surgir de un entrenamiento productivo y orientado.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
41
La documentación de las capacitaciones involucradas permitirá llevar un registro claro de las
pautas definidas para el o los planes de entrenamiento
AI7.7: Prueba de aceptación final - Asegurar que los dueños de proceso de negocio y
las interesados de TI evalúan los resultado de los procesos de pruebas como determina el
plan de pruebas. Remediar los errores significativos identificados en el proceso de prueba,
habiendo completado el conjunto de pruebas identificadas en el plan de pruebas y
cualquier prueba de regresión necesaria. Siguiendo la evaluación, aprobación de la
promoción a la producción.
Prácticas de Control
Pasos de Aseguramiento
1 Asegurar de que el ámbito de
actividades de aceptación final de
evaluación abarca todos los
componentes del sistema de
información (por ejemplo, software de
aplicaciones, instalaciones, tecnología,
procedimientos de los usuarios, los
procedimientos de operación,
seguimiento y apoyo).
2 Asegurar de que el registro de
categorías de errores detectados en el
proceso de prueba ha sido abordada
por el equipo de desarrollo. Asegurar
de que la causa de los errores ha sido
remediadas (por ejemplo, mediante
cambios apropiados a la aplicación o la
configuración o la solución y / o
corrección de retraso cuando el error es
menor).
3 Asegurar de que la evaluación de
aceptación final se mida según los
criterios de éxito establecidos en el
• Confirmar que los principales
interesados son considerados en las
actividades de prueba de aceptación
final.
• Preguntar y confirmar que los
criterios de éxito son identificados en
el plan de pruebas en las etapas de
recepción definitiva.
• Preguntar y confirmar que la
documentación apropiada para su
revisión y evaluación existe.
• Informar a las partes interesadas
claves si la documentación y
presentación de los resultados finales
de las pruebas de aceptación son
completas y oportunas.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
42
plan de pruebas. Asegurar de que el
proceso de examen y evaluación es
adecuadamente documentada.
4 Documentar e interpretar los resultados
finales de las pruebas de aceptación, y
presentarlos en una forma que sea
comprensible para los dueños de los
procesos de negocio y TI con el fin de
una reconsideración informada y la
evaluación puede tener lugar.
5 Asegurar que los dueños comerciales
de proceso, las partes pertinentes y las
partes interesadas de TI formalmente
aprueban formalmente el resultado del
proceso de prueba según lo establecido
en el plan de pruebas Esta autorización
es obligatoria antes de la promoción a
la producción.
Es importante tener en cuenta este control crítico dentro del SCMS ya que es significativo la
predicción de la demanda para poder realizar el adecuado pedido de mercadería, gestión de
inventarios y sobre todo la planificación de la producción. Con el control de la demanda y el
cálculo de la misma, podes reparar errores cometidos y no cometerlos en un futuro. Las partes
involucradas en este proceso pueden desarrollar un sistema eficiente de ejecución y control de
pedidos para su resultado.
AI7.9: Revisión Posterior a la Implantación - Establecer procedimientos en línea con los
estándares de gestión de cambios organizacionales para requerir una revisión posterior a
la implantación como conjunto de salida en el plan de implementación.
Prácticas de Control
Pasos de Aseguramiento
1 Establecer procedimientos para
asegurar que las revisiones post
• Confirmar a través de las entrevistas
con los miembros clave del staff que
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
43
implementación identifican, evalúan y
reportan en la extensión para la cual:
• los requisitos comerciales han sido
encontrados
• Esperar que los beneficios
esperados hayan sido alcanzados
• El sistema es considerado usable
• Las expectativas internas y externas
de tenedores de apuestas son
encontradas
• Los impactos inesperados en la
organización han ocurrido
• Los riesgos clave son mitigados
• La gerencia de cambio, instalación y
los procesos de la acreditación fueron
realizados efectivamente y
eficazmente.
2 Convenir e implementar un plan de
acción del que ocuparse asuntos
identificados en la revisión de post
implementación. Involucre losa dueños
comerciales de proceso y tecnología de
la información gerencia técnica en el
desarrollo del plan de acción
3 Consultar a los dueños comerciales de
proceso y gerencia técnica de
tecnología de la información en la
elección de métrica para la medida de
éxito y logro de requisitos y
beneficios.
la forma de la revisión de post
implementación está de conformidad
con el proceso administrativo de
cambio y que los dueños comerciales
de proceso y las terceras partes están
involucrados, según el caso.
• Confirmar a través de las entrevistas
con miembros cruciales de la
administración que los requisitos para
la revisión de post implementación
levantándose de negocio exterior y
tecnología de la información son
considerados.
Consideramos que se deben aplicar dichas Prácticas de control y pasos de aseguramiento al
SCM debido a que se deben validar que se han cumplimentado todos los requerimientos de
negocios, ya que este sistema interactuara con proveedores y debe validarse que se cumplan los
requisitos para que este sea eficiente.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
44
DS5.3: Administración de Identidad - Asegurar que todos los usuarios (internos,
externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, entorno de
TI, operación de sistemas, desarrollo y mantenimiento) deben ser identificables de manera
única. Permitir que el usuario se identifique a través de mecanismos de autenticación.
Confirmar que los permisos de acceso del usuario al sistema y los datos están en línea con
las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo
están adjuntos a las identidades del usuario. Asegurar que los derechos de acceso del
usuario se solicitan por la gerencia del usuario, aprobados por el responsable del sistema e
implementado por la persona responsable de la seguridad. Las identidades del usuario y
los derechos de acceso se mantienen en un repositorio central. Se despliegan técnicas
efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer
la identificación del usuario, realizar la autenticación y habilitar los derechos de acceso.
Prácticas de Control
Pasos de Aseguramiento
1 Asegure que un flujo oportuno de
información está en lugar que reporta
cambios en los trabajos (i.e., Pueble
adentro, pueble fuera, cambio de
personas). Conceda, revoque y adapte
a derechos de acceso del usuario en co-
ordinaciòn con recursos humanos y los
departamentos del usuario para los
usuarios que son nuevos, quien ha
dejado la organización, o quien tienen
cambiado papeles o trabajos
2 Definir e implementar un
procedimiento para identificar a
usuarios nuevos y registrar, aprobar y
mantener derechos de acceso. Esto
necesita ser pedido por el usuario
administrador, ser aprobado por el
dueño de sistema e implementado por
la persona responsable.
• Determinar si las practicas de
seguridad requieren que usuarios y
procesos de sistema sean
excepcionalmente identificables y
sistemas para ser configurados para
implementar autenticación antes de
que el acceso es concedido.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
45
Consideramos que se deben aplicar dichas Prácticas de control y pasos de aseguramiento al
SCM debido a que aquí la información debe ser oportuna y fiable para optimizar la compra de
insumos y así abaratar los costos.
Sistema de Gestión de Recursos Humanos / Contabilidad
AI6.1: Estándares y Procedimientos para Cambios - Establecer procedimientos de
administración de cambio formales para manejar de manera estándar todas las solicitudes
(incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos,
procesos, parámetros de sistema y servicio, y las plataformas fundamentales.
Prácticas de Control
Pasos de Aseguramiento
1. Desarrollar, documentar y difundir un
marco de gestión del cambio que
especifique las políticas y procesos,
incluyendo:
• Funciones y responsabilidades
• Clasificación y priorización de todos
los cambios basados en riesgos del
negocio
• Evaluación de impacto
• Autorización y aprobación de todos
los cambios por parte de los dueños de
los procesos del negocio y TI
• Seguimiento y estado de los cambios
Revisar el marco de gestión del cambio para
determinar si en este se incluye:
• La definición de funciones y
responsabilidades.
• Clasificación (por ejemplo, entre
infraestructura y software de
aplicación) y la priorización de todos
los cambios.
• Evaluación del impacto,
procedimiento para la autorización y
aprobación.
• Seguimiento de los cambios.
• Mecanismo de control de versiones.
• Impacto sobre la integridad de los
datos (por ejemplo, todos los cambios
en los archivos de datos se realizan a
través del sistema o aplicaciones de
control y no mediante la intervención
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
46
• Impacto sobre la integridad de los
datos (por ejemplo, todos los cambios
a los datos de los archivos hechos
en el sistema y control de aplicaciones
en lugar de la intervención directa del
usuario).
directa del usuario).
• Gestión del cambio desde el inicio
hasta la revisión y cierre de ese
cambio.
• Definición de los procedimientos de
reversión (deshacer un cambio)
• Utilización de un proceso de
"cambios de emergencia".
• Planificación de la continuidad del
Negocio.
• Utilización de un sistema de gestión
de registros.
• Evidencias de Auditoría.
• Segregación de funciones.
2 Considere el impacto que tienen los
proveedores de servicios contratados
(por ejemplo, tercerización de
infraestructuras, desarrollo de
aplicaciones y servicios compartidos)
sobre el proceso de gestión de
cambios. Considere la posibilidad de
integrar la gestión de cambios de la
organización con los procesos de
gestión de cambio de los prestadores
de servicios. Considere el impacto que
tiene el proceso de gestión de cambios
organizacional, en las condiciones
contractuales y los acuerdos de nivel
de servicio (SLAs).
• Pregunte si y confirme que los
procesos y procedimientos para los
proveedores de servicios contratados
(por ejemplo, infraestructura,
desarrollo de aplicaciones,
proveedores de servicios de
aplicaciones, servicios compartidos)
están incluidos en el proceso de
gestión de cambios.
• Determinar si el proceso y los
procedimientos incluyen los términos
contractuales y los SLA. (Niveles de
Acuerdo de Servicio)
Es importante aplicar este punto de control al Sistema de Gestión de Recursos Humanos ya que
este sistema es el encargado de gestionar los recursos humanos con los que cuenta la empresa, y
es de conocimiento público que es un área delicada dentro de la organización por la dificultad
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
47
que implica administrar personas. Por lo tanto, todo cambio y/o actualización que se le
implemente al modulo, debe ser efectuado en base a este marco de control de cambios
También debemos determinar cual es el papel del proveedor a la hora de implementar dicho
cambio, ya que el DBMS es provisto por un Proveedor de servicios. Por lo tanto hay que
Considerar el impacto que tienen los proveedores de servicios contratados sobre el proceso de
gestión de cambios
AI6.2: Valoración del impacto, Priorización y Autorización – Garantizar que todas las
solicitudes de cambio se evalúan de una manera estructurada en cuanto a impactos en el
sistema operacional y su funcionalidad. Esta evaluación deberá incluir categorización y
priorización de los cambios. Previo al a migración hacia producción, los interesados
correspondientes autorizan los cambios.
Prácticas de Control
Pasos de Aseguramiento
1. Evaluar a todas las solicitudes de
manera estructurada. Garantizar que el
proceso de evaluación aborda el
análisis de impacto en la
infraestructura, sistemas y
aplicaciones. Considerar la seguridad,
legales, contractuales y el
cumplimiento de las implicaciones del
cambio solicitado. Considerar también
las interdependencias entre los
cambios. Involucrar a los propietarios
de procesos de negocio en proceso de
evaluación.
• Analizar el impacto que generaran los
cambios teniendo en cuenta
implicancias legales, contractuales y
de seguridad.
• Mostrar y confirmar que el proceso
de gestión del cambio permite a los
propietarios de procesos de negocio e
IT a solicitar cambios en la
infraestructura, sistemas o
aplicaciones.
• Confirmar a través de entrevistas con
funcionarios que los cambios
requeridos se priorizan sobre la base
de criterios predefinidos. (por
ejemplo necesidades comerciales y
técnicas para el cambio y requisitos
legales, reglamentarios y
contractuales.)
• Mostrar y confirmar que las
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
48
solicitudes de cambio se evalúan y se
documentan en un método
estructurado que aborda el análisis
del impacto en la infraestructura,
sistemas y aplicaciones
• Mostrar y confirmar que la seguridad,
legales, contractuales y aplicaciones
de cumplimiento se consideran en el
proceso de evaluación para el cambio
solicitado y que los dueños de
negocios están involucrados
• Inspeccionar una muestra
representativa de las solicitudes de
gestión del cambio para asegurar que
fueron evaluados, priorizado,
examinado y revisado
adecuadamente.
2 Dar prioridad a todos los cambios
solicitados. Garantizar que el proceso
de gestión del cambio identifica tanto a
las necesidades comerciales y técnicas
para el cambio. Tener en cuenta las
razones legales, reglamentarias y
contractuales para el cambio
solicitado.
• Priorizar en base a las necesidades
comerciales sin dejar de lado
implicancias normativas
• Confirmar a través de entrevistas con
funcionarios que los cambios
requeridos se priorizan sobre la base
de criterios predefinidos. (por
ejemplo necesidades comerciales y
técnicas para el cambio y requisitos
legales, reglamentarios y
contractuales.)
• Mostrar y confirmar que la seguridad,
legales, contractuales y aplicaciones
de cumplimiento se consideran en el
proceso de evaluación para el cambio
solicitado y que los dueños de
negocios están involucrados
• Mostrar y confirmar que cada
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
49
cambio solicitado sea aprobado
oficialmente por los dueños de los
procesos de negocio.
• Inspeccionar una muestra
representativa de las solicitudes de
gestión del cambio para asegurar que
fueron evaluados, priorizado,
examinado y revisado
adecuadamente.
El sistema de información de Recursos Humanos obtiene datos e información de los empleados,
el ambiente empresarial, este flujo de datos experimenta un trabajo de recolección,
procesamiento y utilización para lo cual es indispensable establecer una priorización de los
cambios que subyugan de dichas tareas, de esta forma la interrelación con SIE será transparente,
definida de forma detallada y programada
AI6.4: Seguimiento y Reporte del Estatus de Cambio - Establecer un sistema de
seguimiento y reporte para mantener actualizados a los solicitantes de cambio y a los
interesados relevantes, acerca del estatus del cambio a las aplicaciones, a los
procedimientos, a los procesos, parámetros del sistema y del servicio y las plataformas
fundamentales.
Prácticas de Control
Pasos de Aseguramiento
1
Categorice las solicitudes de cambio
en el proceso de seguimiento (por
ejemplo, ha sido rechazada, aprobado
pero aún no iniciados, aprobados y en
proceso, y cerrado).
• Verificar, y confirmar que el
sistema de seguimiento y
presentación de informes
supervisa el estado de las
solicitudes de cambio (por
ejemplo, rechazados, aprobados
pero no iniciados, aprobado y en
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
50
proceso).
2
Implementar informes sobre la
situación de los cambios con los
parámetros de rendimiento para
permitir un examen de gestión y
control tanto de la situación detallada
de los cambios y el estado general (por
ejemplo, el análisis por antigüedad de
los pedidos de cambios). Asegúrese de
que los informes de estado forman una
pista de auditoría para que los cambios
posteriormente puedan ser rastreados
desde su creación hasta la disposición
final.
• Verificar, y confirmar que la
gestión revisa y controla el estado
detallado de los cambios y el
estado general (por ejemplo, el
análisis por antigüedad de los
pedidos de cambios).
Es importante establecer una categorización de las solicitudes de cambio para poder realizar un
seguimiento de las mismas y tener conocimiento del estado actual en que se encuentren.
Además, contar con un informe sobre la situación de los cambios permitirá tener estadísticas
importantes sobre los mismos como así también poder hacer un rastreo en su ciclo de vida.
Este sistema es el encargado de gestionar los recursos humanos con los que cuenta la empresa,
por lo tanto, todo cambio y/o actualización que se le implemente al modulo, debe ser efectuado
en base a este marco de control de cambios.
Este es un control importante para poder Gestionar los Cambios y se aplicara a todos los
subsistemas que forman parte de SIE.
AI6.5: Cierre y Documentación del Cambio - Siempre que se implantan cambios al sistema,
actualizar el sistema asociado y la documentación de usuario y procedimientos
correspondientes. Establecer un proceso de revisión para garantizar la implantación completa
de los cambios.
Prácticas de Control
Pasos de Aseguramiento
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
51
1
Asegúrese de que la documentación,
incluyendo los procedimientos
operativos, la información de
configuración, documentación de la
aplicación, pantallas de ayuda y
materiales de capacitación-sigue el
procedimiento de gestión del cambio
mismo y se considera una parte integral
del cambio.
• Verificar, y confirmar que la
documentación de cambio (por
ejemplo, los procedimientos
operativos, la información de
configuración, documentación de la
solicitud, pantallas de ayuda,
materiales de capacitación) es hasta
la fecha.
2
Actualizar los procesos de negocio para
los cambios en el hardware o software,
para asegurar que la funcionalidad nueva
o mejorada se utiliza.
• Verificar, y confirmar que la
documentación de procesos de
negocio se actualiza por los cambios
implementados en hardware o
software
Aplicaremos este control al subsistema de Gestión de RRHH/Contabilidad para así poder
mantener la integridad y consistencia del mismo. Además, mantenerlo actualizado y aprovechar
al máximo su funcionalidad.
Este control es de vital importancia para mantener el sistema SIE completamente integro y
consistente, ya que actualiza los cambios efectuados en cualquier modulo a todos los sistemas y
documentación asociada. Por este motivo se aplicara a todos los subsistemas.
AI7.1: Entrenamiento—Entrenar al personal de los departamentos afectados y al grupo
de operaciones encargado de TI, de acuerdo con el plan de entrenamiento e
implementación definido y sus materiales asociados, como parte de cada desarrollo de
sistema de información, implementación o modificación de un proyecto.
Prácticas de Control
Pasos de Aseguramiento
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
52
1. Confirme que exista un proceso para
asegurar que el plan de entrenamiento
se ejecuta satisfactoriamente.
Complete la documentación detallando
cómo se cumple el plan de formación.
Algunos ejemplos de información
crucial son: la lista de los miembros
del equipo invitados a asistir a la
capacitación, los asistentes, las
evaluaciones de logro de los objetivos
de aprendizaje y un apartado con
opiniones/encuestas.
• Pregunte si y confirme que (por
ejemplo, a través de entrevistas
con miembros clave del personal
o a través de la inspección del
plan del proyecto) que el plan de
entrenamiento identifica y abarca
a los grupos afectados grupos
(por ejemplo, los usuarios finales,
las operaciones de TI, soporte y
capacitación para el desarrollo de
aplicaciones de TI, proveedores
de servicios).
• Pregunte si y confirme que existe
un proceso para verificar el
cumplimiento del plan de
entrenamiento.
• Inspeccione la documentación de
capacitación para determinar el
cumplimiento con el plan de
formación (por ejemplo, la lista
de los miembros del equipo
invitados a los entrenamientos,
lista de participantes efectivos,
formularios de evaluación para el
logro de los objetivos de
aprendizaje, retroalimentación
etc.).
2 Para el desarrollo de sistemas,
implementación o modificación de
proyectos, un plan de entrenamiento es
una parte integral del plan maestro
global del proyecto. Asegúrese de que
el plan identifica claramente los
objetivos de aprendizaje, los recursos,
los principales hitos, las dependencias
• Pregunte si y confirme que un plan de
entrenamiento es parte del plan
global maestro del proyecto para los
proyectos de desarrollo.
• Pregunte si y confirme que (por
ejemplo, a través de entrevistas con
miembros clave del personal o a
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
53
y las tareas del camino crítico que
afectan la entrega del plan de
formación. El plan debe considerar
estrategias alternativas de
entrenamiento en función de las
necesidades del negocio, nivel de
riesgo (por ejemplo, para sistemas de
misión crítica, puede ser adecuado un
sistema formal de acreditación y
reacreditación de usuario), y
requerimientos regulatorios y de
cumplimiento (por ejemplo, el impacto
de diferentes leyes de privacidad puede
requerir la adaptación de la formación
a un nivel nacional).
través de la inspección del plan del
proyecto) que el plan de
entrenamiento identifica y abarca a
los grupos afectados grupos (por
ejemplo, los usuarios finales, las
operaciones de TI, soporte y
capacitación para el desarrollo de
aplicaciones de TI, proveedores de
servicios).
• Pregunte si y confirme que se
considera que las estrategias
alternativas de formación garantizan
que una relación costo-eficiencia se
ha seleccionado e incorporado en el
marco de formación.
• Pregunte si y confirme que existe un
proceso para verificar el
cumplimiento del plan de
entrenamiento.
• Inspeccione la documentación de
capacitación para determinar el
cumplimiento con el plan de
formación (por ejemplo, la lista de
los miembros del equipo invitados a
los entrenamientos, lista de
participantes efectivos, formularios
de evaluación para el logro de los
objetivos de aprendizaje,
retroalimentación etc.).
El manejo del entrenamiento para datos confidenciales y restringidos requiere de una
concientización y capacitación adecuada, para ellos es necesarios definir un plan de
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
54
entrenamiento certero y avalado por los directivos del negocio, siempre tenido como estándar
las normativas e imposiciones legales.
AI7.5: Conversión de sistemas y datos - Plan de conversión de datos y migración de
infraestructuras como parte de los métodos de desarrollo de la organización, incluyendo
pistas de auditoría, respaldo y vuelta atrás.
Prácticas de Control
Pasos de Aseguramiento
1. Definir un plan conversión de datos y
un plan de migración de la
infraestructura. Consideramos, por
ejemplo, el hardware, redes, sistemas
operativos, software, datos de
transacción, archivos principales,
respaldos y archivos, interfaces con
otros sistemas (tanto internos como
externos), procedimientos, y
documentación del sistema en el
desarrollo del plan.
4 Considerar en tiempo real de
recuperación de desastres, la
planificación de continuidad del
negocio, y la reversión en la
conversión de datos y plan de
migración de infraestructura en la
gestión del riesgo, las necesidades del
negocio, o reglamentario, o exigir el
cumplimiento de los requisitos.
5 Coordinar y verificar la oportunidad y
la exhaustividad de la conversión de
corte y cambio por lo que es una
transición suave y continua, sin
pérdida de transacciones. En este caso,
• Confirmar a las entrevistas con
miembros de la administración
cruciales o inspección de políticas y
procedimientos) esa conversión de
datos y esos planes de mitigación de
infraestructura existen, y consideran
lo siguiente: El hardware, las redes,
los sistemas operativos, el software,
los datos de transacción, los archivos
principales, los respaldos y los
archivos, las interfaces con otros
sistemas internos y externos, otros
procedimientos, documentación de
sistema, etc.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
55
en ausencia de otra alternativa, la
congelación de las operaciones en
vivo.
6 Asegurar de que hay una copia de
seguridad de todo el sistema y los
datos obtenidos en el punto anterior de
la conversión, las pistas de auditoría se
mantienen para permitir la conversión
a un seguimiento posterior, y hay una
emergencia y un plan de recuperación
en caso de que la conversión falla.
Asegurar de que la retención de datos
de backup y archivados se ajustan a las
necesidades empresariales y de
reglamentación o los requisitos de
cumplimiento.
Es importante aplicar este control en este sistema ya que, para poder lograr la conversión de
datos, la migración y la posterior revisión de la misma, se precisa de una planificación,
tratamiento y coordinación del equipo de trabajo asignado a tal tarea. El recurso humano es el
material más importante de las organizaciones.
AI7.7 Prueba de aceptación final - Asegurar que los dueños de proceso de negocio y
las interesados de TI evalúan los resultado de los procesos de pruebas como determina el
plan de pruebas. Remediar los errores significativos identificados en el proceso de prueba,
habiendo completado el conjunto de pruebas identificadas en el plan de pruebas y
cualquier prueba de regresión necesaria. Siguiendo la evaluación, aprobación de la
promoción a la producción.
Prácticas de Control
Pasos de Aseguramiento
1 Asegurar de que el ámbito de
actividades de aceptación final de
evaluación abarca todos los
• Confirmar si los principales
interesados son considerados en las
actividades de prueba de aceptación
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
56
componentes del sistema de
información (por ejemplo, software de
aplicaciones, instalaciones, tecnología,
procedimientos de los usuarios, los
procedimientos de operación,
seguimiento y apoyo).
2 Asegurar de que el registro de
categorías de errores detectados en el
proceso de prueba ha sido abordada
por el equipo de desarrollo. Asegurar
de que la causa de los errores ha sido
remediadas (por ejemplo, mediante
cambios apropiados a la aplicación o la
configuración o la solución y / o
corrección de retraso cuando el error es
menor).
3 Asegurar de que la evaluación de
aceptación final se mida según los
criterios de éxito establecidos en el
plan de pruebas. Asegurar de que el
proceso de examen y evaluación es
adecuadamente documentada.
4 Documentar e interpretar los resultados
finales de las pruebas de aceptación, y
presentarlos en una forma que sea
comprensible para los dueños de los
procesos de negocio y TI con el fin de
una reconsideración informada y la
evaluación puede tener lugar.
5 Asegurar que los dueños comerciales
de proceso, las partes pertinentes y las
partes interesadas de TI formalmente
aprueban formalmente el resultado del
proceso de prueba según lo establecido
en el plan de pruebas Esta autorización
es obligatoria antes de la promoción a
final.
• Preguntar y confirmar que los
criterios de éxito son identificados en
el plan de pruebas en las etapas de
recepción definitiva.
• Preguntar y confirmar que la
documentación apropiada para su
revisión y evaluación existe.
• Informar a las partes interesadas
claves si la documentación y
presentación de los resultados finales
de las pruebas de aceptación son
completas y oportunas.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
57
la producción.
De igual manera que el anterior, el recurso humano en este control es de gran importancia para
poder lograr todas las prácticas de control que se proponen. Es el recurso humano el que se
propone, planifica y llega a la aceptación o no de las pruebas.
AI7.9: Revisión Posterior a la Implantación - Establecer procedimientos en línea con los
estándares de gestión de cambios organizacionales para requerir una revisión posterior a
la implantación como conjunto de salida en el plan de implementación.
Prácticas de Control
Pasos de Aseguramiento
1 Establecer procedimientos para
asegurar que las revisiones post
implementación identifican, evalúan y
reportan en la extensión para la cual:
• Los requisitos comerciales han sido
encontrados
• Esperar que los beneficios esperados
hayan sido alcanzados
• El sistema es considerado usable
• Las expectativas internas y externas
de tenedores de apuestas son
encontradas
• Los impactos inesperados en la
organización han ocurrido
• Los riesgos clave son mitigados
• La gerencia de cambio, instalación y
los procesos de la acreditación fueron
realizados efectivamente y
eficazmente.
2 Convenir e implementar un plan de
acción del que ocuparse asuntos
identificados en la revisión de post
implementación. Involucre losa dueños
• Confirmar a través de las entrevistas
con los miembros claves del staff que
los procedimientos de post
implementación han sido
establecidos.
• Confirmar a través de las entrevistas
con los miembros clave del staff que
la forma de la revisión de post
implementación está de conformidad
con el proceso administrativo de
cambio y que los dueños comerciales
de proceso y las terceras partes están
involucrados, según el caso.
• Confirmar a través de las entrevistas
con miembros cruciales de la
administración que los requisitos para
la revisión de post implementación
levantándose de negocio exterior y
tecnología de la información son
considerados.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
58
comerciales de proceso y tecnología de
la información gerencia técnica en el
desarrollo del plan de acción
3 Consultar a los dueños comerciales de
proceso y gerencia técnica de
tecnología de la información en la
elección de métrica para la medida de
éxito y logro de requisitos y
beneficios.
Consideramos que se deben aplicar dichas Prácticas de control y pasos de aseguramiento al
SISTEMA DE GESTION DE RRHH debido a que se la información de los empleados debe ser
manejada únicamente por responsables de RRHH y se debe considerar si el sistema cumple con
todos los aspectos esperados por los referentes de RRHH.
DS5.3: Administración de Identidad - Asegurar que todos los usuarios (internos,
externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, entorno de
TI, operación de sistemas, desarrollo y mantenimiento) deben ser identificables de manera
única. Permitir que el usuario se identifique a través de mecanismos de autenticación.
Confirmar que los permisos de acceso del usuario al sistema y los datos están en línea con
las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo
están adjuntos a las identidades del usuario. Asegurar que los derechos de acceso del
usuario se solicitan por la gerencia del usuario, aprobados por el responsable del sistema e
implementado por la persona responsable de la seguridad. Las identidades del usuario y
los derechos de acceso se mantienen en un repositorio central. Se despliegan técnicas
efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer
la identificación del usuario, realizar la autenticación y habilitar los derechos de acceso.
Prácticas de Control
Pasos de Aseguramiento
1 Asegure que un flujo oportuno de
información está en lugar que reporta
cambios en los trabajos (i.e., Pueble
adentro, pueble fuera, cambio de
• Determinar si las practicas de
seguridad requieren que usuarios y
procesos de sistema sean
excepcionalmente identificables y
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
59
personas). Conceda, revoque y adapte
a derechos de acceso del usuario en co-
ordinación con recursos humanos y los
departamentos del usuario para los
usuarios que son nuevos, quien ha
dejado la organización, o quien tienen
cambiado papeles o trabajos
2 Definir e implementar un
procedimiento para identificar a
usuarios nuevos y registrar, aprobar y
mantener derechos de acceso. Esto
necesita ser pedido por el usuario
administrador, ser aprobado por el
dueño de sistema e implementado por
la persona responsable.
sistemas para ser configurados para
implementar autenticación antes de
que el acceso es concedido.
Consideramos que se deben aplicar dichas Prácticas de control y pasos de aseguramiento al
Sistema de gestión de RRHH debido a que aquí la información de cada empleado y recurso es
sensible y debe ser administrada en tiempo y forma por los referentes de RRHH
Aplicaciones de Inteligencia de Negocios
AI6.1: Estándares y Procedimientos para Cambios - Establecer procedimientos de
administración de cambio formales para manejar de manera estándar todas las solicitudes
(incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos,
procesos, parámetros de sistema y servicio, y las plataformas fundamentales.
Prácticas de Control
Pasos de Aseguramiento
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
60
1. Desarrollar, documentar y difundir un
marco de gestión del cambio que
especifique las políticas y procesos,
incluyendo:
• Funciones y responsabilidades
• Clasificación y priorización de todos
los cambios basados en riesgos del
negocio
• Evaluación de impacto
• Autorización y aprobación de todos
los cambios por parte de los dueños de
los procesos del negocio y TI
• Seguimiento y estado de los cambios
• Impacto sobre la integridad de los
datos (por ejemplo, todos los cambios
a los datos de los archivos hechos
en el sistema y control de aplicaciones
en lugar de la intervención directa del
usuario).
• Revisar el marco de gestión del
cambio para determinar si en este se
incluye:
• La definición de funciones y
responsabilidades.
• Clasificación (por ejemplo, entre
infraestructura y software de
aplicación) y la priorización de todos
los cambios.
• Evaluación del impacto,
procedimiento para la autorización y
aprobación.
• Seguimiento de los cambios.
• Mecanismo de control de versiones.
• Impacto sobre la integridad de los
datos (por ejemplo, todos los cambios
en los archivos de datos se realizan a
través del sistema o aplicaciones de
control y no mediante la intervención
directa del usuario).
• Gestión del cambio desde el inicio
hasta la revisión y cierre de ese
cambio.
• Definición de los procedimientos de
reversión (deshacer un cambio).
• Utilización de un proceso de
"cambios de emergencia".
• Planificación de la continuidad del
Negocio.
• Utilización de un sistema de gestión
de registros.
• Evidencias de Auditoría.
• Segregación de funciones
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
61
2 Considere el impacto que tienen los
proveedores de servicios contratados
(por ejemplo, tercerización de
infraestructuras, desarrollo de
aplicaciones y servicios compartidos)
sobre el proceso de gestión de
cambios. Considere la posibilidad de
integrar la gestión de cambios de la
organización con los procesos de
gestión de cambio de los prestadores
de servicios. Considere el impacto que
tiene el proceso de gestión de cambios
organizacional, en las condiciones
contractuales y los acuerdos de nivel
de servicio (SLAs).
• Pregunte si y confirme que los
procesos y procedimientos para los
proveedores de servicios contratados
(por ejemplo, infraestructura,
desarrollo de aplicaciones,
proveedores de servicios de
aplicaciones, servicios compartidos)
están incluidos en el proceso de
gestión de cambios.
• Determinar si el proceso y los
procedimientos incluyen los términos
contractuales y los SLA. (Niveles de
Acuerdo de Servicio)
Las aplicaciones de inteligencia de negocios son herramientas que permiten obtener
información, de manera sencilla e inmediata, para la toma de decisiones a nivel gerencial. Seria
importante entonces Desarrollar, documentar y difundir un marco de gestión del cambio que
especifique las políticas y procesos para que las actualizaciones sobre este modulo estén
estandarizadas y los cambios que se le realicen al modulo estén estandarizados por la empresa.
También debemos tener este modulo es proporcionado por un proveedor de servicios, por lo
tanto debemos Considerar la posibilidad de integrar la gestión de cambios de la organización
con los procesos de gestión de cambio de los prestadores de servicios
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
62
AI6.2 Valoración del impacto, Priorización y Autorización – Garantizar que todas las
solicitudes de cambio se evalúan de una manera estructurada en cuanto a impactos en el
sistema operacional y su funcionalidad. Esta evaluación deberá incluir categorización y
priorización de los cambios. Previo al a migración hacia producción, los interesados
correspondientes autorizan los cambios.
Prácticas de Control
Pasos de Aseguramiento
1. Dar prioridad a todos los cambios
solicitados. Garantizar que el proceso
de gestión del cambio identifica tanto a
las necesidades comerciales y técnicas
para el cambio. Tener en cuenta las
razones legales, reglamentarias y
contractuales para el cambio
solicitado.
• Mostrar y confirmar que el proceso
de gestión del cambio permite a los
propietarios de procesos de negocio e
IT a solicitar cambios en la
infraestructura, sistemas o
aplicaciones.
• Mostrar y confirmar que los cambios
solicitados se clasifican (por ejemplo
entre: infraestructura, sistema
operativo, redes, aplicación de
sistemas, aplicación del sistema
adquirido).
• Confirmar a través de entrevistas con
funcionarios que los cambios
requeridos se priorizan sobre la base
de criterios predefinidos. (por
ejemplo necesidades comerciales y
técnicas para el cambio y requisitos
legales, reglamentarios y
contractuales.)
• Mostrar y confirmar que las
solicitudes de cambio se evalúan y se
documentan en un método
estructurado que aborda el análisis
del impacto en la infraestructura,
sistemas y aplicaciones.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
63
• Mostrar y confirmar que la seguridad,
legales, contractuales y aplicaciones
de cumplimiento se consideran en el
proceso de evaluación para el cambio
solicitado y que los dueños de
negocios están involucrados
Las aplicaciones de Business Intelligence (BI) son herramientas de soporte de decisiones que
permiten en tiempo real, acceso interactivo, análisis y manipulación de información crítica para
la empresa. Estas aplicaciones proporcionan a los usuarios un mayor entendimiento que les
permite identificar las oportunidades y los problemas de los negocios. Los usuarios son capaces
de acceder y apalancar una vasta cantidad de información y analizar sus relaciones y entender
las tendencias que últimamente están apoyando las decisiones de los negocios.
Es indispensable implantar una gestión de cambio que se adapte a las necesidades del negocio
AI6.4: Seguimiento y Reporte del Estatus de Cambio - Establecer un sistema de
seguimiento y reporte para mantener actualizados a los solicitantes de cambio y a los
interesados relevantes, acerca del estatus del cambio a las aplicaciones, a los
procedimientos, a los procesos, parámetros del sistema y del servicio y las plataformas
fundamentales.
Prácticas de Control
Pasos de Aseguramiento
1
Categorice las solicitudes de cambio
en el proceso de seguimiento (por
ejemplo, ha sido rechazada, aprobado
pero aún no iniciados, aprobados y en
proceso, y cerrado).
• Verificar, y confirmar que el sistema
de seguimiento y presentación de
informes supervisa el estado de las
solicitudes de cambio (por ejemplo,
rechazados, aprobados pero no
iniciados, aprobado y en proceso).
2
Implementar informes sobre la
situación de los cambios con los
parámetros de rendimiento para
• Verificar, y confirmar que la gestión
revisa y controla el estado detallado
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
64
permitir un examen de gestión y
control tanto de la situación detallada
de los cambios y el estado general (por
ejemplo, el análisis por antigüedad de
los pedidos de cambios). Asegúrese de
que los informes de estado forman una
pista de auditoría para que los cambios
posteriormente puedan ser rastreados
desde su creación hasta la disposición
final.
de los cambios y el estado general
(por ejemplo, el análisis por
antigüedad de los pedidos de
cambios).
Es importante establecer una categorización de las solicitudes de cambio para poder realizar un
seguimiento de las mismas y tener conocimiento del estado actual en que se encuentren.
Además, contar con un informe sobre la situación de los cambios permitirá tener estadísticas
importantes sobre los mismos como así también poder hacer un rastreo en su ciclo de vida.
Este subsistema permite obtener información, de manera sencilla e inmediata, para la toma de
decisiones a nivel gerencial, por lo tanto es importante mantener un seguimiento y reportes
correspondientes sobre los cambios que se efectúen sobre el mismo.
Este es un control importante para poder Gestionar los Cambios y se aplicara a todos los
subsistemas que forman parte de SIE.
AI6.5: Cierre y Documentación del Cambio - Siempre que se implantan cambios al sistema,
actualizar el sistema asociado y la documentación de usuario y procedimientos
correspondientes. Establecer un proceso de revisión para garantizar la implantación completa
de los cambios.
Prácticas de Control
Pasos de Aseguramiento
1
Asegúrese de que la documentación,
incluyendo los procedimientos
operativos, la información de
configuración, documentación de la
aplicación, pantallas de ayuda y
• Verificar, y confirmar que la
documentación de cambio (por ejemplo,
los procedimientos operativos, la
información de configuración,
documentación de la solicitud, pantallas
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
65
materiales de capacitación-sigue el
procedimiento de gestión del cambio
mismo y se considera una parte integral
del cambio.
de ayuda, materiales de capacitación) es
hasta la fecha.
2
Actualizar los procesos de negocio para
los cambios en el hardware o software,
para asegurar que la funcionalidad nueva
o mejorada se utiliza.
• Verificar, y confirmar que la
documentación de procesos de negocio
se actualiza por los cambios
implementados en hardware o software
Aplicaremos este control al subsistema de Aplicación de Inteligencia de Negocios para así
poder mantener la integridad y consistencia del mismo. Además, mantenerlo actualizado y
aprovechar al máximo su funcionalidad.
Este control es de vital importancia para mantener el sistema SIE completamente integro y
consistente, ya que actualiza los cambios efectuados en cualquier modulo a todos los sistemas y
documentación asociada. Por este motivo se aplicara a todos los subsistemas.
AI7.1: Entrenamiento—Entrenar al personal de los departamentos afectados y al grupo
de operaciones encargado de TI, de acuerdo con el plan de entrenamiento e
implementación definido y sus materiales asociados, como parte de cada desarrollo de
sistema de información, implementación o modificación de un proyecto.
Prácticas de Control
Pasos de Aseguramiento
1. Para el desarrollo de sistemas,
implementación o modificación de
proyectos, un plan de entrenamiento es
una parte integral del plan maestro
global del proyecto . Asegúrese de que
el plan identifica claramente los
objetivos de aprendizaje, los recursos,
los principales hitos, las dependencias
y las tareas del camino crítico que
afectan la entrega del plan de
• Pregunte si y confirme que un plan de
entrenamiento es parte del plan
global maestro del proyecto para los
proyectos de desarrollo.
• Pregunte si y confirme que (por
ejemplo, a través de entrevistas con
miembros clave del personal o a
través de la inspección del plan del
proyecto) que el plan de
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
66
formación. El plan debe considerar
estrategias alternativas de
entrenamiento en función de las
necesidades del negocio, nivel de
riesgo (por ejemplo, para sistemas de
misión crítica, puede ser adecuado un
sistema formal de acreditación y
reacreditación de usuario), y
requerimientos regulatorios y de
cumplimiento (por ejemplo, el impacto
de diferentes leyes de privacidad puede
requerir la adaptación de la formación
a un nivel nacional).
entrenamiento identifica y abarca a
los grupos afectados grupos (por
ejemplo, los usuarios finales, las
operaciones de TI, soporte y
capacitación para el desarrollo de
aplicaciones de TI, proveedores de
servicios).
Pregunte si y confirme que se
considera que las estrategias
alternativas de formación garantizan
que una relación costo-eficiencia se
ha seleccionado e incorporado en el
marco de formación.
• Pregunte si y confirme que existe un
proceso para verificar el
cumplimiento del plan de
entrenamiento.
2 Asegúrese de que el plan de
entrenamiento identifica y aborda a
todos los grupos afectados, incluidos
los usuarios finales del negocio, las
operaciones de TI, soporte y
capacitación en desarrollo de
aplicaciones de TI y a los proveedores
de servicios. El plan de entrenamiento
debe proporcionar la formación de una
manera oportuna. También deberán
identificarse los miembros del equipo
que deben estar capacitados y aquellos
para los que la formación es deseable
• El entrenamiento debe ser orientado a
las necesidades que se plantean en el
negocio
• Pregunte si y confirme que se
considera que las estrategias
alternativas de formación garantizan
que una relación costo-eficiencia se
ha seleccionado e incorporado en el
marco de formación.
• El entrenamiento debe ser orientado a
capacitar al personal involucrado con
el subsistema.
• Inspeccione la documentación de
capacitación para determinar el
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
67
cumplimiento con el plan de
formación (por ejemplo, la lista de
los miembros del equipo invitados a
los entrenamientos, lista de
participantes efectivos, formularios
de evaluación para el logro de los
objetivos de aprendizaje,
retroalimentación etc.).
Para tener un funcionamiento adecuado e integrado de SIE es indispensable capacitar y entrenar
al personal involucrado con dicho subsistemas, la definición clara de los objetivos del negocio
permitirá incorporar temas de capacitación relevante para los directivos.
AI7.5: Conversión de sistemas y datos - Plan de conversión de datos y migración de
infraestructuras como parte de los métodos de desarrollo de la organización, incluyendo
pistas de auditoría, respaldo y vuelta atrás.
Prácticas de Control
Pasos de Aseguramiento
1. Definir un plan conversión de datos y
un plan de migración de la
infraestructura. Consideramos, por
ejemplo, el hardware, redes, sistemas
operativos, software, datos de
transacción, archivos principales,
respaldos y archivos, interfaces con
otros sistemas (tanto internos como
externos), procedimientos, y
documentación del sistema en el
desarrollo del plan.
2 Asegurar que el plan de conversión de
datos incorpora métodos de
recolección, transformación y
• Confirmar a las entrevistas con
miembros de la administración
cruciales o inspección de políticas y
procedimientos) esa conversión de
datos y esos planes de mitigación de
infraestructura existen, y consideran
lo siguiente: El hardware, las redes,
los sistemas operativos, el software,
los datos de transacción, los archivos
principales, los respaldos y los
archivos, las interfaces con otros
sistemas internos y externos, otros
procedimientos, documentación de
sistema, etc.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
68
verificación que deseamos convertir, e
identificar y resolver los errores
encontrados durante la conversión.
Esto incluye la comparación de los
datos originales y si se convirtieron en
totalidad e integridad.
• A través de las entrevistas con
miembros de la administración
cruciales, inquirir acerca de la
oportunidad del momento y la
plenitud de corte de conversión.
Esta herramienta, nos permite acudir al análisis y la presentación de los datos. También a la
extracción de información de las bases de datos acerca del consumidor, mediante la utilización
de aplicaciones que pueden aislar e identificar patrones o tendencias del consumidor en un alto
volumen de datos, compartir información entre departamentos; generar y procesar datos.
AI7.7: Prueba de aceptación final - Asegurar que los dueños de proceso de negocio y
las interesados de TI evalúan los resultado de los procesos de pruebas como determina el
plan de pruebas. Remediar los errores significativos identificados en el proceso de prueba,
habiendo completado el conjunto de pruebas identificadas en el plan de pruebas y
cualquier prueba de regresión necesaria. Siguiendo la evaluación, aprobación de la
promoción a la producción.
Prácticas de Control
Pasos de Aseguramiento
2 Asegurar de que el registro de
categorías de errores detectados en el
proceso de prueba ha sido abordada
por el equipo de desarrollo. Asegurar
de que la causa de los errores ha sido
remediadas (por ejemplo, mediante
cambios apropiados a la aplicación o la
configuración o la solución y / o
corrección de retraso cuando el error es
menor).
3 Asegurar de que la evaluación de
aceptación final se mida según los
criterios de éxito establecidos en el
• Preguntar y confirmar que los
criterios de éxito son identificados en
el plan de pruebas en las etapas de
recepción definitiva.
Preguntar y confirmar que la
documentación apropiada para su
revisión y evaluación existe.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
69
plan de pruebas. Asegurar de que el
proceso de examen y evaluación es
adecuadamente documentada.
Este control en este sistema nos permite identificar oportunidades y amenazas, hacer
pronósticos de ventas y devoluciones; lo cual es de suma importancia para poder hacer una
proyección y lograr así el objetivo que nos proponemos.
AI7.9: Revisión Posterior a la Implantación - Establecer procedimientos en línea con los
estándares de gestión de cambios organizacionales para requerir una revisión posterior a
la implantación como conjunto de salida en el plan de implementación.
Prácticas de Control
Pasos de Aseguramiento
1 Establecer procedimientos para
asegurar que las revisiones post
implementación identifican, evalúan y
reportan en la extensión para la cual:
• Los requisitos comerciales han sido
encontrados
• Esperar que los beneficios esperados
hayan sido alcanzados
• El sistema es considerado usable
• Las expectativas internas y externas
de tenedores de apuestas son
encontradas
• Los impactos inesperados en la
organización han ocurrido
• Los riesgos clave son mitigados
• La gerencia de cambio, instalación y
los procesos de la acreditación fueron
realizados efectivamente y
eficazmente.
2 Convenir e implementar un plan de
acción del que ocuparse asuntos
• Confirmar a través de las entrevistas
con los miembros claves del staff que
los procedimientos de post
implementación han sido
establecidos.
• Confirmar a través de las entrevistas
con los miembros clave del staff que
la forma de la revisión de post
implementación está de conformidad
con el proceso administrativo de
cambio y que los dueños comerciales
de proceso y las terceras partes están
involucrados, según el caso.
• Confirmar a través de las entrevistas
con miembros cruciales de la
administración que los requisitos para
la revisión de post implementación
levantándose de negocio exterior y
tecnología de la información son
considerados.
• Confirmar a través de las entrevistas
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
70
identificados en la revisión de post
implementación. Involucre losa dueños
comerciales de proceso y tecnología de
la información gerencia técnica en el
desarrollo del plan de acción
3 Consultar a los dueños comerciales de
proceso y gerencia técnica de
tecnología de la información en la
elección de métrica para la medida de
éxito y logro de requisitos y
beneficios.
4 Asegure que la forma de la revisión de
post implementación está en
conformidad con el proceso
administrativo de cambio. Involucre
dueños comerciales de proceso y
terceros, según el caso
con miembros cruciales de la
administración que un plan de acción
existe dirigirle la palabra a los
asuntos identificados en la revisión
de post implementación y que los
dueños comerciales de proceso y
tecnología de la información gerencia
técnica está involucrada en el
desarrollo del plan de acción.
Consideramos que se deben aplicar dichas Prácticas de control y pasos de aseguramiento al
Sistema de inteligencia de negocios debido a que dicha información es crucial para la
organización por el hecho de que es utilizada por niveles gerenciales para la toma de desiciones
por lo que debe ser oportuna, confiable, consistente y fiable. Por lo que se debe evaluar que se
hayan cumplimentados todos los requisitos post implementación.
DS5.3: Administración de Identidad - Asegurar que todos los usuarios (internos,
externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, entorno de
TI, operación de sistemas, desarrollo y mantenimiento) deben ser identificables de manera
única. Permitir que el usuario se identifique a través de mecanismos de autenticación.
Confirmar que los permisos de acceso del usuario al sistema y los datos están en línea con
las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo
están adjuntos a las identidades del usuario. Asegurar que los derechos de acceso del
usuario se solicitan por la gerencia del usuario, aprobados por el responsable del sistema e
implementado por la persona responsable de la seguridad. Las identidades del usuario y
los derechos de acceso se mantienen en un repositorio central. Se despliegan técnicas
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
71
efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer
la identificación del usuario, realizar la autenticación y habilitar los derechos de acceso.
Prácticas de Control
Pasos de Aseguramiento
1 Asegure que un flujo oportuno de
información está en lugar que reporta
cambios en los trabajos (i.e., Pueble
adentro, pueble fuera, cambio de
personas). Conceda, revoque y adapte
a derechos de acceso del usuario en co-
ordinación con recursos humanos y los
departamentos del usuario para los
usuarios que son nuevos, quien ha
dejado la organización, o quien tienen
cambiado papeles o trabajos
2 Definir e implementar un
procedimiento para identificar a
usuarios nuevos y registrar, aprobar y
mantener derechos de acceso. Esto
necesita ser pedido por el usuario
administrador, ser aprobado por el
dueño de sistema e implementado por
la persona responsable.
• Determinar si las practicas de
seguridad requieren que usuarios y
procesos de sistema sean
excepcionalmente identificables y
sistemas para ser configurados para
implementar autenticación antes de
que el acceso es concedido.
• Determinar si el acceso
aprovisionando y los mecanismos de
control de autenticación son
utilizados para controlar acceso
lógico a través de todos los usuarios,
sistema procesos y recursos de
tecnología de la información, para
usuarios internos y usuarios
remotamente manejados, procesos y
sistemas.
Consideramos que se deben aplicar dichas Prácticas de control y pasos de aseguramiento al
Sistema de inteligencia de negocios debido a que dicha información es crucial a nivel gerencial,
por lo tanto solo deben tener acceso niveles jerárquicos de la organización y/o áreas
determinadas por ellos, por lo que los permisos y usuarios deben estar validados por ellos.
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
72
Conclusión
La actividad práctica consideramos que nos favoreció a nuestro aprendizaje de manera que nos encontramos en posición de investigar las características principales de los distintos subsistemas conociendo así como estos funcionan y son implementados.
Gracias a los objetivos de control empleados se logro identificar los pasos de aseguramiento mas adecuadas para cada subsistema existente en el caso de estudio y además se logro una comprensión cabal del funcionamiento de la empresa en si.
No fue tarea fácil realizar un planteo acerca objetivos de control fundamentales para cada subtema, con la utilización de COBIT y bibliografía extra logramos llegar a concluir este trabajo.
El trabajo grupal permitió un avance mas acelerado de las tareas y un crecimiento tanto personal como grupal del que decidimos llevarnos todo el aprendizaje y experiencia adquirido
CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”
73
Bibliografía
• IT COBIT® 4.1
• HEAM_CASITI2010_Caselet
• COBIT Control Practices 2nd
• IT Assurance Guide : Using COBIT
• Pagina WEB - ISACA : http://www.isaca.org
• Pagina WEB – SearchStorage: http://www.searchstorage.es/