Auditoria de Sistemas - CHAuditoria Consultores S.A. Contenido Auditoria de Sistemas - CHAuditoria Consultores S.A......................................................................... 1 Equipo Auditor ................................................................................................................................ 3 Mauricio Amaya Ríos Cod: 907002 ................................................................................................. 3 Leidy Alejandra Galeano Arias Cod: 907017 ................................................................................... 3 Proceso a auditar: PO8 Administrar la Calidad. .............................................................................. 3 Objetivos de la auditoria ............................................................................................................. 3 Alcance ........................................................................................................................................ 3 Herramientas............................................................................................................................... 3 Proceso a auditar: DS2 Administrar los Servicios de Terceros........................................................ 5 Objetivos de la auditoria ............................................................................................................. 5 Alcance ........................................................................................................................................ 5 Herramientas............................................................................................................................... 5 Proceso a auditar: DS4 garantizar la continuidad del servicio ........................................................ 7 Objetivos de la aduitoria ............................................................................................................. 7 Alcance ........................................................................................................................................ 7 Personas Auditadas ..................................................................................................................... 7 Herramientas............................................................................................................................... 7 Proceso a auditar: DS9 Administrar la configuración ................................................................... 10 Objetivos de la aduitoria ........................................................................................................... 10 Alcance ...................................................................................................................................... 10 Personas Auditadas ................................................................................................................... 10 Herramientas............................................................................................................................. 10 Equipo Auditor Mauricio Amaya Ríos Cod: 907002 Leidy Alejandra Galeano Arias Cod: 907017 Proceso a auditar: PO8 Administrar la Calidad. Objetivos de la auditoria Comprobar que se estén llevando a cabo los procesos de calidad bajo los estándares propuestos. Evidenciar la existencia de un Sistema de Administración de la Calidad que genere confianza en las diferentes transacciones del negocio. Evaluar la satisfacción de los usuarios finales del sistema, en cuanto a servicio y niveles de servicio. Determinar si el Sistema de Administración de la Calidad se ha implementado y mantenido apropiadamente. Identificar las áreas de mejora potencial. Examinar si la administración del proceso de Gestión de la Calidad satisface los requerimientos del negocio. Alcance El alcance describe todo el Sistema de Administración de la Calidad, procedimientos y normas de calidad aplicadas al para la implantación del sistema dentro de los procesos de la planeación estratégica, la información administrativa, mejoramiento del Sistema de Administración y control de la Calidad, gestión tecnológica. Herramientas Encuesta 1. ¿Existe en la organización un Sistema de Administración de la Calidad que cumpla con los estándares y prácticas de desarrollo y adquisición para los procesos de TI? 2. ¿Los requerimientos, estándares y prácticas de TI se encuentran enfocados a la administración de la calidad en los clientes? 3. ¿Se encuentran definidas e implementadas las mediciones para evaluar el cumplimiento efectivo del Sistema de Administración de la calidad? 4. ¿Se mantiene y comunica regularmente un plan de calidad para la mejora continua? 5. ¿Se ha desarrollado un programa de entrenamiento para comunicar y enseñar a todos los empleados de la organización acerca del tema de calidad? 6. ¿Se han definido unas perspectivas de calidad dentro de la gestión de proyectos y organización de TI? 7. ¿El sistema de administración de la calidad se encuentra implicado en todos los procesos, incluso los que dependen de terceros? 8. ¿Se realizan encuestas de satisfacción de la calidad por parte de los usuarios? 9. ¿Estas encuestas se realizan constantemente? 10. ¿Las encuestas de satisfacción de calidad llevan hacia un análisis de los procesos de calidad y posibles mejoras? 11. De acuerdo a dicho análisis qué medidas se toman para el mejoramiento de la calidad en la organización. 12. ¿Existe un programa bien constituido para la medición de la calidad? 13. ¿El sistema de administración de la calidad se aplica a todas las actividades de TI? Pruebas de Cumplimiento Documentos que deben ser verificador para corroborar las respuestas de la encuesta anterior: Encuesta de satisfacción de calidad. Resultados de encuestas de satisfacción de calidad. Planes de mejoramiento de la calidad. Documento que comprueba la existencia de capacitaciones o entrenamiento de los empleados en el área de calidad. Procesos de TI revisados por el sistema de administración de la calidad que satisfacen los objetivos de calidad. Proceso a auditar: DS2 Administrar los Servicios de Terceros Objetivos de la auditoria Verificar que los servicios brindados por terceros sean satisfactorios y tranparentes en cuanto a costos y beneficios. Identificar si todos los servicios de los proveedores están jerarquizados de acuerdo al grado de importancia del servicio prestado. Comprobar la calidad de las relaciones con los proveedores en cuanto al acuerdo de nivel de servicio. Asegurar que los contratos estén de acuerdo con los requerimientos legales. Revisar si se cuenta con procesos para monitorear la prestación de los diferentes servicios prestados por proveedores y si estos se están cumpliendo de acuerdo a las especificaciones acordadas inicialmente. Alcance Dentro del alcance se evaluarán procesos de contratación y negocios con proveedores, la administración de riesgos la cual además debe considerar acuerdos confidenciales, sanciones e incentivos que se han realizado, contratos de garantía, conformidad con los requisitos de seguridad. Herramientas Entrevista 1. ¿Existe algún método para la evaluación de servicios prestados por proveedores? 2. ¿Se cuentan con SLA’s (acuerdos de nivel de servicio); es decir, reportes donde se especifique el nivel acordado para la calidad del servicio? 3. ¿Se identifican y categorizan las relaciones de los servicios de terceros? 4. ¿La organización cuenta con políticas y procedimientos formales respecto a la contratación de terceros? 5. ¿Existe un plan de riesgos para los servicios prestados por terceros? 6. ¿Las capacidades y riesgos del proveedor son verificadas de forma continua? 7. ¿Se tiene un proceso formal para la supervisión de los proveedores de servicios de terceros? 8. ¿Hay métodos documentados para controlar los servicios de terceros y negociar con los proveedores? 9. ¿Los contratos con proveedores están basados en formatos estandarizados? 10. ¿Existen los KPI’s (Indicadores Clave de Desempeño) y KGI’s (indicadores claves de metas) para medir el desempeño de los procesos con proveedores? 11. ¿Se revisan de forma periódica los contratos realizados con terceros? 12. ¿Se hacen revisiones periódicas del desempeño de los proveedores? 13. ¿Se evalúa la satisfacción de los clientes en los servicios prestados por terceros? Pruebas de Cumplimiento SLA’s KPI’s KGI’s Catalogo de los proveedores Reportes de desempeño de los procesos Contratos Requerimientos de administración de relaciones con terceros Proceso a auditar: DS4 garantizar la continuidad del servicio Objetivos de la aduitoria Analizar si la compañía cuentas con algún tipo de planes de contingencia para garantizar la continuidad de los servicios de TI dentro de la organización. Determinar la madurez y cobertura de los planes de contingencia, en caso de que la organización los tenga, sobre los procesos críticos del negocio. Analizar el impacto que puede causar sobre el quehacer de la organización la falla de los servicios de TI que no cuentan con un plan de continuidad del servicio. Establecer la participación de las TI en los planes de contingencia en la organización. Analizar si el área de TI tiene adecuadamente asignados los roles y responsabilidades en los planes de continuidad del servicio y en los controles preventivos. Determinar si la organización está preparada adecuadamente para fallos en sus sistemas. Alcance La auditoria analizara todos los programas o políticas que intenten garantizar que el funcionamiento de los servicios de TI dentro de la compañía sea continuo y permanente y los controles actuales que garanticen la continuidad de los servicios prestados por las TI. Además se verificará que los planes de contingencia organizacionales tienen en cuenta las TI como elementos críticos del negocio. Personas Auditadas Las personas encargadas de la gestión del área de sistemas, o que tengan como función el Análisis de Riesgos o la planificación de planes de contingencias asociados a las TI. Herramientas Para el desarrollo de la auditoria proponemos el uso de dos herramientas: una entrevista sobre las características técnicas que tiene el sistema para garantizar que el sistema continuara su funcionamiento y la segunda para obtener información sobre los planes de continuidad del servicio que se han desarrollado en ella. Entrevista técnica 1. ¿Existe alguna fuente de energía alterna que garantice el funcionamiento continuo del centro de cómputo? 2. ¿Existe algún procedimiento, como la creación de backup’s, que garantice la recuperación de los datos en el caso de algún fallo del sistema? 3. ¿Existen responsables designados para la realización de estas copias? 4. ¿Se llevan a cabo pruebas de los procedimientos de recuperación de datos? 5. ¿Existen procedimientos para asegurar que estas copias están adecuadamente protegidas y solo disponibles para el personal especialmente autorizado? 6. ¿Actualmente la organización posee alguna alternativa que permita la continuidad del desarrollo de los procesos normales, luego de una falla total en el sistema principal? 7. Explicación: Algún tipo de centro de procesamiento alternativo que pueda permitir la continuidad de las actividades matutinas. 8. ¿Existe una asignación de responsabilidades por actividades en caso de que se deba llevar a cabo algún proceso de recuperación? 9. ¿Existe algún procedimiento para la documentación de recuperación de desastres? 10. ¿Existe un repositorio de información sobre desastres ocurridos anteriormente que provean un panorama para posibles errores a futuro? 11. ¿Se lleva a cabo dentro de la organización algún tipo de registro sobre los errores más comunes, que permita un análisis de probabilidad de ocurrencia de fallas? Entrevista de Planificación de TI 1. ¿Existe dentro de la organización algún marco de continuidad de TI que tome en cuenta la estructura organizacional de la empresa y cada una de sus procesos? 2. ¿Se lleva a cabo revisiones periódicas del marco de continuidad de TI? 3. ¿Qué áreas de la organización participan de la creación y mantenimiento de este marco de continuidad? 4. ¿Se ha desarrollado un análisis de riesgo que involucre las TI dentro de los procesos críticos de la organización? 5. ¿Se priorizan estos procesos críticos de TI al momento de la asignación de recursos? 6. ¿Se lleva a cabo un seguimiento prioritario a los procesos críticos de TI de la organización? 7. ¿Se han probado los planes de continuidad del servicio para verificar si son efectivos? 8. ¿Se lleva a cabo un proceso de comunicación a todas las áreas de la organización de estos planes de continuidad? 9. ¿Existe algún tipo de entrenamiento a los usuarios involucrados con los procesos críticos de la organización en caso de algún altercado? Entrevista de verificación de Capacitaciones Este cuestionario está orientado a determinar si los empleados de la organización han participado de manera activa de las capacitaciones que el algún momento la organización pudo haber llevado a cabo. En caso de que no se hayan llevado a cabo las capacitaciones, se debe hacer caso omiso de él. 1. ¿Conoce usted los planes de continuidad de TI que posee la organización? Si__ No__ 2. ¿Ha participado usted activamente de la creación de este plan de continuidad? Si__ No__ 3. ¿Ha participado usted de la creación de algún plan de contingencia que garantice la continuidad de la prestación de servicios de TI? Si__ No__ Cuales: _______________________________________________________________ 4. ¿Su organización ha realizado capacitaciones para la preparación de planes de contingencia al momento de que ocurra algún desastre o altercado? Si __ No __ Cuantas: __ 5. ¿Cada cuanto tiempo se llevan a cabo las capacitaciones? _____ 6. ¿Ha participado usted de algún tipo de prueba de un plan de continuidad de TI dentro de la organización? Si__ No__ Pruebas de cumplimiento Documentos que deben ser verificados: 1. 2. 3. 4. 5. Plan de continuidad del Servicio de TI. Análisis de riesgo de TI. Comprobantes de asistentes a capaciones sobre el pan de continuidad. Fuente alterna de suministro de energía. Respaldo de datos. 6. Plan de almacenamiento de respaldo de datos. 7. Asignación de roles y responsabilidades por actividades en capacitación, distribución, pruebas y recuperación de desastres. 8. Requerimientos de resistencia de los recursos de TI. 9. Procesos de recuperación de desastres. 10. Procesos de comunicación. 11. Enfoque de pruebas. 12. Resultados de pruebas. 13. Registro de Actualizaciones. Proceso a auditar: DS9 Administrar la configuración Objetivos de la auditoria Analizar el nivel de gestión de configuración que posee la compañía relativa a todo el hardware y software que posee. Determinar la magnitud de la desviación entre los repositorios de configuración de los activos de la organización y el estado real de estos. Establecer si la organización cuenta con una asignación de roles y responsabilidades para la gestión de configuración de las TI. Establecer si la organización cuenta con una conciencia de utilización de software solo original y autorizado. Identificar si las políticas organizacionales dirigidas a la utilización de solo software autorizado son efectivas. Alcance Llevar a cabo un análisis de todos los documentos relacionados con la configuración del hardware y del software que la compañía posee, y si posee políticas internas que garanticen que la información relacionada estará actualizada en todo momento. Además verificar si posee algún tipo de sistema que permita recopilar toda la información relacionada y su cobertura en los procesos de TI de la organización. Personas Auditadas Las personas encargadas de la gestión del área de sistemas en especial las encargadas de la gestión de configuración de la empresa, y de la instalación y la actualización del hardware y software que esta posee. Herramientas Entrevista técnica 1. ¿Existe un inventario de software instalado, utilizado y adquirido por la organización? 2. ¿Se realiza su actualización de forma periódica cada vez que se adquiere y/o instala software? 3. ¿Se comprueba que se han incluido todos los ordenadores existentes en la realización del inventario? 4. ¿Existe un responsable encargado de la gestión de la configuración de los recursos de TI? 5. ¿Existe una definición de responsabilidades de los usuarios, técnicos y responsables de adquisición de software con respecto a software original? 6. ¿Existen políticas diseñadas especialmente para asegurar la adquisición de software original y evitar copias personales no autorizadas? 7. ¿Se incluye en los contratos de las personas alguna clausula que se pueda aplicar en caso de la utilización de software no autorizado o la realización de copias no autorizadas? 8. ¿Existe un procedimiento de control para asegurar que las nuevas versiones o actualizaciones se instalan de acuerdo a las licencias originales, o ultima renovación de las mismas? 9. ¿Existe en la organización algún tipo de repositorio o software que permita la administración del inventario del software instalado y la gestión de la configuración de las TI? 10. En caso de que exista, ¿Es este repositorio usado concurrentemente y actualizado periódicamente? 11. Existe un responsable de la administración de este repositorio. Pruebas de cumplimiento 1. 2. 3. 4. Inventario de Software Instalado Comprobantes de auditorías de licenciamiento de software realizadas Asignación de roles y responsabilidades de gestión de configuración Repositorio de Configuración