Professional Documents
Culture Documents
Objetivos de
Control
Situacin Actual
Controles
Gerenciales
Control de Calidad
Controles de
Aplicacin
Pistas de auditora
Controles para la
captura de
requerimientos,
anlisis, diseo, Metodologa de desarrollo de software.
desarrollo e
implementacin
del sistema de Manejo de Roles y Permisos
informacin
Controles para la
Integridad de los datos
Base de Datos
Planes de Contingencia
Controles de
Seguridad
Controles de
Seguridad
Estado
Segn COBIT: Una organizacin de TI se debe definir tomando en cuenta los requerimientos de
personal, funciones, delegacion, autoridad, roles, responsabilidades y supervisin. La organizacin
estar incrustada en un marco de trabajo de procesos de TI que asegura la transparencia y el control,
as como el involucramiento de los altos ejecutivos y de la gerencia del negocio. Un comit estratgico
debe garantizar la vigilancia del consejo directivo sobre la TI, y uno ms comits administrativos, en
los cuales participan tanto el negocio como TI, deben determinar las prioridades de los recursos de TI
alineados con las necesidades del negocio. Deben existir procesos, polticas administrativas y
procedimientos para todas las funciones, con atencin especfica en el control, el aseguramiento de la
calidad, la administracin de riesgos, la seguridad de la informacin, la propiedad de datos y de
sistemas y la segregacin de tareas. Para garantizar el soporte oportuno de los requerimientos del
negocio, TI se debe involucrar en los procesos importantes de decisin.
Segn la NTP-ISO/IEC 17799 en el punto 10.1 Seguridad de las Aplicaciones del sistema, el
objetivo es: Evitar prdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones. Se
deberan disear dentro de las aplicaciones (incluidas las aplicaciones escritas por los usuarios) las
medidas de control. stos deberan incluir la validacin de los datos de entrada, el tratamiento interno
y los datos de salida. Se podr requerir controles adicionales para sistemas que procesen o tengan
impacto en informacin sensible, con mucho valor o criticas. Estos controles deben ser determinados
en base a los requerimientos de seguridad y la evaluacin de riesgos.
Deficiente
Segn COBIT, Entregar y dar Soporte. DS10 Administracin de problemas DS10.2 Rastreo y
resolucin de problemas El sistema de administracin de problemas debe mantener pistas de
auditora adecuadas que permitan rastrear, analizar y determinar la causa raz de todos los problemas
reportados considerando: Todos los elementos de configuracin asociados Problemas e incidentes
sobresalientes Errores conocidos y sospechados. Asimismo, Segn la NTP-ISO/IEC 17799, en el
punto 10.10 Monitoreo, el objetivo: Detectar las actividades de procedimiento de informacin no
autorizadas. Los Sistemas deben ser monitoreados y los eventos de las seguridad de informacin
deben ser grabadas. El registro de los operadores y el registro de averas deben ser usados para
asegurar que los problemas del sistema de informacin sean identificados. Una organizacin debe
cumplir con todos los requerimientos legales aplicables para el monitoreo y el registro de actividades.
El monitoreo del sistema debe ser utilizado para verificar la efectividad de los controles adoptados y
para verificar la conformidad de un acceso a un modelo de poltica. Asimismo en el punto 10.10.1
Registro de la Auditoria, CONTROL: Los registros de auditora grabando actividades de los usuarios,
excepciones y eventos de la seguridad de informacin deben ser producidos y guardados para un
periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los
controles
Ingeniero de
en acceso.
este punto la verdad que no se que poner, porque busque algo que haga referencia,
Deficiente
Deficiente
Deficiente
La Norma NTP-ISO/IEC 17799 EDI Tecnologa de la informacin. Cdigo de buenas prcticas para la gestin
de la seguridad de la informacin, que en su numeral 11.7.2 Teletrabajo, que establece Se deberan desarrollar
e implementar una poltica, planes operacionales y procedimientos para las actividades de teletrabajo.