19 DE OCTUBRE DEL 2017
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
AUDITORÍA TIC FACULTAD DE ECONOMÍA Y NEGOCIOS UNIVERSIDAD DE CHILE
PROFESOR PABLO VALDIVIA PINO
INTEGRANTES FRANCISCO RODRIGUEZ DANIEL POZO ARNOLD TORRES
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
INTRODUCCIÓN Durante la última década, las tecnologías de información han cobrado una importancia clave dentro de las operaciones de casi cualquier empresa que funciona en el mercado, afectando de manera significativa en factores como la competitividad, la globalización y la diversificación de productos y actividades. Frente a estas circunstancias, las organizaciones requieren de un mayor esfuerzo para poder responder de manera eficiente y eficaz a las necesidades de sus clientes, lo cual implica contar con una adecuada gestión y control de los servicios que estas entregan, los que a su vez, suelen estar soportados por activos tecnológicos. Para hacer entrega de los servicios requeridos por clientes, se deben realizar diferentes procesos, tales como: establecer definiciones claras de los servicios, comprender los requisitos de los clientes, administrar la seguridad y continuidad del servicio, ofrecer soporte a los usuarios, administrar datos e instalaciones, etc. Para estos efectos, la guía COBIT 4.1 establece una serie de actividades y tareas de control, que permiten asegurar de forma razonable el cumplimiento de los procesos asociados a la entrega del servicio, los que son clasificados dentro del dominio de Entregar y dar Soporte (DS). Dentro de este ámbito, la labor de auditoría informática es verificar mediante pruebas, que se cumplen los controles definidos por la organización para sus procesos de entrega y soporte de servicios, y que estos controles son eficientes y efectivos en salvaguardar activos y en reducir riesgos en los procesos. Frente a esto, el presente informe tiene por objetivo el desarrollo de un programa de trabajo, en torno a procesos del dominio de Entrega y Soporte definido por COBIT 4.1, el cual sirva de guía para llevar a cabo auditorías en este ámbito dentro de una organización. El trabajo parte con la definición del objetivo general del programa de trabajo y su alcance en cuanto a los procesos del dominio respectivo; luego, se identifican riesgos para cada proceso definido dentro del alcance del programa y objetivos de auditoría específicos sobre los procesos y riesgos asociados; posteriormente se definen sub-objetivos en torno a los objetivos de auditoría definidos y una serie de pruebas para dichos sub-objetivos; finalmente se concluye.
Página | 2
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
RIESGOS Los riesgos inherentes a las actividades de entregar y dar soporte son: Definir y administrar los niveles de servicio
Pérdida de clientes debido a inadecuada comunicación de la gerencia de TI con clientes del negocio. Deficiente operatividad por incumplimiento de acuerdos de niveles de servicio definidos o por acuerdos de niveles de servicio mal definidos. Pérdida de calidad del servicio por ineficiente monitoreo del cumplimiento de niveles de servicio. Deficiente operatividad por inoportuna notificación a partes interesadas sobre el cumplimiento de niveles de servicio. Pérdida de efectividad del negocio por falta de alineación entre servicios de TI y requerimientos del negocio y capacidades de entrega.
Administrar el desempeño y la capacidad
Deficiencias en disponibilidad por no contemplar aumentos en la demanda del negocio en los planes de desempeño y capacidad de los recursos de TI. Pérdidas en operatividad por no llevar revisiones de capacidad en la infraestructura de TI y demanda del negocio. Deficiencias en la operación por incompatibilidades entre los procesos de monitoreo de cada plataforma. Debilidad en los sistemas operativos por contingencias no documentadas en los registros de monitoreo del área de TI.
Administrar la configuración
Reducción de operatividad por deficiencias en la definición y mantención de un repositorio central que contenga todos los elementos de la configuración. Discontinuidad de la disponibilidad por fallas en la identificación y actualización de elementos de configuración, producida por una ineficiente recolección de información. Pérdida de información por deficiencias en la revisión de la integridad de los datos de configuración.
Página | 3
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
OBJETIVO GENERAL El objetivo de este programa de trabajo es desarrollar pruebas que permitan verificar que las actividades de control asociadas a la entrega y soporte de servicios de tecnología de información (TI) se realizan de forma correcta de acuerdo con la guía COBIT 4.1. La importancia de contar con un adecuado control sobre el proceso de entrega y soporte de servicios de TI, radica en aspectos tales como: la propuesta de valor de la organización, las relaciones con clientes, la seguridad y continuidad de las operaciones, la disponibilidad de sistemas que soportan los servicios, la integridad de datos, entre otros. El propósito de este programa de trabajo es guiar la ejecución de auditorías en torno a procesos de entrega y soporte de servicios de TI, de modo que se pueda verificar que los servicios realizados por la organización sean consistentes con estándares y procedimientos previamente establecidos.
ALCANCE DE LA AUDITORÍA Dentro del programa de trabajo, se revisarán las actividades de control asociadas a tres procesos de “Entregar y dar Soporte” (DS) cubierto por COBIT 4.1:
DS1: Definir y administrar los niveles de servicio DS3: Administrar el desempeño y la capacidad DS9: Administrar la configuración
Página | 4
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIOS RIESGOS
Pérdida de clientes debido a inadecuada comunicación de la gerencia de TI con clientes del negocio. Deficiente operatividad por incumplimiento de acuerdos de niveles de servicio definidos o por acuerdos de niveles de servicio mal definidos. Pérdida de calidad del servicio por ineficiente monitoreo del cumplimiento de niveles de servicio. Deficiente operatividad por inoportuna notificación a partes interesadas sobre el cumplimiento de niveles de servicio. Pérdida de efectividad del negocio por falta de alineación entre servicios de TI y requerimientos del negocio y capacidades de entrega.
OBJETIVO DE AUDITORÍA
Validar que existe alineación de los servicios basados en TI y los niveles de servicio con las necesidades y estrategias de la empresa.
SUB-OBJETIVOS
Validar que se hayan analizado las necesidades presentes y futuras de la empresa para la definición de servicios de los TI que dan soporte a los procesos de negocio. Validar que las definiciones de servicios de TI estén contenidas en uno o más catálogos de servicio para los grupos de clientes objetivos relevantes. Comprobar que la empresa ha definido acuerdos de niveles de servicio (SLA) para sus procesos críticos de TI basados en requerimientos de clientes, así como la existencia de acuerdos de niveles de operación (OLA) que den soporte a los SLA definidos. Asegurar que se realiza monitoreo y reportes de cumplimiento sobre los niveles de servicio, informándose mejoras y tendencias sobre el desempeño de los mismos, y que se llevan cabo revisiones periódicas de los acuerdos de niveles de servicio y contratos. PRUEBAS A REALIZAR
REFERENCIA
AUDITOR
SUB-OBJETIVO 1 Validar que se hayan analizado las necesidades presentes y futuras de la empresa para la definición de los servicios de los TI que dan soporte a los procesos de negocio.
1. Comprobar que no existen lagunas entre los servicios existentes y los procesos de negocio.
Página | 5
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
2. Validar que los responsables de los procesos de negocio han identificado áreas de mejora sobre los servicios existentes o nuevas opciones de nivel de servicio. 3. Validar la existencia de procedimientos de estimación de demanda futura de necesidades de la empresa. 4. Comprobar que los servicios de TI actuales consideran la estimación de demanda futura de necesidades de la empresa. 5. Verificar si se han realizado análisis de las actividades de los procesos de negocio para identificar necesidades de servicios de TI nuevos o modificados. 6. Verificar que se comparan los requisitos de clientes identificados con los componentes del servicio en el catálogo. 7. Validar que se efectúan discusiones y acuerdos sobre potenciales servicios o niveles de servicio de forma regular, documentadas en actas de reunión. 8. Verificar que exista un estándar regulado para la propuesta de nuevos servicios o cambios que se deban realizar para su actualización. SUB-OBJETIVO 2 Validar que las definiciones de servicios de TI estén contenidas en uno o más catálogos de servicio para los grupos de clientes objetivos relevantes. 1. Validar que existe uno o más catálogos de servicios de TI para grupos de clientes objetivos relevantes. 2. Validar que el catálogo es construido por el administrador del servicio y aprobado por el director de TI. 3. Verificar que los catálogos se encuentran completos, con definiciones de servicios, sus características y los requerimientos del negocio. 4. Verificar que los catálogos se encuentran actualizados. 5. Verificar que la gestión de relaciones del negocio se Página | 6
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
encuentra informada de las últimas actualizaciones en los catálogos de servicio.
6. Verificar que se realicen revisiones periódicas de los catálogos de servicios, a modo de identificar servicios obsoletos y acordar la retirada de los mismos. 7. Validar los catálogos son revisados en conjunto con la gestión de relaciones del negocio. SUB-OBJETIVO 3 Comprobar que la empresa ha definido acuerdos de niveles de servicio (SLA) para sus procesos críticos de TI basados en requerimientos de clientes, así como la existencia de acuerdos de niveles de operación (OLA) que den soporte a los SLA definidos. 1. Verificar la existencia de requisitos del cliente definidos formalmente, que capturen los criterios de aceptación de calidad, y que estos estén actualizados. 2. Revisar que existen SLA documentados y aprobados por el administrador del servicio, para cada servicio clave de TI. 3. Comprobar que los SLA son consistentes con los requisitos del cliente nuevos o modificados. 4. Comprobar que los SLA son consistentes con las características de los servicios definidos en el catálogo de servicios. 5. Revisar que existen OLA documentados y aprobados por el administrador del servicio. 6. Comprobar que los OLA especifican procesos técnicos que dan soporte a los SLA de servicios clave de TI. 7. Revisar que existen métricas definidas para supervisar el cumplimiento de los niveles de servicio acordados. 8. Validar que los SLA definidos incluyen consideraciones de disponibilidad, confiabilidad, desempeño, capacidad de crecimiento, soporte al usuario, planeación de continuidad y seguridad.
Página | 7
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
SUB-OBJETIVO 4 Asegurar que se realiza monitoreo y reportes de cumplimiento sobre los niveles de servicio, informándose mejoras y tendencias sobre el desempeño de los mismos, y que se llevan cabo revisiones periódicas de los acuerdos de niveles de servicio y contratos. 1. Verificar que se efectúa un monitoreo continuo sobre métricas definidas y mantenidas para recolectar datos sobre los niveles de servicio. 2. Revisar que se elaboran reportes formales de forma regular sobre el rendimiento de los niveles de servicio. 3. Validar que los reportes indican desviaciones respecto a valores acordados. 4. Validar que los reportes son distribuidos y entendidos por las partes interesadas. 5. Comprobar que los reportes representan un apoyo para la gestión del rendimiento. 6. Verificar que existe documentación que dé cuenta de análisis de estadísticas de monitoreo y de tendencias identificadas en el rendimiento del servicio. 7. Validar la existencia de planes de acción frente a incidentes del rendimiento o tendencias negativas, documentados en actas de reunión. 8. Verificar que existe una revisión regular de los acuerdos de niveles de servicio y contratos de apoyo. 9. Validar que las revisiones de SLA y contratos, es realizada en conjunto con los proveedores, tanto internos como externos, del servicio. 10. Validar que los acuerdos de niveles de servicio son efectivos, están actualizados y toman en cuenta cambios en los requerimientos del negocio.
Página | 8
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD OBJETIVO DE AUDITORIA Procurar que los recursos de sistemas de información estén disponibles de forma continua, efectuando un monitoreo de los procesos y pronosticando las necesidades futuras. RIESGOS
Deficiencias en disponibilidad por no contemplar aumentos en la demanda del negocio en los planes de desempeño y capacidad de los recursos de TI. Pérdidas en operatividad por no llevar revisiones de capacidad en la infraestructura de TI y demanda del negocio. Deficiencias en la operación por incompatibilidades entre los procesos de monitoreo de cada plataforma. Debilidad en los sistemas operativos por contingencias no documentadas en los registros de monitoreo del área de TI.
OBJETIVOS
Verificar que los planes de desempeño y capacidad de recursos estén alineados con los procesos críticos y las proyecciones de demanda del negocio: SUB-OBJETIVOS
Comprobar que exista una planificación en los requerimientos de nuevos servicios o cambios en éstos. Evaluar la capacidad actual así como futura de los servicios y recursos, validando el estándar de referencia utilizado y asegurando que la infraestructura de TI y la demanda del negocio están siendo actualizadas regularmente Identificar los servicios importantes para la empresa así como las dependencias del negocio y ciclos de vida de los recursos de TI, asegurando la disponibilidad, capacidad y desempeño de los recursos individuales de TI.
Asegurar que la infraestructura de TI y la demanda del negocio están siendo actualizadas regularmente. Verificar que las herramientas de monitoreo y emisión de reportes sean efectivas en evaluar la capacidad y desempeño de los recursos de TI. Verificar que la gerencia ajusta la planeación del desempeño y capacidad de acuerdo con los análisis de cada métrica.
Página | 9
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PRUEBAS A REALIZAR
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
REFERENCIA
AUDITOR
SUB-OBJETIVO 1.1 Comprobar que exista una planificación en los requerimientos de nuevos servicios o cambios en éstos. 1. Evaluar si la fase de planificación incluye un conjunto de métricas de tendencia de uso de servicios. 2. Evaluar si las métricas de tendencia de uso de servicios consideran criterios de disponibilidad de recursos. 3. Evaluar si las métricas de tendencia de uso de servicios consideran criterios de capacidad de recursos. 4. Verificar que existe un plan de adquisición de nuevos servicios que considere las capacidades de la infraestructura de TI. 5. Verificar que se utilizan técnicas de modelado para evaluar los planes de disponibilidad, rendimiento y capacidad de recursos. 6. Comprobar la existencia de un presupuesto específico para los planes de adquisición o cambio de servicios. 7. Verificar si los SLA’s pactados consideran cambios a las aplicaciones y a la infraestructura de TI. 8. Verificar si los SLA’s pactados consideran revisiones del rendimiento y uso de la capacidad actual de recursos. 9. Verificar que las comparaciones de la demanda actual incluyan una estimación de suministros a necesitar. 10. Comprobar si se evalúan periódicamente las técnicas de estimación de la demanda y suministro de recursos. SUB-OBJETIVO 1.2 Evaluar la capacidad actual así como futura de los servicios y Página | 10
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
recursos, validando el estándar de referencia utilizado y asegurando que la infraestructura de TI y la demanda del negocio están siendo actualizadas regularmente . 1. Verificar que se consideren los requisitos del cliente en la evaluación de capacidad de servicios. 2. Evaluar que se identifiquen los procesos clave del negocio en la evaluación de capacidad de recursos. 3. Comprobar la existencia de un presupuesto específico en el proceso de evaluación de capacidades. 4. Constatar el uso de umbrales mínimos y máximos de referencia en los análisis de capacidad actual. 5. Verificar que se cuentan con técnicas para calcular los umbrales de referencia. 6. Verificar identificación de incidentes que afecten directamente rendimiento o capacidad en los servicios. 7. Verificar el seguimiento de incidentes que afecten el rendimiento o capacidad en los servicios. 8. Verificar el seguimiento periódico de los niveles reales de uso de recursos y capacidad del servicio. 9. Constatar que los niveles reales de rendimiento se comparen con las tendencias y los SLA correspondientes. SUB-OBJETIVO 1.3 Identificar los servicios importantes para la empresa así como las dependencias del negocio y ciclos de vida de los recursos de TI, asegurando la disponibilidad, capacidad y desempeño de los recursos individuales de TI 1. Verificar la identificación de procesos críticos para la gestión de la disponibilidad y capacidad de recursos. 2. Validar la existencia de un mapa de dependencia de aplicaciones críticas.
Página | 11
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
3. Validar la existencia de un mapa de dependencia de infraestructura crítica. 4. Verificar la existencia de técnicas de recolección de información de fallas pasadas, para resguardar la disponibilidad de recursos. 5. Verificar la existencia de controles de monitoreo del rendimiento. 6. Comprobar la creación de escenarios de disponibilidad futura de recursos, basadas en la recolección de datos. 7. Verificar el cálculo de probabilidad de no alcanzar la disponibilidad de recursos objetivo basado en los escenarios posibles. 8. Evaluar si se determina el impacto de los escenarios en las medidas de rendimiento del negocio, tales como beneficios, ingresos y servicio al cliente. 9. Comprobar que se involucra a líderes de otros departamentos en la determinación del impacto de los recursos en el rendimiento del negocio. 10. Verificar que los propietarios de procesos de negocio estén de acuerdo con los niveles de riesgo propuestos en cada escenario. 11. Verificar la existencia de una lista de escenarios de riesgo inaceptables de los propietarios de negocios. SUB-OBJETIVO 2 Asegurar que la infraestructura de TI y la demanda del negocio están siendo actualizadas regularmente 1. Comprobar que existe documentación de manuales de servicio. 2. Verificar procesos de monitorización del rendimiento actual y previsto.
Página | 12
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
3. Evaluar si se identifican brechas de rendimiento y capacidad en base a los procesos de monitoreo. 4. Verificar la existencia de acciones correctivas una vez identificados los problemas de rendimiento y capacidad. 5. Evaluar la integración de las acciones correctivas a procesos apropiados de planificación. 6. Evaluar la integración de las acciones correctivas a procesos apropiados de gestión de cambios. 7. Verificar la existencia de procesos de escalado para la resolución de emergencias en problemas de capacidad y rendimiento. SUB-OBJETIVO 3 Verificar que las herramientas de monitoreo son efectivas en evaluar la capacidad y desempeño de los recursos de TI y se emiten reportes de forma regular. 1. Verificar la existencia de procesos de recolección de datos con fines de monitoreo. 2. Verificar la confección de informes sobre disponibilidad, rendimiento y capacidad de recursos relacionados a la información. 3. Verificar informes sobre los efectos de la carga de trabajo en la disponibilidad, rendimiento y capacidad de recursos relacionados a la información. 4. Verificar informes de resultados periódicos de monitoreo. 5. Constatar que existen procedimientos de comunicación de los resultados de monitoreo a la dirección empresarial. 6. Constatar que las actividades de supervisión e información están integradas en los procesos iterativos de gestión de la capacidad. 7. Verificar que informe de desempeño de recursos de TI incluyen indicadores de rendimiento y desviaciones respecto
Página | 13
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
al presupuesto definido.
SUB-OBJETIVO 4 Verificar que la gerencia ajusta la planeación del desempeño y capacidad de acuerdo con los análisis de cada métrica 1. Verificar que la gerencia considere dentro de su planeación los servicios de TI frecuentemente utilizados en cada división. 2. Comprobar una adecuada asignación de recursos de acuerdo con la magnitud de cada proceso. 3. Asegurar que el conjunto de métricas utilizadas respalden la medición del desempeño y capacidad de los recursos. 4. Verificar la implementación y uso de un modelo de pronóstico de capacidad y desempeño de las actividades de TI. 5. Verificar procedimientos de detección de recursos en sobreuso y consiguiente envío de advertencias al Jefe de Operaciones. 6. Verificar presencia de acciones correctivas propuestas por el Área de TI en cada reporte de monitoreo y evaluación de desempeño para SLA. 7. Verificar informe de OLA y comparar con la ejecución real de éste.
Página | 14
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
ADMINISTRAR LA CONFIGURACIÓN OBJETIVO DE AUDITORÍA Asegurar que las configuraciones de hardware y software de actividades claves de la empresa estén estructuradas en base a un repositorio de configuraciones pertinente, documentado, completo, actualizado y preciso con las necesidades de la empresa. RIESGOS
Reducción de operatividad por deficiencias en la definición y mantención de un repositorio central que contenga todos los elementos de la configuración. Discontinuidad de la disponibilidad por fallas en la identificación y actualización de elementos de configuración, producida por una ineficiente recolección de información. Pérdida de información por deficiencias en la revisión de la integridad de los datos de configuración.
SUB-OBJETIVOS
Asegurar que se haya definido y establecido un procedimiento de soporte y repositorio central que contenga toda la información relevante sobre los elementos de configuración y elementos de línea base de configuración de sistemas. Confirmar que se hayan establecido procedimientos de configuración para soportar la gestión, actualización y rastreo de todos los cambios al repositorio de configuración. Garantizar que se cumpla y mantenga la integridad de la configuración de los activos.
PRUEBAS A REALIZAR
REFERENCIA
AUDITOR
SUB-OBJETIVO 1 Asegurar que se haya definido y establecido un procedimiento de soporte y repositorio central que contenga toda la información relevante sobre los elementos de configuración y elementos de línea base de configuración de sistemas.
1. Comprobar que existe un repositorio central de gestión de configuraciones. 2. Comprobar que existen bases de referencia de configuración
Página | 15
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
controladas.
3. Verificar que el repositorio de configuraciones se haya elaborado en base a una metodología pertinente, adecuada o en base a las buenas prácticas de configuración de activos en línea con la empresa. 4. Revisar que las configuraciones de activos siguen la metodología establecida por el área de soporte. 5. Verificar que se haya establecido la definición del alcance y acuerdos de gestión para la configuración de los elementos configurables de los activos. 6. Verificar que el repositorio de configuraciones y las bases de referencia se hayan definido en base a las necesidades de configuración de activos y estén en línea con la operación de la empresa. 7. Comprobar que el repositorio de configuraciones sea aprobado y aceptado por el jefe de operaciones y esté adecuadamente documentado. 8. Validar que se haya establecido un sistema de soporte que contenga toda la información relevante sobre elementos de configuración de acuerdo con su alcance. 9. Verificar que el sistema de soporte contenga toda la información importante de configuración de acuerdo a su alcance. SUB-OBJETIVO 2 Confirmar que se hayan establecido procedimientos de configuración para soportar la gestión, actualización y rastreo de todos los cambios al repositorio de configuración. 1. Validar la existencia de un procedimiento que soporte la gestión de cambios del repositorio de configuraciones. 2. Validar la existencia de un procedimiento que soporte el rastreo y seguimiento de todos los cambios al repositorio de configuraciones.
Página | 16
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
3. Verificar que existe documentación que resguarda las solicitudes de cambio al repositorio de configuraciones. 4. Verificar que los cambios al repositorio de configuraciones tanto críticos como nimios estén adecuadamente documentados. 5. Comprobar que la documentación de procedimientos de gestión de cambios esté disponible para los responsables respectivos. 6. Comprobar que existe una constante monitorización sobre todos los elementos de configuración de los activos. 7. Comprobar que los cambios y actualizaciones de las configuraciones del repositorio sean efectivamente realizados. 8. Verificar que todos los cambios sobre activos se graban constantemente para mantener un repositorio actualizado. 9. Comprobar que el repositorio se mantiene actualizado constantemente con elementos de configuración que incluya los cambios autorizados. SUB-OBJETIVO 3 Garantizar que se cumpla y mantenga la integridad de la configuración de los activos. 1. Verificar que existe y se definen responsables encargados del repositorio de configuraciones. 2. Validar que los cambios realizados en el repositorio sean realizados bajo previa autorización de la persona o grupo de personas responsables. 3. Comprobar que se revisan los cambios propuestos a los elementos de configuración respecto de la base de referencia para garantizar su integridad y precisión. 4. Validar que los cambios en el estado de los elementos de configuración se contrastan con la base de referencia, para
Página | 17
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
verificar configuraciones sin autorización. 5. Comprobar que todos los cambios de configuración se enlacen con las peticiones de cambio para identificar cambios no autorizados. 6. Verificar que se revisen periódicamente los elementos de configuración en activos contra el repositorio de configuración comparando configuraciones físicas y lógicas. 7. Comprobar que se informen todas las desviaciones de las correcciones o acciones aprobadas para eliminar activos no autorizados. 8. Verificar que se revise constantemente el objetivo de completitud del repositorio de configuración basado en las necesidades del negocio. 9. Comprobar que se está comparando el grado de completitud y precisión de la configuración de los activos respecto a los objetivos, para mejorar la calidad de los datos del repositorio.
Página | 18
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
CONCLUSIÓN Si bien la guía COBIT 4.1 utilizada dentro de este trabajo es un marco de gobernanza y administración de las tecnologías de información, COBIT fue originalmente desarrollado como una guía para la ejecución de trabajos de auditoría de TI, constituida en base a un set de objetivos de control para procesos de TI. Asimismo, a través de este trabajo, se logra observar que la guía COBIT constituye una buena base para la elaboración de pruebas de auditoría dentro de un programa de trabajo, orientadas a evaluar la existencia y calidad de los controles sobre procesos y activos de TI en una organización, en este caso, evaluar procesos asociados a la entrega y soporte de servicios. Para asegurar su permanencia en el tiempo, las organizaciones deben conocer los requerimientos de sus clientes y entregar servicios en función de sus prioridades de negocio, dentro de este ámbito, la guía COBIT 4.1 cumple un rol esencial en auditoría de TI, optimizando controles internos sobre las tecnologías que dan soporte a los servicios ofrecidos, así como también ayudar a detectar y evaluar riesgos que no son mitigados por los controles actuales, y a dar un grado de seguridad razonable sobre el cumplimiento de los objetivos de negocio relacionados con la entrega de servicios. A partir del trabajo, se observa que, en primera instancia, los servicios deben contar con definiciones claras sobre el qué, el cómo y en qué medida van a ser entregados, motivo por el cual cobra importancia auditar la definición y administración de los niveles de servicio. Dentro de este aspecto, el principal rol de la auditoría informática es validar que los servicios de TI se encuentren alineados con los requerimientos de la organización, de modo que esta sea efectiva en alcanzar sus objetivos y metas estratégicas y en crear valor en el tiempo. Un segundo aspecto importante cubierto por el objetivo de Entregar y Dar Soporte (DS), es la administración del desempeño y la capacidad, que permite medir el cumplimiento de las metas establecidas respecto a los servicios ofrecidos y como los activos de TI permiten llevar a cabo dichos servicios. Para estos efectos, la auditoría informática aporta una mayor seguridad sobre la capacidad de los recursos de TI para soportar los requerimientos actuales y futuros del negocio, y cumplir con un cierto nivel de desempeño y monitoreo para los servicios ofrecidos. Finalmente, un último aspecto cubierto por este trabajo es la administración de la configuración, que representa un punto clave para la disponibilidad de los sistemas que dan soporte a los servicios ofrecidos, frente a lo cual, la labor de auditoría informática es validar que son conocidos todos los elementos de la configuración del sistema y servicios, de modo que estos puedan ser gestionados con mayor facilidad, ayudando a minimizar problemas y resolverlos más rápido Por último, cabe destacar la existencia de otros aspectos que no están dentro del alcance del programa de trabajo, pero que también son de importancia para la entrega y soporte de servicios, entre estos se pueden mencionar el grado de continuidad y seguridad de los servicios ofrecidos, la optimización de costos de TI y el grado de capacitación del personal sobre el uso eficiente, efectivo y seguro de los sistemas. Página | 19
UNIVERSIDAD DE CHILE AUDITORÍA TIC
PROGRAMA DE TRABAJO ENTREGAR Y DAR SOPORTE
Página | 20