Tema- Roles de trabajo colaborativo.

Plan de auditoria

Objetivo General. Evaluar el proceso y el módulo del software para matrícula académica, que garantice la confiabilidad, integridad y disponibilidad que permita adelantar los procesos del sistema de información en la dependencia Registro y Control Académico.

Alcance.  La auditoría se trabajó sobre el sistema de información del módulo de matrícula académica en línea que maneja la Universidad y los procesos que maneja la dependencia Registro y Control Académico.

En el módulo de matrícula académica se evaluó: Asignaturas a matricular del Pensum, Asignaturas a matricular de formación humanística, Matricular idiomas extranjeros, Cancelación de asignaturas del Pensum, Cancelación de formación humanísticas, Cancelación idiomas extranjeros, Autorizaciones, Reporte de Matrícula, Actualización de información, Calificaciones, Calendario Horarios, Horarios Humanística.

En cuanto al hardware: los procesos de actualización, mantenimiento y adquisición de servidores, terminales, dispositivos de red.

En cuanto al sistema de información: se evaluó la funcionalidad, procesamiento, seguridad de la base de datos, seguridad del sistema operativo y seguridad de la red, las entradas y salidas generadas por el sistema, la calidad de los datos de entrada, la configuración del sistema, la administración del sistema, y planes de contingencias.

En cuanto a la operatividad del sistema: se evaluó los usuarios que manejan la información, la administración del sistema y el monitoreo del sistema.

Programa de auditoría.  

Para realizar el proceso de auditoría al módulo del sistema de Matrícula de la Dependencia Registro y control académico, se utilizará la metodología COBIT, donde se seleccionan los dominios, procesos y algunos objetivos de control que están en relación directa con el objetivo y los alcances que han sido definidos en el plan de auditoría. Para poder hacer el programa de auditoría hay que tener listo la empresa seleccionada, la lista de los riesgos más frecuentes que se presentan en la empresa, y definidos el objetivo y alcances de la auditoría.

A continuación se presentan los dominios, procesos y objetivos de control relacionados directamente con el objetivo y los alcances determinados en el plan de auditoría.

Dominio: Planeación Y Organización (PO). Este dominio cubre las estrategias y las tácticas, tiene que ver con identificar la manera en que las tecnologías de información pueden contribuir de la mejor manera al logro de los objetivos de una entidad. Para ello los procesos que se realizaran y los objetivos de control que se van a evaluar son los siguientes:

PO1 Definir un Plan Estratégico de TI: La definición de un plan estratégico de tecnología de información, permite la gestión y dirección de los recursos de TI de acuerdo a las estrategias y requerimientos de la dependencia, los objetivos de control a evaluar son:

• PO1.3Evaluación del Desempeño y la Capacidad Actual: La dependencia de registro y control académico mantiene una evaluación periódica del desempeño de los planes implementados dentro de la entidad y de los sistemas de información encaminados a la contribución  del cumplimiento de los objetivos de la dependencia.

PO2 Definir la Arquitectura de la Información: Permite definir un modelo de información, con el fin de integrar de forma transparente las aplicaciones dentro de los procesos de la dependencia. Los objetivos de control que se evaluaran en este dominio son:

• PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos: es necesario que exista en la Dependencia un diccionario de datos, que este continuamente actualizado y que muestre como es la sintaxis de los datos que maneja la Universidad.
• PO2.3 Esquema de Clasificación de datos: En la Dependencia se debe establecer un marco de referencia de los datos, clasificándolos por categorías, y con la definición de normas y políticas de acceso a dichos datos.
• PO2.4 Administración de Integridad: El Centro de Informática de la Universidad debe definir e implementar aquellos procedimientos que permitan garantizar la integridad y consistencia de los datos almacenados.

PO4 Definir los Procesos, Organización y Relaciones de TI: Dentro del área de sistemas debe estar claro y definido el personal de la tecnología de la información, los roles, las funciones y responsabilidades, permitiendo el buen funcionamiento de servicios que satisfagan los objetivos de la Institución.

• PO4.6 Establecimiento de roles y responsabilidades: Evaluar el cumplimiento de los roles y las responsabilidades definidas para el personal de TI, en el área de sistemas (administradores de redes, administradores de servidores, supervisor de los indicadores de cumplimiento).
• PO4.7 Responsabilidad de Aseguramiento de Calidad de TI: Asignar la responsabilidad para el desempeño de la función de aseguramiento de calidad (QA) y proporcionar al grupo de QA sistemas de QA, los controles y la experiencia para comunicarlos. Asegurar que la ubicación organizacional, las responsabilidades y el tamaño del grupo de QA satisfacen los requerimientos de la dependencia.
• PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento: Establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel superior apropiado. Definir y asignar roles críticos para administrar los riesgos de TI, incluyendo la responsabilidad específica de la seguridad de la información, la seguridad física y el cumplimiento. Establecer responsabilidad  sobre la administración del riesgo y la seguridad a nivel de toda la dependencia para manejar los problemas a nivel de toda la Universidad. Puede ser necesario asignar responsabilidades adicionales de administración de la seguridad a nivel de sistema específico para manejar problemas relacionados con seguridad. Obtener orientación de la alta dirección con respecto al apetito de riesgo de TI y la aprobación de cualquier riesgo residual de TI.
• PO4.9 Propiedad de Datos y de Sistemas: Proporcionar a la dependencia los procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad sobre los datos y los sistemas de información. Los encargados toman decisiones sobre la clasificación de la información y de los sistemas y sobre cómo protegerlos de acuerdo a esta clasificación.
• PO4.10 Supervisión: Implementar prácticas adecuadas de supervisión dentro de la función de TI para garantizar que los roles y las responsabilidades se ejerzan de forma apropiada, para evaluar si todo el personal cuenta con la suficiente autoridad y recursos para ejecutar sus roles y responsabilidades y para revisar en general los indicadores clave de desempeño.
• PO4.13 Personal Clave de TI: Definir e identificar al personal clave de TI y minimizar la dependencia en un solo individuo desempeñando una función de trabajo crítica.

PO8 Administrar la Calidad: Se debe elaborar y mantener un sistema de administración de calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. Esto se facilita por medio de la planeación, implantación y mantenimiento del sistema de administración de calidad, proporcionando requerimientos, procedimientos y políticas claras de calidad. Los requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables. La mejora continua se logra por medio del constante monitoreo, corrección de desviaciones y la comunicación de los resultados a los interesados. La administración de calidad es esencial para garantizar que TI está dando valor a la información de la dependencia, mejora continua y transparencia para los interesados.

...