1. Dirección: Calle Capitan Ravelo
Telefonos: 654654
E-mail: asdfasdfasdf
Laa Paz - Bolivia
PROPUESTA TECNICA PARA LA REALIZACION DE AUDITORIA INFORMATICA EXTERNA GESTION
2012 PARA LA EMPRESA SCHARFF BOLIVIA S.R.L. EN SU DEPARTAMENTO DE TECNOLOGIA DE
INFORMACION Y COMUNICACIÓN (TIC)
ATENDIENDO A LA CONVOCATORIA PUBLICA SOLICITADA POR LA EMPRESA SCHARFF BOLIVIA
S.R.L. , PRESENTADA EL DIA 22 DE MAYO DE DOS MIL TRECE AÑOS, EN LA QUE SE PONE A
DISPOSICION DE EMPRESAS O FIRMAS CONSULTORAS LOS TERMINOS DE REFERENCIA EN BASE AL
DOCUMENTO BASE DE CONTRATACION DE SERVICIOS DE CONSULTORIA PARA AUDITORIA
EXTERNA, LA FIRMA CONSULTORA CEAIF CONSULTORES ASOCIADOS S.A., CONFORMADA POR UN
EQUIPO DE ALTO NIVEL PROFESIONAL, PRESENTA LA PROPUESTA TECNICA PARA SU EVALUACION
POR LA COMISION CALIFICACDORA, ESTABLECIDA PARA UN PROCESO QUE CONFIAMOS EN
PLENITUD, SE DESARROLLE DE FORMA TRANSPARENTE Y MIDIENDO ECUÁNIMAMENTELAS
CAPACIDADES TECNICAS DE CADA EMPRESA SOLICITANTE.
I. PRESENTACION DE LA CONSULTORA: CEAIF CONSULTORES S.A.
CEAIF Consultores S.A., es una empresa pionera en la prestación de servicios informáticos PYMES
y corporativos, creada para garantizar la seguridad y correcto funcionamiento de sus sistemas,
permitiéndole a los empresarios y directivos centrarse en sus negocios. Desde hace más de 5 años
presta servicios a reconocidas empresas de plaza en los rubros de Soporte e Instalaciones,
Seguridad informática, Consultoría informática, Auditoría informática, Monitoreo preventivo,
Tercerización de servicios, Virtualización, Licenciamiento de software entre otros.
CEAIF Consultores S.A.,presta sus servicios en forma altamente personalizada, comprendiendo
que cada empresa es única, creando una solución a la medida de cada necesidad. Somos
especialistas en identificar y entender las necesidades informáticas de nuestros clientes para
ofrecerles la mejor solución integral.
La alta calidad y confiabilidad de los servicios prestados por CEAIF Consultores S.A., como así
también su extensa trayectoria la convierte en uno de los principales referentes de plaza en un
tema imprescindible hoy en día, como es la Seguridad Informática.
Cuenta con un staff de profesionales altamente calificados, instalaciones propias y herramientas
para la verificación y evaluación de procesos.
CEAIF Consultores S.A., es miembro de las más prestigiosas asociaciones nacionales e
internacionales dedicadas a la Auditoria Informática manteniéndonos actualizados e
implementando permanentemente las últimas recomendaciones emanadas de las mismas.
SEI Carnegie Mellon Software Engineering Institute
ADACSI Asociación de Auditoria y Control de Sistemas de Información
ISACA Information Systems Audit and Control Association
2. Dirección: Calle Capitan Ravelo
Telefonos: 654654
E-mail: asdfasdfasdf
Laa Paz - Bolivia
II. MISION
Aspiramos a ser líderes en prestación de Servicios Profesionales Especializados en
Auditoria Informática y Forense, y que nuestros clientes nos identifiquen como
verdaderos soportes para el logro de sus objetivos.
III. VISION
Consecuentes con nuestro propósito nos esforzamos por ofrecer soluciones oportunas e
innovadoras con visión de futuro, que permitan Crecimiento, Rentabilidad y Proyección
para nuestros clientes; dentro de un ambiente de interrelación, compromiso y
confidencialidad, sin descuidar la Responsabilidad Social Empresarial.
3. Dirección: Calle Capitan Ravelo
Telefonos: 654654
E-mail: asdfasdfasdf
Laa Paz - Bolivia
1. ANTECEDENTES
Scharff Bolivia es un operador Logístico legalmente establecido en nuestro país con la matrícula de
comercio 00126366 que presta sus servicios desde el año 2000.
Scharff Bolivia brinda servicios de distribución, almacenamiento, transporte de carga sobre
dimensionada, servicio expreso nacional y metropolitano habiéndose posicionado como una de la
principales empresas de Courier en nuestro país.
Actualmente cuenta con oficinas en la ciudades de La Paz, Cochabamba y Santa Cruz, contando
también con oficinas en los aeropuertos internacionales de El Alto y ViruViru.
Scharff Bolivia, cuenta en su organización funcional con el departamento TIC, el cual tiene como
organigrama funcional:
2. ENFOQUE
El desarrollo de los procesos, bajo eficientes medidas de control y productividad son hoy dos de
los principales objetivos que persigue una empresa moderna.
Así como la Auditoría Contable controla los sistemas y registros de su contabilidad, la Auditoría
Informática es la encargada de verificar que los sistemas y procesos informáticos funcionen
adecuadamente para las objetivos que han sido programados y sus activos digitales se encuentren
debidamente protegidos.
Muchas empresas no conocen los recursos tecnológicos que poseen o no los utilizan
adecuadamente, lo que les representa ineficiencia en sus procesos.
La Auditoria a realizar se enfoca en la:
4. Dirección: Calle Capitan Ravelo
Telefonos: 654654
E-mail: asdfasdfasdf
Laa Paz - Bolivia
Revisión y evaluación de los sistemas, procedimientos y controles informáticos;
Revisión del equipamiento, utilización, eficiencia y seguridad
Relevamiento del personal interviniente en todos los procesos informáticos, a efectos de
recomendar las mejoras necesarias para una utilización más eficiente y segura de los
sistemas informáticos.
Esto le permitirá confiar en la información que los mismos le brindan y tomar mejores decisiones
para el Departamento TIC de Scharff Bolivia.
Las áreas sujetas a Auditoría Informática son, entre otras:
Hardware
Redes y Comunicaciones
Infraestructura eléctrica
Soporte y Mantenimiento
Seguridad Lógica y Física
Software
Desarrollo de sistemas
Procesamiento de datos
Normas, Procedimientos y Documentación
Recursos humanos intervinientes en los procesos informáticos y sus
responsabilidades.
Costos
Todos los procedimientos se hacen de acuerdo a las normas internacionales vigentes en la materia
y con personal certificado por reconocidas Asociaciones Internacionales.
CEAIF S.A. Consultores es miembro de las siguientes Asociaciones Internacionales que agrupan a
las más prestigiosas empresas de Auditoria Informática:
SEI Carnegie Mellon Software Engineering Institute
ADACSI Asociación de Auditoria y Control de Sistemas de Información
ISACA Information Systems Audit and Control Association
3. OBJETIVO GENERAL
Realizar la Auditoria Externa a la empresa Operadora de Logistica SCHARFF S.R.L. Bolivia, de
acuerdo a Normas de Auditoria (NAGAS), y normas para la evaluación, control y procesos de la
auditoria enmarcados en los modelos de COBIT, ITIL e ISO 27000.
4. OBJETIVOS ESPECIFICOS
Determinar los puntos y áreas a ser evaluados en el Departamento TIC de acuerdo al
organigrama presentado por la empresa.
5. Dirección: Calle Capitan Ravelo
Telefonos: 654654
E-mail: asdfasdfasdf
Laa Paz - Bolivia
Elaborar el plan, programas y presupuesto para realizar la auditoria externa en las
distintas áreas del Departamento TIC.
Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos
necesarios de acuerdo a las normas COBIT 5, ITIL e ISO 27000, para la realización de la
auditoria en el Departamento TIC.
Asignar recursos y sistemas computacionales para la auditoria.
5. ALCANCE DE LA AUDITORIA
La Auditoria Externa se efectuara de acuerdo a normas de Auditoria Informática Generalmente
Aceptadas a nivel internacional.
Aplicación de las normas COBIT, ITIL, ISO 27000 las cuales están alineadas de acuerdo a aun
estudio y realizado por parte de nuestra consultora.
La Auditoria se enmarcará entorno a la composición del organigrama funcional del departamento
de TIC y las políticas y procedimientos de la empresa.
La planeación de programas se realizará de acuerdo a las normas de calidad y leyes del país.
Ejecución de las metodologías y programas desarrollados en la planeación, para la evaluación,
control, medición y monitoreo de las mismas.
6. METODOLOGIA Y HERRAMIENTAS
6.1 METODOLOGIA
Nuestra metodología está basada en el alineamiento de los modelos de COBIT, ISO 27000, ITIL,
pues actualmente estas normas pueden complementarse para el desarrollo, medición y
procedimientos para la auditoria informática.
A continuación mostramos un resumen del esquema en cual se muestran los lineamientos para
llevar a cabo la auditoria con las normas ya mencionadas:
6. Dirección: Calle Capitan Ravelo
Telefonos: 654654
E-mail: asdfasdfasdf
Laa Paz - Bolivia
Alineamiento COBIT, ISO 27000, ITIL
Estos se relacionan de esta forma:
Relacionamiento entre COBIT, ISO 27000, ITIL
La base para iniciar la metodología para la auditoria son los Dominios del modelo COBIT, lo cuales
son:
7. Dirección: Calle Capitan Ravelo
Telefonos: 654654
E-mail: asdfasdfasdf
Laa Paz - Bolivia
Planeación y Organización
Adquisición e Implementación
Entrega de Servicios y Soporte
Monitoreo
Definir un plan estratégico de sistemas
Definir la arquitectura de información
Determinar la dirección tecnológica
Definir la organización y sus relaciones
Administrar las inversiones (en TI)
Comunicar la dirección y objetivos de la gerencia
Administrar los recursos humanos
Asegurar el apego a disposiciones externas
Evaluar riesgo
Administrar proyectos
Administrar calidad
Identificar soluciones de automatización
Adquirir y mantener software de aplicación
Adquirir y mantener la arquitectura tecnológica
Desarrollar y mantener procedimientos
Instalar y acreditar sistemas de información
Administrar cambios
Definir niveles de servicio
Administrar servicios de terceros
Administrar desempeño y capacidad
Asegurar continuidad de servicio
Garantizar la seguridad de sistemas
Identificar y asignar costos
Educar y capacitar a usuarios
Apoyar y orientar a clientes
Administrar la configuración
Administrar problemas e incidentes
Administrar la información
Administrar las instalaciones
Administrar la operación
Monitorear el proceso
Evaluar lo adecuado del control interno
Obtener aseguramiento independiente
Proporcionar auditoría independiente
DOMINIO PROCESO
8. Dirección: Calle Capitan Ravelo
Telefonos: 654654
E-mail: asdfasdfasdf
Laa Paz - Bolivia
En cada Dominio del Modelo COBIT se puede llevar a cabo la evaluación, control, documentación y
monitoreo de los procesos de acuerdo a la serie de Normas ISO27000, como se muestra en el
siguiente diagrama de procesos:
Para mejorar los ciclos de vida de los servicios, encontramos a ITIL V3, que es el desarrollo más
significativo, porque se basa en los procesos, el ciclo de vida de este modelo es:
Ciclo de Vida por Proceso - ITIL
9. Dirección: Calle Capitan Ravelo
Telefonos: 654654
E-mail: asdfasdfasdf
Laa Paz - Bolivia
TOPICOS PRINCIPALES DE ITIL
6.2 TECNICAS Y HERRAMIENTAS
6.2.1 TECNICAS
La Consultora CEAIF S.A. Consultores, tiene por herramientas, sistemas basados en normas como
ser el Software Especializado para Auditoria IDEA, y contamos con un sistema online, en el cual
realizamos las siguientes técnicas de recuperación de información:
Extensión del
Involucramiento entre el
auditor y el Auditado
Ubicación del Auditor
En sitio Remota
Interacción Humana
Realización de entrevistas.
Llenado de listas de
verificación y
cuestionarios con la
participación del
auditado.
Revisión de documentos
con la participación del
auditado.
Vía medios de comunicación.
Realización de entrevistas.
Llenado de listas de
verificación y cuestionarios
Revisión de documentos con
la participación del auditado.
Sin Interacción Humana
Observación del trabajo
desempañado
Revisión de documentos
Observación del trabajo
10. Dirección: Calle Capitan Ravelo
Telefonos: 654654
E-mail: asdfasdfasdf
Laa Paz - Bolivia
Visita al sitio.
Llenado de listas de
verificación.
Muestreo.
Revisión de documentos
(registro).
realizado, vía medios de
comunicación.
Las actividades en sitio de la auditoria se realizan en las instalaciones del auditado. Las actividades
remotas de la auditoria se realizan en cualquier lugar fuera de las instalaciones del auditado.
Las actividades interactivas de la auditoria involucran la interacción entre el personal del auditado y el
equipo auditor. Las actividades no interactivas de la auditoria no involucra la interacción humana con las
personas que se auditan pero si involucra la interacción con equipo, instalaciones y documentación.
6.2.2 HERRAMIENTAS
Backup y copias espejos de discos duros y medios removibles.
Software de búsqueda de archivos.
Google Desktop.
Software de Recuperación de archivos borrados.
Análisis de la memoria Ram.
Análisis de la red.
Actividad del equipo.
Borrado definitivo.
Búsqueda de mails, historial de internet, chats.
Otros: Encase Forensic, Kali Linux, Maltego,impresiones.