Auditoría computacional

Anuncio
UNIVERSIDAD DIEGO PORTALES
FACULTAD DE CIENCIAS DE LA INGENIERIA
INGENIERIA EN EJECUCIÓN INFORMATICA DE GESTION
AUDITORIA COMPUTACIONAL
COBIT
INTER ELECTRIC LTDA.
INFORME FINAL
INTRODUCCIÓN
El presente informe, entrega los antecedentes recogidos a la Empresa INTER ELECTRIC LTDA; la cual nos
ha solicitado realizar una Auditoria al Área Informática de esta entidad.
ANTECEDENTES GENELANES:
Nombre Empresa: INTER ELECTRIC LIMITADA.
Giro Comercial: Producción y Venta de Artículos Electrónicos.
MISION
INTER ELECTRIC, una de las principales empresas dedicada a la producción y venta de artículos
electrónicos del mercado, en su mayoría sus productos son construidos en sus dependencias o armados en
Chile.
VISION
Dada sus expectativas económicas, pretende abrir subsidiarias a nivel nacional: en Viña del Mar, Temuco,
Iquique, Concepción, de ellas pretende ganar posibles aperturas hacia mercados de Latinoamericano.
SERVICIOS
INTER ELECTRIC cuenta con los siguientes servicios:
• Automatización de Riego.
• Proyecto e Instalaciones Eléctricas en Alta y Baja Tensión.
• Montaje y Mantención de Equipos e Instalaciones.
• Empalmes Monofásicos, Trifásicos, At, Bt, Aéreos y Subterráneos.
• Diseño y Mediciones de Mallas de Tierra.
• Instalación de Redes de Computación.
• Refrigeración.
• Venta de Artículos Eléctricos en General.
OBJETIVOS
1
El objetivo principal de INTER ELECTRIC LTDA; es mantenerse en el tiempo como una empresa
competitiva, solvente y totalmente confiable con sus clientes. Para esto la empresa constantemente debe estar
a la vanguardia con la tecnología existente en el momento en el mercado referida a material y artículos
eléctricos. Potenciando y abasteciendo de la forma mas rápida y constante las distintas sucursales de la
empresa. Para así lograr en un tiempo no muy lejano lograr expandir sus fronteras.
PLANEACION Y ORGANIZACION
DEFINICIÓN DE UN PLAN ESTRATÉGICO DE TECNOLOGÍA DE INFORMACIÓN
Empresa
INTER ELECTRIC posee equipamiento computacional que le permitirá desarrollar las proyecciones de abrir
subsidiarias, pero se encuentra con problemas logísticos debido a la ineficiencia con la cual utiliza dicho
recurso. El personal que posee para solventar y las políticas que presenta en todas las áreas en las cuales
utiliza tecnología de información es insuficiente y/o mal administrada.
Evaluación Sistemas y Aplicaciones
• Comprobar existencia de niveles de seguridad de los equipos.
• Comprobar seguridad en aplicaciones tanto en su transferencia como en su uso.
• Verificar existencia políticas de acceso y protección de las aplicaciones.
• Verificar si los usuarios tienen correctamente asignado el software correspondiente.
• Analizar operaciones, funciones de la red.
• Analizar existencia de manuales de los sistemas y aplicaciones.
DEFINICIÓN DE LA ARQUITECTURA DE LA INFORMACIÓN
Evaluación equipamiento computacional
• Verificar políticas de mantención, estado, características de los equipos.
• Verificar Planes de Contingencia, para la mantención adecuada de la información.
• Verificar Políticas de Seguridad para el Servidor y para el resto de los P.C.
• Verificar responsabilidad del uso adecuado del equipamiento computacional.
Evaluación a Sistema de comunicación.
• Verificar existencia de topologías adecuadas en la transmisión de los datos.
• Verificar Normas de Seguridad en la transmisión de los datos.
• Verificar Políticas en el uso adecuado de las comunicaciones.
• Verificar nivel de respuesta de los sistemas.
2
• Evaluar conocimiento respecto a la administración de los sistemas de comunicación.
Evaluación de las Instalaciones
• Verificar la existencia de normas de seguridad relativas a su mantenimiento
• Revisar plan de contingencias ante hechos de riesgo en que sea necesario evacuar el edificio.
• Verificar estado, seguridad, distribución de las instalaciones eléctricas en red fija.
• Verificar estado en que se encuentra el actual edificio Central.
• Políticas de mantenimiento de las instalaciones.
DETERMINACIÓN DE LA DIRECCIÓN TECNOLOGICA
Distribución Geográfica:
La Empresa INTER ELECTRIC cuenta con una Casa Central y 4 Sucursales:
Casa Central ubicada en la ciudad de Santiago, las sucursales se encuentran en:
• Iquique
• Viña del Mar
• Concepción
• Temuco
Distribución Física:
Empresa INTER ELECTRIC presenta la siguiente distribución en su Planta del Edificio Central:
Departamento
Departamento de
Desarrollo Mantención
Gerencia de Informática
Operaciones
Sistemas
Planificación de la
Departamento
Producción
Contable
Clientes:
Remuneraciones
Departamento de Ventas
−Empresa
−Casino
Bodega de
Estacionamientos Subterráneo
Materiales
DEFINICIÓN DE LA ORGANIZACIÓN Y DE LAS RELACIONES DE LA TECNOLOGÍAS DE LA
INFORMACION
COMITE INFORMATICO:
3
En cuanto, al Recurso Humano existente en el área de Informática se compone de la siguiente forma:
• Efectuar dos copias a los respaldos, una permanece en Operaciones y la otra es entregada a una
Empresa Externa, dedicada al almacenamiento de cintas magnéticas; SEGUR.
• Niveles jerárquicos y funcionalidad definidas, como se muestra en el organigrama.
COMUNICACIÓN DE LA DIRECCIÓN Y ASPIRACIONES DE LA GERENCIA
Existe un ambiente positivo en las actualizaciones del equipamiento por parte de la gerencia, para seguir
dentro del mercado de los productos eléctricos.
Gerencia General junto con Gerencia de Informática, están encargadas de formular y reformular las políticas
informáticas dentro de la empresa.
La comunicación de las políticas de informáticas es a través de cada jefatura y el cumplimiento de ellas.
Se con una Planificación Informática, elaborada en base a las Políticas Estratégicas de la empresa.
ADMINISTRACIÓN DE RECURSOS HUMANOS
Evaluación Recurso Humano
El reclutamiento y promociones del personal de esta empresa, es a traves de cuestionarios y evaluaciones y
calificaciones semestrales.
• Cumplimiento de las políticas de la empresa
• Nivel de desempeño de la labor realizada
Existe una alta rotación del personal en soporte de usuarios y tecnologías de información, lo cual permite
involucrarse a fondo verificar el nivel de desempeño de cada persona.
• Verificación nivel de responsabilidad del personal de cada departamento, a través de asignación de
cargos
• Nivel de capacitación y/o estudios del personal.
• Políticas en el uso de Claves de acceso y de Atributos para operadores y usuarios.
• Establecer funcionalidades de cada departamento.
• Establecer persona responsable de la administración de la red.
RECURSO HUMANO
4
(cuestionarios Recurso Humano)
Modelo Optimo
INTER ELECTRIC LTDA. contempla abrir nuevas subsidiarias, para ello lo más importante es contar con el
personal capacitado y cantidad necesaria para satisfacer las demandas en el ámbito informático que requerirá.
Pruebas de Cumplimiento
Prueba N° 1
Objetivo: Verificación de las funciones y responsabilidad del
personal.
Comprobación: Entrevista a Gerente de Informática, Jefe
Desarrollo/Mantención de Sistemas, Operaciones y
Encargado de Soporte de Usuarios.
Comentario: Al existir jefes encargados de cada área a quienes
responsabilizar, personas capacitadas para el cargo, existe una disfunción en el área de Usuario, la cual no es
considerado preponderante dentro de la Gerencia de Informática. Cada uno de los funcionarios, conoce sus
limitantes y funciones que debe desarrollar.
Pruebas Sustantivas
Prueba N° 1
Objetivo: Verificación de conocimiento y capacidad del personal.
Comprobación: Entrevista a Encargado de Soporte de Usuarios.
Comentario: Personal se obtiene desde Institutos Profesionales, lo que demuestra la inexistencia de personal
con experiencia en el área de soporte de usuarios y por ende, desconocimiento de la problemática de la
organización, transcurrido el tiempo de utilización de los sistemas..
Prueba N° 2
Objetivo: Desconocimiento o falencias en el desarrollo de sistemas
Comprobación: Entrevista a Encargado de Soporte de Usuarios.
Comentario: Debido a las constantes fallas del nuevo sistema implementado queda de manifiesto la
problemática de conocimientos avanzados en el desarrollo de sistemas
Prueba N° 3
Objetivo: Inexistencia de procedimientos de trabajo.
5
Comprobación: Entrevista a Jefe de Desarrollo/Mantención de Sistemas.
Comentario: La poca utilización de la metodología de desarrollo de sistemas y mantenciones consume al
personal en su totalidad en trabajos que importancia ínfima por no establecer procedimientos de trabajo.
Prueba N° 4
Objetivo: Verificación de alta rotación del personal.
Comprobación: Entrevista a Encargado de Soporte de Usuarios.
Comentario: Personal que se utiliza es por lo general personal de reemplazo de Institutos Profesionales,
quienes no tienen el conocimiento necesario de la organización para el desarrollo de las tareas asignadas.
EVALUACION DE RIESGO
Objetivo General
Por ser esta la primera Auditoria Computacional a INTER ELECTRIC, a través de ella evaluaremos el
Entorno Informático de ésta, con el objeto de determinar los puntos críticos, y como afectan estos para el
desarrollo de las tareas de la organización y como apoya Informática los objetivos organizacionales. Para que
dicho objetivo general se cumpla se evaluarán la red de área Local (LAN) y metodología de trabajo para
determinar el grado de cumplimiento de la seguridad, privacidad, confiabilidad, e integridad de la información
utilizada en la gestión de la empresa.
Objetivos Específicos
• Evaluar la Planificación Informática, Plan de Contingencia, la Metodología de Desarrollo de Sistemas,
Política Informáticas y Manuales de Procedimientos con el objeto de implementación de nuevos sistema de
equipamiento y trabajo.
• Evaluar las comunicaciones de la red, para medir transferencia de archivos y tener la seguridad que lleguen
en forma íntegra los datos.
• Evaluar políticas y normas de seguridad de uso de los equipos, con personal calificado y autorizado con el
objeto de medir la seguridad de operación en la empresa.
• Evaluar estados de los equipos y conexiones de Red, para crear una distribución lógica y coherente de los
escritorios y equipos, al no contar con planes de mantención.
• Evaluar el software utilizado, con el objeto de verificar su confiabilidad operacional, y funcionalidad de la
información que resulte de los procesos.
SEGUNDO ANÁLISIS DE RIESGO
MATRIZ de RIESGO
Subproceso
Riesgo
Pérdida de tiempo y recursos
Implementación de
por desconocimiento del
nuevos sistemas
sistema, software, capacidad
de respuesta de estos.
Respaldos en el área Inexistencia de lugar
de operaciones
específico y seguro para ellos
Conexión al único
Colapso de la red, dada la
servidor central IBM cantidad de equipos
Probabilidad
Consecuencia
Probable
Alta
Probable
Alta
Probable
Alta
Score
6
conectados a ella, lentitud en
tiempo de respuesta
La inexistencia de
mantenciones a PC hace que
Mantenciones
Probable
se encuentren con problemas
constantes
Realizar programas de
Comunicación entre explotación sin haber
usuario y jefe
comprendido personalmente Probable
desarrollo
los requerimientos, solo por
escrito
Vulnerabilidad de la
información a terceros sin
autorización pudiendo ser
mal utilizada, pérdida de
Seguridad en
información o modificación
equipos(accesos,
Probable
de datos claves. La
virus)
inexistencia de aplicaciones
de antivirus permite que se
puedan perder información
y/o incapacitar a los equipos
Accesibilidad a última Lentitud en el acceso, pérdida
versión de programas de tiempo, ya que no se
Probable
fuentes
encuentran a la vista
Desconocimiento en su
utilización por parte de los
usuarios, genera problemas
Utilización de los
Probable
de mantenimiento
equipos
innecesarios y/o inutilización
de ellos
Mala distribución y la
inexistencia de red fija para
Instalar conexiones
para los Pc. (a través ellos, puede llevar a quemar Probable
los equipos, pérdida de
de alargadores)
información.
Alta
Media
Alta
Media
Alta
Alta
MATRIZ de CONTROL
Subproceso
Riesgo
Pérdida de tiempo y recursos
Implementación de
por desconocimiento del
nuevos sistemas
sistema, software, capacidad
de respuesta de estos.
Inexistencia de lugar
Respaldos en el área
específico y seguro para
de operaciones
ellos
Colapso de la red, dada la
Conexión al único
cantidad de equipos
servidor central IBM conectados a ella, lentitud en
tiempo de respuesta
Control
Clasificación
Efectividad
Correctivo
Computacional
Pobre
Correctivo
Computacional
Bueno
Correctivo
Computacional
Pobre
7
La inexistencia de
mantenciones a Pc hace que
Mantenciones
se encuentren con problemas
constantes
Realizar programas de
Comunicación entre explotación sin haber
usuario y jefe
comprendido personalmente
desarrollo
los requerimientos, solo por
escrito
Vulnerabilidad de la
información a terceros sin
autorización pudiendo ser
mal utilizada, pérdida de
Seguridad en
información o modificación
equipos(accesos,
de datos claves. La
virus)
inexistencia de aplicaciones
de antivirus permite que se
puedan perder información
y/o incapacitar a los equipos
Accesibilidad a última Lentitud en el acceso,
versión de programas pérdida de tiempo, ya que no
fuentes
se encuentran a la vista
Desconocimiento en su
utilización por parte de los
usuarios, genera problemas
Utilización de los
de mantenimiento
equipos
innecesarios y/o inutilización
de ellos
Mala distribución y la
inexistencia de red fija para
Instalar conexiones
para los Pc. (a través ellos, puede llevar a quemar
los equipos, pérdida de
de alargadores)
información.
Preventivo
Manual
Excelente
Correctivo
Manual
Excelente
Preventivo
Computacional
Excelente
Detectivo
Dependiente
Computador
Bueno
Detectivo
Manual
Excelente
Correctivo
Manual
Excelente
ADMINISTRACIÓN DE CALIDAD
Considerar una Metodología de Desarrollo de Sistemas, la cual define los ciclos de vida de un proyecto.
Conocimiento de desarrollo de sistemas por los reiterativos y constantes mantenciones a los sistemas.
Alta demanda de usuarios por mantenciones de los sistemas, lo cual permite utilizar la metodología de
desarrollo de sistemas actualizadas.
Existe un formulismo para cambios a los programas en explotación, esto afecta a cualquier requerimiento de
cambio que tenga una relevancia importante y/o urgente.
INSTALACIONES
(cuestionario de Instalaciones)
Pruebas de Cumplimiento
8
Prueba N° 1
Objetivo: Disponibilidad de productos en bodega.
Comprobación: Entrevista a Jefe de Operaciones.
Comentario: Por la conexión y enlace existente entre los diferentes procesos y archivos que involucran una
compra y venta, se tiene el stock necesario en las instalaciones de la empresa, para distribuirlas cuando sea
pertinente.
Pruebas sustantivas
Prueba N° 1
Objetivo: Verificación de Respaldos y copia.
Comprobación: Entrevista a Gerente de Informática.
Comentario: No poseer un área física especial para el resguardo de las copias a los respaldos, incurre en un
riesgo para la información contenidas en ellas, ya que las instalaciones no tienen los elementos necesarios
para su seguridad.
Prueba N° 2
Objetivo: Distribución Física de lo equipos.
Comprobación: Entrevista a Encargado de Soporte de Usuarios.
Comentario: No permite el edificio una reestructuración mejor de sus espacios, dado que no se puede realizar
modificaciones, lo que dificulta la instalación permanente de los equipos.
Prueba N° 3
Objetivo: Verificación de instalaciones eléctricas.
Comprobación: Entrevista a Encargado de Soporte de Usuario.
Comentario: Se realizan ampliaciones y conexiones de equipos a través de alargadores, sin el debido
resguardo de instalaciones seguras. y resguardadas.
Prueba N° 4
Objetivo: Verificación de compromiso de los usuarios con los equipos.
Comprobación: Entrevista a Encargado de Soporte de Usuario.
Comentario: Funcionarios se alimentan en el mismo lugar donde se encuentran los equipos, se reparó uno
por la derrame de café en él.
ADQUISICIÓN E IMPLEMENTACION
IDENTIFICACIÓN DE SOLUCIONES
9
INTER ELECTRIC, identifico las posibles soluciones para llevar con éxito los objetivos propuestos y apoyar
la gestión de control,
Realizar Plan Informático acorde a las nuevas necesidades de la empresa, en el cual se contemple el soporte
que se deberá ofrecer a las nuevas subsidiarias que se tienta abrir.
Desarrollar Políticas de Contratación de Personal para evitar rotación de éste y conjuntamente realizar estudio
interno de los motivos de la deserción a la empresa.
Realizar un catastro de la cantidad de equipos en los diferentes departamentos en los cuales se encuentran y
buscar la distribución más óptima de éstos para poder desarrollar una instalación eléctrica de suministro de red
fija.
Realizar capacitación básica a los usuarios de los equipos, para crear en ellos un ambiente amigable y
disminuir los requerimientos de mantención por problemas simples( falta de papel en impresoras, etc.).
Realizar respaldos quincenalmente y no semanalmente,
Comprar como mínimos tres servidores más para el apoyo de la Red, uno para uso exclusivo de Firewall y el
segundo para dividirse con el existente la cantidad de usuarios dependientes.
Contratar una persona dedicada exclusivamente como Administrador de la Red.
Establecer como política de mantención bitácoras de los problemas que se suscitan con los equipos.
ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN
Software utilizado, no sirva para solventar las necesidades de la empresa, con lo cual puede verse sobrepasada
por la información que emanarán además, de las posibles subsidiarias,
Actualizaciones en versiones respecto de las aplicaciones y lenguaje que tienen una vida útil establecidas,
resten competitividad frente al mercado.
La demora en la emisión de facturas, de 30 a 45 días dependiendo de la modalidad.
Ausencia de antivirus en los PC., y si lo hubiera, no existe un plan de actualización.
No contar con planes de mantención para los PC. y Servidores.
Ineficiencia en el respaldo de la información en cintas magnéticas.
ADQUISICIÓN Y MANTENIMIENTO DE ARQUITECTURA DE TECNOLOGIA
Equipamiento computacional de última generación para sus 150 estaciones de trabajo cuentan con
procesadores PENTIUM III, tarjetas emuladoras de procesamiento centralizado, herramientas que permitirán
solventar el crecimiento de la empresa.
Tres equipos como servidor(cliente/servidor) para la red de 150 equipos.
Software, para ventas con la información que emanarán además, de las posibles subsidiarias,
Actualizaciones en versiones respecto de las aplicaciones y lenguaje .
10
Software de emisión de facturas.
Software de antivirus en los PC., y Servidor, con un plan de actualización.
Revisión de Instalaciones eléctricas, ya que se encuentran resguardadas de los usuarios.
Instalación de una topología para la red.
Sistema de Venta estrechamente ligado con otros sistemas y aplicaciones, los cuales afectan dichas ventas
como son: Materiales, Producción, Clientes
HARDWARE
(Cuestionarios de Hardware)
Pruebas de Cumplimiento
Prueba N° 1
Objetivo: Verificación de Equipamiento computacional.
Comprobación: Entrevista a Gerente de Informática.
Comentario: 150 estaciones de trabajo cuentan con procesadores PENTIUM III, tarjetas emuladoras de
procesamiento centralizado, herramientas que permitirán solventar el crecimiento de la empresa., más un
equipo central IBM, concepto cliente/servidor.
Prueba N° 2
Objetivo: Mantención a equipo central.
Comprobación: Entrevista a Gerente de Informática.
Comentario: Se tiene contrato con el proveedor del equipo con realiza mantenciones cada 6 meses.
Pruebas Sustantivas
Prueba N° 1
Objetivo: Verificación de un solo equipo central.
Comprobación: Entrevista a Gerente de Informática.
Comentario: El equipo central debe dar abasto a las 150 estaciones de trabajo, lo que conlleva un uso
excesivo y lento de este.
INSTALACIÓN Y ACREDITACION DE SISTEMAS
SISTEMAS Y APLICACIONES
Modelo optimo
11
Se considera como óptimo el contar cada 50 PC. Conectados a un servidor modalidad cliente/servidor. La red
LAN que se tiene debe responder a las necesidades de seguridad, velocidad, capacidad, seguridad de acceso a
ellas y los sistemas y aplicaciones que en ella corren.
Pruebas de cumplimiento
(Cuestionario de Sistemas y Aplicaciones)
Prueba N°1
Objetivo: Verificar existencia de Planificación Informática.
Comprobación: Entrevista a Gerente de Informática.
Comentario: Se cuenta con una Planificación Informática, se está
implementando desde hace 8 meses nuevos sistemas
dentro de todas las áreas.
Prueba N° 2
Objetivo: Verificación de respaldos.
Comprobación: Entrevista a Gerente de Informática.
Comentario: Se realizan respaldos diarios, semanales, mensuales y
anuales.
Prueba N° 3
Objetivo: Verificación de copias.
Comprobación: Entrevista a Gerente de Informática.
Comentario: Se efectúan dos copias de los respaldos, una queda en el
área de operaciones y el otro en una empresa externa
SEGUR.
Prueba N° 4
Objetivo: Verificación de Metodología de Desarrollo de Sistemas.
Comprobación: Entrevista a Jefe Desarrollo/Mantención de Sistemas.
Comentario: A pesar de contar con una metodología, esta no se utiliza
debido al alto volumen de mantenciones.
12
Pruebas Sustantivas
Prueba N° 1
Objetivo: Verificación conocimiento de versión y atributos del
software.
Comprobación: Entrevista a Gerente de Informática.
Comentario: Aplicación en lenguaje Cobol, desde hace 5 años con
formato fecha de dos dígitos.
Prueba N° 2
Objetivo: Verificación de conocimiento de desarrollo de sistemas.
Comprobación: Entrevista a Jefe de Desarrollo/Mantención de Sistemas.
Comentario: Reiterados mantenciones a los nuevos sistemas,
desarrollados por personal interno.
Prueba N° 3
Objetivo: Verificación de respaldos semanales.
Comprobación: Entrevista a Gerente de Informática.
Comentario: Se realiza respaldos semanal, pero que a la próxima
semana son borrados por una nueva grabación semanal.
Inutilización efectiva de recursos.
Prueba N° 4
Objetivo: Existencia de un solo servidor.
Comprobación: Entrevista a Gerente de Informática.
Comentario: Equipo central IBM concepto cliente/servidor, con 150
estaciones de trabajo conectadas a él.
Prueba N° 5
Objetivo: Verificación de excesivo formulismo en requerimientos.
Comprobación: Entrevista a Jefe de Desarrollo.
13
Comentario: Para la realización de cambios en los programas de
explotación se de llenar formularios preestablecidos, que
recibe el jefe de Desarrollo/Mantención de Sistemas y
luego por el analista. Se deja de lado conocimiento
personal de los problemas suscitados entre los usuarios y
los encargados de desarrollarlos.
Prueba N° 6
Objetivo: Verificación de topologías de red.
Comprobación: Entrevista a Encargado de Soporte de Usuarios.
Comentario: Se realizan constantes reubicaciones de los equipos, dada
la falta de una claridad en la distribución lógica y física de
ellos.
Prueba N° 7
Objetivo: Verificación de inexistencia de seguridad lógica.
Comprobación: Entrevista a Encargado de Soporte de Usuario.
Comentario: Debido a la existencia de seguridad solamente por la que
tiene el sistema, no existe una actualización de los
software de antivirus existentes en el mercado.
ENTREGA DE SERVICIOS Y SOPORTES
ADMINISTRACIÓN SERVICIOS PRESTADOS POR TERCEROS
La comunicación con los proveedores y la empresa, existe mediante vía intranet e Internet, ya que existe por
los medios del correo electrónico y el e−comerce.
Los contratos con terceros o empresas de prestaciones de servicios que esta tiene, es el marketing y envió de
personal cuando esta la requiera.
ADMINISTRACIÓN DE DESEMPEÑO Y CAPACIDAD
COMUNICACIONES
Pruebas de Cumplimiento
14
Prueba N° 1
Objetivo: Verificación de comunicación entre sistemas.
Comprobación: Entrevista a Gerente de Operaciones.
Comentario: Existe una estrecha relación entre los sistemas que se encuentran conectados para las rebajas y
cargos que se deben realizar en los sistemas de Ventas, Facturación, Contrato, Productos y Clientes.
Pruebas Sustantivas
Prueba N° 1
Objetivo: Verificación instalaciones de comunicación entre equipos.
Comprobación: Entrevista a Encargado de Soporte de Usuario.
Comentario: La transmisión de datos no cuenta con la seguridad necesaria, ya que los dispositivos para ella,
se conectan a través de alargadores.
GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
Efectuar dos copias a los respaldos, una permanece en Operaciones y la otra es entregada a una Empresa
Externa, dedicada al almacenamiento de cintas magnéticas; SEGUR.
Poca claridad en la existencia o no de seguros para el equipamiento.
Existe un Plan de Seguridad que permita evaluar los riesgos que pueden suscitarse.
Las medidas de seguridad a nivel de sistemas, es mediante un Usuario y Password que le permitirá el acceso a
dichas aplicaciones y no al acceso de todos los sitios restringidos.
Cuando existe una violación en el sistema, el Administrador de Red, tiene la obligación de informar a
Gerencia de Informática.
En las Políticas de Información y en el nuevo Plan Informatico se encontraran las actualizaciones de
Prevención, Detección y Corrección de Software Maliciosos.
ANÁLISIS DE EVIDENCIAS
Pruebas de Cumplimiento:
Prueba N° 1
Objetivo: Verificación de Control Centralizado.
Comprobación: Entrevista a Jefe de Operaciones.
Comentario: Al existir un solo servidor, deben obligatoriamente todos los procesos, información y datos de
los movimientos que se realizan.
EDUCACIÓN Y ENTRETAMIENTO DE USUARIOS
15
En los cuestionarios y nuevas tecnologías que la empresa implemente a los usuarios que ocupen estas se les
enviaran a cursos de capacitación.
Los entrenamientos que se puedan enviar al personal para mejorar el trabajo grupal y relaciones internas.
MONITOREO
MONITOREO DEL PROCESO
RECOLECCION DE DATOS EN EL PROCESO
La recolección de datos, se puede dar por dos arterias dentro de la empresa.
• Control Interno de encuestas e Informes escritos.
• Control interno por monitoreo del Administrador de Red.
Ambos procesos se controlan a nivel Gerencial y se toman decisiones optimas para el buen funcionamiento de
la empresa y las Tecnologías de Información.
EVALUACIÓN DE DESEMPEÑO
La evaluación de desempeño, se registra mediante una encuesta de cada personal que trabaje en la empresa, en
donde se mide el nivel de desempeño que cada persona tenga y este comprometida con su trabajo.
Esta encuesta la evalúa cada jefe de departamento y se informa a gerencia, el cual lleva una calificación
general que esta dividida en 4 escalas.
En esta encuesta se mide:
• Desempeño Laboral.
• Dedicación de la Labor Realizada.
• Conocimiento del trabajo.
• Cumplimiento de normas e instancias
• Interés por el trabajo.
EVALUACIÓN ADECUADO DEL CONTROL INTERNO
MONITOREO CONTROL INTERNO
El monitoreo de control se canaliza mediante las jefaturas y procedimientos de cada departamento, con sus
respectivas políticas internas.
Existen políticas internas a nivel de empresas, pero como también existen políticas a nivel departamental.
OPERACIÓN OPRTUNA DEL CONTROL INTERNO
Cuando existe algún tipo de problemas, existen personas especializadas para la reparación optima de las
tecnologías de información que tenga la empresa.
Existe personal especializado, en el área de informática, como también en las otras dependencias. Se prevé
con la planificación y el cumplimientos de reglas internas que puedan tener.
16
PROVEER UNA AUDITORIA INDEPENDIENTE
COBERTURA DE LA AUDITORIA
La auditoria se realizará al ambiente informático de la empresa, específicamente en las áreas de Gerencia
Informática, Desarrollo/Mantención de Sistemas, Operaciones y Soporte de Usuarios.
El período de la Auditoria se hará por el transcurso de un mes (1 mes).
PROCEDIMIENTOS
¿Cómo se hará la Auditoria?
• Entrevista con el Gerente de Informática, jefes de departamento y encargado de soporte de usuarios
del sistema
• Revisión de Documentos.
• Análisis de los requerimientos de los usuarios del sistema
Herramientas a usar en la Auditoria:
• PC Personal con aplicaciones acorde para el trabajo de Auditoria
• Cuestionarios
• Entrevistas
PERSONAL QUE AUDITARA
1.− Srta. Raúl Rojas Vergara, Ayudante Técnico en Auditoria, Programador en Computación.
2.− Sr. Jonathan Ponce Morales, Ayudante Técnico en Auditoria y Especialista en Electrónica.
3.− Sr. Contador Auditor.
CONCLUSIONES
No existe una Política de Contingencia o Normas para la Distribución, Seguridad, Conexiones de los equipos
en la Red, que garantice un normal funcionamiento de los sistemas y aplicaciones, el cual se encuentra
desactualizado respecto a los productos y software ofrecidos en el mercado, lo que puede llevar a tener una
leve baja en la competitividad al que se verá sometido.
El personal existente no es lo más idóneo, ya que la implementación del sistema, hace que se pierdan recursos
en la mantención y reparación de éstos, lo que conlleva a una disminución de la eficiencia de los sistemas.
Personal reemplazante al poseer una alta rotación no tiene el tiempo suficiente para el conocimiento acabado
de las funciones, objetivos que se desarrollan dentro de la organización. No se puede dejar pasar el hecho de
que las personas reemplazantes son estudiantes egresados de Institutos Profesionales de cada zona, lo que
significa que no existen personal de planta con experiencia que de soporte a las otras sucursales.
Presentan una clara falencia, lo que lleva a una debilidad, partiendo por ser un edificio al que no se le pueden
realizar reparaciones para un mejor aprovechamiento de recurso físico en bienestar de las instalaciones que se
desean realizar.
El no poseer una distribución física estable no permite realizar instalaciones fija de red eléctrica para que los
17
equipos puedan ser conectados y así disminuir el riesgo de seguridad implícito existente.
Permite mantener una comunicación riesgosa al no poseer una topología de red estable y de las instalaciones,
ya que existen ruidos en la transmisión de datos e información.
RECOMENDACIONES
Terminada la auditoria realizada a Inter Electric Ltda., sugerimos las siguientes recomendaciones para llevar
con éxito los objetivos propuestos y apoyar la gestión de control,
• Realizar Plan Informático acorde a las nuevas necesidades de la empresa, en el cual se contemple el
soporte que se deberá ofrecer a las nuevas subsidiarias que se tienta abrir.
• Desarrollar Políticas de Contratación de Personal para evitar rotación de éste y conjuntamente realizar
estudio interno de los motivos de la deserción a la empresa.
• Realizar un catastro de la cantidad de equipos en los diferentes departamentos en los cuales se
encuentran y buscar la distribución más óptima de éstos para poder desarrollar una instalación
eléctrica de suministro de red fija.
• Realizar capacitación básica a los usuarios de los equipos, para crear en ellos un ambiente amigable y
disminuir los requerimientos de mantención por problemas simples( no imprime, falta papel en
impresoras, etc.).
• Realizar respaldos quincenalmente y no semanalmente,
• Comprar como mínimos tres servidores más para el apoyo de la Red, uno para uso exclusivo de
Firewall, el segundo y tercero para dividirse con el existente la cantidad de usuarios dependientes.
• Contratar una persona dedicada exclusivamente como Administrador de la Red.
• Establecer como política de mantención bitácoras de los problemas que se suscitan con los equipos.
Sucursal
Iquique
Sucursal
Temuco
Sucursal
Viña del Mar
Sucursal
Concepción
Casa Central
Sgto. Centro
18
Descargar