Auditoría computacional
Anuncio
UNIVERSIDAD DIEGO PORTALES FACULTAD DE CIENCIAS DE LA INGENIERIA INGENIERIA EN EJECUCIÓN INFORMATICA DE GESTION AUDITORIA COMPUTACIONAL COBIT INTER ELECTRIC LTDA. INFORME FINAL INTRODUCCIÓN El presente informe, entrega los antecedentes recogidos a la Empresa INTER ELECTRIC LTDA; la cual nos ha solicitado realizar una Auditoria al Área Informática de esta entidad. ANTECEDENTES GENELANES: Nombre Empresa: INTER ELECTRIC LIMITADA. Giro Comercial: Producción y Venta de Artículos Electrónicos. MISION INTER ELECTRIC, una de las principales empresas dedicada a la producción y venta de artículos electrónicos del mercado, en su mayoría sus productos son construidos en sus dependencias o armados en Chile. VISION Dada sus expectativas económicas, pretende abrir subsidiarias a nivel nacional: en Viña del Mar, Temuco, Iquique, Concepción, de ellas pretende ganar posibles aperturas hacia mercados de Latinoamericano. SERVICIOS INTER ELECTRIC cuenta con los siguientes servicios: • Automatización de Riego. • Proyecto e Instalaciones Eléctricas en Alta y Baja Tensión. • Montaje y Mantención de Equipos e Instalaciones. • Empalmes Monofásicos, Trifásicos, At, Bt, Aéreos y Subterráneos. • Diseño y Mediciones de Mallas de Tierra. • Instalación de Redes de Computación. • Refrigeración. • Venta de Artículos Eléctricos en General. OBJETIVOS 1 El objetivo principal de INTER ELECTRIC LTDA; es mantenerse en el tiempo como una empresa competitiva, solvente y totalmente confiable con sus clientes. Para esto la empresa constantemente debe estar a la vanguardia con la tecnología existente en el momento en el mercado referida a material y artículos eléctricos. Potenciando y abasteciendo de la forma mas rápida y constante las distintas sucursales de la empresa. Para así lograr en un tiempo no muy lejano lograr expandir sus fronteras. PLANEACION Y ORGANIZACION DEFINICIÓN DE UN PLAN ESTRATÉGICO DE TECNOLOGÍA DE INFORMACIÓN Empresa INTER ELECTRIC posee equipamiento computacional que le permitirá desarrollar las proyecciones de abrir subsidiarias, pero se encuentra con problemas logísticos debido a la ineficiencia con la cual utiliza dicho recurso. El personal que posee para solventar y las políticas que presenta en todas las áreas en las cuales utiliza tecnología de información es insuficiente y/o mal administrada. Evaluación Sistemas y Aplicaciones • Comprobar existencia de niveles de seguridad de los equipos. • Comprobar seguridad en aplicaciones tanto en su transferencia como en su uso. • Verificar existencia políticas de acceso y protección de las aplicaciones. • Verificar si los usuarios tienen correctamente asignado el software correspondiente. • Analizar operaciones, funciones de la red. • Analizar existencia de manuales de los sistemas y aplicaciones. DEFINICIÓN DE LA ARQUITECTURA DE LA INFORMACIÓN Evaluación equipamiento computacional • Verificar políticas de mantención, estado, características de los equipos. • Verificar Planes de Contingencia, para la mantención adecuada de la información. • Verificar Políticas de Seguridad para el Servidor y para el resto de los P.C. • Verificar responsabilidad del uso adecuado del equipamiento computacional. Evaluación a Sistema de comunicación. • Verificar existencia de topologías adecuadas en la transmisión de los datos. • Verificar Normas de Seguridad en la transmisión de los datos. • Verificar Políticas en el uso adecuado de las comunicaciones. • Verificar nivel de respuesta de los sistemas. 2 • Evaluar conocimiento respecto a la administración de los sistemas de comunicación. Evaluación de las Instalaciones • Verificar la existencia de normas de seguridad relativas a su mantenimiento • Revisar plan de contingencias ante hechos de riesgo en que sea necesario evacuar el edificio. • Verificar estado, seguridad, distribución de las instalaciones eléctricas en red fija. • Verificar estado en que se encuentra el actual edificio Central. • Políticas de mantenimiento de las instalaciones. DETERMINACIÓN DE LA DIRECCIÓN TECNOLOGICA Distribución Geográfica: La Empresa INTER ELECTRIC cuenta con una Casa Central y 4 Sucursales: Casa Central ubicada en la ciudad de Santiago, las sucursales se encuentran en: • Iquique • Viña del Mar • Concepción • Temuco Distribución Física: Empresa INTER ELECTRIC presenta la siguiente distribución en su Planta del Edificio Central: Departamento Departamento de Desarrollo Mantención Gerencia de Informática Operaciones Sistemas Planificación de la Departamento Producción Contable Clientes: Remuneraciones Departamento de Ventas −Empresa −Casino Bodega de Estacionamientos Subterráneo Materiales DEFINICIÓN DE LA ORGANIZACIÓN Y DE LAS RELACIONES DE LA TECNOLOGÍAS DE LA INFORMACION COMITE INFORMATICO: 3 En cuanto, al Recurso Humano existente en el área de Informática se compone de la siguiente forma: • Efectuar dos copias a los respaldos, una permanece en Operaciones y la otra es entregada a una Empresa Externa, dedicada al almacenamiento de cintas magnéticas; SEGUR. • Niveles jerárquicos y funcionalidad definidas, como se muestra en el organigrama. COMUNICACIÓN DE LA DIRECCIÓN Y ASPIRACIONES DE LA GERENCIA Existe un ambiente positivo en las actualizaciones del equipamiento por parte de la gerencia, para seguir dentro del mercado de los productos eléctricos. Gerencia General junto con Gerencia de Informática, están encargadas de formular y reformular las políticas informáticas dentro de la empresa. La comunicación de las políticas de informáticas es a través de cada jefatura y el cumplimiento de ellas. Se con una Planificación Informática, elaborada en base a las Políticas Estratégicas de la empresa. ADMINISTRACIÓN DE RECURSOS HUMANOS Evaluación Recurso Humano El reclutamiento y promociones del personal de esta empresa, es a traves de cuestionarios y evaluaciones y calificaciones semestrales. • Cumplimiento de las políticas de la empresa • Nivel de desempeño de la labor realizada Existe una alta rotación del personal en soporte de usuarios y tecnologías de información, lo cual permite involucrarse a fondo verificar el nivel de desempeño de cada persona. • Verificación nivel de responsabilidad del personal de cada departamento, a través de asignación de cargos • Nivel de capacitación y/o estudios del personal. • Políticas en el uso de Claves de acceso y de Atributos para operadores y usuarios. • Establecer funcionalidades de cada departamento. • Establecer persona responsable de la administración de la red. RECURSO HUMANO 4 (cuestionarios Recurso Humano) Modelo Optimo INTER ELECTRIC LTDA. contempla abrir nuevas subsidiarias, para ello lo más importante es contar con el personal capacitado y cantidad necesaria para satisfacer las demandas en el ámbito informático que requerirá. Pruebas de Cumplimiento Prueba N° 1 Objetivo: Verificación de las funciones y responsabilidad del personal. Comprobación: Entrevista a Gerente de Informática, Jefe Desarrollo/Mantención de Sistemas, Operaciones y Encargado de Soporte de Usuarios. Comentario: Al existir jefes encargados de cada área a quienes responsabilizar, personas capacitadas para el cargo, existe una disfunción en el área de Usuario, la cual no es considerado preponderante dentro de la Gerencia de Informática. Cada uno de los funcionarios, conoce sus limitantes y funciones que debe desarrollar. Pruebas Sustantivas Prueba N° 1 Objetivo: Verificación de conocimiento y capacidad del personal. Comprobación: Entrevista a Encargado de Soporte de Usuarios. Comentario: Personal se obtiene desde Institutos Profesionales, lo que demuestra la inexistencia de personal con experiencia en el área de soporte de usuarios y por ende, desconocimiento de la problemática de la organización, transcurrido el tiempo de utilización de los sistemas.. Prueba N° 2 Objetivo: Desconocimiento o falencias en el desarrollo de sistemas Comprobación: Entrevista a Encargado de Soporte de Usuarios. Comentario: Debido a las constantes fallas del nuevo sistema implementado queda de manifiesto la problemática de conocimientos avanzados en el desarrollo de sistemas Prueba N° 3 Objetivo: Inexistencia de procedimientos de trabajo. 5 Comprobación: Entrevista a Jefe de Desarrollo/Mantención de Sistemas. Comentario: La poca utilización de la metodología de desarrollo de sistemas y mantenciones consume al personal en su totalidad en trabajos que importancia ínfima por no establecer procedimientos de trabajo. Prueba N° 4 Objetivo: Verificación de alta rotación del personal. Comprobación: Entrevista a Encargado de Soporte de Usuarios. Comentario: Personal que se utiliza es por lo general personal de reemplazo de Institutos Profesionales, quienes no tienen el conocimiento necesario de la organización para el desarrollo de las tareas asignadas. EVALUACION DE RIESGO Objetivo General Por ser esta la primera Auditoria Computacional a INTER ELECTRIC, a través de ella evaluaremos el Entorno Informático de ésta, con el objeto de determinar los puntos críticos, y como afectan estos para el desarrollo de las tareas de la organización y como apoya Informática los objetivos organizacionales. Para que dicho objetivo general se cumpla se evaluarán la red de área Local (LAN) y metodología de trabajo para determinar el grado de cumplimiento de la seguridad, privacidad, confiabilidad, e integridad de la información utilizada en la gestión de la empresa. Objetivos Específicos • Evaluar la Planificación Informática, Plan de Contingencia, la Metodología de Desarrollo de Sistemas, Política Informáticas y Manuales de Procedimientos con el objeto de implementación de nuevos sistema de equipamiento y trabajo. • Evaluar las comunicaciones de la red, para medir transferencia de archivos y tener la seguridad que lleguen en forma íntegra los datos. • Evaluar políticas y normas de seguridad de uso de los equipos, con personal calificado y autorizado con el objeto de medir la seguridad de operación en la empresa. • Evaluar estados de los equipos y conexiones de Red, para crear una distribución lógica y coherente de los escritorios y equipos, al no contar con planes de mantención. • Evaluar el software utilizado, con el objeto de verificar su confiabilidad operacional, y funcionalidad de la información que resulte de los procesos. SEGUNDO ANÁLISIS DE RIESGO MATRIZ de RIESGO Subproceso Riesgo Pérdida de tiempo y recursos Implementación de por desconocimiento del nuevos sistemas sistema, software, capacidad de respuesta de estos. Respaldos en el área Inexistencia de lugar de operaciones específico y seguro para ellos Conexión al único Colapso de la red, dada la servidor central IBM cantidad de equipos Probabilidad Consecuencia Probable Alta Probable Alta Probable Alta Score 6 conectados a ella, lentitud en tiempo de respuesta La inexistencia de mantenciones a PC hace que Mantenciones Probable se encuentren con problemas constantes Realizar programas de Comunicación entre explotación sin haber usuario y jefe comprendido personalmente Probable desarrollo los requerimientos, solo por escrito Vulnerabilidad de la información a terceros sin autorización pudiendo ser mal utilizada, pérdida de Seguridad en información o modificación equipos(accesos, Probable de datos claves. La virus) inexistencia de aplicaciones de antivirus permite que se puedan perder información y/o incapacitar a los equipos Accesibilidad a última Lentitud en el acceso, pérdida versión de programas de tiempo, ya que no se Probable fuentes encuentran a la vista Desconocimiento en su utilización por parte de los usuarios, genera problemas Utilización de los Probable de mantenimiento equipos innecesarios y/o inutilización de ellos Mala distribución y la inexistencia de red fija para Instalar conexiones para los Pc. (a través ellos, puede llevar a quemar Probable los equipos, pérdida de de alargadores) información. Alta Media Alta Media Alta Alta MATRIZ de CONTROL Subproceso Riesgo Pérdida de tiempo y recursos Implementación de por desconocimiento del nuevos sistemas sistema, software, capacidad de respuesta de estos. Inexistencia de lugar Respaldos en el área específico y seguro para de operaciones ellos Colapso de la red, dada la Conexión al único cantidad de equipos servidor central IBM conectados a ella, lentitud en tiempo de respuesta Control Clasificación Efectividad Correctivo Computacional Pobre Correctivo Computacional Bueno Correctivo Computacional Pobre 7 La inexistencia de mantenciones a Pc hace que Mantenciones se encuentren con problemas constantes Realizar programas de Comunicación entre explotación sin haber usuario y jefe comprendido personalmente desarrollo los requerimientos, solo por escrito Vulnerabilidad de la información a terceros sin autorización pudiendo ser mal utilizada, pérdida de Seguridad en información o modificación equipos(accesos, de datos claves. La virus) inexistencia de aplicaciones de antivirus permite que se puedan perder información y/o incapacitar a los equipos Accesibilidad a última Lentitud en el acceso, versión de programas pérdida de tiempo, ya que no fuentes se encuentran a la vista Desconocimiento en su utilización por parte de los usuarios, genera problemas Utilización de los de mantenimiento equipos innecesarios y/o inutilización de ellos Mala distribución y la inexistencia de red fija para Instalar conexiones para los Pc. (a través ellos, puede llevar a quemar los equipos, pérdida de de alargadores) información. Preventivo Manual Excelente Correctivo Manual Excelente Preventivo Computacional Excelente Detectivo Dependiente Computador Bueno Detectivo Manual Excelente Correctivo Manual Excelente ADMINISTRACIÓN DE CALIDAD Considerar una Metodología de Desarrollo de Sistemas, la cual define los ciclos de vida de un proyecto. Conocimiento de desarrollo de sistemas por los reiterativos y constantes mantenciones a los sistemas. Alta demanda de usuarios por mantenciones de los sistemas, lo cual permite utilizar la metodología de desarrollo de sistemas actualizadas. Existe un formulismo para cambios a los programas en explotación, esto afecta a cualquier requerimiento de cambio que tenga una relevancia importante y/o urgente. INSTALACIONES (cuestionario de Instalaciones) Pruebas de Cumplimiento 8 Prueba N° 1 Objetivo: Disponibilidad de productos en bodega. Comprobación: Entrevista a Jefe de Operaciones. Comentario: Por la conexión y enlace existente entre los diferentes procesos y archivos que involucran una compra y venta, se tiene el stock necesario en las instalaciones de la empresa, para distribuirlas cuando sea pertinente. Pruebas sustantivas Prueba N° 1 Objetivo: Verificación de Respaldos y copia. Comprobación: Entrevista a Gerente de Informática. Comentario: No poseer un área física especial para el resguardo de las copias a los respaldos, incurre en un riesgo para la información contenidas en ellas, ya que las instalaciones no tienen los elementos necesarios para su seguridad. Prueba N° 2 Objetivo: Distribución Física de lo equipos. Comprobación: Entrevista a Encargado de Soporte de Usuarios. Comentario: No permite el edificio una reestructuración mejor de sus espacios, dado que no se puede realizar modificaciones, lo que dificulta la instalación permanente de los equipos. Prueba N° 3 Objetivo: Verificación de instalaciones eléctricas. Comprobación: Entrevista a Encargado de Soporte de Usuario. Comentario: Se realizan ampliaciones y conexiones de equipos a través de alargadores, sin el debido resguardo de instalaciones seguras. y resguardadas. Prueba N° 4 Objetivo: Verificación de compromiso de los usuarios con los equipos. Comprobación: Entrevista a Encargado de Soporte de Usuario. Comentario: Funcionarios se alimentan en el mismo lugar donde se encuentran los equipos, se reparó uno por la derrame de café en él. ADQUISICIÓN E IMPLEMENTACION IDENTIFICACIÓN DE SOLUCIONES 9 INTER ELECTRIC, identifico las posibles soluciones para llevar con éxito los objetivos propuestos y apoyar la gestión de control, Realizar Plan Informático acorde a las nuevas necesidades de la empresa, en el cual se contemple el soporte que se deberá ofrecer a las nuevas subsidiarias que se tienta abrir. Desarrollar Políticas de Contratación de Personal para evitar rotación de éste y conjuntamente realizar estudio interno de los motivos de la deserción a la empresa. Realizar un catastro de la cantidad de equipos en los diferentes departamentos en los cuales se encuentran y buscar la distribución más óptima de éstos para poder desarrollar una instalación eléctrica de suministro de red fija. Realizar capacitación básica a los usuarios de los equipos, para crear en ellos un ambiente amigable y disminuir los requerimientos de mantención por problemas simples( falta de papel en impresoras, etc.). Realizar respaldos quincenalmente y no semanalmente, Comprar como mínimos tres servidores más para el apoyo de la Red, uno para uso exclusivo de Firewall y el segundo para dividirse con el existente la cantidad de usuarios dependientes. Contratar una persona dedicada exclusivamente como Administrador de la Red. Establecer como política de mantención bitácoras de los problemas que se suscitan con los equipos. ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN Software utilizado, no sirva para solventar las necesidades de la empresa, con lo cual puede verse sobrepasada por la información que emanarán además, de las posibles subsidiarias, Actualizaciones en versiones respecto de las aplicaciones y lenguaje que tienen una vida útil establecidas, resten competitividad frente al mercado. La demora en la emisión de facturas, de 30 a 45 días dependiendo de la modalidad. Ausencia de antivirus en los PC., y si lo hubiera, no existe un plan de actualización. No contar con planes de mantención para los PC. y Servidores. Ineficiencia en el respaldo de la información en cintas magnéticas. ADQUISICIÓN Y MANTENIMIENTO DE ARQUITECTURA DE TECNOLOGIA Equipamiento computacional de última generación para sus 150 estaciones de trabajo cuentan con procesadores PENTIUM III, tarjetas emuladoras de procesamiento centralizado, herramientas que permitirán solventar el crecimiento de la empresa. Tres equipos como servidor(cliente/servidor) para la red de 150 equipos. Software, para ventas con la información que emanarán además, de las posibles subsidiarias, Actualizaciones en versiones respecto de las aplicaciones y lenguaje . 10 Software de emisión de facturas. Software de antivirus en los PC., y Servidor, con un plan de actualización. Revisión de Instalaciones eléctricas, ya que se encuentran resguardadas de los usuarios. Instalación de una topología para la red. Sistema de Venta estrechamente ligado con otros sistemas y aplicaciones, los cuales afectan dichas ventas como son: Materiales, Producción, Clientes HARDWARE (Cuestionarios de Hardware) Pruebas de Cumplimiento Prueba N° 1 Objetivo: Verificación de Equipamiento computacional. Comprobación: Entrevista a Gerente de Informática. Comentario: 150 estaciones de trabajo cuentan con procesadores PENTIUM III, tarjetas emuladoras de procesamiento centralizado, herramientas que permitirán solventar el crecimiento de la empresa., más un equipo central IBM, concepto cliente/servidor. Prueba N° 2 Objetivo: Mantención a equipo central. Comprobación: Entrevista a Gerente de Informática. Comentario: Se tiene contrato con el proveedor del equipo con realiza mantenciones cada 6 meses. Pruebas Sustantivas Prueba N° 1 Objetivo: Verificación de un solo equipo central. Comprobación: Entrevista a Gerente de Informática. Comentario: El equipo central debe dar abasto a las 150 estaciones de trabajo, lo que conlleva un uso excesivo y lento de este. INSTALACIÓN Y ACREDITACION DE SISTEMAS SISTEMAS Y APLICACIONES Modelo optimo 11 Se considera como óptimo el contar cada 50 PC. Conectados a un servidor modalidad cliente/servidor. La red LAN que se tiene debe responder a las necesidades de seguridad, velocidad, capacidad, seguridad de acceso a ellas y los sistemas y aplicaciones que en ella corren. Pruebas de cumplimiento (Cuestionario de Sistemas y Aplicaciones) Prueba N°1 Objetivo: Verificar existencia de Planificación Informática. Comprobación: Entrevista a Gerente de Informática. Comentario: Se cuenta con una Planificación Informática, se está implementando desde hace 8 meses nuevos sistemas dentro de todas las áreas. Prueba N° 2 Objetivo: Verificación de respaldos. Comprobación: Entrevista a Gerente de Informática. Comentario: Se realizan respaldos diarios, semanales, mensuales y anuales. Prueba N° 3 Objetivo: Verificación de copias. Comprobación: Entrevista a Gerente de Informática. Comentario: Se efectúan dos copias de los respaldos, una queda en el área de operaciones y el otro en una empresa externa SEGUR. Prueba N° 4 Objetivo: Verificación de Metodología de Desarrollo de Sistemas. Comprobación: Entrevista a Jefe Desarrollo/Mantención de Sistemas. Comentario: A pesar de contar con una metodología, esta no se utiliza debido al alto volumen de mantenciones. 12 Pruebas Sustantivas Prueba N° 1 Objetivo: Verificación conocimiento de versión y atributos del software. Comprobación: Entrevista a Gerente de Informática. Comentario: Aplicación en lenguaje Cobol, desde hace 5 años con formato fecha de dos dígitos. Prueba N° 2 Objetivo: Verificación de conocimiento de desarrollo de sistemas. Comprobación: Entrevista a Jefe de Desarrollo/Mantención de Sistemas. Comentario: Reiterados mantenciones a los nuevos sistemas, desarrollados por personal interno. Prueba N° 3 Objetivo: Verificación de respaldos semanales. Comprobación: Entrevista a Gerente de Informática. Comentario: Se realiza respaldos semanal, pero que a la próxima semana son borrados por una nueva grabación semanal. Inutilización efectiva de recursos. Prueba N° 4 Objetivo: Existencia de un solo servidor. Comprobación: Entrevista a Gerente de Informática. Comentario: Equipo central IBM concepto cliente/servidor, con 150 estaciones de trabajo conectadas a él. Prueba N° 5 Objetivo: Verificación de excesivo formulismo en requerimientos. Comprobación: Entrevista a Jefe de Desarrollo. 13 Comentario: Para la realización de cambios en los programas de explotación se de llenar formularios preestablecidos, que recibe el jefe de Desarrollo/Mantención de Sistemas y luego por el analista. Se deja de lado conocimiento personal de los problemas suscitados entre los usuarios y los encargados de desarrollarlos. Prueba N° 6 Objetivo: Verificación de topologías de red. Comprobación: Entrevista a Encargado de Soporte de Usuarios. Comentario: Se realizan constantes reubicaciones de los equipos, dada la falta de una claridad en la distribución lógica y física de ellos. Prueba N° 7 Objetivo: Verificación de inexistencia de seguridad lógica. Comprobación: Entrevista a Encargado de Soporte de Usuario. Comentario: Debido a la existencia de seguridad solamente por la que tiene el sistema, no existe una actualización de los software de antivirus existentes en el mercado. ENTREGA DE SERVICIOS Y SOPORTES ADMINISTRACIÓN SERVICIOS PRESTADOS POR TERCEROS La comunicación con los proveedores y la empresa, existe mediante vía intranet e Internet, ya que existe por los medios del correo electrónico y el e−comerce. Los contratos con terceros o empresas de prestaciones de servicios que esta tiene, es el marketing y envió de personal cuando esta la requiera. ADMINISTRACIÓN DE DESEMPEÑO Y CAPACIDAD COMUNICACIONES Pruebas de Cumplimiento 14 Prueba N° 1 Objetivo: Verificación de comunicación entre sistemas. Comprobación: Entrevista a Gerente de Operaciones. Comentario: Existe una estrecha relación entre los sistemas que se encuentran conectados para las rebajas y cargos que se deben realizar en los sistemas de Ventas, Facturación, Contrato, Productos y Clientes. Pruebas Sustantivas Prueba N° 1 Objetivo: Verificación instalaciones de comunicación entre equipos. Comprobación: Entrevista a Encargado de Soporte de Usuario. Comentario: La transmisión de datos no cuenta con la seguridad necesaria, ya que los dispositivos para ella, se conectan a través de alargadores. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS Efectuar dos copias a los respaldos, una permanece en Operaciones y la otra es entregada a una Empresa Externa, dedicada al almacenamiento de cintas magnéticas; SEGUR. Poca claridad en la existencia o no de seguros para el equipamiento. Existe un Plan de Seguridad que permita evaluar los riesgos que pueden suscitarse. Las medidas de seguridad a nivel de sistemas, es mediante un Usuario y Password que le permitirá el acceso a dichas aplicaciones y no al acceso de todos los sitios restringidos. Cuando existe una violación en el sistema, el Administrador de Red, tiene la obligación de informar a Gerencia de Informática. En las Políticas de Información y en el nuevo Plan Informatico se encontraran las actualizaciones de Prevención, Detección y Corrección de Software Maliciosos. ANÁLISIS DE EVIDENCIAS Pruebas de Cumplimiento: Prueba N° 1 Objetivo: Verificación de Control Centralizado. Comprobación: Entrevista a Jefe de Operaciones. Comentario: Al existir un solo servidor, deben obligatoriamente todos los procesos, información y datos de los movimientos que se realizan. EDUCACIÓN Y ENTRETAMIENTO DE USUARIOS 15 En los cuestionarios y nuevas tecnologías que la empresa implemente a los usuarios que ocupen estas se les enviaran a cursos de capacitación. Los entrenamientos que se puedan enviar al personal para mejorar el trabajo grupal y relaciones internas. MONITOREO MONITOREO DEL PROCESO RECOLECCION DE DATOS EN EL PROCESO La recolección de datos, se puede dar por dos arterias dentro de la empresa. • Control Interno de encuestas e Informes escritos. • Control interno por monitoreo del Administrador de Red. Ambos procesos se controlan a nivel Gerencial y se toman decisiones optimas para el buen funcionamiento de la empresa y las Tecnologías de Información. EVALUACIÓN DE DESEMPEÑO La evaluación de desempeño, se registra mediante una encuesta de cada personal que trabaje en la empresa, en donde se mide el nivel de desempeño que cada persona tenga y este comprometida con su trabajo. Esta encuesta la evalúa cada jefe de departamento y se informa a gerencia, el cual lleva una calificación general que esta dividida en 4 escalas. En esta encuesta se mide: • Desempeño Laboral. • Dedicación de la Labor Realizada. • Conocimiento del trabajo. • Cumplimiento de normas e instancias • Interés por el trabajo. EVALUACIÓN ADECUADO DEL CONTROL INTERNO MONITOREO CONTROL INTERNO El monitoreo de control se canaliza mediante las jefaturas y procedimientos de cada departamento, con sus respectivas políticas internas. Existen políticas internas a nivel de empresas, pero como también existen políticas a nivel departamental. OPERACIÓN OPRTUNA DEL CONTROL INTERNO Cuando existe algún tipo de problemas, existen personas especializadas para la reparación optima de las tecnologías de información que tenga la empresa. Existe personal especializado, en el área de informática, como también en las otras dependencias. Se prevé con la planificación y el cumplimientos de reglas internas que puedan tener. 16 PROVEER UNA AUDITORIA INDEPENDIENTE COBERTURA DE LA AUDITORIA La auditoria se realizará al ambiente informático de la empresa, específicamente en las áreas de Gerencia Informática, Desarrollo/Mantención de Sistemas, Operaciones y Soporte de Usuarios. El período de la Auditoria se hará por el transcurso de un mes (1 mes). PROCEDIMIENTOS ¿Cómo se hará la Auditoria? • Entrevista con el Gerente de Informática, jefes de departamento y encargado de soporte de usuarios del sistema • Revisión de Documentos. • Análisis de los requerimientos de los usuarios del sistema Herramientas a usar en la Auditoria: • PC Personal con aplicaciones acorde para el trabajo de Auditoria • Cuestionarios • Entrevistas PERSONAL QUE AUDITARA 1.− Srta. Raúl Rojas Vergara, Ayudante Técnico en Auditoria, Programador en Computación. 2.− Sr. Jonathan Ponce Morales, Ayudante Técnico en Auditoria y Especialista en Electrónica. 3.− Sr. Contador Auditor. CONCLUSIONES No existe una Política de Contingencia o Normas para la Distribución, Seguridad, Conexiones de los equipos en la Red, que garantice un normal funcionamiento de los sistemas y aplicaciones, el cual se encuentra desactualizado respecto a los productos y software ofrecidos en el mercado, lo que puede llevar a tener una leve baja en la competitividad al que se verá sometido. El personal existente no es lo más idóneo, ya que la implementación del sistema, hace que se pierdan recursos en la mantención y reparación de éstos, lo que conlleva a una disminución de la eficiencia de los sistemas. Personal reemplazante al poseer una alta rotación no tiene el tiempo suficiente para el conocimiento acabado de las funciones, objetivos que se desarrollan dentro de la organización. No se puede dejar pasar el hecho de que las personas reemplazantes son estudiantes egresados de Institutos Profesionales de cada zona, lo que significa que no existen personal de planta con experiencia que de soporte a las otras sucursales. Presentan una clara falencia, lo que lleva a una debilidad, partiendo por ser un edificio al que no se le pueden realizar reparaciones para un mejor aprovechamiento de recurso físico en bienestar de las instalaciones que se desean realizar. El no poseer una distribución física estable no permite realizar instalaciones fija de red eléctrica para que los 17 equipos puedan ser conectados y así disminuir el riesgo de seguridad implícito existente. Permite mantener una comunicación riesgosa al no poseer una topología de red estable y de las instalaciones, ya que existen ruidos en la transmisión de datos e información. RECOMENDACIONES Terminada la auditoria realizada a Inter Electric Ltda., sugerimos las siguientes recomendaciones para llevar con éxito los objetivos propuestos y apoyar la gestión de control, • Realizar Plan Informático acorde a las nuevas necesidades de la empresa, en el cual se contemple el soporte que se deberá ofrecer a las nuevas subsidiarias que se tienta abrir. • Desarrollar Políticas de Contratación de Personal para evitar rotación de éste y conjuntamente realizar estudio interno de los motivos de la deserción a la empresa. • Realizar un catastro de la cantidad de equipos en los diferentes departamentos en los cuales se encuentran y buscar la distribución más óptima de éstos para poder desarrollar una instalación eléctrica de suministro de red fija. • Realizar capacitación básica a los usuarios de los equipos, para crear en ellos un ambiente amigable y disminuir los requerimientos de mantención por problemas simples( no imprime, falta papel en impresoras, etc.). • Realizar respaldos quincenalmente y no semanalmente, • Comprar como mínimos tres servidores más para el apoyo de la Red, uno para uso exclusivo de Firewall, el segundo y tercero para dividirse con el existente la cantidad de usuarios dependientes. • Contratar una persona dedicada exclusivamente como Administrador de la Red. • Establecer como política de mantención bitácoras de los problemas que se suscitan con los equipos. Sucursal Iquique Sucursal Temuco Sucursal Viña del Mar Sucursal Concepción Casa Central Sgto. Centro 18