Nombre del Curso: AUDITORIA DE SISTEMAS
Momento 4 - Proyecto Final
UNIVERSIDAD
NACIONAL ABIERTA Y A DISTANCIA – UNAD
INTRODUCCIÓN
La actividad permite unir esfuerzos, saberes, aportes y competencias
de los integrantes del grupo
colaborativo, con su desarrollo que inicia a partir de la organización, asignándosele
tareas a cada uno de sus miembros,
lectura y estudio de los capítulos de la unidad, como también de todos
los contenidos presentados en el aula virtual;
se da interpretación a la guía para la elaboración del Trabajo
Colaborativo y se asume con honestidad
las responsabilidades que a cada uno de los estudiantes le corresponde, para la
entrega del producto final que se debe realizar escogiendo,
de entre los cinco aportes
individuales de los estudiantes que integran el pequeño grupo de trabajo
colaborativo, el que mejor reúne las condiciones que la actividad exige o
completando entre todos los aportes un solo consolidado y con
ello desarrollar un trabajo de muy buena calidad.
En el desarrollo del proyecto
final colaborativo se aplican los conocimientos que se han ido adquiriendo a lo
lardo del curso auditoria de sistemas, los cuales integramos en la realización
del informe ejecutivo de auditoria.
PROBLEMA
El avance de la informática, los sistemas, las telecomunicaciones, y otras aplicaciones de tecnología, han permitido a la sociedad moderna a través de entes públicos y privados desarrollarse rápidamente, en todos los ámbitos y sentidos, en especial hará énfasis en el desarrollo de los negocios, el cual está íntimamente relacionado con la tecnología de información, y a su permitido la evolución en la forma de llevar los procesos.
Dicha tecnología, ha permitido que los sistemas informáticos estén sometidos al control correspondiente.
La auditoría de sistemas, permite mostrar las debilidades y las fortalezas de esta empresa, con respecto a los controles que se estén empleando, a los sistemas y procedimientos de la informática, los equipos de cómputo que se emplean, su utilización, eficiencia y seguridad. Para ello se realiza una inspección pormenorizada de los sistemas de información, desde sus entradas, procedimientos, comunicación, controles, archivos, seguridad, personal y obtención de la información, cabe recalcar que, la auditoria inicia su actividad cuando los sistemas están operativos y el principal objetivo es el de mantener tal como está la situación para comenzar el levantamiento de información. Posteriormente la auditoria generara un informe, para que las debilidades que son detectadas, sean corregidas y se establecen nuevos métodos de prevención con el fin de mejorar los procesos, aumentar la confiabilidad en los sistemas y reducir los riesgos.
OBJETIVOS
ü Evaluar
el uso de los recursos técnicos y materiales para el procesamiento de la
información así como también el aprovechamiento de los equipos de cómputo, sus
periféricos, las instalaciones y mobiliario del centro de cómputo.
ü Evaluar
el desarrollo e instalación de nuevos sistemas, el aprovechamiento de los sistemas de procesamiento, los sistemas
operativos, los lenguajes, programas y aplicaciones.
ü Verificación
de las normas existentes en el departamento de Informática y su coherencia con
las del resto de la empresa.
JUSTIFICACIÓN
Toda empresa pública o
privada que posean sistemas de información medianamente complejos, deben
someterse a un control estricto de evaluación de eficacia y eficiencia que
garantice que los sistemas de información funcionen correctamente, actividad
que debe ser incluida dentro de las actuaciones de los Revisores Fiscales.
La Auditoria informática,
como área especializada de la auditoría general, se propone examinar y evaluar,
en forma independiente, el sistema de control interno informático de las
organizaciones, con el objeto de emitir una opinión sobre su validez técnica y
la confiabilidad de la información generada por el sistema auditado.
MARCO
TEÓRICO
La auditoría informática es la revisión
técnica, especializada y exhaustiva que se realiza a los sistemas
computacionales, software e información utilizados en una empresa, sean
individuales compartidos y/o de redes, así como a sus instalaciones,
telecomunicaciones, mobiliario, equipos periféricos y demás componentes. Dicha
revisión se realiza de igual manera a la gestión informática, el
aprovechamiento de sus recursos, las medidas de seguridad y los bienes de
consumo necesarios para el funcionamiento del centro de cómputo. El propósito
fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso
de los datos, el procesamiento adecuado de la información y la emisión oportuna
de los resultados en la institución, incluyendo la evaluación en el
cumplimiento de las funciones actividades y operaciones de funcionarios,
empleados y usuarios involucrados con los servicios que proporcionan los
sistemas computacionales a la empresa.
DETERMINACIÓN DE LOS NIVELES
DE MADUREZ DE LOS PROCESOS EVALUADOS
Aporte individual xxxxxxxxx
Dominio: PLANEAR Y ORGANIZAR
Proceso: PO1 Definir un Plan
Estratégico de TI
Nivel de madurez: 2 Repetible pero Intuitivo cuando: La planeación estratégica de TI se
comparte con la gerencia del negocio según se necesite. La actualización de los
planes de TI ocurre como respuesta a las solicitudes de la dirección. Las
decisiones estratégicas se toman proyecto por proyecto, sin ser consistentes
con una estrategia global de la organización. Los riesgos y beneficios al
usuario, resultado de decisiones estratégicas importantes se reconocen de forma
intuitiva.
Proceso: P02. Definir la Arquitectura
de la Información.
Nivel de madurez: 3 Definido cuando la
importancia de la arquitectura de la información se entiende y se acepta, y la
responsabilidad de su aplicación se asigna y se comunica de forma clara. Los
procedimientos, herramientas y técnicas relacionados, aunque no son sofisticados,
se han estandarizado y documentado y son parte de actividades informales de
entrenamiento. Se han desarrollado políticas básicas de arquitectura de
información, incluyendo algunos requerimientos estratégicos, aunque el
cumplimiento de políticas, estándares y herramientas no se refuerza de manera
consistente. Existe una función de administración de datos definida
formalmente, que establece estándares para toda la organización, y empieza a
reportar sobre la aplicación y uso de la arquitectura de la información.
Las herramientas automatizadas se empiezan a
utilizar, aunque los procesos y reglas son definidos por los proveedores de
software de bases de datos. Un plan formal de entrenamiento ha sido
desarrollado, pero el entrenamiento formal se basa en iniciativas individuales.
Dominio: ADQUIRIR E IMPLEMENTAR
Proceso: AI3
Adquirir y Mantener Infraestructura Tecnológica
Nivel de madurez: 1 Inicial / Ad Hoc: Se
realizan cambios a la infraestructura para cada nueva aplicación, sin ningún
plan en conjunto. Aunque se tiene la percepción de que la infraestructura de TI
es importante, no existe un enfoque general consistente. La actividad de
mantenimiento reacciona a necesidades de corto plazo. El ambiente de producción
es el ambiente de prueba.
Proceso: AI7 Instalar y Acreditar Soluciones y Cambios
Nivel de madurez: 2 Repetible pero
Intuitivo cuando existe cierta consistencia entre los enfoques de prueba y
acreditación, pero por lo regular no se basan en ninguna metodología. Los
equipos individuales de desarrollo deciden normalmente el enfoque de prueba y
casi siempre hay ausencia de pruebas de integración. Hay un proceso de
aprobación informal.
Dominio:
SERVICIOS Y SOPORTE
Proceso:
DS3 Administrar el desempeño y la capacidad
Nivel de madurez: 4 Administrado y Medible
cuando En todos los niveles de la organización se reconoce la necesidad de
administrar la configuración y las buenas prácticas siguen evolucionando. Los
procedimientos y los estándares se comunican e incorporan a la habilitación y las
desviaciones son monitoreadas, rastreadas y reportadas. Se utilizan
herramientas automatizadas para fomentar el uso de estándares y mejorar la
estabilidad. Los sistemas de administración de configuraciones cubren la
mayoría de los activos de TI y permiten una adecuada administración de
liberaciones y control de distribución. Los análisis de excepciones, así como
las verificaciones físicas, se aplican de manera consistente y se investigan
las causas desde su raíz.
Proceso:
DS4 Asegurar Servicio Continuo.
Nivel de madurez: 1 Inicial / Ad Hoc cuando
Las responsabilidades sobre la continuidad de los servicios son informales y la
autoridad para ejecutar responsabilidades es limitada. La gerencia comienza a
darse cuenta de los riesgos relacionados y de la necesidad de mantener
continuidad en los servicios. El enfoque
de la gerencia sobre la continuidad del servicio radica en los recursos de
infraestructura, en vez de radicar en los servicios de TI. Los usuarios
utilizan soluciones alternas como respuesta a la interrupción de los servicios.
La respuesta de TI a las interrupciones mayores es reactiva y sin preparación.
Las pérdidas de energía planeadas están programadas para cumplir con las
necesidades de TI pero no consideran los requerimientos del negocio
Dominio:
MONITOREAR Y EVALUAR
Proceso:
ME2 Monitorear y Evaluar el Control Interno.
Nivel de madurez: 0 No
Existente cuando La organización carece de procedimientos para monitorear la
efectividad de los controles internos. Los métodos de reporte de control interno
gerenciales no existen. Existe una falta generalizada de conciencia sobre la
seguridad operativa y el aseguramiento del control interno de TI. La gerencia y
los empleados no tienen conciencia general sobre el control interno.
DICTAMEN DE LA AUDITORÍA
Dominio: PLANEAR Y ORGANIZAR
Proceso: PO1 Definir un Plan
Estratégico de TI
o
Objetivo
de control: Plan estratégico de TI
Dictamen: Nivel de madurez 1 INICIAL: Se evidencia la ausencia de planes
estratégicos en TI, las acciones se realizan de modo reactivo y sin una
planeación efectiva, que permita satisfacer las necesidades de TI a largo
plazo.
Hallazgos que soportan el
dictamen: No se encontró evidencia de planeación
estratégica en TI, se aplican algunas políticas pero definidas externamente por
normatividad, o de acuerdo a las necesidades del momento.
Recomendación: Se recomienda establecer los diferentes planes estratégicos de TI en
conjunto con la Gerencia y de acuerdo a los planes de gestión y proyectos a
futuro.
o
Objetivo
de control: planes tácticos de TI
Dictamen: Nivel de madurez 0 No Existente: Se evidencia la ausencia de planes
tácticos a consecuencia que no existen planes estratégicos de TI, las acciones
se realizan de modo reactivo y sin una planeación efectiva, que permita
satisfacer las necesidades de TI a largo plazo.
Hallazgos que soportan el
dictamen: No se encontró evidencia de planeación táctica
en TI, se aplican algunas políticas pero definidas externamente por
normatividad, o de acuerdo a las necesidades del momento.
Recomendación: se recomienda realizar de un plan táctico de TI en conjunto con la alta
dirección y de acuerdo a los planes de gestión y proyectos a futuro.
o
Objetivo
de control: Protocolos De Seguridad
Dictamen: Nivel de madurez 2: Repetible
pero Intuitivo, se tienen protocolos de
seguridad establecidos, pero no es posible cumplirlos a cabalidad por que no
cuentan con las estrategias y componentes de TI necesarios.
Hallazgos que soportan el
dictamen: se instalaron Access point WiFi, los cuales van
en contra de los protocolos de seguridad, motivados por que el cableado
estructura es insuficiente para soportar todos los usuarios.
Recomendación: se recomienda crear políticas claras, aplicarlas y realizar el
correspondiente monitoreo.
o
Objetivo
de control: capacitación específica para la ejecución de
actividades inherentes.
Dictamen: Nivel de madurez 1 INICIAL: Se evidencia la ausencia de planes de
capacitación específica al talento humano para el desarrollo de las funciones
relacionadas con las estrategias de TI.
Hallazgos que soportan el
dictamen: La organización no posee un plan
estratégico que permita garantizar la constante y oportuna capacitación de sus
usuarios.
Recomendación: se recomienda crear e implementar el plan de capacitación a los funcionarios de la entidad de acuerdo a
los objetivos y a las estrategias de TI.
Proceso: PO2. Definir la Arquitectura
de la Información.
o
Objetivo
de control: Formatos de almacenamiento de
información.
Dictamen: Nivel de madurez 1 INICIAL: Se evidencia la ausencia de protocolos de
almacenamiento de información y unificación de criterios para este proceso.
Hallazgos que soportan el
dictamen: La organización ha incurrido en
evolución en la infraestructura TI, la
cual ha causado el cambio constante en métodos y modelos de almacenamiento, lo
que causa problemas de incompatibilidad de datos.
Recomendación: se recomienda crear una gran base de datos con todos
los datos que aún no sean obsoletos para la empresa y almacenar esta base de
datos en la nube o utilizar USB que son formatos que duran más en el tiempo y
que aunque sufren cambios no son del todo desastrosos para la seguridad de la
empresa.
o
Objetivo
de control: Diccionario de Datos Empresarial y Reglas de Sintaxis
de Datos.
Dictamen: Nivel de madurez 1 INICIAL: Aunque se entiende la importancia de la
arquitectura de información, no se cuenta con un plan implementado, diccionario
de datos o cualquier otro método que permita controlar la información.
Hallazgos que soportan el
dictamen: No se encuentra un diccionario de datos
implementado, ni una política clara para el manejo de la información, la
información se encuentra organizada de acuerdo a cada proyecto, siguiendo
líneas individuales que no permiten la consolidación de los datos.
Recomendación: Se recomienda crear el diccionario de datos, junto con la política de
desarrollo y almacenamiento de información que cree una interfaz clara entre
los diferentes sistemas utilizados, con el fin de garantizar la
interoperabilidad de los mismos.
o
Objetivo
de control: integridad de los datos.
Dictamen: Nivel de madurez 0 No Existente: no existen establezcan roles con los suficientes controles y privilegios que
permitan garantizar la integridad de los datos.
Hallazgos que soportan el
dictamen: No se evidencian manuales y directrices
en las cuales se establezcan roles con los suficientes controles y privilegios
que permitan garantizar la integridad de los datos.
Recomendación: se recomienda tomar posesión de los datos y asumir la
responsabilidad de garantizar su integridad: asimilando la propiedad y
responsabilidad de los datos en un mismo sujeto, para potenciar la eficacia de
su desempeño.
Controlar los derechos y privilegios de acceso: estableciendo niveles de interacción que, bien delimitados, definan roles y usuarios en su relación con los sistemas y procesos, o lo que es lo mismo, en su interacción con el dato.
Controlar los derechos y privilegios de acceso: estableciendo niveles de interacción que, bien delimitados, definan roles y usuarios en su relación con los sistemas y procesos, o lo que es lo mismo, en su interacción con el dato.
Dominio: ADQUIRIR E IMPLEMENTAR
Proceso: AI3
Adquirir y Mantener Infraestructura Tecnológica
o
Objetivo
de control: Infraestructura física de las TI
Dictamen: Nivel de madurez: 1 Inicial:
Se realizan cambios a la infraestructura para cada nueva aplicación, sin ningún
plan en conjunto. Aunque se tiene la percepción de que la infraestructura de TI
es importante, no existe un enfoque general consistente. La actividad de
mantenimiento reacciona a necesidades de corto plazo.
Hallazgos que soportan el
dictamen: se evidencia que el cableado estructurado de la entidad se encuentra diseñado de tal
manera que no se ajusta a las necesidades de la organización.
Recomendación: se recomienda crear e invertir en un proyecto que permita
renovar y escalar la infraestructura del cableado estructurado que esté
acorde con los requerimientos de la
entidad.
o
Objetivo
de control: control y alojamiento de datos
Dictamen: Nivel de madurez 0 No Existente: la organización no tiene contemplado
la implementación de recursos de TI que permitan la unificación de la
información para la implementación de BBDD y servicios de contingencia.
Hallazgos que soportan el
dictamen: no se evidencia la existencia de un repositorio de archivos tipo servidor que permita la correcta
interacción e implementación de las TI en materia de información y datos.
Recomendación: se recomienda invertir en un servidor que actué
repositorio de archivos con el ánimo de controlar los datos almacenados e
implementar procesos de contingencia tales como copias de seguridad.
Proceso: AI7 Instalar y Acreditar Soluciones y Cambios
o
Objetivo
de control: ambientes adecuados para los equipos de
TI
Dictamen: Nivel de madurez: 2 Repetible
pero Intuitivo: se cuentan con ambientes para los equipos y sistemas de TI,
pero estos no son los indicados por tanto no es posible acreditar su correcto
funcionamiento.
Hallazgos que soportan el
dictamen: se evidencia que la organización no cuenta con los espacios físicos suficientes para la
correcta implementación de las TI.
Recomendación: se recomienda adquirir una nueva sede que cuente con
los ambientes adecuados para el desarrollo de todas las funciones y actividades
de la entidad.
Dominio:
ENTREGAR Y DAR SOPORTE
Proceso:
DS3 Administrar el desempeño y la capacidad
o
Objetivo
de control: ejecución de los trámites de las garantías.
Dictamen: Nivel de madurez: 4 Administrado y Medible: la
organización cuenta con los procedimientos para el reclamo de garantías a los
proveedores en materia de TI, los procedimientos se cumplen a satisfacción, sin
embargo no se vigila y exige el cumplimiento a los proveedores de los tiempos
pactados en los contratos para la solución de las reclamaciones de las mismas.
Hallazgos que soportan el
dictamen: se evidencia que la organización no exige el cumplimiento de los términos establecidos
para el trámite y solución de las garantías, deteriorando el soporte técnico
que reciben los usuarios en materia de TI.
Recomendación: se recomienda establecer controles para así supervisar la correcta ejecución de las reclamaciones
por garantía dentro de los términos establecidos y hacer cumplir los
contratistas las cláusulas contractuales en las que se establecen los términos
para el trámite de las mismas.
Proceso:
DS4 Asegurar Servicio Continuo.
o
Objetivo
de control: ambientes de trabajo
Dictamen: Nivel de madurez: 1 Inicial: las
responsabilidades sobre la continuidad de los servicios son informales y la
autoridad para ejecutar responsabilidades es limitada, la gerencia aún no ha
realizado las gestiones para garantizar los adecuados ambientes de trabajo de
materia de TI.
Hallazgos que soportan el
dictamen: se evidencia que la organización no cuenta con los espacios físicos suficientes para la
correcta implementación de las TI.
Recomendación: se recomienda adquirir una nueva sede que cuente con
los ambientes adecuados para el desarrollo de todas las funciones y actividades
de la entidad.
Dominio:
MONITOREAR Y EVALUAR
Proceso:
ME2 Monitorear y Evaluar el Control Interno.
·
Objetivo
de control: evaluación del desempeño de las TI
Dictamen: Nivel
de madurez: 0 No Existente: La organización carece de procedimientos para
monitorear la efectividad de los controles internos. Los métodos de reporte de
control interno gerenciales no existen. Existe una falta generalizada de conciencia
sobre la seguridad operativa y el aseguramiento del control interno de TI
Hallazgos que soportan el
dictamen: se evidencia la inexistencia de procedimientos para la evaluación de la seguridad
operativa y el desempeño de las TI, generando dificultades para la
adquisición y reemplazo de las mismas.
Recomendación: se recomienda la evaluación y realización un
concepto técnico que permita establecer si es viable la reparación o reemplazo
de los elementos en dudoso funcionamiento tales como el regulador de 50 KVA de la acometida eléctrica
regulada.
INFORME
EJECUTIVO DE AUDITORIA
Santiago de Cali, 23 de Mayo de 201xx
Doctor:
SAULO RAMÍREZ BURITICA
Gerente Departamental
Contraloría General de la República
Gerencia Departamental Colegiada del Valle del Cauca
Asunto:
Auditoría al hardware de equipos de cómputo, red física, equipos de protección
eléctrica, y seguridad física.
Respetado Doctor:
La oficina de mejora
continua de la Contraloría General de la República en desarrollo de su Plan General de Auditoría
Territorial 2015, ha realizado la Auditoría Interna al hardware de equipos de cómputo, red
física, equipos de protección eléctrica, y seguridad física,
bajo los siguientes parámetros y
herramientas:
1.
EQUIPO AUDITOR
Coordinador de la Auditoría:
xxxxxxxxxxxxx
Ingeniero de Sistemas
Auditores:
- xxxxxxxxxx
- xxxxxxxxxxxxx
2. DURACIÓN
El proceso auditor se
inició a partir del 23 de marzo de 2015 y culmino el 26 de mayo de 2015.
3.
VIGENCIA O PERÍODO AUDITADO
Se audito el año 2014, de acuerdo a lo
establecido.
La Auditoría se realizo de acuerdo con las Normas de auditoría del
proceso auditor territorial coherentes con normas de auditoría generalmente
aceptadas, como guía de desarrollo y evaluación de trabajo, en la aplicación de
los sistemas de control fiscal a través del proceso auditor.
OBJETIVOS Y ALCANCE DE LA
AUDITORIA
Los objetivos de la auditoria
fueron los siguientes:
OBJETIVO GENERAL
Evaluar y conceptuar sobre control de tecnología relacionada a los
diversos procesos operacionales, misionales y de apoyo de la Contraloría
General de la Republica Gerencia Departamental Colegiada Valle del Cauca, en
base a lineamientos y orientaciones establecidos en el estándar COBIT.
.
OBJETIVOS
ESPECÍFICOS
1. Evaluar la planeación y organización (PO) de las estrategias y las
tácticas que permiten contribuir al logro de los objetivos de la organización,
además de la realización de la visión
estratégica, comunicada y administrada desde todas las perspectivas e
implementación de la estructura organizacional y tecnológica.
2. Evaluar la adquisición e implementación de las soluciones en materia de
tecnología de información así como la
integración en los procesos de la entidad así como el cambio y el mantenimiento
de los sistemas existentes.
3. Evaluar la entrega de los servicios requeridos, la prestación del
servicio, la administración de la seguridad y de la continuidad, el soporte del
servicio a los usuarios, la administración de los datos y de las instalaciones
operativas.
4. Evaluar el monitoreo y evaluación en cuanto a su calidad y cumplimiento
de los requerimientos de control, así como también la administración del
desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la
aplicación en la organización.
ALCANCE DE LA AUDITORÍA
En
esta auditoría se evaluara la infraestructura física de la contraloría general
de la republica gerencia departamental colegiada Valle del Cuaca, tales como los
equipos de cómputo, red física, equipos de protección eléctrica, y seguridad
física ya que estos son los que permiten el funcionamiento de todos los
aplicativos, sistemas de información y soluciones tecnológicas que permiten el
desarrollo de los procesos misionales por parte de las personas que conforman
el talento humano de esta entidad.
No
obstante, estos aplicativos, sistemas de información y soluciones tecnológicas
no se auditaran, debido a que no es de interés, ni se encuentra en línea con
los objetivos y pretensiones de esta auditoría.
HALLAZGOS Y RECOMENDACIONES:
Hallazgos:
o
En cuanto al plan
estratégico de TI no se encontró evidencia de
planeación estratégica en TI, se aplican algunas políticas pero definidas
externamente por normatividad, o de acuerdo a las necesidades del momento.
o
En cuanto al planes
tácticos de TI no se encontró evidencia de
planeación táctica en TI, se aplican algunas políticas pero definidas
externamente por normatividad, o de acuerdo a las necesidades del momento.
o
En cuanto a los Protocolos
De Seguridad se encontró
instalados Access point WiFi, los cuales van en contra de los protocolos
de seguridad, motivados por que el cableado estructura es insuficiente para
soportar todos los usuarios.
o
En cuanto a la capacitación
específica para la ejecución de actividades inherentes la organización no posee un plan estratégico que permita garantizar la
constante y oportuna capacitación de sus usuarios.
o
En cuanto a los formatos de
almacenamiento de información la organización ha incurrido en
evolución en la infraestructura TI, la
cual ha causado el cambio constante en métodos y modelos de almacenamiento, lo
que causa problemas de incompatibilidad de datos.
o
En cuanto al Diccionario
de Datos Empresarial y Reglas de Sintaxis de Datos no se encuentra un diccionario de datos implementado, ni una política
clara para el manejo de la información, la información se encuentra organizada
de acuerdo a cada proyecto, siguiendo líneas individuales que no permiten la
consolidación de los datos.
o
En cuanto a la integridad de los datos
no se evidencian manuales y directrices en las cuales se establezcan roles con
los suficientes controles y privilegios que permitan garantizar la integridad
de los datos.
o
En cuanto a la Infraestructura física de las TI se evidencio que el cableado estructurado de la entidad se encuentra diseñado de tal
manera que no se ajusta a las necesidades de la organización.
o
En cuanto al control y alojamiento de datos no se evidencio la existencia de un repositorio de archivos tipo servidor que permita la correcta
interacción e implementación de las TI en materia de información y datos.
o
En cuanto ambientes adecuados para los equipos de TI se evidencio que la organización no cuenta con los
espacios físicos suficientes para la correcta implementación de las TI.
o
En cuanta a la ejecución
de los trámites de las garantías se evidencio que la organización no exige el cumplimiento de los términos establecidos
para el trámite y solución de las garantías, deteriorando el soporte técnico
que reciben los usuarios en materia de TI.
o
En cuanto a los ambientes
de trabajo se evidencio que la organización no cuenta con los espacios físicos suficientes para la
correcta implementación de las TI.
o
En cuanto a la evaluación del desempeño de las
TI se evidencio la inexistencia de procedimientos para la evaluación de la seguridad
operativa y el desempeño de las TI, generando dificultades para la
adquisición y reemplazo de las mismas.
Recomendaciones:
·
Con respecto al pplan
estratégico de TI se recomienda establecer los
diferentes planes estratégicos de TI en conjunto con la Gerencia y de acuerdo a
los planes de gestión y proyectos a futuro.
·
Con respecto a los planes tácticos de TI se recomienda realizar de un plan táctico de TI en conjunto con la alta
dirección y de acuerdo a los planes de gestión y proyectos a futuro.
·
Con respecto a los protocolos de seguridad se recomienda crear políticas claras, aplicarlas
y realizar el correspondiente monitoreo.
·
Con respecto a la capacitación específica para la
ejecución de actividades inherentes se recomienda crear e
implementar el plan de capacitación a los
funcionarios de la entidad de acuerdo a los objetivos y a las estrategias de
TI.
·
Con respecto
a los formatos de almacenamiento de
información se recomienda crear una gran base de datos con todos
los datos que aún no sean obsoletos para la empresa y almacenar esta base de
datos en la nube o utilizar USB que son formatos que duran más en el tiempo y
que aunque sufren cambios no son del todo desastrosos para la seguridad de la
empresa.
·
Con respecto
al Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos se recomienda crear el diccionario de datos, junto con la política de
desarrollo y almacenamiento de información que cree una interfaz clara entre
los diferentes sistemas utilizados, con el fin de garantizar la
interoperabilidad de los mismos.
·
Con respecto
a la integridad de los datos se recomienda tomar posesión de los datos y asumir la
responsabilidad de garantizar su integridad: asimilando la propiedad y
responsabilidad de los datos en un mismo sujeto, para potenciar la eficacia de
su desempeño.
·
Controlar los derechos y privilegios de
acceso: estableciendo niveles de interacción que, bien delimitados, definan
roles y usuarios en su relación con los sistemas y procesos, o lo que es lo
mismo, en su interacción con el dato.
·
Con respecto
a la Infraestructura física de las TI se recomienda crear e invertir en un proyecto que permita
renovar y escalar la infraestructura del cableado estructurado que esté
acorde con los requerimientos de la
entidad.
·
Con respecto
al control y alojamiento de datos se recomienda invertir en un servidor que actué repositorio de archivos con el ánimo
de controlar los datos almacenados e implementar procesos de contingencia tales
como copias de seguridad.
·
Con respecto a los ambientes adecuados para los equipos de TI se recomienda adquirir una nueva sede que cuente con
los ambientes adecuados para el desarrollo de todas las funciones y actividades
de la entidad.
·
Con respecto
a la ejecución de los trámites de las garantías se recomienda establecer controles para así supervisar la
correcta ejecución de las reclamaciones por garantía dentro de los términos
establecidos y hacer cumplir los contratistas las cláusulas contractuales en
las que se establecen los términos para el trámite de las mismas.
·
Con respecto
a los ambientes de trabajo se recomienda adquirir una nueva sede que cuente con los ambientes adecuados para el
desarrollo de todas las funciones y actividades de la entidad.
·
Con respecto
a la evaluación del desempeño de las TI se
recomienda la evaluación y realización un concepto técnico que
permita establecer si es viable la reparación o reemplazo de los elementos en
dudoso funcionamiento tales como el
regulador de 50 KVA de la acometida eléctrica regulada.
PRESENTACIÓN
EN PREZZI
CONCLUSIONES
·
La auditoría es una
herramienta que nos permite revisar y evaluar uno o varios procesos con el
ánimo de corregir un error y proponer soluciones para mitigar sus causas.
·
Lo ideal para una
organización es practicar auditorias informativas en sus múltiples dependencias
y procesos, por lo menos terminada cada vigencia ya que le permite conocer es
estado real de sus procesos y propender a la mejora de estos.
·
COBIT es un marco de
referencia con el cual se puede comparar
los controles de tecnologías de información con el fin de mejorarlos.
·
COBIT ofrece un amplio marco
de trabajo con el cual se puede incrementar y fortalecer la seguridad de la
información en las organizaciones.
REFERENCIAS BIBLIOGRÁFICAS
·
Thorin,
Marc; La Auditoría Informática: métodos, reglas, normas, Ed.
Masson, S.A., 1989
·
Modulo
unidad 2, Auditoria de sistemas, universidad nacional
abierta y a distancia. http://campus13.unad.edu.co/campus13_20151/mod/lesson/view.php?id=676
Fundamentos Informáticos
Universidad de Cádiz,
Servicio de Publicaciones, 1996
• Informática
Instituto Hidrográfico de la
Marina, Servicio de Publicaciones de la
Armada, 1990
• Llacer Rubio, Enrique; Informática y Empresa
Editado por la Caja Rural
Provincial de Sevilla, 1983
• Santodomingo, Adolfo; Introducción a la
informática
Editorial Ariel S.A., 1997
• Thorin, Marc; La Auditoría Informática:
métodos, reglas, normas
Ed. Masson, S.A., 1989