auditoria - aeronautica civil (1)
DESCRIPTION
auditoriaTRANSCRIPT
UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURASFACULTAD DE CIENCIAS ECONÓMICAS
DEPARTAMENTO DE INFORMÁTICA ADMINISTRATIVA
ASIGNATURA: AUDITORÍA EN SISTEMAS
CATEDRÁTICA: LICENCIADA KARLA GARCÍA
ALUMNOS: YESSIKA MARÍA MEDINA QUIÑÓNEZ 20091003396
ROSA GISSELA ZELAYA BAQUEDANO 20092502007
LEONARDO ANTONIO VIJIL SCALICI 20092006325
JOSÉ SALOMÓN ALVARADO M. 20081006119
MISAEL ALBERTO ESPINAL MARTINEZ 20070005366
MARIO DAVID CASTILLO ARGUETA 20092502017
SECCIÓN: 1900
TEGUCIGALPA M.D.C. 18 DE AGOSTO DEL 2014
1
ÍNDICE
INTRODUCCIÓN--------------------------------------------------------------------3 ANTECEDENTES--------------------------------------------------------------------4-5 OBJETIVOS---------------------------------------------------------------------------6MISIÓN-------------------------------------------------------------------------------6ORGANIGRAMA DE LA EMPRESA---------------------------------------------7ORGANIGRAMA DEL DEPARTAMENTO--------------------------------------7JUSTIFICACIÓN---------------------------------------------------------------------8ALCANCE ----------------------------------------------------------------------------8OBJETIVOS GENERALES ---------------------------------------------------------8OBJETIVOS ESPECÍFICOS---------------------------------------------------------8METODOLOGÍA--------------------------------------------------------------------9ANÁLISIS FODA--------------------------------------------------------------------10-12MATRIZ GENERAL-----------------------------------------------------------------13-19MATRIZ ESPECÍFICA-----------------------------------------------------Archivo ExcelPRELIMINAR DE OPORTUNIDADES DE MEJORA --------------------------20-26CRONOGRAMA DE ACTIVIDADES---------------------------------------------27ANEXOS-----------------------------------------------------------------------------28-37CONCLUSIONES-------------------------------------------------------------------38
2
INTRODUCCIÓN
Durante el II Período Académico de la UNAH, se llevó a cabo la elaboración de un proyecto
exclusivo del Departamento de Informática Administrativa, el cual consiste en el
desarrollo de una pequeña Auditoria aplicada al Área de Informática de la empresa:
“Aeronáutica Civil”, dicho trabajo fue realizado por los alumnos de la Clase de Auditoria de
Sistemas, contando con el apoyo y guía especialmente de la Licda. Karla García.
El presente documento nos muestra de manera detallada la elaboración de mencionado
trabajo, en el cual se exponen las habilidades adquiridas durante la clase antes señalada.
El propósito de este proyecto es hacerle ver a la empresa, las fallas que están
aconteciendo en el Área de Tecnología y que de esta manera puedan adquirir conciencia
para mejorar dicha área, debido a que esta es la base de toda organización y como tal
debe de contar con normas específicas que la regulen para un adecuado funcionamiento.
3
Historia de la Dirección General De Aeronáutica Civil de Honduras
La historia de la Aviación tanto Civil como Militar en honduras no estuvo en absoluta
orfandad, por mucho empirismo que hubiere precedido a la creación de la dirección de
aeronáutica civil, los problemas que el devenir de la aviación en nuestro país imponía,
obligaban al gobierno a volver constantemente la atención hacia ese reglón del transporte
en el país, habiéndose creado ya en 1934 la Inspección de Aviación Civil, independiente de
las Fuerzas Aéreas Hondureñas, aunque estos dos en realidad no fuesen más que escarceos
alrededor de un tema de tan delicado atención y de importancia tan decisiva que culminaría
para el año de 1950 con la creación efectiva de la Dirección General de Aeronáutica Civil
como dependencia de un Ministerio del estado.
La Dirección General de Aeronáutica Civil fue creada mediante el decreto legislativo N°.
121 de fecha 14 de marzo de 1950, como una entidad de dedicación Aeronáutica, destinada
a la vigilancia, organización y fomenta de la Aviación Civil. Al momento de su creación se
integró una dependencia del Ministerio de la Guerra, Marina y de Aviación por decreto N°.
58 del 16 de Febrero de 1952 se le traslada a un Ministerio de la Secretaria que fomenta las
Obras Públicas, para pasar posteriormente a ser Dirección General del Ministerio de
Comunicaciones, Obras Públicas y Transporte, y actualmente la Secretaría de Obras
Públicas, Transporte y Vivienda (SOPTRAVI).
4
El primer Director de Aeronáutica Civil fue el Ingeniero Roberto Gálvez Barnes, quienes
era graduado de Ingeniero Aeronáutico en el Instituto Tecnológico de Massachusetts, el
primer centro de estudios tecnológicos de los Estados Unidos y a quien se atribuye iniciar
en Honduras el proyecto de creación de la primera autoridad Aeronáutica en el país.
Es importante que en esta relación histórica hacer mención de los distinguidos profesionales que continuaron con los destinos y labor de Ing. Gálvez Barnes, mencionándose en sucesión del Ing. Norberto guillen; Ing. Germán Domínguez Argucia, este último notable profesional de la rama de Aeropuertos, quien posteriormente fuera nombrado como el experto en tal campo de la Organización de Aviación Civil Internacional OACI. Se destaca para ese tiempo un grupo de profesionales en su calidad de asesores dieron forma verdaderamente institucional de la dependencia tales como el Lic. Darío Montes; Lic. Rafael Paz Paredes asesor de Ing. Gálvez Barnes en la elaboración de la Ley de Aeronáutica Civil el Cap. Armando San Martin, último este que fuera el primer jefe de Servicios Meteorológico Nacional, de igual mención es el Capitán Alfonso Reina que junto con el Cap. San Martin se graduaron en Meteorología. En la Universidad de Medellín Colombia.
La grandiosa obra de estructuración orgánica de la Dirección General de Aeronáutica Civil,
y considerada como primera etapa de su desarrollo integral; cierra su cuadro ejecutivo con
la presencia del profesor Lisandro Rosales Abella, a quien toco el privilegio de iniciar los
transmites. Para la creación de la Corporación Centroamericana de Servicios de
Navegación Aérea COCESNA y el primer Gerente General de la misma.
La primera Ley de Aeronáutica Civil se aprobó el 8 de abril de 1930 mediante el decreto
217 del Congreso Nacional, la segunda de ley se aprueba el 14 de marzo de 1950, y la
tercera ley aeronáutica aún vigente se aprueba el 3 de septiembre de 1957 bajo el decreto
N°. 146 de la Junta Militar del Gobierno.
5
Misión
Ejecutar todas las acciones necesarias y correspondientes a la autoridad de aviación civil derivadas de la ley de Aeronáutica Civil, reglamentos vigentes y convenios internacionales.
Visión
Ser la institución de Aviación Civil líder en la región de seguridad aeroportuaria en todos los ámbitos, promoviendo al mismo tiempo la mejora continua de los procesos operacionales, de servicio o infraestructura de aeropuertos, con el fin de categorizar al máximo rango los aeropuertos internacionales del país.
Objetivos:
1. Garantizar la seguridad del transporte y la navegación aérea.
2. Planificar y desarrollar los medios requeridos para responder eficazmente a las
necesidades de los usuarios del transporte aéreo en Honduras, haciéndolo seguro,
regular y económico.
3. Planificar y desarrollar, como consecuencia de lo anterior, una infraestructura de
aerovías.
4. Fomentar el desarrollo general de la aviación civil en todos sus aspectos.
Valores
Austeridad
Compromiso
Equidad
Honestidad
Imparcialidad
Lealtad
Profesionalidad
Respeto
Responsabilidad
6
Servicio
Solidaridad
Tolerancia
Transparencia
Ética
Dirección
Mando
Organigrama de la Empresa
7
JUSTIFICACIÓN
La elaboración de dicho proyecto, se realizó considerando la necesidad de que en el Área
de Tecnología de la Empresa Aeronáutica Civil, se observaron ciertas deficiencias y que la
misma no cuenta o no se basa en una norma que la regule para la realización de las
actividades que se llevan a cabo dentro del área.
ALCANCE
Con la elaboración de este trabajo se pretende que los encargados del Área de Tecnología
de la Empresa Aeronáutica Civil, tomen conciencia de las dificultades que se están
teniendo y que de esta manera adopten una norma adecuada que satisfaga cada una de
las actividades que se realizan dentro de mencionada área.
OBJETIVOS GENERALES
Realizar un diagnóstico sobre los controles y análisis de desempeño de software y hardware de la empresa Aeronáutica Civil.
OBJETIVOS ESPECÍFICOS
1. Analizar las fortalezas, oportunidades, debilidades y amenazas de la organización.
8
2. Recomendar un mejor control de seguridad dentro del departamento de TI, tomando como base las normas ISO, ITIL, COBIT.
3. Sugerir capacitaciones para el recurso humano para que estos brinden un mejor desempeño en el desarrollo de sus actividades.
4. Recomendar la creación de políticas que regulen el ingreso a personal no autorizado a áreas que contienen información importante de la empresa, como el departamento de TI.
METODOLOGÍA
Con base en el objetivo y alcance expuesto se establece el siguiente esquema de trabajo:
1. Comprensión de los controles básicos de los ambientes computacionales
Entendimiento de los esquemas de trabajo, prácticas y estructuras organizativas utilizadas en la mayoría de los departamentos de tecnología.
Esto se hará por medio de cuestionario de diagnóstico basado en COBIT, dirigida a empresas que cuenten con un departamento de sistemas establecido, lo cual permitirá evidenciar áreas de fortaleza, oportunidad, debilidad y amenazas principalmente en las áreas principales como ser:
Hardware Software Redes y comunicaciones Mantenimientos Seguridad Organización
2. Riesgos asociados
9
El diagnostico nos permitirá realizar una matriz de Riesgos básica que mediante una ponderación equitativa en cada área estudiada, nos permita evaluar el nivel de madurez del departamento de sistemas.
3. Emisión de informe
Como resultado del proceso de evaluación se generará el Informe de los resultados de la aplicación de algunos procedimientos de auditoría en el Área de Tecnología de la Información para la Entidad en donde se detallan las principales oportunidades de mejora, su impacto, las recomendaciones y conclusiones relacionadas, basándose en normativas y mejores prácticas internaciones.
Análisis DAFO
Debilidades Amenaza El departamento de Aeronáutica civil no
cuenta con un organigrama con una adecuada separación de funciones. Es una debilidad por que al no haber una división adecuada de trabajo existirá duplicidad de funciones, no da lugar a la especialización y perfeccionamiento en el trabajo. Además, impide el movimiento de los conocimientos y habilidades especializadas para su uso en los puntos donde más se necesitan y dificulta la supervisión.
No cuenta con manuales de descripción de funciones y puestos claramente definidos. Al no contar con un manual de procedimientos y puestos definidos la empresa no delimita actividades, responsabilidades, funciones, disminuye la eficacia de los empleados, ya que, no indican lo que debe hacer y cómo lo debe hacer, evita unificar y controlar el cumplimiento de tareas de la empresa, no alcanzan un entorno laboral de alto nivel, debido a que no existen cargos definidos, el personal no tiene un conocimiento claro y preciso de los cargos.
El área de TI está expuesta al hurto de información ya que no hay un control de acceso adecuado. Un ejemplo de ello es que el nivel lógico algunas computadoras comparte sus archivos en la red local y los programas de antivirus son piratas.
No se maneja ninguna protección contra factores ambientales, por ejemplo no hay manejo de extintores, no hay rotulación que pueda evacuar al personal en caso de un incidente.
Algunas aplicaciones no cuentan con una licencia y en el futuro podrían dejar de funcionar y enfrentar problemas legales y por ende afectar las operaciones de la empresa.
El equipo de cómputo está expuesto a inundaciones en especial el cableado de red por lo cual se podría perderse la comunicación y no recuperarse.
No hay una cultura de responsabilidad por parte del personal al sistema por ejemplo algunas personas no implementan contraseñas dejando expuesta la información.
El personal podría tener enfermedades (estrés, sorderas) producto del ruido de
10
No cuentan con políticas y procedimientos definidos para el reclutamiento, la selección y contratación del personal de Sistemas. Debe existir políticas de reclutamiento como por ejemplo una que describa qué es lo que realmente requiere un puesto, ya que Determina exactamente cuáles serán las responsabilidades del puesto que se intenta llenar es la única alternativa para obtener candidatos adecuados.
No Se realiza una auditoría al Departamento de Sistemas periódicamente. la DGAC no realiza una auditoria en el departamento de informática, lo cual es una debilidad porque se privan del buen desempeño de los sistemas de información, ya que la auditoría proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además se debe evaluar todo (informática, organización de centros de información, hardware y software). Por eso es necesario que la empresa realice una auditoría
No contar con políticas definidas para evaluar al personal del Departamento de Sistemas, consideramos que es una debilidad ya que al no evaluar al personal la organización no obtiene información para la toma de decisiones: no se dan cuenta si el personal está siendo eficiente en sus operaciones, o si están haciendo actividades ilícitas.
No rotar al personal para realizar las funciones operacionales básicas del Departamento de Sistemas, es una debilidad para la empresa, porque cuando uno empleado deja de faltar nadie podrá sustituirlo de momento, ya que solo él conoce el funcionamiento de ese puesto, además cambiar el personal de puesto causa satisfacción en el empleado, porque su trabajo deja de ser
los aviones ya que el área de TI está muy cerca de la pista de aterrizaje de los aviones y no se cuenta con la infraestructura adecuada.
11
rutinario y aumenta sus conocimientos.´ No existe un control y análisis del
desempeño del hardware para proyectar y presupuestar a futuro cambios de equipo. Es necesario evaluar el equipo de hardware para hacer una estimación en cuanto a tiempo de vida útil, costo de adquirir equipo nuevo, se debe contar con un presupuesto y así evitar que el personal pare sus labores porque fallo el equipo y no hay presupuesto para cambiarlo.
No tener un plan de contingencia para situaciones de emergencias es una debilidad ya que no sabemos qué plan seguir en ese momento, cuales son los procedimientos y que decisiones tomar.
No existen manuales operativos (trascripción de datos, de operación, de biblioteca, de usuario) para cada aplicación del computador. El usuario no se puede guiar de un manual, para realizar sus operaciones de la forma correcta, en caso de no tener claro algunos procedimientos, es probable que el usuario improvise en estos casos y los datos ingresados no sean correctos.
No capacitar al personal de transcripción de datos en fallos en el computador es una debilidad para la empresa ya que el personal tiene que acudir donde un experto para solucionar el problema, eso genera pérdida de tiempo y por lo tanto retraso en sus funciones.
Fortaleza Oportunidades Cuentan con un plan estratégico de
sistemas lo cual ayuda a la organización a alcanzar los sus resultados esperados.
Tienen un comité de informática los cuales se encargan de coordinar las actividades de la organización.
El personal está bien dedicado a las actividades ya que existen filtros de
El departamento unifique sus funciones y actividades con los demás aeropuertos de Honduras.
La Dirección General de Aeronáutica civil establezca un convenio con el Departamento de Informática de la Universidad Autónoma de Honduras, donde los alumnos puedan realizar su
12
internet que impiden distracciones. El personal es más eficiente ya que se
especializa en la ejecución de tareas específicas.
Los empleados gozan de todos los beneficios de la ley.
Existe un adecuado mantenimiento del equipo por tanto se evitan daños y se previene el mal funcionamiento del mismo.
Existe seguridad en los documentos, estos vienen marcado y firmados por quien lo redacto esto evita que se dupliquen.
práctica profesional, desarrollando nuevos módulos al sistema existente o el desarrollo de nuevas aplicaciones.
Aprovechar los conocimientos adquiridos en las capacitaciones que se le dan al personal, para mejorar en manejo de la información.
Aprovechar las auditorías realizadas para presentar planes de mejora al área de TI, a la alta gerencia.
Matriz de Riesgo
Áreas Susceptiblesde Auditar
Aspectos o componentes por
Evaluar del área.Componentes
Riesgo por component
es
Clasificación del riesgo por área (Total)
Seguridad
1.Software/Aplicaciones
1. Control de administración de password o contraseña.
8%
53.5%
2. Políticas y procedimientos de instalación y mantenimiento de software.
6.5%
3. Procedimientos para la seguridad de la Base de Datos.
6.5%
4. Control de procedimientos y programas de antivirus.
6.5%
5. Control de software legal.
6.5%
6. Control del Inventario de software.
6.5%
7. Políticas y controles de las aplicaciones de software para el registro de usuarios.
6.5%
13
8. Centro de Cómputo con archivos de respaldo externos (back up).
6.5%
2. Hardware
1. Localización y distribución física del Departamento de Sistemas.
6.5%
20%2 Seguridad al acceso del equipo de cómputo. 7%3. Controles ambientales para proteger contra las condiciones de humedad, temperatura.
6.5%
4. Protección y organización de sistema de cableado y cables.
7%
26.5%3. Plan de contingencia y de recuperación.
1. Control para el procedimiento de respaldos para los programas.
6.5%
2 .Control para que solo el personal autorizado tenga acceso a los respaldos.
6.5%
3. Políticas para un plan de contingencia.
6.5%
14
(PO1) Definir un Plan Estratégico de TI13%
(PO2) Definir la Arquitectura de la
Información8%
(PO3) Determinar la Dirección Tec-nologíca13%
(PO4) Definir Los Procesos, Or-ganización Y Relaciones De TI
33%
(PO6) Comunicar Las Aspiraciones Y La Di-rección De La Geren-
cia8%
(PO7) Administrar Los Recursos Hu-manos De TI
21%
(PO9) Evaluar Y Administrar Los Riesgos De TI
4%
Planear y Organizar
Análisis:
Según la encuesta aplicada en la empresa nos brinda la siguiente información:
15
La grafica nos explica que un 4% (PO9) Evaluar y administrar los riesgos de TI, es un factor débil que deben de mejorar donde posiblemente las PC no tienen contraseñas y la información está al alcance de todas las personas y esto podría generar fuga de datos.
Otro punto que analizamos es el resultado de 13% que se refiere a que la empresa debería de contar con un plan estratégico de TI bien estructurado esto ayudara a que sus procesos se realicen de manera correcta y exista coherencia entre los datos que manejan los distintos departamentos de la empresa.
En cuanto al 13% de determinar la Dirección Tecnológica encontramos que la empresa se encuentra en un término medio, los puntos más importantes que encontramos en los que tienen que mejorar, es que no cuentan con el equipo apropiado para que el personal trabaje de una manera cómoda por ejemplo actualmente las computadoras que tienen producen vibraciones en las pantallas causando molestias cuando se trabaja con ellas. Otro aspecto importante es que no tienen restringido el acceso a solo personal del departamento de TI y esto podría afectar a la empresa.
Las políticas sobre el uso de los recursos de TI que como resultado se obtuvo un 21% se encuentran bien, ya que existe la restricción sobre el uso de internet, comunicación de voz, fax y descargas de videos.
Y por último otro punto importante es el (PO4) definir los procesos, organización y relaciones de TI que con un resultado de 33%, la empresa reflejo que están en un nivel alto en cuanto a estos aspectos.
16
(AI1) Identificar Solu-ciones Automatizadas
31%
(AI2) Adquirir y Mantener Software Aplicativo25%
(AI3) Adquirir y Man-tener Infraestructura
Tecnológica6%
(AI4) Facilitar la Operación y el Uso
31%
(AI5) Adquirir Recursos de TI6%
Adquirir e Implementar
Análisis:
Según la encuesta aplicada en la empresa nos brinda la siguiente información, mencionaremos los aspectos más relevantes que encontramos:
En este grafico podemos observar que las adquisiciones (AI5) Adquirir los recursos de TI y la (AI3) Adquirir y mantener la infraestructura tecnológica reflejan un resultado de 6%, que según la encuesta que aplicamos la empresa no cuenta con las disposiciones de seguridad para recursos informáticos instalados fuera de la organización y también que el centro de cómputo solo cuenta con archivos de respaldo interno de programas y de datos, es importante que también manejen back up externos por lo que recomendamos que los apliquen.
En (AI2) Adquirir y Mantener Software aplicativo la encuesta reflejo un resultado de 25%, lo que significa que la empresa si lleva un control y análisis del desempeño de software aplicativo para proyectar y presupuestar a futuro cambios más avanzados en el software.
(AI4) Facilitar la operación y uso se obtuvo un resultado de 31% sobre las preguntas realizadas pudimos analizar que la empresa no tiene un apolítica bien estructurada sobre las restricciones que impidan el fácil acceso del personal no autorizado al departamento de TI, esto es un punto en el que deben mejorar ya que la seguridad de los datos es una parte fundamental para que una empresa tenga éxito.
17
Y el último punto que analizamos que es (AI1) Identificar soluciones automatizadas la empresa obtuvo un resultado de 32%, lo que significa que si cuentan con este tipo de soluciones por ejemplo tienen sistemas que han hecho que sus procesos sean más rápidos, donde también se han ahorrado costos y sobre todo tiempo, al pasar de operaciones que antes las hacían manuales ahora las tienen automatizadas.
(ME1) Monitorear y Evaluar el De-sempeño de TI
67%
(ME4) Proporcio-nar Gobierno de TI
33%
Monitorear y Evaluar
Según la encuesta aplicada en la empresa nos brinda la siguiente información, mencionaremos los aspectos más relevantes que encontramos:
Este grafico refleja un resultado de 67% en cuanto a (ME1) monitorear y evaluar el desempeño de TI, según la encuesta pudimos analizar que la empresa tiene un control medio en cuanto a este aspecto, entre lo más relevante es que la empresa cuenta con procedimientos para evaluar el desempeño de la administración de base de datos, también llevan un buen control en cuanto al uso de internet, la actualización de la información es aceptable, el tiempo de respuesta a peticiones de los usuarios se considera normal y también encontramos que la calidad de los servicios ofrecidos se puede considerar satisfactoria.
18
(DS3) Administrar El Desempeño Y La Capacidad
1%(DS4) Garantizar La Continuidad Del
Servicio6%
(DS5) Garantizar La Se-guridad En Los Sistema
30%
(DS6) Identificar Y Asignar Costos
1%(DS7) Educar Y Entrenar A Los
Usuarios6%
(DS8) Administrar La Mesa De Ser-vicio Y Los Incidentes
6%
(DS9) Administrar la configuración1%
(DS10) Administrar Los Problemas1%
(DS11) Administrar Los Datos25%
(DS12) Adminis-trar El Ambiente
Físico21%
Entrega y Soporte
Análisis:
Según la encuesta aplicada en la empresa nos brinda la siguiente información:
La grafica nos muestra que un 2% (DS3) Administrar El Desempeño Y La Capacidad, es un factor débil que deben de mejorar ya que la capacidad del desempeño del hardware y software es muy limitado como se observa en los resultados.
Otro punto que analizamos es el resultado de 6% Garantizar La Continuidad Del Servicio, este resultado es muy bajo ya que la empresa no cuenta con un plan de contingencia ni las herramientas necesarias para garantizar un servicio continuo por algún problema que ocurra en el departamento (TI).
En cuanto al 30% Garantizar La Seguridad En Los Sistema, este punto es uno de los más altos ya que cumple la mayoría de las normas pero hace falta implementar muchos más sistemas de seguridad que mantenga la integridad da la información y el software.
(DS6) Identificar Y Asignar Costos presenta un porcentaje del 2% esta es una debilidad en contratada ya que no cuentan con un control de asignación de costos eficiente.
19
El siguiente punto evaluado (DS7) Educar Y Entrenar A Los Usuarios es un 6% es bajo ya que los usuarios no reciben una capacitación muy extensa y detallada que permita a los usuarios manejar de la mejor manera los sistemas se recomienda mayor capacitación a los usuarios.
(DS9) Administrar la configuración tiene un porcentaje del 1% ya que no la toman muy en cuenta siendo un punto tan importante se encuentra esta debilidad que está afectando mucho a la empresa se recomienda atender es punto.
La (DS10) Administrar Los Problemas cuenta con un porcentaje muy bajo del 1% es porque no llevan un control de los problemas que están surgiendo o van a surgir esto provoca un atraso al momento en que surgen los problemas.
De igual forma (DS8) Administrar La Mesa De Servicio Y Los Incidentes tiene un porcentaje 6% ya que muy poco se atiende este punto lo cual provocado muchos incidentes por no llevar un plan o registros de los mismos.
(DS11) Administrar Los Datos cuenta con un porcentaje de los más altos de 25% ya que se lleva una buena administración de los datos como realiza los respaldos necesarios pero a la vez se encuentran algunas debilidades a solventar y por último (DS12) Administrar El Ambiente Físico con un porcentaje de 21% ya que cuenta con la mayoría de normas establecidas para la seguridad física pero si empre se encuentran debilidades a solventar,
RECOMENDACIONES
De acuerdo con los resultados obtenidos, se le recomienda a la empresa lo siguiente:
OPORTUNIDADES DE MEJORA
AREA OPORTUNIDADES IMPACTO DEL NEGOCIO
RECOMENDACIONES RIESGO
Cobit 4.1 Planificación y Organización
Crear un organigrama adecuado para distribuir las funciones de manera adecuada.
No llevar un organigrama adecuado impide que la organización distribuya adecuadamente
PO4- Definir la Organización y Relaciones de la Función de TI, que toma en consideración:
Comité de dirección Consejo de nivel de
responsabilidad Propiedad, custodia
Que los colaboradores no pongan de su parte en este proceso de mejora.
20
el trabajo y esto puede crear atraso de trabajo.
Supervisión Segregación de
obligaciones Roles y
responsabilidades Descripciones del
trabajo Provisión de niveles Clave personal
Cobit 4.1 Planificación y Organización y proceso de prestación de servicio y soporte
Al tener procedimientos definidos para la contratación de empleados, ayuda a la mejor toma de decisión para la contratación de un empleado y promover el mejoramiento continuo de estos.
Un proceso de capacitación continua para el empleado
PO7- Administración del Recurso Humano, que toma en consideración:
Refuerzo y promoción
Requisitos de calidad
Entrenamiento Construcción del
conocimiento Evaluación de la
ejecución objetiva y medible
DS7-Capacitación de usuarios, que toma en consideración:
Plan de estudios de entrenamiento
Campañas de conocimiento
Técnicas de conocimiento
Incrementaría los costos de la organización y para que esto no afecte a la organización se debería realizar una correcta planificación de los tiempos en los que se pueden realizar estas capacitaciones..
Cobit 4.1 Crear controles para el monitoreo
El personal puede alterar la
ME1- Monitorear y Existe el
21
Proceso de Monitoreo y seguimiento
y seguimiento ya que esto permitiría tener un mayor control por parte de la organización para evaluar el desempeño de los empleados monitoreo de las aplicaciones y optimizar la respuesta de trabajo de los empleados.
información de las aplicaciones existentes y su desempeño no puede ser evaluado.
Evaluar el Desempeño de TI, que toma en consideración:
Método de monitoreo
Evaluación del desempeño
Reportes al consejo directivo y a ejecutivos
Acciones correctivas
ME2- Monitorear y Evaluar el Control Interno, que toma en consideración:
Monitorear el marco de trabajo de control interno
Revisiones de Auditoría Auto-evaluación de control
Control interno para terceros
Acciones correctivas
ME3- Garantizar el Cumplimiento Regulatorio, que toma en consideración:
Identificar las leyes y regulaciones con impacto potencial sobre TI
Optimizar la respuesta a requerimientos regulatorios
Evaluación del cumplimiento con requerimientos
riesgo que no se cumplan estos controles para esto debe existir una persona que mantenga una correcta integridad de estos procesos.
22
regulatorios Aseguramiento
positivo del cumplimiento
Reportes integrados
ME4- Proporcionar Gobierno de TI, que toma en consideración:
Establecer un marco de trabajo de gobierno para TI
Alineamiento estratégico
Entrega de valor Administración de
recursos Administración de
riesgos Medición del
desempeño
Cobit 4.1 Proceso de Adquisición e Implementación.
Llevar un control adecuado del equipo que manejan los colaboradores y evaluar el estado de ellos.
Mal rendimiento del equipo de nos empleados y incumplimiento de los requerimientos del equipo para las actividades del empleado.
AI1-Identificación de Soluciones Automatizadas, que toma en consideración:
Definición de la información de requisitos
Estudios factibles (costes, beneficios, alternativas, etc.)
Requisitos de usuario
Arquitectura de la información
Seguridad del coste-efectivo
Contratación
Carecer de un presupuesto para la adquisición de nuevo equipo o la compra de hardware para mejorar el equipo existente.
23
externaAI2-Adquisición y Mantenimiento de Software Aplicativo, que toma en consideración:
Requisitos de usuario
Diseño de alto nivel Diseño detallado Archivo, gasto,
proceso y requisitos externos
Interfaz de la máquina-usuario
Controles de aplicación y requisitos de seguridad
Documentación
AI3-Adquisición y Mantenimiento de Arquitectura TI, que toma en consideración:
Asentamiento de la tecnología
Mantenimiento del hardware preventivo
Seguridad del sistema software, instalación, mantenimiento y cambio de controles
AI4-Facilitar la Operación y el Uso, que toma en consideración:
Plan para
24
soluciones de operación
Transferencia de conocimiento a la gerencia del negocio
Transferencia de conocimiento a usuarios finales
Transferencia de conocimiento al personal de operaciones y soporte
AI5-Adquirir Recursos de TI, que toma en consideración:
Control de adquisición
Administración de contratos con proveedores
Selección de proveedores
Adquisición de software
Adquisición de recursos de desarrollo
Adquisición de infraestructura, instalaciones y servicios relacionados
AI6- Administrar Cambios, que toma en consideración:
Estándares y procedimientos para cambios
Evaluación de impacto,
25
priorización y autorización
Cambios de emergencia
Seguimiento y reporte del estatus de cambio
Cierre y documentación del cambio
Cobit 4.1 Proceso de Entrega y Dar Soporte.
Disponer de un sistema de autorización, acceso, normar en cuanto a las contraseñas y políticas para el uso de unidades del almacenamiento para prevenir la fuga de información.
Dentro del Departamento de Informática de Aeronáutica Civil, el departamento está expuesta al hurto de información ya que no hay un control de acceso adecuado, no se maneja ninguna protección contra factores ambientales, el personal podría tener enfermedades (estrés, sorderas) producto del ruido de los aviones ya que el área de TI está muy cerca de la pista de aterrizaje
DS5- Garantizar la Seguridad del Sistema, que toma en consideración:
— Autorización— Autenticidad— Acceso— Uso de protección e
identificación— Gestión de clave
criptográfica— Detección y
prevención de virus— Cortafuegos
DS12- Administración de Instalaciones (Ambiente Físico), que toma en consideración:
— Identificación de la situación
— Seguridad física— Salud y seguridad
del personal— Protección de
amenazas del entorno
Carecer de un presupuesto para la adquisición de material para detener el ruido de la pista.
26
CRONOGRAMA DE ACTIVIDADES
Fecha Actividad Encargado Entrego a tiempo
Avance enviado a
la Lic.20-Julio-2014 Visión, Misión,
objetivos, organigrama y valores de la empresa
Misael y Mario OK OK
25-Julio-2014 Cuestionario Rosa y Leonardo OK OK02-Agosto-2014 Matriz de riesgo Salomón OK OK06-Agosto-2014 Matriz de riesgo
PonderadaLeonardo y Yessika OK OK
07-Agosto-2014 Análisis FODA Yessika, Misael y Mario
OK OK
27
11-Agosto-2014 Resumen de la matriz
Rosa, Salomón, Misael, Mario,
Yessika y Leonardo
OK OK
11-Agosto-2014 Gráficos Rosa y Salomón OK OK16-Agosto-2014 Recomendaciones Yessika y Leonardo OK OK17-Agostro-2014 Introducción,
Antecedentes, justificación, alcance
y Metodología
Yessika OK OK
17-Agostro-2014 Cronograma de trabajo
Leonardo OK OK
17-Agosto-2014 Unificación del informe
Yessika y Leonardo OK OK
17-Agosto-2014 Viñeta para el cd Salomón OK OK17-Agosto-2014 Conclusiones Salomón OK OK18-Agosto-2014 Revisión y
corrección del informe final
Yessika OK OK
ANEXOS
CUESTIONARIO DE CONTROL INTERNO Y PROGRAMAS DE AUDITORIA
ORGANIZACIÓN
CONTROL SI NO N/A REFERENCIA
1 ¿Existe en la institución un organigrama general? SI
2 ¿Existe un organigrama en el Departamento de Sistemas con una adecuada separación de funciones?
NO
3 ¿Existen manuales de descripción de funciones y puestos claramente definidos?
NO
4 ¿Existen políticas y procedimientos definidos para el reclutamiento, la selección y contratación del personal de Sistemas?
NO
6 ¿Existe un Comité de Informática que coordine y supervise las actividades de Sistemas de la empresa?
SI
28
7 ¿Se realizan auditorías al Departamento de Sistemas periódicamente?
NO
ADMINISTRACIÓN
B- CONTROL SI NO N/A REFERENCIA
11 ¿Existe un plan de capacitación continuo y adecuado para el personal del Departamento de Sistemas?
SI
12 ¿Se cuentan con políticas definidas para evaluar al personal del Departamento de Sistemas?
NO
13.1
¿Existe rotación del personal para las funciones operacionales básicas del Departamento de Sistemas?
NO
13.2
¿Existe rotación del personal para las funciones operacionales básicas de las aplicaciones automatizadas?
NO
14 ¿Existe un plan previo de vacaciones para el personal del Departamento de Sistemas?
SI
15 ¿Cuenta el Departamento de Sistemas con políticas definidas para la terminación del contrato de trabajo del personal de Sistemas?
SI
16 ¿Se cuenta con un plan estratégico de Sistemas acorde con los objetivos de la empresa?
SI
17 ¿Existe un programa de actividades a corto, mediano y largo plazo de todas las funciones del Departamento de Sistemas?
SI
18 ¿Existe una adecuada y oportuna supervisión de labores del Departamento de Sistemas?
NO
19 ¿Se cumple con las disposiciones gubernamentales para procesar las operaciones en un sistema automatizado?
NO
20 ¿El software operativo y aplicativo adquirido de proveedores externos cuenta con sus respectivas licencias originales?
NO
29
21 ¿Existen políticas de las Tecnologías de Información y Comunicaciones? SI
OPERACIONES
D-CONTROL SI NO N/A REFERENCIA
37 ¿Están diseñados en la red de seguridad, los diferentes grupos o categorías del personal involucrado en las aplicaciones?
SI
38 ¿Cuenta el Departamento de Sistemas con hardware interno o externo similar o compatible para ser utilizado en caso de emergencias?
NO
39.1
¿Existe un adecuado mantenimiento preventivo de hardware?
SI
39.2
¿Existe un control y análisis del desempeño del hardware para proyectar y presupuestar a futuro cambios de equipo?
NO
40 ¿Existe un plan de contingencia para situaciones de emergencias?
NO
41.1
¿El uso de Internet es controlado adecuadamente? SI
41.2
¿Se cuenta con procedimientos de seguridad para evitar el contagio de virus por Internet?
NO NO SON ADECUADOS
PROCESAMIENTO
E- CONTROL SI NO N/A REFERENCIA45 ¿Existen manuales operativos (trascripción de datos, de
operación, de biblioteca, de usuario) para cada aplicación del computador?
NO
47.1
¿En el punto de preparación, registro o envío de los datos, todas las transacciones son controladas por medio de listados
SI
30
o totales de control adecuados?47.2
¿Existe la función de control de procesos y de datos, para verificar y revisar los datos de entrada, procesos y salidas o resultados en el Departamento dueño de la aplicación?
SI
47.4
¿Existen procedimientos definidos para la corrección y retroalimentación de transacciones no registradas por tener errores?
SI
48 ¿Existen rutinas de validación de inconsistencias en los programas de captación de datos y/o programas de inconsistencias especialmente diseñados para tal efecto?
SI
49 ¿El personal de trascripción y operación está capacitado para identificar fallas de funcionamiento del computador?
NO
50 ¿Son marcados o sellados los documentos fuentes utilizados en la captación de datos para protegerlos contra duplicados o reentradas?
SI
51.1
¿Son los reportes de salidas que contienen información confidencial y sensible, mantenida y manejada con la prudencia que corresponde?
NO
51.2
¿La información confidencial y sensible mantenida en los archivos magnéticos, es restringida y autorizada a los funcionarios y personal de nivel adecuado?
NO
53 ¿Los operadores del computador y/o los operadores de las aplicaciones en el Departamento de origen poseen conocimientos de programación de computadoras?
SI
54 Existe adecuada segregación de tareas en el procesamiento de las aplicaciones?
SI
SEGURIDAD LÓGICA
F- CONTROL SI NO N/A REFERENCIA55.1
¿Existe un procedimiento eficiente para el otorgamiento y administración de password o contraseña?
SI
55.2
¿Existe un procedimiento eficiente para la concientización en el personal sobre la responsabilidad, uso y manejo de contraseñas?
NO
56.1
¿Se han designado a algunas personas para llevar a cabo las funciones de administración de seguridad de los sistemas?
NO
31
56.3
¿Existe por parte de la jefatura de Sistemas un análisis sobre el acceso de los usuarios al computador y a las aplicaciones?
NO
57 ¿Existen procedimientos de control que protejan la información que es transmitida entre el computador central o servidor y las computadoras y/o terminales remotas?
NO
58 ¿Cuenta la empresa con procedimientos y programas de antivirus?
SI PIRATAS
59 ¿Cuenta el centro de Cómputo con suficientes UPS u otros sistemas alternativos que garanticen el suministro de energía por el tiempo suficiente para la protección oportuna de archivos o programas?
NO
60 ¿Existen adecuados procedimientos de control para el otorgamiento de terceros a los sistemas de información?
NO
61 ¿Existe un Comité de Gestión de la Seguridad de la Información u otro órgano interno con similares funciones’
NO
62 ¿Existen políticas sobre el uso de medidas criptográficas?
NO
32
SEGURIDAD FISICA
G- CONTROL SI NO N/A REFERENCIA
63 ¿La localización y distribución física del Departamento de Sistemas es la adecuada?
NO
64.1 ¿El acceso al centro de Cómputo es permitido solamente al personal del Departamento?
SI
64.2 ¿Existen rótulos visibles que indiquen que el Departamento de Sistemas y en especial el centro de Cómputo es área restringida?
NO
64.3 ¿El personal del Departamento de Sistemas está debidamente identificado?
NO
66 ¿Existen controles ambientales para proteger contra las condiciones de humedad, temperatura y otras condiciones ambientales que pudieran afectar al centro de Cómputo?
SI
67 ¿Existen extintores contra el fuego en el Departamento de Sistemas?
NO
68 ¿Cuenta la empresa con una planta de energía eléctrica que la provea de energía en caso de ausencia de la misma?
NO
69.1 ¿Cuenta el centro de Cómputo con su propio panel de control de breaker? (interruptores)
SI
69.2 ¿Los toma corrientes están debidamente identificados y protegidos?
NO
69.3 ¿El sistema de cableado y cables están debidamente identificados y protegidos contra daños y/o violaciones a la información?
NO
70 ¿Existen restricciones físicas que impidan el fácil acceso de personas no autorizadas a las terminales o computadoras y adecuados procedimientos para garantizar la correcta y segura salida y retorno del hardware y software de la organización
NO
71 ¿Cuenta la institución con loockers para proteger los Hub Routers y/o Switch?
SI
33
72 ¿El Servidor de Producción o de Aplicaciones se encuentra separado físicamente de los demás servidores?
NO
ALMACENAMIENTO
H- CONTROL SI NO N/A REFERENCIA76.1
¿El Departamento de Sistemas cuenta con una biblioteca de archivos y programas?
NO
76.2
¿Existen procedimientos definidos para el uso de archivos de datos, programas y aplicaciones de la biblioteca?
NO
77 ¿Cuenta el centro de Cómputo con archivos de respaldo externos (back up) de programas y de datos ubicados fuera de las instalaciones?
SI
ADMINISTRACIÓN Y OPERACIÓN DE REDES
I- CONTROL SI NO N/A REFERENCIA
78 ¿Existen estándares y políticas para la administración de la Red?
SI
79 ¿Existen procedimientos establecidos para la eficiente operación de la Red?
NO
80 ¿Existen procedimientos que verifiquen la seguridad e integridad de la Red?
NO
81 Existe una política para el personal que usa recursos de comunicación de voz, facsímile y video?
NO
82 ¿El funcionamiento de la Red es eficiente? (encuesta a usuarios)
SI
34
ADMINISTRACIÓN Y OPERACIÓN DE BASE DE DATOS
J- CONTROL SI NO N/A REFERENCIA
85 ¿Existen procedimientos para el desempeño de las funciones del Administrador de la Base de Datos?
NO
86 ¿Existen procedimientos para la seguridad de la Base de Datos?
NO
AUDITORIA INFORMÁTICA
PREGUNTAS SI NO PRIORIDADERGONOMÍA
¿Las pantallas de los usuarios producen vibraciones que molestan cuando se trabaja con ellas?
NO
¿Los asientos de los usuarios permiten mantener posiciones de trabajo confortables?
NO
¿El ruido producido por impresoras y demás periféricos alcanza niveles excesivos?
NO
¿Se han producido enfermedades o bajas laborales como consecuencia del uso de los equipos informáticos?¿Se facilita por parte de la empresa la realización de revisiones oculares periódicas a los empleados?
NO
CUESTIONES ORGANIZATIVAS¿Existen procesos manuales que no añaden valor que podrían ser automatizados?
NO
¿Se ha valorado si los procesos manuales con adición de valor pueden realizarse de forma automatizada?
NO
¿Se han estudiado formas alternativas de realizar las actividades agrupándolas por procesos?
NO
¿Existen actividades de introducción de datos (manuales o automáticas) que se repiten?
SI
¿Se ha detectado la existencia de actividades centradas exclusivamente en controlar si los pasos previos a la misma se hanrealizado correctamente?
NO
¿Es posible obtener en cualquier momento información sobre las actividades realizadas en la empresa?
NO
¿El grado de actualización de la información es aceptable? SI¿Los directivos y personal facultado pueden realizar análisis de los datos de la empresa con las aplicaciones disponibles?
SI
¿Existe confianza en la veracidad de la información que ofrece el sistema informático?
SI
¿Se han detectado errores en la información ofrecida por el sistema informático cuya causa no ha podido ser identificada?
NO
¿Existe coherencia entre los datos que manejan los distintos departamentos SI
35
de la empresa?¿Todas las acciones emprendidas por la empresa cuentan con información que indique el nivel de resultados alcanzado?
SI
¿Se dispone en la empresa de aplicaciones que faciliten la programación de actividades?
NO
¿La información de la empresa es accesible por personal autorizado desde cualquier puesto de trabajo?
SI
¿Se pueden realizar informes y cruzar datos de distintos departamentos con los sistemas informáticos disponibles?
NO
¿Los sistemas informáticos permiten la exportación de datos a otros sistemas?
NO
DEPARTAMENTO DE INFORMÁTICASi no existe departamento de informática, ¿hay algún servicio técnico que se encargue del mantenimiento?
SI
¿La cantidad de personal disponible es la apropiada? SI¿La calidad del personal es suficiente para las actividades que se realizan? SI¿Existen guías claras respecto a la función del departamento de informática en la empresa?
SI
¿El tiempo de realización de modificaciones en los programas se puede considerar normal?
SI
¿El tiempo de respuesta a peticiones por parte de los usuarios se puede considerar normal?
SI
¿La calidad de los servicios ofrecidos se puede considerar satisfactoria? SI¿La calidad de los servicios ofrecidos se puede considerar satisfactoria? SI
HARDWARE¿Los ordenadores disponen de capacidad en el disco duro para almacenar la información?
SI
¿La velocidad de trabajo del ordenador es apropiada o el empleado debe esperar por el ordenador a que éste termine deprocesar?
SI
¿Las impresoras se encuentran a una distancia cercana al puesto de trabajo? SI¿La garantía de los equipos permite que éstos sean reparados en breve tiempo?
NO
¿Los ordenadores son homogéneos o pertenecen a distintos fabricantes o distintos tipos de plataforma?
SI
¿El nivel de averías actual en los equipos puede considerarse normal? SISOFTWARE
¿Los usuarios disponen de zonas en el servidor de ficheros donde hacer sus copias de seguridad?
SI
¿El funcionamiento interno de los programas clave de la empresa es conocido por el personal del centro de informática y/opor el proveedor directo del mismo?
SI
¿Los programas con información reservada están protegidos por clave de acceso?
NO
COMUNICACIONES¿Todos los empleados tienen su cuenta de correo electrónico? NO¿Las comunicaciones con el exterior se realizan sin incidencias? NO
36
¿El coste de las comunicaciones puede considerarse normal? SI¿La velocidad de las comunicaciones puede considerarse normal? SI¿Existen dispositivos de comunicación ociosos? SI¿Existen dispositivos de comunicación que provocan colas en los trabajos? NO¿Se ha comprobado el tiempo de acceso desde el exterior a las páginas Web de la empresa?
NO
¿Existen comunicaciones que se realicen únicamente con fax? NO¿Existe información que se recibe o envía en usb? NO
37
CONCLUSIONES
Haber ayudado a orientar a la empresa para que aplique los controles de auditoria basados en cobit para mejorar el funcionamiento de la empresa, para que tenga mejores resultados y más beneficios.
Orientar a la empresa para prevenir posibles errores, grietas o áreas de alto riesgo en la organización para que tenga una mejor productividad y una mejor funcionalidad.
38