Sugerencia.

INFORME DE AUDITORIA INFORMATICA SOBRE REVISION DEL PROCESAMIENTO ELECTRONICO DE DATOS DE LA COMPAA ABCD PARTE (I) Situacin 2 Carencia de Documentacin de las Pruebas de Programas y de Sistemas. Durante nuestra revisin se apreci la ausencia de procedimientos formales que documenten apropiadamente el plan de pruebas de nuevas funcionalidades; en cuanto a descripcin de las mismas, datos a ser usados, metodologa para el desarrollo de dichos datos y los resultados esperados. Criterio. Causa. A la fecha no se ha implementado una metodologa de trabajo para el desarrollo y mantenimiento de los sistemas de informacin, los procedimientos informales actualmente utilizados no son claros y definidos para la realizacin de pruebas unitarias e integrales. Efecto. al La no - elaboracin de un plan formal de pruebas a los sistemas alineado a una metodologa y as tambin la carencia de participacin crtica del usuario podra generar el riesgo de no implementar adecuadamente las funcionalidades a las actividades originando la falta de control en las actividades importantes del negocio. Sugerencia. Situacin 3 Catalogacin de Versiones de Programas Fuentes Causa No se han definido formalmente las formas de actuacin y responsabilidades sobre la atenciones a los requerimientos de los usuarios. No existe un registro automatizado que permita realizar el seguimiento y control de estas actividades. Efecto. La no - existencia de una herramienta adecuada para la administracin de los requerimientos puede ocasionar el embalse y el inadecuado seguimiento a los mismos perdindose el control total o parcial de las actividades claves, limitndose la eficiencia en la modificacin a un programa en el tiempo adecuado, y a los costos previstos. Adems la carencia de esta herramienta podra limitar las actividades de seguimiento y control de las atenciones correspondientes. En nuestra revisin hemos observado que el Dpto. de Microcomputacin y Redes tiene el control de los programas fuentes de los aplicativos almacenados en un servidor. Adems se apreci la falta de procedimientos para el control de estos programas fuentes. Sin embargo el Dpto. de Desarrollo de Sistemas debera considerar un inventario de los programas fuentes y sus versiones instaladas en los computadores as como tambin un procedimiento para la actualizacin de estas versiones. Criterio. Causa. Segregacin de Funciones en los d Departamentos de Desarrollo de Sistemas y el Dpto. de Microcomputacin y Redes.

INFORME DE AUDITORIA SOBRE PROCESAMIENTO ELECTRONICO DATOS DE LA COMPAA ABCD OBJETIVO

EL DE

Evaluar el adecuado control interno dentro de las actividades del procesamiento electrnico de datos. RESULTADOS OBTENIDOS, CONCLUSIONES ESPECFICAS Y RECOMENDACIONES I. Desarrollo de Sistemas

Situacin 1 Administracin de Requerimientos Departamento de Desarrollo de Sistemas.

La atencin de requerimientos (mejoras adaptaciones a los sistemas) solicitados por los usuarios al Dpto. de Desarrollo de Sistemas son realizadas a travs de un procedimiento manual no aprobado (Hoja de Requerimientos), que en ocasiones no permite realizar el seguimiento oportuno del requerimiento quedando pendientes algunas solicitudes de cambios o mejoras de los sistemas. Criterio.

Revisin del Procesamiento Electrnico de datos

Compaa ABCD
Pg.2

Carencia de procedimientos para transferir programas fuentes a los computadores y controlar las versiones de los programas del computador. Efecto. Las responsabilidades del control de los programas deberan estar enmarcado en las actividades de administracin del Departamento de Desarrollo de Sistemas. Podra existir el riesgo potencial de no realizar una actualizacin oportuna de los programas o instalar una versin no correspondiente no establecindose las responsabilidades pertinentes. Los programas que se encuentran en proceso de modificacin una vez culminados deben traspasarse a los computadores, basados en un requerimiento formal de traspaso aprobado. As tambin, el no contar con un inventario actualizado de los programas fuentes y ejecutables genera la exposicin al riesgo potencial de poder estar usando en produccin un programa ejecutable que sea de la ultima versin y que carezca de su programa fuente original o contar con un programa fuente de la ultima versin y que no se halla realizado el requerimiento adecuado para traspasar el programa a los computadores, quedando el programa ejecutable anterior. Sugerencia. Situacin 4. Carencia de Procedimientos Estndares de desarrollo (Programas, Pantallas y Diseo de Tablas) Durante nuestra revisin se apreci la ausencia de procedimientos que estandaricen el trabajo de los analistas y programadores de los sistemas en lo referente a las estructuras de elaboracin del cdigo de los programas y diseos de las pantallas de ambiente visual. Se observo que algunos sistemas tienen el manual de diseo lgico y no el de diseo fsico. Adems contienen: Nivel Cero, Diccionario de Datos y La relacin de tablas (Bosquejo final sin normalizar). Criterio. Causa. Es observacin se ha evidenciado debido a la carencia de procedimientos formales para la elaboracin de estndares que faciliten el entendimiento del mantenimiento de los programas y futuros desarrollos. Efecto. No incorporar estndares de programacin y de diseo de pantallas podra dificultar el trabajo de otros analistas que asuman la actividad de mantenimiento de los programas adems de existir la probabilidad e alguna incompatibilidad en las

longitudes de los datos si estos programas realizan interfases con otros aplicativos. Sugerencia. Situacin 5. Carencia de Herramientas de Modelamiento de datos Se ha observado que el Departamento de Desarrollo de Sistemas, no cuenta con herramientas de tecnologa de informacin que permita realizar las actividades de Modelamiento de Datos y Elaboracin de Diagramas de Entidad Relacin. Criterio. Causa. Hemos observado que no se utilizan herramientas de modelamiento de datos durante el diseo de los aplicativos debido a que no han sido consideradas como un recurso dentro del actividades de los desarrollos de los programas. Efecto. El diseo de los Sistema de Informacin debe recoger las funcionalidades de los diferentes procesos la compaa, en tal sentido es muy importante considerar una herramienta que permita realizar estas actividades, sobre todo si es necesario haces un rediseo sistemas existentes. El riesgo de no contar con esta herramienta puede significar retrasos significativos para los futuros proyectos de Sistemas. Sugerencia. Situacin 6 Existencia de Software Aislado Durante nuestra revisin evidenciamos la existencia de un software que es utilizado para el Manejo de las Planillas administrado por el usuario. Este sistema no esta integrado a los sistemas actualmente existentes y los Departamentos de desarrollo de sistemas y redes de microcomputacin no brindan el soporte correspondiente a este aplicativo. Cabe sealar que este sistema no tiene un ptimo rendimiento debido a que trabaja en un ambiente mono usuario en D.O.S. Criterio. Causa.

Metodologa COBIT Ing. Omar Neyra Crdova

Revisin del Procesamiento Electrnico de datos

Compaa ABCD
Pg.3

Ausencia de Normas y Polticas que regulen las responsabilidades sobre temas informticos en la organizacin. Actualmente este sistema se sigue empleando y tiene la caracterstica de no ajustarse al requerimiento de los usuarios debido a que al establecerse la compaa ABCD se vio necesario incorporar nuevos procesos administrativos quedando obsoleto para el desarrollo de estas nuevas actividades. No se ha definido una solucin informtica alineada con la actual arquitectura de la compaa, Cabe sealar que los resultados obtenidos del procesamiento de este sistema son llevados a una planilla en Excel siendo modificados para su respectiva presentacin. Efecto. Continuar con la situacin descrita podra ocasionar el riesgo potencial que se est duplicando los esfuerzos en el desarrollo de las tareas que involucra este sistema al no ajustarse a la necesidad del usuario. Es de mencionar que podra existir un riesgo mayor al trabajarse los resultados del sistema de forma externa pudiendo ocurrir una alteracin de la informacin no intencional. Sugerencia. Situacin 7

II Operaciones del computador Situacin 8. Bitcoras de Actividad. Hemos observado que no existe un registro (log de actividades) en donde se aprecie cronolgicamente los trabajos, cambios o modificaciones ocurridas durante el tiempo de funcionamiento de los computadores, as como tambin un registro histrico de las paradas de los sistemas y de los mantenimientos realizados a los servidores. Criterio. Causa. En nuestra revisin hemos identificado que la Subgerencia de Informtica de la Compaa ABCD, no ha incorporado en sus actividades el seguimiento a los eventos ocurridos durante la ejecucin de los procesos del computador as como tambin las acciones tomadas por los programadores ante eventos inusuales y fallos del computador Efecto.

Carencia de Pistas de Auditora. En el proceso de relevamiento evidenciamos que algunos aplicativos existentes no guardan informacin acerca de pistas de auditora originando que no existan mecanismos para realizar las actividades de control de los procesos del negocio. Criterio. Efecto. No incorporar las pistas de auditora dentro de los aplicativos nos limita ha determinar la integridad y confidencialidad de las transacciones. Sugerencia. Situacin 9. Carencia de Procedimientos de Respaldo y Recuperacin de programas fuentes Hemos evidenciado la carencia de procedimientos formales de respaldo y recuperacin en tal sentido solo se realizan estas actividades para ciertos servidores como los ubicados en Tomas Valle. Criterio. INFORME DE AUDITORIA INFORMATICA SOBRE REVISION DEL PROCESAMIENTO ELECTRONICO DE DATOS DE LA COMPAA ABCD PARTE (II) Causa Ausencia de definicin de procedimientos con respecto a la seguridad de la informacin en caso de una contingencia. Efecto El no contar con las herramientas adecuadas podra ocasionar la prdida del control de los eventos y dificulta el seguimiento de los problemas suscitados que sirven de base para el desarrollo de soluciones inmediatas a dichos errores. Sugerencia.

Metodologa COBIT Ing. Omar Neyra Crdova

Revisin del Procesamiento Electrnico de datos

Compaa ABCD
Pg.4

No contar con estos procedimientos podra generar el riesgo potencial de no recuperar adecuadamente la informacin que proviene de los procesos crticos que se encuentran en nuestros sistemas corporativos. Sugerencia. Situacin 10. Plan de Contingencias. Hemos evidenciado que no existe un procedimiento formal por escrito y coordinado que evidencie la preparacin de los sectores ante alguna posible contingencias. Solo se ha evidenciado un programa de los mantenimientos efectuados a algunos equipos. Criterio. Causa. No se dispone de un Plan de Contingencias por escrito, formalmente establecido y probado, preparado y coordinado con los procedimientos de respaldo de datos y almacenamiento fuera del edificio. Podemos considerar los siguientes aspectos: a) b) Slo se dispone de algunos procedimientos de operacin ante cadas del fluido elctrico. Las instrucciones y funciones establecidas del plan de contingencia no deberan centralizarse en algunas personas, debido que si estas se retirasen de la compaa truncaran el referido plan de contingencia. No existe un procedimiento coordinado con los dems sectores de la compaa para la realizacin de actividades en caso de una contingencia. No se han evidenciado pruebas de performance de los servidores. No existe certificacin de los niveles de resistencia de los equipos y de las instalaciones elctricas considerando los pozos a tierra.

inventarios que no son lo suficientemente fciles de revisar y actualizar. Criterio. Causa. Los inventarios no esta debidamente actualizados de acuerdo al nmero de licencias adquiridas, adems de la carencia de un formato donde se registren las actualizaciones correspondientes de los software instalados a los usuarios. Adicionalmente solo se cuenta con el listado detallado de los servidores de datos de la compaa, no existe un formato donde se registren las modificaciones o cambios a estos equipos (Upgrade). Efecto. Los riesgos existentes en el uso inadecuado de las licencias de software as como los procedimientos usados para la adquisicin de las mismas limitan las actividades de control del software que es parte integrante de los activos de la compaa. La exposicin de ante estos riesgos puede ocasionar una contingencia de orden fiscal, en la medida que no informar oportunamente e incumplir las clusulas contractuales con las compaas proveedoras de estos Software. En cuanto a los Equipos de Computo es necesario realizar un inventario y mantenerlo actualizado debido a que podra existir el riesgo potencial de una debilidad de control exponiendo al rea de sistemas a una prdida en la integridad de equipos que son utilizados. Sugerencia. Situacin 12. Poltica Antivirus Uno de los principales riesgos en lo que respecta a la Seguridad de la Informacin es el impacto que tienen los Virus Informticos sobre la informacin que maneja la compaa. En nuestra evaluacin hemos evidenciado que la Sub Gerencia de Informtica y Racionalizacin de ABCD cuenta con un antivirus denominado HACKER El que no ofrece las caractersticas de un antivirus corporativo que debe estar instalado en los Servidores y en los equipos de cmputo de los usuarios. Criterio. Causa. Durante las indagaciones realizadas al departamento de Redes de Microcomputadoras, evidenciamos que solo contaban con un antivirus monousuario instalado en ciertas microcomputadoras. Asimismo el personal desconoce las medidas de seguridad que deben adoptar en ante esta situacin.

c)

d) e)

Efecto. El Plan de Contingencia debido a su importancia y magnitud debe contemplar el direccionamiento y la adecuada distribucin de las funciones del personal asociado al mismo. En tal sentido este riesgo se ha evidenciado exponiendo ante un posible truncamiento total o parcial del plan en vas de implementacin. Sugerencia. Situacin 11. Inventario de Hardware y Software Hemos observado que no se encuentra un inventario debidamente actualizado y que contenga adems informacin necesaria para poder realizar actividades de control. En tal sentido solo se encuentran

Metodologa COBIT Ing. Omar Neyra Crdova

Revisin del Procesamiento Electrnico de datos

Compaa ABCD
Pg.5

La red de datos permite la propagacin de virus informticos a travs de diversos medios, como: Puertas de Ingreso: Internet, Correo electrnico desde el exterior, Disketeras otros dispositivos de almacenamiento comprimido (Zip). Transferencia de archivos: va Correo electrnico interno y Directorios Compartidos.

La vulnerabilidad de red permite el ingreso y salida de la informacin a travs de: Correo electrnico desde / hacia el exterior. Disketeras otros dispositivos almacenamiento comprimido (Zip). de

Efecto. La situacin antes mencionada expone ante la posibilidad de prdida o dao de la informacin interna que se maneja, la que refleja los diversos procesos de la compaa. No contar con un antivirus corporativo actualizado y con una poltica de prevencin. Podra generar la propagacin de un virus informtico a travs de la red de datos por medio del correo electrnico, infectando a usuarios que no cuentan con un antivirus en sus equipos. Sugerencia.

BUENA SUERTE

Metodologa COBIT Ing. Omar Neyra Crdova