Universidad Nacional Autnoma de Honduras

Departamento de Informtica Administrativa Asignatura: Auditoria Informtica Informe Auditoria Catedrtica: Lic. Claudia Nez Equipo ESCALAFON Nombre Wilson Josu Lpez Ricardo Andino Osorio Orlin Antonio Turcios Sandra Gerardina Snchez Evelin Rocio Canaca Sergia Georgina Torres Cuenta 20031009787 20041002879 20051005622 20081005714 20081011714 20091000566
Seccin: 1700 Tegucigalpa M.D.C 18 de Noviembre del 2012 Ciudad Universitaria

No Lista 07 08 16 30 33 34

Informe Auditoria ESCALAFON

INDICE
Contenido
Propsito de la Auditoria..................................................................................................................... 3 Resumen Ejecutivo.............................................................................................................................. 4 Objetivo General ................................................................................................................................. 5 Objetivos Especficos .......................................................................................................................... 6 Detalle de hallazgos y situaciones de riesgo ....................................................................................... 7 Departamento: Direccin Unidad de Infotecnologia (UIT) ............................................................ 7 Hallazgo ...................................................................................................................................... 7 Recomendaciones ........................................................................................................................ 8 Departamento: Administracin ..................................................................................................... 10 Hallazgo .................................................................................................................................... 10 Recomendaciones ...................................................................................................................... 11 Departamento: Coordinacin de soporte tcnico. ......................................................................... 12 Hallazgos ................................................................................................................................... 12 Recomendaciones: ..................................................................................................................... 13 Departamento: Coordinacin Ingeniera y desarrollo ................................................................... 15 Hallazgo: ................................................................................................................................... 15 Recomendacin: ........................................................................................................................ 16 Departamento: Coordinacin Mtodos y procedimientos ............................................................. 17 Hallazgo: ................................................................................................................................... 17 Recomendaciones: ..................................................................................................................... 18 Anlisis estadstico de la situacin de riesgo del centro IT ............................................................... 20 Diagrama de Pareto ....................................................................................................................... 21 Calendario para Sanear inconformidades. ......................................................................................... 22 Conclusiones ..................................................................................................................................... 24 Anexos............................................................................................................................................... 26

Pgina 2

Informe Auditoria ESCALAFON

Propsito de la Auditoria
Iidentificar, ordenar y comunicar en forma oportuna la informacin necesaria para que los empleados puedan cumplir con sus obligaciones.

Identificar, ordenar y comunicar en forma oportuna la informacin necesaria para que los empleados puedan cumplir con sus obligaciones y adems evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin.

Asegurando que las polticas y procedimientos ayuden en la toma de medidas para limitar los riesgos que puedan afectar que se alcancen los objetivos de la Unidad de Infotecnologa y de la Organizacin.

Pgina 3

Informe Auditoria ESCALAFON

Resumen Ejecutivo
El objeto del examen comprende la revisin y el anlisis del funcionamiento de los controles y de los procedimientos, como se desarrollan para la ejecucin y confiabilidad de cada uno de los procesos.

La informacin presentada puede ser operativa o administrativa, de origen interno o externo, de control o de procesamiento. Puede estar dirigida al: personal de Direccin de Unidad de Infotecnologia o al personal administrativo. Adems puede incluir informacin valiosa a las coordinaciones y el personal de las reas de: Ingeniera y desarrollo, mtodos y procedimientos o de soporte tcnico.

Deben existir adecuados canales de comunicacin para que el personal sea informado de la importancia de la auditoria, de los hallazgos en la misma y de las medidas de mejoramiento recomendadas a la empresa.

Los controles son necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo: informtica, organizacin de centros de informacin, hardware y software.

Pgina 4

Informe Auditoria ESCALAFON

Objetivo General
Revisar y evaluar los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento, las recomendaciones y sugerencias alternativas se logre una

utilizacin ms eficiente y segura de la informacin. La Auditora Informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin.

Pgina 5

Informe Auditoria ESCALAFON

Objetivos Especficos
Comprobar la estructura de la organizacin general y el de la unidad de Infotecnologa. Verificar el desempeando las funciones en el rea de administracin. comprobar la existencia de estndares y procedimiento para el diseo y desarrollo de aplicaciones. Corroborar el nivel de seguridad en las operaciones (Accesos al sistema, seguridad de equipo, y acceso a internet) realizadas en el departamento de Infotecnologa. Verificar la proteccin de los programas, aplicaciones, base de datos, datos de usuarios, contraseas y dems controles necesarios. Evaluar como est estructurada la localizacin, distribucin fsica, y seguridad del departamento de sistemas. Verificar la existencia de una biblioteca y de los procedimientos para la custodia y el manejo de los archivos de datos, programas y documentacin tcnica. determinar la capacidad de operacin, administracin y seguridad de la Base de Datos. Evaluar el diseo de los sistemas del rea de Informtica. Evaluar los procedimientos de control de operacin, analizar su estandarizacin y evaluar el cumplimiento de los mismos. Evaluar la forma como se administran los dispositivos de almacenamiento, los servidores y la infraestructura de red del rea de Infotecnologia. Evaluar el control que se tiene sobre el mantenimiento y las fallas.

Pgina 6

Informe Auditoria ESCALAFON

Detalle de hallazgos y situaciones de riesgo

Departamento: Direccin Unidad de Infotecnologia (UIT)

Hallazgo 1. Falta de un comit de gestin de seguridad. 2. Respaldar el equipo de cmputo con UPS por cada computadora para garantizar el suministro de energa elctrica, para proteger de manera oportuna archivos o programas que estn siendo usados en los nodos de la red. 3. No se presento un documento escrito de la aprobacin de las aplicaciones nuevas y de actualizacin de los programas creados e instalados en el equipo de cmputo de escalafn. 4. No se encontraron procedimientos definidos para solicitar y efectuar modificaciones a los programas. 5. No existen guas, estndares o disposiciones para realizar las pruebas de las nuevas aplicaciones 6. No cuenta con un comit de informtica, aunque si se realizan reuniones empricas imprevistas con personal seleccionado. 7. Nunca se ha realizado una auditoria al departamento de Infotecnologia. 8. No existe un plan estratgico de manera general para toda la unidad de Infotecnologia. 9. Ninguna Capacitacin al personal ni la existencia de manuales operativos bien detallados.
adems los usuarios presentaron inconformidad en el retraso con que son atendidos sus requerimientos hechos a la unidad de Infotecnologia.

Pgina 7

Informe Auditoria ESCALAFON

Departamento: Direccin Unidad de Infotecnologia (UIT)

Recomendaciones 1. Instaurar un comit de gestin de la seguridad, con la participacin de un miembro de la gerencia que promuevan la seguridad de la informacin entre todos los miembros de la organizacin. 2. Constituir una gua con los estndares a seguir para la elaboracin y desarrollo de nuevas aplicaciones. Que contenga las siguientes partes: Anlisis de requisitos de los programas. Especificaciones detallando los programas. Diseo y arquitectura. Programacin. Prueba. Documentacin. Mantenimientos. Y todos los dems que se consideren necesarios. 3. El jefe de sistemas, los desarrolladores y analistas debern de crear un documento escrito de la aprobacin, actualizacin de los programas creados. 4. El jefe de sistemas, los desarrolladores y analistas debern de solicitar un documento escrito de las unidades solicitantes de actualizaciones y modificaciones de los programas. 5. crear guas, estndares o disposiciones para realizar las pruebas de las nuevas aplicaciones. 6. Crear un comit de informtica para facilitar la toma de decisiones, el cual debe estar integrado por: El coordinador del rea de software. El secretario general. El director financiero El director del departamento de planificacin. Los asesores externos nombrados por la institucin.
Pgina 8

Informe Auditoria ESCALAFON

Y todos los dems que se consideren necesarios. Estos miembros solo participaran en el comit informtico nicamente con voz.

7. Establecer periodos de auditorias con entidades externas segn sea la necesidad y lo recomendable (una en el periodo de un ao una cada seis meses). 8. Instaurar un plan estratgico de la unidad de Infotecnologia, el cual deber de contener en el los siguientes aspectos: Misin Visin Objetivos (generales y especficos) Actividades Metas. Los dems que se consideren necesarios. 9. Crear un plan de capacitacin que sern impartidas a los usuarios de las diferentes Aplicaciones y programas, la cual podr contener entre otras cosas:

Deteccin de necesidades de capacitacin. Formulacin y ejecucin de los programas de capacitacin. Evaluacin peridica de las actividades de capacitacin para conocer el grado de eficacia, eficiencia y beneficio que se ha alcanzado con las actividades realizadas.

Siendo tambin necesaria la creacin y actualizacin de los manuales operativos ya existentes para la correcta capacitacin del personal.

En este apartado tambin ser necesario crear un sistema

para atender las

necesidades y requerimientos de los usuarios finales de las aplicaciones, como ser: correo electrnico, buzn de sugerencias, formularios para recibir las mismas o cualquier otro sistema que se considere necesario.

Pgina 9

Informe Auditoria ESCALAFON

Departamento: Administracin
Hallazgo 1. No existen manuales sobre las funciones que el encargado de la biblioteca debe cumplir. 2. No hay existencia de un control de los prstamos de archivos y programas que se le hace al personal. 3. No hay un software especial para el control de prstamos y usos de programas. 4. No se cuentan con procedimientos adecuados para mantener un estricto control en el acceso de las libreras de programas. 5. Los empleados no firman una pliza de fidelidad al momento de ser contratados. 6. No existe un plan de capacitacin adecuado para el personal. 7. No se cuenta con un plan de vacaciones bien definido para el personal.

Pgina 10

Informe Auditoria ESCALAFON

Departamento: Administracin
Recomendaciones 1. Crear las funciones que deber cumplir la persona encargada de la biblioteca para hacer un mayor uso de la misma. 2. Controlar el uso de prstamos de archivos y programas que se encuentran en la biblioteca. 3. Desarrollar un software especial para el control de prstamos. 4. Elaborar procedimientos que contengan un estricto control sobre el acceso de las libreras de programas. 5. Redactar una pliza de fidelidad para ser firmada por los empleados al momento de ser contratados, la cual deber de incluir clausulas como ser: No propagar la informacin. utilizar la informacin nicamente dentro de la empresa. en caso de ser necesario extraer informacin fuera de las instalaciones, solo con la autorizacin del jefe con los procedimientos adecuados. Y todos los dems que se consideren necesarios. 6. Crear un plan de capacitacin adecuado para el personal, basados en el puesto de trabajo de cada uno, adems de las nuevas tcnicas y tecnologas usadas. 7. Estandarizan plan de vacaciones a los empleados de contrato y de acuerdo.

Pgina 11

Informe Auditoria ESCALAFON

Departamento: Coordinacin de soporte tcnico.

Hallazgos 1. No se cuentan con contraseas de calidad 2. Falta de sistemas de suministros de energa de respaldo para equipo de computo en los nodos de red. 3. No se cuenta con hardware similar o compatible para ser utilizado en caso de emergencias. 4. Mediante la red se realizan muchas solicitudes las cuales no todas son atendidas ya que la reduccin de Coello de botellas en la red quedan pendientes.

Pgina 12

Informe Auditoria ESCALAFON

Departamento: Coordinacin de soporte tcnico.

Recomendaciones: 1. Exigir criterios de seguridad para la creacin, modificacin y administracin de contraseas. Como por ejemplo: No podr ser asociada con facilidad a cualquier informacin relacionada con el usuario de la cuenta. No estar formada por secuencias de caracteres o palabras fcilmente predecibles. Tendr una longitud mnima de ocho caracteres. Combinar diferentes tipos de caracteres tipogrficos: maysculas, minsculas, nmeros y caracteres especiales. Ser cambiada de forma inmediata por el Usuario siempre que el sistema sugiera su cambio. Las contraseas se cambiarn peridicamente Y todos los dems que se consideren necesarios. Estos criterios debern de ser usados para la creacin de cuentas de ingreso al sistema, administracin de la base de datos, administracin de la red, y en todas las reas en donde se consideren necesarias. 2. Respaldar el equipo de cmputo con UPS por cada computadora para garantizar el suministro de energa elctrica, para proteger de manera oportuna archivos o programas que estn siendo usados en los nodos de la red. 3. Se debe adquirir Hardware (equipo computacional) que sea compatible con el existente para ser usado de inmediato en caso de emergencia, respaldando los Servidores y bases de datos en un lugar diferente. La infraestructura de red debe mantener equipo adicional para cuando estos presenten fallas. 4. Implementar el nuevo Protocolo UMP (Universal Multi Protocol), permite un mximo rendimiento en la transferencia de datos digitales a travs de red, minimizando los costes de envo.

Pgina 13

Informe Auditoria ESCALAFON

Actualmente el protocolo de transporte ms empleado en la transferencia de datos a travs de Internet es el TCP (Transmission Control Protocol). ste es utilizado como capa de transporte de la mayora del resto de protocolos de transmisin de ficheros a travs de Internet, como el FTP, HTTP, CIFS y NIFS. Sin embargo, tanto el TCP como los protocolos que lo utilizan, generan cuellos de botella inherentes que hacen disminuir el rendimiento de las transferencias, especialmente en redes con alta latencia, redes con un elevado ratio de prdida de paquetes y en la mayora de las redes de alta velocidad. Para garantizar la fiabilidad de los datos, UMP est diseado para enviar seales crticas de control por TCP. Para garantizar un rendimiento de transferencia ptimo, UMP nunca dejar de transmitir datos a una velocidad constante y fluida mientras el enlace lo permita. Para contrarrestar el cuello de botella de lectura/escritura en disco, UMP utilizar tcnicas de buffering cuando el ancho de banda sea superior a la capacidad de ste. A diferencia del TCP, UMP separa el control de congestin de la retransmisin.

Pgina 14

Informe Auditoria ESCALAFON

Departamento: Coordinacin Ingeniera y desarrollo

Hallazgo: 1. El departamento de Infotecnologia no cuenta con procedimientos o guas para la Administracin de la base de datos. 2. No existen procedimientos de seguridad para encriptar los campos ms sensitivos y confidenciales de la Base de Datos,

Pgina 15

Informe Auditoria ESCALAFON

Departamento: Coordinacin Ingeniera y desarrollo

Recomendacin: 1. Instaurar un manual de procedimientos o guas para la administracin de la base de datos, que debera de contener los pasos para: Administrar la estructura de la Base de Datos Administrar la actividad de los datos Administrar el Sistema Manejador de Base de Datos Establecer el Diccionario de Datos Asegurar la confiabilidad de la Base de Datos Confirmar la seguridad de la Base de Datos Y todos los dems que se consideren necesarios. Adems que estas se almacenen de forma fsica y no solo digital. 2. Adquirir software especializado para la seguridad de la base de datos, como ser: Lockdown, ARC server 2000, Data Base Scanner, o cualquier otro; adems de software especializado para el encriptamiento de los registros en la base de datos, como ser: Secure Data de Protegrity, SQL Shield, XP Crypt, o cualquier otro.

Pgina 16

Informe Auditoria ESCALAFON

Departamento: Coordinacin Mtodos y procedimientos

Hallazgo: 1. No cuentan con un plan de contingencias escrito. 2. Los empleados del centro IT no estn identificados por un carnet. 3. No cuentan con controles, ni disposiciones ambientales adecuadas. 4. Los tomacorrientes no estn identificados con el tipo de voltaje correspondiente. 5. Utilizan regletas para conectar los equipos. 6. Por falta de suministros de energa se conectan extensiones lo que puede causar accidentes al equipo. 7. No cuentan con polticas ni procedimientos al realizar la seleccin y reclutamientos del personal. 8. No hay polticas definidas para evaluar el desempeo del personal, adems no existe documentacin donde se refleje la supervisin realizada a cada empleado del rea.

Pgina 17

Informe Auditoria ESCALAFON

Departamento: Coordinacin Mtodos y procedimientos Recomendaciones:

1. Elaborar un plan de contingencias para combatir situaciones de riesgo, el cual debe contener: Anlisis y Seleccin de las Operaciones Crticas. Identificacin de Procesos en cada Operacin. Listar los Recursos Utilizados para las Operaciones. Especificacin de Escenarios en los cuales puede Ocurrir los Problemas. Determinar y Detallar las Medidas Preventivas. Formacin y Funciones de los Grupos de Trabajo. Desarrollo de los Planes de Accin. Preparacin de la Lista de Personas y Organizaciones para Comunicarse en Caso de Emergencia. Pruebas y Monitoreo (simulacros). Y todos aquellos que se consideren necesarios.

2. Implementar un carnet propio impreso de la unidad de Infotecnologa, para identificacin de los empleados.

3. Contar con las disposiciones ambientales adecuadas y necesarias para la proteccin en caso de emergencias. Como ser: Extintores contra incendios. Detectores de humo. Guantes. Mascaras Y todos los dems que se consideren necesarios. 4. Identificar cada tomacorriente segn sea su voltaje. Para evitar accidentes con el equipo computacional 5. Utilizar UPS para la conexin del equipo computacional 6. Instalacin de suministros de energa por cada nodo
Pgina 18

Informe Auditoria ESCALAFON

7. Crear las polticas y procedimientos para realizar la contratacin del personal, ya que la mayora del personal es empleada por medio de recomendaciones personales. 8. Elaborar procedimientos para evaluar el desempeo del personal constantemente, tomando en cuenta tambin que dentro de las auditorias a la unidad de

Infotecnologia se realizaran evaluaciones al personal en los periodos de las mismas. Documentando los resultados de cada empleado, de manera que estos reflejen la supervisin realizada a cada uno de ellos.

Pgina 19

Informe Auditoria ESCALAFON

Anlisis estadstico de la situacin de riesgo del centro IT

Control
Control I Control F Control H Control D Control E Control J Control G Control K Control C Control B Control A

Valor Obtenido
90 81 80 75 66.37 65 62 59 58.5 52.75 20

% Acumulado
13% 24% 35% 46% 55% 64% 73% 82% 90% 97% 100%

Variacin Acumulada
90 171 251 326 392.37 457.37 519.37 578.37 636.87 689.62 709.62

80-20
80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80%

Pgina 20

Informe Auditoria ESCALAFON

Diagrama de Pareto
700 100% 90% 600 80% 500 70% 60% 400 50% 300 40% 30% 20% 100 10% 0 0% Valor Obtenido % Acumulado 80-20

200

ANALISIS: Al encontrarse los controles A (Organizacin), B (Administracin), C(desarrollo de aplicaciones) y K (Evaluacin de parte de los usuarios) sobre el valor del 80% del diagrama de Pareto los constituye en las principales reas donde se encuentran problemas. Por lo cual concluimos que es el rea administrativa y de jefes de sistemas los que presentaros las evaluaciones mas bajas de toda la unidad. Hay que tener en cuanta que tanto la distribucin de los efectos como sus posibles causas no es un proceso lineal, sino que el 20% de las causas totales hace que sean originados el 80% de los efectos. Obteniendo un promedio global 64,51 %
Pgina 21

Informe Auditoria ESCALAFON

Calendario para Sanear inconformidades.

Departamento Objetivo Fecha de Inicio 26 noviembre 2012 Fecha de vencimient o 2 de enero 2013 2 de enero 2013 31 de mayo 2013 31 de mayo 2013 31 de mayo 2013 2 de enero 2013 Observacione s Revisa Wilson Lpez Revisa Sergia Torres Revisa Ricardo Andino Revisa Evelin Canaca Revisa Sandra Snchez Revisa Wilson Lpez

Direccin Unidad de Infotecnologia Direccin Unidad de Infotecnologia Direccin Unidad de Infotecnologia Direccin Unidad de Infotecnologia Direccin Unidad de Infotecnologia Direccin Unidad de Infotecnologia

Falta de un comit de gestin de seguridad.

Respaldar el equipo de cmputo con UPS 26 noviembre por cada computadora. 2012 No se presento un documento escrito de la aprobacin de las aplicaciones nuevas y de actualizacin de los programas. No se encontraron procedimientos definidos para solicitar y efectuar modificaciones a los programas. No existen guas, estndares o disposiciones para realizar las pruebas de las nuevas aplicaciones No cuenta con un comit de informtica. 26 noviembre 2012 26 noviembre 2012 26 noviembre 2012 26 noviembre 2012

Direccin Nunca se ha realizado una auditoria al 26 Unidad de departamento de Infotecnologia noviembre Infotecnologia 2012 Direccin No existe un plan estratgico de manera Unidad de general para toda la unidad de 26 noviembre Infotecnologia Infotecnologia. 2012 Direccin Ninguna Capacitacin al personal ni la Unidad de existencia de manuales operativos bien 26 noviembre Infotecnologia detallados. 2012 Coordinacin Instaurar un manual de procedimientos o Ingeniera y guas para la administracin de la base de 26 desarrollo datos noviembre 2012

30 nov 2013 Revisa Ricardo Andino

2 de enero 2013

Revisa Sandra Snchez

31 de mayo 2013

Revisa Wilson Lpez

2 de enero Revisa 2013 Turcios

Orlin

Pgina 22

Informe Auditoria ESCALAFON

Coordinacin Adquirir software especializado para la Ingeniera y seguridad de la base de datos 26 desarrollo noviembre 2012 Coordinacin Elaborar un plan de contingencias para Mtodos y combatir situaciones de riesgo 26 procedimientos noviembre 2012 Coordinacin Implementar un carnet para identificacin de Mtodos y 26 los empleados procedimientos noviembre 2012 Elaborar polticas y procedimientos para Coordinacin 26 realizar la contratacin del personal Mtodos y noviembre procedimientos 2012 Crear procedimientos para evaluar el Coordinacin desempeo del personal 26 Mtodos y noviembre procedimientos 2012 Redactar una pliza de fidelidad para ser Administraci firmada por los empleados al momento de 26 n ser contratados noviembre 2012 Crear un plan de capacitacin adecuado para Administraci el personal 26 n noviembre 2012 Se debe adquirir hardware similar o Coordinacin compatible para ser utilizado en caso de 26 de soporte emergencias noviembre tcnico 2012 Respaldar el equipo de cmputo con UPS Coordinacin por cada computadora para garantizar el 26 de soporte suministro de energa elctrica noviembre tcnico 2012

2 de febrero Revisa Evelin 2013 Canaca

2 de febrero Revisa 2013 Turcios

Orlin

Revisa Wilson 2 de enero Lpez 2013

2 de enero Revisa Sandra 2013 Snchez

2 de enero Revisa 2013 Turcios

Orlin

2 de enero Revisa Sergia 2013 Torres

2 de enero Revisa Evelin 2013 Canaca

2 de Revisa Ricardo noviembre Andino 2013 Revisa Wilson 2 de mayo Lpez 2013

Pgina 23

Informe Auditoria ESCALAFON

Conclusiones
En base a las observaciones e investigaciones hechas en la estructura organizativa, la administracin, los procedimientos, la seguridad y todo lo relacionado con la gestin de la unidad de Infotecnologia de ESCALAFON de la Secretaria de Educacin, Gobierno de Honduras, se presentan como conclusin un anlisis FODA que resume las valoraciones encontradas en nuestra investigacin.

Anlisis FODA
Fortalezas: 1. La ubicacin de las instalaciones se encuentran en un punto estratgico de la ciudad. 2. Por encontrarse en el nivel ms alto del edificio no corre riesgos de daos por inundaciones u otros riesgos a nivel del suelo. 3. Cuentan con hardware en general actualizado. 4. El data center esta bien protegido y custodiado, debidamente respaldado, actualizado y mantenido. 5. Las aplicaciones con las que cuentan son creadas en el rea de desarrollo de la Unidad de Infotecnologa. 6. Cuentan con un router 3G en caso de ausencia de internet, se conecta un modem y este alimenta de internet a todos los nodos de la red local. Oportunidades: 1. Se da la posibilidad de realizar procesos remotos desde distintos sitios a nivel nacional. 2. Reciben donaciones de hardware de organismos internacionales. 3. A nivel de comunicaciones cuentan con 2 empresas que respaldan las transmisiones de datos en la ciudad y entre los departamentos del pas. 4. La evaluacin de las aplicaciones internas ha sido satisfactorias ya que la mayora de todos los programas son realizadas por ellos mismos.

Pgina 24

Informe Auditoria ESCALAFON

Debilidades: 1. No cuentan con personal calificado en casi todas las reas de la unidad. 2. No se realizan capacitaciones al personal. 3. No cuentan con respaldo de energa elctrica en caso de ausencia de la misma. 4. No cuentan con las instalaciones fsicas necesarias para ser un centro IT bien acondicionado. 5. Inexistencia de un comit informtico. 6. Seguridad de contraseas deficientes. 7. Inexistencia de rutas de evacuacin. 8. Falta de personal con el conocimiento para asegurar en continuo funcionamiento de la Unidad de Infotecnologa. 9. No se han realizado auditorias en sistemas a esta unidad. 10. En ocasiones se han encontrados con problemas de tipo cuellos de botellas en los trabajos internos de la red. (impresiones, comunicaciones, etc).

Amenazas: 1. Debido al hecho de que solo 2 personas conoces el funcionamiento y todas las claves de acceso a los sistemas crticos, al faltar uno o ambos de ellos se hace necesario contratar personal forneo, a los cuales se les da acceso fsico y lgico y esto podra llevar a situaciones adversas. 2. Al no brindar capacitacin continua a los usuarios del sistemas estos tienden a evaluar de manera negativa la gestin 3. Al no existir manuales actualizados y bien definidos, los usuarios finales tienden a mal utilizar, o no sacar el provecho completo de las aplicaciones creadas por lo tanto se abre la posibilidad de mal uso del sistema.

Pgina 25

Informe Auditoria ESCALAFON

Anexos

Pgina 26

Informe Auditoria ESCALAFON

Resumen de controles, evaluados en la unidad de Infotecnologa del Ministerio de Educacin del Estado de Honduras. ESCALAFON

Control A Organizacin
Este control trata de evaluar como est estructurada la organizacin general y el departamento de Infotecnologa. La organizacin cuentan con los organigramas, general y del departamento de sistemas, pero no se encuentran actualizados, porque fueron creados hace algunos aos,

entrevistando al personal se encontr que no tienen conocimiento de ninguno de los organigramas de la organizacin. Adems la informacin que este departamento genera, le es de utilidad a toda la institucin pero no recibe apoyo financiero y tcnico de la secretaria de educacin de estado. El organigrama del departamento de sistemas ha sufrido cambios y reducciones de puestos, el organigrama est estructurado de tal manera que se muestran las reas de

desarrolladores, operaciones de computador, mantenimiento, soporte y apoyo a usuarios, de redes y seguridad. Pero no hay coordinador de base de datos en el organigrama. Existe una no conformidad en los perfiles de puestos ya que no se comprob la veracidad de los mismos, no cuentan con polticas ni procedimientos cuando se realiza la seleccin del personal, ya que la mayora entra a laborar por medio de recomendaciones. A este personal no se le exige que firmen una pliza de fidelidad. El departamento de Infotecnologa no cuenta con un comit de informtica, pero si realizan reuniones empricas imprevistas con personal seleccionado, segn sea la necesidad del departamento. Y al cual nunca se ha realizado una auditoria.

Pgina 27

Informe Auditoria ESCALAFON

A A,1 A,2 A,3 A,4 A,5 A,6 A,7

A) ORGANIZACION 100% Existe el organigrama general en la institucin. 10 Existe el organigrama del departamento de sistemas 10 existe un manual de descripcin de funciones y puestos 20 polticas y procedimientos definidos 10 El personal de alto riesgo esta incluido en una pliza de fidelidad. 20 existe un comit de informtica 10 se realizan auditorias peridicamente 20

20% 8 9 0 0 0 3 0

Control A: Organizacin
20 18 16 14 12 10 8 6 4 2 0

Valor Control Obtenido

Pgina 28

Informe Auditoria ESCALAFON

Control B Administracin
El control B trata de evaluar cmo se estn desempeando las funciones en el rea de administracin. No existe un plan de capacitacin adecuado, por lo cual ocurren errores pero no graves por la falta de capacitacin aunque en ocasiones es necesaria la ayuda de especialistas y los empleados son capacitados indirectamente. No hay polticas definidas para evaluar al personal, realizan evaluaciones pero visuales con cada trabajo asignado los empleados presentan inconformidad respecto a promociones de ascenso. Existe rotacin de personal, pero no es una rotacin estipulada segn se presentan las necesidades del departamento. No se cuenta con un plan de vacaciones, ya que el personal entrevistado trabaja por contrato lo cual presenta inconformidad entre los empleados de contrato Temporal y los empleados de contratos de Acuerdo. Las vacaciones no las asigna el jefe de sistemas ya que son polticas de Recursos Humanos. No existe ningn tipo de poltica y control para la terminacin del contrato de trabajo a excepcin de eliminar el acceso que tienen al sistema en la Unidad de Infotecnologa. No hay un plan estratgico definido hacia donde se desea llevar la unidad de Infotecnologa ya que los objetivos no se alinean con la parte de la organizacin en general. Aunque este departamento funciona de acuerdo a las necesidades que se presentan. Los recursos con los que cuenta el departamento no se estn utilizando de una manera eficiente ya que en la unidad no se cuenta con un plan estratgico adecuado, por lo tanto no hay ninguna actividad planeada. Existe supervisin de labores por personas encargadas a los empleados, no se cuenta con una documentacin donde se refleje la supervisin realizada a los mismos, ya que la supervisin es visual y oral. Utilizan licencias originales para el desarrollo de las diferentes aplicaciones y funciones que se realizan en Infotecnologa.

Pgina 29

Informe Auditoria ESCALAFON

B) ADMINISTRACION 100% 52.75% B,11 existe un plan de capacitacin para el personal 7.5 4 Se cuentan con polticas para evaluar el personal B,12 10 5 Existen Rotacin de personal para las funciones B,13.1 operacionales bsicas 7.5 5.5 Existen Rotacin de personal para las funciones B,13.2 operacionales bsicas de las aplicaciones automatizadas 7.5 5.5 existe un plan previo de vacaciones para el personal B,14 7.5 3 Se cuentan con polticas definidas para terminacin el B,15 contrato de trabajo 7.5 1 B,16 Se cuentan con planes estratgicos. 20 6 Existe un programa de actividades a corto mediano y largo B,17 plazo. 10 3 Existe una supervisin de labores. B,18 7.5 4.75 Se cumple con las disposiciones gubernamentales para las B,19 operaciones 0 0 B,20 Se cuentan con licencias originales de software 7.5 7.5 Existen polticas TIC'S B,21 7.5 7.5 B

Control B: Administracion
20 18 16 14 12 10 8 6 4 2 0

Valor Control Obtenido

Pgina 30

Informe Auditoria ESCALAFON

Control C Desarrollo de Aplicaciones

Este control trata de evaluar la existencia de estndares y procedimiento para el diseo y desarrollo de aplicaciones. El departamento de Infotecnologia no cuenta con los estndares o guas para el diseo o desarrollo de aplicaciones, lo que se hace, es que a cada desarrollador se le asignan aplicaciones y este las desarrolla segn sea su criterio. Hasta el momento no se ha presentado ningn tipo de problemas en el desarrollo de programas o aplicaciones a pesar de no contar con ningn estndar o guas para el diseo o desarrollo de los mismo, y Cada programa o aplicacin cuenta con la debida documentacin tcnica. Se realiza un adecuado control de implantacin de programas y servicios en el servidor de produccin; pero no existe un documento escrito de aprobacin de las auditorias de actualizacin de los programas instalados. Al desarrollar un programa o aplicacin se toma en cuenta la opinin del departamento de origen y la gerencia. Los usuarios participan nicamente en la fase de prueba y finalizacin. Hasta el momento no han ocurrido problemas. Por no contar con los procedimientos definidos para solicitar y efectuar modificaciones a los programas, se realizan estudios de factibilidad de manera lgica entre el jefe de sistemas y los departamentos dueos de aplicaciones, pero no se documentan dichos estudios. No existe un contrato de calidad adecuado, pero no han existido complicaciones con las aplicaciones aprobadas. No existen guas estndares o disposiciones para realizar las pruebas, aunque son hechas por los usuarios con datos diseados para ellos pero no se realiza ningn proceso en paralelo dado que este es muy costoso. Los recursos para desarrollo, prueba y produccin se encuentran separados adecuadamente para que estos se realicen de forma correcta.

Pgina 31

Informe Auditoria ESCALAFON

C
C, 24 C, 25 C, 26 C, 27 C, 28 C, 29.1 C, 29.2 C, 30 C, 31 C, 32 C, 33 C, 34.1 C, 34.2 C, 34.3 C, 35 C, 36

C) DESARROLLO DE APLICACIONES 100% 58.5%

Existen estndares o guas para el diseo y desarrollo de aplicaciones (Analistas) existen estndares o guas para el diseo y desarrollo de programas (Programador) existen estndares o guas para elaborar la documentacin tcnica de aplicaciones Cada aplicacin tiene documentacin tcnica? Existen procedimientos para la implantacin de software el servidor de produccin. Los departamentos de origen y la gerencia participan en las etapas de desarrollo. Los dueos de cada aplicacin dan la aprobacin final al funcionamiento de la aplicacin. Se cuenta con procedimientos para solicitar y efectuar modificaciones a los programas. Se realizan estudios de factibilidad, antes de realizar el desarrollo o la compra de nuevas aplicaciones. Existe la funcin de control de calidad. En el desarrollo de sistemas se contemplan las pistas de auditoria para la posterior auditabilidad de los mismos. Los programas y aplicaciones se prueban con datos especialmente diseados para ellos. Los usuarios participan activamente en las pruebas de los programas y aplicaciones. Toda aplicacin o proceso el probado en paralelo contra el anterior proceso. La institucin efecta contratos con entidades externas para realizar actividades de procesamiento y resguardo de las operaciones y otros servicios relacionados con las TIC. Estn adecuadamente separados los recursos para desarrollo prueba y produccin. 5 5 10 10 6.67 6.67 6.67 5 10 5 0 6.67 6.66 6.66 0 10 0 0 0 10 5.5 5 6.67 0 6 2 0 6.67 6.66 0 0 10

Control C: Desarrollo de aplicaciones.

10 9 8 7 6 5 4 3 2 1 0

Valor Control

existen estandares

existe la funcion de

los departamentos

en el desarrollo de

cada aplicacin

se cuenta con

existen estandares

existen estandares

los programas y

los usuarios

existen

los dueos de cada

se realizan estudios

toda aplicacin o

la institucion

estan

Obtenido

Pgina 32

Informe Auditoria ESCALAFON

Control D Operaciones
Este control trata de evaluar como est estructurada la seguridad de las operaciones (Accesos al sistema, seguridad de equipo, y acceso a internet) realizadas en el departamento de Infotecnologa. Este departamento, cuenta con una red de seguridad la cual est configurada por categoras o grupos donde a cada empleado se le asigna las categoras o grupos que tendrn acceso. No se cuenta con hardware similar o compatible para ser utilizado en caso de emergencias; con el nico hardware que tienen es el que se encuentra dentro de la empresa, (para futuros se piensa ampliar la rede en los 18 departamentos se desea implementar un clster de mquinas virtuales, para que este pueda funcionar en caso de emergencias).

El mantenimiento preventivo de hardware se realiza de manera eficiente respaldado con el contrato CAREPACK de la compaa Hewlett Packard (HP) quien brinda el soporte continuamente del hardware. Cuando se deteriora un equipo se realizan respaldos atreves de VSPHERE (Plataforma de virtualizacin lder del sector para construir infraestructuras de cloud. Permite a los usuarios ejecutar aplicaciones crticas para el negocio con confianza y responder con mayor rapidez a las necesidades empresariales.)

No cuentan con un plan de contingencias escrito. Lo que realizan son dos tipos de respaldo: Respaldo Caliente, y Frio.

El acceso a internet es controlado adecuadamente para uso exclusivo de la empresa utilizan las reglas de los corta fuegos para proteger el equipo de infecciones de virus.

El departamento no maneja ningn tipo de documento o formulario en blanco, ni autoriza transacciones u operaciones que no le competen a este.

Pgina 33

Informe Auditoria ESCALAFON

D D, 37

D, 38 D, 39.1 D, 39.2 D, 40 D, 41.1 D, 41.2 D, 42.1 D, 42.2 D, 43 D, 44

D) OPERACIONES 100% Estn diseadas en la red de seguridad los diferentes grupos o categoras del personal involucrado en las aplicaciones 10 cuenta el departamento de sistemas con hardware interno o externo similar o compatible para ser utilizado en caso emergencias 10 Existe un adecuado mantenimiento preventivo de hardware. 20 Existe un control y anlisis del desempeo de hardware para futuros cambios de equipo. 10 Existe un plan de contingencias para situaciones de emergencia. 20 El uso de Internet es controlado adecuadamente. 5 Se cuenta con procedimientos de seguridad para evitar el contagio de virus por internet. 15 El departamento de sistemas en ocasiones inicia o autoriza transacciones u operaciones. 5 El departamento de sistemas en ocasiones custodia o maneja documentos, formularios de recibos y/o cheques en blanco 5 La institucin brinda servicios de banca electrnica. 0 La institucin tiene sus oficinas principales en un pas del exterior. 0

75% 10

5 20 10 10 5 15 0 0 0 0

Control D: Operaciones
20 18 16 14 12 10 8 6 4 2 0

Valor Control Obtenido

Pgina 34

Informe Auditoria ESCALAFON

Control E Procesamiento
El control trata de evaluar cmo se estn desempeando las funciones en el rea de procesamiento. El manual de usuario es proporcionado a los empleados, los cuales no muestra las descripciones de las aplicaciones, no obstante se le brinda capacitaciones y hasta la fecha no existen contratiempo de los mismos. Los formularios estn debidamente automatizados, los campos estn correctamente descritos y separados para que no permita mala interpretacin por el usuario final. Los supervisores y jefes son los encargados de controlar la calidad de los datos y los procesos la cual es supervisada, y controlada por el usuario final, dichos datos son verificados y en caso de haber duplicidad son depurados, el cual minimiza los riesgos en la corrupcin de los datos por errores del proceso o por actos deliberados del personal, la cual muestra advertencias cuando los datos son inconsistentes y para evitar este tipo de falencias hay respaldos contra estos incidentes y una bitcora que nos indica que realizo cada usuario. La capacidad tcnica operativa del personal es poco ya que cuando presenta fallas el computador no tiene el conocimiento sobre mantenimiento preventivo, La informacin sensible y confidencial estn almacenadas en lugares restringidos , los cuales solo tienen acceso el administrador del aplicativo y el administrador del proyecto, cuenta con todos los niveles de acceso a todo el sistema, los usuarios testan restringidos por privilegios ya que existen restricciones para resguardar la informacin, con estas medidas se han evitado robos o fraudes dentro de la organizacin ya que todo el personal no poseen muchos conocimientos de programacin, pero no obstante si han tenido ataques de virus fuera de la organizacin, la cual se le dan mantenimiento y seguimiento para evitar dichas dificultades en el futuro.

Pgina 35

Informe Auditoria ESCALAFON

E E,45 E,46

E) PROCESAMIENTO Existen manuales operativos (trascripcin de datos, de operacin, de biblioteca, de usuario) para cada aplicacin del computador? Los formularios de la informacin fuente estn diseados eficientemente para evitar interpretacin y/o trascripcin errnea de los datos? En el punto de preparacin, registro o envo de los datos, todas las transacciones son controladas por medio de listados o totales de control adecuados? Existe la funcin de control de procesos y de datos, para verificar y revisar los datos de entrada, procesos y salidas o resultados en el Departamento dueo de la aplicacin? Los resultados finales de los procesos se comprueban adicionalmente en forma automtica o manual contra archivos o registros externos relacionados? Existen procedimientos definidos para la correccin y retroalimentacin de transacciones no registradas por tener errores? Existen rutinas de validacin de inconsistencias en los programas de captacin de datos y/o programas de inconsistencias especialmente diseados para tal efecto? El personal de trascripcin y operacin est capacitado para identificar fallas de funcionamiento del computador? Son marcados o sellados los documentos fuentes utilizados en la captacin de datos para protegerlos contra duplicados o reentradas? Son los reportes de salidas que contienen informacin confidencial y sensible, mantenida y manejada con la prudencia que corresponde? La informacin confidencial y sensible mantenida en los archivos magnticos, es restringida y autorizada a los funcionarios y personal de nivel adecuado? Los archivos de datos y programas para procesamiento estn adecuadamente administrados e identificados tanto interna como externamente? Los operadores del computador y/o los operadores de las aplicaciones en el Departamento de origen poseen conocimientos de programacin de computadoras? Existe adecuada segregacin de tareas en el procesamiento de las aplicaciones?

100 % 6.16 6.16

66.37% 2.16 5

E,47.1

6.16

6.16

E,47.2

6.15

E,47.3 E,47.4

6.16 6.15

3.75 5

E,48 E,49 E,50 E,51.1

6.15 20 6.15 6.15

5 3 6.15 5

E,51.2

6.16

E,52

6.15

6.15

E,53 E,54

6.15 6.15

5 4

Control E: Procesamiento
20 15 10 5 Los formularios de la Existen manuales

Existen rutinas de

Son marcados o

Son los reportes de

Existe la funcin de

Los resultados finales

Los archivos de datos

Los operadores del

Existe adecuada

En el punto de

Existen

El personal de

La informacin

Valor Control Obtenido

Pgina 36

Informe Auditoria ESCALAFON

Control F Operaciones Lgicas

Este control se basa en la proteccin de los programas, aplicaciones, base de datos, datos de usuarios, contraseas y dems controles necesarios para garantizar un continuo servicio de datos y programas. Con respecto al otorgamiento de contraseas si existe un control y administracin en un alto porcentaje, con la excepcin que no cuentan con normativas de contraseas de calidad ya que suelen ser fciles y el sistema no exige cambiarlas en un tiempo determinado esto a nivel de sistema operativo. Pero en las aplicaciones criticas si se cuentan con controles definidos. Con respecto a la administracin de la seguridad y de los dueos de las aplicaciones y el acceso de los usuarios, se realiza un correcto control. En cuanto a la proteccin de las transmisiones de datos todas estn respaldadas y bien protegidas, por dos empresas de transmisin de datos, adems de los controles internos de ellos mismos. Existen instalados en un servidor de antivirus 2 programas de proteccin de antivirus, que tienen el control de todo el equipo computacional instalado en la red. Anidado a esto estn los suministros de energa alterna (UPS, Plantas elctricas) que protegen el Datacenter como las computadoras personales ms importantes. Adems estn bien definidas las medidas de control para otorgar acceso a terceros, por lo tanto no han ocurrido problemas en sistema por acceso de terceros, a pesar de la falta de un comit de gestin de seguridad. Junto a esto se utilizan adecuadas medidas de criptografa.

Pgina 37

Informe Auditoria ESCALAFON

F) SEGURIDADES LOGICAS

100% 10 10 15

81% 10 5 15

Existe un procedimiento eficiente para el otorgamiento y F, 55.1 administracin de Password. Existe un procedimiento eficiente para la concientizacin en el F, 55.2 personal sobre la responsabilidad, uso y manejo de password. Se han designado a algunas personas para llevar a cabo las F, 56.1 funciones de administracin de seguridad del sistema. Se investiga en el departamento de sistemas y por parte de los dueos de la aplicacin las violaciones del acceso al computador y a F, 56.2 las aplicaciones. Existe por parte de la jefatura de sistemas un anlisis sobre el F, 56.3 acceso de los usuarios al computador y a las aplicaciones. Existen procedimientos de control que protejan la informacin que F, 57 es transmitida entre el servidor y las computadoras remotas. F, 58 Cuenta la empresa con procedimientos y programas de antivirus. F, 59 F, 60 F, 61 F, 62 Cuenta el centro de cmputo con suficientes UPS u otros sistemas alternativos que suministren energa por tiempo suficiente. Existen adecuados procedimientos de control para el otorgamiento de terceros a los sistemas de informacin. Existe un comit de gestin de la seguridad de la informacin u otro rgano interno con similares funciones. Existen polticas sobre el uso de medidas criptogrficas.

5 5 10 15 10 5 5 10

3 5 10 15 8 5 0 5

Control F: Seguridades Lgicas

16 14 12 10 8 6 4 2 0

Valor Control
Obtenido

Pgina 38

Informe Auditoria ESCALAFON

Control G Seguridad Fsica

Este control trata de evaluar como est estructurada la localizacin distribucin fsica, y seguridad del departamento de sistemas. El departamento de Infotecnologa de escalafn se encuentra localizado en un lugar adecuado y con una distribucin interna eficiente. La nica deficiencia que tiene es las paredes de separacin interna estn construidas de tabla de yeso Al centro de cmputo solo personal autorizado puede ingresar. Los empleados del centro IT deberan estar identificados por un carnet. El centro IT en la entrada cuenta con un rotulo de identificacin Departamento de Infotecnologia rea Restringida solo personal autorizado Al computador o servidor central solamente el jefe de sistemas puede ingresar y personal autorizado por el. El departamento IT no cuenta con una pliza de seguros para casos de emergencia, con la nica pliza que cuenta es con la garanta de mantenimiento preventivo de hardware contrato con la compaa Hewlett Packard (HP). Hasta el momento el centro IT no ha sufrido ningn dao por no contar con controles ni disposiciones ambientales debidas. Solamente cuentan con extintores contra el fuego pero estos no son preventivos, ya que le personal que labora en el entro IT no los sabe utilizar, tampoco se encuentran ubicados en un lugar estratgico, ni son vaciados ni llenados constantemente. Por los momentos se encuentra en proceso la implementacin de una planta de energa elctrica. Para cuando haya ausencia prolongada de la energa elctrica. El centro IT cuenta con un panel de control de breaker debidamente identificado. Los cables de comunicacin y energa se encuentran separados y protegidos con tubos as evitan las violaciones y manipulaciones a los mismos. Los tomacorrientes no estn identificados con el tipo de voltaje correspondiente, debido a que las separaciones del centro IT son de paneli se utilizan regletas para conectar los equipos. Los servidores y computador central se encuentran bajo llave y solo el jefe de sistemas y personal autorizado puede ingresar a ellos. El servidor de aplicaciones de encuentra fsica y lgicamente separado de los dems servidores la empresa cuenta con un total de 22 servidores. Y continuamente se realizan Backup para proteger la informacin.
Pgina 39

Informe Auditoria ESCALAFON

G G. 63 G. 64.1 G. 64.2 G. 64.3 G. 65 G. 66 G. 67 G. 68 G. 69.1 G. 69.2 G. 69.3 G. 70 G. 71 G. 72 G. 73

G) SEGURIDAD FISICA La distribucin y localizacin del departamento de sistemas es la adecuada? El acceso al centro de cmputo es permitido solamente al personal del departamento? Existen rtulos visibles que indiquen que el centro IT es rea restringida? El personal del departamento de sistemas esta debidamente identificado? Existen plizas de seguros para proteger economicamente la inversin de SW y HW en caso de siniestro? Existen condiciones ambientales en el centro IT para protegerse contra cualquier dao? Existen extintores contra el fuego en el departamento de sistemas? Cuenta la empresa con una planta de energa elctrica que la provea de energa en caso de ausencia de la misma? Cuenta el centro de cmputo con su propio panel de control de breaker (Interruptores)? Los tomacorrientes estn debidamente identificados y protegidos? El sistema de cableado y cables estn identificados y protegidos contra daos violaciones de la informacin? Existen restricciones fsicas que impidan el fcil acceso a personas no autorizadas a los servidores? Cuenta la Institucin con loocker para proteger los hob routers y/o switch? El servidor de produccin y aplicaciones se encuentran separados fsicamente de los dems servidores? Existen disposiciones de seguridad para recursos informticos instalados fuera de la organizacin?

100% 10 5 5 5 5 10 5 10 5 5 5 5 5 15 5

62% 8 5 5 0 0 0 3 5 5 2 5 5 5 12 2

Control G: Seguridad Fisica

16 14 12 10 8 6 4 2 0

Valor Control Obtenido

Pgina 40

Informe Auditoria ESCALAFON

Control H Almacenamiento
Este control se basa en verificar la existencia de una biblioteca y los procedimientos eficientes para la custodia y el manejo de los archivos de datos, programas y documentacin tcnica, se cuenta con una biblioteca ubicada en las instalaciones del departamento de INFOTECNOLOGIA, la persona encargada no posee conocimientos de informtica, los medios de almacenamiento se encuentran en armarios dentro de la biblioteca estn debidamente identificados, no se realizan actividades incompatibles ya que la persona encargada no maneja el tipo de informacin que se encuentra en la biblioteca, no existen manuales sobre las funciones que el encargado de la biblioteca debe cumplir, tampoco existe un control de los prstamos de archivos y programas que se les hace al personal . Existe restriccin de las personas que entran a la biblioteca solo personal autorizado. No hay un software especial para el control de prstamos y usos de programas. No existen procedimientos adecuados para mantener un estricto control en el acceso de las libreras de programas. La efectividad del sistema de archivos de respaldo externos para ser utilizados en casos de emergencia. Con respecto a los archivos de respaldo son guardados en el banco central. En el procedimiento de traslado de los archivos de respaldo hay personas autorizadas y saben cmo llevar el backup. Estn en constante actualizacin del proceso de los archivos de respaldo. Cuando se envan al BCH van con sus respectivas etiquetas que incluyen nombre, fecha del backup. Los que salvaguardan la informacin de los medios informticos una vez revisada y debidamente documentada se enva a la bveda del BCH.

Pgina 41

Informe Auditoria ESCALAFON

H H. 74 H. 75 H. 76

H) ALMACENAMIENTO 100% El departamento de sistemas cuenta con una biblioteca de archivos y programas? 50 Existen procedimientos definidos para el uso de archivos de datos, programas y aplicaciones de la biblioteca? 25 Cuenta el centro de cmputo con archivos de respaldo externos? 25

80% 40 20 20

Control H: Almacenamieto
50 45 40 35 30 25 20 15 10 5 0 el departamento Existen Cuenta el centro de sistemas cuenta procedimientos de computo con con una biblioteca definidos para el archivos de respaldo de archivos y uso de archivos de externos? programas? datos, programas y aplicaciones de la biblioteca?

Valor control Obtenido

Pgina 42

Informe Auditoria ESCALAFON

Control I ADMINISTRACION Y OPERACIN DE REDES

Este control se basa en la existencia de estndares y polticas para la administracin de las redes y los procedimientos para la eficacia en las operaciones de las mismas la cual se verifica la seguridad e integridad para un uso eficiente, el cual el administrador de red se le asignan las funciones correspondientes con los estndares y polticas mediante la red, Vlan, y sudneteo. El administrador de redes es el encargado de verificar que existen procedimientos que determinan el correcto y ptimo funcionamiento de la red mediante testeo la cual es la base para monitorear los 21 sitios a nivel nacional .En actualidad se monitorea las violaciones a la seguridad de la red, lo cual nunca se ha dado ya que se cuenta con un muro de fuego, contando con generadores de energa (UPS) as la conectividad cualquier momento. Escalafn implementa procedimientos de control que restringe el acceso no autorizado a las aplicaciones o recursos de informacin la cual se maneja por directorios activos o el dominio el cual proporciona los permisos necesarios. Existe estndares de la telefona de vos y video para el personal adecuado pero es bloqueado el ancho de banda y el acceso es controlado a nivel de la planta. puede ser levantada en

Pgina 43

Informe Auditoria ESCALAFON

I I. 78 I. 79 I. 80 I. 81 I. 82

I) ADMINISTRACION Y OPERACIONES DE REDES Existen estndares y polticas para la administracin de la Red? Existen procedimientos establecidos para la eficiente operacin de la Red? Existen procedimientos que verifiquen la seguridad e integridad de la Red? Existe una poltica para el personal que usa recursos de comunicacin de voz, facsmile y video? El funcionamiento de la Red es eficiente? (encuesta a usuarios)

100% 20 20 20 20 20

90% 10 20 20 20 20

Control I: Administracin y Operaciones de Redes

20 18 16 14 12 10 8 6 4 2 0

Valor Control Obtenido

Pgina 44

Informe Auditoria ESCALAFON

Control J Administracin y Operacin de la Base de Datos

Este control se basa en determinar la eficiente operacin, administracin y seguridad de la Base de Datos. El departamento de Infotecnologia no cuenta con procedimientos o guas para la

Administracin de la base de datos, ya que a cada desarrollador se le asigna un programa a realizar con su respectiva Base de Datos, esta posee su manual tcnico de manera digital pero no se encuentra archivada. A cada base de datos particular del programa asignado a cada desarrollador solo tiene acceso desde la computadora del mismo a travs del servidor de produccin y esta se encuentra protegida por medio de contrasea. En cuanto a los derechos y privilegios de administracin de la base de datos solo el desarrollador de la aplicacin puede entrar como sper usuario (Tiene todos los privilegios) y los dems personas solo es de lectura. En la seguridad de las contraseas no se cuenta con un formato o lineamiento a seguir para la creacin de la misma (Tamao mnimo de caracteres, incluir letras, nmeros y caracteres especiales, no dejar espacios en blanco, etc.). Se realizan backup a diario por si ocurre alguna falla en el sistema, pero para fines de seguridad extra se respalda la base de datos a travs de un backup mensual en el Banco Central de Honduras. No existen procedimientos de seguridad para encriptar los campos ms sensitivos y confidenciales de la Base de Datos, solo las claves de acceso a la misma se encriptan.

Pgina 45

Informe Auditoria ESCALAFON

J J. 85 J. 86

J) ADMINISTRACION Y OPERACIN DE LA BASE DE DATOS 100% Existen procedimientos para el desempeo de las funciones del DBA de la B-D? 50 Existen procedimientos para la seguridad de la B-D? 50

65% 25 40

Control J: Administracion y Operacion de BD

50 40 30 20 Valor Control Obtenid o

10
0 Existen proccedimientos para el desempeo de las funciones del DBA de la B-D? Existen proccedimientos para la seguridad de la B-D?

Pgina 46

Informe Auditoria ESCALAFON

Control K
Este control trata de medir el nivel de satisfaccin de los usuarios finales de las aplicaciones y/ servicios dados por los unidad de Infotecnologia. En opinin de los empleados entrevistados en la unidad de nominas y planillas de la misma estructura organizativa de escalafn, quienes a su ves son usuarios de algunos de los programas creados en esta unidad, ellos calificaron con una nota en promedio del 59% de 100% la gestin, manejo, repuesta y ayudas dadas por la unidad de Infotecnologia, lo cual indica una gestin ACEPTABLE de la unidad. Siendo las reas de: Capacitacin al personal y manuales operativos bien detallados las dos con ms baja aceptacin de parte de los usuarios, adems los usuarios presentaron inconformidad moderada en la parte del retraso con que son atendidos sus requerimientos hechos.

Pgina 47

Informe Auditoria ESCALAFON

Estructura organizativa de la secretaria de educacin.

Pgina 48

Informe Auditoria ESCALAFON

Estructura Organizativa de la unidad de Infotecnologia.

Pgina 49

Informe Auditoria ESCALAFON

Imgenes de la unidad de Infotecnologia.

Pgina 50

Informe Auditoria ESCALAFON

Pgina 51

Informe Auditoria ESCALAFON

Pgina 52

Informe Auditoria ESCALAFON

Pgina 53

Informe Auditoria ESCALAFON

Pgina 54

Informe Auditoria ESCALAFON

Diagrama de Red

Pgina 55