Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Departamento de Informtica Administrativa Asignatura: Auditoria Informtica Informe Auditoria Catedrtica: Lic. Claudia Nez Equipo ESCALAFON Nombre Wilson Josu Lpez Ricardo Andino Osorio Orlin Antonio Turcios Sandra Gerardina Snchez Evelin Rocio Canaca Sergia Georgina Torres Cuenta 20031009787 20041002879 20051005622 20081005714 20081011714 20091000566
Seccin: 1700 Tegucigalpa M.D.C 18 de Noviembre del 2012 Ciudad Universitaria
No Lista 07 08 16 30 33 34
INDICE
Contenido
Propsito de la Auditoria..................................................................................................................... 3 Resumen Ejecutivo.............................................................................................................................. 4 Objetivo General ................................................................................................................................. 5 Objetivos Especficos .......................................................................................................................... 6 Detalle de hallazgos y situaciones de riesgo ....................................................................................... 7 Departamento: Direccin Unidad de Infotecnologia (UIT) ............................................................ 7 Hallazgo ...................................................................................................................................... 7 Recomendaciones ........................................................................................................................ 8 Departamento: Administracin ..................................................................................................... 10 Hallazgo .................................................................................................................................... 10 Recomendaciones ...................................................................................................................... 11 Departamento: Coordinacin de soporte tcnico. ......................................................................... 12 Hallazgos ................................................................................................................................... 12 Recomendaciones: ..................................................................................................................... 13 Departamento: Coordinacin Ingeniera y desarrollo ................................................................... 15 Hallazgo: ................................................................................................................................... 15 Recomendacin: ........................................................................................................................ 16 Departamento: Coordinacin Mtodos y procedimientos ............................................................. 17 Hallazgo: ................................................................................................................................... 17 Recomendaciones: ..................................................................................................................... 18 Anlisis estadstico de la situacin de riesgo del centro IT ............................................................... 20 Diagrama de Pareto ....................................................................................................................... 21 Calendario para Sanear inconformidades. ......................................................................................... 22 Conclusiones ..................................................................................................................................... 24 Anexos............................................................................................................................................... 26
Pgina 2
Propsito de la Auditoria
Iidentificar, ordenar y comunicar en forma oportuna la informacin necesaria para que los empleados puedan cumplir con sus obligaciones.
Identificar, ordenar y comunicar en forma oportuna la informacin necesaria para que los empleados puedan cumplir con sus obligaciones y adems evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin.
Asegurando que las polticas y procedimientos ayuden en la toma de medidas para limitar los riesgos que puedan afectar que se alcancen los objetivos de la Unidad de Infotecnologa y de la Organizacin.
Pgina 3
Resumen Ejecutivo
El objeto del examen comprende la revisin y el anlisis del funcionamiento de los controles y de los procedimientos, como se desarrollan para la ejecucin y confiabilidad de cada uno de los procesos.
La informacin presentada puede ser operativa o administrativa, de origen interno o externo, de control o de procesamiento. Puede estar dirigida al: personal de Direccin de Unidad de Infotecnologia o al personal administrativo. Adems puede incluir informacin valiosa a las coordinaciones y el personal de las reas de: Ingeniera y desarrollo, mtodos y procedimientos o de soporte tcnico.
Deben existir adecuados canales de comunicacin para que el personal sea informado de la importancia de la auditoria, de los hallazgos en la misma y de las medidas de mejoramiento recomendadas a la empresa.
Los controles son necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo: informtica, organizacin de centros de informacin, hardware y software.
Pgina 4
Objetivo General
Revisar y evaluar los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento, las recomendaciones y sugerencias alternativas se logre una
utilizacin ms eficiente y segura de la informacin. La Auditora Informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin.
Pgina 5
Objetivos Especficos
Comprobar la estructura de la organizacin general y el de la unidad de Infotecnologa. Verificar el desempeando las funciones en el rea de administracin. comprobar la existencia de estndares y procedimiento para el diseo y desarrollo de aplicaciones. Corroborar el nivel de seguridad en las operaciones (Accesos al sistema, seguridad de equipo, y acceso a internet) realizadas en el departamento de Infotecnologa. Verificar la proteccin de los programas, aplicaciones, base de datos, datos de usuarios, contraseas y dems controles necesarios. Evaluar como est estructurada la localizacin, distribucin fsica, y seguridad del departamento de sistemas. Verificar la existencia de una biblioteca y de los procedimientos para la custodia y el manejo de los archivos de datos, programas y documentacin tcnica. determinar la capacidad de operacin, administracin y seguridad de la Base de Datos. Evaluar el diseo de los sistemas del rea de Informtica. Evaluar los procedimientos de control de operacin, analizar su estandarizacin y evaluar el cumplimiento de los mismos. Evaluar la forma como se administran los dispositivos de almacenamiento, los servidores y la infraestructura de red del rea de Infotecnologia. Evaluar el control que se tiene sobre el mantenimiento y las fallas.
Pgina 6
Pgina 7
Y todos los dems que se consideren necesarios. Estos miembros solo participaran en el comit informtico nicamente con voz.
7. Establecer periodos de auditorias con entidades externas segn sea la necesidad y lo recomendable (una en el periodo de un ao una cada seis meses). 8. Instaurar un plan estratgico de la unidad de Infotecnologia, el cual deber de contener en el los siguientes aspectos: Misin Visin Objetivos (generales y especficos) Actividades Metas. Los dems que se consideren necesarios. 9. Crear un plan de capacitacin que sern impartidas a los usuarios de las diferentes Aplicaciones y programas, la cual podr contener entre otras cosas:
Deteccin de necesidades de capacitacin. Formulacin y ejecucin de los programas de capacitacin. Evaluacin peridica de las actividades de capacitacin para conocer el grado de eficacia, eficiencia y beneficio que se ha alcanzado con las actividades realizadas.
Siendo tambin necesaria la creacin y actualizacin de los manuales operativos ya existentes para la correcta capacitacin del personal.
necesidades y requerimientos de los usuarios finales de las aplicaciones, como ser: correo electrnico, buzn de sugerencias, formularios para recibir las mismas o cualquier otro sistema que se considere necesario.
Pgina 9
Departamento: Administracin
Hallazgo 1. No existen manuales sobre las funciones que el encargado de la biblioteca debe cumplir. 2. No hay existencia de un control de los prstamos de archivos y programas que se le hace al personal. 3. No hay un software especial para el control de prstamos y usos de programas. 4. No se cuentan con procedimientos adecuados para mantener un estricto control en el acceso de las libreras de programas. 5. Los empleados no firman una pliza de fidelidad al momento de ser contratados. 6. No existe un plan de capacitacin adecuado para el personal. 7. No se cuenta con un plan de vacaciones bien definido para el personal.
Pgina 10
Departamento: Administracin
Recomendaciones 1. Crear las funciones que deber cumplir la persona encargada de la biblioteca para hacer un mayor uso de la misma. 2. Controlar el uso de prstamos de archivos y programas que se encuentran en la biblioteca. 3. Desarrollar un software especial para el control de prstamos. 4. Elaborar procedimientos que contengan un estricto control sobre el acceso de las libreras de programas. 5. Redactar una pliza de fidelidad para ser firmada por los empleados al momento de ser contratados, la cual deber de incluir clausulas como ser: No propagar la informacin. utilizar la informacin nicamente dentro de la empresa. en caso de ser necesario extraer informacin fuera de las instalaciones, solo con la autorizacin del jefe con los procedimientos adecuados. Y todos los dems que se consideren necesarios. 6. Crear un plan de capacitacin adecuado para el personal, basados en el puesto de trabajo de cada uno, adems de las nuevas tcnicas y tecnologas usadas. 7. Estandarizan plan de vacaciones a los empleados de contrato y de acuerdo.
Pgina 11
Pgina 12
Pgina 13
Actualmente el protocolo de transporte ms empleado en la transferencia de datos a travs de Internet es el TCP (Transmission Control Protocol). ste es utilizado como capa de transporte de la mayora del resto de protocolos de transmisin de ficheros a travs de Internet, como el FTP, HTTP, CIFS y NIFS. Sin embargo, tanto el TCP como los protocolos que lo utilizan, generan cuellos de botella inherentes que hacen disminuir el rendimiento de las transferencias, especialmente en redes con alta latencia, redes con un elevado ratio de prdida de paquetes y en la mayora de las redes de alta velocidad. Para garantizar la fiabilidad de los datos, UMP est diseado para enviar seales crticas de control por TCP. Para garantizar un rendimiento de transferencia ptimo, UMP nunca dejar de transmitir datos a una velocidad constante y fluida mientras el enlace lo permita. Para contrarrestar el cuello de botella de lectura/escritura en disco, UMP utilizar tcnicas de buffering cuando el ancho de banda sea superior a la capacidad de ste. A diferencia del TCP, UMP separa el control de congestin de la retransmisin.
Pgina 14
Pgina 15
Pgina 16
Pgina 17
2. Implementar un carnet propio impreso de la unidad de Infotecnologa, para identificacin de los empleados.
3. Contar con las disposiciones ambientales adecuadas y necesarias para la proteccin en caso de emergencias. Como ser: Extintores contra incendios. Detectores de humo. Guantes. Mascaras Y todos los dems que se consideren necesarios. 4. Identificar cada tomacorriente segn sea su voltaje. Para evitar accidentes con el equipo computacional 5. Utilizar UPS para la conexin del equipo computacional 6. Instalacin de suministros de energa por cada nodo
Pgina 18
7. Crear las polticas y procedimientos para realizar la contratacin del personal, ya que la mayora del personal es empleada por medio de recomendaciones personales. 8. Elaborar procedimientos para evaluar el desempeo del personal constantemente, tomando en cuenta tambin que dentro de las auditorias a la unidad de
Infotecnologia se realizaran evaluaciones al personal en los periodos de las mismas. Documentando los resultados de cada empleado, de manera que estos reflejen la supervisin realizada a cada uno de ellos.
Pgina 19
Control
Control I Control F Control H Control D Control E Control J Control G Control K Control C Control B Control A
Valor Obtenido
90 81 80 75 66.37 65 62 59 58.5 52.75 20
% Acumulado
13% 24% 35% 46% 55% 64% 73% 82% 90% 97% 100%
Variacin Acumulada
90 171 251 326 392.37 457.37 519.37 578.37 636.87 689.62 709.62
80-20
80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80%
Pgina 20
Diagrama de Pareto
700 100% 90% 600 80% 500 70% 60% 400 50% 300 40% 30% 20% 100 10% 0 0% Valor Obtenido % Acumulado 80-20
200
ANALISIS: Al encontrarse los controles A (Organizacin), B (Administracin), C(desarrollo de aplicaciones) y K (Evaluacin de parte de los usuarios) sobre el valor del 80% del diagrama de Pareto los constituye en las principales reas donde se encuentran problemas. Por lo cual concluimos que es el rea administrativa y de jefes de sistemas los que presentaros las evaluaciones mas bajas de toda la unidad. Hay que tener en cuanta que tanto la distribucin de los efectos como sus posibles causas no es un proceso lineal, sino que el 20% de las causas totales hace que sean originados el 80% de los efectos. Obteniendo un promedio global 64,51 %
Pgina 21
Direccin Unidad de Infotecnologia Direccin Unidad de Infotecnologia Direccin Unidad de Infotecnologia Direccin Unidad de Infotecnologia Direccin Unidad de Infotecnologia Direccin Unidad de Infotecnologia
Respaldar el equipo de cmputo con UPS 26 noviembre por cada computadora. 2012 No se presento un documento escrito de la aprobacin de las aplicaciones nuevas y de actualizacin de los programas. No se encontraron procedimientos definidos para solicitar y efectuar modificaciones a los programas. No existen guas, estndares o disposiciones para realizar las pruebas de las nuevas aplicaciones No cuenta con un comit de informtica. 26 noviembre 2012 26 noviembre 2012 26 noviembre 2012 26 noviembre 2012
Direccin Nunca se ha realizado una auditoria al 26 Unidad de departamento de Infotecnologia noviembre Infotecnologia 2012 Direccin No existe un plan estratgico de manera Unidad de general para toda la unidad de 26 noviembre Infotecnologia Infotecnologia. 2012 Direccin Ninguna Capacitacin al personal ni la Unidad de existencia de manuales operativos bien 26 noviembre Infotecnologia detallados. 2012 Coordinacin Instaurar un manual de procedimientos o Ingeniera y guas para la administracin de la base de 26 desarrollo datos noviembre 2012
2 de enero 2013
31 de mayo 2013
Orlin
Pgina 22
Coordinacin Adquirir software especializado para la Ingeniera y seguridad de la base de datos 26 desarrollo noviembre 2012 Coordinacin Elaborar un plan de contingencias para Mtodos y combatir situaciones de riesgo 26 procedimientos noviembre 2012 Coordinacin Implementar un carnet para identificacin de Mtodos y 26 los empleados procedimientos noviembre 2012 Elaborar polticas y procedimientos para Coordinacin 26 realizar la contratacin del personal Mtodos y noviembre procedimientos 2012 Crear procedimientos para evaluar el Coordinacin desempeo del personal 26 Mtodos y noviembre procedimientos 2012 Redactar una pliza de fidelidad para ser Administraci firmada por los empleados al momento de 26 n ser contratados noviembre 2012 Crear un plan de capacitacin adecuado para Administraci el personal 26 n noviembre 2012 Se debe adquirir hardware similar o Coordinacin compatible para ser utilizado en caso de 26 de soporte emergencias noviembre tcnico 2012 Respaldar el equipo de cmputo con UPS Coordinacin por cada computadora para garantizar el 26 de soporte suministro de energa elctrica noviembre tcnico 2012
Orlin
Orlin
2 de Revisa Ricardo noviembre Andino 2013 Revisa Wilson 2 de mayo Lpez 2013
Pgina 23
Conclusiones
En base a las observaciones e investigaciones hechas en la estructura organizativa, la administracin, los procedimientos, la seguridad y todo lo relacionado con la gestin de la unidad de Infotecnologia de ESCALAFON de la Secretaria de Educacin, Gobierno de Honduras, se presentan como conclusin un anlisis FODA que resume las valoraciones encontradas en nuestra investigacin.
Anlisis FODA
Fortalezas: 1. La ubicacin de las instalaciones se encuentran en un punto estratgico de la ciudad. 2. Por encontrarse en el nivel ms alto del edificio no corre riesgos de daos por inundaciones u otros riesgos a nivel del suelo. 3. Cuentan con hardware en general actualizado. 4. El data center esta bien protegido y custodiado, debidamente respaldado, actualizado y mantenido. 5. Las aplicaciones con las que cuentan son creadas en el rea de desarrollo de la Unidad de Infotecnologa. 6. Cuentan con un router 3G en caso de ausencia de internet, se conecta un modem y este alimenta de internet a todos los nodos de la red local. Oportunidades: 1. Se da la posibilidad de realizar procesos remotos desde distintos sitios a nivel nacional. 2. Reciben donaciones de hardware de organismos internacionales. 3. A nivel de comunicaciones cuentan con 2 empresas que respaldan las transmisiones de datos en la ciudad y entre los departamentos del pas. 4. La evaluacin de las aplicaciones internas ha sido satisfactorias ya que la mayora de todos los programas son realizadas por ellos mismos.
Pgina 24
Debilidades: 1. No cuentan con personal calificado en casi todas las reas de la unidad. 2. No se realizan capacitaciones al personal. 3. No cuentan con respaldo de energa elctrica en caso de ausencia de la misma. 4. No cuentan con las instalaciones fsicas necesarias para ser un centro IT bien acondicionado. 5. Inexistencia de un comit informtico. 6. Seguridad de contraseas deficientes. 7. Inexistencia de rutas de evacuacin. 8. Falta de personal con el conocimiento para asegurar en continuo funcionamiento de la Unidad de Infotecnologa. 9. No se han realizado auditorias en sistemas a esta unidad. 10. En ocasiones se han encontrados con problemas de tipo cuellos de botellas en los trabajos internos de la red. (impresiones, comunicaciones, etc).
Amenazas: 1. Debido al hecho de que solo 2 personas conoces el funcionamiento y todas las claves de acceso a los sistemas crticos, al faltar uno o ambos de ellos se hace necesario contratar personal forneo, a los cuales se les da acceso fsico y lgico y esto podra llevar a situaciones adversas. 2. Al no brindar capacitacin continua a los usuarios del sistemas estos tienden a evaluar de manera negativa la gestin 3. Al no existir manuales actualizados y bien definidos, los usuarios finales tienden a mal utilizar, o no sacar el provecho completo de las aplicaciones creadas por lo tanto se abre la posibilidad de mal uso del sistema.
Pgina 25
Anexos
Pgina 26
Resumen de controles, evaluados en la unidad de Infotecnologa del Ministerio de Educacin del Estado de Honduras. ESCALAFON
Control A Organizacin
Este control trata de evaluar como est estructurada la organizacin general y el departamento de Infotecnologa. La organizacin cuentan con los organigramas, general y del departamento de sistemas, pero no se encuentran actualizados, porque fueron creados hace algunos aos,
entrevistando al personal se encontr que no tienen conocimiento de ninguno de los organigramas de la organizacin. Adems la informacin que este departamento genera, le es de utilidad a toda la institucin pero no recibe apoyo financiero y tcnico de la secretaria de educacin de estado. El organigrama del departamento de sistemas ha sufrido cambios y reducciones de puestos, el organigrama est estructurado de tal manera que se muestran las reas de
desarrolladores, operaciones de computador, mantenimiento, soporte y apoyo a usuarios, de redes y seguridad. Pero no hay coordinador de base de datos en el organigrama. Existe una no conformidad en los perfiles de puestos ya que no se comprob la veracidad de los mismos, no cuentan con polticas ni procedimientos cuando se realiza la seleccin del personal, ya que la mayora entra a laborar por medio de recomendaciones. A este personal no se le exige que firmen una pliza de fidelidad. El departamento de Infotecnologa no cuenta con un comit de informtica, pero si realizan reuniones empricas imprevistas con personal seleccionado, segn sea la necesidad del departamento. Y al cual nunca se ha realizado una auditoria.
Pgina 27
A) ORGANIZACION 100% Existe el organigrama general en la institucin. 10 Existe el organigrama del departamento de sistemas 10 existe un manual de descripcin de funciones y puestos 20 polticas y procedimientos definidos 10 El personal de alto riesgo esta incluido en una pliza de fidelidad. 20 existe un comit de informtica 10 se realizan auditorias peridicamente 20
20% 8 9 0 0 0 3 0
Control A: Organizacin
20 18 16 14 12 10 8 6 4 2 0
Pgina 28
Control B Administracin
El control B trata de evaluar cmo se estn desempeando las funciones en el rea de administracin. No existe un plan de capacitacin adecuado, por lo cual ocurren errores pero no graves por la falta de capacitacin aunque en ocasiones es necesaria la ayuda de especialistas y los empleados son capacitados indirectamente. No hay polticas definidas para evaluar al personal, realizan evaluaciones pero visuales con cada trabajo asignado los empleados presentan inconformidad respecto a promociones de ascenso. Existe rotacin de personal, pero no es una rotacin estipulada segn se presentan las necesidades del departamento. No se cuenta con un plan de vacaciones, ya que el personal entrevistado trabaja por contrato lo cual presenta inconformidad entre los empleados de contrato Temporal y los empleados de contratos de Acuerdo. Las vacaciones no las asigna el jefe de sistemas ya que son polticas de Recursos Humanos. No existe ningn tipo de poltica y control para la terminacin del contrato de trabajo a excepcin de eliminar el acceso que tienen al sistema en la Unidad de Infotecnologa. No hay un plan estratgico definido hacia donde se desea llevar la unidad de Infotecnologa ya que los objetivos no se alinean con la parte de la organizacin en general. Aunque este departamento funciona de acuerdo a las necesidades que se presentan. Los recursos con los que cuenta el departamento no se estn utilizando de una manera eficiente ya que en la unidad no se cuenta con un plan estratgico adecuado, por lo tanto no hay ninguna actividad planeada. Existe supervisin de labores por personas encargadas a los empleados, no se cuenta con una documentacin donde se refleje la supervisin realizada a los mismos, ya que la supervisin es visual y oral. Utilizan licencias originales para el desarrollo de las diferentes aplicaciones y funciones que se realizan en Infotecnologa.
Pgina 29
B) ADMINISTRACION 100% 52.75% B,11 existe un plan de capacitacin para el personal 7.5 4 Se cuentan con polticas para evaluar el personal B,12 10 5 Existen Rotacin de personal para las funciones B,13.1 operacionales bsicas 7.5 5.5 Existen Rotacin de personal para las funciones B,13.2 operacionales bsicas de las aplicaciones automatizadas 7.5 5.5 existe un plan previo de vacaciones para el personal B,14 7.5 3 Se cuentan con polticas definidas para terminacin el B,15 contrato de trabajo 7.5 1 B,16 Se cuentan con planes estratgicos. 20 6 Existe un programa de actividades a corto mediano y largo B,17 plazo. 10 3 Existe una supervisin de labores. B,18 7.5 4.75 Se cumple con las disposiciones gubernamentales para las B,19 operaciones 0 0 B,20 Se cuentan con licencias originales de software 7.5 7.5 Existen polticas TIC'S B,21 7.5 7.5 B
Control B: Administracion
20 18 16 14 12 10 8 6 4 2 0
Pgina 30
Pgina 31
C
C, 24 C, 25 C, 26 C, 27 C, 28 C, 29.1 C, 29.2 C, 30 C, 31 C, 32 C, 33 C, 34.1 C, 34.2 C, 34.3 C, 35 C, 36
Valor Control
existen estandares
existe la funcion de
los departamentos
en el desarrollo de
cada aplicacin
se cuenta con
existen estandares
existen estandares
los programas y
los usuarios
existen
se realizan estudios
toda aplicacin o
la institucion
estan
Obtenido
Pgina 32
Control D Operaciones
Este control trata de evaluar como est estructurada la seguridad de las operaciones (Accesos al sistema, seguridad de equipo, y acceso a internet) realizadas en el departamento de Infotecnologa. Este departamento, cuenta con una red de seguridad la cual est configurada por categoras o grupos donde a cada empleado se le asigna las categoras o grupos que tendrn acceso. No se cuenta con hardware similar o compatible para ser utilizado en caso de emergencias; con el nico hardware que tienen es el que se encuentra dentro de la empresa, (para futuros se piensa ampliar la rede en los 18 departamentos se desea implementar un clster de mquinas virtuales, para que este pueda funcionar en caso de emergencias).
El mantenimiento preventivo de hardware se realiza de manera eficiente respaldado con el contrato CAREPACK de la compaa Hewlett Packard (HP) quien brinda el soporte continuamente del hardware. Cuando se deteriora un equipo se realizan respaldos atreves de VSPHERE (Plataforma de virtualizacin lder del sector para construir infraestructuras de cloud. Permite a los usuarios ejecutar aplicaciones crticas para el negocio con confianza y responder con mayor rapidez a las necesidades empresariales.)
No cuentan con un plan de contingencias escrito. Lo que realizan son dos tipos de respaldo: Respaldo Caliente, y Frio.
El acceso a internet es controlado adecuadamente para uso exclusivo de la empresa utilizan las reglas de los corta fuegos para proteger el equipo de infecciones de virus.
El departamento no maneja ningn tipo de documento o formulario en blanco, ni autoriza transacciones u operaciones que no le competen a este.
Pgina 33
D D, 37
D) OPERACIONES 100% Estn diseadas en la red de seguridad los diferentes grupos o categoras del personal involucrado en las aplicaciones 10 cuenta el departamento de sistemas con hardware interno o externo similar o compatible para ser utilizado en caso emergencias 10 Existe un adecuado mantenimiento preventivo de hardware. 20 Existe un control y anlisis del desempeo de hardware para futuros cambios de equipo. 10 Existe un plan de contingencias para situaciones de emergencia. 20 El uso de Internet es controlado adecuadamente. 5 Se cuenta con procedimientos de seguridad para evitar el contagio de virus por internet. 15 El departamento de sistemas en ocasiones inicia o autoriza transacciones u operaciones. 5 El departamento de sistemas en ocasiones custodia o maneja documentos, formularios de recibos y/o cheques en blanco 5 La institucin brinda servicios de banca electrnica. 0 La institucin tiene sus oficinas principales en un pas del exterior. 0
75% 10
5 20 10 10 5 15 0 0 0 0
Control D: Operaciones
20 18 16 14 12 10 8 6 4 2 0
Pgina 34
Control E Procesamiento
El control trata de evaluar cmo se estn desempeando las funciones en el rea de procesamiento. El manual de usuario es proporcionado a los empleados, los cuales no muestra las descripciones de las aplicaciones, no obstante se le brinda capacitaciones y hasta la fecha no existen contratiempo de los mismos. Los formularios estn debidamente automatizados, los campos estn correctamente descritos y separados para que no permita mala interpretacin por el usuario final. Los supervisores y jefes son los encargados de controlar la calidad de los datos y los procesos la cual es supervisada, y controlada por el usuario final, dichos datos son verificados y en caso de haber duplicidad son depurados, el cual minimiza los riesgos en la corrupcin de los datos por errores del proceso o por actos deliberados del personal, la cual muestra advertencias cuando los datos son inconsistentes y para evitar este tipo de falencias hay respaldos contra estos incidentes y una bitcora que nos indica que realizo cada usuario. La capacidad tcnica operativa del personal es poco ya que cuando presenta fallas el computador no tiene el conocimiento sobre mantenimiento preventivo, La informacin sensible y confidencial estn almacenadas en lugares restringidos , los cuales solo tienen acceso el administrador del aplicativo y el administrador del proyecto, cuenta con todos los niveles de acceso a todo el sistema, los usuarios testan restringidos por privilegios ya que existen restricciones para resguardar la informacin, con estas medidas se han evitado robos o fraudes dentro de la organizacin ya que todo el personal no poseen muchos conocimientos de programacin, pero no obstante si han tenido ataques de virus fuera de la organizacin, la cual se le dan mantenimiento y seguimiento para evitar dichas dificultades en el futuro.
Pgina 35
E E,45 E,46
E) PROCESAMIENTO Existen manuales operativos (trascripcin de datos, de operacin, de biblioteca, de usuario) para cada aplicacin del computador? Los formularios de la informacin fuente estn diseados eficientemente para evitar interpretacin y/o trascripcin errnea de los datos? En el punto de preparacin, registro o envo de los datos, todas las transacciones son controladas por medio de listados o totales de control adecuados? Existe la funcin de control de procesos y de datos, para verificar y revisar los datos de entrada, procesos y salidas o resultados en el Departamento dueo de la aplicacin? Los resultados finales de los procesos se comprueban adicionalmente en forma automtica o manual contra archivos o registros externos relacionados? Existen procedimientos definidos para la correccin y retroalimentacin de transacciones no registradas por tener errores? Existen rutinas de validacin de inconsistencias en los programas de captacin de datos y/o programas de inconsistencias especialmente diseados para tal efecto? El personal de trascripcin y operacin est capacitado para identificar fallas de funcionamiento del computador? Son marcados o sellados los documentos fuentes utilizados en la captacin de datos para protegerlos contra duplicados o reentradas? Son los reportes de salidas que contienen informacin confidencial y sensible, mantenida y manejada con la prudencia que corresponde? La informacin confidencial y sensible mantenida en los archivos magnticos, es restringida y autorizada a los funcionarios y personal de nivel adecuado? Los archivos de datos y programas para procesamiento estn adecuadamente administrados e identificados tanto interna como externamente? Los operadores del computador y/o los operadores de las aplicaciones en el Departamento de origen poseen conocimientos de programacin de computadoras? Existe adecuada segregacin de tareas en el procesamiento de las aplicaciones?
66.37% 2.16 5
E,47.1
6.16
6.16
E,47.2
6.15
E,47.3 E,47.4
6.16 6.15
3.75 5
5 3 6.15 5
E,51.2
6.16
E,52
6.15
6.15
E,53 E,54
6.15 6.15
5 4
Control E: Procesamiento
20 15 10 5 Los formularios de la Existen manuales
Existen rutinas de
Son marcados o
Existe la funcin de
Existe adecuada
En el punto de
Existen
El personal de
La informacin
Pgina 36
Pgina 37
F) SEGURIDADES LOGICAS
100% 10 10 15
81% 10 5 15
Existe un procedimiento eficiente para el otorgamiento y F, 55.1 administracin de Password. Existe un procedimiento eficiente para la concientizacin en el F, 55.2 personal sobre la responsabilidad, uso y manejo de password. Se han designado a algunas personas para llevar a cabo las F, 56.1 funciones de administracin de seguridad del sistema. Se investiga en el departamento de sistemas y por parte de los dueos de la aplicacin las violaciones del acceso al computador y a F, 56.2 las aplicaciones. Existe por parte de la jefatura de sistemas un anlisis sobre el F, 56.3 acceso de los usuarios al computador y a las aplicaciones. Existen procedimientos de control que protejan la informacin que F, 57 es transmitida entre el servidor y las computadoras remotas. F, 58 Cuenta la empresa con procedimientos y programas de antivirus. F, 59 F, 60 F, 61 F, 62 Cuenta el centro de cmputo con suficientes UPS u otros sistemas alternativos que suministren energa por tiempo suficiente. Existen adecuados procedimientos de control para el otorgamiento de terceros a los sistemas de informacin. Existe un comit de gestin de la seguridad de la informacin u otro rgano interno con similares funciones. Existen polticas sobre el uso de medidas criptogrficas.
5 5 10 15 10 5 5 10
3 5 10 15 8 5 0 5
Valor Control
Obtenido
Pgina 38
G) SEGURIDAD FISICA La distribucin y localizacin del departamento de sistemas es la adecuada? El acceso al centro de cmputo es permitido solamente al personal del departamento? Existen rtulos visibles que indiquen que el centro IT es rea restringida? El personal del departamento de sistemas esta debidamente identificado? Existen plizas de seguros para proteger economicamente la inversin de SW y HW en caso de siniestro? Existen condiciones ambientales en el centro IT para protegerse contra cualquier dao? Existen extintores contra el fuego en el departamento de sistemas? Cuenta la empresa con una planta de energa elctrica que la provea de energa en caso de ausencia de la misma? Cuenta el centro de cmputo con su propio panel de control de breaker (Interruptores)? Los tomacorrientes estn debidamente identificados y protegidos? El sistema de cableado y cables estn identificados y protegidos contra daos violaciones de la informacin? Existen restricciones fsicas que impidan el fcil acceso a personas no autorizadas a los servidores? Cuenta la Institucin con loocker para proteger los hob routers y/o switch? El servidor de produccin y aplicaciones se encuentran separados fsicamente de los dems servidores? Existen disposiciones de seguridad para recursos informticos instalados fuera de la organizacin?
100% 10 5 5 5 5 10 5 10 5 5 5 5 5 15 5
62% 8 5 5 0 0 0 3 5 5 2 5 5 5 12 2
Pgina 40
Control H Almacenamiento
Este control se basa en verificar la existencia de una biblioteca y los procedimientos eficientes para la custodia y el manejo de los archivos de datos, programas y documentacin tcnica, se cuenta con una biblioteca ubicada en las instalaciones del departamento de INFOTECNOLOGIA, la persona encargada no posee conocimientos de informtica, los medios de almacenamiento se encuentran en armarios dentro de la biblioteca estn debidamente identificados, no se realizan actividades incompatibles ya que la persona encargada no maneja el tipo de informacin que se encuentra en la biblioteca, no existen manuales sobre las funciones que el encargado de la biblioteca debe cumplir, tampoco existe un control de los prstamos de archivos y programas que se les hace al personal . Existe restriccin de las personas que entran a la biblioteca solo personal autorizado. No hay un software especial para el control de prstamos y usos de programas. No existen procedimientos adecuados para mantener un estricto control en el acceso de las libreras de programas. La efectividad del sistema de archivos de respaldo externos para ser utilizados en casos de emergencia. Con respecto a los archivos de respaldo son guardados en el banco central. En el procedimiento de traslado de los archivos de respaldo hay personas autorizadas y saben cmo llevar el backup. Estn en constante actualizacin del proceso de los archivos de respaldo. Cuando se envan al BCH van con sus respectivas etiquetas que incluyen nombre, fecha del backup. Los que salvaguardan la informacin de los medios informticos una vez revisada y debidamente documentada se enva a la bveda del BCH.
Pgina 41
H H. 74 H. 75 H. 76
H) ALMACENAMIENTO 100% El departamento de sistemas cuenta con una biblioteca de archivos y programas? 50 Existen procedimientos definidos para el uso de archivos de datos, programas y aplicaciones de la biblioteca? 25 Cuenta el centro de cmputo con archivos de respaldo externos? 25
80% 40 20 20
Control H: Almacenamieto
50 45 40 35 30 25 20 15 10 5 0 el departamento Existen Cuenta el centro de sistemas cuenta procedimientos de computo con con una biblioteca definidos para el archivos de respaldo de archivos y uso de archivos de externos? programas? datos, programas y aplicaciones de la biblioteca?
Pgina 42
Este control se basa en la existencia de estndares y polticas para la administracin de las redes y los procedimientos para la eficacia en las operaciones de las mismas la cual se verifica la seguridad e integridad para un uso eficiente, el cual el administrador de red se le asignan las funciones correspondientes con los estndares y polticas mediante la red, Vlan, y sudneteo. El administrador de redes es el encargado de verificar que existen procedimientos que determinan el correcto y ptimo funcionamiento de la red mediante testeo la cual es la base para monitorear los 21 sitios a nivel nacional .En actualidad se monitorea las violaciones a la seguridad de la red, lo cual nunca se ha dado ya que se cuenta con un muro de fuego, contando con generadores de energa (UPS) as la conectividad cualquier momento. Escalafn implementa procedimientos de control que restringe el acceso no autorizado a las aplicaciones o recursos de informacin la cual se maneja por directorios activos o el dominio el cual proporciona los permisos necesarios. Existe estndares de la telefona de vos y video para el personal adecuado pero es bloqueado el ancho de banda y el acceso es controlado a nivel de la planta. puede ser levantada en
Pgina 43
I I. 78 I. 79 I. 80 I. 81 I. 82
I) ADMINISTRACION Y OPERACIONES DE REDES Existen estndares y polticas para la administracin de la Red? Existen procedimientos establecidos para la eficiente operacin de la Red? Existen procedimientos que verifiquen la seguridad e integridad de la Red? Existe una poltica para el personal que usa recursos de comunicacin de voz, facsmile y video? El funcionamiento de la Red es eficiente? (encuesta a usuarios)
100% 20 20 20 20 20
90% 10 20 20 20 20
Pgina 44
Administracin de la base de datos, ya que a cada desarrollador se le asigna un programa a realizar con su respectiva Base de Datos, esta posee su manual tcnico de manera digital pero no se encuentra archivada. A cada base de datos particular del programa asignado a cada desarrollador solo tiene acceso desde la computadora del mismo a travs del servidor de produccin y esta se encuentra protegida por medio de contrasea. En cuanto a los derechos y privilegios de administracin de la base de datos solo el desarrollador de la aplicacin puede entrar como sper usuario (Tiene todos los privilegios) y los dems personas solo es de lectura. En la seguridad de las contraseas no se cuenta con un formato o lineamiento a seguir para la creacin de la misma (Tamao mnimo de caracteres, incluir letras, nmeros y caracteres especiales, no dejar espacios en blanco, etc.). Se realizan backup a diario por si ocurre alguna falla en el sistema, pero para fines de seguridad extra se respalda la base de datos a travs de un backup mensual en el Banco Central de Honduras. No existen procedimientos de seguridad para encriptar los campos ms sensitivos y confidenciales de la Base de Datos, solo las claves de acceso a la misma se encriptan.
Pgina 45
J J. 85 J. 86
J) ADMINISTRACION Y OPERACIN DE LA BASE DE DATOS 100% Existen procedimientos para el desempeo de las funciones del DBA de la B-D? 50 Existen procedimientos para la seguridad de la B-D? 50
65% 25 40
10
0 Existen proccedimientos para el desempeo de las funciones del DBA de la B-D? Existen proccedimientos para la seguridad de la B-D?
Pgina 46
Control K
Este control trata de medir el nivel de satisfaccin de los usuarios finales de las aplicaciones y/ servicios dados por los unidad de Infotecnologia. En opinin de los empleados entrevistados en la unidad de nominas y planillas de la misma estructura organizativa de escalafn, quienes a su ves son usuarios de algunos de los programas creados en esta unidad, ellos calificaron con una nota en promedio del 59% de 100% la gestin, manejo, repuesta y ayudas dadas por la unidad de Infotecnologia, lo cual indica una gestin ACEPTABLE de la unidad. Siendo las reas de: Capacitacin al personal y manuales operativos bien detallados las dos con ms baja aceptacin de parte de los usuarios, adems los usuarios presentaron inconformidad moderada en la parte del retraso con que son atendidos sus requerimientos hechos.
Pgina 47
Pgina 48
Pgina 49
Pgina 50
Pgina 51
Pgina 52
Pgina 53
Pgina 54
Diagrama de Red
Pgina 55