Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CON LA NORMA DE
I.
OBJETIVO
II.
ALCANCE
III.
RESUMEN EJECUTIVO
III.1
Conclusin general
III.2
Conclusiones especficas
IV.
RECOMENDACIONES
IV.1.
Resumen de recomendaciones
IV.2
Detalle de recomendaciones
V.
RESULTADOS OBTENIDOS
I.
OBJETIVO
El objetivo de nuestro trabajo
tecnologa
fue evaluar
II.
ALCANCE
Los sistemas de informacin de la unidad de sistemas de informacin. (USI)
II.1
INTRODUCCION
De acuerdo a lo relevado en el transcurso de nuestro trabajo, MI BANCO
nos ha
estudio profundo del entorno general en el que se opera, son parte importante del valor
agregado adicional que obtendr MI BANCO de nuestro trabajo.
Planificacin
estratgica
de la
institucin
Necesidades
del negocio
Administracin
del Negocio
Planificacin
estratgica
de sistemas
Soporte a las
aplicaciones
existentes
Proyectos
prioritarios
Planificacin
tctica de
sistemas
Nuevos
Cambios
Entrega de
Aplicaciones
Administracin de Sistemas
Cultura Informtica
Este modelo contiene seis componentes bsicos asociados con la provisin y operacin
de los servicios informticos. Muchos de los problemas del rea informtica provienen
de aspectos que pueden ser fcilmente identificados aplicando este modelo de alto
nivel. Los seis componentes del modelo son:
institucin debe determinar los requerimientos que tienen los sistemas, si es que los
hay, para el soporte de los planes del negocio.
informacin no han sido vistos como una ventaja competitiva potencial y por lo tanto
pocas organizaciones tienen procesos o capacidades para examinar el uso estratgico
de la informtica para maximizar sus beneficios para el negocio. El resultado de este
proceso tiende a ser un conjunto de requerimientos del negocio o pedidos de proyectos;
El proceso de planeamiento
Entrega de aplicaciones.
Cultura informtica.
III.
RESUMEN EJECUTIVO
Con el objeto de facilitar la lectura del presente informe, a continuacin presentamos un
resumen ejecutivo, de los aspectos ms relevantes que han surgido como resultado
de nuestro trabajo
al examinar
el nivel
de conformidad
con la norma de
a. Planificacin estratgica
Hemos apreciado la existencia de un proceso de planificacin estratgica a nivel del
negocio, cuya metodologa se encuentra delineada en el documento Reglamento
Especfico del Sistema de Programacin de Operaciones.
Durante el presente ao MI BANCO
b. Normas y procedimientos
Si bien en general hemos comprobado la existencia de normas y procedimientos del
rea informtica, las mismas registran diferentes grados de formalizacin. La mayor
formalizacin se puede encontrar en las reas ms tcnicas, como ser desarrollo de
aplicaciones y configuracin de equipos, mientras que en otras (ej: pruebas de
sistemas, pasajes a produccin, administracin de seguridad) la formalizacin es menor.
10
Personal ajeno a sistemas accede a la sala del computador sin la real necesidad.
11
Por otro lado, es importante mencionar que las actuales instalaciones fsicas de la USI
no han sido diseadas especficamente para tal fin, lo cual no contribuye a la solucin
de los aspectos antes mencionados.
Estos aspectos inciden directamente en la disponibilidad y confidencialidad de la
informacin.
Seguridad lgica
Existen varios aspectos a mejorar en cuanto a la seguridad lgica:
construccin, etc.)
Operacin
12
13
IV. RECOMENDACIONES
A. GESTION DE LA UNIDAD
1. Planificacin Estratgica de Sistemas
Como resultado del trabajo realizado, observamos que la funcin informtica
no est plenamente integrada al proceso de planificacin estratgica MI
BANCO de forma tal que se pueda elaborar en forma oportuna y eficaz el plan
estratgico de sistemas.
La elaboracin de un Plan Estratgico de Sistemas (Strategic Information
Systems Planning SISP) incluye el proceso de desarrollo de un plan del uso
de la tecnologa de la Informacin dentro de la organizacin, el cual debe estar
alineado con las necesidades operativas y con las prioridades gerenciales
desde el punto de vista del costo/beneficio.
Un Plan Estratgico de Sistemas
aspectos:
a)
b)
c)
d)
e)
Priorizacin de proyectos
f)
g)
14
Sin embargo, como resultado de nuestro trabajo observamos que las funciones de
responsable de seguridad y soporte a usuarios no estn formalmente definidas.
Asimismo, observamos que las funciones de los responsables de las reas de
desarrollo y produccin no han sido formalmente designadas por los niveles
correspondientes de MI BANCO .
En tal sentido, es recomendable que el rea de sistemas sea reestructurada a fin
de contar con una mejor organizacin interna de la Unidad y mejorar los niveles de
servicio que actualmente brinda a las reas usuarias.
15
MI BANCO
16
3.
17
Informacin
no se basan en una
autorizados.
Transferencias entre ambientes realizadas por una funcin independiente de
la de desarrollo.
Existencia de software de administracin de libreras para el control de
movimientos de software.
Que slo cdigos fuente sean transferidos entre el ambiente de desarrollo,
pruebas y produccin.
Que los cdigos fuente sean recompilados en el ambiente de produccin
para crear los programas ejecutables.
18
procesos.
Priorizacin de los procesos crticos de negocio (secuencia de recuperacin)
Lista de distribucin del plan de contingencias.
Aprobacin formal de los procedimientos definidos en el plan de
contingencias.
Procedimientos para la recuperacin de los procesos crticos del negocio
(actualmente el plan de contingencias slo contempla procedimientos para
caso de contingencia.
Detalle de los requerimientos
mnimos
de
hardware,
software
(planes detallados para las pruebas, alcance de las pruebas cubriendo los
desastres tanto en perodos pico y normales e, procedimientos de
notificacin, lneas de comunicacin, medicin del rendimiento de las
19
servicios informticos.
Plan de disponibilidad que permita monitorear y controlar la disponibilidad de
20
Cada usuario debera contar con una clave distinta para cada uno de los sistemas.
Permitir la misma clave para todos los sistemas solamente con autorizacin expresa
2.
de las
ISO
17799
deberan configurarse los sistemas operativos y las aplicaciones para que se posibilite
el cambio peridico de claves y que todos los usuarios realicen el cambio de sus claves
teniendo como mximo un lapso de 90 das.
3.
Los sistemas deben guardar al menos las ltimas tres claves para que las mismas
no puedan repetirse.
4.
5.
6.
7.
8.
Existen tomas de corriente en el piso del Centro de Cmputo. No existe piso falso.
9.
10.
La iniciacin de proyectos
Construccin
Especificaciones de programas
Codificacin y pruebas
Controles de seguridad
Implantacin.
Documentacin de usuario
Entrenamiento
Realizaremos pruebas sobre una muestra de proyectos, que nos permita verificar si los
mismos son realizados segn los procedimientos definidos.
Resultados obtenidos
No existen procedimientos formalmente establecidos para la iniciacin de proyectos,
que definan el tipo de documentacin que se debe elaborar. Sin embargo, durante
nuestra revisin encontramos que se ha elaborado documentacin de inicio de proyecto
para los siguientes sistemas:
CIRC
SIF
Acuotaciones
CIRC Microcrdito
ni para el
CIRC
SIF
Manual de Programacin
Manual Tcnico
Procedimiento aplicado
Realizaremos pruebas sobre una muestra de proyectos, que nos permita verificar si
los mismos son realizados segn los procedimientos definidos.
Resultados obtenidos
No existen procedimientos formales para verificar los mtodos de diseo, aprobacin
del diseo, definicin documentacin de los requerimientos, especificaciones, pruebas
del software de aplicacin, materiales de referencia y de apoyo para los usuarios. Cada
uno de los proyectos desarrollados por MI BANCO
es administrado de manera
10
Resultados obtenidos
Una de las especificaciones para la compra de equipos de hardware es que exista una
garanta de 3 aos para los equipos, luego de ese periodo se procede a realizar
contratos de mantenimiento preventivo para los equipos.
No existen procedimientos formales para la administracin de Seguridad del Software
del Sistema, por lo que ninguno de los proyectos de sistemas contempla este tipo de
procedimientos.
No existen procedimientos formales para la instalacin de los sistemas de software
desarrollados por la USI, no se cuenta con procedimientos formales para la aceptacin
del sistema, procedimientos para el pase a produccin ni procedimientos para la
custodia de cdigos fuente. Existen lineamientos generales para la administracin de
los cambios a los programas y la realizacin del mantenimiento a los sistemas. Sin
embargo, no se cuenta con procedimientos formales para la ejecucin de pruebas a las
modificaciones ni para la aceptacin formal de los cambios realizados.
Procedimiento aplicado
11
El manual de operaciones
La capacitacin
El ajuste de desempeo
La conversin
12
Procedimiento aplicado
Verificaremos la existencia de normas y procedimientos que permitan controlar las
actividades relacionadas a la administracin de cambios. Para lo cual verificaremos la
existencia de procedimientos para:
La evaluacin de riesgo
Cambios de emergencia
Informes a la gerencia
Realizaremos para una muestra, del total de los cambios que fueron formalmente
registrados, pruebas que nos permitan verificar el cumplimiento de los procedimientos
existentes.
13
Resultados obtenidos
No se cuenta con polticas ni normas formalmente establecidas para realizar la
administracin de contraseas, excepto por la existencia de normas para la
actualizacin de contraseas que considera el cambio por parte de la USI de todas las
contraseas de la SBEF cada 120 das (las cuales no son aplicadas). El trabajo es
realizado por el administrador siguiendo lo detallado a continuacin:
Una vez habilitado con cuenta de mail el usuario tiene acceso a Internet
Procedimiento aplicado
Fecha
Intendencia
14
Procedimiento aplicado
Revisaremos las normas y procedimientos para la emisin de reportes de violacin y
actividades de seguridad.
Resultados obtenidos
La pgina web de la SBEF no se encuentra publicada en un servidor que se encuentra
en el Centro de Cmputo. Se utiliza para ello un servidor de Entel.
En vista que no se tiene conexin entre la pgina web y la red interna de la SBEF no es
posible que se tengan intentos de violacin a la informacin de la SBEF por ese medio.
Por tanto, no se tienen reportes de violacin en el rea de produccin.
Los intentos de violacin a la informacin de la Superintendencia desde la red de la
SBEF no cuentan con un registro, reporte ni revisin, para la resolucin de actividades
no autorizadas.
15
Procedimiento aplicado
Procedimiento aplicado
Revisaremos las normas y procedimientos para el manejo de incidentes.
Procedimiento aplicado
Evaluaremos la administracin de claves de acceso para los usuarios privilegiados.
Resultados obtenidos
Las claves de acceso para los usuarios privilegiados (analistas / programadores) son
administradas de la misma forma que se realiza la administracin de cuentas de los
usuarios normales.
Como se haba mencionado, los principales aspectos son:
16
Procedimiento aplicado
Evaluaremos los mecanismos utilizados para la administracin de contraseas.
Resultados obtenidos
Los procedimientos para la administracin de contraseas se encuentra detallada en el
punto
Como se haba mencionado, los principales aspectos son:
No existe la posibilidad de cambio de clave por parte del usuario, a excepcin del
sistema SIF.
17