PROCESO COBIT: PO4: DEFINIR LOS PROCESOS, ORGANIZACIN Y RELACIONES

DEL SISTEMA DE INFORMACIN DE LA EMPRESA.

1. Objetivo de la Auditoria: Conceptuar sobre organizacin y relaciones entre el

personal, los recursos de hardware y software, los documentos soporte, el centro de cmputo
con el fin de establecer el grado de eficiencia de los procesos que ejecutan en el sistema.

2. Dictamen:Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos,

organizacin y relaciones del rea evaluada estn contenidos en un manual de procesos y los
recursos de hardware y software son adecuados. Sin embargo, este manual no se ha
actualizado con respecto a la evolucin que ha tenido el Sistema, lo que hace que no sea
posible medirlo y redefinirlo. En procesos clave de administracin del sistema se observa
excesiva dependencia en la capacidad y conocimiento que empleados clave tienen del
sistema.

3. Hallazgos que soportan el Dictamen:

El manual de procesos y perfiles no se ha actualizado de acuerdo a los mdulos del

sistema, acorde con la estructura de cargos de la empresa lo que dificulta ejecutar planes de
contingencia y capacitacin cruzada, en caso de necesidad de reemplazar o rotar personal
clave en las operaciones y administracin del sistema.

Se encontr que la empresa contratista del sistema ejecuta labores de captura de la

informacin, operacin directa sobre tablas de la base de datos. Igualmente, realiza labores
de auditora y tambin administra el sistema operativo, la aplicacin y la base de datos. Se
considera un nivel de acceso amplio que dificulta establecer controles por parte de la
empresa.

Se encontr que el funcionario encargado del mdulo de auditora, realiza solamente

el control de usuarios con niveles de seguridad inmediatamente inferiores a l, pero nadie
realiza auditoria a las entradas de los sper usuarios del sistema.

4. Recomendaciones:

Disear Bitcora de procesos y perfiles de acuerdo al manual actualizado de funciones

y procedimientos del rea Comercial.

Documentar los procesos de consulta, lecturas y facturacin realizados por fuera del
software, para que sean integrados al software. Implementar registro de solicitudes de
modificaciones y diseo de soluciones y actualizaciones.

Documentar y diferenciar en forma precisa los procesos, polticas administrativas y

procedimientos de la administracin de riesgos, la seguridad de la informacin, la propiedad
de datos y del sistema. Esto es, separar completamente en diferentes responsables los
procesos de captura de lecturas, correcciones masivas sobre las tablas de la base de datos,
administracin de la base de datos, auditoria.

Asignar funciones de auditora a uno de los funcionarios que est en capacidad de

registrar los movimientos realizados por los sper usuarios del sistema, pudiendo el mismo
realizar auditoras y ejerciendo controles adecuados sobre la seguridad del servidor e
produccin y sobre la base de datos.

GUAS DE HALLAZGOS
Teniendo en cuenta la aplicacin de los instrumentos para recoleccin de informacin, los
objetivos planteados con anterioridad y los riesgos definidos en la Matriz se obtienen las
siguientes tablas de hallazgos para cada uno de ellos.

GUA DE HALLAZGOS H1.

Aulas de informtica Institucin Educativa R/PT: P1

Hallazgos de la Auditora H1
Dominio Adquisicin e Implementacin
Proceso AI3 Adquirir y mantener la arquitectura tecnolgica
Objetivo de Control Evaluacin de Hardware
Riesgos Asociados R15, R16, R18, R19
Descripcin
En las aulas de informtica no se lleva un registro de mantenimiento y de cambios de
hardware, adems no existe personal de mantenimiento dedicado a este proceso, el
mantenimiento est sujeto a las directrices de la rectora de acuerdo al presupuesto y el
inventario no se actualiza peridicamente cuando se han realizado cambios
Recomendacin
El Encargado de la administracin debe sugerir calendarizacin de inventarios y
mantenimientos de hardware
Causa
La falta de recursos econmicos y la falta de planeacin por parte del encargado de la
administracin de las aulas de informtica en la institucin.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio alto, en cuanto al
impacto es moderado

GUA DE HALLAZGOS H2.

Aulas de informtica Institucin Educativa R/PT: P2

Hallazgos de la Auditora H2
Dominio Adquisicin e Implementacin
Proceso AI3: Adquirir y mantener la arquitectura tecnolgica
Objetivo de Control Mantenimiento Preventivo para Hardware
Riesgos Asociados R15, R16, R18, R19
Descripcin
La Institucin Educativa tiene programadas jornadas de mantenimiento, estas estn sujetas
a las programaciones que realiza el rector al inicio del ao escolar, La Administracin solo
da de baja equipos no funcionales, pero no hace solicitudes de cambio de nuevos equipos
ya que el nuevo hardware est supeditado a los recursos de inversin y proyectos
presentados a nivel local y nacional.
 Recomendacin
El Encargado de la administracin de las aulas de informtica debe programar los
mantenimientos y cambios por lo menos dos veces al ao, las actualizaciones de cambio o
repotenciacin de equipos se deben presupuestar para las vigencias futuras.
Causa
El rector y el Encargado de la administracin de las aulas de informtica deben realizar
planes de actualizacin de equipos y de mantenimiento preventivo, asignando los recursos
econmicos necesarios para vigencias futuras.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto
es moderado

GUA DE HALLAZGOS H3.

Aulas de informtica Institucin Educativa R/PT: P3

Hallazgos de la Auditora H3
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administracin de Instalaciones
Objetivo de Control Escolta de Visitantes
Riesgos Asociados R20,R21,R2
Descripcin
Las instalaciones de las aulas de informtica y la oficina del administrador de las aulas no
son las adecuadas en cuanto a espacios, no hay una buena visibilidad de la identificacin
de las aulas de informtica, No existen identificacin de reas restringidas en la oficina del
administrador, No existen ningn tipo de detectores de humo, temperatura dentro de las
aulas de informtica, Las sealizacin para salidas de emergencia no estn instaladas o no
existen, la iluminacin solo cuenta con ventanales grandes e iluminacin artificial
insuficiente, Los interruptores de emergencia no estn debidamente identificados
Recomendacin
El Administrador de las aulas de informtica debe realizar identificacin adecuada de las
aulas, debe solicitar los recursos econmicos para la adecuacin y el mejoramiento de las
aulas y de su propia oficina
Causa
La rectora no ha asignado recursos propios para la operacin y buen funcionamiento de la
tecnologa de las aulas de informtica.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto es
catastrfico

GUA DE HALLAZGOS H4.

Aulas de informtica Institucin Educativa R/PT: P4

Hallazgos de la Auditora H4
 Dominio Entrega de Servicios y Soportes
Proceso Proteccin contra Factores Ambientales
Objetivo de Control Controles Ambientales
Riesgos Asociados R17
Descripcin
Solo una de las seis aulas de informtica tiene sistemas de ventilacin, la cual presenta
ruido alto en su funcionamiento y balanceo.
Recomendacin
El Administrador de las aulas de informtica debe realizar mantenimiento al ventilador del
aula y gestionar recursos para adquirir los sistemas de ventilacin para las aulas restantes
Causa
El Administrador de las aulas de informtica no realiza adecuaciones locativas dentro de las
funciones que le fueron asignadas
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto
es leve

GUA DE HALLAZGOS H5.

Aulas de informtica Institucin Educativa R/PT: P5

Hallazgos de la Auditora H5
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administracin de Instalaciones
Objetivo de Control Suministro Ininterrumpido de Energa
Riesgos Asociados R1,R2,R3,R4,R5,R6
Descripcin
Existen cables de energa en el suelo que pueden ocasionar daos en las instalaciones
elctricas afectando a uno o ms equipos, Existen en el techo de las aulas cables sueltos
sin marcar, Existen conexiones de 220 voltios sin sellar junto a las tomas reguladas, la
UPS solo est disponible para el servidor, los equipos de la administracin y una de las
salas de informtica.
Recomendacin
El Administrador de las aulas de informtica debe realizar adecuaciones de instalaciones
elctricas de acuerdo a las normas vigentes, y hacer la desinstalacin de las tomas de
corriente con voltaje de 220 voltios AC para disminuir el riesgo de falla ocasionado por los
usuarios.
Causa
El Administrador de las aulas de informtica no realiza adecuaciones locativas dentro de las
funciones que le fueron asignadas
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto es
catastrfico

GUA DE HALLAZGOS H6.

Aulas de informtica Institucin Educativa R/PT: P6

Hallazgos de la Auditora H6
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administracin de Instalaciones
Objetivo de Control Seguridad Fsica
Riesgos Asociados R12, R13
Descripcin
Muchos cables de elctricos y de red sobre el piso que obstaculizan el paso a los usuarios,
Existen puntos elctricos de 220 voltios juntos a tomas de 110 voltios sin identificacin
adecuada, Cables de electricidad sueltos sin identificacin, Canaletas plsticas sin
proteccin, Cables de red de datos areos sin proteccin
Recomendacin
El Administrador de las aulas de informtica debe realizar adecuar de manera correcta de
acuerdo a las normas el tendido de red datos, cubrir, desinstalar las conexiones que
generen riesgo a los usuarios
Causa
El Administrador de las aulas de informtica no realiza adecuaciones locativas
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto
es leve