Está en la página 1de 12

AUDITORÍA A LA DIRECCIÓN DE TECNOLOGÍA DE

INFOMACIÓN Y COMUNICACIÓN DE LA ARAMADA
DEL ECUADOR

INFORME DE LOS AUDITORES INDEPENDIENTES

AL 31 DE DICIEMBRE DEL 2016

Los problemas que inciden dentro de la Armada del Ecuador se relacionan con la falta de controles periódicos de seguridad de la información general y confidencial. María José Villamarin Gerente General . así también en el bajo control de designaciones formales de responsabilidades de la seguridad informática dentro departamento de sistemas. nuestro objetivo es minimizar los riesgos resultantes de lo descrito anteriormente mediante la emisión de recomendaciones que es Responsabilidad de la Dirección y la Unidad de Tecnologías de la Información de implementarlas. dichas metodologías permiten determinar mecanismos y pasos para detectar vulnerabilidades y problemas de dicho departamento.A" INFORME EJECUTIVO Nuestra Auditoria Informática se realizó del 5 de Junio al 14 de Julio del 2017 con el fin de informar sobre los resultados obtenidos en la auditoria a la Unidad de Tecnologías de la Información de la Armada del Ecuador usando la metodología COSO III y COBIT 5. CONSULTORES Y AUDITORES " VGB ADITORES S. se evaluó la institución con el uso de técnicas y procedimientos como es la conversación y observación directa y cuestionarios donde mediante COSO III se estableció el riesgo y dentro de COBIT 5 se seleccionaron 3 dominios con 3 procesos críticos de los 37 procesos existentes para analizar en la Armada del Ecuador. Ing.

Debido a la naturaleza de la acción de control efectuado. La misma que requiere que el examen sea planificado y ejecutado para obtener certeza razonable de que la información y la documentación examinada no contienen exposiciones erróneas de carácter significativo. conclusiones y recomendaciones que constan en el presente informe. Nuestra acción de evaluación se efectuó de acuerdo a la metodología de COBIT 5. CARTA DE ENTREGA DEL INFORME Quito. políticas y demás normas aplicables. en uso de sus atribuciones legales y constitucionales efectuó un examen especial a los procesos de TI mediante la información proporcionada por el ARMADA DEL ECUADOR por el período comprendido entre el 1 de enero al 31 de diciembre del dos mil dieciséis.A.A” . Ing. se hayan ejecutado de conformidad con las disposiciones legales y reglamentarias vigentes.CONSULTORES Y AUDITORES " VGB ADITORES S. los resultados se encuentran expresados en los comentarios.A”. 14 de Julio del 2017 Señor Contralmirante Renán Ruíz Cornejo COMANDANTE GENERAL DE LA ARMADA DEL ECUADOR Quito De mi consideración: CONSULTORES Y AUDITORES "VGB ADITORES S. Atentamente.A” GESTION AUDITORES" S. igualmente que las operaciones a las cuales corresponden. María José Villamarin Gerente General “VGB ADITORES S.

sistemas.  Evaluar la forma como se administran los dispositivos de almacenamiento básico del área de Informática . INFORME DE AUDITORÍA A LA ARMADA DEL ECUDOR En cumplimiento de las funciones de CONSULTORES Y AUDITORES ''GESTION AUDITORES'' S. de los equipos de cómputo. ALCANCE Mediante la realización de la auditoria CONSULTORES Y AUDITORES ''GESTION AUDITORES'' S. OBJETIVO GENERAL Revisar y Evaluar mediante metodología COBIT 5 las tecnologías de la información en el Armada del Ecuador. analizar su estandarización y evaluar el cumplimiento de los mismos.A.A evaluó el estado actual del departamento de TI de la Armada del Ecuador. con el fin de poder dar conocimiento de las conclusiones y recomendaciones para cada uno de ellos después de ser evaluados en cada dominio según la metodología COBIT 5. eficiencia y seguridad. a fin de que por medio de esta auditoria se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. sus controles. su utilización. se identificó cada uno de los procesos con su respectivo análisis. OBJETIVOS ESPECÍFICOS  Determinar la veracidad de la información del área de Informática  Evaluar los procedimientos de control de operación. CONSULTORES Y AUDITORES " GESTION AUDITORES" S. procedimientos de informática.A. se llevó a cabo el respectivo seguimiento y evaluación del departamento de tecnología de la Armada del Ecuador. de la organización que participan en el procesamiento de la información.

los cuales a su vez implican 347 procesos de administración asociados con la tecnología de la información. COBIT también provee . mientras que las Guías de Auditoría proveen asistencia específica a los auditores en el diseño de programas adecuados de auditoría para cada dominio. los modelos pueden ser utilizados para soportar la evaluación de toda la organización TI. Estos modelos de madurez son similares en sus conceptos básicos utilizados por otros marcos referenciales. confianza. COBIT brinda un conjunto de herramientas para administrar los procesos TI unificando los dos puntos de vista. COBIT presenta 5 campos principales de administración. e indicadores clave de rendimiento son identificados en cada proceso. Los recursos de TI y los criterios de la información requeridos para asegurar el éxito son también identificados para cada proceso TI. privacidad y disponibilidad en el ambiente informático METODOLOGÍA: COBIT 5 es un Marco de referencia de procesos y objetivos de control TI que pueden ser implementados para controlar. Para soportar una auto-evaluación. pero así como los 34 procesos TI de COBIT cubren todos los aspectos de TI. en lugar de especializarse en determinadas áreas. Las Guías de Administración TI consideran los controles TI desde una perspectiva de la administración. hardware. Lo que se desea mediante el análisis según COBIT 5 es ayudar a los líderes empresariales a entender y administrar los riesgos relacionados con la tecnología de la Información y la relación que tiene con los procesos de administración.  Evaluar el control que se tiene sobre el mantenimiento y las fallas en los equipos. COBIT incluye un modelo de madurez para cada proceso TI. auditar y administrar la organización TI.  Verificar la seguridad de personal. Cada proceso TI provee una descripción de los requerimientos del negocio e identifica los asuntos claves que deben ser llevados a cabo para administrar exitosamente estos procesos. software e instalaciones  Verificar la Seguridad. utilidad. la necesidad de controles y los riesgos. las preguntas técnicas. el de la administración y el del auditor. Este Marco de referencia está basado en las mejores prácticas y sistemas de información de auditoría y control. factores críticos de éxito. Como soporte a la medición del rendimiento operacional.  Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cómputo. indicadores clave de logro de objetivos. datos.

. que se encuentran clasificados de acuerdo a la metodología de COBIT 5. Por lo tanto. uno perteneciente al Gobierno de TI y 3 procesos que corresponden a la Gestión de TI. COBIT. entregando valor agregado mientras se administra el riesgo en función del ambiente de sistemas y sus procesos" Por esta razón para la Armada del Ecuador se realizó una evaluación a los procesos dando como resultado 4 dominios con 4 procesos con mayor riesgo. y son los siguientes: BAI08 Gestionar el Conocimiento DSS03 Gestionar Problemas DSS04. Se ha definido a COBIT como: "Una estructura de relaciones y procesos para direccionar y controlar la compañía para lograr la consecución de los objetivos del negocio. Gestionar la Continuidad MEA01 Supervisar.herramientas detalladas y personalizables de auto evaluación en forma de matrices y plantillas para asistir en la evaluación y medición de la organización comparada con los criterios de COBIT. basándonos en los niveles de madurez los cuales van desde el rango 0 hasta el rango máximo 5. es una herramienta desarrollada para ayudar a los administradores de negocios a entender y administrar los riesgos asociados con la implementación de nuevas tecnologías y demostrar a las entidades reguladoras e inversionistas. evaluar y valorar el rendimiento y la conformidad A continuación damos a conocer los procesos evaluados en cada uno de los dominios. que tan efectiva es su tarea.

Seguridad de la información y la Disponibilidad de información útil y relevante para la toma de decisiones. Servicio y Soporte PROCESO: DSS03 GESTIONAR PROBLEMAS DESCRIPCIÓN DEL PROCESO: Identificar y clasificar problemas y sus causas raíz y proporcionar resolución en tiempo para prevenir incidentes recurrentes. . reducir costes. y el Riesgo de negocio relacionados con las TI gestionados. beneficios y riesgos de las TI. CAPITULO I DOMINIO: Entrega. y mejorar la continuidad y satisfacción del cliente reduciendo el número de problemas RESUMEN Al realizar el score de riesgo mediante COSO III detectamos que existe un riesgo al no controlar constantemente el uso incorrecto de los sistemas informáticos. Proporcionar recomendaciones de mejora. adicionalmente se pudo verificar que existe una persona formalmente encargada y autorizada de entregar claves pero muchas de las veces no es respetado este proceso. PROPOSITO DEL PROCESO: Incrementar la disponibilidad. así mismo dichas claves no son estrictamente cambiadas en un periodo de tiempo establecido. Mencionado estos riesgos se decidió escoger el proceso DSS03 Gestión de Problemas el cual nos permite identificar y clasificar problemas y sus causas raíz y proporcionar resolución en tiempo para prevenir incidentes recurrentes. mejorar los niveles de servicio.

recursos y capacidades y de TI 88% 14 Disponibilidad de información útil y relevante para la 70% toma de decisiones 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Serie 1 . Serie 1 04 Riesgo de negocio relacionados con las TI gestionados 63% 07 Entrega de servicios de TI de acuerdo a los requisitos del 90% negocio. 11 Optimización de activos.

. CAPITULO II Dominio: Supervisión. Descripción del proceso: Facilitar un enfoque ordenado para garantizar una óptima evaluación y verificación del buen funcionamiento del negocio. se determinó que existe una debilidad debido a la costumbre en el manejo de los procedimiento que se vuelven tareas y actividades repetitivas dentro del departamento de TI. Propósito del Proceso: Garantizar una óptima evaluación y verificación del buen funcionamiento del negocio donde se evalúa el rendimiento. Entrega de servicio TI adecuado a los requisitos del negocio. Evaluación y Verificación Proceso: MEA01 Supervisar. recursos y capacidades de TI. Riesgo de negocio relacionado con la TI y gestionados. Evaluar Y Valorar Rendimiento Y Conformidad en la cual se muestra el desempeño y soporte de TI acorde al cumplimiento del negocio. Optimización de activos. con la finalidad de mitigar riesgos futuros Resumen Al realizar el score de riesgo mediante COSO III. Mencionado estos riesgos se procede a seleccionar el proceso MEA01 Supervisar. además se determinó que los métodos de evaluación y verificación del rendimiento de TI no se cumplen en los tiempos determinados en los manuales. Cumplimiento de las políticas internas por parte de TI.76%. Donde la comunicación de las funciones y responsabilidades son factores determinantes para la organización ya que con esto se puede evaluar el desempeño del personal y verificar si los proceso se cumplen. conformidad y conducción hacia los objetivos los sistemas de TI. Evaluar y Valorar Rendimiento y Conformidad Grado de Capacidad del Proceso: Gestionar el Marco de Gestión de TI se encuentra en el nivel 3 con un 66. la cual se puede lograr con el apoyo del Director competente con el fin de lograr los objetivos establecidos. donde se pueda analizar todos los riesgos que en un lapso de tiempo pueden ser riesgos representativos que pueden provocar interrupciones al negocio.

RECURSOS Y LAS POLITICAS RELACIONADO CON LA ACUEDO A LOS CAPACIDADES DE TI INTERNAS POR PARTE TI Y GESTIONADOS REQUISITOS DEL DE TI NEGOCIO Serie 1  HALLAZGO I ENTREGA DE SERVICIO TI DE ACUERDO A LOS REQUISITOS DEL NEGOCIO Condición: La planificación para el mantenimiento de los servidores de TI. no fue eficaz debido a que no se consideró el tiempo oportuno para su transmisión. no llego al conocimiento de los usuarios debido al método de comunicación que se está utilizado. 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 04 RIESGO DE 07 ENTREGA DE 11 OPTIMIZACIÓN DE 15 CUPLIMIENTO DE NEGOCIO SERVICIO TI DE ACTIVOS. se determinó a través de la métrica en base al número de interrupciones ocasionadas a los servicios de TI durante todo el periodo auditado. . Criterio: Para la evaluación en la entrega de servicios eficientes de TI. Causa: La disposición vigente para la comunicación del mantenimiento de los sistemas de TI. ocurrieron interrupciones en los servicios de los mismos. Efecto: Los usuarios debido a que no se tomaron las medidas necesarias para operar en sus actividades laborales mientras se reestablecía los sistemas de TI.

se determinó en base al número de incidentes ocurridos por el incumplimiento de políticas establecidas. HALLAZGO II CUMPLIMIENTO DE LAS POLÍTICAS INTERNAS POR PARTE DE TI Condición: Las políticas establecidas y estandarizadas en el departamento de TI no están siendo cumplidas en su totalidad. tomadas sobre el total de acontecidas en el periodo. valorados respecto al número de interrupciones ocasionadas por incidentes del servicio de TI. Recomendación: Considerar para el proceso de mantenimiento de los servidores de TI. existen prioceneiemotnmd a cabalidas debido a que las personas que el personal no puede salir mientras tpdp camnbio de personal a nuevas unidades de mando debe ser con su respoectivos pero debido a sius necesidades institucuonaloes netamente inherentes a la profesión no existen plazas de trbajo uedan cvacnates y las funiciones debesn cubiertas por cargos o funciones que desemepesñan por otros mienreos del departamento por lo que no alcanzan con la totalidad del despempeño . Criterio: Para el cumplimento de las políticas internas por parte de TI. por lo que existen incidentes debido en los mismos. Evaluar y Valorar el Rendimiento y la Conformidad una vez realizado el examen presenta un promedio en su meta de entrega de servicio TI de acuerdo a los requisitos del negocio de un 42%. los tiempos establecidos en la transmisión de la información a todo los usuarios tanto de servicio Activo como Pasivo de tal manera de mitigar y disminuir el riego de operatividad en el sistema.Conclusión En el proceso MAI01 Supervisar.

.Causa: El número de incidentes ocurridos en el periodo por incumpliendo de políticas internas por parte de TI. valorados respecto al número de interrupciones ocasionadas por incidentes del servicio de TI. RECOMENDACIÓN Se aconseja que para que el proceso APO13 Gestión de Seguridad alcance por completo el nivel de madurez se proceda a: los sistemas de información que proveen información rápida. aumentan como resultado de necesidades netamente institucionales inherentes a la profesión. oportuna y precisa. en permanencia en el desempeño de sus funciones de todo personal se transfiera a nuevas unidades de mando debe ser en un tiempo estimado de 15 días con sus respectivos pases. que pueden ser usados al interactuar con los clientes . Efecto: Las políticas internes establecidas por parte de TI. Evaluar y Valorar el Rendimiento y la Conformidad una vez realizado el examen presenta un promedio en su meta de cumplimiento de politicas internas entrega de servicio TI de acuerdo a los requisitos del negocio de un 42%. por lo que no se considera CONCLUSIÓN En el proceso MAI01 Supervisar.son un requisito primordial para organizaciones que aspiren crecer.