MATRIZ DE EVALUACION DE CONTROLES GENERALES DE TI
CATEGORIA ELEMENTO A EVALUAR
         Plan Estratégico de
Sistemas
         Políticas de Seguridad
de la información.
1: Organización y
Administración de “TI”
         Procedimientos que
aseguren que las
actividades de “TI” se
efectúen de forma segura y
controlada.
         Función o grupo de
Administración de
Seguridad.
         Modelo funcional
aprobado para una
adecuada segregación de
tareas
SITUACION ACTUAL RIESGO IDENTIFICADO RECOMENDACIONES
Se recomienda el desarrollo
El Área de Sistemas no
de una Auditoria de
funciona correctamente,
Sistemas, a fin de encontrar
debido a falta de políticas,
Las actividades de gestión y los puntos débiles o
objetivos, normas,
control son efectuadas de procesos mal diseñados. Y
metodología, estándares,
acuerdo al criterio de las luego hacer reingeniería y/o
delegación de autoridad,
jefaturas correspondientes. rediseño de los procesos
asignación de tareas y
internos de la empresa, en
adecuada administración del
base a un plan estratégico
recurso humano.
serio.
Las políticas no están
definiendo el nivel de
Las políticas de seguridad Definir formalmente Políticas
seguridad que tiene la
están impartidas y de Seguridad de la
organización, no es un
difundidas superficialmente. información.
modelo deseado de
seguridad.
Documentar Planes
En el área de TI se realizan Los requerimientos de los
Informáticos de carácter
las tareas del día a día usuarios pueden no siempre
integral, debidamente
acorde a los requerimientos ser atendidos o
autorizados, y
de las áreas usuarias. correctamente efectuados.
monitoreados.
Se recomienda la designar
No existe un responsable
Las políticas de seguridad Jefe de Seguridad de
que administre la Seguridad
están en el área de OYM. Información y/o a un grupo
de la información.
que cumpla esta función.
Segregar funciones y
Los usuarios efectúan sus La segregación de
brindar mayores o menores
requerimientos directamente actividades no es la
privilegios de usuario acorde
a los analistas. adecuada
a la función asignada.
          Independencia del
“Control de Calidad de
Software” del área a cargo
del desarrollo y
mantenimiento de sistemas.
         Procedimientos
formales de control de los
servicios de outsourcing.
Estándares en materia de
hardware y software de
base
Procedimientos para el
aseguramiento y control de
las actividades de
administración de las
2: Procesamiento de “TI” plataformas de hardware y
software de base.
Registración en logs.
Procedimientos para el
seguimiento y control de las
actividades de explotación.
Las actividades Independizar el sector
relacionadas al área de No se garantiza el “Control de Calidad de
desarrollo, producción y funcionamiento óptimo de Software” del área a cargo
pruebas son realizadas estas actividades. del desarrollo y
indistintamente. mantenimiento de sistemas
La información puede
ponerse en riesgo si el Establecer medidas
acceso de dichos terceros adecuadas para la
Tiene personal en
se produce en el marco de protección de la información,
modalidad tercerizada.
una inadecuada como acuerdos de
administración de la confidenciabilidad.
seguridad.
Los nuevos recursos de
Tiene diversas plataformas Probable Incompatibilidad
procesamiento de
tecnológicas (HW y SW) con los componentes de
información deberán ser
producto del reciente otros sistemas del
autorizados considerando su
crecimiento de la empresa Organismo.
propósito y uso.
El Jefe de Seguridad
Los procedimientos para el
Informática, con la finalidad
aseguramiento de control de
Las actividades de gestión y de garantizar que se
actividades de
control son efectuadas de cumplan todas las políticas y
administración de las
acuerdo al criterio de las requerimientos de seguridad
plataformas de hw y sw, no
jefaturas correspondientes. pertinentes debe ser
son aceptadas por la
responsable de estos
dirección o gerencia.
procedimientos.
En general las actividades
El hecho de registrar logs no Establecer Políticas y
de explotación son
tiene mayor valor si no requerimientos de seguridad
registradas en los logs de
existe tal auditoria. pertinentes.
auditoría.
formalmente procedimientos
Las actividades backup y Probablemente No existe un
para el seguimiento y control
restore de la información es control adecuado de las
de las actividades de
manual actividades de explotación.
explotación
 Estudiar la posibilidad de
Las compras de HW y SW incorporar elementos a las
son realizados por la misma plataformas de hardware y
Procedimientos de Posibles incompatibilidades,
jefatura de TI, y a veces software de base que
adquisición de hardware y o no optimización de
son delegados a la jefatura permitan automatizar
software. recursos.
de desarrollo y/o actividades que se realizan
producción. manualmente, y optimizando
recursos.
3: Integridad, Seguridad lógica:      
Confidencialidad y Función de administración La administración de la
Disponibilidad de “TI” No existe tal función Definir funciones.
de seguridad seguridad es inexistente
La demanda de los usuarios Definir y filtrar logs de
Logs de actividades Activar logs de actividades
es alta. actividades.
No existe una supervisión
de actividades por parte de
Supervisión de
los administradores, dado Asignar personal a cargo de
actividades de los No existe supervisión
que ellos mismos realizan supervisión de actividades.
administradores
los requerimientos de los
usuarios
Tiempo hábil en su mayoría
Los usuarios efectúan sus
desperdiciado. Los analistas Asignar un grupo de trabajo
Segregar funciones requerimientos directamente
podrían cumplir funciones intermediario, o de filtro.
a los analistas.
mucho más provechosas
Procedimientos de Optimizar el uso de la
El relevamiento de la BD no bien administrada u
administración de la información, depurar
información es variado. optimizada.
seguridad. información relevante.
Seguridad física y
     
ambiental:
Sala de equipamiento El CC está cerca de los Peligro de corto circuito. Mantener fuera de alcance
central con suficiente baños del piso. posibles desbordes de agua.
protección de posibles
desbordes de agua
 Controles de acceso físico y
ambientales en la sala
actual.
Computador de
Contingencia
Pruebas integrales de
recuperación desde
respaldos, documentarlas y
evaluarlas.
Plan de Contingencias y Sólo se tienen un servidor
Recuperación de Desastres. principal.
         Procedimientos para el
aseguramiento y control de
las distintas etapas del ciclo
de vida de los sistemas de
aplicación.
         Controles que aseguren
que los cambios a los
 4: Desarrollo, adquisición sistemas de aplicación son
y mantenimiento de debidamente controlados e
Sistemas de Información implantar la revisión de los
cambios por una función
independiente de análisis y
desarrollo.
         Controles que impidan
que los analistas y
desarrolladores accedan al
ambiente de producción.
El acceso al CC es
adecuado, existe un control
en el ingreso.
Las compras de HW y SW
son realizados por la misma
jefatura de TI, y a veces
son delegados a la jefatura
de desarrollo y/o
producción.
Las actividades backup y
restore de la información es
manual
El desarrollo de los
aplicativos son realizados
según el parecer de cada
analista y su relevamiento
de información es variado.
El desarrollo de los
aplicativos son realizados
según el parecer de cada
analista y su relevamiento
de información es variado.
Las pruebas son llevadas a
No protección a las
cabo según la naturaleza del
aplicaciones y datos.
requerimiento
No existe un control de Implementar un control de
salidas ni prevención de salidas, cámaras en el local,
incendios. y prevención de incendios.
Las compras de HW y SW
No cuenta con un deben ir de acuerdo a los
computador para casos de requerimientos del sistema y
contingencias. estos funcionar
integralmente.
Diseñar e implementar
Riesgo a errores y perdida
procedimientos formales de
no deseada de información.
administración de respaldos
No tiene respaldo ante Contar con un plan de
contingencias o desastres. continuidad del servicio.
Carencia de documentación Ejecutar procedimientos
de los sistemas de para el aseguramiento y
información. control.
Implantar la revisión de los
cambios por una función
Cambios no documentados
independiente de análisis y
desarrollo
Diseñar formalmente
procedimientos de
administración de usuarios.