INFORME DE AUDITORIA

_____________________________________________________
Entidad auditada: Club 7 de agosto
Área: Informática
Auditor: Ing. Cristian A. Regalado Laveriano
Período auditado: 07 de septiembre del 2019
Situación del informe: Finalizado
_______________________________________________________________________
 Índice

1. Objetivos ....................................................................................................................... 3
2. Alcance de la auditoria ................................................................................................. 3
3. Metodología ................................................................................................................. 4
4. Hallazgos Potenciales ................................................................................................... 4
4.1. Organización .............................................................................................................. 4
4.1.1. Dotación de personal de la unidad informática ..................................................... 4
4.1.2. Recursos de plataforma Software y Hardware ...................................................... 4
4.1.3. Aplicaciones ............................................................................................................ 4
4.2. Área de la unidad de informática .............................................................................. 4
4.2.1. Seguridad de la información................................................................................... 5
4.2.2. Base de datos.......................................................................................................... 6
4.2.3. Redes ...................................................................................................................... 7
4.2.4. Políticas y Reglas..................................................................................................... 7
4.3. Sistema implementado para el control y administración de aportes de los
asociados del Club 7 de Agosto: APLICATIVOS INFORMATICOS ............................... 8
5. Conclusiones .............................................................................................................. 9

2
1. Objetivos

 Verificar los controles en el procesamiento de datos, en el mantenimiento de

la plataforma de software, hardware y servicios automáticos.
 Verificar si el software que se implementó tenga la seguridad adecuada para
que proporcione el mayor beneficio.
 Verificar si la selección de equipos y sistemas de computación es adecuada.
 Verificar la existencia de un Manual de procedimientos, para cada módulo
de cada sistema implementado.
 Verificar que los procesos de cada módulo deben estar sustentados en
Políticas, Procedimientos, Reglamentos y Normatividad en General, que
aseguren que todo el proceso se realiza en un marco de legalidad y
cumpliendo con las verdaderas necesidades de la organización para hoy y
el futuro, sin caer en omisiones, excesos o incumplimientos.
 Verificar si existen garantías para proteger la integridad de los recursos
informáticos.
 Verificar la utilización adecuada de equipos acorde a planes y objetivos.

2. Alcance de la auditoria
El alcance de los trabajos de la auditoría de sistemas, abarca desde el aspecto
organizacional en el área de informática y el diseño y la eficacia de
funcionamiento del Sistema que se implementó para el control y administración
de aportes de los asociados del club 7 de agosto, que cuenta con 3 aplicativos
informáticos:

1. Sistema para civiles: SISTEMACIVIL.EXE

2. Sistema para Caja Militar: SISTENACN.EXE
3. Sistema para Club 7 de agosto: SISTEMADIECOOK.EXE

3
3. Metodología
La auditoría, en términos generales, consistió en el análisis de las políticas
informáticas, los métodos de integridad de datos, los recursos informáticos, la
validez de la Información. Las salvaguardas de activos informáticos y la
efectividad en la aplicación de controles.

4. Hallazgos Potenciales

4.1. Organización

4.1.1. Dotación de personal de la unidad informática

En la auditoría realizada se estableció que el área de Informática opera con un
personal instruido en la ejecución de las tareas propias de la unidad, sin que
existan políticas de capacitación formales en las áreas específicas de los
Sistemas Informáticos.

4.1.2. Recursos de plataforma Software y Hardware

La entidad adolece de normativa de operación y/o administración de sistemas,
bases de datos y plataforma de aplicaciones. Además, debido a la baja
especialización, no es posible regular planes de contingencia y continuidad, con
el fin de garantizar el buen funcionamiento de los sistemas y permitir identificar
los riesgos asociados, dado que no existen áreas que distribuyan la carga de
operaciones informáticas diarias.

4.1.3. Aplicaciones
Las actividades se realizan sin estándares ni procedimientos definidos
formalmente y gran parte de los procesos se efectúan de manera reactiva o de
manera informal.

4.2. Área de la unidad de informática

 El área de informática cumple con mínimas condiciones para resguardar
la información, adicionalmente, no existen normas de seguridad como
señaléticas, sensores de humo y extintores de incendios, entre otros
elementos.

4
  No cuenta con los recursos físicos adecuados que comprenden el
hardware, la maquinaria, el equipo de oficina, las instalaciones y en
general todo lo necesario para poder operar en condiciones óptimas.

 La configuración existente de red eléctrica y de datos conlleva al aumento

del riesgo que puede afectar la integridad de la información existente,
puesto que no se encuentra certificada en su totalidad, dado el
crecimiento sin regulación de los espacios destinados a la función.

 El sistema de control de acceso no es automático, lo que disminuye la

seguridad pues permite la entrada a personal no autorizado a la sala
donde reside el servidor. Además, no existe registro respecto de las
personas que están autorizadas a ingresar a la sala informática.

 La iluminación de las instalaciones es deficiente para los requerimientos

del personal a cargo. Además, la disposición del equipamiento impide la
correcta mantención y resulta ineficiente respecto a la utilización del rack
de distribución de cables de datos, de energía y de comunicaciones.

 Asimismo, el sistema de aire acondicionado no se encuentra certificado

para el uso en la sala de servidores y para la sala de la Unidad de
Informática.

 En el área de informática no se cuenta con alarmas específicas y sistemas

de alerta en caso de un siniestro como inundación o sismo, entre otros.
No se aplican en las operaciones medidas de mitigación de riesgos de
fallas en la plataforma de software y hardware.

4.2.1. Seguridad de la información

 Se observó que el procedimiento de asignación de perfiles, accesos y
atributos se realiza bajo términos informales.

 No se advirtió evidencia de que se haya realizado una auditaria de

sistemas, equipamiento e instalaciones en los últimos años.
5
  Los procedimientos de seguridad no contemplan rutinas de evaluación de
perfiles válidamente emitidos y vigencia de los mismos. Además, se
constató la inexistencia de auditoría y administración de operaciones en
registros, para posterior evaluación y análisis, respecto a consistencia de
perfiles. horario de operaciones, integridad de archivos, entre otros.
 No se documentan los procedimientos de cambios de datos o
configuración que se realizan en equipos de la sala de servidores.

 Asimismo, se constató la ausencia de procesos de verificación de

integridad de los datos de los archivos de transacciones históricos, así
como de procedimientos para desechar la información física de los
medios de almacenamiento en forma regular.

 No se advirtió la existencia de medidas de seguridad física de los datos,

en cuanto al resguardo en una caja de seguridad con acceso a través de
llave, tarjeta magnética o duplicación de respaldos para conservar.

 Asimismo, se constató la ausencia de procesos de verificación de

integridad de los datos de los archivos de transacciones históricos, así
como de procedimientos para desechar la información física de los
medios de almacenamiento en forma regular.

4.2.2. Base de datos

 La auditoría realizada confirmó que los respaldos carecen de encriptación
y verificación de integridad de los datos, lo cual reduce la seguridad al
momento de acceder los que se encuentran dentro de los respaldos.

 Faltan procedimientos formales para eliminar información física de los

medios de almacenamiento en períodos de tiempo asignados. Los
archivos de registros de transacciones (Log) no se usan para revisar la
integridad del servicio ni se ha hecho una auditoría de procesos para
evaluar el rendimiento y la criticidad de las operaciones más recurrentes.

6
4.2.3. Redes
 Se observó la falta de certificación de arquitectura de red e interconexión
de dispositivos para administración de plataforma de equipos, datos y
comunicaciones; así como la falta de planes de crecimiento de puntos de
red y equipos para abastecer las necesidades del área de informática y la
optimización de los sistemas implementados.
 Se verificó la omisión de procedimientos para el análisis de las
vulnerabilidades de la red del área de informática y una reducida
implantación de tecnologías para aumentar la conectividad e identificación
de problemas a nivel de revisión de vulnerabilidades.

4.2.4. Políticas y Reglas

 En la auditoria se comprobó que al personal del área de informática no se
le ha brindado instrucción respecto de la seguridad de las instalaciones y
del equipamiento. Asimismo, se comprobó la falta de registros de
incidentes, que indiquen pérdidas de datos y/o alteraciones en el
funcionamiento de los sistemas, bases de datos o instalaciones.
 Además, no se han establecido políticas especificas para la adquisición
de licencias de software, adopción de medidas de seguridad física en el
uso de las instalaciones de la Unidad Informática, regulación y la
actualización del Inventario de bienes informáticos, aplicación de medidas
de seguridad lógica y confidencialidad de la Información, uso de los
servicios de la red de datos institucional y de las cuentas de usuarios,
capacitación del personal informático y normas de uso del servicio de
Internet y del correo electrónico institucional, si lo tuviera.

7
4.3. Sistema implementado para el control y administración de aportes de
los asociados del Club 7 de Agosto: APLICATIVOS INFORMATICOS
El área de informática del club 7 de agosto, cuenta con un sistema de
control y administración de aportes de los asociados, que consta de 3
aplicativos informáticos.

1. Sistema para civiles: SISTEMACIVIL.EXE

2. Sistema para Caja Militar: SISTENACN.EXE
3. Sistema para Club 7 de agosto: SISTEMADIECOOK.EXE

Estos 3 aplicativos que fueron implementados para la gestión del control y

administración de los aportes de los socios, se observó:

 No tiene estándares ni procedimientos definidos formalmente y gran parte

de los procesos se efectúan de manera reactiva o de manera informal.

 No cuenta con un Manual de Usuario para cada Sistema que se

implementó.

 No garantiza que el sistema disponga de mecanismos de verificación y

evaluación adecuados para cada aplicativo.

 No garantiza la eficiencia, eficacia en todas las operaciones y no facilita que

los funcionarios cumplan la misión institucional.

 No asegura la confiabilidad de la información.

 No cuenta con una seguridad de información óptimo.

 No incorpora la posibilidad de definir usuarios con distintos niveles de

acceso a las opciones del sistema.

 La obtención de información no es de forma rápida y flexible, necesita que

el personal del área de informática, dedique un tiempo extra a buscar datos,
no permite que puedan dedicar ese tiempo en debatir o desarrollar
8
 iniciativas de acuerdo con esa información que ya proporciona el sistema y
que organiza en informes predefinidos o en otros que el club desee definir.

5. Conclusiones

Con respecto al área de informática:

1. La entidad deberá implementar las medidas tendientes a solucionar las

observaciones que se han dado a conocer.

2. Hay que adoptar con urgencia una medida correctiva.

3. Hay una debilidad o deficiencia fundamental en el control interno o en una

serie de controles internos que implica un riesgo sustancial de error
material, o bien de irregularidad o fraude en cuanto a los gastos e
ingresos.

4. Hay que adoptar con rapidez una medida específica.

Con respecto al sistema implementado:

1. Los aplicativos informáticos no cuentan con la eficiencia y eficacia que la

entidad requiere para lograr sus objetivos institucionales.

2. Los aplicativos informáticos no alcanzan las expectativas necesarias para

una buena gestión de control y administración de aportes de los
asociados.

3. Los aplicativos informáticos cuentan con falencias significativas, que solo

hace que la gestión de control y administración de aportes de los
asociados sea deficiente.
9
4. Los aplicativos informáticos implementados no llegan a optimizar el
control adecuado y la administración de los aportes de los asociados, que
la entidad requiere.

Ing. Cristian Regalado Laveriano

CIP: 199825

10