Servicios García, Sociedad Anónima

Informe de Auditoría
Tecnología de Información

Al 31 de Marzo de 2019

Sipac & Ruiz

INFORME DE AUDITORÍA DE TECNOLOGÍA DE INFORMACIÓN
REVISIÓN AL 31 DE MARZO DE 2019
SITUACIONES QUE AFECTAN DESFAVORABLEMENTE A LA TECNOLOGÍA DE INFORMACIÓN

Contenido
Introducción................................................................................................................................................3

Antecedentes..............................................................................................................................................4

Objetivo.......................................................................................................................................................5

Alcance........................................................................................................................................................5

Plan general de trabajo...............................................................................................................................5

Categoría de riesgos....................................................................................................................................5

Resultados...................................................................................................................................................6

Estadísticas..................................................................................................................................................6

Resumen general de hallazgos....................................................................................................................7

HALLAZGOS.................................................................................................................................................7

2
INFORME DE AUDITORÍA DE TECNOLOGÍA DE INFORMACIÓN
REVISIÓN AL 31 DE MARZO DE 2019
SITUACIONES QUE AFECTAN DESFAVORABLEMENTE A LA TECNOLOGÍA DE INFORMACIÓN

Introducción

El presente trabajo tiene como función realizar la evaluación independiente y

objetiva al Sistema de Control Interno, a los procesos, procedimientos,
actividades y actuaciones de la administración, con el fin de determinar la
efectividad del Control Interno, el cumplimiento de la gestión institucional y los
objetivos de la Entidad, produciendo recomendaciones para asesorar al
Representante Legal y al Comité de Coordinación de Control Interno y/o Junta
Directiva, en busca del mejoramiento continuo del Sistema de Control Interno
del departamento de TI.
Para ello se realizara Auditoria al Proceso de Infraestructura Tecnológica, el cual
incluyó, la evaluación de controles generales de TI, controles automáticos y
gestión de cambios en la compañía. Este informe tiene como propósito resumir
el trabajo efectuado y las conclusiones obtenidas, además de efectuar las
recomendaciones necesarias en pro del mejoramiento continuo del proceso, lo
cual redundará en el cumplimiento de la Misión y los Objetivos Institucionales de
la entidad Servicios García.

3
INFORME DE AUDITORÍA DE TECNOLOGÍA DE INFORMACIÓN
REVISIÓN AL 31 DE MARZO DE 2019
SITUACIONES QUE AFECTAN DESFAVORABLEMENTE A LA TECNOLOGÍA DE INFORMACIÓN

Antecedentes

La tecnología de información ha experimentado una serie de cambios y ha

evolucionado tomando gran importancia en la operatividad de las diferentes
industrias, ya que los procesos abarcan el procesamiento de la mayor parte de
información en el mundo de los negocios.

Con este proceso evolutivo, también ha crecido la posibilidad de que uno de los
activos más valiosos para cualquier entidad, la información, se vea amenazado
por actores internos y externos, por consiguiente, surge la necesidad de las
compañías para que existan figuras, métodos y técnicas que colaboren con la
evaluación y seguimiento para la mejora en la gestión de todas las áreas y
procesos de la tecnología de información.

En la actualidad, la figura de la auditoría ha tomado un auge imprescindible en

la colaboración del control que se debe tener sobre los recursos tecnológicos
institucionales, por tal motivo, se establecen procesos continuos de monitoreo y
auditoría de TI en cada sector de la industria.

En el caso de Servicios García, S.A. , no ha sido la excepción; ya que cuenta con

un departamento de Tecnología de Información conformada por 12 personas,
segregada en Departamentos y Unidades de Informática, de acuerdo con la
información suministrada por el departamento de TI.

De los seis funcionarios que forman parte del departamento de TI y sus diversas
unidades, brindan servicios de diseño, desarrollo y soporte técnico,
administrando las soluciones tecnológicas y las necesidades de los 23
empleados con computadoras asignadas y 15 usuarios con accesos a
tecnología. En la actualidad, el departamento de Tecnologías de Información
provee a la compañía, nueve servicios de tecnología, que incluyen Internet,
Correo Electrónico, Base de Datos, Acceso a Aplicaciones, Acceso al Sistema de
Imágenes, Red de Telecomunicaciones, Chat Institucional, Sitio Web
Institucional y el Portal (Interno/Externo). Brinda mantenimiento a xx sistemas
de información y equipo de soporte en caso de contingencias, que abarcan
desde la seguridad física hasta la lógica de la información.

4
INFORME DE AUDITORÍA DE TECNOLOGÍA DE INFORMACIÓN
REVISIÓN AL 31 DE MARZO DE 2019
SITUACIONES QUE AFECTAN DESFAVORABLEMENTE A LA TECNOLOGÍA DE INFORMACIÓN

Objetivo
El objetivo general de la evaluación consistió en efectuar una auditoría en
la tecnología de información para analizar las prácticas de Empresa
Servicios García,S.A. analizando la operación del departamento de de TI
desde la perspectiva de las mejores prácticas en Tecnología de
Información.

Alcance
La auditoría cubrió la evaluación de la gestión, procedimientos, funciones
y cumplimiento de marcos de referencia de las mejores prácticas en
Tecnologías de Información, para brindar recomendaciones que permitan
el mejoramiento continuo de los controles internos, procesos de gestión
de proyectos, gestión de la seguridad, prestación de servicios y gestión de
riesgos.

Plan general de trabajo

Alcance Pruebas de diseño,
implementación y efectividad
operativa
Políticas de seguridad Verificar que el departamento de
TI, cuente con políticas de
seguridad sobre la seguridad
física, como ambiental del centro
de datos y los demás recursos
tecnológicos.

Categoría de riesgos

Alto (A): Representa una deficiencia en los controles relacionados con

tecnología e información. Deberá ser atendido lo antes posible.

Medio (M): Deberá ser atendido durante los siguientes 90-180 días.

Bajo (B): Representa una desviación menor en los controles relacionados

con tecnología e información. Deberá ser atendido de acuerdo con la
disponibilidad de tiempo de los recursos asignados por la compañía.

5
INFORME DE AUDITORÍA DE TECNOLOGÍA DE INFORMACIÓN
REVISIÓN AL 31 DE MARZO DE 2019
SITUACIONES QUE AFECTAN DESFAVORABLEMENTE A LA TECNOLOGÍA DE INFORMACIÓN

Resultados
A continuación se presenta una gráfica en donde se observan los riesgos
detectados en la revisión identificados por Riesgo Alto, Riesgo Medio y Riesgo
Bajo.
Posterior se presenta el resumen general de hallazgos con riesgo algo y el
detalle de cada oportunidad de mejora en el página siguiente:

Estadísticas

Resumen general de hallazgos

6
INFORME DE AUDITORÍA DE TECNOLOGÍA DE INFORMACIÓN
REVISIÓN AL 31 DE MARZO DE 2019
SITUACIONES QUE AFECTAN DESFAVORABLEMENTE A LA TECNOLOGÍA DE INFORMACIÓN
No Hallazgo Riesg
. o Alto
1 Podría no mantenerse acceso restringido para X
el servidor de la compañía
2 La compañía podría no contar con un antivirus X
en cada computador
3 No podría contarse con gestión adecuada del X
retiro del software

HALLAZGOS
1. Hallazgo (oportunidad de mejora)

Como resultado de la revisión de los procesos de control de TI se encontró que

la empresa Servicios García podría no mantener acceso restringido para el
servidor de la compañía

Riesgo de TI

El departamento de TI debe implementar controles para restringir el acceso

al personal no autorizado y evitar la pérdida de información.

Riesgo para el negocio

Al perderse información de la compañía se corre riesgo que afecte los

intereses de Servicios García, ya que dentro de los servidores se encuentra
toda la información contable y cartera de clientes.

Recomendación

El Departamento de TI debe implementar medidas de seguridad para

asegurarse que personas no autorizadas tengan acceso a los servidores de la
compañía y tener una bitácora del personal que ingresa e instalar cámaras
de seguridad dentro del área en donde se encuentra el servidor.

2. Hallazgo (oportunidad de mejora)

Se determino que dentro de los controles de TI la empresa Servicios García

podría no contar con un antivirus en cada computador.
7
INFORME DE AUDITORÍA DE TECNOLOGÍA DE INFORMACIÓN
REVISIÓN AL 31 DE MARZO DE 2019
SITUACIONES QUE AFECTAN DESFAVORABLEMENTE A LA TECNOLOGÍA DE INFORMACIÓN

Riesgo de TI

Al no contar con antivirus cada computadora se corre el riesgo que estas se

infecten o infecten el servidor lo que ocasionaría que se dañe la información.

Riesgo para el negocio

Al no contar con antivirus se corre el riesgo que se infecten las maquinas y

se dañe la información lo cual representaría un gasto para la compañía para
poder recuperar la información.

Recomendación

El Departamento de TI debe comprar las licencias de los antivirus para todas

las máquinas de la compañía y actualizarlo cada año para evitar el daño a la
información de la compañía y del servidor.

3. Hallazgo (oportunidad de mejora)

Se determino que dentro de los controles de TI la empresa Servicios García no

cuenta con la gestión adecuada del retiro del software.

Riesgo de TI

El no contar con la gestión adecuada del retiro de Software de la compañía

provoca que no se lleve una correcta administración de los activos de la
compañía.

Riesgo para el negocio

Al no contar con el control adecuado de los activos de la compañía puede

dar origen a la perdida, robo o a la falta de un inventario exacto.

Recomendación

El Departamento de TI debe implementar controles para la gestión de retiro

de software de la compañía, tanto para las bajas como las altas y llevar un
inventario exacto de los activos que se disponen.

8
INFORME DE AUDITORÍA DE TECNOLOGÍA DE INFORMACIÓN
REVISIÓN AL 31 DE MARZO DE 2019
SITUACIONES QUE AFECTAN DESFAVORABLEMENTE A LA TECNOLOGÍA DE INFORMACIÓN