Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AGOSTO 2019
Doctora
Atentamente,
Informático, CISA
INDICE
l. OBJETIVOS Y ALCANCE DEL TRABAJO
INFORME SEPS
1. Procedimientos del área de Tecnología de la Información
Cooperativa de Ahorro y
Crédito Cámara de Comercio de
Ambato Cía. Ltda.
2. Respaldo de base de datos
3. Procedimiento de traslado de respaldos de información sitio seguro
4. Comité de Tl
5. Seguridades físicas del Data Center
10
6.Manual de contingencias y continuidad del negocio
11
7.Sitio alterno de respaldo
12
18
l. OBJETIVOS Y ALCANCE DEL TRABAJO
Realizar el seguimiento de las observaciones y recomendaciones emitidas en el
Informe de Auditoria de la SEPS y de Auditoría Externa en lo relacionado a las
Tecnologías de Información, con la finalidad de determinar el nivel o grado de
cumplimiento de las recomendaciones presentadas.
El propósito del trabajo, consistirá en realizar el diagnóstico y evaluación del
departamento de Tecnología de Información, en lo relacionado a su organización,
planificación y administración del área, el grado o nivel de aplicación de las políticas,
procedimientos y controles establecidos en el área de Tecnologías de Información,
la
razonabilidad en las seguridades tanto físicas como lógicas implementadas, la
administración y mantenimiento tanto de los recursos informáticos como de las
distintas aplicaciones automatizadas que se encuentran en funcionamiento en la
institución.
Cooperativa de Ahorro y
Crédito Cámara de Comercio de
Ambato Cía. Ltda.
Evaluar la arquitectura tecnológica, organización del área de sistemas, nivel de
planificación, gestión de la mesa de servicios, gestión de cambios y soporte a
usuarios que el departamento de sistemas ofrece tanto a la institución como a las
áreas usuarias.
Identificar posibles debilidades y riesgos existentes en cuanto a la seguridad y
mantenimiento de la información.
Alcance
Realizamos una inspección física del centro de cómputo tanto de la oficina Matriz
como del sitio alterno e identificamos las medidas de seguridad existentes.
4
ll. SEGUIMIENTO A LAS OBSERVACIONES Y RECOMENDACIONES DEL INFORME DE
AUDITORÍA DE LA SEPS Y AUDITORÍA EXTERNA EN LO RELACIONADO A LAS
TECNOLOGíAS DE INFORMACIÓN
Estado de
Cumplimiento
Cumplido La recomendación ha sido totalmente implementada
En Proceso Las actividades o procedimientos necesarios para la
implementación de la recomendación se encuentran en
Cooperativa de Ahorro y
Crédito Cámara de Comercio de
Ambato Cía. Ltda.
ejecución según los plazos establecidos.
Parcial La implementación de la recomendación se encuentra
realizada en forma parcial.
Pendiente Las actividades o procedimientos necesarios para la
implementación de la recomendación se encuentran
pendientes de ejecución, o no se han realizado a la fecha
de la revisión.
De acuerdo a la revisión realizada con el propósito de determinar el grado de
cumplimiento de las observaciones y recomendaciones presentadas en los últimos
informes de Auditoría de la SEPS y de Auditoría Externa en lo relacionado a las
Tecnologías de Información, lo cual ha sido realizado considerando los siguientes
criterios:
5
툴 $흘 2 旨
은 `S 경 8
Cooperativa de Ahorro y Crédito Cámara de Comercio Ambato Cía.
Ltda.
Evaluación de Control Interno de Tecnologías de Información — Agosto
2019
OBSERVACIONES Y RECOMENDACIONES A ENERO 2019
1. Licencias de software
CENTRO FINANCIERO 65 8 5 78
GUARANDA 3 3
GUAYAQUIL 5 1 6
LATACUNGA 4 4
MATRIZ 34 3 37
PELILEO 6 1 7
PILLARO 5 5
PUYO 4 4
QUITO NORTE 4 4
SAN RAFAEL 4 4
Según se nos ha indicado las trece licencias de software adquiridas de Microsoft Office se
tiene instalado en áreas como Contabilidad, Auditoría y ciertas Direcciones y Jefaturas de
área y agencias, que por sus funciones lo requieren para poder trabajar adecuadamente. El
resto de equipos se tiene instalado Libre Office.
Efecto
Cooperativa de Ahorro y Crédito Cámara de Comercio Ambato Cía.
Ltda.
Evaluación de Control Interno de Tecnologías de Información — Agosto
2019
La situación antes descrita podría ocasionar que la institución incurra en gastos, debido a la
imposición del pago de fuertes multas por parte de los entes reguladores por no contar con
el software totalmente licenciado.
Recomendación
Número de licencias requeridas para cada tipo de software, considerar tanto estaciones
de trabajo como servidores instalados.
15
Requerimientos específicos de software para las áreas usuarias de acuerdo a sus
necesidades de trabajo para la adquisición de software correspondiente.
MegaCore
Servidores 17 de Enero del 2019
Soluciones Inbgrales
Efecto
La falta tanto de una planificación del mantenimiento preventivo y/o correctivo, no permite
llevar un adecuado control y administración de su aplicación, de los resultados obtenidos
Cooperativa de Ahorro y Crédito Cámara de Comercio Ambato Cía.
Ltda.
Evaluación de Control Interno de Tecnologías de Información — Agosto
2019
producto del mantenimiento realizado de tal manera que permita garantizar o asegurar la
disponibilidad y operación óptima de la infraestructura tecnológica implementada en la
empresa.
Recomendación
• Realizar una solicitud de servicio, convenio o contrato según el monto del trabajo a
realizar por parte del proveedor.
• Seleccionar el proveedor adecuado de acuerdo a tipo de mantenimiento, experiencia,
historial de servicio y precio por el trabajo realizado.
16
Calificar al proveedor o verificar en su defecto que se encuentre calificado.
Una vez se haya culminado con el trabajo realizar un informe a la Gerencia General del
trabajo o servicio, antecedentes, objetivo y cumplimiento.
Recomendación
1
4. Análisis de vulnerabilidades infraestructura tecnológica
Riesgo: Medio Esfuerzo de implementación: Medio
Según se nos informó con fecha 21 de diciembre del año 2018 se ha presentado el informe
sobre el análisis de vulnerabilidades realizado sobre la plataforma de infraestructura
tecnológica implementada en la cooperativa, este tipo de evaluaciones tienen como
objetivo identificar las debilidades de los activos críticos de la información, determinar los
mecanismos que se debieran aplicar para mitigar los riesgos a los que se encuentran
expuestos dichos activos. De acuerdo a lo informado por la Jefatura de Sistemas se han
aplicado las medidas correctivas sugeridas en el informe en la media de lo posible a las
vulnerabilidades identificadas como críticas, cuyo estado es el siguiente:
ACTIVO VULNERABILIDAD CRITICIDAD
VULNERABILIDADES EXTERNAS
186.3.60.165 Sitio vulnerable a Inyección SQL CRÍTICA Corresponde al servidor de MFILE, es imposible
aplicar cambios a este programa que es adquirido
del mercado internacional
VULNERABILIDADES INTERNAS
192.168.10.143 Sistema Operativo desactualizado CRÍTICA Actualización de los servidores de Base de datos
192.168.10.145 Múltiples vulnerabilidades en la Base de CRÍTICA principal y alterno a la versión de Linux Centos
6.10 realizada en bril de 2019.
Datos
Cooperativa de Ahorro y Crédito Cámara de Comercio Ambato Cía.
Ltda.
Evaluación de Control Interno de Tecnologías de Información — Agosto
2019
192.168.10.102 Los servidores de aplicación Fit Coop, Dashboards
192.168.10.145 Versión de Java desactualizada CRÍTICA Fitcoop se actualizarán en la migración a la versión
192.168.10.143 Fit Coop 3, al igual que la versión de Java en la que
192.168.10.143 SSH - Shell vulnerable a inyección remota de CRÍTICA está desarrollado Fitcoop.
código
Efecto
El no aplicar los controles que permitan mitigar los riesgos a los cuales estaría expuesta la
infraestructura tanto a nivel interno como externo, no permite garantizar la seguridad sobre
la infraestructura tecnológica, lo cual prácticamente equivale a no haberlo realizado.
Recomendaciones
18
Cooperativa de Ahorro y Crédito Cámara de Comercio Ambato
Cía. Ltda.
Evaluación de Control Interno de Tecnologías de Información —
Agosto 2019