Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PRESENTACIÓN:
El documento que se presenta a continuación sintetiza las acciones tomadas en el desarrollo de la Auditoria
de Tecnologías de Información en el marco de la Auditoria Financiera y Presupuestal del periodo 2015 en la
Asociación Provivienda “Almirante Grau”.
Analizada esta información se elaboraron las observaciones relativas al control interno así como las
recomendaciones correspondientes, las que a juicio nuestro deben ayudar a incrementar los niveles de
seguridad, control, eficiencia, y calidad de sistemas informáticos.
Los comentarios y observaciones presentadas en este informe tienen como fin fortalecer la gestión de los
recursos y servicios informáticos, en el esquema de contribución al proceso de desarrollo informático que
viene realizando la Asociación Provivienda Almirante Grau (APAG).
Es conveniente dejar constancia la falta de interés para provisionar la información solicitada por parte del
personal del Área de Informática.
I. COMENTARIOS:
La herramienta empleada en el desarrollo del SAO es el Visual Basic y la Base de Datos es el SQL Server,
ambas en versiones discontinuadas mayores a década y media de antigüedad, si a esta situación le
agregamos el hecho que la plataforma de hardware sobre la cual corre el SAO es también antigua, con un
parque computacional mayor a 10 años, podríamos concluir que la herramienta tecnológica al servicio de los
usuarios en APAG es ineficaz.
El Servicio que viene brindando la Unidad de Informática no se puede catalogarlo de manera categórica como
eficiente o deficiente por no contar con documentación técnica que permita analizarlo y obtener un posterior
diagnóstico situacional, por carecer de documentación formalizada, normalizada y estandarizada.
Formalizada mediante Directivas emitidas por la Alta dirección, Normalizada de acuerdo a la normatividad
vigente, nacional e internacional, y Estandarizada en base a estándares que faciliten la sostenibilidad
tecnológica de los diferentes componentes del servicio.
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015
II. OBSERVACIONES
Condición
Mediante CARTA N° 0204-2016 del 19 de octubre del 2016 se solicitó en el ítem 1 información relativa al
“Plan Estratégico de Tecnologías de Información”, en respuesta al citado requerimiento fue entregada a
esta comisión el 21 del presente un CD donde después de su revisión no se ha encontrado el
documento de gestión de los recursos tecnológicos de información y comunicaciones de la entidad
solicitado.
Hay que tomar en cuenta que un Plan Estratégico de Tecnologías de Información pierde vigencia muy
rápidamente y debe entrar en un proceso de actualización periódico para considerarlo como parte del
Planeamiento corporativo de mediano y largo plazo.
Criterio
Causa
Efecto
Recomendación
2. No se ha elaborado el Análisis de Riesgos que haya permitido calificar adecuadamente los riesgos y
amenazas latentes, consecuentemente la Unidad de Informática tampoco cuenta con un Plan de
contingencias ni el Plan de Continuidad del negocio.
Condición
El 19 de octubre del 2016, mediante CARTA N° 0204-2016 esta comisión solicitó en el ítem 2
información relativa a los “Planes de Sistemas, Contingencias y de Continuidad del negocio”, en
respuesta al citado requerimiento fue entregado a esta comisión el 21 del presente un CD donde
después de su revisión no se llegó a encontrar documentación alguna que permita determinar la
probabilidad de ocurrencia y el impacto de riesgos de origen en las tecnologías de información y
comunicaciones. Tampoco se ha encontrado documentación alguna relacionada al Plan de
Contingencias, ni el Plan de Continuidad del Negocio.
El PLAN DE RIESGOS y el PLAN DE CONTINGENCIAS son parte del PLAN DE CONTINUIDAD DEL
NEGOCIO, nuevo concepto integrador y sistémico de la forma como se debe gestionar el sistema de
seguridad de la información en las organizaciones.
Criterio
evaluación de riesgos y de seleccionar controles puede requerir que sea realizado un número de veces
con el fin de cubrir diferentes partes de la organización o sistemas de información individuales.
La evaluación del riesgo debe incluir un alcance sistemático sobre la estimación de la magnitud del
riesgo (análisis del riesgo) y sobre el proceso de comparar el riesgo estimado con el criterio para
determinar el significado de los riesgos (valoración del riesgo).
Las evaluaciones del riesgo deben ser realizadas periódicamente para incluir los cambios en los
requerimientos del sistema y en la situación del riesgo, por ejemplo en los activos, amenazas,
vulnerabilidades, impactos, valoración del riesgo y cuando cambios significativos ocurran. Estas
evaluaciones del riesgo deben ser emprendidas de una forma metódica, capaz de producir resultados
comparables y reproducibles.
La evaluación de la información del riesgo de seguridad debe tener un alcance claro y definido para que
este sea efectivo y debe incluir relaciones con las evaluaciones del riesgo en otras áreas, si es
apropiado.
El alcance de la evaluación del riesgo puede ser para toda la organización, partes de ella, un sistema
individual de información, componentes específicos del sistema o servicios donde esto puede ser
utilizado, realista y provechoso. Ejemplos de metodologías de la evaluación del riesgo son discutidas en
ISO/IEC TR 13335-3 (Guía para la gestión en la seguridad de tecnologías de información).”
Lo descrito inobserva el numeral 14.1 Aspectos de la gestión de continuidad del negocio – 14. GESTION
DE CONTINUIDAD DEL NEGOCIO - de la NTP-ISO/IEC 17799:2007 EDI. Tecnología de la
información.Código de buenas prácticas para la gestión de la seguridad de la información, que a la letra
dice:
“Se debería implantar un proceso de gestión de continuidad del negocio para reducir, a niveles
aceptables, la interrupción causada por los desastres y fallas de seguridad (que, por ejemplo, puedan
resultar de desastres naturales, accidentes, fallas de equipos o acciones deliberadas) mediante una
combinación de controles preventivos y de recuperación. Este proceso debe identificar los procesos
críticos de negocio e integrar los requisitos de gestión de la seguridad de información para la continuidad
del negocio con otros requisitos de continuidad relacionados con dichos aspectos como operaciones,
proveedores de personal, materiales, transporte e instalaciones.
Se deberían analizar las consecuencias de los desastres, fallas de seguridad, pérdidas de servicio y la
disponibilidad del servicio. Se deberían desarrollar e implantar planes de contingencia para asegurar que
los procesos del negocio se pueden restaurar en los plazos requeridos las operaciones esenciales. La
seguridad de información debe ser una parte integral del plan general de continuidad del negocio y de
los demás procesos de gestión dentro de la organización.
La gestión de la continuidad del negocio debería incluir en adición al proceso de evaluación, controles
para la identificación y reducción de riesgos, limitar las consecuencias de incidencias dañinas y asegurar
la reanudación, a tiempo, de las operaciones esenciales.”
Lo descrito inobserva el literal A.14.1.2. Continuidad del negocio y evaluación de riesgos – A.14.1
Aspectos de la gestión de continuidad del negocio en la seguridad de la información – A.14 Gestión de la
continuidad del negocio - OBJETIVOS DE CONTROL Y CONTROLES de la NORMA TECNICA
PERUANA NTP-ISO/IEC 270001:2008 EDI. Tecnología de la información.Técnicas de
Seguridad.Sistemas de gestión de seguridad de la información.Requisitos, que a la letra dice:
“Control
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015
Los eventos que pueden causar interrupciones en los procesos del negocio deben ser identificados así
como las probabilidades e impacto de dichas interrupciones y sus consecuencias para la seguridad de la
información.”
Causa
Efecto
Recomendación
Elaborar el Análisis de Riesgos y mantenerlo actualizado como parte del proceso de mejoramiento
continuo que debe aplicar la Asociación Provivienda Almirante Grau para garantizar la seguridad de
la información institucional.
Elaborar el Plan de Contingencias como medio alternativo frente a la ocurrencia de sucesos que
afecten la seguridad de la información, los medios que la almacenan, procesan y resguardan en las
instalaciones de la Asociación Provivienda Almirante Grau..
Condición
El 19 de octubre del 2016, mediante CARTA N° 0204-2016 esta comisión solicitó en el ítem 26
información relativa a las “Políticas y procedimientos de acceso al Centro de Datos (DATA CENTER)”, al
respecto la Unidad de Informática entregó a esta comisión el 21 del presente un CD donde se puede
apreciar la inexistencia de políticas y procedimientos que se concreten en la práctica como medios
efectivos de protección al CENTRO DE DATOS donde se encuentra centralizado el intangible más
valioso de la institución como es la información.
Adicionalmente a ello es el hecho de estar expuestos en un lugar cercano a la calle donde la circulación
peatonal los expone a riesgos mayores.
Figura N° 1
Es importante para garantizar la continuidad del negocio contar con un DATA CENTER técnicamente
construido bajo estándares de diseño que garanticen la seguridad de los equipos y la información de la
institución, de no ser así el riesgo de pérdida de información y discontinuidad del servicio informático y
consecuentemente del servicio que brinda la Asociación Provivienda Almirante Grau a su asociados se
verán gravemente afectados.
Criterio
Lo descrito inobserva el literal 9.2.1 Instalación y protección de equipos - 9.2 Seguridad de los equipos
– 9. SEGURIDAD FÍSICA Y DEL ENTORNO de la NTP-ISO/IEC 17799:2007 EDI. Tecnología de la
información.Código de buenas prácticas para la gestión de la seguridad de la información, que a la letra
dice:
“Instalación y protección de equipos
Control
El equipo debería situarse y protegerse para reducir el riesgo de amenazas del entorno, así como las
oportunidades de accesos no autorizados.
Guía de implementación
Se deberían considerar los siguientes pautas para proteger los equipos:
a) los equipos se deberían situar dónde se minimicen los accesos innecesarios a las áreas de trabajo;
b) los equipos de tratamiento y almacenamiento de información que manejen datos sensibles se
deberían instalar dónde se reduzca el riesgo de que personas no autorizadas vean los procesos durante
su uso;
c) los elementos que requieran especial protección se deberían aislar para reducir el nivel general de
protección requerido;
d) los controles deben ser adoptados para minimizar los riesgos de posibles amenazas como robo,
incendio, explosivos, humo, agua (o fallo de suministro), polvo, vibraciones, efectos químicos,
interferencias en el suministro eléctrico, radiaciones electromagnéticas y vandalismo;
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015
e) la organización debería incluir en su política cuestiones sobre fumar, beber y comer cerca de los
equipos de tratamiento de información;
f) se deberían vigilar las condiciones ambientales, como temperatura y humedad, que puedan afectar
negativamente al funcionamiento de los equipos de tratamiento de información;
g) la protección contra la luz debe ser aplicada a todos los edificios y se deben ajustar filtros de luz a
todas las líneas de poder y de comunicación;
h) para los equipos situados en ambientes industriales se debería considerar el uso de métodos de
protección especial (por ejemplo cubiertas para teclados);
i) el equipo que procesa información sensible debe ser protegida con el fin de minimizar el riesgo de
pérdidas de información.
Causa
Falta de una política institucional que releve el servicio informático y lo ubique como un factor crítico
en el éxito de la gestión institucional.
Efecto
Recomendación
Elaborar un proyecto de construcción de una sala de servidores en un ambiente que contemple las
medidas de seguridad ambiental y operacional de los equipos.
4. El Parque computacional está basado en tecnología computacional cuya vigencia tecnológica esta
categorizada como obsoleta.
Condición
Mediante CARTA N° 0204-2016 del 19 de octubre del 2016 se solicitó en el ítem 7, el “Inventario del
Hardware clasificado según sean: Servidores, computadoras personales, Lap Tops, Impresoras,
Scaners. Especificar marca del proveedor, fecha de adquisición y ambiente en el que se encuentran
operando”, en respuesta al citado requerimiento fue entregada a esta comisión el 21 del presente 01
reporte de los Inventarios citados. Basados en dicho Inventario se resume la tecnología del parque
computacional que mostramos a continuación en el Cuadro N° 1.
ANTIGÜEDAD TECNOLOGICA
PROCESADOR
Mayor a 10 años Entre 5 y 10 años
PENTIUM IV 7
PENTIUM D 3
DUAL CORE 8
CORE i3 2
totales 10 10
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015
Cuadro N° 1
Criterio
Lo descrito inobserva el literal c) del numeral 5.2.1 Provisión de Recursos – 5.2. Administración de
recursos – 5. RESPONSABILIDAD DE LA GERENCIA de la NTP-ISO/IEC 27001:2008 EDI. Tecnología
de la información. Técnicas de Seguridad. Sistemas de gestión de seguridad de la Información.
Requisitos. aprobada por RESOLUCIÓN MINISTERIAL N° 179-2004-PCM publicada el 14 de junio del
2004que a la letra dice:
“La organización deberá determinar y brindar los recursos necesarios para:
a) Establecer, implementar, hacer funcionar y mantener el ISMS;”
Causa
Efecto
La plataforma sobre la cual operan los Sistemas Informáticos viene siendo afectada por la
obsolescencia de la plataforma computacional al ser esta muy lenta e ineficaz.
La productividad individual por usuario y consecuentemente por unidad funcional es afectada de
manera significativa.
La inexistencia de un Plan de reposición de equipos de cómputo como parte de una política de
mejoramiento continuo funcional y corporativo.
Recomendación
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015
5. Los Sistemas Informáticos carecen de documentación técnica que permita determinar su calidad y
mantenimiento óptimo.
Condición
Mediante CARTA N° 0204-2016 del 19 de octubre del 2016 se solicitó en el ítem 15 los “Manuales de
Uso y del Sistema (a nivel técnico) de cada uno de los Sistemas de Información y/o Aplicativos”, al
respecto la Unidad de Informática entregó a esta comisión el 21 del presente un CD donde se ha
encontrado algunos manuales que no contienen documentación técnica del modelo de Base de Datos,
diccionario de datos, estructura modular del SAO,etc. Documentación básica para un mantenimiento y
soporte adecuado, eficaz e independiente del personal de la Unidad de Informática ante una eventual
falta parcial o permanente de dicho personal.
Cada etapa tiene sus peculiaridades las mismas que deben materializarse de manera sistemática y
ordenada, etapa por etapa cumpliendo lo que la normatividad y las buenas prácticas recomiendan para
almacenar y posteriormente permitir el mantenimiento de los Sistemas Informáticos.
Criterio
Causa
No se viene aplicando la normatividad vigente que permite a los Sistemas Informáticos contar con
documentación durante todas las etapas de su proceso de construcción y posterior mantenimiento.
No cuentan con el personal suficiente para dedicarse de manera exclusiva a mantener actualizado el
sistema de documentación de los Sistemas informáticos.
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015
Efecto
Dificultad y/o demora para dar el soporte necesario frente a la posibilidad de modificar código o la
provisión de una nueva funcionalidad a los Sistemas Informáticos.
Dependencia total de la operación y mantenimiento del SAO del personal que actualmente labora en
la Unidad de sistemas.
Recomendación
Documentar los Sistemas informáticos tomando en cuenta los procesos considerados en la NTP-
ISO/IEC 12207:2004 TECNOLOGIA DE LA INFORMACIÓN. Procesos del ciclo de vida del software.
Condición
Mediante CARTA N° 0204-2016 del 19 de octubre del 2016 se solicitó en el ítem 20 información relativa
a los “Planes de mantenimiento preventivo de equipos de cómputo y de comunicaciones” y en el ítem 21
“Bitácora de ocurrencias de las labores efectuadas durante: el mantenimiento preventivo, mantenimiento
correctivo y soporte de usuarios”.
El Plan de Mantenimiento de equipos es parte del PLAN DE CONTINUIDAD DEL NEGOCIO que
contribuye a garantizar la continuidad del servicio informático corporativo frente a la ocurrencia de fallas
de los equipos por su uso, debe ser ejecutado por lo menos una vez al año, y debemos distinguirlo de
las actividades de soporte que de manera rutinaria atienden ocurrencias eventuales que afectan el
funcionamiento diario de los equipos.
Criterio
Lo descrito inobserva el literal A.9.2.4. Mantenimiento de equipos – A.9.2 Seguridad de los equipos – A.9
Seguridad física y del entorno – OBJETIVOS DE CONTROL Y CONTROLES de la NORMA TECNICA
PERUANA NTP-ISO/IEC 270001:2008 EDI. Tecnología de la información.Técnicas de
Seguridad.Sistemas de gestión de seguridad de la información.Requisitos, que a la letra dice:
“Control
El equipamiento recibirá un adecuado mantenimiento para garantizar su continua disponibilidad e
integridad”.
“Control
Se deben desarrollar e implementar planes para mantener o reparar operaciones y asegurar la
disponibilidad de información al nivel y tiempo requerido, siguiendo las interrupciones o fallas a los
procesos críticos del negocio.”
Causa
Efecto
Recomendación
Condición
El 19 de octubre del 2016, mediante CARTA N° 0204-2016 esta comisión solicitó en el ítem 14
información relativa a la “Bitácora de ocurrencias relacionadas a los avances del mantenimiento de
software”, en respuesta al citado requerimiento la unidad de informática a la fecha no ha remitido
documentación alguna.
Es importante contar con esta bitácora porque permite registrar las ocurrencias y las acciones tomadas
frente a dificultades y posibles cambios durante el mantenimiento de los sistemas informáticos, nos
permite responder las preguntas siguientes: ¿cuál es el evento suscitado?, ¿cuál es el nivel de impacto
en el avance del mantenimiento?, ¿cuál es la acción tomada para superar la dificultad?, ¿en qué
consistió el cambio?, ¿quién solicitó el cambio?, ¿quién fue el que autorizó el cambio?,¿cuándo fue
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015
solicitado el cambio?, ¿fue atendido el cambio?, ¿quedó satisfecho el usuario solicitante del cambio?,
entre otras preguntas.
Esta información registrada en las bitácoras durante el mantenimiento de software más la información
registrada documentariamente durante la etapa de desarrollo del software facilita determinar la
trazabilidad del software institucional. Además, esta información permite elaborar indicadores de gestión
de la Unidad de Informática para medir la calidad del servicio informático en la institución..
Criterio
Lo descrito inobserva el numeral 5.3.1.2 – 5.3.1 Implementación del Procesos – 5.3 Proceso de
desarrollo 5. PROCESOS PRINCIPALES DEL CICLO DE VIDA de la NORMA TECNICA PERUANA
NTP-ISO/IEC 12207:2004 Tecnología de la Información. Procesos del Ciclo de Vida del Software. 1ra
edición, aprobada por RESOLUCIÓN MINISTERIAL N° 179-2004-PCM publicada el 14 de junio del 2004
que a la letra dice:
“El desarrollador deberá:
a) Documentar las salidas de acuerdo al Proceso de Documentación (6.1).
b) Poner las salidas bajo el Proceso de Gestión de la Configuración (6.2) y llevar a cabo el control de los
cambios de acuerdo con él.
c) Documentar y solucionar los problemas y no conformidades encontradas en los productos software y
tareas de acuerdo al Proceso de Solución de Problemas (6.8).
d) Llevar a cabo los procesos de apoyo (capítulo 6) tal como se especifique en el contrato.
e) Establecer una línea base para cada elemento de la configuración con los elementos apropiados,
como los determinados por el adquiriente y el proveedor.
Lo descrito inobserva los numerales 5.5.1.2, 5.5.3.1 y 5.5.4.1– 5.5 Proceso de Mantenimiento - 5.
PROCESOS PRINCIPALES DEL CICLO DE VIDA de la NORMA TECNICA PERUANA NTP-ISO/IEC
12207:2004 Tecnología de la Información. Procesos del Ciclo de Vida del Software. 1ra edición,
aprobada por RESOLUCIÓN MINISTERIAL N° 179-2004-PCM publicada el 14 de junio del 2004 que a
la letra dicen:
“5.5.1.2 El responsable de mantenimiento deberá establecer procedimientos para recibir, registrar y
hacer seguimiento de los informes de problemas y las peticiones de modificaciones de los usuarios, y
proporcionar información sobre su situación a los usuarios. En el momento en que se encuentren
problemas, se deberán registrar e introducir en el Proceso de Solución de Problemas (6.8).
5.5.3.1 El responsable de mantenimiento deberá llevar a cabo el análisis y determinar qué
documentación, unidades software y versiones requieren ser modificadas por esta causa. Este análisis
deberá documentarse.
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015
5.5.4.1 El responsable de mantenimiento deberá llevar a cabo revisiones con la organización que
autoriza las modificaciones para determinar la integridad del sistema modificado.
Causa
Efecto
Recomendación
CONCLUSIONES
a) La Unidad de informática no cuenta con instrumentos de gestión que marquen la pauta operacional
anual ni tampoco una visión innovadora en el mediano y largo plazo para mejorar el servicio
informático en la APAG.
b) El Parque Computacional alcanza un nivel de obsolescencia mayor a los 10 años, impactando
negativamente en la operatividad de los Sistemas informáticos y la productividad del personal que
opera el SAO (Sistema de Administración y Operaciones).
c) El SAO fue construido en base a herramientas actualmente obsoletas y tecnológicamente
desfasadas, con altos niveles de vulnerabilidad por ataques que pueden provenir del frente interno o
externo inclusive.
d) La inexistencia de documentación técnica del SAO debidamente organizada, descrita y almacenada
de acuerdo a la normatividad vigente, lo convierte en un Sistema Informático no auditable.
e) El modelo de Bases de Datos donde se almacenan los datos así como la estructura modular del
SAO donde se encuentra la lógica empleada para el cálculo transaccional es de conocimiento
exclusivo del personal de la Unidad de Informática.
f) La situación descrita en el numeral anterior ubica a la institución en una total dependencia del
personal que actualmente labora en la Unidad de Informática con el agravante de afectar la
continuidad del servicio informático en la institución.
g) La inexistencia de la Trazabilidad evidenciada en los numerales anteriores imposibilita determinar
con certeza las causas de la ineficiencia y eficacia del Sistema Informático.
RECOMENDACIONES
a) Dotar a la Unidad de Informática de una estructura organizacional y funcional moderna con una
visión de gestión institucional basada en procesos de negocio actualizados y debidamente
documentados.
b) Elaborar documentos de gestión como el plan Operativo Anual, Plan Estratégico de Tecnologías de
Información, Planes de: Continuidad del Negocio, Contingencia y de Riesgos. Vitales para una
conducción efectiva de la Gestión de las Tecnologías de Información y Comunicaciones (TICs).
c) Aplicar la Normatividad vigente que las buenas prácticas imponen durante los diferentes procesos de
Gestión de las TICs, durante su adquisición, producción, mantenimiento y seguridad.
d) Documentar el SAO aplicando herramientas tecnológicas que permitan marcar la trazabilidad del
sistema y su posterior mantenimiento de la Base de datos y la Estructura operacional modular de
manera eficiente y eficaz.
e) Migrar el Sistema Informático y la Base de datos a herramientas tecnológicas modernas, orientadas
a la Web para propender el desarrollo de nuevos e innovadores aplicativos que mejoren el servicio
informático de usuarios internos y externos de APAG.
f) Elaborar la Matriz de Riesgos y mantenerla actualizada como el resultado del Análisis de Riesgos en
el marco del mejoramiento continuo al que debe involucrarse la Unidad de Informática en la
Institución.
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015