ASOCIACION PROVIVIENDA ALMIRANTE GRAU

AUDITORIA INFORMATICA PERIODO 2015

INFORME DE AUDITORIA DE SISTEMAS E INFORMÁTICA

PRESENTACIÓN:

El documento que se presenta a continuación sintetiza las acciones tomadas en el desarrollo de la Auditoria
de Tecnologías de Información en el marco de la Auditoria Financiera y Presupuestal del periodo 2015 en la
Asociación Provivienda “Almirante Grau”.

Primero se hizo un requerimiento de información documentario que no fue atendido formalmente y la

documentación enviada muy poca, con el propósito de obtener referencias de lo acontecido en el periodo de
revisión, luego se remitió al Jefe de la Unidad de Informática dos cuestionarios conteniendo una serie de
preguntas orientadas a ahondar lo solicitado en el Requerimiento documentario, las mismas que tampoco
fueron atendidas.

Analizada esta información se elaboraron las observaciones relativas al control interno así como las
recomendaciones correspondientes, las que a juicio nuestro deben ayudar a incrementar los niveles de
seguridad, control, eficiencia, y calidad de sistemas informáticos.

Los comentarios y observaciones presentadas en este informe tienen como fin fortalecer la gestión de los
recursos y servicios informáticos, en el esquema de contribución al proceso de desarrollo informático que
viene realizando la Asociación Provivienda Almirante Grau (APAG).

Es conveniente dejar constancia la falta de interés para provisionar la información solicitada por parte del
personal del Área de Informática.

I. COMENTARIOS:

Durante el periodo en revisión correspondiente al año 2015 el Área de Informática de la Asociación

Provivienda Almirante Grau contaba con una estructura organizacional básica compuesta por el Jefe de la
Unidad de informática y un Analista de Soporte Técnico cada uno con funciones limitadas a la operación de
los componentes de hardware y software en tareas rutinarias y tediosamente desarrolladas por contar con
tecnologías obsoletas y discontinuadas.

La herramienta empleada en el desarrollo del SAO es el Visual Basic y la Base de Datos es el SQL Server,
ambas en versiones discontinuadas mayores a década y media de antigüedad, si a esta situación le
agregamos el hecho que la plataforma de hardware sobre la cual corre el SAO es también antigua, con un
parque computacional mayor a 10 años, podríamos concluir que la herramienta tecnológica al servicio de los
usuarios en APAG es ineficaz.

El Servicio que viene brindando la Unidad de Informática no se puede catalogarlo de manera categórica como
eficiente o deficiente por no contar con documentación técnica que permita analizarlo y obtener un posterior
diagnóstico situacional, por carecer de documentación formalizada, normalizada y estandarizada.

Formalizada mediante Directivas emitidas por la Alta dirección, Normalizada de acuerdo a la normatividad
vigente, nacional e internacional, y Estandarizada en base a estándares que faciliten la sostenibilidad
tecnológica de los diferentes componentes del servicio.
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015

II. OBSERVACIONES

1. La Unidad de Informática carece de un Plan Estratégico de Tecnologías de Información.

Condición

Mediante CARTA N° 0204-2016 del 19 de octubre del 2016 se solicitó en el ítem 1 información relativa al
“Plan Estratégico de Tecnologías de Información”, en respuesta al citado requerimiento fue entregada a
esta comisión el 21 del presente un CD donde después de su revisión no se ha encontrado el
documento de gestión de los recursos tecnológicos de información y comunicaciones de la entidad
solicitado.

El Plan Estratégico de Tecnologías de Información es un documento de gestión que cubre un período

mayor a dos y hasta cuatro años, que permite marcar la pauta de desarrollo del servicio informático en
sus componentes básicos de talento humano, tecnología y procesos.

La renovación de conocimientos en Tecnologías de Información y Comunicaciones es una práctica

constante de la unidad organizacional responsable del servicio informático, no hacerlo ni aplicarlo afecta
la productividad y la calidad del servicio en los procesos y niveles organizacionales de la institución.

Hay que tomar en cuenta que un Plan Estratégico de Tecnologías de Información pierde vigencia muy
rápidamente y debe entrar en un proceso de actualización periódico para considerarlo como parte del
Planeamiento corporativo de mediano y largo plazo.

Criterio

Lo descrito inobserva los numerales 01 y 03 – 1.3. Administración estratégica – 1. NORMA GENERAL

PARA COMPONENTE EL AMBIENTE DE CONTROL- III NORMAS GENERALES DE CONTROL
INTERNO – NORMAS DE CONTROL INTERNO aprobadas mediante Resolución de Contraloría
General N° 320-2006-CG, publicada el 03/11/2006, que a la letra dicen:
“01 Se entiende por administración estratégica al proceso de planificar, con componentes de visión,
misión, metas y objetivos estratégicos. En tal sentido, toda entidad debe buscar tender a la elaboración
de sus planes estratégicos y operativos gestionándolos. En una entidad sin administración estratégica, el
control interno carecería de sus fundamentos más importantes y sólo se limitaría a la verificación del
cumplimiento de ciertos aspectos formales.
03 Los productos de las actividades de formulación, cumplimiento, seguimiento y evaluación deben estar
formalizadas en documentos debidamente aprobados y autorizados, con arreglo a la normativa vigente
respectiva. El titular o funcionario designado debe difundir estos documentos tanto dentro de la entidad
como a la ciudadanía en general.

Causa

 La falta de un Comité permanente de sistemas que involucre la participación de la Alta Dirección en

un proceso de mejoramiento continuo organizacional que tome como eje central el soporte a la
gestión corporativa las Tecnologías de Información y Comunicaciones.
 La falta de entrevistas, reuniones de trabajo, cuestionarios que perciban los nuevos requerimientos
provenientes de usuarios de todos los niveles organizacionales de la institución.
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015

 La falta de capacitación y actualización en las nuevas tendencias tecnológicas informáticas y

computacionales por parte del personal de la Unidad de Informática.

Efecto

 La carencia de proyectos relacionados a la adquisición, implementación y control de los recursos

informáticos situación que conduce a su uso ineficiente y bajo impacto en la gestión institucional.
 La carencia de aplicaciones y sistemas informáticos que cubran las necesidades de información
reales de los usuarios en todos los niveles de la organización.

Recomendación

 Elaborar e implementar el Plan Estratégico de Tecnologías de Información en el marco de un

proceso de Planeamiento Estratégico Institucional con un período de vigencia que haga del Plan un
instrumento de gestión que este en permanente revisión y actualización.
 Establecer Indicadores de monitoreo, control y verificación del cumplimiento de metas y objetivos del
Plan Estratégico de Tecnologías de Información.
 Desarrollar el Planeamiento del servicio informático involucrando contenidos destinados a la atención
de los requerimientos de usuarios y a la previsión de eventos que afecten su continuidad.

2. No se ha elaborado el Análisis de Riesgos que haya permitido calificar adecuadamente los riesgos y
amenazas latentes, consecuentemente la Unidad de Informática tampoco cuenta con un Plan de
contingencias ni el Plan de Continuidad del negocio.

Condición

El 19 de octubre del 2016, mediante CARTA N° 0204-2016 esta comisión solicitó en el ítem 2
información relativa a los “Planes de Sistemas, Contingencias y de Continuidad del negocio”, en
respuesta al citado requerimiento fue entregado a esta comisión el 21 del presente un CD donde
después de su revisión no se llegó a encontrar documentación alguna que permita determinar la
probabilidad de ocurrencia y el impacto de riesgos de origen en las tecnologías de información y
comunicaciones. Tampoco se ha encontrado documentación alguna relacionada al Plan de
Contingencias, ni el Plan de Continuidad del Negocio.

El PLAN DE RIESGOS y el PLAN DE CONTINGENCIAS son parte del PLAN DE CONTINUIDAD DEL
NEGOCIO, nuevo concepto integrador y sistémico de la forma como se debe gestionar el sistema de
seguridad de la información en las organizaciones.

Criterio

Lo descrito inobserva el numeral 4.1 Evaluando los riesgos de seguridad – 4. EVALUACIÓN Y

TRATAMIENTO DEL RIESGO - de la NTP-ISO/IEC 17799:2007 EDI. Tecnología de la
información.Código de buenas prácticas para la gestión de la seguridad de la información, que a la letra
dice:
“La evaluación de riesgos debe identificar, cuantificar y priorizar riesgos contra el criterio para la
aceptación del riesgo y los objetivos relevantes para la organización. Los resultados deben guiar y
determinar la apropiada acción de gestión y las prioridades para manejar la información de los riesgos
de seguridad y para implementar controles seleccionados para proteger estos riesgos. El proceso de
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015

evaluación de riesgos y de seleccionar controles puede requerir que sea realizado un número de veces
con el fin de cubrir diferentes partes de la organización o sistemas de información individuales.

La evaluación del riesgo debe incluir un alcance sistemático sobre la estimación de la magnitud del
riesgo (análisis del riesgo) y sobre el proceso de comparar el riesgo estimado con el criterio para
determinar el significado de los riesgos (valoración del riesgo).

Las evaluaciones del riesgo deben ser realizadas periódicamente para incluir los cambios en los
requerimientos del sistema y en la situación del riesgo, por ejemplo en los activos, amenazas,
vulnerabilidades, impactos, valoración del riesgo y cuando cambios significativos ocurran. Estas
evaluaciones del riesgo deben ser emprendidas de una forma metódica, capaz de producir resultados
comparables y reproducibles.

La evaluación de la información del riesgo de seguridad debe tener un alcance claro y definido para que
este sea efectivo y debe incluir relaciones con las evaluaciones del riesgo en otras áreas, si es
apropiado.

El alcance de la evaluación del riesgo puede ser para toda la organización, partes de ella, un sistema
individual de información, componentes específicos del sistema o servicios donde esto puede ser
utilizado, realista y provechoso. Ejemplos de metodologías de la evaluación del riesgo son discutidas en
ISO/IEC TR 13335-3 (Guía para la gestión en la seguridad de tecnologías de información).”

Lo descrito inobserva el numeral 14.1 Aspectos de la gestión de continuidad del negocio – 14. GESTION
DE CONTINUIDAD DEL NEGOCIO - de la NTP-ISO/IEC 17799:2007 EDI. Tecnología de la
información.Código de buenas prácticas para la gestión de la seguridad de la información, que a la letra
dice:
“Se debería implantar un proceso de gestión de continuidad del negocio para reducir, a niveles
aceptables, la interrupción causada por los desastres y fallas de seguridad (que, por ejemplo, puedan
resultar de desastres naturales, accidentes, fallas de equipos o acciones deliberadas) mediante una
combinación de controles preventivos y de recuperación. Este proceso debe identificar los procesos
críticos de negocio e integrar los requisitos de gestión de la seguridad de información para la continuidad
del negocio con otros requisitos de continuidad relacionados con dichos aspectos como operaciones,
proveedores de personal, materiales, transporte e instalaciones.

Se deberían analizar las consecuencias de los desastres, fallas de seguridad, pérdidas de servicio y la
disponibilidad del servicio. Se deberían desarrollar e implantar planes de contingencia para asegurar que
los procesos del negocio se pueden restaurar en los plazos requeridos las operaciones esenciales. La
seguridad de información debe ser una parte integral del plan general de continuidad del negocio y de
los demás procesos de gestión dentro de la organización.

La gestión de la continuidad del negocio debería incluir en adición al proceso de evaluación, controles
para la identificación y reducción de riesgos, limitar las consecuencias de incidencias dañinas y asegurar
la reanudación, a tiempo, de las operaciones esenciales.”

Lo descrito inobserva el literal A.14.1.2. Continuidad del negocio y evaluación de riesgos – A.14.1
Aspectos de la gestión de continuidad del negocio en la seguridad de la información – A.14 Gestión de la
continuidad del negocio - OBJETIVOS DE CONTROL Y CONTROLES de la NORMA TECNICA
PERUANA NTP-ISO/IEC 270001:2008 EDI. Tecnología de la información.Técnicas de
Seguridad.Sistemas de gestión de seguridad de la información.Requisitos, que a la letra dice:
“Control
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015

Los eventos que pueden causar interrupciones en los procesos del negocio deben ser identificados así
como las probabilidades e impacto de dichas interrupciones y sus consecuencias para la seguridad de la
información.”

Causa

 La falta de políticas corporativas que releven el rol de las Tecnologías de información y

Comunicaciones como recurso estratégico institucional.
 La falta de planeamiento en la Unidad de Informática orientado al diseño e implementación de
actividades de control de riesgos y contingencias establecidas en la normatividad vigente.
 La falta de liderazgo para asumir la responsabilidad funcional en la elaboración de proyectos que
conduzcan a la obtención del Análisis de riesgos y los planes de contingencia y continuidad del
negocio.

Efecto

 La exposición de los recursos de Tecnologías de Información y Comunicaciones a eventos que

pueden afectar la continuidad del Servicio Informático y consecuentemente de la Institución.
 La existencia de un alto riesgo de discontinuidad del servicio informático corporativo en caso ocurran
desastres en las instalaciones de la institución y no se tengan acciones alternativas para mitigar los
riesgos.

Recomendación

 Elaborar el Análisis de Riesgos y mantenerlo actualizado como parte del proceso de mejoramiento
continuo que debe aplicar la Asociación Provivienda Almirante Grau para garantizar la seguridad de
la información institucional.
 Elaborar el Plan de Contingencias como medio alternativo frente a la ocurrencia de sucesos que
afecten la seguridad de la información, los medios que la almacenan, procesan y resguardan en las
instalaciones de la Asociación Provivienda Almirante Grau..

3. El Data Center institucional se encuentra ubicado en un ambiente inadecuado expuesto a atentado o

agresión externa.

Condición

El 19 de octubre del 2016, mediante CARTA N° 0204-2016 esta comisión solicitó en el ítem 26
información relativa a las “Políticas y procedimientos de acceso al Centro de Datos (DATA CENTER)”, al
respecto la Unidad de Informática entregó a esta comisión el 21 del presente un CD donde se puede
apreciar la inexistencia de políticas y procedimientos que se concreten en la práctica como medios
efectivos de protección al CENTRO DE DATOS donde se encuentra centralizado el intangible más
valioso de la institución como es la información.

Como observamos en la Figura N° 1 la situación es crítica respeto a la protección de los Servidores

Institucionales porque se encuentran ubicados en un espacio inadecuado donde no solamente los
miembros de la Unidad de Informática accesan sino cualquier otra persona ajena a la Unidad.
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015

Adicionalmente a ello es el hecho de estar expuestos en un lugar cercano a la calle donde la circulación
peatonal los expone a riesgos mayores.

Figura N° 1

Es importante para garantizar la continuidad del negocio contar con un DATA CENTER técnicamente
construido bajo estándares de diseño que garanticen la seguridad de los equipos y la información de la
institución, de no ser así el riesgo de pérdida de información y discontinuidad del servicio informático y
consecuentemente del servicio que brinda la Asociación Provivienda Almirante Grau a su asociados se
verán gravemente afectados.

Criterio

Lo descrito inobserva el literal 9.2.1 Instalación y protección de equipos - 9.2 Seguridad de los equipos
– 9. SEGURIDAD FÍSICA Y DEL ENTORNO de la NTP-ISO/IEC 17799:2007 EDI. Tecnología de la
información.Código de buenas prácticas para la gestión de la seguridad de la información, que a la letra
dice:
“Instalación y protección de equipos
Control
El equipo debería situarse y protegerse para reducir el riesgo de amenazas del entorno, así como las
oportunidades de accesos no autorizados.
Guía de implementación
Se deberían considerar los siguientes pautas para proteger los equipos:
a) los equipos se deberían situar dónde se minimicen los accesos innecesarios a las áreas de trabajo;
b) los equipos de tratamiento y almacenamiento de información que manejen datos sensibles se
deberían instalar dónde se reduzca el riesgo de que personas no autorizadas vean los procesos durante
su uso;
c) los elementos que requieran especial protección se deberían aislar para reducir el nivel general de
protección requerido;
d) los controles deben ser adoptados para minimizar los riesgos de posibles amenazas como robo,
incendio, explosivos, humo, agua (o fallo de suministro), polvo, vibraciones, efectos químicos,
interferencias en el suministro eléctrico, radiaciones electromagnéticas y vandalismo;
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015

e) la organización debería incluir en su política cuestiones sobre fumar, beber y comer cerca de los
equipos de tratamiento de información;
f) se deberían vigilar las condiciones ambientales, como temperatura y humedad, que puedan afectar
negativamente al funcionamiento de los equipos de tratamiento de información;
g) la protección contra la luz debe ser aplicada a todos los edificios y se deben ajustar filtros de luz a
todas las líneas de poder y de comunicación;
h) para los equipos situados en ambientes industriales se debería considerar el uso de métodos de
protección especial (por ejemplo cubiertas para teclados);
i) el equipo que procesa información sensible debe ser protegida con el fin de minimizar el riesgo de
pérdidas de información.

Causa

 Falta de una política institucional que releve el servicio informático y lo ubique como un factor crítico
en el éxito de la gestión institucional.

Efecto

 Los servidores y consecuentemente la información se encuentran en alto riesgo de pérdida.

 La pérdida de información impactaría fuertemente sobre la continuidad de la gestión institucional.

Recomendación

 Elaborar un proyecto de construcción de una sala de servidores en un ambiente que contemple las
medidas de seguridad ambiental y operacional de los equipos.

4. El Parque computacional está basado en tecnología computacional cuya vigencia tecnológica esta
categorizada como obsoleta.

Condición

Mediante CARTA N° 0204-2016 del 19 de octubre del 2016 se solicitó en el ítem 7, el “Inventario del
Hardware clasificado según sean: Servidores, computadoras personales, Lap Tops, Impresoras,
Scaners. Especificar marca del proveedor, fecha de adquisición y ambiente en el que se encuentran
operando”, en respuesta al citado requerimiento fue entregada a esta comisión el 21 del presente 01
reporte de los Inventarios citados. Basados en dicho Inventario se resume la tecnología del parque
computacional que mostramos a continuación en el Cuadro N° 1.

ANTIGÜEDAD TECNOLOGICA
PROCESADOR
Mayor a 10 años Entre 5 y 10 años
PENTIUM IV 7
PENTIUM D 3
DUAL CORE 8
CORE i3 2
totales 10 10
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015

Cuadro N° 1

Observamos que la tecnología de los procesadores en un 50% es mayor a 10 años aproximadamente y

el otro 50% tiene una antigüedad entre 5 y 10. De acuerdo a estos resultados, aproximadamente el 75%
de los equipos son obsoletos con una antigüedad mayor a 5 años.

Criterio

Lo descrito inobserva el numeral 01 – 4.2. Información y responsabilidad – 4. NORMA GENERAL PARA

COMPONENTE EL COMPONENTE DE INFORMACIÓN Y COMUNICACIÓN - III NORMAS
GENERALES DE CONTROL INTERNO – NORMAS DE CONTROL INTERNO aprobadas mediante
Resolución de Contraloría General N° 320-2006-CG, publicada el 03/11/2006, que a la letra dicen:
“01El titular y funcionarios deben entender la importancia del rol que desempeñan los sistemas de
información para el correcto desarrollo de sus deberes, mostrando una actitud comprometida hacia
éstos. Esta actitud debe traducirse en acciones concretas como la asignación de recursos suficientes
para su funcionamiento eficaz y otras que evidencien la atención que se le otorga”.

Lo descrito inobserva el literal c) del numeral 5.2.1 Provisión de Recursos – 5.2. Administración de
recursos – 5. RESPONSABILIDAD DE LA GERENCIA de la NTP-ISO/IEC 27001:2008 EDI. Tecnología
de la información. Técnicas de Seguridad. Sistemas de gestión de seguridad de la Información.
Requisitos. aprobada por RESOLUCIÓN MINISTERIAL N° 179-2004-PCM publicada el 14 de junio del
2004que a la letra dice:
“La organización deberá determinar y brindar los recursos necesarios para:
a) Establecer, implementar, hacer funcionar y mantener el ISMS;”

Causa

Entre los hechos que pueden explicar la situación descrita están:

 La falta de políticas corporativas que releven el rol de las Tecnologías de información y

Comunicaciones como recurso estratégico empresarial.
 La falta de propuestas técnicas basadas en proyectos integrales de seguridad corporativa orientados
a renovar el parque computacional.
 La falta de recursos asignados a la renovación del parque computacional.

Efecto

Como consecuencia de la situación descrita se aprecia lo siguiente:

 La plataforma sobre la cual operan los Sistemas Informáticos viene siendo afectada por la
obsolescencia de la plataforma computacional al ser esta muy lenta e ineficaz.
 La productividad individual por usuario y consecuentemente por unidad funcional es afectada de
manera significativa.
 La inexistencia de un Plan de reposición de equipos de cómputo como parte de una política de
mejoramiento continuo funcional y corporativo.

Recomendación
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015

 Elaborar un proyecto de renovación y adquisición de equipos de cómputo estableciendo prioridades

funcionales y grado de obsolescencia en cada unidad o puesto de trabajo.
 Elaborar políticas de renovación de las plataformas Computacional, Sistemas Informáticos y
Seguridad en el marco de un proceso de mejoramiento continuo institucional.

5. Los Sistemas Informáticos carecen de documentación técnica que permita determinar su calidad y
mantenimiento óptimo.

Condición

Mediante CARTA N° 0204-2016 del 19 de octubre del 2016 se solicitó en el ítem 15 los “Manuales de
Uso y del Sistema (a nivel técnico) de cada uno de los Sistemas de Información y/o Aplicativos”, al
respecto la Unidad de Informática entregó a esta comisión el 21 del presente un CD donde se ha
encontrado algunos manuales que no contienen documentación técnica del modelo de Base de Datos,
diccionario de datos, estructura modular del SAO,etc. Documentación básica para un mantenimiento y
soporte adecuado, eficaz e independiente del personal de la Unidad de Informática ante una eventual
falta parcial o permanente de dicho personal.

Durante el desarrollo de los Sistemas Informáticos, periódicamente se vienen produciendo los

entregables cuyo diseño desarrollo e implementación va quedando registrada en los documentos que se
generan.

Cada etapa tiene sus peculiaridades las mismas que deben materializarse de manera sistemática y
ordenada, etapa por etapa cumpliendo lo que la normatividad y las buenas prácticas recomiendan para
almacenar y posteriormente permitir el mantenimiento de los Sistemas Informáticos.

Criterio

Lo descrito inobserva el numeral 6.1 Proceso de Documentación - 6. PROCESOS DE APOYO DEL

CICLO DE VIDA - de la NORMA TECNICA PERUANA NTP-ISO/IEC 12207:2004 TECNOLOGIA DE LA
INFORMACIÓN. Procesos del ciclo de vida del software. 1° Edición, cuyo uso obligatorio fue aprobado
mediante la RESOLUCION MINISTERIAL N° 179-2004-PCM publicada en el Peruano el 14 de junio de
2004 que a la letra dice:
“El Proceso de Documentación es un proceso para registrar la documentación producida por un proceso
o actividad del ciclo de vida. El proceso contiene el conjunto de actividades para planificar, diseñar,
desarrollar, producir, editar, distribuir y mantener aquellos documentos que necesitan todos los
involucrados tales como gerentes, ingenieros y usuarios del sistema o producto software.
Lista de actividades. Este proceso consta de las siguientes actividades:
1. Implementación del proceso.
2. Diseño y desarrollo.
3. Producción.
4. Mantenimiento.

Causa

 No se viene aplicando la normatividad vigente que permite a los Sistemas Informáticos contar con
documentación durante todas las etapas de su proceso de construcción y posterior mantenimiento.
 No cuentan con el personal suficiente para dedicarse de manera exclusiva a mantener actualizado el
sistema de documentación de los Sistemas informáticos.
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015

Efecto

 Dificultad y/o demora para dar el soporte necesario frente a la posibilidad de modificar código o la
provisión de una nueva funcionalidad a los Sistemas Informáticos.
 Dependencia total de la operación y mantenimiento del SAO del personal que actualmente labora en
la Unidad de sistemas.

Recomendación

 Documentar los Sistemas informáticos tomando en cuenta los procesos considerados en la NTP-
ISO/IEC 12207:2004 TECNOLOGIA DE LA INFORMACIÓN. Procesos del ciclo de vida del software.

6. En el período evaluado no se elaboró el Plan de Mantenimiento de equipos de cómputo, redes y

comunicaciones por lo que tampoco existe la bitácora de ocurrencias de las labores que se deben
efectuar durante la ejecución del citado Plan.

Condición

Mediante CARTA N° 0204-2016 del 19 de octubre del 2016 se solicitó en el ítem 20 información relativa
a los “Planes de mantenimiento preventivo de equipos de cómputo y de comunicaciones” y en el ítem 21
“Bitácora de ocurrencias de las labores efectuadas durante: el mantenimiento preventivo, mantenimiento
correctivo y soporte de usuarios”.

Revisada la documentación que fuera alcanzada a esta comisión, no se encontró el Plan de

Mantenimiento de equipos de cómputo, redes y comunicaciones correspondiente al periodo 2015, ni
tampoco la Bitácora de ocurrencias de las labores efectuadas durante el mantenimiento correctivo y
soporte de usuarios que correspondan al citado Plan.

El Plan de Mantenimiento de equipos es parte del PLAN DE CONTINUIDAD DEL NEGOCIO que
contribuye a garantizar la continuidad del servicio informático corporativo frente a la ocurrencia de fallas
de los equipos por su uso, debe ser ejecutado por lo menos una vez al año, y debemos distinguirlo de
las actividades de soporte que de manera rutinaria atienden ocurrencias eventuales que afectan el
funcionamiento diario de los equipos.

Criterio

Lo descrito inobserva el literal A.9.2.4. Mantenimiento de equipos – A.9.2 Seguridad de los equipos – A.9
Seguridad física y del entorno – OBJETIVOS DE CONTROL Y CONTROLES de la NORMA TECNICA
PERUANA NTP-ISO/IEC 270001:2008 EDI. Tecnología de la información.Técnicas de
Seguridad.Sistemas de gestión de seguridad de la información.Requisitos, que a la letra dice:
“Control
El equipamiento recibirá un adecuado mantenimiento para garantizar su continua disponibilidad e
integridad”.

Lo descrito inobserva el literal A.14.1.3. Desarrollando e implementando planes de continuidad que

incluyen la seguridad de la información – A.14.1 Gestión de la continuidad del negocio – OBJETIVOS
DE CONTROL Y CONTROLES de la NORMA TECNICA PERUANA NTP-ISO/IEC 270001:2008 EDI.
Tecnología de la información.Técnicas de Seguridad.Sistemas de gestión de seguridad de la
información.Requisitos, que a la letra dice:
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015

“Control
Se deben desarrollar e implementar planes para mantener o reparar operaciones y asegurar la
disponibilidad de información al nivel y tiempo requerido, siguiendo las interrupciones o fallas a los
procesos críticos del negocio.”

Causa

 La falta de planeamiento en la Unidad de Informática como instrumento de previsión frente a la

inevitable obsolescencia de los equipos debido al uso.
 La falta de políticas corporativas que releven el rol de las Tecnologías de información y
Comunicaciones como recurso estratégico organizacional.

Efecto

 La capacidad de respuesta de la unidad de informática se ve limitada en oportunidad de atención y

calidad del servicio ante eventuales fallas de los equipos de cómputo, redes y comunicaciones.
 La existencia permanente del riesgo que afecte la continuidad del servicio informático corporativo
debido a la incertidumbre operativa de equipos de cómputo institucionales por falta de
mantenimiento.
 Los equipos de cómputo, redes y comunicaciones al carecer de un mantenimiento preventivo
adecuado verán afectada su vida útil, por consiguiente afecta también el rendimiento y productividad
del personal usuario.
 Incremento de los costos de mantenimiento correctivo debido a que, los equipos se degradan
técnicamente con mayor rapidez cuando no se les da un mantenimiento preventivo oportuno.

Recomendación

 Elaborar e implementar el Plan de Mantenimiento de equipos de cómputo, redes y comunicaciones

como parte del PLAN DE CONTINUIDAD DEL NEGOCIO.

7. No se ha evidenciado la existencia de la Bitácora donde se registran las ocurrencias durante el

mantenimiento de software, situación que no contribuye a determinar la trazabilidad de los sistemas
informáticos.

Condición

El 19 de octubre del 2016, mediante CARTA N° 0204-2016 esta comisión solicitó en el ítem 14
información relativa a la “Bitácora de ocurrencias relacionadas a los avances del mantenimiento de
software”, en respuesta al citado requerimiento la unidad de informática a la fecha no ha remitido
documentación alguna.

Es importante contar con esta bitácora porque permite registrar las ocurrencias y las acciones tomadas
frente a dificultades y posibles cambios durante el mantenimiento de los sistemas informáticos, nos
permite responder las preguntas siguientes: ¿cuál es el evento suscitado?, ¿cuál es el nivel de impacto
en el avance del mantenimiento?, ¿cuál es la acción tomada para superar la dificultad?, ¿en qué
consistió el cambio?, ¿quién solicitó el cambio?, ¿quién fue el que autorizó el cambio?,¿cuándo fue
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015

solicitado el cambio?, ¿fue atendido el cambio?, ¿quedó satisfecho el usuario solicitante del cambio?,
entre otras preguntas.

Esta información registrada en las bitácoras durante el mantenimiento de software más la información
registrada documentariamente durante la etapa de desarrollo del software facilita determinar la
trazabilidad del software institucional. Además, esta información permite elaborar indicadores de gestión
de la Unidad de Informática para medir la calidad del servicio informático en la institución..

Criterio

Lo descrito inobserva los numerales 02, 03 y 04 – 3.8. Documentación de procesos, actividades y

tareas – 3. NORMA GENERAL PARA EL COMPONENTE EL COMPONENTE DE ACTIVIDADES DE
CONTROL GERENCIAL - III NORMAS GENERALES DE CONTROL INTERNO – NORMAS DE
CONTROL INTERNO aprobadas mediante Resolución de Contraloría General N° 320-2006-CG,
publicada el 03/11/2006, que a la letra dicen:
“02 Cualquier modificación en los procesos, actividades y tareas producto de mejoras o cambios en las
normativas y estándares deben reflejarse en una actualización de la documentación respectiva.
03 La documentación correspondiente a los procesos, actividades y tareas de la entidad deben estar
disponibles para facilitar la revisión de los mismos.
04 La documentación de los procesos, actividades y tareas debe garantizar una adecuada transparencia
en la ejecución de los mismos, así como asegurar el rastreo de las fuentes de defectos o errores en los
productos o servicios generados (trazabilidad).”

Lo descrito inobserva el numeral 5.3.1.2 – 5.3.1 Implementación del Procesos – 5.3 Proceso de
desarrollo 5. PROCESOS PRINCIPALES DEL CICLO DE VIDA de la NORMA TECNICA PERUANA
NTP-ISO/IEC 12207:2004 Tecnología de la Información. Procesos del Ciclo de Vida del Software. 1ra
edición, aprobada por RESOLUCIÓN MINISTERIAL N° 179-2004-PCM publicada el 14 de junio del 2004
que a la letra dice:
“El desarrollador deberá:
a) Documentar las salidas de acuerdo al Proceso de Documentación (6.1).
b) Poner las salidas bajo el Proceso de Gestión de la Configuración (6.2) y llevar a cabo el control de los
cambios de acuerdo con él.
c) Documentar y solucionar los problemas y no conformidades encontradas en los productos software y
tareas de acuerdo al Proceso de Solución de Problemas (6.8).
d) Llevar a cabo los procesos de apoyo (capítulo 6) tal como se especifique en el contrato.
e) Establecer una línea base para cada elemento de la configuración con los elementos apropiados,
como los determinados por el adquiriente y el proveedor.

Lo descrito inobserva los numerales 5.5.1.2, 5.5.3.1 y 5.5.4.1– 5.5 Proceso de Mantenimiento - 5.
PROCESOS PRINCIPALES DEL CICLO DE VIDA de la NORMA TECNICA PERUANA NTP-ISO/IEC
12207:2004 Tecnología de la Información. Procesos del Ciclo de Vida del Software. 1ra edición,
aprobada por RESOLUCIÓN MINISTERIAL N° 179-2004-PCM publicada el 14 de junio del 2004 que a
la letra dicen:
“5.5.1.2 El responsable de mantenimiento deberá establecer procedimientos para recibir, registrar y
hacer seguimiento de los informes de problemas y las peticiones de modificaciones de los usuarios, y
proporcionar información sobre su situación a los usuarios. En el momento en que se encuentren
problemas, se deberán registrar e introducir en el Proceso de Solución de Problemas (6.8).
5.5.3.1 El responsable de mantenimiento deberá llevar a cabo el análisis y determinar qué
documentación, unidades software y versiones requieren ser modificadas por esta causa. Este análisis
deberá documentarse.
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015

5.5.4.1 El responsable de mantenimiento deberá llevar a cabo revisiones con la organización que
autoriza las modificaciones para determinar la integridad del sistema modificado.

Causa

 La falta de decisión para adecuarse a la normatividad peruana concerniente al desarrollo y posterior

mantenimiento de los sistemas informáticos y el registro de ocurrencias.

Efecto

 La imposibilidad de hacerle un seguimiento a los cambios efectuados en el sistema informático de

manera sistemática, ordenada y eficiente durante las etapas de desarrollo y posterior mantenimiento.

Recomendación

 Adecuar las actividades de desarrollo y posterior mantenimiento de software a lo establecido en la

Norma Técnica Peruana NTP-ISO/IEC 12207:2004 Tecnología de la Información. Procesos del Ciclo
de Vida del Software. 1ra edición
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015

II. CONCLUSIONES Y OBSERVACIONES

CONCLUSIONES

a) La Unidad de informática no cuenta con instrumentos de gestión que marquen la pauta operacional
anual ni tampoco una visión innovadora en el mediano y largo plazo para mejorar el servicio
informático en la APAG.
b) El Parque Computacional alcanza un nivel de obsolescencia mayor a los 10 años, impactando
negativamente en la operatividad de los Sistemas informáticos y la productividad del personal que
opera el SAO (Sistema de Administración y Operaciones).
c) El SAO fue construido en base a herramientas actualmente obsoletas y tecnológicamente
desfasadas, con altos niveles de vulnerabilidad por ataques que pueden provenir del frente interno o
externo inclusive.
d) La inexistencia de documentación técnica del SAO debidamente organizada, descrita y almacenada
de acuerdo a la normatividad vigente, lo convierte en un Sistema Informático no auditable.
e) El modelo de Bases de Datos donde se almacenan los datos así como la estructura modular del
SAO donde se encuentra la lógica empleada para el cálculo transaccional es de conocimiento
exclusivo del personal de la Unidad de Informática.
f) La situación descrita en el numeral anterior ubica a la institución en una total dependencia del
personal que actualmente labora en la Unidad de Informática con el agravante de afectar la
continuidad del servicio informático en la institución.
g) La inexistencia de la Trazabilidad evidenciada en los numerales anteriores imposibilita determinar
con certeza las causas de la ineficiencia y eficacia del Sistema Informático.

RECOMENDACIONES

a) Dotar a la Unidad de Informática de una estructura organizacional y funcional moderna con una
visión de gestión institucional basada en procesos de negocio actualizados y debidamente
documentados.
b) Elaborar documentos de gestión como el plan Operativo Anual, Plan Estratégico de Tecnologías de
Información, Planes de: Continuidad del Negocio, Contingencia y de Riesgos. Vitales para una
conducción efectiva de la Gestión de las Tecnologías de Información y Comunicaciones (TICs).
c) Aplicar la Normatividad vigente que las buenas prácticas imponen durante los diferentes procesos de
Gestión de las TICs, durante su adquisición, producción, mantenimiento y seguridad.
d) Documentar el SAO aplicando herramientas tecnológicas que permitan marcar la trazabilidad del
sistema y su posterior mantenimiento de la Base de datos y la Estructura operacional modular de
manera eficiente y eficaz.
e) Migrar el Sistema Informático y la Base de datos a herramientas tecnológicas modernas, orientadas
a la Web para propender el desarrollo de nuevos e innovadores aplicativos que mejoren el servicio
informático de usuarios internos y externos de APAG.
f) Elaborar la Matriz de Riesgos y mantenerla actualizada como el resultado del Análisis de Riesgos en
el marco del mejoramiento continuo al que debe involucrarse la Unidad de Informática en la
Institución.
ASOCIACION PROVIVIENDA ALMIRANTE GRAU
AUDITORIA INFORMATICA PERIODO 2015