CARRERA INFORMTICA
TEMA:
AUTORAS:
AMARILIS CAROLINA LOOR PRRAGA
VERNICA ALEXANDRA ESPINOZA CASTILLO
TUTOR:
ING. SERGIO ANTONIO INTRIAGO BRIONES, MS.C.
DERECHOS DE AUTORA
..
VERNICA A. ESPINOZA CASTILLO AMARILIS C. LOOR PRRAGA
iii
CERTIFICACIN DE TUTOR
....
...................................................................... .....................................................................
ING. JESSICA J. MORALES CARRILLO DRA. MARA I. MATILLA BLANCO
MIEMBRO MIEMBRO
...................................................................................
ING. GUSTAVO G. MOLINA GARZN
PRESIDENTE
v
AGRADECIMIENTO
LAS AUTORAS
vi
DEDICATORIA
A mi pap Rafael Loor Basurto, hombre que admiro y que me ensea que con
esfuerzo y sacrificio se pueden culminar los proyectos, l me demuestra el
rostro trabajador de la vida.
DEDICATORIA
A mis padres por ser el pilar fundamental en todo lo que soy, en toda mi
educacin, tanto acadmica, como de la vida, por su incondicional apoyo
perfectamente mantenido a travs del tiempo.
CONTENIDO
CARTULA ..........................................................................................................i
AGRADECIMIENTO............................................................................................v
DEDICATORIA ................................................................................................... vi
RESUMEN ......................................................................................................... xi
BIBLIOGRAFA ................................................................................................ 98
RESUMEN
PALABRAS CLAVES
Auditora, Seguridad Fsica, Seguridad Lgica, Recursos de Tecnologa.
xii
ABSTRACT
KEY WORDS
Audit, Physical Security, Logic Segurity, Technology Resources.
CAPTULO I. ANTECEDENTES
1.2. JUSTIFICACIN
1.3. OBJETIVOS
2.1. AUDITORA
Hernndez (2010) manifiesta que la auditora interna es una actividad que tiene
por objetivo fundamental examinar y evaluar la adecuada y eficaz aplicacin de
los sistemas de control interno, velando por la preservacin de la integridad del
patrimonio de una entidad y la eficiencia de su gestin econmica, proponiendo
a la direccin las acciones correctivas pertinentes.
18
2.1.3.1.2. AMENAZAS
Los efectos de las diversas amenazas puedes ser muy variados. Unos pueden
comprometer la integridad de la informacin o de los sistemas, otros pueden
degradar la disponibilidad de los servicios y otros pueden estar relacionados
con la confidencialidad de la informacin. En cualquier caso una correcta
gestin de los riesgos debe implicar un profundo conocimiento de las
vulnerabilidades de los sistemas y de las amenazas que los pueden explotar
(Hernndez, s.f.).
Lamere (2009) sustenta que la auditora informtica tiene varios tipos, entre los
cuales se citan a continuacin:
Hoy en da, la lnea que separa estos dos bloques entre la seguridad fsica y
seguridad lgica, es cada vez ms difusa, debido sobre todo a que los
elementos de las salvaguardas tcnicas se utilizan tanto para proteger activos
de carcter fsico como lgico (Ramrez, 2012).
26
Segn Martnez et, al. (2012). Define las siguientes etapas en la planeacin de
la auditora:
28
REVISIN PRELIMINAR
REVISIN ESPECFICA
PROGRAMACIN DE LA AUDITORA
Los pasos que puede llevar a cabo un auditor informtico para obtener una
comprensin de la entidad pueden incluir:
PROGRAMA DE AUDITORA
HALLAZGOS DE AUDITORA
Segn Piattini (2008) desarrollar en forma completa todos los elementos del
hallazgo en una auditora, no siempre podra ser posible. Por lo tanto, el auditor
debe utilizar su buen juicio y criterio profesional para decidir cmo informar
determinada debilidad importante identificada en el control interno. La
extensin mnima de cada hallazgo de auditora depender de cmo ste debe
ser informado, aunque por lo menos, el auditor debe identificar los siguientes
elementos:
33
EVIDENCIAS DE AUDITORA
PAPELES DE TRABAJO
TCNICAS DE AUDITORA
CUESTIONARIOS
ENTREVISTAS
Para el caso del auditor informtico, siempre tienen que ser su entrevista
preparada y con preguntas sistematizadas, que en un ambiente de cordialidad
36
CHECKLIST
Adems del chequeo de los sistemas, el auditor somete al auditado a una serie
de cuestionario. Dichos cuestionarios, llamadas Check List, tienen que ser
comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas y mal
recitadas se puede llegar a obtener resultados distintos a los esperados.
La Check List puede llegar a explicar cmo ocurren los hechos pero no por qu
ocurren. El cuestionario debe estar subordinado a la regla, a la norma, al
mtodo.
MATRIZ DE RIESGO
PRUEBAS DE CUMPLIMIENTO
Documentacin.
Manuales de usuario, tcnicos y procedimientos.
Cambios en los programas.
Solicitud por escrito.
Pruebas por parte de los usuarios.
Actualizacin de los manuales tcnicos y de usuarios
Verificar que los cambios en los programas sean realizados por el
personal de informtica o por el proveedor de la aplicacin.
Copias de respaldo y recuperaciones.
Contenidos de las copias.
Periodicidad de las copias.
Persona responsable.
Custodia, almacenamiento, inventario, rotacin de la cinta.
Acceso a datos y programas.
Verificar la lista de usuarios que tiene acceso.
Revisar el procedimiento para otorgar y eliminar los accesos.
Analizar la periodicidad de los cambios de los passwords (clave).
Capacitacin de los usuarios
Controles en la entrada, proceso y salida
1. Carta de envo
2. Informacin introductoria.
2.1. Motivo, objetivos y alcance de la auditoria.
2.2. Un breve resumen de los resultados de auditoria, control interno,
cumplimiento con las leyes y regulaciones aplicables, y estado de las
recomendaciones anteriores.
3. Informe de Auditora informtica que debe contener:
3.1. Resultados de auditora que expondrn los hallazgos significativos que
tengan relacin con los objetivos de auditora, los que incluirn la
informacin suficiente que permita una adecuada comprensin del
asunto que se informa.
3.2. Las conclusiones, que son inferencias lgicas sobre el objeto de
auditoras basadas en los hallazgos.
39
Una vez que se concluy con la planificacin preliminar, fue necesario elaborar
el Memorando de Planificacin Preliminar (Anexo 5), con el propsito de dar a
conocer los resultados obtenidos en esta fase, dicho memorando est
conformado por los antecedentes, el motivo de la auditora, los objetivos de la
auditora, el alcance de la auditora, conocimiento de la entidad, puntos de
inters para la planificacin especfica y los componentes a ser examinados.
Sin embargo, para que tal informacin posea soporte sustentable, se solicit
documentacin a las reas involucradas en la auditoria. Para tal efecto, una
vez aplicados los cuestionario de control interno, se procedi a elaborar la
matriz de determinacin del riesgo - confianza; la misma que inicia con la
siguiente frmula definida en el Manual General de Auditora (CGE, 2003).
CT 100
CP = (3.1)
PT
GRADO DE
CALIFICACIN PORCENTUAL NIVEL DE RIESGO COLORES
CONFIANZA
15 50 BAJO ALTO ROJO
122
= (3.2)
2 ( 2 1)
Dnde:
k=Nmeros de preguntas
= (3.3)
Dnde:
T= Factor de comparacin
la ESPAM MFL.
Sistema de biometra y llaves, sin embargo la
El Data Center cuenta con mecanismos de
6 X 10 5 puerta slo est cerrada con seguro en su
acceso de seguridad?
ausencia.
Administrador, el Director de Carrera y la
Est definido quienes son las personas
7 X 10 10 persona que realiza limpieza.
autorizadas para el acceso al Data Center?
Existe un sistema de bloqueo de cuentas por el Para el acceso a la red, con tres intentos
18 X 10 5 fallidos y se bloquea a nivel de navegador,
intento de acceso con claves errneas?
no existe bloqueo en el servidor.
Estn restringidos los horarios de conexin de
19 X 10 0
los usuarios y las usuarias?
CALIFICACIN GRADO DE
NIVEL DE RIESGO
PORCENTUAL CONFIANZA
15 50 BAJO ALTO
51 75 MODERADO MODERADO 62,50%
76 - 95 ALTO BAJO %
Se ha fijado rutas de
salidas pero no todas estn
9 Existen rutas de salida y emergencia? X 10 5
sealizadas, ni luces
emergentes.
Se restringe el acceso de
personas no autorizadas a
11 Existen controles de acceso en la Carrea? X 10 5 los laboratorios oficinas, a
la edificacin no se
controla.
59
Plano de la carrera, no se
ajusta a normas de
La ubicacin del centro de datos ha sido seguridad puesto que
12 X 10 5
estudiada y documentada? existen ventanas en el
rea, dispensadores de
agua.
Registro de las
autenticaciones en el
Existe un registro de todos los accesos a las
14 X 10 5 biomtrico, los estudiantes
salas de equipos informticos de la carrera?
son supervisados por los
docentes.
Existe un sistema de control biomtrico a las
15 X 10 10 Respaldo de llaves.
reas de la carrera?
Documentado en actas
Existe un control de entrada y salida de los entrega recepcin, para
19 X 10 10
recursos tecnolgicos de la carrera? mantenimiento mediante
oficio.
TOTALES 23 9
CALIFICACIN GRADO DE
NIVEL DE RIESGO
PORCENTUAL CONFIANZA
15 50 BAJO ALTO
51 75 MODERADO MODERADO 56,25%
76 - 95 ALTO BAJO
TOTALES 11 3
140
PONDERACIN TOTAL (PT)
CALIFICACIN GRADO DE
NIVEL DE RIESGO
PORCENTUAL CONFIANZA
15 50 15 50 15 50
51 75 51 75 51 75 67,85
76 - 95 76 - 95 76 - 95 %
TOTALES 9 8
CALIFICACIN GRADO DE
NIVEL DE RIESGO
PORCENTUAL CONFIANZA
76 - 95 ALTO BAJO
CALIFICACIN GRADO DE
NIVEL DE RIESGO
PORCENTUAL CONFIANZA
76 - 95 ALTO BAJO
MATRIZ DE RIESGO-CONFIANZA
Gestin Desarrollo
Data Center Activos Tangibles Activos Intangibles Mantenimiento
de Software
Riesgo Confianza Riesgo Confianza Riesgo Confianza Riesgo Confianza Riesgo Confianza
37,50% 62,50% 43,75% 56,25% 32,15% 67,85% 55,89% 44,11% 50% 50%
Fuente: Cuestionarios de Control Interno
RIESGO - CONFIANZA
80%
70%
62,50% 67,85%
60% 55,89%
56,25%
50% 50% 50%
43,75%
44,11%
40% 37,50%
32,15%
30%
20%
10%
0%
Riesgo Confianza Riesgo Confianza Riesgo Confianza Riesgo Confianza Riesgo Confianza
Data Center Activos Tangibles Activos Intangibles Mantenimiento Gestin Desarrollo
de Softwae
Existencia de Polticas de
1 4 4 3 4 15 5 25
Seguridad documentadas.
Existencia de mecanismos de
2 2 1 2 2 7 -3 9
acceso fsico al rea.
Existencia de registro de entrada y
3 3 3 4 3 13 3 9
salida de recursos tecnolgicos.
Existencia documentada de las
4 funciones y responsabilidades en 1 2 1 1 5 -5 25
las reas.
40 68
Fuente: Cuestionario de Control Interno
122
=
2 ( 2 1)
79
=
=
= 15 10 40
=
=5 4
Para la primera pregunta, y as hasta culminar.
= 10
Remplazo de la frmula
122
= 2
4( 2 1)
12(68)
=
42 4(42 1)
= 0,85
HOJA DE HALLAZGO N 01
CONCLUSIN
RECOMENDACIONES
A LA DIRECCIN DE CARRERA
ASPECTOS A CONSIDERAR
ASPECTOS A CONSIDERAR
HOJA DE HALLAZGO N 02
CONCLUSIN
RECOMENDACIONES
A LA DIRECCIN DE CARRERA
2. Anlisis de Impacto
3. Estrategia de Recuperacin
HOJA DE HALLAZGO N 03
CONCLUSIN
RECOMENDACIONES
A LA DIRECCIN DE CARRERA
El costo de una auditora vara en funcin del volumen del trabajo que tenga
que realizar el auditor y lgicamente, de sus habilidades y experiencia. Realizar
auditoras informticas de forma peridica es importante para toda organizacin
que aprecie el gasto que puede ocasionar el uso indebido de los recursos; pero
an lo es ms importante para aquellas que cuidan el riesgo legal que puede
motivar una conducta inapropiada de sus empleados en el uso de los sistemas
informticos, teniendo en cuenta que las entidades del sector pblico estn
bajo control y supervisin de la Contralora General del Estado.
4.2. DISCUSIN
Las autoras del presente trabajo concuerdan con los dems autores en la
aplicacin de la Normativa legal vigente en el pas, que permite evaluar el
control interno en el uso de los recursos tecnolgicos de las entidades
auditadas, cuya metodologa sirve de referente para posteriores evaluaciones
proporcionando seguridad en la ejecucin de los procesos de la entidad. Sin
embargo para mayor confiabilidad de datos se realiz un mtodo estadstico no
paramtrico, el Coeficiente de Concordancia de Kendall, para determinar el
nivel de concordancia entre las respuestas que dieron las personas a las que
se les aplic el cuestionario.
CAPTULO V. CONCLUSIONES Y RECOMENDACIONES
5.1. CONCLUSIONES
5.2. RECOMENDACIONES
Acuerdo N 039 CG. 2009. Normas de Control Interno para las entidades,
organismos del sector pblico y personas jurdica de derecho privado que
dispongan de recursos pblicos. San Francisco de Quito, EC. 16 de nov.
Day, K. 2003. Inside the security mind. Revista digital zing@. Publicacin n 34,
Vol 4.
Innovation Group S.L. s.f. Control Interno. (En lnea). ES. Consultado, 28 de
nov. 2013. Formato HTML. Disponible en
http://auditoriasistemas.com/auditoria-informatica/control-interno/
Ley N 73. 2002. Ley Orgnica de la Contralora General del Estado, publicada
en el Registro Oficial nmero 595. San Francisco de Quito, EC. 12 de
junio.
Ramos, M. 2002. La seguridad de los datos. Madrid, ES. Revista Ingenlum. Vol.
28. P. 6.
Ruiz, T. 2012. Utilizacin del Mtodo de los expertos (Delfos) para la validacin
de una estrategia pedaggica. rbita Cientfica. Vol, 18. N 69. p. 1-12.
CARTA DE AUTORIZACIN
ANEXO 2
PLAN DE AUDITORA
CARRERA DE INFORMTICA DE LA ESPAM MFL
PLAN DE AUDITORA
DOCUMENTOS A b) Seguridad
SOLICITAR:
Solicitar las polticas de respaldo interno.
Seguridad en los ambientes de los sistemas de
control en la base de datos.
Inventario y ubicacin de los extintores e
extinguidores, detectores de humos, adecuacin
de instalaciones.
Accesos lgicos y fsicos en el centro de cmputo,
as como en su ambiente computacional y redes.
Objetivos
PROCEDIMIENTOS:
Durante el proceso de
planificacin, se presta
3 adecuada atencin al plan X
estratgico de la empresa?
Existe un comit de
5 X
informtica?
Existen estndares de
funcionamiento y
procedimientos que gobiernen la
actividad del rea de
6 X
informtica por un lado y sus
relaciones con los
departamentos usuarios por
otro?
Existen estndares de
funcionamiento y procedimientos
7 X
y descripciones de puestos de
trabajo adecuados y
actualizados?
Los estndares y
procedimientos existentes
8 promueven una filosofa X
adecuada de control?
No estn
documentados, se
Existen procedimientos para la
11 X enva oficio a
adquisicin de bienes y Rectorado, para el
servicios? plan operativo.
TOTAL 5 7 4
1. ANTECEDENTES
2. MOTIVO DE LA AUDITORA
3. OBJETIVOS DE LA AUDITORA
5. CONOCIMIENTO DE LA ENTIDAD
DIRECCIN DE
CARRERA
CICEM SECRETARA
UNIDAD DE PRODUCCIN DE
SOFTWARE
ESTUDIANTES
NMINA DE DOCENTES
1. Q.F. Ana Aveiga Ortiz
5.6.1. Misin.
5.6.2. Visin
La edificacin de la carrera, posee tres plantas en la baja est compuesta por tres
laboratorios: el de electrnica, los cubculos de docentes de tiempo completo, la sala de
docentes a medio tiempo, la sala de coordinadores de ao, el auditorio de la carrera, el
Centro de Datos que almacena la informacin de toda la universidad.
Atribuciones y responsabilidades:
N Recursos de la carrera
AULAS Y LABORATORIOS
76 Computadoras de escritorio
10 Proyectores
10 Amplificadores
10 Sensores de humo
13 Cmaras
33 Puntos de conexin a red
ELABORADO
N REFERENCIA
POR:
OBJETIVOS:
PROCEDIMIENTOS
Los componentes seleccionados para esta evaluacin corresponde a: Seguridad del Data
Center, Proteccin de los Activos Tangibles, Proteccin de los Activos Intangibles,
Gestin de Mantenimiento de Hardware y Software, y Gestin de Desarrollo de
Software, los cuales tiene como objetivo: Identificar las medidas de seguridad aplicadas
respecto a cada componente, es decir:
MATRIZ DE RIESGO-CONFIANZA
Gestin Desarrollo
Data Center Activos Tangibles Activos Intangibles Mantenimiento
de Software
Riesgo Confianza Riesgo Confianza Riesgo Confianza Riesgo Confianza Riesgo Confianza
37,50% 62,50% 43,75% 56,25% 32,15% 67,85% 55,89% 44,11% 50% 50%
RIESGO - CONFIANZA
80%
70% 62,50% 67,85%
60% 56,25% 55,89%
50% 50% 50%
43,75% 44,11%
40% 37,50%
32,15%
30%
20%
10%
0%
Riesgo Confianza Riesgo Confianza Riesgo Confianza Riesgo Confianza Riesgo Confianza
Data Center Activos Tangibles Activos Intangibles Mantenimiento Gestin Desarrollo
de Softwae
Es as, que se evidencia que el sector con mayor nivel de confianza es la proteccin de
los Activos Intangibles con una confianza de 67,85 y el componente con menor nivel de
confianza es la gestin de mantenimiento con 44,11%.
CALIFICACIN GRADO DE
COMPONENTE NIVEL DE RIESGO
PORCENTUAL CONFIANZA
Seguridad del Data Center
62, 50% MODERADO MODERADO
Proteccin de Activo Intangibles 56,25% MODERADO MODERADO
Proteccin de Activos Tangibles 67,85% MODERADO MODERADO
Gestin de Mantenimiento de
44,11% BAJO ALTO
Hardware y Software
Desarrollo de Software
50% BAJO ALTO
Administracin
tem Director de Asistencia Coordinad
Preguntas de Data center y aij A
K Carrera
Redes
de TIC or de UPS
1 Existencia de Polticas de 4 4 3 4 15 5 25
Seguridad documentadas.
2 Existencia de mecanismos de 2 1 2 2 7 -3 9
acceso fsico al rea.
3 Existencia de registro de 3 3 4 3 13 3 9
entrada y salida de recursos
tecnolgicos.
4 Existencia documentada de 1 2 1 1 5 -5 25
las funciones y
responsabilidades en las
reas.
40 68
Cuadro 4.13. Remplazo de frmulas para Coeficiente de Concordancia de Kendall.
Determinar valor de A:
Determinar el valor de T:
=
=
= 15 10 40
=
=5 4
Para la primera pregunta, y as hasta culminar.
= 10
Remplazo de la frmula
122
= 2
4( 2 1)
12(68)
=
42 4(42 1)
= 0,85
6. PROGRAMA DE AUDITORIA
Anlisis de informacin 20
Y recomendaciones 15
90
8. RECURSOS A UTILIZARSE
8.1 MATERIALES
Cantidad Detalle
2 Computadora
2 Resma de papel A4
1 Tinta para la impresora
5 Cuaderno de notas
5 3 esferos negros y 2 esferos azules
5 Lpiz mecnicos
5 Borrador
5 Carpeta
5 Resaltado
5 Corrector
8.2 FINANCIEROS
NOMBRES Y TIEMPO/
SUBSISTENCIA MOVILIZACIN TOTAL
APELLIDOS DAS
Vernica Espinoza 90 $ 100,00 $ 80,00 $ 180
Amarilis Loor 90 $ 100,00 $ 80,00 $ 180
1 TOTAL $ 200,00 $ 160,00 $ 360
HECHO
N OBJETIVO REFERENCIA
POR
PRUEBAS DE CUMPLIMIENTO
HECHO POR
N OBJETIVOS: REFERENCIA
PRUEBAS DE CUMPLIMIENTO
HECHO
N OBJETIVOS: REFERENCIA
POR
PRUEBAS DE CUMPLIMIENTO
HECHO
OBJETIVOS: REFERENCIA
N POR
Identificar las medidas de
seguridad implantadas para la
seguridad en el mantenimiento de
hardware y software.
PRUEBAS DE CUMPLIMIENTO
PRUEBAS DE CUMPLIMIENTO
De mi consideracin:
Atentamente,
Vernica Espinoza Castillo Amarilis Loor Prraga
CAPTULO I
INFORMACIN INTRODUCTORIA
MOTIVO DE LA AUDITORA
OBJETIVOS DE LA AUDITORA
BASE LEGAL
DISPOSICIONES LEGALES
DIRECCIN DE
CARRERA
CICEM SECRETARA
UNIDAD DE
PRODUCCIN DE
SOFTWARE
DOCENTES EMPLEADOS
CORDINADORES
DE AO
ESTUDIANTES
Elaborado por: Las autoras
CAPTULO II
MATRIZ DE RIESGO-CONFIANZA
Gestin Desarrollo
Data Center Activos Tangibles Activos Intangibles Mantenimiento
de Software
Riesgo Confianza Riesgo Confianza Riesgo Confianza Riesgo Confianza Riesgo Confianza
37,50% 62,50% 43,75% 56,25% 32,15% 67,85% 55,89% 44,11% 50% 50%
RIESGO - CONFIANZA
80%
70% 62,50% 67,85%
60% 56,25% 55,89%
50% 50%
50% 43,75% 44,11%
40% 37,50% 32,15%
30%
20%
10%
0%
Riesgo Confianza Riesgo Confianza Riesgo Confianza Riesgo Confianza Riesgo Confianza
Data Center Activos Tangibles Activos Intangibles Mantenimiento Gestin Desarrollo
de Softwae
Es as, que se evidencia que el sector con mayor nivel de confianza es la proteccin de
los Activos Intangibles con una confianza de 67,85 y el componente con menor nivel de
confianza es la gestin de mantenimiento con 44,11%.
Administracin
tem Director de Asistencia Coordinad
Preguntas de Data center y aij A
K Carrera
Redes
de TIC or de UPS
1 Existencia de Polticas de 4 4 3 4 15 5 25
Seguridad documentadas.
2 Existencia de mecanismos de 2 1 2 2 7 -3 9
acceso fsico al rea.
3 Existencia de registro de 3 3 4 3 13 3 9
entrada y salida de recursos
tecnolgicos.
4 Existencia documentada de 1 2 1 1 5 -5 25
las funciones y
responsabilidades en las
reas.
40 68
Cuadro 5. Remplazo de frmulas para Coeficiente de Concordancia de Kendall.
Determinar valor de A:
Determinar el valor de T:
=
=
= 15 10 40
=
=5 4
Para la primera pregunta, y as hasta culminar.
= 10
Remplazo de la frmula
122
=
2 4( 2 1)
12(68)
=
42 4(42 1)
= 0,85
CAPTULO III
HALLAZGOS Y RECOMENDACIONES
DETECCIN DE HALLAZGOS
REA RESPONSABLE ORIGEN
Carrera Informtica Director de Carrera AUDITORA TECNOLGICA
2 BASE LEGAL: Norma de Control Interno 410 titulada Tecnologa de la Informacin, referente a la 410-04 Polticas y procedimientos.
Verificar la existencia de polticas o procedimientos legalmente aprobados y documentados, que permitan regular las actividades de
PROCEDIMIENTO
seguridad, acceso y/o control interno.
De acuerdo a la evaluacin de control interno, se comprob que la Carrera Informtica no cuenta con polticas, procedimientos o planes
CONDICIN legalmente constituidos, que le permitan asegurar la continuidad de sus operaciones ante cualquier vulnerabilidad, basado en el
establecimiento de medidas preventivas.
Segn la de Norma de Control Interno 410: La mxima autoridad de la entidad aprobar las polticas y procedimientos que permitan organizar
CRITERIO
apropiadamente el rea de tecnologa de informacin y asignar el talento humano calificado e infraestructura tecnolgica necesaria.
Las autoridades no han desarrollado las oportunas gestiones para dar cumplimiento en la documentacin de las normativas vigentes respecto
CAUSA
a la seguridad en la Carrera de Informtica.
La ausencia de poltica de seguridad aprobada legalmente, evidencia el uso inadecuado de los recursos de tecnologa de informacin por
parte de los usuarios, exponindolos a riesgos que incluyen desde ataques de virus a los servicios y sistemas de redes, ingresos no
EFECTO
autorizados a la red, hasta la sustraccin de los equipos limitando inversiones futuras en mejora de los mismos, sometindolos a constantes
peligros e incumplimiento de normativas legales.
CONCLUSIN
La aplicacin de una poltica de seguridad documentada legalmente, proporcionar directrices a las autoridades en cuanto a la salvaguarda y prevencin contra
amenazas de los recursos tecnolgicos y de la informacin disponible en la Carrera Informtica, para proporcionar soporte significativo y relativo a la seguridad, de
acuerdo a las leyes o normativas vigentes en el pas, por lo que las autoridades deben asumir compromisos para aprobar y documentar los procedimientos.
RECOMENDACIONES PARA EL PROCESO DE MEJORA ESTAMENTO: DIRECCIN DE CARRERA
ELABORACIN DE
POLTICA DE SEGURIDAD EN LA CARRERA DE INFORMTICA
NORMATIVA
Todos los recursos tecnolgicos y la informacin fsica o electrnica que exista en la Carrera Informtica, definiendo la ubicacin, acceso,
QU PROTEGER?
registro de mantenimiento preventivo o correctivo, fuera o dentro de la entidad.
De amenazas originadas por el ingreso no autorizado a la red usando contraseas ajenas, ingreso a las reas de personas no autorizadas o
DE QU?
que no hayan sido registradas, robo, incendios, inundaciones, salida de informacin no autorizada.
Las personas que utilizan los recursos tecnolgicos, directamente como el director, asistentes, secretaria, docentes, estudiantes de la Carrera
Informtica, entre otros. Indirectamente o terceras partes como, proveedores de servicios, docentes y estudiantes de otras coordinaciones,
RESPONSABLES
asumiendo todos roles y responsabilidades en la utilizacin del equipo en el uso exclusivo para propsitos legtimos de la entidad. Adems los
encargados de la asignacin de autorizacin, y los custodios de llaves.
DETECCIN DE HALLAZGOS
REA RESPONSABLE ORIGEN
Carrera Informtica Director de Carrera AUDITORA TECNOLGICA
Norma de Control Interno 410 titulada Tecnologa de la Informacin, referente a 410-10 Seguridad de Tecnologa de Informacin, y
3 BASE LEGAL:
410-11 Plan de Contingencias.
Comprobar la existencia de un Plan de Continuidad que proteja sus procedimientos crticos contra los efectos de fallas importantes en los
PROCEDIMIENTO
sistemas de informacin o contra desastres.
De acuerdo a la evaluacin de control interno, se comprob que la Carrera Informtica no cuenta con polticas, procedimientos o planes
CONDICIN legalmente constituidos, que le permitan asegurar la continuidad de sus operaciones ante cualquier vulnerabilidad, basado en el
establecimiento de medidas preventivas.
Segn la de Norma de Control Interno 410: La mxima autoridad, establecer mecanismos que protejan y salvaguarden contra prdidas y
CRITERIO
fugas los medios fsicos y la informacin que se procesa mediante sistemas informticos.
Las autoridades no han garantizado que todos los procedimientos de seguridad dentro de sus reas de responsabilidad se llevan a cabo bajo
CAUSA
el cumplimiento de Normas de Control.
Al no contar con la implementacin de planes para la continuidad de las operaciones, la Carrera Informtica, puede ser vctima de posibles
incidentes, una cada de la luz elctrica, una inundacin, un incendio o un robo han de considerarse amenazas reales que deben ser tratadas
EFECTO
de forma preventiva para evitar, en caso de que stas sucedan, que las prdidas no sean tan graves y que afecten a la viabilidad de sus
actividades.
CONCLUSIN
La Carrera Informtica no cuenta con un Plan de Continuidad, que le permita seguir ante las posibles amenazas a las que est expuesta, lo que puede conllevar
desde una prdida importante de las prestaciones de servicios hasta un desastre natural, sin embargo, ante esta situacin es imprescindible estar preparados con
procedimientos, polticas y planes que mitiguen los riesgos. Por lo tanto, resulta necesario implementar un plan de continuidad del negocio que permita tener una
respuesta efectiva a las interrupciones de las operaciones y cumplir con las disposiciones legales.
RECOMENDACIONES PARA EL PROCESO DE MEJORA ESTAMENTO: DIRECCIN DE CARRERA
ELABORACIN DE
PLAN DE CONTINUIDAD DE OPERACIONES EN LA CARRERA INFORMTICA
NORMATIVA
El plan establecer, organizar y documentar los riesgos, responsabilidades, polticas, procedimientos y acuerdos, as mismo, proporcionar
ASPECTO
un enfoque organizado y consolidado para dirigir actividades de respuesta y recuperacin ante cualquier incidente o interrupcin de
GENERAL
operaciones imprevista, evitando confusin y reduciendo la situacin de tensin.
a) Creacin de una poltica de continuidad de operaciones, b) Anlisis del impacto, c) Estrategia de recuperacin, c) Desarrollo del Plan
LINEAMIENTOS de Continuidad de Operaciones, y d) Pruebas y mantenimiento.
DETECCIN DE HALLAZGOS
REA RESPONSABLE ORIGEN
Carrera Informtica Director de Carrera AUDITORA TECNOLGICA
Norma de Control Interno 410 titulada Tecnologa de la Informacin, referente a 410-10 Mantenimiento y control de la infraestructura
4 BASE LEGAL:
tecnolgica.
PROCEDIMIENTO Verificar si existen registros de mantenimiento a los recursos tecnolgicos de la Carrera Informtica.
Conforme a la evaluacin de control interno, se detect que la Carrera Informtica no cuenta registros documentados del mantenimiento de
CONDICIN
recursos tecnolgicos.
Segn la de Norma de Control Interno 410: La unidad de tecnologa de informacin de cada organizacin definir y regular los
CRITERIO
procedimientos que garanticen el mantenimiento y uso adecuado de la infraestructura tecnolgica de las entidades.
El departamento de Soporte Tcnico brinda mantenimiento a los recursos tecnolgicos de la ESPAM MFL en general, por ende no existen
CAUSA medidas establecidas que determinen las condiciones (Lugar, calendario, horario) en que debe llevarse el mantenimiento a los equipos y
sistemas de la Carrera Informtica, lo que genera inconvenientes a la hora de mejorar el desempeo y buen uso de los recursos tecnolgicos.
En consecuencia el no contar con medidas establecidas para el mantenimiento de los recursos tecnolgicos, estos se ven afectados,
EFECTO
provocando fallos en su rendimiento.
CONCLUSIN
La Carrera Informtica no cuenta con programas que garanticen el apropiado mantenimiento de sus recursos tecnolgicos, razn por la cual estos son propensos a
sufrir daos. Sin embargo, para el cumplimiento de los objetivos de la Carrera Informtica, se requiere de una actividad programada de inspecciones, tanto de
funcionamiento como de seguridad, ajustes, reparaciones, anlisis, desempeo, que deben llevarse a cabo en forma peridica en base a un plan establecido. El
propsito es prever averas o corregirlas para mantener las instalaciones, equipos y sistemas en niveles ptimos de operacin.
RECOMENDACIONES PARA EL PROCESO DE MEJORA ESTAMENTO: DIRECCIN DE CARRERA
ELABORACIN DE
PLAN DE MANTENIMIENTO A LOS RECURSOS TECNOLGICOS EN LA CARRERA INFORMTICA
NORMATIVA
ASPECTO Realizar una planificacin vinculada con el Departamento de Mantenimiento y Soporte Tcnico de la ESPAM MFL, con la finalidad de
GENERAL mantener la infraestructura y equipos de la Carrera Informtica en condiciones ptimas, y as cumplir con los objetivos institucionales.
Establecer polticas orientadas a brindar mantenimiento a los recursos tecnolgicos.
Elaborar inventarios actualizados de los recursos tecnolgicos que posee la Carrera Informtica, con la finalidad de facilitar las tareas de
mantenimiento.
LINEAMIENTOS Determinar la necesidad de mantenimiento mediante la elaboracin de una solicitud.
Elaborar un Programa de Mantenimiento con base a las lista de verificaciones, y atendiendo a las solicitudes recibidas.
Elaborar y presentar los informes peridicos de las actividades realizadas, con el propsito de obtener un registro de los recursos a los
cuales se les proporciono mantenimiento y soporte tcnico.
ANEXO 10
SOLICITUD DE INFORMACIN
Solicitud de informacin con el Director de la Carrera Informtica