AUDITORA A LA DIRECCIN DE TECNOLOGA DE

INFOMACIN Y COMUNICACIN DE LA ARAMADA

DEL ECUADOR

INFORME DE LOS AUDITORES INDEPENDIENTES

AL 31 DE DICIEMBRE DEL 2016

 CONSULTORES Y AUDITORES " VGB ADITORES S.A"

INFORME EJECUTIVO

Nuestra Auditoria Informtica se realiz del 5 de Junio al 14 de Julio del 2017 con el fin de
informar sobre los resultados obtenidos en la auditoria a la Unidad de Tecnologas de la
Informacin de la Armada del Ecuador usando la metodologa COSO III y COBIT 5, dichas
metodologas permiten determinar mecanismos y pasos para detectar vulnerabilidades y
problemas de dicho departamento, nuestro objetivo es minimizar los riesgos resultantes de
lo descrito anteriormente mediante la emisin de recomendaciones que es
Responsabilidad de la Direccin y la Unidad de Tecnologas de la Informacin de
implementarlas, se evalu la institucin con el uso de tcnicas y procedimientos como es
la conversacin y observacin directa y cuestionarios donde mediante COSO III se
estableci el riesgo y dentro de COBIT 5 se seleccionaron 3 dominios con 3 procesos
crticos de los 37 procesos existentes para analizar en la Armada del Ecuador.

Los problemas que inciden dentro de la Armada del Ecuador se relacionan con la falta de
controles peridicos de seguridad de la informacin general y confidencial, as tambin en
el bajo control de designaciones formales de responsabilidades de la seguridad informtica
dentro departamento de sistemas.

Ing. Mara Jos Villamarin

Gerente General
CONSULTORES Y AUDITORES " VGB ADITORES S.A.

CARTA DE ENTREGA DEL INFORME

Quito, 14 de Julio del 2017

Seor Contralmirante
Renn Ruz Cornejo
COMANDANTE GENERAL DE LA ARMADA DEL ECUADOR
Quito

De mi consideracin:

CONSULTORES Y AUDITORES "VGB ADITORES S.A GESTION AUDITORES" S.A. en uso de sus
atribuciones legales y constitucionales efectu un examen especial a los procesos de TI
mediante la informacin proporcionada por el ARMADA DEL ECUADOR por el perodo
comprendido entre el 1 de enero al 31 de diciembre del dos mil diecisis.

Nuestra accin de evaluacin se efectu de acuerdo a la metodologa de COBIT 5. La

misma que requiere que el examen sea planificado y ejecutado para obtener certeza
razonable de que la informacin y la documentacin examinada no contienen exposiciones
errneas de carcter significativo, igualmente que las operaciones a las cuales
corresponden, se hayan ejecutado de conformidad con las disposiciones legales y
reglamentarias vigentes, polticas y dems normas aplicables.

Debido a la naturaleza de la accin de control efectuado, los resultados se encuentran

expresados en los comentarios, conclusiones y recomendaciones que constan en el
presente informe.

Atentamente,

Ing. Mara Jos Villamarin

Gerente General VGB ADITORES S.A
 CONSULTORES Y AUDITORES " GESTION AUDITORES" S.A.
INFORME DE AUDITORA A LA ARMADA DEL ECUDOR

En cumplimiento de las funciones de CONSULTORES Y AUDITORES ''GESTION

AUDITORES'' S.A, se llev a cabo el respectivo seguimiento y evaluacin del
departamento de tecnologa de la Armada del Ecuador.

ALCANCE

Mediante la realizacin de la auditoria CONSULTORES Y AUDITORES ''GESTION

AUDITORES'' S.A evalu el estado actual del departamento de TI de la Armada del
Ecuador, se identific cada uno de los procesos con su respectivo anlisis, con el fin de
poder dar conocimiento de las conclusiones y recomendaciones para cada uno de ellos
despus de ser evaluados en cada dominio segn la metodologa COBIT 5.

OBJETIVO GENERAL

Revisar y Evaluar mediante metodologa COBIT 5 las tecnologas de la informacin en el

Armada del Ecuador, sus controles, sistemas, procedimientos de informtica; de los
equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan
en el procesamiento de la informacin, a fin de que por medio de esta auditoria se logre
una utilizacin ms eficiente y segura de la informacin que servir para una adecuada
toma de decisiones.

OBJETIVOS ESPECFICOS

Determinar la veracidad de la informacin del rea de Informtica

Evaluar los procedimientos de control de operacin, analizar su estandarizacin y
evaluar el cumplimiento de los mismos.
Evaluar la forma como se administran los dispositivos de almacenamiento bsico
del rea de Informtica
 Evaluar el control que se tiene sobre el mantenimiento y las fallas en los equipos.
Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del
orden dentro del departamento de cmputo.
Verificar la seguridad de personal, datos, hardware, software e instalaciones
Verificar la Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informtico

METODOLOGA:

COBIT 5 es un Marco de referencia de procesos y objetivos de control TI que pueden ser

implementados para controlar, auditar y administrar la organizacin TI. Este Marco de
referencia est basado en las mejores prcticas y sistemas de informacin de auditora y
control.

Lo que se desea mediante el anlisis segn COBIT 5 es ayudar a los lderes

empresariales a entender y administrar los riesgos relacionados con la tecnologa de la
Informacin y la relacin que tiene con los procesos de administracin, las preguntas
tcnicas, la necesidad de controles y los riesgos.

COBIT presenta 5 campos principales de administracin, los cuales a su vez implican 347
procesos de administracin asociados con la tecnologa de la informacin. Cada proceso
TI provee una descripcin de los requerimientos del negocio e identifica los asuntos claves
que deben ser llevados a cabo para administrar exitosamente estos procesos.

Los recursos de TI y los criterios de la informacin requeridos para asegurar el xito son
tambin identificados para cada proceso TI. Para soportar una auto-evaluacin, COBIT
incluye un modelo de madurez para cada proceso TI. Estos modelos de madurez son
similares en sus conceptos bsicos utilizados por otros marcos referenciales, pero as
como los 34 procesos TI de COBIT cubren todos los aspectos de TI, los modelos pueden
ser utilizados para soportar la evaluacin de toda la organizacin TI, en lugar de
especializarse en determinadas reas. Como soporte a la medicin del rendimiento
operacional, factores crticos de xito, indicadores clave de logro de objetivos, e
indicadores clave de rendimiento son identificados en cada proceso.

COBIT brinda un conjunto de herramientas para administrar los procesos TI unificando

los dos puntos de vista, el de la administracin y el del auditor. Las Guas de
Administracin TI consideran los controles TI desde una perspectiva de la administracin,
mientras que las Guas de Auditora proveen asistencia especfica a los auditores en el
diseo de programas adecuados de auditora para cada dominio. COBIT tambin provee
herramientas detalladas y personalizables de auto evaluacin en forma de matrices y
plantillas para asistir en la evaluacin y medicin de la organizacin comparada con los
criterios de COBIT.

Por lo tanto, COBIT, es una herramienta desarrollada para ayudar a los administradores
de negocios a entender y administrar los riesgos asociados con la implementacin de
nuevas tecnologas y demostrar a las entidades reguladoras e inversionistas, que tan
efectiva es su tarea.
Se ha definido a COBIT como: "Una estructura de relaciones y procesos para direccionar
y controlar la compaa para lograr la consecucin de los objetivos del negocio,
entregando valor agregado mientras se administra el riesgo en funcin del ambiente de
sistemas y sus procesos"

Por esta razn para la Armada del Ecuador se realiz una evaluacin a los procesos
dando como resultado 4 dominios con 4 procesos con mayor riesgo, que se encuentran
clasificados de acuerdo a la metodologa de COBIT 5, uno perteneciente al Gobierno de
TI y 3 procesos que corresponden a la Gestin de TI, y son los siguientes:

BAI08 Gestionar el Conocimiento

DSS03 Gestionar Problemas
DSS04. Gestionar la Continuidad
MEA01 Supervisar, evaluar y valorar el rendimiento y la conformidad

A continuacin damos a conocer los procesos evaluados en cada uno de los dominios,
basndonos en los niveles de madurez los cuales van desde el rango 0 hasta el rango
mximo 5.
 CAPITULO I

DOMINIO: Entrega, Servicio y Soporte

PROCESO: DSS03 GESTIONAR PROBLEMAS

DESCRIPCIN DEL PROCESO:

Identificar y clasificar problemas y sus causas raz y proporcionar resolucin en tiempo

para prevenir incidentes recurrentes. Proporcionar recomendaciones de mejora.

PROPOSITO DEL PROCESO:

Incrementar la disponibilidad, mejorar los niveles de servicio, reducir costes, y mejorar la
continuidad y satisfaccin del cliente reduciendo el nmero de problemas

RESUMEN

Al realizar el score de riesgo mediante COSO III detectamos que existe un riesgo al no
controlar constantemente el uso incorrecto de los sistemas informticos, adicionalmente se
pudo verificar que existe una persona formalmente encargada y autorizada de entregar
claves pero muchas de las veces no es respetado este proceso, as mismo dichas claves
no son estrictamente cambiadas en un periodo de tiempo establecido. Mencionado estos
riesgos se decidi escoger el proceso DSS03 Gestin de Problemas el cual nos permite
identificar y clasificar problemas y sus causas raz y proporcionar resolucin en tiempo
para prevenir incidentes recurrentes, y el Riesgo de negocio relacionados con las TI
gestionados, beneficios y riesgos de las TI, Seguridad de la informacin y la Disponibilidad
de informacin til y relevante para la toma de decisiones.
 Serie 1

04 Riesgo de negocio relacionados con las TI gestionados 63%

07 Entrega de servicios de TI de acuerdo a los requisitos del 90%

negocio.

11 Optimizacin de activos, recursos y capacidades y de TI 88%

14 Disponibilidad de informacin til y relevante para la 70%

toma de decisiones

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Serie 1
 CAPITULO II

Dominio: Supervisin, Evaluacin y Verificacin

Proceso: MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad

Grado de Capacidad del Proceso: Gestionar el Marco de Gestin de TI se encuentra

en el nivel 3 con un 66,76%.

Descripcin del proceso:

Facilitar un enfoque ordenado para garantizar una ptima evaluacin y verificacin del buen
funcionamiento del negocio, donde se pueda analizar todos los riesgos que en un lapso de
tiempo pueden ser riesgos representativos que pueden provocar interrupciones al
negocio.
Donde la comunicacin de las funciones y responsabilidades son factores determinantes
para la organizacin ya que con esto se puede evaluar el desempeo del personal y
verificar si los proceso se cumplen, la cual se puede lograr con el apoyo del Director
competente con el fin de lograr los objetivos establecidos.

Propsito del Proceso:

Garantizar una ptima evaluacin y verificacin del buen funcionamiento del negocio donde
se evala el rendimiento, conformidad y conduccin hacia los objetivos los sistemas de TI,
con la finalidad de mitigar riesgos futuros

Resumen

Al realizar el score de riesgo mediante COSO III, se determin que existe una debilidad
debido a la costumbre en el manejo de los procedimiento que se vuelven tareas y
actividades repetitivas dentro del departamento de TI, adems se determin que los
mtodos de evaluacin y verificacin del rendimiento de TI no se cumplen en los tiempos
determinados en los manuales. Mencionado estos riesgos se procede a seleccionar el
proceso MEA01 Supervisar, Evaluar Y Valorar Rendimiento Y Conformidad en la cual se
muestra el desempeo y soporte de TI acorde al cumplimiento del negocio, Riesgo de
negocio relacionado con la TI y gestionados, Entrega de servicio TI adecuado a los
requisitos del negocio, Optimizacin de activos, recursos y capacidades de TI,
Cumplimiento de las polticas internas por parte de TI.
 90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
04 RIESGO DE 07 ENTREGA DE 11 OPTIMIZACIN DE 15 CUPLIMIENTO DE
NEGOCIO SERVICIO TI DE ACTIVOS, RECURSOS Y LAS POLITICAS
RELACIONADO CON LA ACUEDO A LOS CAPACIDADES DE TI INTERNAS POR PARTE
TI Y GESTIONADOS REQUISITOS DEL DE TI
NEGOCIO

Serie 1

HALLAZGO I

ENTREGA DE SERVICIO TI DE ACUERDO A LOS REQUISITOS DEL NEGOCIO

Condicin:

La planificacin para el mantenimiento de los servidores de TI, no llego al conocimiento

de los usuarios debido al mtodo de comunicacin que se est utilizado.

Criterio:

Para la evaluacin en la entrega de servicios eficientes de TI, se determin a travs de la

mtrica en base al nmero de interrupciones ocasionadas a los servicios de TI durante todo
el periodo auditado.

Causa:

La disposicin vigente para la comunicacin del mantenimiento de los sistemas de TI, no

fue eficaz debido a que no se consider el tiempo oportuno para su transmisin.

Efecto:

Los usuarios debido a que no se tomaron las medidas necesarias para operar en sus
actividades laborales mientras se reestableca los sistemas de TI, ocurrieron interrupciones
en los servicios de los mismos.
Conclusin

En el proceso MAI01 Supervisar, Evaluar y Valorar el Rendimiento y la Conformidad una vez

realizado el examen presenta un promedio en su meta de entrega de servicio TI de acuerdo a los
requisitos del negocio de un 42%, valorados respecto al nmero de interrupciones ocasionadas
por incidentes del servicio de TI.

Recomendacin:

Considerar para el proceso de mantenimiento de los servidores de TI, los tiempos

establecidos en la transmisin de la informacin a todo los usuarios tanto de servicio
Activo como Pasivo de tal manera de mitigar y disminuir el riego de operatividad en el
sistema.

HALLAZGO II

CUMPLIMIENTO DE LAS POLTICAS INTERNAS POR PARTE DE TI

Condicin:

Las polticas establecidas y estandarizadas en el departamento de TI no estn siendo

cumplidas en su totalidad, por lo que existen incidentes debido en los mismos.

Criterio:

Para el cumplimento de las polticas internas por parte de TI, se determin en base al
nmero de incidentes ocurridos por el incumplimiento de polticas establecidas, tomadas
sobre el total de acontecidas en el periodo.

existen prioceneiemotnmd a cabalidas debido a que las personas que

el personal no puede salir mientras

tpdp camnbio de personal a nuevas unidades de mando debe ser con su

respoectivos

pero debido a sius necesidades institucuonaloes netamente inherentes a la

profesin no existen plazas de trbajo uedan cvacnates y las funiciones debesn
cubiertas por cargos o funciones que desemepesan por otros mienreos del
departamento por lo que no alcanzan con la totalidad del despempeo
Causa:

El nmero de incidentes ocurridos en el periodo por incumpliendo de polticas internas por

parte de TI, aumentan como resultado de necesidades netamente institucionales
inherentes a la profesin.

Efecto:

Las polticas internes establecidas por parte de TI, en permanencia en el desempeo de

sus funciones de todo personal se transfiera a nuevas unidades de mando debe ser en
un tiempo estimado de 15 das con sus respectivos pases, por lo que no se considera

CONCLUSIN

En el proceso MAI01 Supervisar, Evaluar y Valorar el Rendimiento y la Conformidad una vez

realizado el examen presenta un promedio en su meta de cumplimiento de politicas internas
entrega de servicio TI de acuerdo a los requisitos del negocio de un 42%, valorados respecto al
nmero de interrupciones ocasionadas por incidentes del servicio de TI.

RECOMENDACIN

Se aconseja que para que el proceso APO13 Gestin de Seguridad alcance por completo
el nivel de madurez se proceda a:

los sistemas de informacin que proveen informacin rpida, oportuna y precisa, que pueden
ser usados al interactuar con los clientes - son un requisito primordial para organizaciones que
aspiren crecer.