Sistemas
Prdidas financieras y
Servicios no acorde a la especficos:
Objetivos Sobrevaluacin en la
de reputacin debido a
necesidad de la contratacin de
la interrupcin en los
empresa servicios
servicios de terceos.
Imposibilidad de Filtracin de
realizar reclamos informacin sensible
debido a la ausencia de originado por servicios
contratos formales de terceros
CONTROLES ISO 27000
CONTROLES ISO 27000
CONTROLES COBIT 5
CONTROLES COBIT 5
CONTROLES COBIT 5
CONTROLES COBIT 5
CONTROLES COBIT 5
CONTROLES COBIT 5
CASO
Para el proceso de desarrollo de nuevas aplicaciones y para la ejecucin de cambios en las aplicaciones actuales, la gerencia de sistemas
utiliza eventualmente servicios de outsourcing de empresas ubicadas en Colombia, Chile y Per. Actualmente son 4 empresas (EP1, EP2,
EP3 y EP4) las que participan en diversos proyectos de desarrollo de aplicaciones.
Durante el primer semestre, la gerencia de operaciones inform a la gerencia de sistemas su malestar por las siguientes situaciones:
Los desarrollos son entregados fuera de fecha Objetivos especficos:
Los desarrollos entregados presentan una alta tasa de errores una vez instalados en las cajas de venta de la compaa
La Gerencia de Auditora inici trabajos de revisin y durante su entendimiento identific las siguientes actividades:
La contratacin de servicios o compra de bienes se realiza con la aprobacin de la Jefatura hasta por montos de USD 50 000 y con la
aprobacin de la Gerencia de Sistemas hasta USD$ 100 000 y para montos superiores con la aprobacin de la Gerencia General.
La Gerencia de Sistemas contrata proveedores previa licitacin y con la presentacin de por lo menos 3 proformas de proveedores
distintos a fin de elegir la mejor oferta. Los contratos son de 1 ao de soporte.
Los proveedores mantienen contratos formales con la compaa, o en su defecto existe una orden de servicio que sustenta el servicio
otorgado.
El pago a los proveedores es realizado por personal de Finanzas y requiere de la aprobacin de la Gerencia de Sistemas para su
ejecucin.
Los contratos con los proveedores no definen clusulas de confidencial, SLA y penalidades por incumplimiento. Por lo tanto
actividades de monitoreo no son realizadas.
Los proveedores no estn clasificados segn su nivel de riesgo en los servicios de sistemas.
Para el proceso de desarrollo de nuevas aplicaciones y para la ejecucin de cambios en las aplicaciones actuales, la gerencia de
sistemas utiliza eventualmente servicios de outsourcing de empresas ubicadas en Colombia, Chile y Per. Actualmente son 4 empresas
(EP1, EP2, EP3 y EP4) las que participan en diversos proyectos de desarrollo de aplicaciones.
Durante el primer semestre, la gerencia de operaciones inform a la gerencia de sistemas su malestar por las siguientes situaciones:
Los desarrollos son entregados fuera de fecha Objetivos especficos:
Los desarrollos entregados presentan una alta tasa de errores una vez instalados en las cajas de venta de la compaa
La Gerencia de Auditora inici trabajos de revisin y durante su entendimiento identific las siguientes actividades:
La contratacin de servicios o compra de bienes se realiza con la aprobacin de la Jefatura hasta por montos de USD 50 000 y con
la aprobacin de la Gerencia de Sistemas hasta USD$ 100 000 y para montos superiores con la aprobacin de la Gerencia General.
La Gerencia de Sistemas contrata proveedores previa licitacin y con la presentacin de por lo menos 3 proformas de proveedores
distintos a fin de elegir la mejor oferta. Los contratos son de 1 ao de soporte.
Slo algunos proveedores mantienen contratos formales con la compaa, o en su defecto existe una orden de servicio que
sustenta el servicio otorgado.
El pago a los proveedores es realizado por personal de Finanzas y requiere de la aprobacin de la Gerencia de Sistemas para su
ejecucin.
Los contratos con los proveedores no definen clusulas de confidencial, SLA y penalidades por incumplimiento.
Los proveedores no estn clasificados segn su nivel de riesgo en los servicios de sistemas.
Sitios alternos de trabajo Procedimientos manuales, Cadena de backup del Proveedores alternativos, Sitios alternos, personal
(en Rimac o fuera de activacin de aplicaciones personal clave, en las contingencias previstas backup, proveedores
Rimac) en contingencia reas de negocio y fuera por el proveedor, u alternos, y/o centro de
de ellas operacin in-house cmputo alterno.
RIESGOS DEL PROCESO
Del proceso de revisin de los controles declarados por el negocio como implementados se tiene:
1. Las cintas de respaldo, referidas a 2 de las 5 aplicaciones crticas, eran almacenados en el mismo edificio de la compaa lo cual motivo que
se perdieran durante el incendio. El resto de las cintas eran almacenadas en un proveedor externo llamado IRON a 10 km de distancia de la
sede.
2. De las 3 aplicaciones crticas respaldadas, se tuvieron cintas que no funcionaban correctamente. De la consulta realizada al administrador de
red, se tiene que no se realiza pruebas de recuperacin ni se validaba el tiempo de vida mximo de las cintas por lo que muchas de ellas
fallaron por exceder este tiempo.
3. Las cintas respaldo almacenan informacin encriptada lo que asegura su ilegibilidad en caso de robo.