proyecto auditoria informatica

AUDITORIA INFORMÁTICA

EMPRESA: CUERPO DE INGENIEROS DEL EJÉRCITO CEE GRUPO DE TRABAJO CIUDAD DE LOJA

Misión Planificar y ejecutar operaciones de Ingeniería Militar en apoyo a Fuerzas Armadas, al desarrollonacional, acción del Estado y cooperación internacional; en forma permanente, para permitircumplir la misión del Ejército, FF.AA. y el Estado

Visión Al 2021, Unidad de Ingeniería Militar, líder a nivel regional en apoyo a las operaciones deseguridad, defensa, desarrollo nacional, misiones de paz, ayuda humanitaria y reconstrucción; conpersonal altamente capacitado y comprometido, tecnología de punta y flexibilidad para enfrentarnuevos escenarios.

Valores Institucionales

» Ética profesional» Honorabilidad» Honestidad» Lealtad» Disciplina» Cohesión

Principios Institucionales

»Calidad»Seguridad y Salud Ocupacional»Protección al medio ambiente»Vocación de servicio»Trabajo en Equipo

Política

El Cuerpo de Ingenieros del Ejército unidad militar de ingeniería, garantiza que: lasatisfacción de las necesidades de sus clientes, la prevención de la contaminación ambientaly la seguridad y salud ocupacional, forman parte del desarrollo de sus actividades, proyectosde construcción y servicios.

Para lo cual se compromete a: Cumplir con los requisitos legales, normas y compromisosque suscriba, aplicables a la gestión de: Calidad, Medio Ambiente y Seguridad y SaludOcupacional en las áreas de influencia de la Matriz. Orientar las actividades a la mejoracontinua del desempeño de sus procesos Lograr que los riesgos para las personas, el medioambiente y la productividad sean tolerables, cumpliendo con la misión y los objetivosinstitucionales, en un marco de desarrollo sostenible. Nuestra Política integrada constituyeun compromiso obligatorio y categórico que deberá ser comunicada a todos los miembrosdel C.E.E. y quienes trabajen en su nombre; estar disponible al público y ser revisadacontinuamente para garantizar su relevancia.

Objetivos

• Mejorar el nivel Tecnológico del CEE.- Realización de Planos - Pagos, Subir facturas al portal- Oficios, ingresar información de personal.- Se guarda información local en los servidores.

• Planificar y Ejecutar Obras y Servicios con Calidad, Seguridad y Protección Ambiental.- Observación de las actividades de la obra- Toma decisiones de la obra- Reparaciones, cambios de aceite, limpieza.- Construcción: mezcladores, excavadoras, cargadores.

• Generar satisfacción en los clientes con obras y servicios de calidad- Producción de cemento- Topografías- Coordinar con los jefes departamentales.- Pedidos de lo que falta en la obra.

• Ampliar nuestro posicionamiento en el mercado- Resolución de conflictos de la obra- llevar el registro diaria de las actividades- monitorear actividades de las máquinas y trabajadores- Controlar el ingreso de mercaderías.

Equipo Función Área a cargo

Carlos Ramírez Auditor Principal Jefe de Grupo

Marco Cueva Especialista en redes Técnica

Jefferson Coronel Analista de Software yHardware

Servidores

• Análisis FODA

• Fortalezas • Debilidades

• Tratamiento personalizado aclientes, orientación yasesoramiento.

• Integración de productos yservicios buscando sinergiasentre ellos.

• Innovación Constante.• Personal debidamente

Capacitado y comprometido conla visión de la Organización.

• Control de Obras. • Realizar grandes proyectos en

el sector privado y público.• Dependencia de los servicios

subcontratados.• Sistema de Información

Integrado (Compras, ventas,Maquinaria y Kárdex).

• Oportunidades • Amenazas

• Valoración positiva de las TI enla Organización.

• Costos cada vez menores paralas Organizaciones para laaplicación de las TI.

• Lealtad de los clientes hacia laOrganización.

• Oferta de obras a menor preciopor parte de la competencia.

• La inestabilidad de contratos porparte del Gobierno.

• Cambios repentinos de losSistemas Informáticos.

• Incremento de la Competencia.

• Organigrama de la Empresa

Jefe de Grupo

Área Técnica Área de

Administración

Area De

Informatica

Ing. Civiles

Arquitectos

Contabilidad

RecursosHumanos

Secretaria

ServidoresRedes

Servicio Tecnico

METODOLOGÍA COBIT

• Área a AuditarLa auditoria realizada por Marcos Cueva, Jefferson Coronel, Carlos Ramírez, sera en el campoinformático de toda la empresa, debido a que toda las áreas de la empresa trabajan con equipo decomputación.

• Reclutamiento de la InformaciónPor medio de la observación realizada se procedió a entrevistas y cuestionario con el jefe de grupo yel personal que esta a cargo de la diferente áreas, y así poder determinar con mas precisión cuelesson los problemas presentados y poder dar una conclusión especifica.

• Documentación de Gestión del Área Informática Actualmente CEE no cuenta con el manual de procedimientos administrativos informáticos, nitampoco cuenta con la documentación requerida las cuales son:

• Mantenimiento de Equipos de Computo• Un Plan de Contingencia• Seguridad de datos y Equipos de Computo

• Plan de la Auditoria en el Área de InformáticaPara el Plan de desarrollo de la Auditoria, se cuenta con el apoyo del Jefe del Grupo GT Provinciade Loja , solicitando la participación de los principales trabajadores de la Compañia y en donde serealizaran las siguientes acciones:

Nro ACTIVIDADES

1 Observación General de las Áreas a Auditar.

2 Entrevistas a los trabajadores de las Áreas a Auditar.

3 Analizar con que documentos de Gestión y Técnicos cuentas.

4 Verificar si que los equipos de los que se cuenta en la actualidad concuerdan con suinventario.

5 Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos.

6 Evaluar las tecnologías de información (TI), tanto en hardware como en software.

7 Evaluación de la seguridad física, lógica y de redes.

➢ Motivo o necesidad de una Auditoria Informática

➢ Síntomas de mala imagen e insatisfacción de los usuarios.➢ Síntomas de debilidad económico financiero.➢ Síntomas de Inseguridad.➢ Síntomas de des-coordinación y des-organización.

➢ Seguridad Informática➢ Seguridad Física:

➢ Establecer un sistema contra incendios y la capacitación adecuada para el manejo de estos.➢ Contar con agentes de seguridad para el resguardo del establecimiento, principalmente en

las noches, debido a la creciente delincuencia.➢ Contar con un espacio adecuado para el alojamiento de los servidores.

➢ Seguridad Legal:

➢ Hacer uso de estándares y metodologías de calidad (IEEE, ISO y otros) al brindar losservicios de redes y diseño de páginas web.

➢ Contar con las licencias de los sistemas operativos (Microsoft) en uso.

➢ Seguridad de Datos:

➢ Realizar periódicamente backups de la base de datos del sistema de información.➢ Procesar los datos más importantes de la Organización en las aplicaciones tecnológicas

(hojas de cálculo, procesadores de texto y otros) y al sistema de información.➢ Restringir al acceso al sistema de información y al servidor para que los datos no sean

adulterada.

➢ CARACTERIZACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN YCOMUNICACIÓN

➢ Hardware:

➢ Software:Linux-CentOS Ver. 5.0Microsoft Windows Seven Ultimate con Service Pack 2MySQL 5.1 ServerApache 6.0FileZilla Server 3.5.2Citrix systems

➢ Paquetes Básicos

➢ CARACTERIZACIÓN DE LA CARGA“CEE” cuenta con 11 computadores que son la siguientes:

1 Servidor de Datos.8 computadores de Escritorio 3 Computadores Portátiles

Para el funcionamiento de los sistemas de información, donde cada trabajador ingrese almismo sistema de información dependiendo de la actividad que desempeñe dentro de laorganización.

Las Actividades que se realizan en la empresa son de lunes a Domingo desde las 5:00 am.Hasta las 18:00, realizando cada departamento sus actividades como: Mantenimiento de Pc,Planos de Ingeniería, Contabilidad, Ingresos y Egreso de Bodega, etc.

➢ DETERMINACIÓN DE PROBLEMAS Y PLANTEAMIENTO DE HIPÓTESISPosibles Problemas

- Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del -personal, equipos e información.

- Falta de una planificación informática.

- Disminución considerable e injustificable del presupuesto del Área de Contabilidad.

- Falta de documentación del sistema de información y del servidor en uso, lo que dificultaefectuar el mantenimiento de estos.

- Organización que no funciona correctamente por la falta de políticas, normas,metodología, asignación de tareas, debidamente establecida por la Jefe de Grupo.

➢ Formulación de Hipótesis

No se cuenta con la seguridad en general de los recursos informáticos y humanos de laOrganización, debido a que no existen políticas de negocio bien definidas, como tambiénuna planificación informática, teniendo como consecuencia problemas económicos y detecnología de información (Hardware y Software).

REALIZACIÓN DE LA AUDITORIA➢ MODELOS DE MADUREZ DE LOS PROCESOS

Se mostrara a continuación una ficha por cada uno de los objetivos haciendo un análisis delos modelos de madurez de COBIT 4.1, para determinar el nivel mínimo que no cumple laOrganización que a su vez califica el nivel en dicho objetivo.

DOMINIO: PALNIFICAR Y ORGANIZARPO1: Definir el Plan Estratégico de Tecnologías de la Información

NIVEL DE MADUREZ OBSERVACIONEScumpleNo

cumple

Nivel0

La planeación estrategia de TIdiscute de forma ocasional en las reuniones de gerencia.

X

Nivel1

Las decisiones estratégicas se tomanProyecto por proyecto, sin ser Consistentes con una estrategia global

X

Nivel2

Nivel4

Las Planeaciones estratégicas de TI sigue un enfoque estructurado, el cualse documenta y se da a conocer

Existen procesos bien definidos para Determinar el uso de recursos internosY externos en el desarrollo.

X

X

GRADO DE MADUREZEl proceso de definir el Plan Estratégicode TI esta en el nivel de Madurez 1.OBJETIVOS NO CUMPLIDOS- No existe un plan estratégico de TI yestrategias d recursos d la organización.- No se realiza planes a largo plazo de TI, haciendo solo actualizaciones debidoa los avances tecnológicos

RECOMENDACIONES: Para el proceso PO1 de COBIT establece los siguientes objetivos de control:

- Planes a largo plazo de TI.- Tomar decisiones estratégicos- Definir los recursos internos y externos necesarios.

Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:

- Evaluar el desempeño actual, es decir realizar una evaluación de los planes existentes, así como de los sistemas de información y su impacto de los objetivos de “CEE” En Largo Plazo: - Crear planes tácticos de TI a futuro, que resulten del plan estratégico de TI, estos planes deben ser bien detallados para poder realizar la definición de planes proyectados.

DOMINIO: PALNIFICAR Y ORGANIZARPO2: Definir la Arquitectura de la Información


cumple

Nivel0

El conocimiento, la experiencia y lasResponsabilidades necesaria para Desarrollar esta arquitectura no existenEn la organización

XNivel

1El jefe de Grupo reconoce la necesidadDe una arquitectura de información

X

Nivel2

Nivel4

EL proceso de definición de la arquitectura de información es proactivoy se enfoca en resolver necesidades guturas del negocio

X

X

GRADO DE MADUREZEl proceso de definir la Arquitectura dela información esta en el nivel de madurez 1.OBJETIVOS NO CUMPLIDOS- Que no se resolvió necesidades futuras del negocio realizando el proceso de la arquitectura de la información- Aprovechar las habilidades personales para la construcción de la arquitectura de la información

RECOMENDACIONES: Para el proceso PO2 de COBIT establece los siguientes objetivos de control:

- Desarrollar y mantener la arquitectura de la información- Tener en claro la definición del proceso de la arquitectura de la información- Ser participe de la construcción de la arquitectura de la información para incrementar sus habilidades.


- Establecer y mantener un modelo de arquitectura de la información para facilitar el desarrollo de De aplicaciones y actividades de soporte a la toma de decisiones, este modelo sera útil para la Creacion, uso y compartimentar optimas de la información vital En Largo Plazo: - Definir e implantar procedimientos para brindar integridad y consistencia de todos los datos que se se encuentran almacenado en formato electrónico, como bases de datos, almacenamiento de datos y archivos.

Las personas obtienen sus habilidades al construir la arquitectura de información por medio de la experienciapractica.

DOMINIO: ADQUIRIR E IMPLEMENTARAI1: Identificar Soluciones Automatizadas


cumple

Nivel0

La organización no requiere de la identificación de los requerimientos funcionales y operativos para el desarrollo, implantación o modificación de soluciones como: sistemas, datos

XNivel

1

Existe una investigación o análisis estructurado mínimo de la tecnología disponible.

X

Nivel2

Nivel4

La metodología esta soportada en bases de datos de conocimiento internas y externas que contienen material de referencia sobre soluciones.

X

X

GRADO DE MADUREZ El proceso de identificar soluciones automatizadas esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS - Determinar los procesos para solución de TI, según el requerimiento del negocio. - Documentación de los proyectos realizados

RECOMENDACIONES: Para el proceso AI1 de COBIT establece los siguientes objetivos de control:

- Soportar la metodología de TI en base de datos.- Determinar los procesos para las soluciones de TI- Explotar la experiencia de los trabajadores para la buena toma de decisiones.


- Resaltar, priorizar, especificar los requerimientos funcionales y técnicos, priorizando el desempeño el costo, la contabilidad, la compatibilidad, la auditoria, la seguridad, la disponibilidad. En Largo Plazo: - Que exista el alineamiento con las estrategias de la organización y de TI.

La documentación de los proyectos es de buena calidad y cada etapa se aprueba adecuadamente.

DOMINIO: ADQUIRIR E IMPLEMENTARAI3: Adquirir y Mantener Infraestructura Tecnológica


cumple

Nivel0

no se reconoce la administración de la infraestructura de tecnología como un un asunto importante al cual deba ser resuelto.

XNivel1

Se realizan cambios a la infraestructura para cada nueva aplicacion, sin ningún plan en conjunto. La actividad de mantenimiento reacciona a necesidades de corto plazo.

X

Nivel2

Nivel4

La infraestructura de TI soporta adecuadamente las aplicaciones del negocio. El proceso esta bien organizado y es preventivo.

X

X

GRADO DE MADUREZ El proceso de Adquirir y Mantener infraestructura Tecnológica esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS - Definir una estrategia para la adquisición y mantenimiento de la infraestructura. - Organizar y prevenir el proceso de adquisición y mantenimiento de la infraestructura.


- Crear un plan de adquisición de infraestructura tecnológica.- Garantizar la disponibilidad de la infraestructura tecnológica.- Identificar que necesidades se tiene para adquisición de infraestructura tecnológica.


- Crear un plan de adquisición de infraestructura tecnológica. En Largo Plazo: - Proteger la infraestructura tecnológica mediante medidas de control interno, seguridad y auditabilida durante la configuración, integración y mantenimiento de hardware y software de la infraestructura tecnologica.

El proceso respalda las necesidades de las aplicaciones criticas del negocio y concuerda con la estrategia de negocio de TI, pero no se aplica en forma consistente.

DOMINIO: ADQUIRIR E IMPLEMENTARAI4: Facilitar la Operación y el Uso


cumple

Nivel0

No existe el proceso con respecto a la Producción de documentación de Usuarios, manuales de operación y Material de entrenamiento.

XNivel1

Mucha de la documentación y muchos de los procedimientos ya caducaron. Los materiales d entrenamiento tienden a ser esquemas únicos con calidad variable.

X

Nivel2

Nivel4

Se guardan y se mantienen en una biblioteca formal los procedimientos y cualquiera que necesite saber acceso a ella.

X

X

GRADO DE MADUREZ El proceso de Facilitar la operación y el Uso esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS - Falta generar los materiales de entrenamiento buscando su calidad. - Garantizar la compañía de estándares Para el desarrollo del proceso.


- Control para garantizar adherir los estándares para el mantenimiento de los procesos.- Desarrollar un plan para realizar soluciones de operación el cual sirva para identificar y documentar

Todos los aspectos tecnicos, la capacidad de operación y los niveles de servicio requeridos. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:

En el Corto Plazo: - Realizar una transferencia de conocimiento a la parte Jefe de Grupo lo cual permitirá que estos Estos tomen posesión del sistema y los datos. En Largo Plazo: - Mediante la transferencia de conocimientos a los usuarios finales se lograra que estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos de la Organización

Individuos y equipos de proyecto generan los materiales de entrenamiento y la calidad depende de los individuos que se involucran.

DOMINIO: MONITOREAR Y EVALUARME2: Monitorear y Evaluar el Desempeño de TI


cumple

Nivel0

TI no lleva a cabo monitoreo de proyectos o procesos de forma independiente. No se cuenta con reportes utiles, oportunos y precisos.

Nivel1

La interpretación de los resultados del monitoreo se basa en la experiencia de individuos claves.

X

X

Nivel2

Nivel4

Las métricas empleadas por el negocio se usan de forma rutinaria para medir el desempeño, y están integradas en los marcos de trabajo estratégicos, tales como el Balanced Scoecard

X

X

GRADO DE MADUREZ El proceso de Monitoriar y Evaluar el control interno esta en el nivel de Madurez 0 OBJETIVOS NO CUMPLIDOS - Poder identificar los procesos estándares de evaluación - Integrar todos los procesos y proyectos de TI.

RECOMENDACIONES: Para el proceso ME2 de COBIT establece los siguientes objetivos de control:

- Definir un método de monitoreo como Balance Scorecard.- Evaluar el desempeño comparándolo periódicamente con las metas.


- Realizar una marco de trabajo de monitoreo general garantizado por la gerencia. En Largo Plazo: - Identificar e iniciar medidas correctivas sobre el desempeño de TI.

La mediciones de la contribución de la función de servicios de información al desempeño de la organización se han definido, usando criterios financieros y operativos tradicionales.

DOMINIO: MONITOREAR Y EVALUARME3: Garantizar el Cumplimiento Regulatorio


cumple

Nivel0

Existe poca conciencia respecto a los requerimientos externos que afectan a TI, sin procesos referentes al cumplimiento de requisitos reguladoreslegales y concentrales.

XNivel1

Se siguen proceso informales para mantener el cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta a auditorias.

X

Nivel2

Nivel4

Hay un amplio conocimientos de los requerimientos externos aplicables, incluyendo sus tendencias futuras y cambios anticipados, así como la necesidad de nuevas soluciones.

X

X

GRADO DE MADUREZ EL proceso de Garantizar el Cumplimiento Regula torio esta en el Nivel de madurez 1 OBJETIVOS NO CUMPLIDOS - Brindar capacitación sobre requisitos Legales y regula torios externos. - Conocer los requerimientos aplicables como la solución de nuevas necesidads

RECOMENDACIONES: Para el proceso ME3 de COBIT establece los siguientes objetivos de control:

- Integrar los reporte de TI sobre el cumplimiento regulatorio.- Garantizar la identificación de requerimientos locales e internacionales legales, contractuales de

Políticas y regulatorios. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:

En el Corto Plazo: - Tener muy en cuenta las leyes y reglamentos del comercio electrónico, privacidad, flujo de datos reporte finacieros, propiedad intelectual, etc. En Largo Plazo: - Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI.

No existe, sin embargo, un enfoque Estándar Hay mucha confianza en el Conocimiento y responsabilidad de los Individuos, y los errores son posibles.

➢ REPORTE GENERAL DE GRADOS DE MADUREZ

➢ Resumen de Análisis por Dominios:

➢ Dominio: Planear y Organizar (PO)

No se encuentran alineadas las estrategias de TI y del negocio.“CEE” no está alcanzando el uso optimo de los recursos ya que estos no son aprovechadosal máximo o de también no se cuenta con los recursos necesarios para el desempeño deciertas tareas.No todo el personal de “CEE” entiende los objetivos de TI, son pocos los usuarios quecomprenden la importancia de estos para el cumplimiento de las metas de “CEE”.

➢ Dominio: Adquirir e Implementar (AI)

Para que se cumplan la estrategia de TI, se debe identificar, desarrollar o adquirir lassoluciones de TI, así como la implementación e integración en los procesos del negocio.

➢ Dominio: Monitorear y Evaluar (ME)

El Jefe de Grupo no monitorea ni evalúa el control interno en “CEE”.Existe un poco vinculación en el desempeño de TI con las metas del negocio.No existe una medición óptima de riesgos y el reporte de estos, así como el cumplimiento,desempeño y control.

Dominio ProcesoNivel

DeMadurez

Planificar y

Organizar

Adquirir e

implementar

Monitorear y

Evaluar

PO1 Definir el Plan Estratégico de Tecnología de la Información PO2 Definir la Arquitectura de la Información

11

AI1 Identificar Soluciones Automatizadas AI3 Adquirir y Mantener Infraestructura Tecnológica AI4 Facilitar la Operación y el Uso

111

ME2 Monitorear y Evaluar el Control Interno ME3 Garantizar el Cumplimiento Regulatorio

11

A continuación analizamos cada uno de los criterios de la información:➢ EFECTIVIDAD.- Para este criterio de información se asigno un porcentaje del 47.76%

sobre 100%, es decir que la información que es de importancia para “CEE”, que tieneincidencia en los procesos del negocio y debe ser entregada de forma oportuna, consistente,y veraz tiene un porcentaje del 47.76%.

➢ EFICIENCIA.- Para este criterio de información se asigno un porcentaje del 49.59%sobre el 100%, es decir que la información que debe generar el uso óptimo de los recursosde “CEE” tiene un porcentaje del 49.59%.

➢ CONFIDENCIALIDAD.- Para este criterio de información se obtuvo un porcentajedel 39.03% sobre el 100%, es decir que la protección de la información de “CEE” para queesta no sea divulgada a personas o sectores extraños a este tiene un porcentaje del 39.03%.

➢ INTEGRIDAD.- Para este criterio de información se asigno un porcentaje del 35.05%sobre el 100%, es decir la distribución de la información exacta y correcta, así como suvalidez con las expectativas de la empresa tiene un porcentaje del 35.05%.

➢ DISPONIBILIDAD.- Para este criterio de la información se obtuvo un porcentaje del32.96% sobre el 100%, es decir la accesibilidad de la información cuando esta sea requeridapor los procesos del negocio y a la salvaguarda de los recursos y capacidades asociadas a lamisma en “CEE”, tiene porcentaje del 32.96%.

➢ CUMPLIMIENTO.- Para este criterio de la información se obtuvo un porcentaje del51.93% sobre el 100%, es decir que el cumplimiento de las leyes, regulaciones, ycompromisos contractuales con los cuales está comprometido “CEE”, tiene un porcentajedel 51.93%.

➢ CONFIABILIDAD.- Para este criterio de la información se obtuvo un porcentaje del50.97% sobre el 100%, es decir proveer la información apropiada para que la administracióntome decisiones adecuadas para manejar “DATA CENTER E.I.R.L” y cumplir con susresponsabilidades, tiene porcentaje del 50.97%

INFORME TÉCNICO➢ ALCANCE

Mediante esta auditoría se pretende evaluar el estado actual del Departamento Informático“CEE”, mediante este proceso se podrá brindar al “CEE” sus respectivas conclusiones yrecomendaciones para cada uno de los procesos evaluados en cada dominio según lametodología COBIT 4.1.

➢ OBJETIVOSOBJETIVO GENERAL

➢ Realizar la auditoría de las tecnologías de la información de “CEE” Grupo de Trabajo Lojautilizando como modelo de referencia COBIT 4.1.OBJETIVOS ESPECIFICOS

➢ Identificar problemas técnicos en las TI y dar posibles soluciones.

➢ Definir controles que permitan disminuir riesgos.➢ Realizar un informe técnico y ejecutivo.

A continuación se detalla los resultados de la evaluación de cada uno de los 7 procesos divididos ensus respectivos dominios (Planear y organizar, adquirir e implementar, monitorear y evaluar.),basándonos en los niveles de madurez los cuales van desde el grado 0 (no existente) al gradomáximo 5 (administrado).

DOMINIO PLANEAR Y ORGANIZAR

PO1. DEFINIR UNPLAN ESTARTEGICOCONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 puesto que no se cuenta conun plan estratégico definido.

RECOMENDACIONES COBIT• Alinear las TI con el negocio, instruir a los jefes de departamento sobre las capacidades

tecnológicas actuales y el futuro de estas, así como las oportunidades que prestan las TI,para el mejor desempeño de las labores diarias.

• Crear planes tácticos de TI, que se resulten del plan estratégico de TI, estos servirán paradescribir las iniciativas y los requerimientos de recursos que necesitados por TI, estos planesdeben ser bien detallados para poder realizar la definición de planes proyectados.

PO2. DEFINIR LA ARQUITECTURA DE LA INFORMACIÓNCONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, puesto que se reconoce notener una arquitectura de información, pero a pesar de reconocer su importancia no se la elabora.

RECOMENDACIONES COBIT• Establecer un diseño de clasificación de datos que aplique a todo “CEE”, basado en la

información crítica y sensible.

AI1. IDENTIFICAR SOLUCIONES AUTOMATIZADASCONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 puesto que existe la conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnológicas, las necesidades son analizadas de manera informal y por ciertos individuos.RECOMENDACIONES COBIT

• Resaltar, priorizar, especificar los requerimientos funcionales y técnicos de “CEE”,priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, laseguridad, la disponibilidad, y continuidad, la ergonomía, funcionalidad y la legislación de“CEE”.

AI3. ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICACONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, ya que no se cuenta con unplan de adquisición de tecnología, por lo tanto no se controlan los procesos de adquirir, implantar yactualizar infraestructura tecnológica.RECOMENDACIONES COBIT

• Proteger la infraestructura tecnológica mediante medidas de control interno, seguridad yauditabilidad durante la configuración, integración y mantenimiento de hardware y softwarede la infraestructura tecnológica.

• Desarrollar un plan de mantenimiento de la infraestructura y garantizar el control decambios de esta.

AI4. FACILITAR LA OPERACIÓN Y EL USOCONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, puesto que no existe unageneración de documentación, ni políticas de generación de manuales, pero se tiene la conciencia deque esto es necesario, la mayor parte de la documentación y procedimientos ya se encuentrancaducados o desactualizados.RECOMENDACIONES COBIT

• Realizar una transferencia de conocimiento a la parte gerencial lo cual permitirá que estostomen posesión del sistema y los datos.

• Mediante la transferencia de conocimientos a los usuarios finales se lograra que estos usenlos sistemas con efectividad y eficiencia para el apoyo a los procesos de “CEE”.

ME2. MONITOREAR Y EVALUAR EL CONTROL INTERNOCONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0, por cuanto, No se tieneprocedimientos para monitorear la efectividad de los controles internos.RECOMENDACIONES COBIT

• Realizar una auto-evaluación del control interno de la administración de procesos, políticasy contratos de TI.

• Si es necesario, mediante revisiones de terceros asegurar la completitud y efectividad de loscontroles internos.

• Verificar que los proveedores externos cumplan con los requerimientos legales yregulatorios y con las obligaciones contractuales.

ME3. GARANTIZAR EL CUMPLIMIENTO REGULATORIOCONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 por cuanto, se siguenprocesos informales para mantener el cumplimiento regulatorio.RECOMENDACIONES COBIT

• Tener muy en cuenta las leyes y reglamentos del comercio electrónico, privacidad, flujo de datos, reporte financieros, propiedad intelectual, etc.

• Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI.

IMPACTO SOBRE LOS CRITERIOS DE INFORMACIONCRITERIOS DE LA

INFORMACIÓNPORCENTAJE OBSERVACIONES

Efectividad 47.76% El objetivo es alcanzar el100%, para esto lainformación en “CEE debeser entregada de formaoportuna, correcta,consistente y utilizable.

Eficiencia 49.59% El objetivo es alcanzar el100%, para esto lainformación debe sergenerada optimizando losrecursos.

Confidencialidad 39.03% El objetivo es alcanzar el100%, para lo cual se debeproteger la informaciónsensitiva contra revelaciónno autorizada.

Integridad 35.05% El objetivo es alcanzar el100%, para lo cual lainformación debe serprecisa, completa y valida.

Disponibilidad 32.96% El objetivo es alcanzar el100%, para la cual lainformación debe estardisponible cuando esta serequiera por parte de lasáreas del negocio encualquier momento

Cumplimiento 51.93% El objetivo es alcanzar el100%, para lo cual se deberespetar las leyes,reglamentos y acuerdoscontractuales a los queesta sujeta el proceso delnegocio, como políticasinternas.

Confiabilidad 50.97% El objetivo es alcanzar el100%, para lo cual se debeproporcionar la informaciónapropiada, con el fin de queJefe de Grupo administre laentidad.

INFORME EJECUTIVOEn el Informe Ejecutivo se detallara los resultados de la evaluación a cada uno de los 34 procesosque recomienda COBIT 4.1 siendo evaluado en “CEE” Grupo de Trabajo Loja.Los criterios de información se encuentran en el siguiente porcentaje todos sobre el 100%.

La efectividad consiste en que la información relevante sea entregada de forma oportuna, correcta,consistente y utilizable, este criterio tiene un promedio del 47.76%.

La eficiencia consiste en que la información debe ser generada optimizando los recursos, estecriterio tiene un promedio del 49.59%.

La confidencialidad consiste en que la información vital sea protegida contra la revelación noautorizada, este criterio tiene un promedio del 39.03%.

La integridad consiste en que la información debe ser precisa, completa y valida, este criterio tieneun promedio del 35.05%.

La disponibilidad consiste en que la información este disponible cuando esta sea requerida por partede las áreas del negocio en cualquier momento, este criterio tiene un promedio del 32.96%.

El cumplimiento consiste en que se debe respetar las leyes, reglamentos y acuerdos contractuales alos que esta sujeta el proceso del negocio, como políticas internas, este criterio tiene un promediodel 51.93%.

La confiabilidad consiste en que se debe respetar proporcionar la información apropiada, con el finde que la Gerencia General administre la entidad, este criterio tiene un promedio del 50.97%.

CONCLUSIONES

• Con este estudio se ha dado un conjunto de directrices las cuales pueden ayudar a alinear TIcon el negocio, es decir identificar riesgos, gestionar recursos y medir el desempeño, asícomo el nivel de madurez de cada uno de los procesos de “CEE” Grupo Loja.

• EL Jefe de Grupo y usuarios son beneficiados con el desarrollo de COBIT 4.1, ya que estemarco de referencia ayuda a estos individuos entender sus sistemas de TI, de igual formadecidir el nivel de seguridad y control para proteger los activos (información, hardware,software, etc.) de “CEE” Grupo Loja mediante un modelo de desarrollo de gobernación deTI.

• Mediante el marco de referencia COBIT, se ha podido evaluar y diagnosticar los procesos deTI en “CEE” Grupo Loja. También se ha diagnosticado cada uno de los criterios de lainformación, los cuales son efectividad, eficiencia, confidencialidad, integridad,disponibilidad, cumplimiento y confiabilidad.

RECOMENDACIONES

• Tomar en cuenta los procesos que se encuentran con el nivel de madurez de 0 y 1, que sonlos de factor crítico.

• Realizar evaluaciones periódicas con el fin de medir el avance de cada uno de los procesos estudiados en este trabajo.

• Se debe utilizar software aplicativo con licenciamiento, así como adecuar las instalaciones del área de informática, puesto que el espacio de trabajo de este es muy limitado y sin las seguridades físicas pertinentes.

• Hacer el uso del presente trabajo, con el fin de tomarlo como guía para futuras mejoras en TI.

proyecto auditoria informatica

Documents

Transcript of proyecto auditoria informatica