Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Auditoria Informatica

No description
by

karina rodriguez

on 14 December 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Auditoria Informatica

Auditoria Informatica
Introducción
Objetivos
Alcance
Alcance
Metodologia
• Solicitud de los estándares utilizados y programa de trabajo.

• Solicitud de actas de comité y toda la documentación actualizada sobre las políticas y procedimientos informáticos.

• Aplicación del cuestionario al personal.

• Análisis y evaluación de la información.

• Elaboración del informe.

• Entrevistas y Encuestas

• Se solicitó planes de seguridad y continuidad



Objetivos Especificos
Lic. Hazel Rodriguez
Lic.Lester Flores
Lic. Marcos Morales

Hallazgos
Hallazgo 6
: No se encontraron las licencias de Microsoft Office y de los sistemas operativos Windows Xp y Windows 7.

Descripción
: En la revisión no se encontró la caja de los productos con certificado de autenticidad.

Causa
: No se han adquirido las licencias de office, Windows XP y Windows 7.

Efecto
: Riesgo Legal por uso de software pirata.

Criterio
: La Norma de riesgo tecnológico en el Artículo 15.

Menciona el derecho de la propiedad intelectual y a no instalar programas no adquiridos por la institución.

Recomendación
: Adquirir las licencias de Office y de los sistemas operativos que utilizan en la institución.

Hallazgos
La auditoría informática nos permite revisar y evaluar los procesos implementados en una empresa o institución con respecto a:
Planeación organización y gestión
Administración de las tecnologías de la información.
Administración de la seguridad, etc.

Evaluar el cumplimiento del Sistema de Control Interno de aspectos Informáticos establecido por la Biblioteca Salomón de la Selva, así como verificar la implementación de las disposiciones legales emitidas por la Superintendencia de Bancos y Otras Instituciones Financieras (SIBOIF), en lo que respecta al cumplimiento de la “Norma Sobre Riesgo Tecnológico”, emitida el 19/09/2007, conforme resolución N° CD-SIBOIF-500-1-SEP19-2007
Evaluar que exista una clara definición de la estructura del área de TI.

Revisar que exista una planeación de la tecnología de información.





Evaluar que exista una administración adecuada de software, hardware y base de datos.

Verificar si las operaciones de TI son documentadas.

Evaluar los niveles de servicio en la Biblioteca.

Verificar si la institución cuenta con políticas y procedimientos de seguridad ambiental, física, lógica y de personal de manera adecuada

PLANEACIÓN, ORGANIZACIÓN Y GESTIÓN



ADMINISTRACIÓN DE TECNOLOGÍAS DE INFORMACIÓN




ADMINISTRACIÓN DE LA SEGURIDAD

ADMINISTRACIÓN DE LA SEGURIDAD

Arto. 24. Responsabilidades en materia de seguridad.
Arto. 25. Políticas y procedimientos de seguridad.
Arto. 26. Educación y creación de conciencia en temas de seguridad.
Arto. 27. Seguridad lógica.
Arto. 28. Seguridad de personal.
Arto. 29. Seguridad física y ambiental.
Arto. 31. Protección contra software malicioso.
Ato. 32. Clasificación de la seguridad.

Hallazgos
Hallazgo 2
: No están definidas formalmente las funciones del personal de TI.

Condición
: En los documentos que especifican las funciones del personal de la biblioteca no se encuentran definidas las funciones específicas del personal del área TIC.

Causa
: Omisión a lo citado en el Artículo 6 inciso b), de la norma de riesgo tecnológico.
Efecto:

1) Riesgo Legal por posibles señalamientos por parte de la entidad regulatoria.
2) No definir formalmente las funciones del personal TIC, no garantiza la segregación de responsabilidades.

Criterio
: Norma de riesgo tecnológico establece Arto. 6. Estructura organizacional y procedimientos.- Las instituciones en las cuales los procesos críticos se encuentren automatizados y cuya continuidad de negocios dependa de sus sistemas de información deben al menos:

b) Definir formalmente las funciones del personal de TI garantizando segregación de funciones entre el personal y excluyendo la posibilidad de que una sola persona controle procesos u operaciones críticos relacionados a TI.

Recomendaciones:
1) Se recomienda definir las funciones y responsabilidades del personal del área TIC de la biblioteca por escrito.
.
Hallazgo 7
: Falta de planificación en el mantenimiento y respaldo de las bases de datos.

Descripción
: En revisión no se cuenta con documentos que muestren un plan de mantenimiento y respaldo anual o semestral a las bases de datos.

Causa:
Falta de previsión al momento de elaborar el plan de mantenimiento y respaldo para las bases de datos.

Efecto:

1) No se cuenta con un historial sobre la planificación de los mantenimientos de las bases de datos.
2) Pérdida de información al no llevar una planificación programada de los respaldos de la base de datos.
3) Incumplimiento a los procedimientos internos establecidos.

Criterio:
Norma de riesgo tecnológico artículo 17, Administración de bases de datos b) Establecer políticas y procedimientos actualizados relacionados con la instalación, administración, migración, mantenimiento, respaldo y seguridad de las bases de datos.

Recomendación:
Incluir en el Plan de Mantenimiento para las bases de datos.


Hallazgo 14:
Los servidores y el rack de Redes se encuentran en un área expuesta donde no hay restricciones de entrada.

Descripción:
Durante la visita a la Biblioteca se pudo observar que
el área más crítica de la Institución son los servidores, estos no cuentan con medidas de seguridad en cuanto al debe tener restringido.

Causa:
Omisión de Área Restringida por los Responsables de TI.

Efecto:

1) Riesgo Legal por posibles señalamientos por parte de la entidad regulatoria.
2) No hay restricciones físicas a los servidores.

Criterio

Según la Norma de riesgo tecnológico artículo 29,
establece las instalaciones de procesamiento de información crítica o sensible de la empresa,
deben estar físicamente protegidas contra accesos no autorizados, daños e intrusiones.
La protección provista debe ser proporcional a los riesgos identificados, inciso d) Los equipos de cómputo deben ser ubicados o protegidos de tal manera que se reduzcan los riesgos ocasionados por amenazas y peligros ambientales, y oportunidades de acceso no autorizado.

Recomendaciones

Restringir el acceso al área de los servidores a través de carteles de solo personal autorizado


Hallazgo 18
: No cuentan con una política de clasificación de seguridad aplicados a los activos fisicos y activos de Información.

Condición
: Durante la visita se observó no se cuenta con política de clasificación de seguridad para los activos Fisco y activos de Información

Causa
: Omisión de politicas de clasificación de seguridad por el responsable de TI.

Efecto:
No se conoce el nivel de criticidad y seguridad de la institucion

Criterio
: Según la Norma de riesgo tecnológico Arto. 33. Establece que las instituciones deberán realizar un inventario periódico de activos físicos y activos de información, que tenga por objetivo proveer la base para una posterior clasificación de seguridad de acuerdo a una
política de clasificación dictada por la junta directiva o la instancia competente. Esta clasificación debe indicar el nivel de criticidad o sensibilidad y seguridad requerida por la institución.

Recomendación:
La junta Directiva o el Responsable de TI deberá establecer una política de clasificación que indique el nivel de criticidad o sensibilidad y seguridad requerida por la Biblioteca.


Conclusiones

1. No existe estructura del área de TI definida formalmente, que se encuentre documentada.
2. La planeación de TI no se encuentra documentada
3. No existe un plan de mantenimiento y de administración por escrito referido a hardware, software y redes
4. No existe por escrito un plan de mantenimiento y respaldo de base de datos.
5. La documentación de las operaciones de TI no están documentadas.
6. El personal de servicio es capacitado en tecnologías de información.


Recomendaciones
Las siguientes recomendaciones se han extraído de los resultados obtenidos de la auditoria:

a) Se recomienda documentar todos los procesos y políticas del área de TI.
b) Se recomienda establecer protección física a los equipos con información sensible de la institución.
c) Se le recomienda a los responsables de TI levantar un inventario físico y lógico de la empresa.
d) Se recomiendo que el área de TI documente todas las operaciones o procesos interno del área de TI.
e) Se recomienda realizar un plan anual por escrito referido a la administración de hardware, software, redes respaldo y mantenimiento de base de datos.

Hallazgos
Hallazgos
El nivel de riesgo de los hallazgos se clasifican de la siguiente manera
Analisis de riesgos Altos

Full transcript