ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA DOMINIO PROCESO
Views 168 Downloads 2 File size 1MB
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA DOMINIO PROCESO RELACIONADO CON TI NOMBRE DEL SUBPROCESO
ProgA
ALINEAR, PLANIFICAR Y ORGANIZAR Protección de información con firewall Sophos para software. AP012 GESTIONAR EL RIESGO
GERENCIA RESPONSABLE DEL GESTOR DE TI PROCESO DESCRIPCIÓN DEL PROCESO Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa. DECLARACIÓN DEL PROPÓSITO DEL PROCESO Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de riesgos empresarial general (ERM) y equilibrar los costes y beneficios de gestionar riesgos empresariales relacionados con TI. OBJETIVO DEL PROCESO 4. Las acciones de gestión de riesgos están efectivamente implementados. RESPONSABLE
Gestor de Proyectos (Sistema), Analista de TI (Seguridad). ENTRADAS DEL PROCESO Revisión de eficiencia de firewall Sophos en el sistema de la empresa. ACTIVIDADES DEL PROCESO 1. Revisar políticas de TI 2. Verificar puertos en el sistema 3. Informar el funcionamiento del firewall 4. Revisar la eficiencia de firewall Sophos 5. Extraer comandos de pc’s 6. Verificar comandos maliciosos 7. Ejecutar firewall SALIDAS DEL PROCESO
Elaboración de informe a la Gerencia de TI de funcionamiento de Firewall Sophos. INDICADOR DE ÉXITO - Numero de servicios de TI con los requisitos de seguridad pendientes. DOCUMENTACIÓN DE REFERENCIA -
Manual de Organizacional. Manual de Procesos. Manual de Tecnología Informática.
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
APO12 GESTIONAR EL RIESGO SISTEMA
SEGURIDAD
Gestor de Proyectos
Inicio Inicio
Revisar Revisar políticas políticas de de TI TI
Verificar Verificar puertos puertos del del sistema sistema
Informar Informar el el funcionamiento funcionamiento de de Firewall Firewall Sophos Sophos
Revisar Revisar la la eficiencia eficiencia FIREWALL FIREWALL SOPHOS SOPHOS
Extraer Extraer comandos comandos de de PC’s PC’s
NO
Analista TI
Comandos Comandos maliciosos maliciosos SI Eliminar Eliminar comandos comandos maliciosos maliciosos
Ejecutar Ejecutar Firewall Firewall
Elaborar Elaborar informe informe
FIN FIN
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
No. 1 2 3 4 5 6 7
ACTIVIDADES Revisar políticas de TI Verificar puertos en el sistema Informar el funcionamiento del firewall Revisar la eficiencia de firewall Sophos Extraer comandos de pc’s Verificar comandos maliciosos Ejecutar firewall
R A C I
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
ANALISTA DE TI (REDES)
MATRIZ RACI
GESTOR DE PROYECTOS DE TI (REDES)
APO12 GESTIONAR EL RIESGO
-
-
R R R
LEYENDA RESPONSABLE AUTORIZA CONSULTA INFORMA
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
C C R R R R
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
MÉTRICAS RELACIONADAS
DOMINIO: ALINEAR, PLANIFICAR Y ORGANIZAR PROCESO AP012 GESTIONAR EL RIESGO METAS TI MÉTRICAS RELACIONADAS 10. Seguridad de la información, infraestructura de procesamiento y aplicaciones
INDICADOR
Numero de servicios de TI con los requisitos de seguridad pendientes.
Porcentaje
No. De requerimientos atendidos con firewall X 100 No. Requerimientos solicitados con firewall
1 X 100 12
17%
MATRIZ DE NIVEL DE CAPACIDAD INCOMPLETO
EJECUTADO
GESTIONADO
ESTABLECIDO
PREDECIBLE
OPTIMIZADO
0%
1% - 25%
26% - 50%
51%- 70%
71% - 89%
90% - 100%
El proceso no se encuentra implementado o no logra el propósito
El proceso logra su propósito
El proceso realizado se implementa de manera gestionada
El proceso gestionado se implementa de manera definitiva
El proceso definido opera en los límites
El proceso predecible se mejora continuamente
0
1
2
3
4
5
NIVELES
PORCENTAJE
PROCESO DOMINIO
APO12
Gestionar el Riesgo
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
17%
17%
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
CONCLUSIÓN Y RECOMENDACIÓN AP012 GESTIONAR EL RIESGO Protección de información con firewall Sophos para software. Condición: No se llevó a cabo la actualización del Firewall Shopos por esta situación se presentó fallas el en 1 pc. Llevando hasta la encriptación de la información de la misma Criterio: Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa. Conclusión: 1. Al revisar y analizar la eficiencia del firewall Sophos en el sistema TI, identificó incidentes en evaluaciones y procesos específicamente en software e Internet por ello se llevó a cabo el control al acceso de la información con la finalidad de monitorear el tráfico en internet, acceso a correos electrónicos y descargas no permitidas en ECUACOPIA CIA. LTDA. con (contrafuegos) Firewall Sophos adquirido por la empresa. Recomendación: 1. Integrar a todas las pc’s con firewall para reducir los del incidente en Software e internet. 2. Verificar constantemente la eficiencia de Firewall, para evitar malware, virus informáticos y riesgos de perdida de información en
los sistemas de
ECUACOPIA CIA. LTDA. 3. Asegurar que la información de los medios electrónicos, puestos USB y otros dispositivos de entrada externos.
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA DOMINIO
ALINEAR, PLANIFICAR Y ORGANIZAR
PROCESO RELACIONADO CON TI
Respaldos de información
NOMBRE DEL SUBPROCESO
ProgA
APO13 GESTIONAR LA SEGURIDAD
GERENCIA RESPONSABLE DEL INFORMÁTICA PROCESO DESCRIPCIÓN DEL PROCESO Definir, operar y supervisar un sistema para la gestión de la seguridad de la información. DECLARACIÓN DEL PROPÓSITO DEL PROCESO Entregar los respaldos de información requeridos por el servicio operativo de TI, según lo planificado. OBJETIVO DEL PROCESO Garantizar y salvaguardar la recuperación de toda la información relevante de la organización que ha sido generada en los servidores, en caso de que haya sido eliminada, dañada o alterada al presentarse alguna contingencia. RESPONSABLE Gerencia Ténica, Seguridad informática. ENTRADAS DEL PROCESO Información guardada en los computadores. ACTIVIDADES DEL PROCESO 1. 2.
Se determina e identifica la información que se va a respaldar en los equipos de las diferentes áreas. Obtener una autorización de la gerencia técnica para operar, implementar y operar el sistema de seguridad de información. 3. Se define un sistema de seguridad de información de acuerdo con la política de la empresa. 4. Alinear el sistema de seguridad de la información con el enfoque global de la gestión de la seguridad de la empresa. 5. Prepara una declaración de la información que será respaldada. 6. Verifica la información para las copias de restauración. 7. Si el archivo del servidor indica un error se realiza una copia por segunda vez. 8. Se graba las copias de respaldos de acuerdo a las políticas, en un dispositivo de almacenamiento. 9. Se almacena la copia y para el caso de ser magnético se marca con la fecha respectiva, usuario y nombre del equipo. 10. Comunicar el enfoque del sistema de seguridad de la información.
SALIDAS DEL PROCESO Respaldos de información disponible para su recuperación. INDICADOR DE ÉXITO Número de incidentes relacionados con la seguridad. DOCUMENTACIÓN DE REFERENCIA -
Manual de Organizacional. Manual de Procesos. Manual de Tecnología Informática.
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
No. ACTIVIDADES Se determina e identifica la información que se va a respaldar 1 en los equipos de las diferentes áreas.
2 3 4 5 6 7 8 9 10
Obtener una autorización de la gerencia técnica para operar, implementar y operar el sistema de seguridad de información. Se define un sistema de seguridad de información de acuerdo con la política de la empresa. Alinear el sistema de seguridad de la información con el enfoque global de la gestión de la seguridad de la empresa. Prepara una declaración de la información que será respaldada. Verifica la información para las copias de restauración. Si el archivo del servidor indica un error se realiza una copia por segunda vez. Se graba las copias de respaldos de acuerdo a las políticas, en un dispositivo de almacenamiento. Se almacena la copia y para el caso de ser magnético se marca con la fecha respectiva, usuario y nombre del equipo. Comunicar el enfoque del sistema de seguridad de la información.
R A C I
A C
R
C
R
C
R
C C
R
C
R
C
R
C C
R
LEYENDA RESPONSABLE AUTORIZA CONSULTA INFORMA
.
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
ANALISTA DE TI (REDES)
COORDINADOR DE TI (REDES)
GERENTE DE TI (DESARROLLO)
MATRIZ RACI
ProgA
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
APO 13 GESTIONAR LA SEGURIDAD GERENCIA TÉCNICA
SEGURIDAD INFORMÁTICA
GERENTE DE TI
INICIO Identificar archivos de respaldo
Autorización
COORDINADOR DE TI
Definición de sistema de seguridad
Alineación del sistema
Recibe el enfoque de seguridad
Declaración de información
Verificar copias de restauración Aprueba FIN
¿Existe error de información?
SI
ANALISTA DE TI
Grabar Copias
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Almacena Copias
Comunicar el enfoque del sistema
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
NO
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
MÉTRICAS RELACIONADAS
DOMINIO: PROCESO: METAS TI
ALINEAR, PLANIFICAR Y ORGANIZAR APO13 Gestionar la Seguridad MÉTRICAS RELACIONADAS
Disponibilidad de información útil y relevante para la toma de decisiones
Nivel de satisfacción de los usuarios del negocio y disponibilidad de la información de gestión.
INDICADOR
Número de respaldos realizados Número de respaldos solicitados
TOTAL
52 354
0,14%
MATRIZ DE NIVEL DE CAPACIDAD INCOMPLETO EJECUTADO GESTIONADO ESTABLECIDO PREDECIBLE OPTIMIZADO NIVELES
0% PORCENTAJE
PROCESO
El proceso no se encuentra implementado o no logra el propósito
1% - 25%
26% - 50%
51%- 70%
71% - 89%
90% - 100%
El proceso logra su propósito
El proceso realizado se implementa de manera gestionada
El proceso gestionado se implementa de manera definitiva
El proceso definido opera en los límites
El proceso predecible se mejora continuamente
DOMINIO
APO 13
Gestionar la Seguridad
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
0,14%
0,14%
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
CONCLUSIÓN Y RECOMENDACIÓN APO13 RESPALDO DE INFORMACIÓN Respaldos de información Condición: Se evidencio que no existe un adecuado control en la toma de copias de seguridad y un almacenamiento seguro, existe almacenamiento en discos duros externos, sin las medidas físicas y de seguridad. Tampoco se evidenció alertas automáticas de éxito o fallo de las copias tomadas, así como no se realiza pruebas sobre toda la información capturada por componente. Criterio: Definir, operar y supervisar un sistema para la gestión de la seguridad de la información. Conclusión: De acuerdo a lo establecido en manual de políticas y lineamiento del Uso de Tecnología Informática se establece que se debe de realizar respaldos de información de forma diaria es decir los 354 días laborables del año, se observó que la compañía incumple esta política y solo se realiza de manera mensual es decir 12 veces año, es por eso que han generado problemas en los respaldos de información dentro de la organización. Además la información es guardada por cada uno de los departamentos en discos duros externos y no se manejan el sistema de seguridad de información por la nube. Recomendación: Mantener tres copias del archivo: la original y dos respaldos. Esto disminuirá la probabilidad de perder información por tener unidades dañadas por malware o problema físico. Los empleados deben de cumplir las políticas acordadas en los manuales debido a que existe un alto riesgo de pérdida de información. Deberá tener un almacenamiento de los Backups en centros adecuados con seguridad física y ambiental. Mantener una de las copias “fuera de sitio” (offsite), es decir, en un lugar físico distinto al lugar de trabajo (casa, taller, bodega, caja fuerte, etc.). Si por algún motivo la contingencia es mayor, por ejemplo, un sismo o un incendio y se daña o se destruye por completo el equipo de cómputo, al menos existirá en algún otro lugar la información respaldada, y podrá ser recuperada. Realizar pruebas periódicas sobre cada componente copiado. Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
CONSTRUIR, ADQUIRIR E IMPLEMENTAR
DOMINIO
Requerimiento de hardware (Infraestructura TI).
META TI NOMBRE DEL SUBPROCESO
BAI02 GESTIONAR LA DEFINICIÓN DE REQUISITOS.
GERENCIA RESPONSABLE DEL GERENCIA DE TI PROCESO DESCRIPCIÓN DEL PROCESO Identificar soluciones y analizar requerimientos antes de la adquisición o creación para asegurar que estén en línea con los requerimientos estratégicos de la organización y que cubren los procesos de negocios, aplicaciones, información/datos, infraestructura y servicios. Coordinar con las partes relacionadas afectadas la revisión de las opciones viables, incluyendo costes y beneficios relacionados, análisis de riesgo y aprobación de los requerimientos y soluciones propuestas. DECLARACIÓN DEL PROPÓSITO DEL PROCESO Crear soluciones viables y óptimas que cumplan con las necesidades de la organización mientras minimizan el riesgo. OBJETIVO DEL PROCESO (01) Los requerimientos funcionales y técnicos del negocio reflejan las necesidades y expectativas de la empresa. RESPONSABLE Gerencia de TI, Gestor de Proyectos, Coordinador interno de TI. ENTRADAS DEL PROCESO Solicitudes de requerimiento del hardware. ACTIVIDADES DEL PROCESO 1. 2. 3. 4. 5. 6. 7.
Recepción de solicitudes de requerimiento de Hardware. Análisis de las solicitudes requerimiento de Hardware. Gestionar los riesgos de los requerimientos. Estudiar la viabilidad para la adquisición Elección del hardware. Aprobación de la solicitud. Compra de los hardware.
SALIDAS DEL PROCESO Aprobación del requerimiento de hardware por las partes interesadas. Compra de los hardware. INDICADOR DE ÉXITO - Nivel de satisfacción de las partes interesadas con los requerimientos. DOCUMENTACIÓN DE REFERENCIA -
Manual de Organizacional. Manual de Procesos. Manual de Tecnología Informática.
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
BAI 02 GESTIONAR LA DEFINICIÓN DE REQUISITOS. GERENCIA TI
PROYECTOS
COORDINACIÓN
Gerente TI
Inicio
Recepción de solicitudes de Hardware
Solicitudes
Análisis de las solicitudes Hardware
Gestionar los riesgos de los requerimientos
Gestor de Proyectos
Estudiar la viabilidad para la adquisición
Elección de los Hardware NO
Aprobación de la solicitud
¿Aprueba?
SI
NO
FIN
Coordinandor TI interno
Solicitud aprobada
¿Si esta correcta? SI Compra de los hardware FIN
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
MATRIZ RACI
Coordinador de TI
GERENTE DE TI
Gestor de Proyectos
ProgA
-
No. ACTIVIDADES
1 2 3 4 5 6 7
Recepción de solicitudes de requerimiento de Hardware. Análisis de las solicitudes requerimiento de Hardware. Gestionar los riesgos de los requerimientos. Estudiar la viabilidad para la adquisición Elección del hardware. Aprobación de la solicitud. Compra de los hardware
R A C I
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
CIO
-
A C C C C A C
I R R R R R
LEYENDA RESPONSABLE AUTORIZA CONSULTAR INFORMA
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
C I I C R
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
MÉTRICAS RELACIONADAS
DOMINIO: PROCESO:
CONSTRUIR, ADQUIRIR E IMPLEMENTAR BAI 02 GESTIONAR LA DEFINICIÓN DE REQUISITOS.
METAS TI
MÉTRICAS RELACIONADAS
INDICADOR
(07) Entrega de servicios de (03) Porcentaje de usuarios satisfechos con la calidad TI de acuerdo a los de los servicios de TI entregados. requisitos del negocio.
TOTAL 1
No. de usuarios satisfechos Total de usuarios que solicitaron el hardware
6
16,67%
MATRIZ DE NIVEL DE CAPACIDAD INCOMPLETO EJECUTADO GESTIONADO ESTABLECIDO PREDECIBLE OPTIMIZADO NIVELES
0% PORCENTAJE
PROCESO DOMINIO
BAI 03
Gestionar la definición de requisitos.
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
16,67%
1% - 25%
26% - 50%
51%- 70%
71% - 89%
90% - 100%
El proceso no se encuentra implementado o no logra el propósito
El proceso logra su propósito
El proceso realizado se implementa de manera gestionada
El proceso gestionado se implementa de manera definitiva
El proceso definido opera en los límites
El proceso predecible se mejora continuamente
0
1
2
3
4
5
16,67%
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
CONCLUSIÓN Y RECOMENDACIÓN BAI02 GESTIONAR LA DEFINICIÓN DE REQUISITOS. Requerimiento de hardware (Infraestructura TI). Condición Hay hardware obsoleto y depreciado que ya no tienen un funcionamiento los cuales requieren ser remplazados por otros nuevos que cumplan la función que la empresa requiera. Criterio Identificar soluciones y analizar requerimientos antes de la adquisición para asegurar que estén en línea con los requerimientos estratégicos de la organización y que cubren los procesos de negocios, aplicaciones, información/datos, infraestructura y servicios. Coordinar con las partes relacionadas afectadas la revisión de las opciones viables, incluyendo costes y beneficios relacionados, análisis de riesgo y aprobación de los requerimientos y soluciones propuestas. Conclusión: Al responder a los 6 requerimientos de hardware se observa que el 16.67% equivalente a una persona se encuentra satisfecha con su nuevo equipo, debido que al adquirir, instalar y utilizar los mismos no responden a las necesidades de la empresa, es por ello que ahí insatisfacción por partes de los usuarios en los nuevos equipos adquirido. Recomendación: Se recomienda que la empresa ECUACOPIA CIA. LTDA., realice un plan de mantenimiento, supervisión y actualización de las aplicaciones que usa la empresa para una buena eficaz y eficiente gestión en la empresa, además que se informe al inmediato superior cada trimestre en reuniones de juntas la eficiencia y eficaz de los mismos, con el fin de que se puedan tomar decisiones de mejora en los hardware.
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA DOMINIO
ProgA
OPERACIÓN SERVICIO Y SOPORTE
PROCESO RELACIONADO CON TI
Mantenimiento De Equipos Informáticos
NOMBRE DEL SUBPROCESO
DSS02 GESTIONAR PETICIONES E INCIDENTES DE SERVICIO
GERENCIA RESPONSABLE DEL PROCESO
GERENCIA DE TI
DESCRIPCIÓN DEL PROCESO Proveer una respuesta oportuna a los usuarios y la resolución de todo tipo de incidentes. Recuperar el servicio normal: gestionar y complementar las peticiones de usuario; y registrar, diagnosticar y resolver incidentes. DECLARACIÓN DEL PROPÓSITO DEL PROCESO Lograr una mayor productividad y minimizar las interrupciones mediante la rápida resolución de consultas de usuarios e incidentes OBJETIVO DEL PROCESO Los servicios relacionados con TI están disponibles para ser utilizados RESPONSABLE Usuario, Gerente de TI, Coordinador de TI, Analista TI ENTRADAS DEL PROCESO Equipos informáticos con daños y fallos ACTIVIDADES DEL PROCESO 1. 2. 3. 4. 5. 6. 7.
Registro de incidencia en el Sistema para genera un ticket de mantenimiento
asigna responsable para el mantenimiento y envió de notificación
Verifica si el equipo tiene garantía Si el equipo tiene garantía hace efectiva la garantía y notifica al gerente de TI Buscar y analizar la solución Aplicar y realizar pruebas de verificación Si el equipo es reparado genera un reporte de mantenimiento y notifica al coordinador de TI 8. Cerrar ticket en Sistema de Registro de Requerimientos ingresando el motivo de cierre. SALIDAS DEL PROCESO Equipo de cómputo reparado
INDICADOR DE ÉXITO -
Equipos de cómputo en buen funcionamiento
DOCUMENTACIÓN DE REFERENCIA
-
Manual de Organizacional. Manual de Procesos.
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
DSS02 GESTIONAR PETICIONES E INSIDENTES DE SERVICIO ( Mantenimiento de equipos) DESARROLLO
SISTEMA
OPERACIONES
Registro de incidencia en el Sistema
Coordinandor TI interno
GERENTE TI
Inicio
Generar ticket de mantenimiento
Asignación de responsable y envió de notificación
Verifica si el quipo tiene garantía
Esta en garantía?
SI
NO
Envío notificación
Analista TI
Buscar y analizar la solución
Efectiviza la garantía
Aplicar y realizar pruebas de verificación SI
Fin Genera reporte de mantenimiento y envió notificación
Resultados satisfechos ?
Cierre de ticket
Fin
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ANALISTA DE TI (REDES)
MATRIZ RACI
COORDINADOR DE TI (REDES)
GERENTE DE TI (DESARROLLO)
ProgA
No. ACTIVIDADES
1 Registro de incidencia en el Sistema para genera un ticket de mantenimiento 2 asigna responsable para el mantenimiento 3 Verifica si el equipo tiene garantía 4 5
Si el equipo tiene garantía hace efectiva la garantía y notifica a Gerencia de TI Buscar y analizar la solución
A
A
6 Aplicar y realizar pruebas de verificación 7 8
Si el equipo es reparado genera un reporte de mantenimiento y notifica al coordinador de TI Cerrar ticket en Sistema de Registro de Requerimientos ingresando el motivo de cierre.
R A C I
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
R R C
R
R C
R
C
R R
A
LEYENDA RESPONSABLE AUTORIZA CONSULTA INFORMA
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
C
R
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
MÉTRICAS RELACIONADAS
DOMINIO: PROCESO:
OPERACIÓN, SERVICIO Y SOPORTE DSS02 GESTIONAR PETICIONES E INCIDENTES DE SERVICIO
METAS TI
MÉTRICAS RELACIONADAS
Entrega de servicios de TI de acuerdo a los requisitos de negocio
INDICADOR
Porcentaje de las partes interesadas satisfechas con el cumplimiento del servicio de TI entregado respecto a los niveles de servicio acordado
TOTAL
𝒏º𝒅𝒆 𝒎𝒂𝒏𝒕𝒆𝒏𝒊𝒎𝒊𝒆𝒏𝒕𝒐𝒔 𝒓𝒆𝒂𝒍𝒊𝒛𝒂𝒅𝒐𝒔 𝒂𝒍 𝒂ñ𝒐 𝑵ª 𝒅𝒆 𝒎𝒂𝒏𝒕𝒆𝒏𝒊𝒎𝒊𝒆𝒏𝒕𝒐𝒔 𝒑𝒍𝒂𝒏𝒊𝒇𝒊𝒄𝒂𝒅𝒐𝒔 𝒂𝒏𝒖𝒂𝒍𝒆𝒔
1 12
17%
MATRIZ DE NIVEL DE CAPACIDAD NIVELES PORCENTAJ E PROCESO DOMINIO DSS02
GESTIONAR PETICIONES E INCIDENTES DE SERVICIO
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
17%
INCOMPLET O 0% El proceso no se encuentra implementado o no logra el propósito 0
EJECUTAD O 1% - 25% El proceso logra su propósito 1
GESTIONADO 26% - 50% El proceso realizado se implementa de manera gestionada 2
17%
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ESTABLECID O 51%- 70% El proceso gestionado se implementa de manera definitiva 3
PREDECIBL E 71% - 89%
OPTIMIZAD O 90% - 100%
El proceso definido opera en los límites
El proceso predecible se mejora continuamente
4
5
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
CONCLUSIÓN Y RECOMENDACIÓN DSS02 GESTIONAR PETICIONES E INCIDENTES DE SERVICIO Mantenimiento De Equipos Informáticos
Condición De acuerdo a las planificaciones establecidas los mantenimientos a los equipos informáticos se los debe realizar mensualmente y se los debe registrar en el sistema de requerimiento como constancia de cada actividad realizada. Criterio Realizar una planificación de mantenimientos mensualmente para cada área llevar un registro adicional de todos los equipos para la solución de problemas en caso q sea necesario. Conclusión: Se realizó un análisis en base a los manuales, políticas y planificaciones establecidas por la empresa ECUACOPIA CIA. LTDA donde podemos conocer que los mantenimientos de equipos informáticos no se realizan de acuerdo a lo planificado, el sistema de requerimientos reporto que se ha realizado 2 mantenimientos al año produciendo aumento de daños en los equipos dejando varios equipos sin funcionamiento o concluida su vida útil Recomendación: 1. El personal de operaciones debe de realizar el mantenimiento de acuerdo a lo planificado para satisfacer las necesidades de los usuarios 2. Definir e implementar procedimientos para garantizar el mantenimiento oportuno
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA DOMINIO
PROCESO RELACIONADO CON TI NOMBRE DEL SUBPROCESO GERENCIA RESPONSABLE DEL PROCESO
ProgA
OPERACIÓN SERVICIO Y SOPORTE
Soporte De Usuarios Internos DSS03 GESTIONAR LOS PROBLEMAS GERENCIA DE TI
DESCRIPCIÓN DEL PROCESO Identificar y clasificar problemas y proporcionar resolución en tiempo para incidentes recurrentes. Proporcionar recomendaciones de mejora. DECLARACIÓN DEL PROPÓSITO DEL PROCESO Mejorar los niveles de servicio, reducir costes y mejorar la comodidad para la satisfacción del cliente reduciendo el número de problemas OBJETIVO DEL PROCESO Garantizar que problemas relativos a TI sean resueltos de forma que no vuelvan a suceder RESPONSABLES gerente de TI, coordinador de TI analista TI ENTRADAS DEL PROCESO Solicitudes de requerimientos de soporte ACTIVIDADES DEL PROCESO
8.
Registrar solicitud de soporte en el Sistema de Registro de Requerimientos seleccionando el TIPO DE REQUERIMIENTO, datos del usuario y del inconveniente presentado, si es el caso el usuario adjuntará imagen. El Sistema de Registro de Requerimientos genera un ticket de soporte y envía notificación al mail del usuario. Identificación del problema Direcciona el responsable Analizar requerimiento y validar la información Buscar y analizar la solución Aplicar y realizar pruebas de verificación Cerrar ticket en Sistema y envió de notificación al usuarios
9. 10. 11. 12. 13. 14. 15.
SALIDAS DEL PROCESO Solicitudes resueltos
INDICADOR DE ÉXITO -
Número de requerimientos atendidos y mostrados en el reporte de Sistema Requerimientos.
DOCUMENTACIÓN DE REFERENCIA
-
Manual de Organizacional. Manual de Procesos.
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
DSS03 GESTIONAR PROBLEMAS ( SOPORTE USUARIOS INTERNOS) DESARROLLO
OPERACIONES
REGISTRO
GERENTE TI
Inicio Registra solicitud de soporte sist. RR
Coordinandor TI interno
Generar ticket de solicitud de soporte
Identificación de problema
direccionar a responsable
Analiza requerimiento y valida informacion
Busca y analiza solución NO
Analista TI
Aplica solución Realiza pruebas de verificación SI
Registra solución en el sistema
Recibe la notificacion de cierre de ticket
Resultados satisfechos ?
Envío de notificación al usuario y cierra ticket
Fin Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
No. ACTIVIDADES Registrar solicitud de soporte en el Sistema de Registro de Requerimientos seleccionando el TIPO DE REQUERIMIENTO, 1 datos del usuario y del inconveniente presentado, si es el caso el usuario adjuntará imagen. El Sistema de Registro de Requerimientos genera un ticket de soporte 2 y envía notificación al mail del usuario. 3 Identificación del problema 4 Direcciona el responsable 5 Analizar requerimiento y validar la información C Buscar y analizar la solución
CIO
A
C
A
R R R
A
LEYENDA R RESPONSABLE A AUTORIZA C CONSULTA I INFORMA
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
R
C
R R
C
R R
Aplicar y realizar pruebas de verificación Cerrar ticket en Sistema y envió de notificación al usuarios
ANALISTA DE TI (REDES)
COORDINADOR DE TI (REDES)
GERENTE DE TI (DESARROLLO)
MATRIZ RACI
7 8
ProgA
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
MÉTRICAS RELACIONADAS
DOMINIO:
OPERACIÓN, SERVICIO Y SOPORTE
PROCESO: METAS TI Entrega de servicios TI de acuerdo a los requisitos de negocio
DSS03 GESTIONAR PROBLEMAS
MÉTRICAS RELACIONADAS
INDICADOR
Porcentaje de usuarios satisfechos con la calidad de los servicios de TI entregados
TOTAL 15 74
𝒏º 𝒓𝒆𝒒𝒖𝒆𝒓𝒊𝒎𝒊𝒆𝒏𝒕𝒐 𝒂𝒕𝒆𝒏𝒅𝒊𝒅𝒐𝒔 𝑵ª 𝒓𝒆𝒒𝒖𝒆𝒓𝒊𝒎𝒊𝒆𝒏𝒕𝒐𝒔 𝒓𝒆𝒈𝒊𝒔𝒕𝒓𝒂𝒅𝒐𝒔 𝒆𝒏 𝒆𝒍 𝒔𝒊𝒕𝒆𝒎𝒂
20%
MATRIZ DE NIVEL DE CAPACIDAD NIVELES
PORCENTAJE
DOMINI O
DSS03
PROCESO
GESTIONAR PROBLEMAS
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
20%
INCOMPLET O 0% El proceso no se encuentra implementado o no logra el propósito 0
EJECUTAD O 1% - 25% El proceso logra su propósito 1
GESTIONADO 26% - 50% El proceso realizado se implementa de manera gestionada 2
20%
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ESTABLECID O 51%- 70% El proceso gestionado se implementa de manera definitiva 3
PREDECIBL E 71% - 89%
OPTIMIZAD O 90% - 100%
El proceso definido opera en los límites
El proceso predecible se mejora continuamente
4
5
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
CONCLUSIÓN Y RECOMENDACIÓN DSS03 GESTIONAR PROBLEMAS.
Soporte De Usuarios Internos Condición Los requerimientos de soporte de usuario de acuerdo a las políticas se los debe realizar a través de sistema de requerimientos TI validara la información y establecerá el soporte necesario Criterio los requerimientos registrados en el sistema deben ser revisados contantemente para brindar una solución oportuna Conclusión: El personal de la empresa presentó quejas de soporte técnico que realiza el departamento de TI, debido a que tardan horas en solucionar los problemas y en algunos casos no han sido atendidos, generando así demora el cumplimiento de sus actividades. Al llevar acabo el análisis del proceso de altas y bajas de usuarios identificamos que no existe un proceso adecuado para gestionar los requerimientos de soporte a los usuarios Observando que existe tan solo una persona encargada para resolver incidentes que se presenten en la compañía. Recomendación: 1. Se recomienda que la empresa ECUACOPIA CIA. LTDA., realice monitorios preventivos para verificar que los sistemas se encuentren en buen estado. 2. Clasificar adecuadamente los problemas de acuerdo a su prioridad para determinar su causa raíz y dar una solución oportuna. 3. Realizar los soportes en el menor tiempo posible para evitar paralización de funciones
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA DOMINIO
ProgA
OPERACIÓN SERVICIO Y SOPORTE
PROCESO RELACIONADO CON TI
Mantenimiento de equipos informáticos
NOMBRE DEL SUBPROCESO
DSS02 GESTIONAR PETICIONES E INCIDENTES DE SERVICIO
GERENCIA RESPONSABLE DEL PROCESO
GERENCIA DE TI
DESCRIPCIÓN DEL PROCESO Proveer una respuesta oportuna a los usuarios y la resolución de todo tipo de incidentes. Recuperar el servicio normal: gestionar y complementar las peticiones de usuario; y registrar, diagnosticar y resolver incidentes. DECLARACIÓN DEL PROPÓSITO DEL PROCESO Lograr una mayor productividad y minimizar las interrupciones mediante la rápida resolución de consultas de usuarios e incidentes OBJETIVO DEL PROCESO Los servicios relacionados con TI están disponibles para ser utilizados RESPONSABLE Usuario, Gerente de TI (Desarrollo), Coordinador de TI ( analista TI ENTRADAS DEL PROCESO Equipos informáticos con daños y fallos ACTIVIDADES DEL PROCESO 9. 10. 11. 12. 13. 14. 15.
Registro de incidencia en el Sistema para genera un ticket de mantenimiento
asigna responsable para el mantenimiento y envió de notificación
Verifica si el equipo tiene garantía Si el equipo tiene garantía hace efectiva la garantía y notifica al gerente de TI Buscar y analizar la solución Aplicar y realizar pruebas de verificación Si el equipo es reparado genera un reporte de mantenimiento y notifica al coordinador de TI 16. Cerrar ticket en Sistema de Registro de Requerimientos ingresando el motivo de cierre. SALIDAS DEL PROCESO Equipo de cómputo reparado
INDICADOR DE ÉXITO -
Equipos de cómputo en buen funcionamiento
DOCUMENTACIÓN DE REFERENCIA
-
Manual de Organizacional. Manual de Procesos.
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
DSS02 GESTIONAR PETICIONES E INSIDENTES DE SERVICIO ( Mantenimiento de equipos) DESARROLLO
SIST DE REGISTRO DE REQUEIMIENTOS
OPERACIONES
Registro de incidencia en el Sistema
Coordinandor TI interno
GERENTE TI
Inicio
Generar ticket de mantenimiento
Asignación de responsable y envió de notificación
Verifica si el quipo tiene garantía
Envío notificación
Esta en garantía?
SI
NO
Analista TI
Efectiviza la garantía
Buscar y analizar la solución
Fin
Aplicar y realizar pruebas de verificación
Genera reporte de mantenimiento y envió notificación
SI
Resultados satisfechos ?
Cierre de ticket
Fin
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
No. ACTIVIDADES
1 2 3 4 5
8
Si el equipo es reparado genera un reporte de mantenimiento y notifica al coordinador de TI Cerrar ticket en Sistema de Registro de Requerimientos ingresando el motivo de cierre.
R A C I
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
ANALISTA DE TI (REDES)
CIO
Registro de incidencia en el Sistema para genera un ticket de mantenimiento asigna responsable para el mantenimiento Verifica si el equipo tiene garantía Si el equipo tiene garantía hace efectiva la garantía y notifica a Gerencia de TI Buscar y analizar la solución
A
R R C R
A
R C R
6 Aplicar y realizar pruebas de verificación 7
ProgA
COORDINADOR DE TI (REDES)
MATRIZ RACI
GERENTE DE TI (DESARROLLO)
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
C R R A
C R
LEYENDA RESPONSABLE AUTORIZA CONSULTA INFORMA
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
MÉTRICAS RELACIONADAS
DOMINIO: PROCESO:
OPERACIÓN, SERVICIO Y SOPORTE DSS02 GESTIONAR PETICIONES E INCIDENTES DE SERVICIO
METAS TI
MÉTRICAS RELACIONADAS
entrega de servicios de TI de acuerdo a los requisitos de negocio
INDICADOR
Porcentaje de las partes interesadas satisfechas con el cumplimiento del servicio de TI entregado respecto a los niveles de servicio acordado
TOTAL
𝒏º𝒅𝒆 𝒎𝒂𝒏𝒕𝒆𝒏𝒊𝒎𝒊𝒆𝒏𝒕𝒐𝒔 𝒓𝒆𝒂𝒍𝒊𝒛𝒂𝒅𝒐𝒔 𝒂𝒍 𝒂ñ𝒐 𝑵ª 𝒅𝒆 𝒎𝒂𝒏𝒕𝒆𝒏𝒊𝒎𝒊𝒆𝒏𝒕𝒐𝒔 𝒑𝒍𝒂𝒏𝒊𝒇𝒊𝒄𝒂𝒅𝒐𝒔 𝒂𝒏𝒖𝒂𝒍𝒆𝒔
1 12
17%
MATRIZ DE NIVEL DE CAPACIDAD NIVELES PORCENTAJ E PROCESO DOMINIO DSS02
GESTIONAR PETICIONES E INCIDENTES DE SERVICIO
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
17%
INCOMPLET O 0% El proceso no se encuentra implementado o no logra el propósito 0
EJECUTAD O 1% - 25% El proceso logra su propósito 1
GESTIONADO 26% - 50% El proceso realizado se implementa de manera gestionada 2
17%
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ESTABLECID O 51%- 70% El proceso gestionado se implementa de manera definitiva 3
PREDECIBL E 71% - 89%
OPTIMIZAD O 90% - 100%
El proceso definido opera en los límites
El proceso predecible se mejora continuamente
4
5
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
CONCLUSIÓN Y RECOMENDACIÓN DSS02 GESTIONAR PETICIONES E INCIDENTES DE SERVICIO Mantenimiento De Equipos Informáticos
Condición De acuerdo a las planificaciones establecidas los mantenimientos a los equipos informáticos se los debe realizar mensualmente y se los debe registrar en el sistema de requerimiento como constancia de cada actividad realizada. Criterio Realizar una planificación de mantenimientos mensualmente para cada área llevar un registro adicional de todos los equipos para la solución de problemas en caso q sea necesario. Conclusión: 1. Se realizó un análisis en base a los manuales, políticas y planificaciones establecidas por la empresa ECUACOPIA CIA. LTDA donde podemos conocer que los mantenimientos de equipos informáticos no se realizan de acuerdo a lo planificado, el sistema de requerimientos reporto que se ha realizado 2 mantenimientos al año produciendo aumento de daños en los equipos dejando varios equipos sin funcionamiento o concluida su vida útil 2. Recomendación: 3. El personal de operaciones debe de realizar el mantenimiento de acuerdo a lo planificado para satisfacer las necesidades de los usuarios 4. Definir e implementar procedimientos para garantizar el mantenimiento oportuno
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA DOMINIO
ProgA
OPERACIÓN SERVICIO Y SOPORTE Elaboración de plan de contingencia para pérdida de información.
PROCESO RELACIONADO CON TI NOMBRE DEL SUBPROCESO
DSS04 GESTIONAR LA CONTINUIDAD.
GERENCIA RESPONSABLE DEL PROCESO
GERENCIA DE TI
DESCRIPCIÓN DEL PROCESO Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e interrupciones de servicio para la operación continua de los procesos críticos para el negocio y los servicios TI requeridos y mantener la disponibilidad de la información a un nivel aceptable para la empresa. DECLARACIÓN DEL PROPÓSITO DEL PROCESO Continuar las operaciones críticas para el negocio y mantener la disponibilidad de la información a un nivel aceptable pata la empresa ante el evento de una interrupción significativa OBJETIVO DEL PROCESO 3. Las pruebas de continuidad del servicio han verificado la efectividad del plan. RESPONSABLE Gerente de TI (Desarrollo), Gestor de Proyectos (Sistema), Analista de TI (Seguridad). ENTRADAS DEL PROCESO Elaboración de plan de contingencia para pérdida de información. ACTIVIDADES DEL PROCESO 1. Definir la política de plan de contingencia y alcance. 2. Mantener una estrategia para recuperar la información. 3. Desarrollar e implementar una respuesta para la información. 4. Ejercitar, probar y revisar el plan. 5. Revisar, mantener y mejorar el plan. 6. Gestionar acuerdos de respaldo. 7. Ejecutar revisiones de información recuperada. SALIDAS DEL PROCESO Probar los resultados de copias de seguridad de datos. INDICADOR DE ÉXITO -
Porcentaje de proceso de negocios críticos, servicios TI, y programas de negocios habilitados por las TI cubiertos por evaluaciones de riesgo - Porcentaje de usuarios satisfechos con la calidad de los servicios de TI entregados DOCUMENTACIÓN DE REFERENCIA -
Manual de Organizacional. Manual de Procesos. Manual de Tecnología Informática.
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
CIO
R
2 Mantener una estrategia para recuperar la información. 3 Desarrollar e implementar una respuesta para la información.
ANALISTA DE TI (SEGURIDAD)
No. ACTIVIDADES 1 Definir la política de plan de contingencia y alcance.
COORDINADOR DE TI (SISTEMA)
MATRIZ RACI
GERENTE DE TI (DESARROLLO)
DSS04 GESTIONAR LA CONTINUIDAD.
-
-
C R C R C
4 Ejercitar, probar y revisar el plan. 5 Revisar, mantener y mejorar el plan.
R
C
I
R
6 Gestionar acuerdos de respaldo.
I
R
7 Ejecutar revisiones de información recuperada.
I
R
R A C I
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
LEYENDA RESPONSABLE AUTORIZA CONSULTA INFORMA
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
DSS04 GESTIONAR LA CONTINUIDAD DESARROLLO
GESTION
SEGURIDAD
Gerente TI
Inicio Inicio
Definir Definir políticas políticas de de Plan Plan
Alcance Alcance de de plan plan
Coordinandor TI interno
Estrategia Estrategia para para recuperación recuperación de de información información
Desarrollar Desarrollar ee implementar implementar respuestas respuestas
Ejercitar, Ejercitar, aprobar aprobar yy revisar revisar plan plan
¿Plan ¿Plan aprueba? aprueba?
SI
NO FIN FIN
Analista TI
Revisar, Revisar, mantener mantener yy mejorar mejorar el el plan plan
Gestionar Gestionar acuerdos acuerdos de de respaldo respaldo
Ejecutar Ejecutar revisiones revisiones de de información información recuperada recuperada
Fin
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
MÉTRICAS RELACIONADAS
DOMINIO: PROCESO
OPERACIÓN SERVICIO Y SOPORTE DSS04 GESTIONAR LA CONTINUIDAD.
METAS TI 04 Riesgo de negocio relacionado con las TI gestionadas 07 Entrega de servicios TI de acuerdo a los requerimientos del negocio
MÉTRICAS RELACIONADAS Porcentaje de proceso de negocios críticos, servicios TI, y programas de negocios habilitados por las TI cubiertos por evaluaciones de riesgo
INDICADOR
Porcentaje de usuarios satisfechos con la calidad de los servicios de TI entregados
TOTAL
No. De tareas en planes ejecutados x100 Total tareas en planes planteados
2 x100 10
No. De usuarios satisfechos x 100 Total de usuarios
11 x100 74
20% 15%
17%
PROMEDIO
MATRIZ DE NIVEL DE CAPACIDAD NIVELES
PORCENTAJE
DOMINIO
DSS04
PROCESO
Gestionar la Continuidad
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
17%
INCOMPLETO
EJECUTADO
GESTIONADO
ESTABLECIDO
PREDECIBLE
OPTIMIZADO
0% El proceso no se encuentra implementado o no logra el propósito 0
1% - 25%
26% - 50%
51%- 70%
71% - 89%
90% - 100%
El proceso logra su propósito
El proceso realizado se implementa de manera gestionada
El proceso gestionado se implementa de manera definitiva
1
2
3
17%
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
El proceso definido El proceso opera en los predecible se mejora límites continuamente 4
5
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
CONCLUSIÓN Y RECOMENDACIÓN DSS02 GESTIONAR LAS PETICIONES Y LOS INCIDENTES DEL SERVICIO. Elaboración de plan de contingencia para pérdida de información. Condición: Continuar las operaciones para el negocio y mantener la disponibilidad de la información a un nivel aceptable para la empresa ante el evento de una interrupción significativa o perdida de la información inesperada. Criterio: Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e interrupciones en el servicio para la operación continua de sus procesos en la empresa y los servicios TI requeridos y mantener la disponibilidad de la información a un nivel aceptable.
Conclusión: 1. Al llevar acabo el análisis del plan de contingencia para la seguridad de información en el departamento de TI se presenta el riego debido a que la empresa ECUACOPIA CIA. LTDA., no cuenta con un seguro en caso de ocurrir un siniestro o algún hecho que puede incurrir en pérdida de información, debido a que la misma solo se respalda en discos duros externos y cuenta con un Datacenter que será reubicado. 2. Se han ejecutado únicamente 2 tareas del plan elaborado con 10 actividades anuales propuestas. Recomendación: 1. Se recomienda a la empresa que podría adquirir mayor seguridad de su información al contratar servicios en la nube de carácter privado para el respaldo de la misma. 2. Elaborar planes de contingencia donde señale también planes en caso de siniestros. 3. Incrementar el presupuesto para operaciones del departamento de TI.
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA DOMINIO
ProgA
ENTREGA, SERVICIO, SOPORTE
PROCESO RELACIONADO CON TI
Creación de claves y cuentas de usuario
NOMBRE DEL SUBPROCESO
DSS05 GESTIONAR LOS SERVICIOS DE SEGURIDAD
GERENCIA RESPONSABLE DEL GERENCIA TI PROCESO DESCRIPCIÓN DEL PROCESO Proteger la información de la empresa para mantener aceptable el nivel de riesgo de seguridad de la información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad. DECLARACIÓN DEL PROPÓSITO DEL PROCESO Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de seguridad en la información. OBJETIVO DEL PROCESO Otorgar un identificador y clave de acceso a un empleado de acuerdo a la asignación de funciones para que pueda operar en el Sistema, restringiendo los accesos de los usuarios creados con la finalidad que solo pueda operar en los módulos autorizados. RESPONSABLE Gerencia TI, Coordinador TI, Analista TI ENTRADAS DEL PROCESO Definición de roles y responsabilidades relacionadas con TI ACTIVIDADES DEL PROCESO 1. La gerencia Técnica solicita la creación de claves. 2. Se realiza la creación de usuario con las iniciales de su primer nombre y apellido del empleado. 3. Se asignan los roles, detallados en la solicitud de gerencia de creación de usuario. 4. Se realiza un oficio dirigido a la gerencia Técnica para la realización de la clave de usuario. 5. Se verifica los roles y restricciones 6. Entrega el oficio al nuevo personal que utilizará la nueva clave. SALIDAS DEL PROCESO Informe de contraseñas entregadas al personal. INDICADOR DE ÉXITO Número de incidentes relacionados con accesos no autorizados a la información. DOCUMENTACIÓN DE REFERENCIA -
Manual de Organizacional. Manual de Procesos. Manual de Tecnología Informática.
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
No. ACTIVIDADES 1 Ingresar al Sistema
2 3 4 5
Crear usuario Asignación de Roles
6
Entrega las claves
C A R
Realizar el oficio Verifica los roles
R LEYENDA R RESPONSABLE A AUTORIZA C CONSULTA I INFORMA
.
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
SEGURIDAD INFORMÁTICA
MATRIZ RACI
ProgA
GERENTE DE TI (DESARROLLO)
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
R R R I R C
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
DSS 05 GESTIONAR EL SERVICIO DE SEGURIDAD (Creación de Claves y Usuarios) GERENCIA TÉCNICA
SEGURIDAD INFORMÁTICA
GERENTE DE TI
INICIO
Solitud de creación de claves
Autorización
COORDINADOR DE TI
Ingresar al Sistema NO Crear usuario
Asignación de roles y claves
Asignación de Clave Personal
ANALISTA DE TI
Verifica los roles y restricciones ¿Esta correcto? SI Oficio con clave
Entrega de claves al nuevo personal FIN
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
MÉTRICAS RELACIONADAS
DOMINIO: PROCESO: METAS TI
ALINEAR, PLANIFICAR Y ORGANIZAR APO 13 Gestionar la Seguridad MÉTRICAS RELACIONADAS
10 Disponibilidad de información útil y relevante para la toma de decisiones
Número de incidentes en los procesos de negocios causados por indisponibilidad de la información.
15 Cumplimiento de las políticas internas por parte de las TI
Cumplimiento de las evaluaciones de conformidad
INDICADOR
TOTAL
Número de incidentes significativos encontrados Número de incidentes de seguridad en los procesos
6 80
Números de Normas Cumplidas
1 6 total
Número de Normas Existentes
0,08%
0,17% 0,24%
MATRIZ DE NIVEL DE CAPACIDAD INCOMPLETO EJECUTADO GESTIONADO ESTABLECIDO PREDECIBLE OPTIMIZADO NIVELES
PORCENTAJE
PROCESO
0% El proceso no se encuentra implementado o no logra el propósito
1% - 25% El proceso logra su propósito
26% - 50% El proceso realizado se implementa de manera gestionada
DOMINIO
DSS05 Gestionar Servicios de Seguridad Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
24%
24% Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017
51%- 70%
71% - 89%
90% - 100%
El proceso gestionado se implementa de manera definitiva
El proceso definido opera en los límites
El proceso predecible se mejora continuamente
ECUACOPIA CIA. LTDA. AUDITORIA INFORMÁTICA Del 01 de enero al 31 de diciembre 2016 PROGRAMA DE AUDITORIA
ProgA
CONCLUSIÓN Y RECOMENDACIÓN DSS05 GESTIONAR LOS SERVICIOS DE SEGURIDAD Creación de claves y usuarios Condición: Se carece de un formulario específico para la creación y administración de cuentas de usuarios, que gestione las modificaciones o eliminaciones de usuarios existentes. No se maneja un reporte mensual que enliste y verifique los usuarios existentes y de un responsable asignado a comprobar el personal que se encuentra laborando y requiere de una clave de acceso. Criterio: Proteger la información de la empresa para mantener aceptable el nivel de riesgo de seguridad de la información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad. Conclusión: La falta de un procedimiento y la asignación de un responsable que aplique las regulaciones corporativas, puede generar duplicidad de usuarios con perfiles de acceso no requeridos a sus funciones, y hasta existencias de cuentas activas para ex funcionarios de la organización. Esto puede ocasionar un riesgo elevado de acceso o transmisión de claves de usuarios, inclusive la utilización de usuarios no correspondientes. Recomendación:
Se recomienda la creación, aprobación y comunicación del procedimiento sobre gestión de cuentas de usuarios a nivel local. A la vez generar el proceso de capacitación del mismo a los responsables de área en cuestión, y mando medios.
Se debe asignar un responsable específico, ya sea de TI o de Control Interno, para que verifique mensualmente la creación de usuarios nuevos, las modificaciones que hayan realizado y las eliminaciones solicitadas y efectuadas en el mes, a su vez que este comunique los resultados de tal verificación mediante reporte dirigido a las Gerencia de TI y Control Interno
Elaborado por: AUDITED S.A. Revisado por: Ing. Patricia Jimbo (MBA)
Fecha Inicio: 26/Noviembre/2017 Fecha Fin: 20/Diciembre/2017