NEUMANN BUSINESS SCHOOL ESCUELA DE POSTGRADO MAESTRÍA EN TECNOLOGÍAS DE LA INFORMACIÓN AUDITORÍA INFORMÁTICA AL DEPARTA
Views 182 Downloads 3 File size 551KB
NEUMANN BUSINESS SCHOOL ESCUELA DE POSTGRADO MAESTRÍA EN TECNOLOGÍAS DE LA INFORMACIÓN
AUDITORÍA INFORMÁTICA AL DEPARTAMENTO DE TECNOLOGÍA E INFORMÁTICA DE LA CERTIFICADORA TSTRUST S.A. TRABAJO FINAL DE ASIGNATURA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN
MAESTRO EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN AUTORES: FERNANDA TATIANA ORTIZ LIMA CRISTINA ELIZABETH BASTIDAS SOSA DOCENTE GUÍA: MBA. YVAN DÍAZ ZELADA
TACNA – PERÚ 2019
ÍNDICE RESUMEN EJECUTIVO ...................................................................................................... 3 PRESENTACIÓN DE LA EMPRESA .................................................................................. 4 DESARROLLO DEL TEMA................................................................................................. 6 Objetivo .............................................................................................................................. 6 Definición del alcance ........................................................................................................ 6 Recursos necesarios ............................................................................................................ 6 Plan de acción ..................................................................................................................... 7 Clasificación de riesgos .................................................................................................... 11 Matriz de Evaluación de Riesgos ...................................................................................... 11 Formato de Informe Final ................................................................................................. 15 CONCLUSIONES ................................................................................................................ 19 RECOMENDACIONES ...................................................................................................... 19 BIBLIOGRAFÍA .................................................................................................................. 21
RESUMEN EJECUTIVO
El presente proyecto trata sobre la planificación y desarrollo de una auditoría informática para el Departamento de Tecnología e Informática de la empresa TSTRUST a través del uso de la metodología COBIT con el propósito de revelar las deficiencias y vulnerabilidades en cuanto al manejo de la información se refiere, permitiendo de esta manera obtener un estudio sobre la situación actual de dicha empresa en cuanto a infraestructura tecnológica se refiere. Una vez concluido el proceso de auditoría informática, se realiza un informe sobre los riesgos reales y posibles deficiencias encontradas así como las recomendaciones más adecuadas para brindar las soluciones respectivas. Entre los principales hallazgos encontrados dentro de la presente auditoría informática se pueden mencionar laalta de renovación periódica de claves de acceso (contraseñas) de los usuarios del sistema informático y el sistema operativo, falta de medidas de Seguridad Física adecuadas en la compañía, la falta de organización en el Departamento Informático y la falta de un Plan de Capacitación Informática
PRESENTACIÓN DE LA EMPRESA
Nombre de la empresa Certificadora de Información TSTRUST S.A
Descripción de las actividades de la empresa Actividades relacionadas con los procesos de mantenimiento y operación de acceso a servicios de transmisión de video, texto, sonido, datos y voz por medio del uso de infraestructura de telecomunicaciones alámbricas
Servicios que brinda
Consultoría
Capacitación
Outsourcing de tecnología
Marketing Digital
Ámbito en el que se desarrolla La Certificadora de Información TSTRUST S.A ha creado un gran número de capacidades que le permiten apoyar a sus clientes con el objetivo de incrementar notablemente sus inversiones en tecnología, de esta manera se posesionan dentro del ámbito de despliegue, adopción y operación de la infraestructura de comunicaciones. Esta empresa tiene como objetivo incluir dentro de las necesidades del negocio de los clientes elementos como: redes firmes, soluciones en la nube en el ámbito privado, implementación del escritorio virtual unificado y soluciones de seguridad ciudadana llegando convirtiéndose de esta manera en una empresa con una vasta experiencia en el
ámbito de la Información y de Comunicaciones no solo a nivel nacional sino en la región andina. Estructura organizacional La estructura general de la Certificadora de Información TSTRUST S.A está conformada de la siguiente manera:
Gerente General
Dirección
Departamento de Tecnologías de la Información y Comunicación
Departamento Administrativo
Departamento de Talento Humano
En cuanto se refiere específicamente a la estructura del Departamento de Tecnologías e Informática:
Departamento de Tecnologías e Informática
Gerentes de Proyectos
Arquitectos
Programadores
Analistas
DESARROLLO DEL TEMA
Objetivo Desarrollar una Auditoría Informática de los Sistemas de Tecnología del Departamento de Tecnología e Informática de la empresa TSTRUST a través del modelo COBIT para optimizar e incrementar el manejo, seguridad y confiabilidad de su información.
Definición del alcance El alcance permite definir tanto el entorno y los límites en que va a desarrollarse la mencionada auditoria informática. Para ello, la presente Auditoria Informática está orientada a aplicarse en la empresa TSTRUST, abarcando exclusivamente el Departamento de Tecnología e Informática. En primera instancia se realizó un estudio tanto de la contexto actual de la empresa en cuestión identificando las normativas, estructura y funciones que se manejan dentro de la organización así como revisando la gestión del Departamento de Informática con la finalidad de evaluar el presente estado de dicho departamento, de esta manera se puede asesorar acerca de la presencia de fallas e inconsistencias en sus sistemas de información. De esta manera la gerencia podrá mantener un control adecuado sobre la organización al reducir notablemente los niveles de riesgo inherente, generando mayor eficiencia y eficacia dentro de la empresa.
Recursos necesarios En base a información obtenida inicialmente, los recursos materias y humanos requeridos en el desarrollo de la presente auditoría informática se detallan a continuación:
Recurso material
Equipos
Este tipo de recursos son proporcionados por la empresa auditada. Sin embargo todo el trabajo que se planifica realizar dentro de la presente auditoría se basa en la documentación y almacenamiento de la información, para lo cual se utiliza una computadora y una impresora. Software Como recursos de apoyo en la presente auditoría se emplearán las siguientes herramientas ofimáticas: MS EXCEL: elaboración de tablas y cuadros. MS WORD: documentación y redacción.
Recurso humano Responsable del proyecto: Es la persona que se encarga de obtener el contacto con la empresa para que dicha organización se encargue de brindar las facilidades para obtener tanto la documentación como la información base para llevar a cabo la auditoría. Esta persona es la que en debe conocer adecuadamente todo el proceso metodológico que abarca una auditoría informática. En este caso de estudio son los autores del proyecto quienes asumen este rol. Auditores: Es la persona que se encarga de la recopilación, sistematización y análisis de la información suministrada por la empresa. Dicha persona debe conocer tanto la metodología aplicable en la auditoría así como el modelo COBIT y su respectiva aplicación.
Plan de acción A continuación se detallan las actividades a realizar dentro del proceso de auditoría informática a realizarse al Departamento de Tecnología e Informática de la empresa TSTRUST con el respectivo tiempo de duración en días y el número de responsables por
actividad a realizar. Además se establece una tabla con el presupuesto total empleado para el desarrollo de la presente auditoría.
Tabla 1 Actividades generales de la auditoría informática Fase
Descripción
Actividad
Número de
Tiempo
responsables Objetivo
Obtención y
Obtener información competente y relevante y evidencias
recopilación de la
suficientes para conocer la realidad del Departamento de
información
Tecnología e Informática de la empresa TSTRUST previo
1
3 días
2
2 días
1
2 días
al desarrollo de la auditoría informática Conocer la estructura de Entrevistar al Gerente de TSTRUST con la finalidad de la empresa para iniciar
obtener información relevante y útil para el desarrollo de
ron la auditoría
la auditoría informática.
informática.
Llevar a cabo una revisión de la estructura de la empresa TSTRUST para conocer su distribución y división .
Evaluación
Evaluar el
Aplicar herramientas de Control Interno
1
7 días
de control
sistema de
Evaluación del control interno mediante los componentes
1
2 días
control interno
de COSO
del Departamento de
Determinar las áreas críticas y hallazgos
1
1 día
interno
Tecnología e Informática en la empresa TSTRUST
Información y
Dar a conocer los
obtenidos
1
3 días
Dar a conocer el informe con la gerencia y el personal
1
6 días
resultados y
comunicación hallazgos de resultados
Redactar el informe final
encontrados a lo largo del proceso de aplicación de la
involucrado, principalmente con el perteneciente al Departamento de Tecnología e Informática en la empresa TSTRUST
auditoría informática
Tabla 2 Tiempos y costos designados para la auditoria Etapa Planificación
Preliminar Específica
Ejecución Información y comunicación de resultado Total de la auditoría
Tiempo 7 días 10 días 9 días
Costo (USD) 450, 00 150,00 100,00 450,00
26 días
1.115,00
Clasificación de riesgos En este apartado se consideró la obtención de información y recopilación de evidencias tanto suficientes como competentes, que permitan reflejar la realidad de la compañía y establecer sus riesgos y posteriormente sus respectivos hallazgos. Esta evidencia se obtuvo bajo el sistema de control interno, enfocándonos en todo lo relacionado a la auditoría informática
Actividades de Control en la Seguridad Física Actividades de Control en la Seguridad Lógica Actividades de Control en el Hardware Actividades de Control en el Software Actividades de Control en la Infraestructura. Actividades de Control en el Sistema Informático.
Matriz de Evaluación de Riesgos
Componente
Riesgo
Nivel Alto
Actividades de Control en la Seguridad Física
Instalaciones inseguras.
eléctricas
Medio
Análisis Bajo Las
medidas
de
control
interno
informáticas implantadas en la empresa, son básicas, se debería implementar
Existe
una
sola
persona
medidas
de
manera
escrita
más
responsable directamente del
específicas que ayuden a mantener la
cuidado de todos los equipos
seguridad de los bienes informáticos
informáticos Carecen periódico
de de
un
control
los
bienes
informáticos
Actividades de
Carecen de claves de bloqueo
el manejo del software es el apropiado ya
para el Sistema Operativo.
que se salvaguarda toda la información,
Inexistencia de control de
pero se necesita implementar medidas de
acceso a redes sociales
control y seguridad más convincentes que
Control en la
ayuden a proteger la información de la
Seguridad Lógica
compañía, y que sean mejor utilizadas por la alta gerencia Carecen de una planificación
En la compañía se da mantenimiento a un
Actividades de
para dar mantenimiento a los
equipo cada vez que deja de funcionar
Control en el
equipos con los que se trabaja
totalmente,
pero
se
debería
dar
mantenimiento periódicamente
Hardware Escaso control de accesos de
En
la
empresa
las
políticas
y
virus, hackers, y otros que
procedimientos de actualización son
afecten al software de los
simplemente
Actividades de
equipos
implementar las mismas de manera
Control en el
Carecen
Software
verbales,
se
debería
y
escrita, además de asignar a una persona
procedimientos formales para
responsable de la actualización periódica.
de
políticas
actualizar el sistema operativo Inexistencia de una adecuada
Existe en la compañía un Reglamento
segregación de funciones
Interno, en el cual no se especifica las funciones y responsabilidades de cada
Actividades de Control en la Infraestructura.
Carecen de espacio físico para
persona que labora en el área informática,
todos
debería implementarse un manual de
equipos
en
el
funciones
departamento informático
y
otro
manual
de
procedimientos para los trabajadores Actividades de Control en el Sistema Informático
Carecen de un procedimiento
Los usuarios del sistema cada vez que
formal
deben cambiar datos en el mismo solo se
para
modificaciones
realizar de
información en el sistema
la
ingresan cambian los datos en el cual no se graba quien realizó la modificación, es por estos motivos que deben implementar autorizaciones a una sola persona para que los realice, solo en el caso que sea necesario.
Formato de Informe Final AUDITORÍA INFORMÁTICA Departamento Tecnología e Informática de Certificadora de Información TSTRUST S.A Programa Ejecución
Actividad
Hallazgo
Entrevista
Falta
preliminar
renovación
Condición
Causa
de Los usuarios del sistema informático no No está definida dicha política, por lo
periódica
realizan renovación en sus contraseñas tanto no se realiza dicho proceso, no de desde que ingresaron a laborar en la existe
un
adecuado
control
de
claves de acceso compañía
verificación de claves, para saber si estas
(contraseñas) de
son o no seguras.
los usuarios del sistema informático y el sistema operativo. Cuestionario de
Falta de medidas Inexistencia de medidas de seguridad La gestión inadecuada y el descuido de la
Control de
Interno
Seguridad adecuadas sobre todo para proteger los alta gerencia por prevenir los riesgos,
Física adecuadas bienes
además de no adoptar medidas de
en la compañía
seguridad para los bienes.
Cuestionario de
Falta
de Falta de organización respecto a las Falta de establecimiento de canales
Control organización en funciones de las tres personas encargadas formales de comunicación e información
Interno
el Departamento del departamento informático
que fomenten la confianza y seguridad
Informático.
entre los diferentes niveles jerárquicos de la empresa.
Cuestionarios de interno.
Falta de un Plan Falta de un plan de capacitación Inexistencia de un plan de capacitación
control de Capacitación informática para los encargados así como adecuado para todo el personal revisando Informática
cursos de capacitación periódica para los las dificultades en el uso del sistema jefes de almacén y vendedores de la informático compañía.
Quito, 22 de septiembre del 2019. Ingeniero. Wilson Ortíz Gerente Certificadora de Información TSTRUST S.A. Presente.De mi consideración: A la culminación de la Auditoría Informática, aplicada a la empresa TSTRUST S.A de la ciudad de Quito, provincia de Pichincha, durante el período 2019, mi responsabilidad es expresar la opinión acerca de los niveles de seguridad física, lógica y el control interno que maneja la compañía, expresados en una opinión clara y concreta del desarrollo de estas medidas de control y si estos se ejecutan de manera idónea con base las Normas de Control Interno. La Auditoría de Sistemas Informáticos fue aplicada en base a los componentes del Método COSO II, y Normas de Control Interno establecidos es a la por la Contraloría General del Estado referentes a la tecnología de la información, etc., elementos que me han permitido realizar una evaluación objetiva de la situación actual de la empresa e identificar sus falencias y necesidades, que hacen que la seguridad de los recursos informáticos de TSTRUST S.A., no sea confiable en su totalidad. Los componentes analizados dentro de esta Auditoría son: Ambiente Interno, Establecimiento de Objetivos, Identificación de Riesgos, Evaluación de Riesgos, Respuesta al Riesgo, Información, Comunicación y Monitoreo; componentes aplicados a las actividades que se ejercen en la empresa. En mi opinión, TSTRUST S.A sí se ajusta a las disposiciones legales vigentes, al dar cumplimiento a las exigencias del Instituto Ecuatoriano de Seguridad Social, Servicio de Rentas Internas y demás entes reguladores a los que está obligada a someterse dicha Empresa; pero a la vez se abstrae de dar cumplimiento a normas de control interno que fomenten el desarrollo de seguridades tanto físicas como lógicas de los sistemas informáticos. A continuación detallaré los hechos más relevantes encontrados en el proceso de evaluación, ejecución e identificación de riesgos de la Auditoría, los que se resumen de manera puntual en las conclusiones y recomendaciones citadas a continuación: CONCLUSIONES Y RECOMENDACIONES CONCLUSIÓN 1.- En el departamento informático jamás un usuario ha renovado sus contraseñas de acceso tanto al Sistema Operativo como al Sistema Informático.
RECOMENDACIÓN 1.- Los encargados del departamento informático deben crear una política de renovación de claves de acceso al sistema informático y al sistema operativo por lo menos de cada sesenta días para incrementar la seguridad. CONCLUSIÓN 2.- Debido a las múltiples ocupaciones de la alta gerencia se ha descuidado la seguridad de los bienes informáticos ante propios y ajenos. RECOMENDACIÓN 2.- La persona encargada del funcionamiento del sistema informático debería implementar una bitácora de supervisión del personal que ingresa al departamento además de un circuito cerrado de cámaras.
CONCLUSIÓN 3.- El departamento informático no ha realizado capacitaciones informáticas periódicas que motiven al aprovechamiento de los recursos informáticos. RECOMENDACIÓN 3.- El departamento informático debe programar capacitaciones al menos cada seis meses para todo el personal que utiliza el sistema informático para mejorar su productividad. CONCLUSIÓN 4.- El personal del departamento informático tiene también otras funciones, reduciendo la efectividad de su soporte técnico en las operaciones. RECOMENDACIÓN 4.- Implementar un manual de procedimientos donde se especifique claramente todas las responsabilidades de cada colaborador para incrementar la productividad del personal. Implantar una bitácora de los trabajos realizados para controlar las mejoras del sistema informático.
CONCLUSIONES
La metodología propuesta en el presente estudio permite revisar el uso de la tecnología de información en el Departamento Tecnología e Informática de Certificadora de Información TSTRUST S.A por medio del uso de modernas técnicas para la recopilación de la información y análisis detallado. De esta manera se puede identificar de manera práctica los riesgos presentes evaluando también los controles en el uso de éstas.
La Auditoría Informática en el ámbito del desarrollo local es para muchos desconocida y sin mucha oportunidad de experimentación. La Certificadora de Información TSTRUST S.A no había llevado a cabo anteriormente una investigación de esta índole, de ahí lo importante del examen para las futuras administraciones.
Uno de los principales riesgos encontrados que ocasionó problemas en el manejo de la información en el departamento auditado constituye la falta de inventario de equipos, software y mobiliario de cómputo.
RECOMENDACIONES
El indudable avance de las tecnologías de la información ha hecho que la Auditoría se convierta en un campo de vital importancia en la actualidad de las empresas. Se recomienda que este tipo de auditoría se ejecute en la empresa de forma anual con la finalidad de comprobar si los cambios fueron ejecutados de manera exitosa.
Se debe elaborar un Manual Interno de Funciones dentro del Departamento por cada Departamento de Tecnología E Informática de la Certificadora TSTRUST S.A. con los cual se ayudaría a mejorar las responsabilidades específicas que debe tener todo el personal.
La empresa debe incrementar la seguridad en cuanto al manejo de la información se refiere a través de la creación de planes de contingencia para evitar pérdidas considerables de información. Este proceso se puede canalizar a través del uso de espacios seguros donde se pueda almacenar dicha información, tales como programas de aplicación y backups
Aplicar un plan de capacitación al personal del departamento acorde las necesidades específicas de la institución para aprovechar los recursos informáticos con la finalidad de dar cumplimiento a los objetivos de la organización
BIBLIOGRAFÍA
González, P. (2018). Auditoría TI en la Asociación APSA. Obtenido de https://rua.ua.es/dspace/bitstream/10045/80391/1/Auditoria_TI_en_la_Asociacion_ APSA_GONZALEZ_MATAIX_PAULA.pdf Piatinni, M., & del Peso, E. (2001). Auditoría Informática: un enfoque práctico. México D.F.: Alfaomega. Quintuña, V. (2010). Auditoría Informática - SUPERTEL. Obtenido de https://dspace.ucuenca.edu.ec/bitstream/123456789/652/1/ts205.pdf Ramos, M. (1996). La Auditoría Informática. Informática y Derecho, 983-991.