• Author / Uploaded
• Wman Martinez

Citation preview

NEUMANN BUSINESS SCHOOL ESCUELA DE POSTGRADO MAESTRÍA EN TECNOLOGÍAS DE LA INFORMACIÓN

AUDITORÍA INFORMÁTICA AL DEPARTAMENTO DE TECNOLOGÍA E INFORMÁTICA DE LA CERTIFICADORA TSTRUST S.A. TRABAJO FINAL DE ASIGNATURA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN

MAESTRO EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN AUTORES: FERNANDA TATIANA ORTIZ LIMA CRISTINA ELIZABETH BASTIDAS SOSA DOCENTE GUÍA: MBA. YVAN DÍAZ ZELADA

TACNA – PERÚ 2019

ÍNDICE RESUMEN EJECUTIVO ...................................................................................................... 3 PRESENTACIÓN DE LA EMPRESA .................................................................................. 4 DESARROLLO DEL TEMA................................................................................................. 6 Objetivo .............................................................................................................................. 6 Definición del alcance ........................................................................................................ 6 Recursos necesarios ............................................................................................................ 6 Plan de acción ..................................................................................................................... 7 Clasificación de riesgos .................................................................................................... 11 Matriz de Evaluación de Riesgos ...................................................................................... 11 Formato de Informe Final ................................................................................................. 15 CONCLUSIONES ................................................................................................................ 19 RECOMENDACIONES ...................................................................................................... 19 BIBLIOGRAFÍA .................................................................................................................. 21

RESUMEN EJECUTIVO

El presente proyecto trata sobre la planificación y desarrollo de una auditoría informática para el Departamento de Tecnología e Informática de la empresa TSTRUST a través del uso de la metodología COBIT con el propósito de revelar las deficiencias y vulnerabilidades en cuanto al manejo de la información se refiere, permitiendo de esta manera obtener un estudio sobre la situación actual de dicha empresa en cuanto a infraestructura tecnológica se refiere. Una vez concluido el proceso de auditoría informática, se realiza un informe sobre los riesgos reales y posibles deficiencias encontradas así como las recomendaciones más adecuadas para brindar las soluciones respectivas. Entre los principales hallazgos encontrados dentro de la presente auditoría informática se pueden mencionar laalta de renovación periódica de claves de acceso (contraseñas) de los usuarios del sistema informático y el sistema operativo, falta de medidas de Seguridad Física adecuadas en la compañía, la falta de organización en el Departamento Informático y la falta de un Plan de Capacitación Informática

PRESENTACIÓN DE LA EMPRESA

Nombre de la empresa Certificadora de Información TSTRUST S.A

Descripción de las actividades de la empresa Actividades relacionadas con los procesos de mantenimiento y operación de acceso a servicios de transmisión de video, texto, sonido, datos y voz por medio del uso de infraestructura de telecomunicaciones alámbricas

Servicios que brinda 

Consultoría



Capacitación



Outsourcing de tecnología



Marketing Digital

Ámbito en el que se desarrolla La Certificadora de Información TSTRUST S.A ha creado un gran número de capacidades que le permiten apoyar a sus clientes con el objetivo de incrementar notablemente sus inversiones en tecnología, de esta manera se posesionan dentro del ámbito de despliegue, adopción y operación de la infraestructura de comunicaciones. Esta empresa tiene como objetivo incluir dentro de las necesidades del negocio de los clientes elementos como: redes firmes, soluciones en la nube en el ámbito privado, implementación del escritorio virtual unificado y soluciones de seguridad ciudadana llegando convirtiéndose de esta manera en una empresa con una vasta experiencia en el

ámbito de la Información y de Comunicaciones no solo a nivel nacional sino en la región andina. Estructura organizacional La estructura general de la Certificadora de Información TSTRUST S.A está conformada de la siguiente manera:

Gerente General

Dirección

Departamento de Tecnologías de la Información y Comunicación

Departamento Administrativo

Departamento de Talento Humano

En cuanto se refiere específicamente a la estructura del Departamento de Tecnologías e Informática:

Departamento de Tecnologías e Informática

Gerentes de Proyectos

Arquitectos

Programadores

Analistas

DESARROLLO DEL TEMA

Objetivo Desarrollar una Auditoría Informática de los Sistemas de Tecnología del Departamento de Tecnología e Informática de la empresa TSTRUST a través del modelo COBIT para optimizar e incrementar el manejo, seguridad y confiabilidad de su información.

Definición del alcance El alcance permite definir tanto el entorno y los límites en que va a desarrollarse la mencionada auditoria informática. Para ello, la presente Auditoria Informática está orientada a aplicarse en la empresa TSTRUST, abarcando exclusivamente el Departamento de Tecnología e Informática. En primera instancia se realizó un estudio tanto de la contexto actual de la empresa en cuestión identificando las normativas, estructura y funciones que se manejan dentro de la organización así como revisando la gestión del Departamento de Informática con la finalidad de evaluar el presente estado de dicho departamento, de esta manera se puede asesorar acerca de la presencia de fallas e inconsistencias en sus sistemas de información. De esta manera la gerencia podrá mantener un control adecuado sobre la organización al reducir notablemente los niveles de riesgo inherente, generando mayor eficiencia y eficacia dentro de la empresa.

Recursos necesarios En base a información obtenida inicialmente, los recursos materias y humanos requeridos en el desarrollo de la presente auditoría informática se detallan a continuación: 

Recurso material

Equipos

Este tipo de recursos son proporcionados por la empresa auditada. Sin embargo todo el trabajo que se planifica realizar dentro de la presente auditoría se basa en la documentación y almacenamiento de la información, para lo cual se utiliza una computadora y una impresora. Software Como recursos de apoyo en la presente auditoría se emplearán las siguientes herramientas ofimáticas:  MS EXCEL: elaboración de tablas y cuadros.  MS WORD: documentación y redacción. 

Recurso humano  Responsable del proyecto: Es la persona que se encarga de obtener el contacto con la empresa para que dicha organización se encargue de brindar las facilidades para obtener tanto la documentación como la información base para llevar a cabo la auditoría. Esta persona es la que en debe conocer adecuadamente todo el proceso metodológico que abarca una auditoría informática. En este caso de estudio son los autores del proyecto quienes asumen este rol.  Auditores: Es la persona que se encarga de la recopilación, sistematización y análisis de la información suministrada por la empresa. Dicha persona debe conocer tanto la metodología aplicable en la auditoría así como el modelo COBIT y su respectiva aplicación.

Plan de acción A continuación se detallan las actividades a realizar dentro del proceso de auditoría informática a realizarse al Departamento de Tecnología e Informática de la empresa TSTRUST con el respectivo tiempo de duración en días y el número de responsables por

actividad a realizar. Además se establece una tabla con el presupuesto total empleado para el desarrollo de la presente auditoría.

Tabla 1 Actividades generales de la auditoría informática Fase

Descripción

Actividad

Número de

Tiempo

responsables Objetivo

Obtención y

Obtener información competente y relevante y evidencias

recopilación de la

suficientes para conocer la realidad del Departamento de

información

Tecnología e Informática de la empresa TSTRUST previo

1

3 días

2

2 días

1

2 días

al desarrollo de la auditoría informática Conocer la estructura de Entrevistar al Gerente de TSTRUST con la finalidad de la empresa para iniciar

obtener información relevante y útil para el desarrollo de

ron la auditoría

la auditoría informática.

informática.

Llevar a cabo una revisión de la estructura de la empresa TSTRUST para conocer su distribución y división .

Evaluación

Evaluar el

Aplicar herramientas de Control Interno

1

7 días

de control

sistema de

Evaluación del control interno mediante los componentes

1

2 días

control interno

de COSO

del Departamento de

Determinar las áreas críticas y hallazgos

1

1 día

interno

Tecnología e Informática en la empresa TSTRUST

Información y

Dar a conocer los

obtenidos

1

3 días

Dar a conocer el informe con la gerencia y el personal

1

6 días

resultados y

comunicación hallazgos de resultados

Redactar el informe final

encontrados a lo largo del proceso de aplicación de la

involucrado, principalmente con el perteneciente al Departamento de Tecnología e Informática en la empresa TSTRUST

auditoría informática

Tabla 2 Tiempos y costos designados para la auditoria Etapa Planificación

Preliminar Específica

Ejecución Información y comunicación de resultado Total de la auditoría

Tiempo 7 días 10 días 9 días

Costo (USD) 450, 00 150,00 100,00 450,00

26 días

1.115,00

Clasificación de riesgos En este apartado se consideró la obtención de información y recopilación de evidencias tanto suficientes como competentes, que permitan reflejar la realidad de la compañía y establecer sus riesgos y posteriormente sus respectivos hallazgos. Esta evidencia se obtuvo bajo el sistema de control interno, enfocándonos en todo lo relacionado a la auditoría informática

 Actividades de Control en la Seguridad Física  Actividades de Control en la Seguridad Lógica  Actividades de Control en el Hardware  Actividades de Control en el Software  Actividades de Control en la Infraestructura.  Actividades de Control en el Sistema Informático.

Matriz de Evaluación de Riesgos

Componente

Riesgo

Nivel Alto

Actividades de Control en la Seguridad Física

Instalaciones inseguras.

eléctricas

Medio

Análisis Bajo Las

medidas

de

control

interno

informáticas implantadas en la empresa, son básicas, se debería implementar

Existe

una

sola

persona

medidas

de

manera

escrita

más

responsable directamente del

específicas que ayuden a mantener la

cuidado de todos los equipos

seguridad de los bienes informáticos

informáticos Carecen periódico

de de

un

control

los

bienes

informáticos

Actividades de

Carecen de claves de bloqueo

el manejo del software es el apropiado ya

para el Sistema Operativo.

que se salvaguarda toda la información,

Inexistencia de control de

pero se necesita implementar medidas de

acceso a redes sociales

control y seguridad más convincentes que

Control en la

ayuden a proteger la información de la

Seguridad Lógica

compañía, y que sean mejor utilizadas por la alta gerencia Carecen de una planificación

En la compañía se da mantenimiento a un

Actividades de

para dar mantenimiento a los

equipo cada vez que deja de funcionar

Control en el

equipos con los que se trabaja

totalmente,

pero

se

debería

dar

mantenimiento periódicamente

Hardware Escaso control de accesos de

En

la

empresa

las

políticas

y

virus, hackers, y otros que

procedimientos de actualización son

afecten al software de los

simplemente

Actividades de

equipos

implementar las mismas de manera

Control en el

Carecen

Software

verbales,

se

debería

y

escrita, además de asignar a una persona

procedimientos formales para

responsable de la actualización periódica.

de

políticas

actualizar el sistema operativo Inexistencia de una adecuada

Existe en la compañía un Reglamento

segregación de funciones

Interno, en el cual no se especifica las funciones y responsabilidades de cada

Actividades de Control en la Infraestructura.

Carecen de espacio físico para

persona que labora en el área informática,

todos

debería implementarse un manual de

equipos

en

el

funciones

departamento informático

y

otro

manual

de

procedimientos para los trabajadores Actividades de Control en el Sistema Informático

Carecen de un procedimiento

Los usuarios del sistema cada vez que

formal

deben cambiar datos en el mismo solo se

para

modificaciones

realizar de

información en el sistema

la

ingresan cambian los datos en el cual no se graba quien realizó la modificación, es por estos motivos que deben implementar autorizaciones a una sola persona para que los realice, solo en el caso que sea necesario.

Formato de Informe Final AUDITORÍA INFORMÁTICA Departamento Tecnología e Informática de Certificadora de Información TSTRUST S.A Programa Ejecución

Actividad

Hallazgo

Entrevista

Falta

preliminar

renovación

Condición

Causa

de Los usuarios del sistema informático no No está definida dicha política, por lo

periódica

realizan renovación en sus contraseñas tanto no se realiza dicho proceso, no de desde que ingresaron a laborar en la existe

un

adecuado

control

de

claves de acceso compañía

verificación de claves, para saber si estas

(contraseñas) de

son o no seguras.

los usuarios del sistema informático y el sistema operativo. Cuestionario de

Falta de medidas Inexistencia de medidas de seguridad La gestión inadecuada y el descuido de la

Control de

Interno

Seguridad adecuadas sobre todo para proteger los alta gerencia por prevenir los riesgos,

Física adecuadas bienes

además de no adoptar medidas de

en la compañía

seguridad para los bienes.

Cuestionario de

Falta

de Falta de organización respecto a las Falta de establecimiento de canales

Control organización en funciones de las tres personas encargadas formales de comunicación e información

Interno

el Departamento del departamento informático

que fomenten la confianza y seguridad

Informático.

entre los diferentes niveles jerárquicos de la empresa.

Cuestionarios de interno.

Falta de un Plan Falta de un plan de capacitación Inexistencia de un plan de capacitación

control de Capacitación informática para los encargados así como adecuado para todo el personal revisando Informática

cursos de capacitación periódica para los las dificultades en el uso del sistema jefes de almacén y vendedores de la informático compañía.

Quito, 22 de septiembre del 2019. Ingeniero. Wilson Ortíz Gerente Certificadora de Información TSTRUST S.A. Presente.De mi consideración: A la culminación de la Auditoría Informática, aplicada a la empresa TSTRUST S.A de la ciudad de Quito, provincia de Pichincha, durante el período 2019, mi responsabilidad es expresar la opinión acerca de los niveles de seguridad física, lógica y el control interno que maneja la compañía, expresados en una opinión clara y concreta del desarrollo de estas medidas de control y si estos se ejecutan de manera idónea con base las Normas de Control Interno. La Auditoría de Sistemas Informáticos fue aplicada en base a los componentes del Método COSO II, y Normas de Control Interno establecidos es a la por la Contraloría General del Estado referentes a la tecnología de la información, etc., elementos que me han permitido realizar una evaluación objetiva de la situación actual de la empresa e identificar sus falencias y necesidades, que hacen que la seguridad de los recursos informáticos de TSTRUST S.A., no sea confiable en su totalidad. Los componentes analizados dentro de esta Auditoría son: Ambiente Interno, Establecimiento de Objetivos, Identificación de Riesgos, Evaluación de Riesgos, Respuesta al Riesgo, Información, Comunicación y Monitoreo; componentes aplicados a las actividades que se ejercen en la empresa. En mi opinión, TSTRUST S.A sí se ajusta a las disposiciones legales vigentes, al dar cumplimiento a las exigencias del Instituto Ecuatoriano de Seguridad Social, Servicio de Rentas Internas y demás entes reguladores a los que está obligada a someterse dicha Empresa; pero a la vez se abstrae de dar cumplimiento a normas de control interno que fomenten el desarrollo de seguridades tanto físicas como lógicas de los sistemas informáticos. A continuación detallaré los hechos más relevantes encontrados en el proceso de evaluación, ejecución e identificación de riesgos de la Auditoría, los que se resumen de manera puntual en las conclusiones y recomendaciones citadas a continuación: CONCLUSIONES Y RECOMENDACIONES CONCLUSIÓN 1.- En el departamento informático jamás un usuario ha renovado sus contraseñas de acceso tanto al Sistema Operativo como al Sistema Informático.

RECOMENDACIÓN 1.- Los encargados del departamento informático deben crear una política de renovación de claves de acceso al sistema informático y al sistema operativo por lo menos de cada sesenta días para incrementar la seguridad. CONCLUSIÓN 2.- Debido a las múltiples ocupaciones de la alta gerencia se ha descuidado la seguridad de los bienes informáticos ante propios y ajenos. RECOMENDACIÓN 2.- La persona encargada del funcionamiento del sistema informático debería implementar una bitácora de supervisión del personal que ingresa al departamento además de un circuito cerrado de cámaras.

CONCLUSIÓN 3.- El departamento informático no ha realizado capacitaciones informáticas periódicas que motiven al aprovechamiento de los recursos informáticos. RECOMENDACIÓN 3.- El departamento informático debe programar capacitaciones al menos cada seis meses para todo el personal que utiliza el sistema informático para mejorar su productividad. CONCLUSIÓN 4.- El personal del departamento informático tiene también otras funciones, reduciendo la efectividad de su soporte técnico en las operaciones. RECOMENDACIÓN 4.- Implementar un manual de procedimientos donde se especifique claramente todas las responsabilidades de cada colaborador para incrementar la productividad del personal. Implantar una bitácora de los trabajos realizados para controlar las mejoras del sistema informático.

CONCLUSIONES



La metodología propuesta en el presente estudio permite revisar el uso de la tecnología de información en el Departamento Tecnología e Informática de Certificadora de Información TSTRUST S.A por medio del uso de modernas técnicas para la recopilación de la información y análisis detallado. De esta manera se puede identificar de manera práctica los riesgos presentes evaluando también los controles en el uso de éstas.



La Auditoría Informática en el ámbito del desarrollo local es para muchos desconocida y sin mucha oportunidad de experimentación. La Certificadora de Información TSTRUST S.A no había llevado a cabo anteriormente una investigación de esta índole, de ahí lo importante del examen para las futuras administraciones.



Uno de los principales riesgos encontrados que ocasionó problemas en el manejo de la información en el departamento auditado constituye la falta de inventario de equipos, software y mobiliario de cómputo.

RECOMENDACIONES 

El indudable avance de las tecnologías de la información ha hecho que la Auditoría se convierta en un campo de vital importancia en la actualidad de las empresas. Se recomienda que este tipo de auditoría se ejecute en la empresa de forma anual con la finalidad de comprobar si los cambios fueron ejecutados de manera exitosa.



Se debe elaborar un Manual Interno de Funciones dentro del Departamento por cada Departamento de Tecnología E Informática de la Certificadora TSTRUST S.A. con los cual se ayudaría a mejorar las responsabilidades específicas que debe tener todo el personal.



La empresa debe incrementar la seguridad en cuanto al manejo de la información se refiere a través de la creación de planes de contingencia para evitar pérdidas considerables de información. Este proceso se puede canalizar a través del uso de espacios seguros donde se pueda almacenar dicha información, tales como programas de aplicación y backups



Aplicar un plan de capacitación al personal del departamento acorde las necesidades específicas de la institución para aprovechar los recursos informáticos con la finalidad de dar cumplimiento a los objetivos de la organización

BIBLIOGRAFÍA

González, P. (2018). Auditoría TI en la Asociación APSA. Obtenido de https://rua.ua.es/dspace/bitstream/10045/80391/1/Auditoria_TI_en_la_Asociacion_ APSA_GONZALEZ_MATAIX_PAULA.pdf Piatinni, M., & del Peso, E. (2001). Auditoría Informática: un enfoque práctico. México D.F.: Alfaomega. Quintuña, V. (2010). Auditoría Informática - SUPERTEL. Obtenido de https://dspace.ucuenca.edu.ec/bitstream/123456789/652/1/ts205.pdf Ramos, M. (1996). La Auditoría Informática. Informática y Derecho, 983-991.