UNIVERSIDAD TECNICA DE ORURO FACULTAD DE CIENCIAS ECONOMICAS FINANCIERAS Y ADMINISTRATIVAS CARRERADE AUDITORIA FINANACIERA AUDITORIA DE SEGURIDAD FÍSICA LÓGICA EN EL SISTEMA DE INFORMACIÓN DEL DEPARTAMENTO DE SISTEMAS DE LA HONORABLE ALCALDÍA MUNICIPAL DE ORURO AUTOR: WAIL NALE MIRANDA BOZO ORURO 27 DE ABRIL DE 2004 PALABRAS CLAVE: SEGURIDAD FÍSICO LÓGICA - SISTEMAS DE INFORMACIÓN – HARDWARE – SOFTWARE - ISACA TUTOR: LIC. RAFAEL CALIZAYA 371 PAGINAS. INTRODUCCIÓN. Actualmente la mayoría de las empresas, incorporaron sistemas informáticos como herramientas para el proceso de la información especialmente en la gestión Administrativa, donde el flujo de información se produce de manera constante. Los datos primarios son transformados para producir información útil a la empresa y que permita la toma de decisiones oportunas, con el fin de cumplir sus objetivos y enfrentar con competitividad los grandes desafíos de otras empresas que se encuentran con las mismas posibilidades en los mercados. Una de las grandes preocupaciones de la Dirección de estas empresas, es buscar elementos confiables que garanticen la manipulación de datos e información de manera correcta. JUSTIFICACIÓN Una de las inquietudes que mueve a producir un trabajo de este tipo, es precisamente mejorar las políticas Administrativas para una mejor competitividad en el mercado y la especialización que debe existir, dentro el mundo de la Auditoria de sistemas de Información y más que todo en nuestro departamento, ya que el incesante cambio tecnológico que hoy en día se va observando e implantando, a tenido como consecuencia que toda entidad tanto Publicas y Privadas que se encuentre desenvolviendo actividades Industriales, Comerciales, Financieras y de servicios, o Personas´; a echo que la Informática y Equipo de Computación forman parte de un sistema de trabajo en el cual se encuentran enrolados. PROBLEMA PLANTEADO Dentro las políticas, procedimientos y prácticas de seguridad se encuentran en una etapa de desarrollo, y si estas existen no son asimiladas lo que ocasionaría interrupciones prolongadas del servicio de procesamiento de información debido a contingencias como incendio, inundaciones, huelgas, disturbios sabotajes etc. Y continuar en medio de emergencia hasta que sea restaurado el servicio completo, dicho sistema auxiliar tendría las atribuciones similares a las de Sistema Base ya que no llegaría a procesar al información en su totalidad. Esto originaria el retraso en la prestación de servicios de la Honorable Alcaldía Municipal de Oruro. El Departamento de Sistemas de Procesamiento de datos de la Alcaldía Municipal de Oruro siendo uno de los mas importantes dentro el manejo y Procesamiento de la Información se encuentra vulnerable al extravió de información por medio de la conexión de piratas informáticos, incendios, robos, fraudes, etc. Pudiendo llegar a ocasionar contingencias en los servicios en los cuales está caracterizado como ser: el cobreo de impuestos de bines inmuebles, cobro por servicios públicos prestados, etc. Por esta razón el problema del presente trabajo se plantea de la siguiente forma: ¿DE QUÉ FORMA SE DIAGNOSTICARÁ LOS CONTROLES DE SEGURIDAD FÍSICA , LÓGICA IMPLANTADOS EN LOS SISTEMAS INFORMÁTICOS DENTRO DEL DEPARTAMENTO DE SISTEMAS DE PROCESAMIENTO DE DATOS DE LA HONORABLE DE LA ALCALDÍA MUNICIPAL DE ORURO?. El problema que se presenta establece la urgente necesidad de efectuar una Evaluación de la Seguridad Física y Lógica con el fin de determinar recomendaciones que mejoren las operaciones del “Departamento de Sistemas de Procesamiento de Datos” de la Honorable Alcaldía Municipal de Oruro.” OBJETIVO GENERAL. Como objetivo general planteamos “Desarrollar una Auditoria de Seguridad Informática en los controles de seguridad física lógica, para poder determinar el grado de implementación de estas en los sistemas de información en el Departamento de Sistemas de Procesamiento de Datos de la Honorable Alcaldía Municipal de Oruro” OBJETIVOS ESPECIFICOS. Exponer teorías y conceptos del Auditoria de Sistemas Informáticos, Seguridad de los Sistemas Informáticos y otras áreas relacionadas con el tema. Diagnosticar el grado y nivel de cumplimiento de políticas, Procedimientos, Reglas Estándares de seguridad en el los Sistemas Informáticos del “Departamento de Sistemas de Procesamiento de Datos” de la Honorable Alcaldía Municipal de Oruro. Sugerir controles de seguridad Físico, Lógico de los Sistemas Informáticos de “Departamento de Sistemas de Procesamiento de Datos” de la Alcaldía Municipal de Oruro; para mejorar el procesamiento de la información institucional. METODOLOGÍA. Para el ogro de estos objetivos se aplicaron los Métodos Deductivos, Inductivos, Análisis Síntesis, Análisis Comparativo. A su vez estas fueron manejadas de acuerdo a las técnicas de la observación, Entrevista, Metodología de Auditoria de Sistemas que nos llevaron a continuar con procedimientos Cuestionarios Estándar, Cuestionario descriptivo, Prueba de recorrido, Pruebas de cumplimiento. La Auditoria Efectuada no llevo a: Selección de Técnicas para la Recolección de Información - Procedimientos de búsqueda de Información - Análisis Cuantitativo y Cualitativo de la Información Procesamiento del Información - Conclusiones y Recomendaciones RESULTADOS OBTENIDOS. Los resultado obtenidos en la Auditoria de Seguridad informática reflejados en los Informes realizados (Informes de Control Interno, Informe de Auditoria de Seguridad Informática) en su estructura comprende Conclusiones y recomendaciones encontradas de acuerdo a los hallazgos de Auditoria efectuadas; cuyo objetivo fundamental es demostrar algunas debilidades del Departamento de Sistemas de Procesamiento de Datos sobre Seguridad informática y como contraparte a estas deficiencias, se plantean soluciones que mejoraran, implementaran y suplantaran las medidas de Seguridad Informática que existen dentro del Departamento de Sistemas de procesamiento de Datos de al Honorable Alcaldía Municipal de Oruro. CONCLUSIONES Y RECOMENDACIONES. C1. Se ha efectuado una Auditoria de Seguridad en el Departamento de Sistemas de Procesamiento de Datos de la Honorable alcaldía municipal de Oruro, al cual ha determinado una seria de observaciones en función de las Normas Básicas de Control Interno (NBCI), Normas de Auditoria Gubernamental (NAG), lo estándares de auditoria informática COBIT y las normas ISO. R1. El trabajo de Auditoria de Seguridad informática concluye en sugerencias que implementadas mejoran el proceso existente dentro del Departamento de Sistemas de Procesamiento de Datos para ser implementadas y que estas sean la base para el mejoramiento de las actividades ala s cuales esta destinada la unidad. C2. Se evidencia que dentro de la Administración del Departamento de Sistemas de Procesamiento de Datos de al Honorable alcaldía municipal de Oruro, la Seguridad en el Sistema de Información no se cuenta adecuadamente administrada por las pocas medidas de seguridad Física y Lógica existente e implementadas, además del poco conocimiento y actualización de los funcionarios del Departamento en Seguridad que se efectúan para mantener el orden en el entorno informático. R2. Se recomienda, el empleo de las Normas existentes sobre Seguridad Informática y crear políticas y estándares institucionales de seguridad relacionada con el ámbito Departamental y Nacional para mejorar el funcionamiento del Sistema Informático y lograr un adecuada administración en el Departamento de sistemas de Procesamiento de Datos de al Honorable La Alcaldía Municipal de Oruro. C3. En relación al entorno informático de la Honorable Alcaldía Municipal de Oruro no existe una adecuada Administración de la Base de Datos, efectuándose copias de seguridad en periodos demasiado largos, por el actual sistema de archivos estas están expuestas a piratería o perdidas por no contar con un ambiente y medios de seguridad adecuados. Las claves de acceso son mantenidas por periodo prolongadas exponiendo a la confidencialidad de la Información. R3. La aplicación de medidas de Seguridad es muy importante para el adecuado y mejor desarrollo dela actividades pertinentes. El responsable del sistema debe efectuar copias de resguardo diario, solicitar al creación o implementación de instalaciones apropiadas para almacenar y resguardar estos Backus y el cambio de claves de acceso que debe ser en forma periódica, de acuerdo a los controles y estándares de seguridad vigente en la prosecución del Departamento de Sistemas de Procesamiento de datos de la H.A.M.O.