Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por Joseph Zuta

TAREA13-RODRIGUEZ MELENDEZ

Anuncio 
UNIVERSIDAD NACIONAL DE TRUJILLO
FACULTAD DE CIENCIAS FISICAS Y MATEMATICAS
ESCUELA PROFESIONAL DE INFORMÁTICA
INFORME DE AUDITORÍA INFORMÁTICA A LA EMPRESA
“LA RECAUDADORA S.A.”
CURSO:
Tópicos Especiales en Ciencias de la Computación II
DOCENTE:
Mg. Castillo Diestra, Carlos Enrique
AUTORES:
Anticona Zavaleta, Joel Enrique
Brandán López, Brian Alberto
Chico Azabache, Alvaro André
Rodriguez Melendez, Erick
Varela Vargas, Juan Carlos
Zuta García, Joseph Wilfredo
30 de Enero del 2022
1
Resumen
El presente trabajo, describe la ejecución de la Auditoría Informática
realizada al departamento de informática de la empresa "La Recaudadora S.A.",
aplicando las Normas de Control Interno para Sistemas Computarizados y la
Norma Técnica Peruana NTP-ISO/IEC 17799, que son las guías generales
dictadas por la Contraloría General de la República, con el objetivo de promover
la administración de los recursos públicos en las entidades en el marco de una
adecuada estructura del control interno.
El propósito es identificar debilidades a las que se enfrenta el departamento
de informática de la empresa La Recaudadora y emitir recomendaciones que
permitan la mejora en cuanto a la efectividad y la eficacia en las operaciones del
departamento.
Para llevar a cabo el presente trabajo se realizaron las siguientes
actividades:
Teniendo un listado de documentos que describen la situación actual de la
empresa, los cuales son: documentos normativos, plan de mantenimiento de
equipos, plan de sistemas, resultado de entrevistas, actividades retrasadas a la
fecha.
Así mismo se alineó todos estos resultados con cada pauta básica que
proponen las Normas de Control Interno para Sistemas Computarizados y la
Norma Técnica Peruana NTP-ISO/IEC 17799, se presentaron las observaciones y
recomendaciones emitidas en el presente informe.
2
Índice
Resumen
2
Conclusiones y Recomendaciones
4
1.
Área de Desarrollo
4
2.
Estructura Funcional del Departamento de Informática
6
3.
Plan de Mantenimiento de Equipos
7
4.
Auxiliar en Soporte Técnico
8
5.
Área de Recursos Humanos
10
6.
Auxiliar de Informática
11
3
Conclusiones y Recomendaciones
Con base en el desarrollo de la ejecución de la auditoría encontramos las situaciones
que a continuación se detallan:
1. Área de Desarrollo
Situación 1
No existe control de acceso a las librerías de programas fuente de los sistemas
informáticos. Los desarrolladores pueden acceder a todo el código fuente, y
eventualmente se podrían llevar el código.
Norma
La conclusión anterior no concuerda parcialmente con la Norma Técnica
Peruana NTP-ISO/IEC 17799 - 2007: Control de acceso a los códigos de
programas fuente, que indica “El acceso a los programas de códigos fuente …
deben ser controlados estrictamente con el fin de prevenir la introducción de
funcionalidades no autorizadas y para evitar los cambios no intencionales. Para
los códigos de programas fuente, esto puede ser logrado, controlando el
almacenaje central de dicha fuente, preferentemente en librerías de programas
fuente. ...”
Consecuencia
La situación descrita trae como consecuencia que el código fuente sea copiado y
vendido a otras instituciones similares a la empresa o con la finalidad de ser
vendido a la misma. Por otro lado, que el código fuente sea modificado e insertado
código malicioso para un posible sabotaje informático.
Recomendación
Los desarrolladores deben tener restricciones, a las librerías de programas fuentes.
Es por ello, que el responsable del departamento de informática debe otorgar
acceso al código fuente de los procesos necesarios para que cada desarrollador
realice su trabajo y estos estén sujetos a procedimientos estrictos de control de
4
cambios y a la vez los desarrolladores tengan una supervisión para así evitar
consecuencias menores.
Situación 2
La documentación técnica (manuales de análisis y diseño) y los manuales de
usuario la elabora el mismo equipo de desarrollo. Esta documentación se guarda
en archivos no cifrados en CD.
Norma
La conclusión anterior no concuerda con la Norma Técnica Peruana NTPISO/IEC 17799 - 2007: Política del uso de controles criptográficos, que indica
“La organización debería desarrollar e implementar una política de uso de las
medidas criptográficas para proteger la información.”
Consecuencia
La situación descrita trae como consecuencia que, en caso de pérdida o robo de
los CD's con los archivos no cifrados, estos están propensos a que la información
contenida sea fácilmente revisada por personas ajenas a la organización y a su vez
esta pueda ser dañada o utilizada con otra finalidad, perdiendo la confidencialidad,
la integridad y disponibilidad de la información.
Recomendación
Implementar la política criptográfica en la organización, lo que implicaría el uso
de cifrado para la protección de información privada (la documentación técnica,
los manuales de usuarios, etc.) guardado en archivos en CD's u otros medios de
almacenamiento para que así se pueda conservar la confidencialidad, la integridad
y disponibilidad de la información.
5
2. Estructura Funcional del Departamento de Informática
Situación 3
No se cuenta con mecanismos para estimar el rendimiento del personal, por tanto
no se realiza.
Norma
La conclusión anterior no concuerda con la Norma Técnica Peruana NTPISO/IEC 17799 - 2007: Reportando debilidades en la seguridad de
información, que indica:
“Todos los empleados, contratistas y terceros que son usuarios de los sistemas y
servicios de información deben anotar y reportar cualquier debilidad observada
o sospechada en la seguridad de estos.”
Consecuencia
Daño al sistema o servicio de información y resultar en responsabilidad legal
para el individuo que realiza la prueba.
Recomendación
Todos los empleados, contratistas y terceros deben reportar dar aviso a sus
gerencias con el fin de prevenir los incidentes en la seguridad de la información.
El mecanismo de reporte debe ser fácil, accesible y disponible como sea posible.
Situación 4
El ambiente de desarrollo de software no está separado de las otras áreas porque
a veces se les da apoyo.
Norma
La conclusión anterior no concuerda con la Norma Técnica Peruana NTPISO/IEC 17799 - 2007: Separación de los recursos para desarrollo y para
producción, que indica lo siguiente “La separación de los recursos para
desarrollo, prueba y producción es importante para reducir los riesgos de un
acceso no autorizado o de cambios al sistema operacional”.
Consecuencia
La situación descrita conduce a un mayor riesgo de
trabajadores no autorizados.
6
acceso por parte de
Recomendación
Los usuarios deben utilizar diferentes perfiles de usuario para los sistemas
operacionales y de prueba; y los menús deben exhibir mensajes de identificación
apropiados con el fin de reducir el riesgo por error.
3. Plan de Mantenimiento de Equipos
Situación 5
Los componentes de las PC’s no están correctamente inventariadas de manera
individual, sino las PC’s están inventariadas como un todo.
Norma
La conclusión anterior no concuerda parcialmente con la Norma Técnica
Peruana NTP-ISO/IEC 17799 - 2007: Mantenimiento de equipos, que indica
“Los equipos deberían mantenerse adecuadamente para asegurar su continua
disponibilidad e integridad, siendo una de las funciones el de hacer un inventario
sobre todos los fallos reales o sospechados de los equipos de cómputo de forma
correcta”
Consecuencia
La consecuencia que trae es que al hacer un inventario de forma general pueda
traer problemas de mal manejo de los equipos de cómputo, ya que es más eficiente
hacerlo individualmente para tener un seguimiento detallado de cada parte del
hardware y de esta manera saber qué cosa vamos a mantener.
Recomendación
El inventario de las partes de los equipos se debe hacer de manera individual
teniendo en cuenta todas las características necesarias para el buen manejo y
mantenimiento del hardware de la empresa; además es muy importante realizar
un inventario actualizado para tener el balance correcto de los datos que éste arroja
y asi poder saber que equipos necesitan mantenimiento o no.
7
Situación 6
No realizan el registro de control de fallas de los equipos. Se ha podido apreciar
que en los últimos cinco años que se llevan comprando computadoras IBM y
Compaq las fallas son en número reducido.
Norma
La conclusión anterior no concuerda parcialmente con la Norma Técnica
Peruana NTP-ISO/IEC 17799 del 2007: Mantenimiento de equipos, donde se
menciona que “Se deberían registrar documentalmente todos los fallos, reales o
sospechosos, así como todo el mantenimiento preventivo y correctivo.”
Consecuencia
Al no registrar información de las fallas de los equipos trae como consecuencia
que no haya información necesaria para poder conocer cada cuanto tiempo se
puede malograr una computadora que se pueda haber adquirido o saber las fallas
más comunes que pueden tener dicho equipo para poder solucionarlo en otros
casos.
Recomendación
Se recomienda registrar todos los fallos o mantenimientos que puedan existir en
los equipos para así recopilar información actualizada de lo que funciona
correctamente y lo que no.
4. Auxiliar en Soporte Técnico
Situación 7
Los usuarios envían solicitudes de soporte por correo electrónico o por teléfono.
La frecuencia de las notificaciones es diaria, y los problemas más comunes que
encuentran los usuarios son: imposibilidad de acceder al sistema informático,
cambio de contraseña de acceso, problemas con MS-Office, problemas con la
configuración del correo electrónico, problemas con la configuración de la
impresora.
8
Norma
La conclusión anterior no concuerda parcialmente con la Norma Técnica
Peruana NTP -ISO/IEC 17799 - 2007: Planificación y aceptación del
sistema, que indica “Minimizar el riesgo de fallos de los sistemas.”
Consecuencia:
La situación descrita es la causa de que los usuarios no alcancen sus objetivos en
el sistema, lo que les da una mala imagen de la empresa.
Recomendación:
La planificación y la preparación son necesarias para garantizar que la capacidad
y los recursos adecuados estén disponibles para entregar el sistema operativo
requerido; también deben preverse requisitos de rendimiento futuros para reducir
el riesgo de sobrecarga del sistema; Finalmente, los requisitos de desempeño
para los nuevos sistemas deben establecerse antes de la aprobación, registro y
prueba.
Situación 8
No tienen control sobre las actualizaciones de los sistemas operativos utilizados
en las computadoras de RECAUDADORA. Esto significa que cuando salen
nuevos service packs para el sistema operativo, ¿cómo se deben actualizar?
Norma
Dicho enunciado tomado de la entrevista realizada por el encargado en soporte
técnico no concuerda con la Norma Técnica Peruana NTP-ISO/IEC 17799 2007: Revisión técnica de los cambios en el sistema operativo, que indica lo
siguiente “Se debería revisar y probar las aplicaciones del sistema cuando se
efectúen cambios, para asegurar que no impactan adversamente en el
funcionamiento o en la seguridad”
Consecuencia:
Esta situación lo expone a brechas de seguridad y brechas que facilitan el robo
de información corporativa y la invasión de la privacidad.
Recomendación:
9
Cualquier problema o mantenimiento que pueda ocurrir en los dispositivos se
debe registrar para mantenerse al día con lo que funciona y lo que no.
5. Área de Recursos Humanos
Situación 9
Se manifiesta en una entrevista que el personal no se abastece para resolver
algunos problemas de los usuarios e incluso cuando se congestiona demasiado
esta área, se recibe apoyo de un Analista/Programador pese a que la empresa “La
recaudadora” ha tenido gran crecimiento en los últimos años.
Norma
La situación antes mencionada no concuerda parcialmente con la Norma Técnica
Peruana NTP-ISO/IEC 17799 - 2007: Seguridad antes del empleo que indica
“Asegurar que los empleados, contratistas y terceros entiendan sus
responsabilidades y sean adecuados para los roles para los que han sido
considerados, reduciendo el riesgo de hurto, fraude o mal uso de las
instalaciones.”
Consecuencia
La situación anteriormente descrita trae como consecuencia que se tenga un
personal desorganizado y realizando funciones extras a las que fueron
inicialmente contratados por lo que no le competen a su cargo, e incluso podría
ser una gran dificultad para el cumplimiento de las tareas propias a su cargo que
le solicita la organización.
Recomendación
Tal como lo menciona la norma que regula esta situación, se debe mantener
coherencia entre los empleados que ocupan un cargo en específico y con las tareas
que le son asignadas en funciones descritas en los términos del empleo, además
se debe seleccionar adecuadamente los candidatos idóneos para trabajos
específicos.
10
Situación 10
Existe un retraso en la implementación de un módulo para la Gestión de
conocimientos dentro de las Administraciones Tributarias porque posiblemente
no se consiguieron los recursos necesarios
Norma
La situación antes mencionada no concuerda parcialmente con la Norma de
Control Interno para el Sector Público de Resolución de contraloría N.º 0722000 - CG que indica que esto corresponde a la dirección de la entidad aprobar
las políticas que permitan organizar apropiadamente al área de informática y
asignar los recursos humanos calificados y equipos de computación necesarios
que apoyen los procesos de gestión institucional, a costos razonables
Consecuencia
Este retraso trae como consecuencia posibles pérdidas económicas y además
causa molestias a los empleados que trabajan en esta área ya que sin un módulo
implementado, se ven afectados en realizar sus tareas de manera menos rápida
como lo haría un módulo especializado.
Recomendación
Debe existir una previa organización de las necesidades primarias para la
implementación de algún módulo, de esta manera es más factible solicitar todos
los recursos necesarios con anterioridad para poder hacer factible estas
implementaciones.
6. Auxiliar de Informática
Situación 11
El Auxiliar de Informática menciona que su área no ha hecho evaluaciones del
Plan de Sistemas de Información. El Plan de Sistemas de Información no está
actualizado al 2007.
11
Norma
La conclusión anterior no concuerda parcialmente con la Norma Técnica
Peruana NTP-ISO/IEC 17799 del 2007: Evaluación y tratamiento del riesgo que
indica que “Las evaluaciones del riesgo deben realizarse periódicamente para
incluir los cambios en los requisitos del sistema y en la situación del riesgo, por
ejemplo, en los activos, amenazas, vulnerabilidades, impactos, valoración del
riesgo y cuando cambios significativos ocurran. Estas evaluaciones del riesgo
deben ser emprendidas de una forma metódica, capaces de producir resultados
comparables y reproducibles.”
Consecuencia
Los riesgos como lo son las nuevas amenazas o vulnerabilidades en los sistemas
es una consecuencia de no programar y realizar evaluaciones cada cierto tiempo
en los sistemas correspondientes.
Recomendación
Se debe tener en cuenta programar eventualmente las evaluaciones y realizarlas
periódicamente, para tener actualizado el plan de sistemas de información y así
poder evitar los riesgos mencionados anteriormente.
12
Documentos relacionados
Aparatos-Simbologia_02_COPAIPA - COPAIPA
Aparatos-Simbologia_02_COPAIPA - COPAIPA
Trifoliar inyección ladino
Trifoliar inyección ladino
Este libro es una recopilación de 28 artículos, agrupados en tres
Este libro es una recopilación de 28 artículos, agrupados en tres
No se ha recibido ninguna recomendación por parte de ITAIMICH.
No se ha recibido ninguna recomendación por parte de ITAIMICH.
MH-100e - Circutor
MH-100e - Circutor
Poder de corte Es el valor máximo estimado de corriente de
Poder de corte Es el valor máximo estimado de corriente de
Plan de Estudio Tercer grado
Plan de Estudio Tercer grado
Según la ISO/IEC Guía 2 “Normalización y Actividades relacionadas
Según la ISO/IEC Guía 2 “Normalización y Actividades relacionadas
21. CERTIFICATION OF ENVIRONMENTAL STANDARDS
21. CERTIFICATION OF ENVIRONMENTAL STANDARDS
Descargar
Anuncio
Anuncio