informe final

PLANEACIÓN AUDITORIA DE LA EXPLOTACIÓN

Antecedentes: En la Oficina de Tecnología de Información (OTI) observamos que

cuentan con políticas, procedimientos y controles con relación a los activos de TI, lo cual

se dan a ejecutar con pruebas sustantivas o de cumplimiento dando un seguimiento a

todos los procesos técnicos y académicos de la universidad Cesar Vallejo – Lima Este,

esto debido a que las universidades requieren la acreditación de calidad en el manejo

de sus procesos y para ello se hace necesario realizar auditorías internas permanentes

y de tipo externo periódicamente para lograrlo.

Objetivos

- Objetivo general: Hacer un seguimiento y control a los sistemas de información

para comprobar lo que producen sea íntegro y confiable; además de revisar los

controles que genera la Oficina de Tecnología de Información (OTI) para verificar

si se dan de la manera correcta.

Objetivos específicos:

- Planificar la auditoría que permita identificar las condiciones actuales de la que

se encuentra OTI y su relación con las demás áreas.

- Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de

auditoría COBIT como herramienta de apoyo para recopilar información de las

operaciones del área OTI de la Universidad Cesar Vallejo – Lima Este.

- Identificar las soluciones para la construcción de los planes de mejoramiento de

las operaciones de la Universidad Cesar Vallejo – Lima Este de acuerdo a los

resultados obtenidos en la etapa de aplicación del modelo de auditoría.

Alcance y delimitación: La presente auditoria pretende identificar las condiciones

actuales del área del área OTI de la Universidad Cesar Vallejo – Lima Este, con el fin

de observar las operaciones en conjunto para verificar el cumplimiento de normas y así

mejorar la eficiencia de los recursos y además brindar un mejor servicio a los usuarios

a los usuarios finales.

Los puntos a evaluar según COBIT será el proceso DS13. Administración de las

operaciones:

- Procedimientos e Instrucciones de Operación.

- Programación de tareas.

- Monitoreo de la Infraestructura de TI.

- Documentos Sensitivos y Dispositivos de Salida

- Mantenimiento Preventivo del Hardware

Metodología: Para el cumplimiento de los objetivos planteados en la auditoría, se

realizaran las siguientes actividades:

Investigación preliminar:

- Determinar la estructura organizacional del área OTI de la Universidad Cesar

Vallejo – Lima Este para determinar responsable en las operaciones activas.

- Evaluar la importancia de los controles y el soporte que brinda OTI a los procesos

de negocio de la Universidad Cesar Vallejo – Lima.

- Conocer de manera global el sistema operativo instalado y configurado para la

realización de operaciones, identificando los elementos que apoyan el

seguimiento y control de la misma.

Diseño del programa de auditoría:

- Definir los dominios, procesos y objetivos de control de COBIT, que tienen

relación con el proceso de auditoría.

- Realizar los procedimientos que permitan recolectar la evidencia que apoye los

hallazgos y recomendaciones.

Ejecución de las pruebas de auditoría:

- Obtener evidencia sobre los controles establecidos, su utilización, y el

entendimiento y ejecución de los mismos por parte de las personas.

Identificación y agrupación de riesgos: Identificar y clasificar los riesgos a los que

está expuesto la información, ya sean propios o generados por entidades externas

(personas, procedimientos, bases de datos, redes, etc.) que interactúan con las

operaciones.

Realización de guías de prueba y hallazgo:

- Asociar uno o un conjunto de riesgos con su evidencia respectiva en las guías

de prueba.

- Determinar una descripción general de cada guía de prueba y dar algunas

recomendaciones, causas y nivel del riesgo asociado.

Elaboración y envío del informe de Auditoría:

- Comunicar a las personas o entes involucrados de las operaciones de la

Universidad Cesar Vallejo – Lima Este, los resultados de la auditoria, para que

ellos hagan la gestión necesaria para implementar los controles que cubran

aquellas situaciones de riesgo de mayor relevancia.

- Servir de apoyo en la toma de decisiones, gracias a la información que poseen.

- Hacer parte de la documentación para futuras auditorías.

Recursos:

- Humanos:

o Auditor Líder: Tornero Carlos, Alfredo Alexander

o Auditores Acompañantes: Marín Purís, Barrios Salazar, Romero Torres

o Auditados: Oficina Tecnológica Información.

o Destinatarios: Alta Gerencia

- Físicos: Documentos de políticas, procedimientos y controles con relación a las

operaciones.

- Tecnológicos: equipos de cómputo con sus software instalados, Intranet y

Campus virtual de la Universidad Cesar Vallejo – Lima Este.

PROGRAMA DE AUDITORIA – COBIT

PROCESO: Procedimientos e Instrucciones de Operación

Objetivo de Control: Definir, implementar y mantener procedimientos estándar para

operaciones de TI, garantizando que el personal este familiarizado con todas las tareas

relativas a ellos.

PROCESO: Programación de Tareas

Objetivo de Control: Organizar la programación de trabajos, procesos y tareas en la

secuencia más eficiente, maximizando el desempeño y la utilización para cumplir con

los requerimientos del negocio.

PROCESO: Monitoreo de la Infraestructura de TI

Objetivo de Control: Definir e implementar procedimientos para monitorear la

infraestructura de TI y los eventos relacionados.

PROCESO: Documentos Sensitivos y Dispositivos de Salida

Objetivo de Control: Establecer resguardos físicos, prácticas de registro y

administración de inventarios adecuados sobre los activos más sensibles.

LISTAS DE CHEQUEO O CHECKLIST PARA ÁREAS DE OTI

CUESTIONARIO DE CONTROL C1

Universidad Cesar Vallejo – Lima Este UCV - LE

Cuestionario de Control C1

Dominio Entregar y Dar Soporte

Proceso DS13: Administración de Operaciones

Objetivo de Control DS13.1: Procedimientos e Instrucciones de Operación

Cuestionario

Pregunta SI NO

¿Existen normas y procedimientos escritos sobre el

funcionamiento del servicio de información? X

¿Existe organigrama del funcionamiento del servicio de

información?

X

¿Están descritas con detalle las funciones y responsabilidades

del personal?

X

¿Tienen manuales todas las aplicaciones? X

¿Existen normas sobre cómo deben de hacerse los cambios de

turno para que haya seguridad de que las aplicaciones continúan

su proceso?

X

¿Existen procedimientos adecuados para mantener la

documentación al día?

X

¿Al poner en funcionamiento nuevas aplicaciones, o versiones

actualizadas, funcionan en paralelo las existentes durante un

cierto tiempo?

X

¿Existen controles apropiados para que solo las personas

autorizadas tengan acceso a los equipos, discos,

documentación de programas, etc.?

X


Universidad Cesar Vallejo – Lima Este UCV – LE




Objetivo de Control DS13.2: Programación de tareas

Cuestionario

Pregunta SI NO

¿Es adecuada la segregación de funciones en el seno del

servicio de información? X

¿Es cierto que el personal de explotación no participa nunca en

funciones de análisis?

X

¿Es cierto que el personal de explotación no participa nunca en

funciones de desarrollo de aplicaciones?

X

¿El personal de explotación conoce perfectamente cuáles son

sus funciones y responsabilidades? X

¿Personal con conocimientos y experiencia suficiente organizan

el trabajo para que resulte lo más eficaz posible? X

¿Participan los departamentos de usuarios en la evaluación de

los datos de prueba? X

¿Personal de los departamentos de usuarios revisa y evalúan

los resultados de las pruebas finales, dando su aprobación antes

de poner en funcionamiento las aplicaciones?

X

¿Existen controles apropiados para que solo las personas

autorizadas tengan acceso a los equipos, discos,

documentación de programas, etc.?

X






Objetivo de Control DS13.3: Monitoreo de la Infraestructura de TI

Cuestionario

Pregunta SI NO

¿Está separado el servicio de información del resto de los

departamentos? X

¿Existen controles que garanticen el uso adecuado de los

soportes de la información como disco y dvds?

X

¿Personal con conocimiento y experiencia adecuada revisa con

periodicidad los componentes físicos de los equipos siguiendo las

instrucciones de los fabricantes?

X


Universidad Cesar Vallejo – Lima Este UCV – LE



Proceso DS13:Administración de Operaciones

Objetivo de Control DS13.4: Documentos Sensitivos y Dispositivos de Salida

Cuestionario

Pregunta SI NO

¿Es imposible que los usuarios accedan a programas y datos no

necesarios para su trabajo? X

¿Se aprueban por personal autorizado la solicitud de nuevas

aplicaciones?

X

¿Se comprueban los resultados con datos reales? X

A continuación vamos analizar los resultados de nuestro Check list

(Ver Anexo - Evaluación del Check List)

EvaluacionCheckList.xlsx

ANÁLISIS Y EVALUACIÓN DE RIESGOS

Para el listado de riesgos enumerados a continuación se realizó un estudio al área de OTI

de la Universidad Cesar Vallejo – Lima Este, donde hemos utilizado el instrumento checklist

de verificación al personal a cargo del área informática.

LISTA DE FORTALEZAS ENCONTRADAS. Existen normas y procedimientos sobre los funcionamientos del servicio de

información.

Existen normas para hacerse los cambios de turnos para que haya seguridad en la

continuidad de los aplicativos.

Existen controles para el acceso adecuado a hardware y software de la empresa.

Hay una buena segregación de funciones de servicios de información.

Personal capacitado organiza el trabajo para mejorar su eficaz.

Personal experimentada evalúa los datos de prueba.

Usuarios finales aprueban el aplicativo antes de ponerlo en funcionamiento.

OTI está separado de las áreas.

Existen controles que garantizan el uso adecuado de discos y DVD.

Revisión periódica los componentes físicos de los equipos según las instrucciones

de los fabricantes.

Personal autorizado aprueba las nuevas solicitudes de aplicaciones.

Si se comparan los resultados con datos reales.

LISTA DE RIESGOS ENCONTRADOS. El personal de explotación no participa en función de análisis.

El personal de explotación no participa en función de desarrollo de aplicaciones.

No existe organigrama del funcionamiento del Servicio de Información.

No existe una descripción detallada de las funciones y responsabilidades del

personal.

El personal de explotación no conoce perfectamente sus funciones y

responsabilidades.

No existe manual de las aplicaciones.

No es imposible que cualquier usuario acceda a programas y datos no necesarios

para su trabajo.

No se ejecutas las nuevas y antiguas versiones a la misma vez.

MATRIZ DE RIESGOS (Ver anexo - Matriz de Riesgo - Auditoria Explotación)

MatrizRiesgoAuditoriaExplotacion.xlsx

GUÍA DE PRUEBAS

Realizadas las visitas y las entrevistas propuestas con anterioridad se han obtenido la

siguiente colección de pruebas para los riesgos seleccionados previamente.

GUÍA DE PRUEBA P1


Guía de Pruebas P1




Riesgos Asociados R4,R5,R6,R8

N° Evidencia Descripción

1 No hay

descripción de

funciones ni

servicios.

En la Universidad Cesar Vallejo – Lima Este no

establecen organigramas de cada servicio en

funcionamiento ni la documentación de las aplicaciones;

por otro lado el personal no tiene en claro cuáles son sus

funciones y responsabilidades.

2 No hay ejecución

en paralelo de los

nuevos y

antiguos

programas.

En las computadoras de cada área no hay un control

para el funcionamiento de las nuevas aplicaciones en

paralelo con las antiguas, para poder mitigar algunas

falencias de las nuevas aplicaciones con respecto a las

antiguas.

GUÍA DE PRUEBA P2


Guía de Pruebas P2




Riesgos Asociados R1,R2,R3


1 No hay relación

directa del

personal de

explotación con

los de desarrollo.

El personal de explotación no interviene de manera

directa con el área de desarrollo, en el ámbito de

implementación, sin establecer los requisitos del personal

experto en el proceso.

2 No hay

descripción de

funciones de los

usuarios.

En la Universidad Cesar Vallejo – Lima Este el personal

no tiene en claro cuáles son sus funciones y

responsabilidades con respecto a su labor en la

empresa.

GUÍA DE PRUEBA P3


Guía de Pruebas P3



Objetivo de Control DS13. 4: Documentos Sensitivos y Dispositivos de

Salida

Riesgos Asociados R7


1 No hay restricción

a la información.

El usuario a través de cualquier maquina con acceso a la

base de datos puede monitorear toda la información que

requiera sin la necesidad que haya restricción al

momento de acceder dicha data.

GUÍAS DE HALLAZGOS

Teniendo en cuenta la aplicación de los instrumentos para recolección de información, los

objetivos planteados con anterioridad y los riesgos definidos en la Matriz se obtienen las

siguientes tablas de hallazgos para cada uno de ellos.

GUÍA DE HALLAZGOS H1.


Hallazgos de la Auditoría H1




Riesgos Asociados R4,R5,R6,R8

Descripción

En la Universidad Cesar Vallejo – Lima Este no establecen organigramas de

cada servicio en funcionamiento ni la documentación de las aplicaciones; por

otro lado el personal no tiene en claro cuáles son sus funciones y

responsabilidades.

En las computadoras de cada área no hay un control para el funcionamiento de

las nuevas aplicaciones en paralelo con las antiguas, para poder mitigar algunas

falencias de las nuevas aplicaciones con respecto a las antiguas.

Recomendación

El personal a cargo del área de TI debe sugerir la recopilación de la

documentación de los aplicativos a utilizar, además de establecer organigramas

con respecto a sus servicios para poder establecer en claro las

responsabilidades y funciones de dicho servicio.

El personal a cargo del área de TI debe sugerir la ejecución de las aplicaciones

nuevas en un intervalo de tiempo con las antiguas para la adaptación de los

usuarios al nuevo sistema y evitar algunos problemas por cambio de software.

Causa

Pocos recursos económicos invertidos en el área de TI en la Universidad Cesar Vallejo

– Lima Este y la falta de evaluación de riesgos con respecto a cada activo de TI.







Riesgos Asociados R1,R2,R3

Descripción

El personal de explotación no interviene de manera directa con el área de

desarrollo, en el ámbito de implementación, sin establecer los requisitos del

personal experto en el proceso.

En la Universidad Cesar Vallejo – Lima Este el personal no tiene en claro cuáles

son sus funciones y responsabilidades con respecto a su labor en la empresa.

Recomendación

El personal a cargo del área de TI debe sugerir la intervención del personal de

explotación de cada área a implementar; ya que él va ser el experto en dicha

área y brindará los requisitos claros para su implementación.

El personal a cargo del área de TI debe sugerir la segregación de funciones de

todo el personal; para poder tener en claro cada responsabilidad y funciones de

cada trabajador.

Causa

Relación constante con la alta gerencia que con los trabajadores de dicha área:

además, la falta de políticas y controles para determinar responsabilidades y funciones

del personal de explotación.






Objetivo de Control DS13. 4: Documentos Sensitivos y Dispositivos de Salida

Riesgos Asociados R7

Descripción

El usuario a través de cualquier maquina con acceso a la base de datos puede

monitorear toda la información que requiera sin la necesidad que haya restricción

al momento de acceder dicha data.

Recomendación

El personal a cargo del área de TI debe sugerir la administración de todos los

usuarios y asignar privilegios para poder ingresar a dicha información.

Causa

Falta de inversión con respecto a la seguridad de la información.

RESULTADOS DE LA AUDITORIA

A continuación se presentan los resultados definitivos de la auditoria de la explotación y las

recomendaciones de mejoramiento por el proceso de COBIT auditado, una vez revisadas

las observaciones y aclaraciones hechas al grupo auditor.

Dominio: Entregar y Dar Soporte.

Proceso: DS13: Administración de Operaciones

· Objetivo de Control: DS13.1: Procedimientos e Instrucciones de Operación

Dictamen: Nivel de madurez 2 REPETIBLE: Los procesos siguen un patrón regular o

estándar; pero no se ha documentado suficientemente. Falta capacitación del personal

encargado. La eficiencia y eficacia depende en gran parte del conocimiento y

profesionalismo de los empleados de TI.

Hallazgos que soportan el dictamen:

En la Universidad Cesar Vallejo – Lima Este no establecen organigramas de cada

servicio en funcionamiento ni la documentación de las aplicaciones; por otro lado el

personal no tiene en claro cuáles son sus funciones y responsabilidades.

En las computadoras de cada área no hay un control para el funcionamiento de las

nuevas aplicaciones en paralelo con las antiguas, para poder mitigar algunas

falencias de las nuevas aplicaciones con respecto a las antiguas.

Recomendación:

El personal a cargo del área de TI debe sugerir la recopilación de la documentación

de los aplicativos a utilizar, además de establecer organigramas con respecto a sus

servicios para poder establecer en claro las responsabilidades y funciones de dicho

servicio.

El personal a cargo del área de TI debe sugerir la ejecución de las aplicaciones

nuevas en un intervalo de tiempo con las antiguas para la adaptación de los usuarios

al nuevo sistema y evitar algunos problemas por cambio de software.

http://auditordesistemas.blogspot.com/2012/02/resultados-de-la-auditoria.html

Objetivo de Control: DS13.2: Programación de tareas

Dictamen: Nivel de madurez 1 INICIAL: Se aplican algunos procesos administrativos por

el Administrador del área de OTI pero estos son realizados de manera desorganizada y

espontánea, no se hace una asignación de funciones y responsabilidades del personal de

explotación.


El personal de explotación no interviene de manera directa con el área de desarrollo,

en el ámbito de implementación, sin establecer los requisitos del personal experto

en el proceso.

En la Universidad Cesar Vallejo – Lima Este el personal no tiene en claro cuáles son

sus funciones y responsabilidades con respecto a su labor en la empresa.

Recomendación:

El personal a cargo del área de TI debe sugerir la intervención del personal de

explotación de cada área a implementar; ya que él va ser el experto en dicha área y

brindará los requisitos claros para su implementación.

El personal a cargo del área de TI debe sugerir la segregación de funciones de todo

el personal; para poder tener en claro cada responsabilidad y funciones de cada

trabajador.

Objetivo de Control: DS13. 4: Documentos Sensitivos y Dispositivos de Salida

Dictamen: Nivel de madurez 3 DEFINIDO: Los procesos están estandarizados, se

documentan, se comunican y se capacita al personal encargado; pero no se miden o se

hacen mediciones para el acceso a la data.


El usuario a través de cualquier maquina con acceso a la base de datos puede

monitorear toda la información que requiera sin la necesidad que haya restricción al

momento de acceder dicha data.

Recomendación:

El personal a cargo del área de TI debe sugerir la administración de todos los

usuarios y asignar privilegios para poder ingresar a dicha información.

informe final

Documents