Practica Entre Gable Cob It

Sugerencia. INFORME DE AUDITORIA INFORMATICA SOBRE REVISION DEL PROCESAMIENTO ELECTRONICO DE DATOS DE LA COMPAÑÍA ABCD PARTE (I)

INFORME DE AUDITORIA SOBRE PROCESAMIENTO ELECTRONICO DATOS DE LA COMPAÑÍA ABCD

Situación 2 Carencia de Documentación de las Pruebas de Programas y de Sistemas.

EL DE

Durante nuestra revisión se apreció la ausencia de procedimientos formales que documenten apropiadamente el plan de pruebas de nuevas funcionalidades; en cuanto a descripción de las mismas, datos a ser usados, metodología para el desarrollo de dichos datos y los resultados esperados. Criterio.

OBJETIVO Evaluar el adecuado control interno dentro de las actividades del procesamiento electrónico de datos. RESULTADOS OBTENIDOS, CONCLUSIONES ESPECÍFICAS Y RECOMENDACIONES I.

Desarrollo de Sistemas

Situación 1 Administración de Requerimientos Departamento de Desarrollo de Sistemas.

Causa. A la fecha no se ha implementado una metodología de trabajo para el desarrollo y mantenimiento de los sistemas de información, los procedimientos informales actualmente utilizados no son claros y definidos para la realización de pruebas unitarias e integrales. Efecto.

al

La atención de requerimientos (mejoras adaptaciones a los sistemas) solicitados por los usuarios al Dpto. de Desarrollo de Sistemas son realizadas a través de un procedimiento manual no aprobado (Hoja de Requerimientos), que en ocasiones no permite realizar el seguimiento oportuno del requerimiento quedando pendientes algunas solicitudes de cambios o mejoras de los sistemas. Criterio.

La no - elaboración de un plan formal de pruebas a los sistemas alineado a una metodología y así también la carencia de participación crítica del usuario podría generar el riesgo de no implementar adecuadamente las funcionalidades a las actividades originando la falta de control en las actividades importantes del negocio. Sugerencia. Situación 3 Catalogación de Versiones de Programas Fuentes

Causa No se han definido formalmente las formas de actuación y responsabilidades sobre la atenciones a los requerimientos de los usuarios. No existe un registro automatizado que permita realizar el seguimiento y control de estas actividades. Efecto. La no - existencia de una herramienta adecuada para la administración de los requerimientos puede ocasionar el embalse y el inadecuado seguimiento a los mismos perdiéndose el control total o parcial de las actividades claves, limitándose la eficiencia en la modificación a un programa en el tiempo adecuado, y a los costos previstos. Además la carencia de esta herramienta podría limitar las actividades de seguimiento y control de las atenciones correspondientes.

En nuestra revisión hemos observado que el Dpto. de Microcomputación y Redes tiene el control de los programas fuentes de los aplicativos almacenados en un servidor. Además se apreció la falta de procedimientos para el control de estos programas fuentes. Sin embargo el Dpto. de Desarrollo de Sistemas debería considerar un inventario de los programas fuentes y sus versiones instaladas en los computadores así como también un procedimiento para la actualización de estas versiones. Criterio. Causa. •

Segregación de Funciones en los d Departamentos de Desarrollo de Sistemas y el Dpto. de Microcomputación y Redes.

Revisión del Procesamiento Electrónico de datos

–

Compañía ABCD Pág.2

•

Carencia de procedimientos para transferir programas fuentes a los computadores y controlar las versiones de los programas del computador. Efecto.

longitudes de los datos si estos programas realizan interfases con otros aplicativos.

Las responsabilidades del control de los programas deberían estar enmarcado en las actividades de administración del Departamento de Desarrollo de Sistemas. Podría existir el riesgo potencial de no realizar una actualización oportuna de los programas o instalar una versión no correspondiente no estableciéndose las responsabilidades pertinentes. Los programas que se encuentran en proceso de modificación una vez culminados deben traspasarse a los computadores, basados en un requerimiento formal de traspaso aprobado. Así también, el no contar con un inventario actualizado de los programas fuentes y ejecutables genera la exposición al riesgo potencial de poder estar usando en producción un programa ejecutable que sea de la ultima versión y que carezca de su programa fuente original o contar con un programa fuente de la ultima versión y que no se halla realizado el requerimiento adecuado para traspasar el programa a los computadores, quedando el programa ejecutable anterior.

Situación 5.

Sugerencia.

Efecto.

Situación 4. Carencia de Procedimientos Estándares de desarrollo (Programas, Pantallas y Diseño de Tablas) Durante nuestra revisión se apreció la ausencia de procedimientos que estandaricen el trabajo de los analistas y programadores de los sistemas en lo referente a las estructuras de elaboración del código de los programas y diseños de las pantallas de ambiente visual. Se observo que algunos sistemas tienen el manual de diseño lógico y no el de diseño físico. Además contienen: Nivel Cero, Diccionario de Datos y La relación de tablas (Bosquejo final sin normalizar). Criterio. Causa. Es observación se ha evidenciado debido a la carencia de procedimientos formales para la elaboración de estándares que faciliten el entendimiento del mantenimiento de los programas y futuros desarrollos. Efecto. No incorporar estándares de programación y de diseño de pantallas podría dificultar el trabajo de otros analistas que asuman la actividad de mantenimiento de los programas además de existir la probabilidad e alguna incompatibilidad en las

Metodología COBIT – Ing. Omar Neyra Córdova

Sugerencia.

Carencia de Herramientas de Modelamiento de datos Se ha observado que el Departamento de Desarrollo de Sistemas, no cuenta con herramientas de tecnología de información que permita realizar las actividades de Modelamiento de Datos y Elaboración de Diagramas de Entidad Relación. Criterio. Causa. Hemos observado que no se utilizan herramientas de modelamiento de datos durante el diseño de los aplicativos debido a que no han sido consideradas como un recurso dentro del actividades de los desarrollos de los programas.

El diseño de los Sistema de Información debe recoger las funcionalidades de los diferentes procesos la compañía, en tal sentido es muy importante considerar una herramienta que permita realizar estas actividades, sobre todo si es necesario haces un rediseño sistemas existentes. El riesgo de no contar con esta herramienta puede significar retrasos significativos para los futuros proyectos de Sistemas. Sugerencia. Situación 6 Existencia de Software Aislado Durante nuestra revisión evidenciamos la existencia de un software que es utilizado para el “Manejo de las Planillas” administrado por el usuario. Este sistema no esta integrado a los sistemas actualmente existentes y los Departamentos de desarrollo de sistemas y redes de microcomputación no brindan el soporte correspondiente a este aplicativo. Cabe señalar que este sistema no tiene un óptimo rendimiento debido a que trabaja en un ambiente mono usuario en D.O.S. Criterio. Causa.

Revisión del Procesamiento Electrónico de datos

–

Compañía ABCD Pág.3

Ausencia de Normas y Políticas que regulen las responsabilidades sobre temas informáticos en la organización. Actualmente este sistema se sigue empleando y tiene la característica de no ajustarse al requerimiento de los usuarios debido a que al establecerse la compañía ABCD se vio necesario incorporar nuevos procesos administrativos quedando obsoleto para el desarrollo de estas nuevas actividades. No se ha definido una solución informática alineada con la actual arquitectura de la compañía, Cabe señalar que los resultados obtenidos del procesamiento de este sistema son llevados a una planilla en Excel siendo modificados para su respectiva presentación. Efecto. Continuar con la situación descrita podría ocasionar el riesgo potencial que se esté duplicando los esfuerzos en el desarrollo de las tareas que involucra este sistema al no ajustarse a la necesidad del usuario.

II Operaciones del computador Situación 8. Bitácoras de Actividad. Hemos observado que no existe un registro (log de actividades) en donde se aprecie cronológicamente los trabajos, cambios o modificaciones ocurridas durante el tiempo de funcionamiento de los computadores, así como también un registro histórico de las paradas de los sistemas y de los mantenimientos realizados a los servidores. Criterio. Causa.

Es de mencionar que podría existir un riesgo mayor al trabajarse los resultados del sistema de forma externa pudiendo ocurrir una alteración de la información no intencional. Sugerencia.

En nuestra revisión hemos identificado que la Subgerencia de Informática de la Compañía ABCD, no ha incorporado en sus actividades el seguimiento a los eventos ocurridos durante la ejecución de los procesos del computador así como también las acciones tomadas por los programadores ante eventos inusuales y fallos del computador

Situación 7 Efecto. Carencia de Pistas de Auditoría. En el proceso de relevamiento evidenciamos que algunos aplicativos existentes no guardan información acerca de pistas de auditoría originando que no existan mecanismos para realizar las actividades de control de los procesos del negocio.

El no contar con las herramientas adecuadas podría ocasionar la pérdida del control de los eventos y dificulta el seguimiento de los problemas suscitados que sirven de base para el desarrollo de soluciones inmediatas a dichos errores. Sugerencia.

Criterio. Efecto.

Situación 9.

No incorporar las pistas de auditoría dentro de los aplicativos nos limita ha determinar la integridad y confidencialidad de las transacciones.

Carencia de Procedimientos de Respaldo y Recuperación de programas fuentes

Sugerencia.

Hemos evidenciado la carencia de procedimientos formales de respaldo y recuperación en tal sentido solo se realizan estas actividades para ciertos servidores como los ubicados en Tomas Valle. Criterio.

INFORME DE AUDITORIA INFORMATICA SOBRE REVISION DEL PROCESAMIENTO ELECTRONICO DE DATOS DE LA COMPAÑÍA ABCD PARTE (II)

Causa Ausencia de definición de procedimientos con respecto a la seguridad de la información en caso de una contingencia. Efecto

Metodología COBIT – Ing. Omar Neyra Córdova

Revisión del Procesamiento Electrónico de datos

–

Compañía ABCD Pág.4

No contar con estos procedimientos podría generar el riesgo potencial de no recuperar adecuadamente la información que proviene de los procesos críticos que se encuentran en nuestros sistemas corporativos.

inventarios que no son lo suficientemente fáciles de revisar y actualizar.

Sugerencia.

Causa.

Situación 10. Plan de Contingencias. Hemos evidenciado que no existe un procedimiento formal por escrito y coordinado que evidencie la preparación de los sectores ante alguna posible contingencias. Solo se ha evidenciado un programa de los mantenimientos efectuados a algunos equipos.

Criterio.

Los inventarios no esta debidamente actualizados de acuerdo al número de licencias adquiridas, además de la carencia de un formato donde se registren las actualizaciones correspondientes de los software instalados a los usuarios. Adicionalmente solo se cuenta con el listado detallado de los servidores de datos de la compañía, no existe un formato donde se registren las modificaciones o cambios a estos equipos (Upgrade). Efecto.

Criterio. Causa. No se dispone de un Plan de Contingencias por escrito, formalmente establecido y probado, preparado y coordinado con los procedimientos de respaldo de datos y almacenamiento fuera del edificio. Podemos considerar los siguientes aspectos: a) b)

c)

d) e)

Sólo se dispone de algunos procedimientos de operación ante caídas del fluido eléctrico. Las instrucciones y funciones establecidas del plan de contingencia no deberían centralizarse en algunas personas, debido que si estas se retirasen de la compañía truncarían el referido plan de contingencia. No existe un procedimiento coordinado con los demás sectores de la compañía para la realización de actividades en caso de una contingencia. No se han evidenciado pruebas de performance de los servidores. No existe certificación de los niveles de resistencia de los equipos y de las instalaciones eléctricas considerando los pozos a tierra.

Efecto. El Plan de Contingencia debido a su importancia y magnitud debe contemplar el direccionamiento y la adecuada distribución de las funciones del personal asociado al mismo. En tal sentido este riesgo se ha evidenciado exponiendo ante un posible truncamiento total o parcial del plan en vías de implementación.

Los riesgos existentes en el uso inadecuado de las licencias de software así como los procedimientos usados para la adquisición de las mismas limitan las actividades de control del software que es parte integrante de los activos de la compañía. La exposición de ante estos riesgos puede ocasionar una contingencia de orden fiscal, en la medida que no informar oportunamente e incumplir las cláusulas contractuales con las compañías proveedoras de estos Software. En cuanto a los Equipos de Computo es necesario realizar un inventario y mantenerlo actualizado debido a que podría existir el riesgo potencial de una debilidad de control exponiendo al área de sistemas a una pérdida en la integridad de equipos que son utilizados. Sugerencia. Situación 12. Política Antivirus Uno de los principales riesgos en lo que respecta a la Seguridad de la Información es el impacto que tienen los Virus Informáticos sobre la información que maneja la compañía. En nuestra evaluación hemos evidenciado que la Sub Gerencia de Informática y Racionalización de ABCD cuenta con un antivirus denominado HACKER El que no ofrece las características de un antivirus corporativo que debe estar instalado en los Servidores y en los equipos de cómputo de los usuarios. Criterio.

Sugerencia.

Causa.

Situación 11.

Durante las indagaciones realizadas al departamento de Redes de Microcomputadoras, evidenciamos que solo contaban con un antivirus monousuario instalado en ciertas microcomputadoras. Asimismo el personal desconoce las medidas de seguridad que deben adoptar en ante esta situación.

Inventario de Hardware y Software Hemos observado que no se encuentra un inventario debidamente actualizado y que contenga además información necesaria para poder realizar actividades de control. En tal sentido solo se encuentran

Metodología COBIT – Ing. Omar Neyra Córdova

Revisión del Procesamiento Electrónico de datos

–

Compañía ABCD Pág.5

La red de datos permite la propagación de virus informáticos a través de diversos medios, como: •

Puertas de Ingreso: Internet, Correo electrónico desde el exterior, Disketeras ú otros dispositivos de almacenamiento comprimido (Zip).

•

Transferencia de archivos: vía Correo electrónico interno y Directorios Compartidos.

La vulnerabilidad de red permite el ingreso y salida de la información a través de: •

Correo electrónico desde / hacia el exterior.

•

Disketeras ú otros dispositivos almacenamiento comprimido (Zip).

de

Efecto. La situación antes mencionada expone ante la posibilidad de pérdida o daño de la información interna que se maneja, la que refleja los diversos procesos de la compañía. No contar con un antivirus corporativo actualizado y con una política de prevención. Podría generar la propagación de un virus informático a través de la red de datos por medio del correo electrónico, infectando a usuarios que no cuentan con un antivirus en sus equipos. Sugerencia.

BUENA SUERTE ¡¡¡¡¡¡¡¡¡

Metodología COBIT – Ing. Omar Neyra Córdova