También se deberían hacer estudios ergonómicos más exhaustivos. Sería de mucha ayuda tener estos estudios a la hora de hacer nuevas peticiones.

Transcripción

1 Índice 1 Carta al Director Descripción Detallada de la Empresa Auditada Organigrama de la Empresa Alcance de la Auditoria Informe de la Auditoria Gestión del Hardware Gestión de Soportes (y seguridad lógica) Adquisición y Mantenimiento Seguridad Monitoreo Problemas Relacionados con la Planificación Papeles de Trabajo Entrevista con la Directora Administrativa de la Empresa Entrevista con el Administrador del Hosting de la Web Entrevista con el Director General Entrevista con el Responsable de Infraestructura Entrevista con la Dirección Editorial Entrevista con el Director de Informática Anexos Fichero de Login y Contraseñas Sobre Antivirus y Firewall Fotos sobre el Estado de las Instalaciones Documento de Seguridad para Ficheros Automatizados de Datos de Carácter Privado

2 1 Carta al Director Estimado Ricardo Gómez Serna. Nos dirigimos a Ud. para hacerle llegar las conclusiones a las que nuestro equipo auditor ha llegado sobre la auditoría realizada a la empresa que Ud. dirige. En primer lugar, en cuanto a la planificación que se tiene para el gasto en hardware que se va a comprar o invertir hemos detectado que el único documento que tienen para guiarse a la hora de comprar ordenadores y componentes son las necesidades que cada empleado requiere, recomendamos que exista un documento que sirva de guía para esas compras, así se evitarían problemas como el que tengan que hacer una sobre inversión cuando no es necesaria. Sería conveniente que tuvieran bien definido un plan de riesgos, así como un plan de continuidad, en el caso de que ocurra un desastre como la pérdida de todos los equipos y las instalaciones sea posible continuar con la actividad de la empresa. Sobre la toma en consideración de las opiniones de los usuarios no hay ningún procedimiento documentado sobre la recogida de dichas opiniones tanto negativas como positivas, recomendamos que exista un flujo directo al responsable de cada área para que sean más eficazmente tratadas. También se deberían hacer estudios ergonómicos más exhaustivos. Sería de mucha ayuda tener estos estudios a la hora de hacer nuevas peticiones. Basándonos en la gestión de documentos importantes para su modelo de negocio hemos observado una deficiencia enorme en el tratamiento de ficheros privados. Hemos encontrado que no tienen una seguridad acorde a la importancia de su empresa, lo cual puede provocar consecuencias fatales a todos los niveles, desde económicos, jurídicos, hasta incluso socio-culturales. Los manuscritos que maneja la empresa no son almacenados, distribuidos, ni alterados de forma segura. Nos da la impresión de que se encuentran expuestos a las intenciones de aquellas personas que quieran hacer un uso indebido de ellos. Estamos seguros que comprenderá que esta situación se debe abordar lo antes posible desde todos los frentes que hemos indicado en el informe detallado de la auditoría. Se ha observado que el personal dedicado a la gestión de contraseñas se supervisa a sí mismo. No se realiza, por tanto, una adecuada segregación de funciones. Aunque no es competencia de esta auditoría, es una actividad principal de control interno destinada a prevenir errores, irregularidades o fraudes, por lo que recomendamos la supervisión de este aspecto y las modificaciones necesarias para subsanar este error. Otro problema añadido son las contraseñas, las cuales no siguen un formato adecuado posibilitando un acceso inadecuado por parte de los empleados. Recomendamos que instalen sistemas de control de intrusiones más eficientes que los que tienen actualmente. También es un riesgo crítico la no existencia de copias de seguridad fuera de la empresa. La planificación a corto plazo no se lleva a cabo adecuadamente repercutiendo esto en todas las actividades de la empresa. Tampoco se llevan a cabo evaluaciones 3

3 sobre el estado de la misma. Podríamos decir que se tienen claros los objetivos pero no los pasos que hay que seguir para conseguirlos. Por último se observa un general descontrol a la hora de llevar las inversiones a cabo, ya que los motivos que las propician se alejan de las necesidades reales de la empresa. Reciba un cordial saludo de parte del equipo auditor. 4

4 2 Descripción Detallada de la Empresa Auditada Editorial que ha publicado más de 2800 libros. Se describe como una editorial que busca nuevas voces que puedan ser los clásicos del futuro y que ha rescatado varios clásicos del siglo XX. También publica varias revistas de diversos géneros entre los que se encuentran la moda, la informática y los viajes. La empresa cuenta con un sistema informático que automatiza casi todas sus funciones así como una página web que permite comprobar que libros han publicado hasta la fecha. Posee una planificación para el gasto en hardware y en software. La editorial se divide en los siguientes departamentos: Departamento de Proceso editorial El departamento de proceso editorial se encarga de la produción editorial la cual es un proceso compuesto de diversos pasos, los cuales van desde la creación del libro por parte del autor hasta el consumo de este por parte del lector. Normalmente cada parte del proceso está encargada a un ente institucional específico. Los pasos son los siguientes: AUTOR EDITORIAL IMPRENTA LIBRERÍA LECTOR Creación Producción Reproducción Difusión Consumo Del esquema anterior, se deduce que existen un orden que debe respetarse, el cual está compuesto por la siguiente secuencia: 1. Entrega del original Todo proceso editorial se inicia cuando el autor entrega un original al Consejo Editorial con el fin de que la obra sea evaluada y se decida si puede o no publicarse. El original es el material que va a servir de base para el futuro libro. 2. Evaluación editorial Esta parte consiste básicamente en un análisis de la factibilidad editorial. Para ello, deben tenerse en cuenta criterios como los siguientes: a) Determinar si el original entregado tiene el nivel de elaboración adecuado. (Es decir, si es un libro bien hecho ). b) Determinar si el original cumple a cabalidad con las funciones para las cuales fue concebido. c) Determinar, a través de un análisis de los costos, si la fabricación del libro es factible. Esta parte culmina cuando la comisión acepta o rechaza la publicación del libro. También puede darse el caso, muy corriente, que la comisión devuelva el original al autor con el fin de que lo reelabore, lo amplíe o le haga las correcciones que vengan al caso. En tal caso, la obra no se publica hasta que dicho proceso se realice. 3. Revisión filológica 4. Diagramación, composición y artes finales

5 5. Impresión 6. Circulación Dirección general Las tres funciones principales del director general son las siguientes: Dirigir, planificar y coordinar las actividades generales de los departamentos en colaboración con sus respectivos directores. Representar a la compañía ante otras empresas o Instituciones. Evaluar las operaciones y los resultados obtenidos. Departamento de diseño editorial El diseño editorial es la rama del diseño gráfico dedicada a la maquetación y composición de las publicaciones. La comprensión de los términos usados en la maquetación puede fomentar la articulación de ideas creativas entre los diseñadores, los clientes que realizan el encargo, los impresores y demás profesionales que también participan en la producción del diseño. Departamento Ventas y marketing Estudia la manera de alentar a los lectores a comprar sus libros a través de acciones de márketing efectivas. Al mismo tiempo intenta proveer las herramientas que permitan poner en práctica los métodos que dichas estrategías requerirán. Sus funciones principales son: Estrategia de ventas Estudios de mercado Tener un control de las necesidades del consumidor Intentar satisfacer la demanda del mercado Llevar un perfecto control de los pedidos, preparación y entrega de los mismos. Promociones de venta y publicidad. Coordinar y controlar el lanzamiento de campañas publicitarias y de promoción. Atención al cliente. Proporcionar la atención adecuada a los clientes con un servicio amable, oportuno y honesto. Departamento Administración de personal Se encarga fundamentalmente de todo lo relacionado con recursos humanos. Por tanto sus funciones principales son: Establecer el perfil y diseño de puestos Reclutar y seleccionar al personal. Determinar los términos y condiciones de empleo. Controlar que se cumplan los diversos aspectos legales y requisitos establecidos por la ley y la empresa en materia de contratación de personal. Desarrollo y gestión de la estructura y política salarial Supervisar la correcta confección de las plantillas de remuneraciones del personal 6

6 Desarrollo y gestión de la política y administración de beneficios sociales. Asesorar y participar en la formulación de la política de personal Controlar el cumplimiento del rol vacacional Fomentar una relación de cooperación entre directivos y trabajadores para evitar enfrentamientos derivados por una relación jerárquica tradicional Fomentar la participación activa entre todos los trabajadores, para que se comprometan con los objetivos a largo plazo de la editorial. Analizar las listas de asistencias para llevar el control de los empleados. Verificar las faltas, si están justificadas, investigar si estas cumplen de acuerdo con las políticas de la empresa. Elaborar la nómina. Pagar salarios, comisiones, gratificaciones, reparto de utilidades. Departamento Contabilidad y administración Entre las funciones principales del departamento de contabilidad destacan las siguientes: Mantener el correcto funcionamiento de los sistemas y procedimientos contables de la empresa. Formular estados financieros. Investigar y dar solución a los problemas referentes a la falta de información para el registro contable. Preparar y ordenar la información financiera y estadística para la toma de decisiones de las autoridades superiores. Identificar y analizar los ingresos, egresos y gastos de operación de la empresa e informar periódicamente al Director General. 3 Organigrama de la Empresa 7

7 4 Alcance de la Auditoria Criterios de información en los que se centra el estudio (calidad, integridad, confidencialidad ) y los recursos de Tecnología de la Información que están siendo revisados (tecnología, datos ) 5 Informe de la Auditoria A continuación se muestran las conclusiones obtenidas a partir de las observaciones, datos, entrevistas y experiencias de varios empleados. 5.1 Gestión del Hardware A continuación detallamos en que ha consistido nuestra investigación en el terreno referente al hardware que administra y proporciona la editorial para sus las labores de gestión de la información que debe llevar a cabo diariamente. - No existe un plan a largo plazo formal, bien documentado que especifique que es lo que se quiere conseguir, sino una idea por parte de la dirección que no está muy bien definida. - Como consecuencia de esto se deriva otro problema bastante serio, y es que no existe un plan de infraestructura tecnológica, con las siguientes implicaciones: o o No se puede actualizar el plan de infraestructura tecnológica con lo que no se puede confirmar que los cambios propuestos estén siendo examinados primero para evaluar los costos y riesgos inherentes, y que la aprobación de la dirección se obtenga antes de realizar cualquier cambio al plan. No se pueden reflejar las tendencias tecnológicas con lo que puede que no se tomen en cuenta. La recomendación que hacemos es que primeramente se especifique un plan a largo plazo de forma formal, para saber a que atenerse. Y posteriormente se haga un plan de infraestructura tecnológica, aplicando todas las recomendaciones que hace el cobit sobre como actualizarlo y demás. También hemos observado que no existe ninguna evaluación formal del nuevo hardware para ver el impacto de este sobre el desempeño global del sistema, con lo que puede ser que el hardware adquirido no cumpla con las expectativas. En lo referente al mantenimiento del hardware hemos encontrado los siguientes problemas: - Un problema importante es que no se realiza un mantenimiento preventivo del hardware, ya que no se siguen ni las recomendaciones de los proveedores del hardware en lo referente al mantenimiento preventivo, con lo que se produce un aumento de los fallos de hardware bajando el desempeño y el rendimiento del mismo. 8

8 Lo que recomendamos es que se establezca una política y unos procedimientos que aseguren seguir las instrucciones de los proveedores de hardware para minimizar los fallos 5.2 Gestión de Soportes (y seguridad lógica) Consideramos que esta área es de vital importancia dentro del modelo de negocio de la editorial. Se ha hecho especial énfasis en este apartado durante las entrevistas con la dirección de la empresa. Las observaciones más importantes se detallan a continuación: - Se ha comprobado que no existe ni está establecido ningún sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada. Esta tarea hasta ahora se viene realizando de forma manual y sin ningún tipo de control automatizado. - Al igual que con la entrada de soportes no se dispone de ningún sistema de registro de salida de soportes informáticos que permita conocer todos los datos relevantes de los archivos que son emitidos desde el interior de la empresa. No se puede recuperar esta información de forma segura y con constancia de que no ha sido manipulada por ningún agente externo o interno a la empresa. - Se ha comprobado, igualmente, que los soportes cuándo salen fuera de los locales en los que se encuentran ubicados los ficheros cómo consecuencia de operaciones de mantenimiento no se ven sometidos a las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos. - No existe ningún tipo de registro de incidencias. Si se producen se establece comunicación directa con los altos responsables que toman las decisiones que creen adecuadas. Según REAL DECRETO 994/1999 de la ley vigente en España: Las recomendaciones que hacemos para evitar esta situación son numerosas y deben ser puestas en marcha inmediatamente, también se ofrece una alternativa para la gestión de los cambios: 2. Comprobar que el procedimiento de notificación y gestión de incidencias contiene necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de la misma. El protocolo de notificación de incidencias se realizará mediante formularios impresos que contienen el tipo de la misma, una descripción detallada, la fecha y hora en que se produjo, persona(s) que realiza(n) la notificación, persona(s) a quien va dirigida y efectos que podría producir. El Administrador se encarga de automatizar dicho formulario tras su notificación. 9

9 3. Comprobar que el responsable del fichero se encarga de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso. La lista de usuarios con acceso autorizado se actualizará automáticamente cada vez que dicha lista sufre una modificación. El Administrador del Sistema realiza semanalmente una revisión sobre dicha lista en la que comprueba que se cumplan las condiciones establecidas(longitud mínima, etc). 4. Comprobar que cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. Las claves de acceso o contraseñas cumplirán la condición de tener una longitud mínima de cinco caracteres. La distribución de estos datos se realizará mediante correo certificado. 5. Comprobar que las contraseñas se cambien con la periodicidad que se determina en el documento de seguridad y mientras están vigentes se almacenen de forma ininteligible. Las contraseñas caducarán cada noventa días. Este hecho será notificado al los interesados mediante correo electrónico para que proceda a su modificación. Durante el periodo vigente, las contraseñas se almacenarán de manera cifrada. 6. Comprobar que los usuarios tienen acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. 7. Comprobar que el responsable del fichero establece mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. 8. Comprobar que exclusivamente el personal autorizado para ello en el documento de seguridad puede conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero. La sección administrativa de la empresa pasará a utilizar el programa que, por ahora, se viene utilizando en el departamento editorial. Este programa se tendrá que adaptar y añadir funcionalidades propias de la dirección Administrativa. Sería conveniente que los empleados contarán con un perfil de usuario que le permitiera el acceso a los datos únicamente con los privilegios necesarios para desarrollar su tarea. Se deberá comprobar que cada usuario con acceso al servicio cuenta con un perfil asignado y que no se realizan accesos no autorizados a dicho servicio 9. Comprobar que el responsable de fichero se encarga de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. 10

10 Los procedimientos de recuperación de datos se consignan en el registro de incidencias, incluyendo la persona que ejecutó la restauración, los datos recuperados e indicando el código específico para recuperaciones de datos, en la información relativa al tipo de incidencia. Para ejecutar los procedimientos de recuperación de datos será necesaria la autorización por escrito del responsable del fichero. 10. Comprobar que los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deben garantizar su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. 11. Comprobar que se realizan copias de respaldo, al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos. Las copias de respaldo de la información de la empresa serán automatizadas, realizándose una incremental (exclusivamente los datos modificados) a diario y una completa semanal. Estas copias semanales serán recogidas por un empleado autorizado para ser almacenadas en cajas fuertes. Habrá otra copia de seguridad en los servidores de la empresa para garantizar que en todo momento que los archivos están disponibles y actualizados. 12. Comprobar que el responsable del fichero establece un mecanismo que permite la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. El mecanismo de identificación será único para cada usuario (Nombre de usuario y contraseña). Antes de permitir el acceso a los datos, la aplicación compruobará que el código de usuario y contraseña son válidos y forman parte de la relación de usuarios con permiso de acceso. 13. Comprobar que se limita la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Tras tres intentos fallidos en la introducción de la contraseña, el acceso al sistema quedará bloqueado. 14. Comprobar que se ha establecido un sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada. 15. Comprobar que igualmente, se dispone de un sistema de registro de salida de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada. 16. Comprobar que cuando un soporte vaya a ser desechado o reutilizado, se adoptan las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario. 11

11 17. Comprobar que cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptan las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos. Recomendamos que se elabore un documento formal dónde se recojan todas las responsabilidades legales de la empresa para con los archivos suceptibles de ser protegidos contra usos indeseables para el modelo de negocio de la editorial. Así cómo las medidas implementadas por la empresa para evitar estos usos. Los autores de los manuscritos deberán conocer estas medidas y las responsabilidades jurídicas, y estar de acuerdo con ellas, que asumirá la empresa en caso de uso indebido de los documentos. Se adjunta un modelo contractual,no necesariamente final, en el que la empresa puede apoyarse para elaborar el documento final. Los auditores deberán ser consultados ante posibles modificaciones del modelo adjunto, en alas de proteger los intereses de la empresa. 5.3 Adquisición y Mantenimiento Habiendo observado el entorno de trabajo y los procedimientos de la editorial hemos detectado las siguientes situaciones: No existe un procedimiento documentado por el cual los usuarios comunican las opiniones satisfactorias. Las opiniones son pasadas de uno a otro aunque eso sí, si siguen la cadena adecuada podría llegar a la persona encargada de ello. Los comentarios y opiniones se pueden enriquecer con la experiencia de otros. Dadas estas situaciones detectamos varias deficiencias de las cuales la más destacada es que el flujo de información hacia el responsable de la parte que concierne a las soluciones automatizadas del sistema no es el correcto, la información puede ser modificada o distorsionada. Recomendamos que todas estas opiniones estén documentadas por cualquier soporte o medio y que éstas lleguen directamente desde el usuario que las realiza al responsable del área que compete. A la hora de tomar una decisión sobre si mejorar un software ya existente o comprar uno nuevo hemos observado a través de una entrevista que se hace de acuerdo las necesidades puntuales que en ese momento tenga. (véase entrevista al Director General) A la hora de la realización del diseño de un nuevo sistema automatizado para el uso de la empresa con respecto a las necesidades ergonómicas hemos detectado las siguientes situaciones: La realización de estos estudios ergonómicos se basan en opiniones y experiencia de los usuarios. El responsable de mobiliario no tiene libertad para poder elegir los elementos del entorno de trabajo, los cuáles les vienen dados por una instancia superior ajena a su control. Con estas situaciones hemos detectado las siguientes deficiencias: 12

12 No existen estudios ergonómicos como tales si no son ideas y experiencias que el responsable del mobiliario ve y recibe. Estas necesidades no son recogidas en ningún registro, historial o documento, que por otra parte no es de vital importancia para la labor del responsable de esta área. Tras realizar un estudio sobre el software y el hardware utilizado se ha podido constatar que no existen documentos que plasmen las políticas y procedimientos que la empresa sigue para comprar y mantener el hardware y el software. La empresa carece de una política documentada de acceso a los sistemas software, no obstante existen una serie de medidas que son más restrictivas dependiendo del cargo desempeñado por cada miembro de la editorial (creativos, editores...). Sería altamente recomendable que se elaborara un documento que delimite las responsabilidades y los permisos de acceso de cada rol que existe en la empresa. Si bien existen elementos para prevenir y actuar sobre cambios de emergencia, por ejemplo sistema de Backup, no existe ninguna documentación de cómo actuar en tales circunstancias, dejando todo el peso a la propia experiencia. No existe un procedimiento de control de cambios. Recomendaríamos que se siguiera algún procedimiento que garantizara la integridad del sistema en caso de los cambios que puedan acontecer, tanto a nivel de programas como a nivel operacional, quedando constancia documentada de todo ello. Habría también que hacer una evaluación de cambios, viendo si han ayudado o empeorado en las distintas facetas para los cuales fue realizado. En cuanto a materia de satisfacción por parte de los usuarios con los cambios realizados, no existe ningún procedimiento para poder evaluarlo. 5.4 Seguridad Tras una entrevista con el director general de la empresa (véase entrevista al Director General), nos consta que la editorial está carente de un plan de continuidad. En el caso de que suceda algún fenómeno que pueda ocasionar la pérdida parcial o total de datos, se deja y se confía en poder obtener una solución de forma rápida sin tener que invertir un gran presupuesto en ello, lo cual es una medida que conlleva un riesgo elevado. Aunque bien existen elementos para poder mantener la seguridad y continuidad de la información éstas son insuficientes en el caso de que se produzca un riesgo que ponga en peligro el edificio donde está enclavada la empresa ya que no hay ningún otro lugar fuera del edificio donde se almacene al menos parte de la información vital para la continuidad de la empresa. La editorial no dispone de otro lugar en el que pueda continuar su labor. A parte de que el plan de continuidad es inexistente, tampoco se tiene una documentación de los riesgos que han acontecido en el pasado y la forma que se utilizó para subsanarlos La empresa tampoco contempla escenarios de desastre varios, que aunque parezca improbable, es algo que debe de tenerse en cuenta. No existe un plan de actuación en el caso de que se produzca esta situación, ni tampoco un plan de actuación para la información que se maneja, incluso para salvaguardarla de los 13

13 propios empleados, si bien el edificio cuenta con un plan de evacuación, e información sobre él en algunas de sus plantas. Sería muy recomendable que la información se encontrara en todas y cada una de las plantas del edificio, para en caso de accidente poder evacuar a los trabajadores de la forma más rápida posible. Aunque se lleva un control de los equipos que se tienen, no existe una lista de recursos del sistema que requieren alternativas, en caso de que se produzca un riesgo que deje inoperativo elementos tan críticos en el sistema como puede ser el servidor presente el los tres sistemas de información. La seguridad de la empresa no es efectiva, ya que aunque cada ordenador tiene una contraseña, hay un gran número de empleados que no han cambiado la contraseña original y eso supone un peligro muy importante ante un posible intruso en las instalaciones. (véase entrevista a Directora Administrativa) Por motivos de seguridad, se nos permitió consultar el listado de registro de accesos únicamente durante el periodo en el que realizamos la auditoría y siempre dentro de las instalaciones de la empresa sin que en ningún momento pudiéramos obtener una copia o un extracto del mismo. La empresa dispone de sistemas software con sus respectivas licencias corporativas para hacer frente a posibles amenazas de virus, spyware, spam, etc. (Véase anexo sobre antivirus y firewall) Este software no siempre permanece actualizado, puesto que cada empleado utiliza su ordenador, y aunque hay revisiones periódicas éstas pueden no llegar en el momento apropiado (véase entrevista con el Director de Informática). Cuando se encuentra actualizado, el software en la mayoría de los casos suele incluir Firewall para proporcionar un nivel mayor de seguridad frente a la entrada de intrusos, hackers, etc. Habiendo examinado los mecanismos que tiene la empresa para el manejo de problemas se ha detectado que no se generan reportes de incidentes para problemas significativos, si bien se tienen en cuenta pero pasado un tiempo es difícil poder tomar cuenta de ellos. Ante esto recomendamos la creación de un histórico de reportes de problemas, donde se especifique de manera clara e inequívoca la naturaleza del problema, el análisis y la resolución de éste. Este archivo permitirá una simplificación y ayuda en un futuro a la hora de buscar soluciones a problemas y lo que es más importante, evitar que ocurran. En cuanto a procedimientos de manejos de problemas se han detectado las siguientes carencias: No está definido y por tanto implementado un sistema de administración de problemas. No se registran ni almacenan los procedimientos no-estándar que ocurren. No se establecen reportes de los incidentes ocurridos, por tanto no se pueden remitir a los usuarios para su conocimiento. Al no haber un procedimiento de manejo de problemas no se han definido controles lógicos y físicos de la información para el manejo de éstos. Como no hay un histórico de problemas no se pueden seguir la tendencia de éstos para maximizar recursos. 14

14 Debido a estas carencias recomendamos la creación de un modelo de reportes de incidentes para su fácil almacenamiento y comunicación a los usuarios. 5.5 Monitoreo A pesar de que existen algunos métodos para el control interno (p.ej logs de acceso al sistema en cada máquina) la editorial carece de una política de la función de servicios de información relacionadas con el monitoreo y el reporte de los controles internos, así como tampoco en la frecuencia de las revisiones. Se trata de un riesgo crítico, por tanto se recomienda definir un mecanismo que permita llevar un control de forma periódica. Esta política también debería reflejar las medidas a tomar en caso de que no se cumplan las condiciones impuestas por el control interno dándose a conocer por escrito a los empleados pertinentes. Así también, una vez que se tomara en consideración un control interno, y éste se llevara a cabo, sería conveniente que existiera una revisión administrativa del mismo, de forma que la política pudiera retroalimentarse y aprender de ella misma, haciéndola cada vez más confiable. Asimismo, el control interno debe de partir de una buena base. Para ello, se deben de hacer un estudio y elección de que datos son los más idóneos para llevar un seguimiento de los controles internos. 5.6 Problemas Relacionados con la Planificación Para comenzar, el Director General nos informa de la falta de seguimiento de una metodología concreta que cubra las necesidades de formulación y modificación de planes estratégicos. En su lugar se mantienen unas políticas y procedimientos propios, cuya validez y adecuación para el área de desarrollo de la que se trata se analizan a continuación. No se sigue una metodología concreta que cubra las necesidades de formulación y modificación de planes estratégicos. En su lugar se mantienen unas políticas y procedimientos propios. A su vez nos habló sobre los distintos planes del área. Se observó una buena cobertura a largo plazo, con suficiente soporte a los objetivos de la organización y a los procesos del negocio. En cambio se encontró una evidente falta de cobertura mediante planes a corto plazo con los que definir la base operativa. La deficiencia anterior trae consigo una serie de errores, no obstante, la documentación general facilitada sobre las distintas actividades de la empresa es clara y bien estructurada. Aún sin seguir estrictamente una metodología de planificación estratégica, como se comentaba anteriormente, se cumplen las especificaciones necesarias sobre actividades y tareas que documentan los las metodologías de cada departamento, pero volvemos a caer en la misma excepción: no se consigue una buena cobertura en los planes a corto plazo El Director General pone a nuestra disposición los planes del departamento editorial. Se observa una buena cobertura a largo plazo, con suficiente soporte a los objetivos de la organización y a los procesos del negocio. En cambio se encuentra una evidente falta de cobertura operativa, mediante planes a corto plazo con los que llevar a cabo el soporte de los planes estratégicos a largo plazo. 15