AUDITORIA INFORMATICA

Transcripción

1 AUDITORIA INFORMATICA

2 INTRODUCCION. Empresa M&L. Durante el desarrollo de este trabajo sólo se abarcaron tres áreas: 1-sistemas de información. 2- Hardware y software. 3- Administración. Norma de riesgo tecnológico. CD-SIBOIF SEP

3 Escala Likert: 1 es bajo y 5 es alto.

4 SISTEMAS DE INFORMACION RECOMENDACIONES Contratar un equipo que le permita actualizar la documentación de los sistemas que se encuentre desactualizada bajo la dirección del analista encargado de desarrollar dicho sistema. Contratar personal temporal para la documentación de los sistemas siguiendo una lista de prioridades y siempre con la supervisión del encargado del desarrollo del sistema y con el visto bueno del usuario final. Utilizar estudiantes que estén realizando sus prácticas de especialización y profesionalización para que realicen las tareas de documentación pero poniendo énfasis en que el trabajo final entregado debe contar con la aprobación del desarrollador y el del usuario final en común acuerdo. El trabajo de los estudiantes deberá estar dirigido por la persona que más domine el uso del sistema que se va a documentar. Se debe especificar un plan de prueba que garantice el perfecto funcionamiento de los sistemas además de aplicar formularios estándares en la solicitud de modificaciones a los sistemas como se establece en artículo 13 de la norma de riesgo. Adoptar una metodología de desarrollo de sistema que más se adapte a sus requerimientos y que le permita cumplir lo que se establece en el artículo 11 de la norma de riesgo tecnológico. Con el fin de garantizar la seguridad en el acceso de los sistema se deben establecer políticas y procedimientos de seguridad según como se establece en el articulo 25 inciso b acápite 2 y en el articulo 27 inciso b, de la norma de riesgo tecnológico. Se recomienda establecer pistas de auditoria para dar seguimientos a las operaciones realizadas por los usuarios dentro del sistema tal y como lo establece el articulo 11 inciso d y el articulo 17 inciso d, de la norma de riesgo tecnológico.

5 FORTALEZAS Políticas de respaldos de Bases de Datos. Se tienen respaldos programados de forma automática y tiempos ya previamente definidos junto con una supervisión de los respaldos realizados al día siguiente, para garantizar su fiabilidad. Además se tiene tres copias de cada respaldo realizado en tres lugares diferentes, uno en el mismo centro de cómputo (del cual se auxilian los programadores), el segundo respaldo se encuentra en DVD que son resguardados en caja de seguridad y el tercero en el área de archivos. Normas de control de versiones de códigos fuentes. Se lleva un control de las versiones de códigos fuentes a través de un software llamado Tortoise SVN y todos los programadores están obligados a utilizarlo. El programa guarda la información de cada versión que es enviada al servidor y luego respalda automáticamente en periodos preestablecidos.

6 Escala Likert: 1 es bajo y 5 es alto.

7 HARDWARE Y SOFTWARE. RECOMENDACIONES Se deben establecer mecanismos que garanticen los requerimientos mínimos del cableado estructurado tal y como lo establece la norma de riesgo tecnológico en el Arto. 18 en sus incisos c y d. Se debe establecer mecanismos de capacitación constante en materia de seguridad al personal para reducir situaciones de riesgo en la seguridad del centro y disminuir el daño que se podría presentar al materializarse una amenaza, como lo establece la norma de riesgo en el artículo 28 inciso g. Todos los equipos del centro de cómputo deben estar bien ubicados con el fin de reducir los riesgos y amenazas que esto podrían tener, por lo cual sugerimos se haga un estudio de la ubicación de dichos equipos incluyendo los de seguridad, para que se ubiquen de mejor forma, a como se establece en el Arto. 29 y en el inciso d. Establecer políticas de llenado de formatos que registren el acceso de personal a centro de cómputo como se menciona en el articulo 29 de seguridad física y ambiental, en el inciso c, además tomar en cuenta los enunciados del los demás incisos. Se recomienda la elaboración de normativas escritas que le sirvan al personal del centro como apoyo en la realización de sus funciones, y para la concientización del personal sobre las diferentes normas incluyendo las de seguridad que se deben aplicar y dar seguimiento. Esto se establece en la norma de riesgo tecnológico Artículo 28 inciso g Se recomienda definir políticas para una adecuada instalación de software que brinden mayor seguridad sobre los equipos tal como se menciona en el articulo 16 sobre la administración de software, el cual platea consideraciones mínimas a través de todos sus incisos (del a al e). Realizar una clasificación de activos para establecer niveles de seguridad apropiados. Se recomienda además que estén por escrito y se le de control y seguimiento. La clasificación y protección de activos se contempla en el articulo 25 inciso b acápite #1 y en el articulo 33 de la norma de riesgo tecnológico. La clasificación también es considerada en el análisis cualitativo de riesgo en artículo 41 inciso c. Se recomienda la elaboración de planes de mantenimientos preventivos sobre los equipos del centro como se contempla en la norma de riesgo en el artículo 36 inciso d. y el artículo 7 inciso d.

8 FORTALEZAS Cuenta con planta eléctrica de emergencia optima. Se tiene instaladas cámara de seguridad en los puntos de entrada del área de desarrollo de sistemas y especialmente en el área de redes que es donde se encuentran todos los servidores que dan servicio a los diferentes departamentos. Cuenta con un mapa de la estructura de la red donde se detalla la ubicación física de cada uno de los puntos de acceso a nivel central y dentro de cada centro regional. Cuentan con un inventario completo de los equipos y las personas que los tienen bajo su responsabilidad, el cual se actualiza cada seis meses.

9 Escala Likert: 1 es bajo y 5 es alto.

10 ADMINISTRACION. Recomendaciones. Se debe elaborar un documento donde se enumeren los cargos existentes y las funciones de cada uno de estos, para dar cumplimiento a lo establecido en la norma de riesgo tecnológico en el artículo 6 inciso a y b. Realizar la elaboración de documentos que contenga un desglose de los planes generales del centro, que le permita dar un mejor seguimiento y facilite la evaluación de su cumplimiento. Se deben tener documentos que contengan procedimientos escritos que den soporte a las políticas dictadas por la alta gerencia. Elaborar un formato en donde se registre los planes evaluados y todos los aspectos referentes a ellos de tal manera, que se tenga referencia escrita y sirva de evidencia ante comprobaciones de seguimiento futuras. Utilizar formatos estándares que contengan los aspectos a evaluar y la forma de calificar el desempeño de las funciones de los empleados del centro de cómputo. Esto permitirá tener un historial escrito del comportamiento del empleado además, servirá como base a la hora de cualquier tipo de promoción que la empresa desee realizar.

11 FORTALEZAS Se tiene un plan bien definido a largo plazo que cumple con todos los aspectos establecidos en la norma de riesgo tecnológico en el artículo 7. Uso del sistema help-desk para reportar incidencias y resolverlas por los técnicos asignados. De esta manera se lleva control del tiempo que se toma para dar respuesta a dichas incidencias.

12 CONCLUSION. El grado de madurez con que cuenta la empresa actualmente le permite estar más consciente de los riesgos tecnológicos que la empresa debe administrar, lo que facilita en gran manera que los directivos adopten y fomenten mejores practicas de trabajo que le ayuden a alcanzar sus objetivos estratégicos. Se mostró una actitud favorable a las observaciones hechas en el documento preliminar y un gran interés en aplicar las recomendaciones hechas además de mejorar los procesos ya existentes. Un objetivo implícito en este trabajo es pretender ayudar a la empresa a mejorar sus controles de seguridad y buenas prácticas de trabajo con visión al futuro y se considera que se logrará en un buen porcentaje.

13 GRACIAS POR SU ATENCION.