ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT)

Transcripción

1 EVALUACION FINAL Grupal Entre las semanas 17 y 18 se sarrolla la evaluación final que con base en el (trabajo realizado, resultados obtenidos y bilidas intificadas en la auditoría) dar recomendación y prioridad teniendo en cuenta las directrices auditoria l documento apoyo que lo pue scargar l foro o l entorno conocimiento. Individual Cada integrante l grupo para sustentar la evaluación be intificar el nivel madurez basado en COBIT teniendo en cuenta los resultados obtenidos y bilidas encontradas para el trabajo realizado que están ntro Objetivo Control COBIT: Administración Recursos Humanos / PO7 y Administración la Información /DS11 y subir el documento en el entorno evaluación y seguimiento junto con el trabajo final l grupo. Información ESTRUCTURA ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT) Requerimiento: Estructura Personal Objetivo Control COBIT: Definición la Organización y las Relaciones IT / PO4 Definición la Organización y las Relaciones IT Segregación Funciones (4.10) / PO4 Procedimiento: Depenncia, Roles y Responsabilidas l personal l área informática. Evaluación la segregación funciones. Resultado Obtenidos Debilidas Intificadas (Supervisor). ACOTRIFI cuenta con un partamento sistemas, que son parte los La Compañía no cuenta con un Manual Nivel Riesgo Bajo Recomendación Elaborar el Manual Funciones tallado para ACOTRIFI Prioridad Baja

2 Revisión l organigrama la Compañía equipos Administración Res, Administración Bases Datos, Soporte al usuario final y Mantenimiento equipo electrónico, cuyo principal objetivo es asesorar y asistir técnicamente en lo correspondiente al campo tecnológico informático, y tiene asociados negocios para áreas como las sarrollo y renta equipos computación. Funciones formalizado, en el que se talle las tareas que be realizar cada miembro l partamento sistemas. Información Requerimiento: Estructura Personal Objetivo Control COBIT: Administración Recursos Humanos / PO7 Procedimiento: Análisis l perfil cada cargo tipo y sus ocupantes (experiencia, capacitación y escolaridad). Resultado Obtenidos Debilidas Intificadas Nivel Riesgo Recomendación Prioridad

3 Revisión las hojas vida todo el personal la Compañía. Análisis l perfil cada empleado, nivel experiencia y capacitación recibida. No existe un registro individual la capacitación recibida. La mayoría l personal tiene experiencia previa a su ingreso. ACOTRIFI no ha sarrollado un Plan Capacitación Técnico para el próximo año, el mismo bería penr las necesidas tecnológicas que tenga la compañía. Medio

4 Información Requerimiento: Evaluación la Gestión Objetivo Control COBIT: Comunicación la dirección y aspiraciones la gerencia Comunicación las políticas la organización (6.3) / PO6 Procedimiento: Evaluar los procesos y estándares y probar su cumplimiento. Entrevista con (Supervisor). Resultado Obtenidos Existen reuniones con el gerente para finir planes y presupuestos l área, amás, es necesario efectuar revisiones formales semestralmente. Debilidas Intificadas El Comité Gerencial no efectúa reuniones periódicas. Nivel Riesgo Recomendación Prioridad Alto Información Requerimiento: Evaluación la Gestión Objetivo Control COBIT: Definición un Plan Estratégico Tecnología Información / PO1 Procedimiento: Evaluar el proceso planeamiento y la razonabilidad l plan informático respecto a los objetivos la organización Resultados Obtenidos Debilidas Intificadas Nivel Riesgo Recomendación Prioridad (Supervisor). Lectura l Plan El plan Estratégico no contiene la información tallada necesaria para prever cuáles serán los productos y tipos ACOTRIFI no cuenta con un Plan Estratégico que consire los aspectos Tecnológicos y Sistemas que permitan cumplir los Alto

5 Estratégico ACOTRIFI. servicios que se brindarán a los clientes. Esta situación impi prever los proyectos Sistemas que se estarán realizando a mediano y largo plazo así como las tecnologías que serán necesarias para brindar estos nuevos servicios. objetivos l negocio. Información Requerimiento: Atención al usuario Objetivo Control COBIT: Apoyo y Asistencia a los Clientes Tecnología Información / DS8 Procedimiento: Análisis l procedimiento establecido para asegurar que el servicio sea acor con las necesidas los usuarios (Supervisor) y (Help Desk) para conocer como está estructurada el área Servicio al Usuario. Servicio que brinda para solución a los requerimientos realizados por los usuarios. Evaluar si la estructura Resultado Obtenidos La Atención a Usuarios está a cargo la persona responsable Hep Desk, sin embargo, en ocasiones algunos requerimientos usuario son solicitados y solucionados por cualquier miembro l partamento. Debilidas Intificadas No existen procedimientos acuados relacionados con la recepción requerimientos los usuarios. Nivel Riesgo Recomendación Prioridad Medio

6 actual es acuada. Help Desk GTS, para terminar el procedimiento recepción requerimientos ayuda a usuarios, para asegurar que los mismos sean registrados, analizados y resueltos oportunamente Dado al elevado número solicitus soporte la mayoría no se registran, solamente se tallan en un papel sin un formato establecido. No se ha optimizado el uso l Sistema Administración Problemas Help Desk, ya que no se registran la mayoría los requerimientos usuario en el Sistema, ni se actualiza el estado a los requerimientos que han sido solucionados, por lo que los reportes que se preparan en Base Alto Información GESTION DE LOS SISTEMAS INFORMATICOS Requerimiento: Desarrollo, Operación y Mantenimiento Aplicaciones Objetivo Control COBIT: Administración Calidad Metodología l Ciclo Vida Desarrollo Sistemas (11.5) / PO11 Administración Calidad / PO11 Procedimiento: Revisar y evaluar la metodología sarrollo aplicaciones existente. Relevar los procedimientos para sarrollo aplicaciones utilizados. Entrevista (Supervisor Resultado Obtenidos Debilidas Intificadas Nivel Riesgo Recomendación Prioridad ACOTRIFI no posee una metodología formal para el No existe un procedimiento formal para solicitud nuevos Medio.

7 GTS) y (Administrador Aplicaciones). Revisión la Metodología y los procedimiento para sarrollo aplicaciones. sarrollo aplicaciones, por cuanto no es una actividad significativa para la compañía, el soporte se lo solicita directamente a proveedores requerimientos y/o modificaciones menores sobre las aplicaciones utilizadas. La priorización requerimientos no son comunicados sistemática y formalmente a los usuarios involucrados. Información Requerimiento: Desarrollo, Operación y Mantenimiento Aplicaciones Objetivo Control COBIT: Administración proyectos /PO10 Instalación y Acreditación Sistemas / AI5 Adquisición y Mantenimiento Software Aplicación / AI2 Procedimiento: Evaluar los procedimientos e iniciativas investigación y sarrollo. Evaluar los procedimientos para pasar los programas ambiente sarrollo a producción. Revisar la documentación la planificación mantenimiento / mejora aplicaciones, así como la documentación que sustenta la prueba y otros procesos recepción por parte l usuario. Resultado Obtenidos Debilidas Intificadas Nivel Riesgo Recomendación Prioridad Análisis y Diseño (Administrador Aplicaciones). Se efectúan sarrollos menores con patrones comunes sarrollo. Todo el sarrollo sistemas se lo tercer iza con proveedores No existen procedimientos finidos para la selección proveedores servicios sarrollo aplicaciones. Amás, no existe control que aseguren la aplicación una alto

8 Revisión la metodología para el análisis y diseño sistemas. Revisión los procedimientos para el análisis y diseño sistemas. este servicio Metodología formal para sarrollo y mantenimiento aplicaciones por parte los proveedores. Información Requerimiento: Desarrollo, Operación y Mantenimiento Aplicaciones Objetivo Control COBIT: Administración la Información /DS11 Procedimiento: Revisar los procedimientos vigentes para backup información (tipo información, periodicidad, lugar almacenamiento y pruebas periódicas los respaldos). Resultado Obtenidos Debilidas Intificadas Nivel Riesgo Recomendación Prioridad Alto (Supervisor GTS) Revisar los lineamientos para la obtención respaldos. Existe una rutina generación los respaldos la información, ejecutada diariamente, sin embargo este procedimiento no está formalmente documentado. Existen respaldos diarios y mensuales. No poseen un procedimiento formalmente documentado para el proceso obtención respaldos la información. Es un proceso finido informalmente.

9 Información Requerimiento: Plataforma Tecnológica, Res y Comunicaciones Objetivo Control COBIT: Administración Desempeño y Capacidad / DS3 Procedimiento: Revisión los procedimientos relativos al monitoreo la red. Análisis la bitácora problemas. Análisis los mecanismos comunicación y acceso a los datos la red s el punto vista disponibilidad. Resultado Obtenidos Debilidas Intificadas Nivel Riesgo No se dispone localmente No se emiten reportes Alto supervisora para herramientas para monitoreo. periódicos l monitoreo a la conocer y evaluar los red y comunicaciones. lineamientos y No se cuenta con procedimientos herramientas que se formales para el control eventos en la Amás, no se utiliza utilizan para el red. software para el monitoreo control y monitoreo las red y comunicaciones. la red y comunicaciones Recomendación Prioridad