Post on 21-Dec-2015
description
PLANEACIÓN AUDITORIA DE LA EXPLOTACIÓN
Antecedentes: En la Oficina de Tecnología de Información (OTI) observamos que
cuentan con políticas, procedimientos y controles con relación a los activos de TI, lo cual
se dan a ejecutar con pruebas sustantivas o de cumplimiento dando un seguimiento a
todos los procesos técnicos y académicos de la universidad Cesar Vallejo – Lima Este,
esto debido a que las universidades requieren la acreditación de calidad en el manejo
de sus procesos y para ello se hace necesario realizar auditorías internas permanentes
y de tipo externo periódicamente para lograrlo.
Objetivos
- Objetivo general: Hacer un seguimiento y control a los sistemas de información
para comprobar lo que producen sea íntegro y confiable; además de revisar los
controles que genera la Oficina de Tecnología de Información (OTI) para verificar
si se dan de la manera correcta.
Objetivos específicos:
- Planificar la auditoría que permita identificar las condiciones actuales de la que
se encuentra OTI y su relación con las demás áreas.
- Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de
auditoría COBIT como herramienta de apoyo para recopilar información de las
operaciones del área OTI de la Universidad Cesar Vallejo – Lima Este.
- Identificar las soluciones para la construcción de los planes de mejoramiento de
las operaciones de la Universidad Cesar Vallejo – Lima Este de acuerdo a los
resultados obtenidos en la etapa de aplicación del modelo de auditoría.
Alcance y delimitación: La presente auditoria pretende identificar las condiciones
actuales del área del área OTI de la Universidad Cesar Vallejo – Lima Este, con el fin
de observar las operaciones en conjunto para verificar el cumplimiento de normas y así
mejorar la eficiencia de los recursos y además brindar un mejor servicio a los usuarios
a los usuarios finales.
Los puntos a evaluar según COBIT será el proceso DS13. Administración de las
operaciones:
- Procedimientos e Instrucciones de Operación.
- Programación de tareas.
- Monitoreo de la Infraestructura de TI.
- Documentos Sensitivos y Dispositivos de Salida
- Mantenimiento Preventivo del Hardware
Metodología: Para el cumplimiento de los objetivos planteados en la auditoría, se
realizaran las siguientes actividades:
Investigación preliminar:
- Determinar la estructura organizacional del área OTI de la Universidad Cesar
Vallejo – Lima Este para determinar responsable en las operaciones activas.
- Evaluar la importancia de los controles y el soporte que brinda OTI a los procesos
de negocio de la Universidad Cesar Vallejo – Lima.
- Conocer de manera global el sistema operativo instalado y configurado para la
realización de operaciones, identificando los elementos que apoyan el
seguimiento y control de la misma.
Diseño del programa de auditoría:
- Definir los dominios, procesos y objetivos de control de COBIT, que tienen
relación con el proceso de auditoría.
- Realizar los procedimientos que permitan recolectar la evidencia que apoye los
hallazgos y recomendaciones.
Ejecución de las pruebas de auditoría:
- Obtener evidencia sobre los controles establecidos, su utilización, y el
entendimiento y ejecución de los mismos por parte de las personas.
Identificación y agrupación de riesgos: Identificar y clasificar los riesgos a los que
está expuesto la información, ya sean propios o generados por entidades externas
(personas, procedimientos, bases de datos, redes, etc.) que interactúan con las
operaciones.
Realización de guías de prueba y hallazgo:
- Asociar uno o un conjunto de riesgos con su evidencia respectiva en las guías
de prueba.
- Determinar una descripción general de cada guía de prueba y dar algunas
recomendaciones, causas y nivel del riesgo asociado.
Elaboración y envío del informe de Auditoría:
- Comunicar a las personas o entes involucrados de las operaciones de la
Universidad Cesar Vallejo – Lima Este, los resultados de la auditoria, para que
ellos hagan la gestión necesaria para implementar los controles que cubran
aquellas situaciones de riesgo de mayor relevancia.
- Servir de apoyo en la toma de decisiones, gracias a la información que poseen.
- Hacer parte de la documentación para futuras auditorías.
Recursos:
- Humanos:
o Auditor Líder: Tornero Carlos, Alfredo Alexander
o Auditores Acompañantes: Marín Purís, Barrios Salazar, Romero Torres
o Auditados: Oficina Tecnológica Información.
o Destinatarios: Alta Gerencia
- Físicos: Documentos de políticas, procedimientos y controles con relación a las
operaciones.
- Tecnológicos: equipos de cómputo con sus software instalados, Intranet y
Campus virtual de la Universidad Cesar Vallejo – Lima Este.
PROGRAMA DE AUDITORIA – COBIT
PROCESO: Procedimientos e Instrucciones de Operación
Objetivo de Control: Definir, implementar y mantener procedimientos estándar para
operaciones de TI, garantizando que el personal este familiarizado con todas las tareas
relativas a ellos.
PROCESO: Programación de Tareas
Objetivo de Control: Organizar la programación de trabajos, procesos y tareas en la
secuencia más eficiente, maximizando el desempeño y la utilización para cumplir con
los requerimientos del negocio.
PROCESO: Monitoreo de la Infraestructura de TI
Objetivo de Control: Definir e implementar procedimientos para monitorear la
infraestructura de TI y los eventos relacionados.
PROCESO: Documentos Sensitivos y Dispositivos de Salida
Objetivo de Control: Establecer resguardos físicos, prácticas de registro y
administración de inventarios adecuados sobre los activos más sensibles.
LISTAS DE CHEQUEO O CHECKLIST PARA ÁREAS DE OTI
CUESTIONARIO DE CONTROL C1
Universidad Cesar Vallejo – Lima Este UCV - LE
Cuestionario de Control C1
Dominio Entregar y Dar Soporte
Proceso DS13: Administración de Operaciones
Objetivo de Control DS13.1: Procedimientos e Instrucciones de Operación
Cuestionario
Pregunta SI NO
¿Existen normas y procedimientos escritos sobre el
funcionamiento del servicio de información? X
¿Existe organigrama del funcionamiento del servicio de
información?
X
¿Están descritas con detalle las funciones y responsabilidades
del personal?
X
¿Tienen manuales todas las aplicaciones? X
¿Existen normas sobre cómo deben de hacerse los cambios de
turno para que haya seguridad de que las aplicaciones continúan
su proceso?
X
¿Existen procedimientos adecuados para mantener la
documentación al día?
X
¿Al poner en funcionamiento nuevas aplicaciones, o versiones
actualizadas, funcionan en paralelo las existentes durante un
cierto tiempo?
X
¿Existen controles apropiados para que solo las personas
autorizadas tengan acceso a los equipos, discos,
documentación de programas, etc.?
X
CUESTIONARIO DE CONTROL C2
Universidad Cesar Vallejo – Lima Este UCV – LE
Cuestionario de Control C2
Dominio Entregar y Dar Soporte
Proceso DS13: Administración de Operaciones
Objetivo de Control DS13.2: Programación de tareas
Cuestionario
Pregunta SI NO
¿Es adecuada la segregación de funciones en el seno del
servicio de información? X
¿Es cierto que el personal de explotación no participa nunca en
funciones de análisis?
X
¿Es cierto que el personal de explotación no participa nunca en
funciones de desarrollo de aplicaciones?
X
¿El personal de explotación conoce perfectamente cuáles son
sus funciones y responsabilidades? X
¿Personal con conocimientos y experiencia suficiente organizan
el trabajo para que resulte lo más eficaz posible? X
¿Participan los departamentos de usuarios en la evaluación de
los datos de prueba? X
¿Personal de los departamentos de usuarios revisa y evalúan
los resultados de las pruebas finales, dando su aprobación antes
de poner en funcionamiento las aplicaciones?
X
¿Existen controles apropiados para que solo las personas
autorizadas tengan acceso a los equipos, discos,
documentación de programas, etc.?
X
CUESTIONARIO DE CONTROL C3
Universidad Cesar Vallejo – Lima Este UCV - LE
Cuestionario de Control C3
Dominio Entregar y Dar Soporte
Proceso DS13: Administración de Operaciones
Objetivo de Control DS13.3: Monitoreo de la Infraestructura de TI
Cuestionario
Pregunta SI NO
¿Está separado el servicio de información del resto de los
departamentos? X
¿Existen controles que garanticen el uso adecuado de los
soportes de la información como disco y dvds?
X
¿Personal con conocimiento y experiencia adecuada revisa con
periodicidad los componentes físicos de los equipos siguiendo las
instrucciones de los fabricantes?
X
CUESTIONARIO DE CONTROL C4
Universidad Cesar Vallejo – Lima Este UCV – LE
Cuestionario de Control C4
Dominio Entregar y Dar Soporte
Proceso DS13:Administración de Operaciones
Objetivo de Control DS13.4: Documentos Sensitivos y Dispositivos de Salida
Cuestionario
Pregunta SI NO
¿Es imposible que los usuarios accedan a programas y datos no
necesarios para su trabajo? X
¿Se aprueban por personal autorizado la solicitud de nuevas
aplicaciones?
X
¿Se comprueban los resultados con datos reales? X
A continuación vamos analizar los resultados de nuestro Check list
(Ver Anexo - Evaluación del Check List)
ANÁLISIS Y EVALUACIÓN DE RIESGOS
Para el listado de riesgos enumerados a continuación se realizó un estudio al área de OTI
de la Universidad Cesar Vallejo – Lima Este, donde hemos utilizado el instrumento checklist
de verificación al personal a cargo del área informática.
LISTA DE FORTALEZAS ENCONTRADAS. Existen normas y procedimientos sobre los funcionamientos del servicio de
información.
Existen normas para hacerse los cambios de turnos para que haya seguridad en la
continuidad de los aplicativos.
Existen controles para el acceso adecuado a hardware y software de la empresa.
Hay una buena segregación de funciones de servicios de información.
Personal capacitado organiza el trabajo para mejorar su eficaz.
Personal experimentada evalúa los datos de prueba.
Usuarios finales aprueban el aplicativo antes de ponerlo en funcionamiento.
OTI está separado de las áreas.
Existen controles que garantizan el uso adecuado de discos y DVD.
Revisión periódica los componentes físicos de los equipos según las instrucciones
de los fabricantes.
Personal autorizado aprueba las nuevas solicitudes de aplicaciones.
Si se comparan los resultados con datos reales.
LISTA DE RIESGOS ENCONTRADOS. El personal de explotación no participa en función de análisis.
El personal de explotación no participa en función de desarrollo de aplicaciones.
No existe organigrama del funcionamiento del Servicio de Información.
No existe una descripción detallada de las funciones y responsabilidades del
personal.
El personal de explotación no conoce perfectamente sus funciones y
responsabilidades.
No existe manual de las aplicaciones.
No es imposible que cualquier usuario acceda a programas y datos no necesarios
para su trabajo.
No se ejecutas las nuevas y antiguas versiones a la misma vez.
MATRIZ DE RIESGOS (Ver anexo - Matriz de Riesgo - Auditoria Explotación)
GUÍA DE PRUEBAS
Realizadas las visitas y las entrevistas propuestas con anterioridad se han obtenido la
siguiente colección de pruebas para los riesgos seleccionados previamente.
GUÍA DE PRUEBA P1
Universidad Cesar Vallejo – Lima Este UCV - LE
Guía de Pruebas P1
Dominio Entregar y Dar Soporte
Proceso DS13: Administración de Operaciones
Objetivo de Control DS13.1: Procedimientos e Instrucciones de Operación
Riesgos Asociados R4,R5,R6,R8
N° Evidencia Descripción
1 No hay
descripción de
funciones ni
servicios.
En la Universidad Cesar Vallejo – Lima Este no
establecen organigramas de cada servicio en
funcionamiento ni la documentación de las aplicaciones;
por otro lado el personal no tiene en claro cuáles son sus
funciones y responsabilidades.
2 No hay ejecución
en paralelo de los
nuevos y
antiguos
programas.
En las computadoras de cada área no hay un control
para el funcionamiento de las nuevas aplicaciones en
paralelo con las antiguas, para poder mitigar algunas
falencias de las nuevas aplicaciones con respecto a las
antiguas.
GUÍA DE PRUEBA P2
Universidad Cesar Vallejo – Lima Este UCV - LE
Guía de Pruebas P2
Dominio Entregar y Dar Soporte
Proceso DS13: Administración de Operaciones
Objetivo de Control DS13.2: Programación de tareas
Riesgos Asociados R1,R2,R3
N° Evidencia Descripción
1 No hay relación
directa del
personal de
explotación con
los de desarrollo.
El personal de explotación no interviene de manera
directa con el área de desarrollo, en el ámbito de
implementación, sin establecer los requisitos del personal
experto en el proceso.
2 No hay
descripción de
funciones de los
usuarios.
En la Universidad Cesar Vallejo – Lima Este el personal
no tiene en claro cuáles son sus funciones y
responsabilidades con respecto a su labor en la
empresa.
GUÍA DE PRUEBA P3
Universidad Cesar Vallejo – Lima Este UCV - LE
Guía de Pruebas P3
Dominio Entregar y Dar Soporte
Proceso DS13: Administración de Operaciones
Objetivo de Control DS13. 4: Documentos Sensitivos y Dispositivos de
Salida
Riesgos Asociados R7
N° Evidencia Descripción
1 No hay restricción
a la información.
El usuario a través de cualquier maquina con acceso a la
base de datos puede monitorear toda la información que
requiera sin la necesidad que haya restricción al
momento de acceder dicha data.
GUÍAS DE HALLAZGOS
Teniendo en cuenta la aplicación de los instrumentos para recolección de información, los
objetivos planteados con anterioridad y los riesgos definidos en la Matriz se obtienen las
siguientes tablas de hallazgos para cada uno de ellos.
GUÍA DE HALLAZGOS H1.
Universidad Cesar Vallejo – Lima Este UCV - LE
Hallazgos de la Auditoría H1
Dominio Entregar y Dar Soporte
Proceso DS13: Administración de Operaciones
Objetivo de Control DS13.1: Procedimientos e Instrucciones de Operación
Riesgos Asociados R4,R5,R6,R8
Descripción
En la Universidad Cesar Vallejo – Lima Este no establecen organigramas de
cada servicio en funcionamiento ni la documentación de las aplicaciones; por
otro lado el personal no tiene en claro cuáles son sus funciones y
responsabilidades.
En las computadoras de cada área no hay un control para el funcionamiento de
las nuevas aplicaciones en paralelo con las antiguas, para poder mitigar algunas
falencias de las nuevas aplicaciones con respecto a las antiguas.
Recomendación
El personal a cargo del área de TI debe sugerir la recopilación de la
documentación de los aplicativos a utilizar, además de establecer organigramas
con respecto a sus servicios para poder establecer en claro las
responsabilidades y funciones de dicho servicio.
El personal a cargo del área de TI debe sugerir la ejecución de las aplicaciones
nuevas en un intervalo de tiempo con las antiguas para la adaptación de los
usuarios al nuevo sistema y evitar algunos problemas por cambio de software.
Causa
Pocos recursos económicos invertidos en el área de TI en la Universidad Cesar Vallejo
– Lima Este y la falta de evaluación de riesgos con respecto a cada activo de TI.
GUÍA DE HALLAZGOS H2.
Universidad Cesar Vallejo – Lima Este UCV - LE
Hallazgos de la Auditoría H2
Dominio Entregar y Dar Soporte
Proceso DS13: Administración de Operaciones
Objetivo de Control DS13.2: Programación de tareas
Riesgos Asociados R1,R2,R3
Descripción
El personal de explotación no interviene de manera directa con el área de
desarrollo, en el ámbito de implementación, sin establecer los requisitos del
personal experto en el proceso.
En la Universidad Cesar Vallejo – Lima Este el personal no tiene en claro cuáles
son sus funciones y responsabilidades con respecto a su labor en la empresa.
Recomendación
El personal a cargo del área de TI debe sugerir la intervención del personal de
explotación de cada área a implementar; ya que él va ser el experto en dicha
área y brindará los requisitos claros para su implementación.
El personal a cargo del área de TI debe sugerir la segregación de funciones de
todo el personal; para poder tener en claro cada responsabilidad y funciones de
cada trabajador.
Causa
Relación constante con la alta gerencia que con los trabajadores de dicha área:
además, la falta de políticas y controles para determinar responsabilidades y funciones
del personal de explotación.
GUÍA DE HALLAZGOS H3.
Universidad Cesar Vallejo – Lima Este UCV - LE
Hallazgos de la Auditoría H3
Dominio Entregar y Dar Soporte
Proceso DS13: Administración de Operaciones
Objetivo de Control DS13. 4: Documentos Sensitivos y Dispositivos de Salida
Riesgos Asociados R7
Descripción
El usuario a través de cualquier maquina con acceso a la base de datos puede
monitorear toda la información que requiera sin la necesidad que haya restricción
al momento de acceder dicha data.
Recomendación
El personal a cargo del área de TI debe sugerir la administración de todos los
usuarios y asignar privilegios para poder ingresar a dicha información.
Causa
Falta de inversión con respecto a la seguridad de la información.
RESULTADOS DE LA AUDITORIA
A continuación se presentan los resultados definitivos de la auditoria de la explotación y las
recomendaciones de mejoramiento por el proceso de COBIT auditado, una vez revisadas
las observaciones y aclaraciones hechas al grupo auditor.
Dominio: Entregar y Dar Soporte.
Proceso: DS13: Administración de Operaciones
· Objetivo de Control: DS13.1: Procedimientos e Instrucciones de Operación
Dictamen: Nivel de madurez 2 REPETIBLE: Los procesos siguen un patrón regular o
estándar; pero no se ha documentado suficientemente. Falta capacitación del personal
encargado. La eficiencia y eficacia depende en gran parte del conocimiento y
profesionalismo de los empleados de TI.
Hallazgos que soportan el dictamen:
En la Universidad Cesar Vallejo – Lima Este no establecen organigramas de cada
servicio en funcionamiento ni la documentación de las aplicaciones; por otro lado el
personal no tiene en claro cuáles son sus funciones y responsabilidades.
En las computadoras de cada área no hay un control para el funcionamiento de las
nuevas aplicaciones en paralelo con las antiguas, para poder mitigar algunas
falencias de las nuevas aplicaciones con respecto a las antiguas.
Recomendación:
El personal a cargo del área de TI debe sugerir la recopilación de la documentación
de los aplicativos a utilizar, además de establecer organigramas con respecto a sus
servicios para poder establecer en claro las responsabilidades y funciones de dicho
servicio.
El personal a cargo del área de TI debe sugerir la ejecución de las aplicaciones
nuevas en un intervalo de tiempo con las antiguas para la adaptación de los usuarios
al nuevo sistema y evitar algunos problemas por cambio de software.
Objetivo de Control: DS13.2: Programación de tareas
Dictamen: Nivel de madurez 1 INICIAL: Se aplican algunos procesos administrativos por
el Administrador del área de OTI pero estos son realizados de manera desorganizada y
espontánea, no se hace una asignación de funciones y responsabilidades del personal de
explotación.
Hallazgos que soportan el dictamen:
El personal de explotación no interviene de manera directa con el área de desarrollo,
en el ámbito de implementación, sin establecer los requisitos del personal experto
en el proceso.
En la Universidad Cesar Vallejo – Lima Este el personal no tiene en claro cuáles son
sus funciones y responsabilidades con respecto a su labor en la empresa.
Recomendación:
El personal a cargo del área de TI debe sugerir la intervención del personal de
explotación de cada área a implementar; ya que él va ser el experto en dicha área y
brindará los requisitos claros para su implementación.
El personal a cargo del área de TI debe sugerir la segregación de funciones de todo
el personal; para poder tener en claro cada responsabilidad y funciones de cada
trabajador.
Objetivo de Control: DS13. 4: Documentos Sensitivos y Dispositivos de Salida
Dictamen: Nivel de madurez 3 DEFINIDO: Los procesos están estandarizados, se
documentan, se comunican y se capacita al personal encargado; pero no se miden o se
hacen mediciones para el acceso a la data.
Hallazgos que soportan el dictamen:
El usuario a través de cualquier maquina con acceso a la base de datos puede
monitorear toda la información que requiera sin la necesidad que haya restricción al
momento de acceder dicha data.
Recomendación:
El personal a cargo del área de TI debe sugerir la administración de todos los
usuarios y asignar privilegios para poder ingresar a dicha información.