Proyecto final a icastillo de la garza aliber

Auditoría InformáticaMódulo 1 Ciclo 02-13

Nombre del estudiante: Eleazar Aliber Castillo de la Garza

Nombre del trabajo: Investigación - Auditoria Informática

Fecha de entrega: 10 – Julio - 2013

Campus: Campus Monterrey Norte

Carrera: Sistemas de Computación Administrativa

Cuatrimestre: Segundo

Nombre del Docente: Mtra. Patricia Razo C.

Eleazar Aliber Castillo de la Garza Campus Monterrey Norte


Seguridad y Auditoria Informática

Tema: Proyecto de auditoría informática en la organización DATA CENTER E.I.R.L



ÍndicePortada 1

Índice 3

Introducción 5

I.- Planteamiento del problema 6

Caracterización de la empresa 6

Naturaleza de la empresa 6

Ubicación grafica 6

Visión 6

Misión 6

Objetivos estratégicos 7

Análisis FODA 7

Metas organizacionales 7

Objetivos estratégicos 8

Organigrama de la empresa 8

Descripción de la gerencia y área 9

II.- Metodología 9

Área a auditar 9

Reclutamiento de la información 9

Documentos 10

Plan 10

Herramientas 10

Motivo o necesidad de la auditoria 11Eleazar Aliber Castillo de la Garza

Campus Monterrey Norte


III.-Situación actual del área de sistemas 11

Objetivo del departamento 11

Organigrama del Departamento . 12

Seguridad del Departamento 13

Caracterización de las tecnologías de Información y Comunicación 14

Determinación de problemas 16

IV.- Realización de la auditoria 17

Procesos 17

Reporte general 18

Resumen 19

Resultados 21

Criterios de información 21

V.- Análisis de resultados 23

Informe 23

VI.- Conclusiones 27

VII.- Bibliografía 28



IntroducciónA finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier Organización Empresarial, los Sistemas de Información de la Organización. Donde los Sistemas Informáticos hoy en día constituyen una herramienta bastante poderosa para la mejora de rendimiento de toda la Organización.

Por lo ello se realiza una auditoria informática en la Organización “DATA CENTER E.I.R.L” tomando muy en cuenta la dependencia critica de muchos procesos de negocios sobre las Tecnologías de la Información, con el objetivo de cumplir con los requerimientos existentes y los beneficios de administrar los riesgos efectivamente, utilizando como modelo de referencia COBIT 4.1, mediante la evaluación de 34 procesos que define esta metodología, agrupados en 4 dominios (Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte, y Monitorear y Evaluar), estos procesos son ubicados en los niveles de madurez en los cuales se encuentran en la actualidad, para luego dar las respectivas recomendaciones que sugiere COBIT 4.1, mediante este trabajo se pretende solucionar varios problemas como el servicio eficiente a los clientes y el aprovechamiento eficaz y eficiente de los recursos tecnológicos y humanos que cuenta la Organización en estudio.



I.- Planteamiento del problemaCaracterización de la empresa

Naturaleza de la empresa

El 20 de Agosto de 2001 nace “DATA CENTER E.I.R.L” en Huaraz “Paraíso Natural” capital del Departamento de Ancash, para brindar un servicio de calidad y excelencia al pueblo de Huaraz, la región de Ancash y al País, de acuerdo a la necesidad existente en cada uno de estos entes, buscando lograr la competitividad, reconocimiento e innovación en dicho rubro.

Uno de los hechos más resaltantes de su historia es el haber apostado por el negocio de venta de computadoras y accesorios, soporte técnico, diseño de página webs y redes.

Siendo sus inicios el soporte técnico de computadoras, logrando así con el tiempo ser reconocida en el mercado local, para posteriormente realizar venta de computadoras y accesorio, conjuntamente con los demás servicios que brinda. El valor agregado que “DATA CENTER E.I.R.L” es transmitir a sus clientes la seguridad en la compra de computadoras y accesorios, sabiendo que cuenta con una sólida garantía, respaldo y servicio de post-venta. Sin embargo, “DATA CENTER E.I.R.L” mantuvo su estrategia y fue reconocida claramente por sus clientes como una Organización netamente integradora.

Ubicación geográfica

La Organización “DATA CENTER E.I.R.L” se encuentra ubicado en el Jr. San Martin 561 en el Distrito de Huaraz, Provincia de Huaraz, Departamento de Ancash.

Visión

“Ser la Organización Líder en Gestión de Tecnologías de la Información de nuestra localidad, región y país, reconocida por la excelencia de sus servicios, y por la calidad profesional y ética de sus miembros”

Misión

“La Organización DATA CENTER E.I.R.L es una compañía dedicada a la prestación de servicios informáticos, así como al completo suministros de equipos de cómputo, localizada en el sector de las PYMES y particulares, llevando a cabo su función con



criterios de una alta calidad, profesionalismo y rigor, utilizando para ello las más modernas tecnologías y orientada a la plena satisfacción del cliente”

Objetivos estratégicos

Análisis FODA

FORTALEZAS DEBILIDADES Tratamiento personalizado a clientes,

orientación y asesoramiento. Integración de productos y servicios

buscando sinergias entre ellos. Innovación Constante. Personal debidamente Capacitado y

comprometido con la visión de la Organización.

Control de Almacén. Realizar grandes proyectos en el sector

privado y público. Dependencia de los servicios

subcontratados. Sistema de Información Integrado

(Compras, ventas, Almacén y Kárdex).

OPORTUNIDADES AMENAZAS Valoración positiva de las TIC en la

Organización. Costos cada vez menores para las

Organizaciones para la aplicación de las TIC.

Lealtad de los clientes hacia la Organización.

Ubicación Céntrica del Local.

Oferta de productos a menor precio por parte de la competencia.

La inestabilidad económica de los pobladores de la cuidad de Huaraz.

Cambios repentinos de los Sistemas Informáticos.

Incremento de la Competencia.

Metas organizacionales

Abastecimiento de las Áreas de la Organización según sus necesidades primarias. Realizar la capacitación a todo el personal, la renovación tecnológica, humana y

la infraestructura de la Organización. Lograr la expansión demográfica en el rubro, con innovaciones tecnológicas y el

desarrollo de un sistema de información integrado.



Objetivos estratégicos

Desarrollar estrategias para llamar la atención de nuevos clientes. Aprovechar la Tecnología para Desarrolla un Sistema de Información Integral de

Calidad. Aprovechar el buen clima para capacitar al personal de la Organización. Desarrollar servicios nuevos que mejoren el nivel del servicio. Explotar el potencial humano y tecnológico para una óptima productividad de los

mismos.

Organigrama de la empresa



Descripción de la gerencia y área

A. Gerencia General.- Tiene como propósito, organizar, dirigir y coordinar el funcionamiento y desarrollo de los procesos y actividades diarias, de acuerdo a las políticas de la Organización.

B. Área de Negocios.- Se encargan de planificar, controlar y verificar los procesos de compra y venta; como también la recepción y clasificación en almacén, de los equipos de cómputo, accesorios y otros.

C. Área de Administración.- Se encarga de velar por una adecuada organización, soporte logístico, administración eficiente en el uso de los bienes, muebles e inmuebles, y el recurso humano de la Organización en General.

D. Área de Informática.- Se encarga de integrar y coordinar los servicios informáticos, la misma que tiene que estar subdividida a su vez por tres unidades internas (hardware, software y redes), con el fin de ser más específicos al equipamiento, comunicaciones y aplicaciones, para brindar un servicio de calidad.

II.- MetodologíaÁrea a auditar

Área de Informática de “DATA CENTER E.I.R.L”, debido a que allí se encuentran ubicados gran parte de los equipos de cómputo con los que cuenta la Organización “DATA CENTER E.I.R.L”.

Reclutamiento de la información

Por medio de la observación realizada se procedió a la realización de entrevistas y cuestionarios con el Gerente General de “DATA CENTER E.I.R.L”; y así poder determinar con más precisión cuales son los problemas presentados y poder dar un dictamen más específico.



Documentos

Actualmente “DATA CENTER E.I.R.L” no cuenta con el manual de procedimientos administrativos informáticos, ni tampoco cuenta con la documentación requerida las cuales son:

Mantenimiento de Equipos de Cómputo. Un Plan de Contingencias. Seguridad de datos y equipos de Cómputo.

Plan

Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de la alta gerencia de la Organización, solicitando la participación de los principales trabajadores de la Organización y en donde se realizaran las siguientes acciones:

Nº ACTIVIDADES

1 Observación General del Área de Informática.

2 Entrevistas a los trabajadores del Área de Informática.

3 Analizar con que documentos de Gestión y Técnicos cuentas.

4 Verificar si que los equipos de los que se cuenta en la actualidad concuerdan con su inventario.

5 Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos.

6 Evaluar las tecnologías de información (TI), tanto en hardware como en software.

7 Evaluación de la seguridad física, lógica y de redes.

Herramientas

HERRAMIENTAS TECNICASCuaderno de Apuntes, Papel, Lapicero, Antivirus Eset Smart Security 4.0, Microsoft Office 2010 y otros.

Observación, entrevistas y cuestionarios.



Motivo o necesidad de la auditoria

Síntomas de mala imagen e insatisfacción de los usuarios. Síntomas de debilidad económico financiero. Síntomas de Inseguridad. Síntomas de descoordinación y desorganización.

III.-Situación actual del área de sistemasObjetivo del departamento

Recomendar la adquisición de hardware, software básico y de aplicaciones conveniente y necesario.

Estructurar, ejecutar y actualizar el plan estratégico del Sistema de Información, según los requerimientos de las áreas y la coordinación con la Gerencia General.

Proporcionar mecanismos de seguridad tanto lógica y física del hardware, software y redes de “DATA CENTER E.I.R.L”.

Aprovechar de las Redes Sociales (Facebook, MySpace y otros) para publicitar a la Organización, ya que no incurre ningún costo.

Mantener actualizado el inventario del parque informático y los precios de los productos de la base de datos, para la cotización correcta.

Planificar y mantener actividades de Backups (copias de respaldo) de forma periódica en medios físicos de almacenamiento masivo.

Aprovechar la tecnología existente para rediseñar el Website actual, convirtiéndolo en portal dinámico, donde puedan realizarse las operaciones transaccionales de la Organización y consultas comunes para los usuarios y clientes.

Asesorar, administrar y proporcionar el soporte tecnológico al personal de todas las áreas de “DATA CENTER E.I.R.L”.

Proponer a la alta gerencia de poder involucrarnos en proyectos corporativos y sociales.



Organigrama del dpto.



Seguridad del departamento

Establecer un sistema contra incendios y la capacitación adecuada para el manejo de estos.

Contar con agentes de seguridad para el resguardo del establecimiento, principalmente en las noches, debido a la creciente delincuencia.

Contar con un espacio adecuado para el alojamiento de los servidores. Hacer uso de estándares y metodologías de calidad (IEEE, ISO y otros) al brindar

los servicios de redes y diseño de páginas web. Contar con las licencias de los sistemas operativos (Microsoft) en uso. Realizar una auditoría de la tecnologías de la información externa a “DATA

CENTER E.I.R.L” Realizar periódicamente backups de la base de datos del sistema de información. Procesar los datos más importantes de la Organización en las aplicaciones

tecnológicas (hojas de cálculo, procesadores de texto y otros) y al sistema de información.

Restringir al acceso al sistema de información y al servidor para que la data no sea adulterada.

Renovar los implementos de seguridad de los técnicos de informática. Realizar las señalizaciones sísmicas pertinentes en el establecimiento ante un

desastre sísmico. Establecer políticas de integridad física y mental para el personal que labora,

dentro de sus horas de trabajo.

Caracterización de las tecnologías de Información y Comunicación



a. Recursos Humanos:

b. Hardware:



c. Software:



Determinación de problemas

Posibles Problemas

Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.

Falta de una planificación informática. Disminución considerable e injustificable del presupuesto del Área de Comercio. Falta de documentación del sistema de información y del servidor en uso, lo que

dificulta efectuar el mantenimiento de estos. Organización que no funciona correctamente por la falta de políticas, normas,

metodología, asignación de tareas, debidamente establecida por la Gerencia General.

Formulación de Hipótesis

No se cuenta con la seguridad en general de los recursos informáticos y humanos de la Organización, debido a que no existen políticas de negocio bien definidas, como también una planificación informática, teniendo como consecuencia problemas económicos y de tecnología de información (Hardware y Software).



IV.- Realización de la auditoriaProcesos



Reporte general



Resumen



Resultados

Criterios de información

A continuación analizamos cada uno de los criterios de la información:

EFECTIVIDAD.- Para este criterio de información se obtuvo un porcentaje del 47.76% sobre 100%, es decir que la información que es de importancia para “DATA CENTER E.I.R.L”, que tiene incidencia en los procesos del negocio y debe ser entregada de forma oportuna, consistente, y veraz tiene un porcentaje del 47.76%.

EFICIENCIA.- Para este criterio de información se obtuvo un porcentaje del 49.59% sobre el 100%, es decir que la información que debe generar el uso óptimo de los recursos de “DATA CENTER E.I.R.L” tiene un porcentaje del 49.59%.

CONFIDENCIALIDAD.- Para este criterio de información se obtuvo un porcentaje del 39.03% sobre el 100%, es decir que la protección de la información de “DATA CENTER E.I.R.L” para que esta no sea divulgada a personas o sectores extraños a este tiene un porcentaje del 39.03%.

INTEGRIDAD.- Para este criterio de información se obtuvo un porcentaje del 35.05% sobre el 100%, es decir la distribución de la información exacta y correcta, así como su validez con las expectativas de la empresa tiene un porcentaje del 35.05%.

DISPONIBILIDAD.- Para este criterio de la información se obtuvo un porcentaje del 32.96% sobre el 100%, es decir la accesibilidad de la información cuando esta sea requerida por los procesos del negocio y a la salvaguarda de los recursos y capacidades asociadas a la misma en “DATA CENTER E.I.R.L”, tiene porcentaje del 32.96%.

CUMPLIMIENTO.- Para este criterio de la información se obtuvo un porcentaje del 51.93% sobre el 100%, es decir que el cumplimiento de las leyes, regulaciones, y compromisos contractuales con los cuales está comprometido “DATA CENTER E.I.R.L”, tiene un porcentaje del 51.93%.



CONFIABILIDAD.- Para este criterio de la información se obtuvo un porcentaje del 50.97% sobre el 100%, es decir proveer la información apropiada para que la administración tome decisiones adecuadas para manejar “DATA CENTER E.I.R.L” y cumplir con sus responsabilidades, tiene porcentaje del 50.97%.



V.- Análisis de resultadosInforme

En el Informe Ejecutivo se detallara los resultados de la evaluación a cada uno de los 34 procesos que recomienda COBIT 4.1 siendo evaluado en “DATA CENTER E.I.R.L” de Huaraz. Los criterios de información se encuentran en el siguiente porcentaje todos sobre el 100%.

La efectividad consiste en que la información relevante sea entregada de forma oportuna, correcta, consistente y utilizable, este criterio tiene un promedio del 47.76%



La eficiencia consiste en que la información debe ser generada optimizando los recursos, este criterio tiene un promedio del 49.59%.

.

La confidencialidad consiste en que la información vital sea protegida contra la revelación no autorizada, este criterio tiene un promedio del 39.03%.



La integridad consiste en que la información debe ser precisa, completa y valida, este criterio tiene un promedio del 35.05%.

La disponibilidad consiste en que la información esté disponible cuando esta sea requerida por parte de las áreas del negocio en cualquier momento, este criterio tiene un promedio del 32.96%.



El cumplimiento consiste en que se debe respetar las leyes, reglamentos y acuerdos contractuales a los que está sujeta el proceso del negocio, como políticas internas, este criterio tiene un promedio del 51.93%.

La confiabilidad consiste en que se debe respetar proporcionar la información apropiada, con el fin de que la Gerencia General administre la entidad, este criterio tiene un promedio del 50.97%.



VI.-ConclusionesCon este estudio se ha dado un conjunto de directrices las cuales pueden ayudar a alinear TI con el negocio, es decir identificar riesgos, gestionar recursos y medir el desempeño, así como el nivel de madurez de cada uno de los procesos de “DATA CENTER E.I.R.L”.

Los gerentes y usuarios son beneficiados con el desarrollo de COBIT 4.1, ya que este marco de referencia ayuda a estos individuos entender sus sistemas de TI, de igual forma decidir el nivel de seguridad y control para proteger los activos (información, hardware, software, etc.) de “DATA CENTER E.I.R.L” mediante un modelo de desarrollo de gobernación de TI.

Mediante el marco de referencia COBIT, se ha podido evaluar y diagnosticar los procesos de TI en “DATA CENTER E.I.R.L” de Huaraz. También se ha diagnosticado cada uno de los criterios de la información, los cuales son efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.

RECOMENDACIONES

Tomar en cuenta los procesos que se encuentran con el nivel de madurez de 0 y 1, que son los de factor crítico.

Realizar evaluaciones periódicas con el fin de medir el avance de cada uno de los procesos estudiados en este trabajo.

Se debe utilizar software aplicativo con licenciamiento, así como adecuar las instalaciones del área de informática, puesto que el espacio de trabajo de este es muy limitado y sin las seguridades fiscas pertinentes.

Hacer el uso del presente trabajo, con el fin de tomarlo como guía para futuras mejoras en TI.



VII.-BibliografíaDirecciones Electrónicas:

ISACA ORG. Obtain Cobit

http://www.isaca.org/Content/NavigationMenu/Members and_Leaders1/COBIT6/Obtain_COBIT/Obtain_COBIT.htm Diciembre 2008.

WIKIPEDIA, Objetivos de control para la información y tecnologías relacionadas.

http://es.wikipedia.org/wiki/COBIT

WIKIPEDIA, Auditoria Informática

http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica

Textos:

Escuela Politécnica Nacional, Auditoria de la Gestión de las Tecnologías de la Información en el Gobierno Municipal de San Miguel de Urcuqui, utilizando como modelo de referencia COBIT 4.0.

COBIT 4.1 Marco Referencial, Emitido por el Comité Directivo de COBIT y El IT Governance Institute 2007.


http://www.isaca.org/Content/NavigationMenu/Members

Proyecto final a icastillo de la garza aliber

Technology

Transcript of Proyecto final a icastillo de la garza aliber