informe auditoria escalafon_final
Post on 24-Apr-2015
68 Views
Preview:
TRANSCRIPT
Universidad Nacional Autónoma de
Honduras
Departamento de Informática Administrativa
Asignatura: Auditoria Informática
Informe Auditoria
Catedrática: Lic. Claudia Núñez
Equipo “ESCALAFON”
Nombre Cuenta No Lista
Wilson Josué López 20031009787 07
Ricardo Andino Osorio 20041002879 08
Orlin Antonio Turcios 20051005622 16
Sandra Gerardina Sánchez 20081005714 30
Evelin Rocio Canaca 20081011714 33
Sergia Georgina Torres 20091000566 34
Sección: 1700
Tegucigalpa M.D.C 18 de Noviembre del 2012 Ciudad Universitaria
Informe Auditoria ESCALAFON
Página 2
INDICE
Contenido
Propósito de la Auditoria..................................................................................................................... 3
Resumen Ejecutivo .............................................................................................................................. 4
Objetivo General ................................................................................................................................. 5
Objetivos Específicos .......................................................................................................................... 6
Detalle de hallazgos y situaciones de riesgo ....................................................................................... 7
Departamento: Dirección Unidad de Infotecnologia (UIT) ............................................................ 7
Hallazgo ...................................................................................................................................... 7
Recomendaciones ........................................................................................................................ 8
Departamento: Administración ..................................................................................................... 10
Hallazgo .................................................................................................................................... 10
Recomendaciones ...................................................................................................................... 11
Departamento: Coordinación de soporte técnico. ......................................................................... 12
Hallazgos ................................................................................................................................... 12
Recomendaciones: ..................................................................................................................... 13
Departamento: Coordinación Ingeniería y desarrollo ................................................................... 15
Hallazgo: ................................................................................................................................... 15
Recomendación: ........................................................................................................................ 16
Departamento: Coordinación Métodos y procedimientos ............................................................. 17
Hallazgo: ................................................................................................................................... 17
Recomendaciones: ..................................................................................................................... 18
Análisis estadístico de la situación de riesgo del centro IT ............................................................... 20
Diagrama de Pareto ....................................................................................................................... 21
Calendario para Sanear inconformidades. ......................................................................................... 22
Conclusiones ..................................................................................................................................... 24
Anexos............................................................................................................................................... 26
Informe Auditoria ESCALAFON
Página 3
Propósito de la Auditoria
Iidentificar, ordenar y comunicar en forma oportuna la información necesaria para que los
empleados puedan cumplir con sus obligaciones.
Identificar, ordenar y comunicar en forma oportuna la información necesaria para que los
empleados puedan cumplir con sus obligaciones y además evaluar los sistemas de
información en general desde sus entradas, procedimientos, controles, archivos, seguridad y
obtención de información.
Asegurando que las políticas y procedimientos ayuden en la toma de medidas para limitar
los riesgos que puedan afectar que se alcancen los objetivos de la Unidad de Infotecnología
y de la Organización.
Informe Auditoria ESCALAFON
Página 4
Resumen Ejecutivo
El objeto del examen comprende la revisión y el análisis del funcionamiento de los
controles y de los procedimientos, como se desarrollan para la ejecución y confiabilidad de
cada uno de los procesos.
La información presentada puede ser operativa o administrativa, de origen interno o
externo, de control o de procesamiento. Puede estar dirigida al: personal de Dirección de
Unidad de Infotecnologia o al personal administrativo. Además puede incluir información
valiosa a las coordinaciones y el personal de las áreas de: Ingeniería y desarrollo, métodos y
procedimientos o de soporte técnico.
Deben existir adecuados canales de comunicación para que el personal sea informado de la
importancia de la auditoria, de los hallazgos en la misma y de las medidas de mejoramiento
recomendadas a la empresa.
Los controles son necesarios para que los sistemas sean confiables y con un buen nivel de
seguridad. Además debe evaluar todo: informática, organización de centros de información,
hardware y software.
Informe Auditoria ESCALAFON
Página 5
Objetivo General
Revisar y evaluar los controles, sistemas, procedimientos de informática; de los
equipos de cómputo, su utilización, eficiencia y seguridad de la organización que
participan en el procesamiento de la información, a fin de que por medio del
señalamiento, las recomendaciones y sugerencias alternativas se logre una
utilización más eficiente y segura de la información.
La Auditoría Informática deberá comprender no sólo la evaluación de los equipos
de cómputo, de un sistema o procedimiento específico, sino que además habrá de
evaluar los sistemas de información en general desde sus entradas, procedimientos,
controles, archivos, seguridad y obtención de información.
Informe Auditoria ESCALAFON
Página 6
Objetivos Específicos
Comprobar la estructura de la organización general y el de la unidad de
Infotecnología.
Verificar el desempeñando las funciones en el área de administración.
comprobar la existencia de estándares y procedimiento para el diseño y desarrollo
de aplicaciones.
Corroborar el nivel de seguridad en las operaciones (Accesos al sistema, seguridad
de equipo, y acceso a internet) realizadas en el departamento de Infotecnología.
Verificar la protección de los programas, aplicaciones, base de datos, datos de
usuarios, contraseñas y demás controles necesarios.
Evaluar como está estructurada la localización, distribución física, y seguridad del
departamento de sistemas.
Verificar la existencia de una biblioteca y de los procedimientos para la custodia y
el manejo de los archivos de datos, programas y documentación técnica.
determinar la capacidad de operación, administración y seguridad de la Base de
Datos.
Evaluar el diseño de los sistemas del área de Informática.
Evaluar los procedimientos de control de operación, analizar su estandarización y
evaluar el cumplimiento de los mismos.
Evaluar la forma como se administran los dispositivos de almacenamiento, los
servidores y la infraestructura de red del área de Infotecnologia.
Evaluar el control que se tiene sobre el mantenimiento y las fallas.
Informe Auditoria ESCALAFON
Página 7
Detalle de hallazgos y situaciones de riesgo
Departamento: Dirección Unidad de Infotecnologia (UIT)
Hallazgo
1. Falta de un comité de gestión de seguridad.
2. Respaldar el equipo de cómputo con UPS por cada computadora para garantizar el
suministro de energía eléctrica, para proteger de manera oportuna archivos o
programas que están siendo usados en los nodos de la red.
3. No se presento un documento escrito de la aprobación de las aplicaciones nuevas y
de actualización de los programas creados e instalados en el equipo de cómputo de
escalafón.
4. No se encontraron procedimientos definidos para solicitar y efectuar modificaciones
a los programas.
5. No existen guías, estándares o disposiciones para realizar las pruebas de las nuevas
aplicaciones
6. No cuenta con un comité de informática, aunque si se realizan reuniones empíricas
imprevistas con personal seleccionado.
7. Nunca se ha realizado una auditoria al departamento de Infotecnologia.
8. No existe un plan estratégico de manera general para toda la unidad de
Infotecnologia.
9. Ninguna Capacitación al personal ni la existencia de manuales operativos bien detallados.
además los usuarios presentaron inconformidad en el retraso con que son atendidos sus
requerimientos hechos a la unidad de Infotecnologia.
Informe Auditoria ESCALAFON
Página 8
Departamento: Dirección Unidad de Infotecnologia (UIT)
Recomendaciones
1. Instaurar un comité de gestión de la seguridad, con la participación de un miembro
de la gerencia que promuevan la seguridad de la información entre todos los
miembros de la organización.
2. Constituir una guía con los estándares a seguir para la elaboración y desarrollo de
nuevas aplicaciones. Que contenga las siguientes partes:
Análisis de requisitos de los programas.
Especificaciones detallando los programas.
Diseño y arquitectura.
Programación.
Prueba.
Documentación.
Mantenimientos.
Y todos los demás que se consideren necesarios.
3. El jefe de sistemas, los desarrolladores y analistas deberán de crear un documento
escrito de la aprobación, actualización de los programas creados.
4. El jefe de sistemas, los desarrolladores y analistas deberán de solicitar un
documento escrito de las unidades solicitantes de actualizaciones y modificaciones
de los programas.
5. crear guías, estándares o disposiciones para realizar las pruebas de las nuevas
aplicaciones.
6. Crear un comité de informática para facilitar la toma de decisiones, el cual debe
estar integrado por:
El coordinador del área de software.
El secretario general.
El director financiero
El director del departamento de planificación.
Los asesores externos nombrados por la institución.
Informe Auditoria ESCALAFON
Página 9
Y todos los demás que se consideren necesarios.
Estos miembros solo participaran en el comité informático únicamente con voz.
7. Establecer periodos de auditorias con entidades externas según sea la necesidad y lo
recomendable (una en el periodo de un año ó una cada seis meses).
8. Instaurar un plan estratégico de la unidad de Infotecnologia, el cual deberá de
contener en el los siguientes aspectos:
Misión
Visión
Objetivos (generales y específicos)
Actividades
Metas.
Los demás que se consideren necesarios.
9. Crear un plan de capacitación que serán impartidas a los usuarios de las diferentes
Aplicaciones y programas, la cual podrá contener entre otras cosas:
Detección de necesidades de capacitación.
Formulación y ejecución de los programas de capacitación.
Evaluación periódica de las actividades de capacitación para conocer el grado
de eficacia, eficiencia y beneficio que se ha alcanzado con las actividades
realizadas.
Siendo también necesaria la creación y actualización de los manuales operativos ya
existentes para la correcta capacitación del personal.
En este apartado también será necesario crear un sistema para atender las
necesidades y requerimientos de los usuarios finales de las aplicaciones, como ser:
correo electrónico, buzón de sugerencias, formularios para recibir las mismas o
cualquier otro sistema que se considere necesario.
Informe Auditoria ESCALAFON
Página 10
Departamento: Administración
Hallazgo
1. No existen manuales sobre las funciones que el encargado de la biblioteca debe
cumplir.
2. No hay existencia de un control de los préstamos de archivos y programas que se le
hace al personal.
3. No hay un software especial para el control de préstamos y usos de programas.
4. No se cuentan con procedimientos adecuados para mantener un estricto control en el
acceso de las librerías de programas.
5. Los empleados no firman una póliza de fidelidad al momento de ser contratados.
6. No existe un plan de capacitación adecuado para el personal.
7. No se cuenta con un plan de vacaciones bien definido para el personal.
Informe Auditoria ESCALAFON
Página 11
Departamento: Administración
Recomendaciones
1. Crear las funciones que deberá cumplir la persona encargada de la biblioteca para
hacer un mayor uso de la misma.
2. Controlar el uso de préstamos de archivos y programas que se encuentran en la
biblioteca.
3. Desarrollar un software especial para el control de préstamos.
4. Elaborar procedimientos que contengan un estricto control sobre el acceso de las
librerías de programas.
5. Redactar una póliza de fidelidad para ser firmada por los empleados al momento de
ser contratados, la cual deberá de incluir clausulas como ser:
No propagar la información.
utilizar la información únicamente dentro de la empresa.
en caso de ser necesario extraer información fuera de las instalaciones, solo
con la autorización del jefe ó con los procedimientos adecuados.
Y todos los demás que se consideren necesarios.
6. Crear un plan de capacitación adecuado para el personal, basados en el puesto de
trabajo de cada uno, además de las nuevas técnicas y tecnologías usadas.
7. Estandarizan plan de vacaciones a los empleados de contrato y de acuerdo.
Informe Auditoria ESCALAFON
Página 12
Departamento: Coordinación de soporte técnico.
Hallazgos
1. No se cuentan con contraseñas de calidad
2. Falta de sistemas de suministros de energía de respaldo para equipo de computo en
los nodos de red.
3. No se cuenta con hardware similar o compatible para ser utilizado en caso de
emergencias.
4. Mediante la red se realizan muchas solicitudes las cuales no todas son atendidas ya
que la reducción de Coello de botellas en la red quedan pendientes.
Informe Auditoria ESCALAFON
Página 13
Departamento: Coordinación de soporte técnico.
Recomendaciones:
1. Exigir criterios de seguridad para la creación, modificación y administración de
contraseñas. Como por ejemplo:
No podrá ser asociada con facilidad a cualquier información relacionada con el
usuario de la cuenta.
No estará formada por secuencias de caracteres o palabras fácilmente
predecibles.
Tendrá una longitud mínima de ocho caracteres.
Combinará diferentes tipos de caracteres tipográficos: mayúsculas, minúsculas,
números y caracteres especiales.
Será cambiada de forma inmediata por el Usuario siempre que el sistema sugiera
su cambio.
Las contraseñas se cambiarán periódicamente
Y todos los demás que se consideren necesarios.
Estos criterios deberán de ser usados para la creación de cuentas de ingreso al sistema,
administración de la base de datos, administración de la red, y en todas las áreas en donde
se consideren necesarias.
2. Respaldar el equipo de cómputo con UPS por cada computadora para garantizar el
suministro de energía eléctrica, para proteger de manera oportuna archivos o
programas que están siendo usados en los nodos de la red.
3. Se debe adquirir Hardware (equipo computacional) que sea compatible con el
existente para ser usado de inmediato en caso de emergencia, respaldando los
Servidores y bases de datos en un lugar diferente. La infraestructura de red debe
mantener equipo adicional para cuando estos presenten fallas.
4. Implementar el nuevo Protocolo UMP (Universal Multi Protocol), permite un
máximo rendimiento en la transferencia de datos digitales a través de red,
minimizando los costes de envío.
Informe Auditoria ESCALAFON
Página 14
Actualmente el protocolo de transporte más empleado en la transferencia de datos a
través de Internet es el TCP (Transmission Control Protocol). Éste es utilizado
como capa de transporte de la mayoría del resto de protocolos de transmisión de
ficheros a través de Internet, como el FTP, HTTP, CIFS y NIFS. Sin embargo, tanto
el TCP como los protocolos que lo utilizan, generan cuellos de botella inherentes
que hacen disminuir el rendimiento de las transferencias, especialmente en redes
con alta latencia, redes con un elevado ratio de pérdida de paquetes y en la mayoría
de las redes de alta velocidad.
Para garantizar la fiabilidad de los datos, UMP está diseñado para enviar señales
críticas de control por TCP. Para garantizar un rendimiento de transferencia óptimo,
UMP nunca dejará de transmitir datos a una velocidad constante y fluida mientras el
enlace lo permita. Para contrarrestar el cuello de botella de lectura/escritura en
disco, UMP utilizará técnicas de buffering cuando el ancho de banda sea superior a
la capacidad de éste. A diferencia del TCP, UMP separa el control de congestión de
la retransmisión.
Informe Auditoria ESCALAFON
Página 15
Departamento: Coordinación Ingeniería y desarrollo
Hallazgo:
1. El departamento de Infotecnologia no cuenta con procedimientos o guías para la
Administración de la base de datos.
2. No existen procedimientos de seguridad para encriptar los campos más sensitivos y
confidenciales de la Base de Datos,
Informe Auditoria ESCALAFON
Página 16
Departamento: Coordinación Ingeniería y desarrollo
Recomendación:
1. Instaurar un manual de procedimientos o guías para la administración de la base de
datos, que debería de contener los pasos para:
Administrar la estructura de la Base de Datos
Administrar la actividad de los datos
Administrar el Sistema Manejador de Base de Datos
Establecer el Diccionario de Datos
Asegurar la confiabilidad de la Base de Datos
Confirmar la seguridad de la Base de Datos
Y todos los demás que se consideren necesarios.
Además que estas se almacenen de forma física y no solo digital.
2. Adquirir software especializado para la seguridad de la base de datos, como ser:
Lockdown, ARC server 2000, Data Base Scanner, o cualquier otro; además de
software especializado para el encriptamiento de los registros en la base de datos,
como ser: Secure Data de Protegrity, SQL Shield, XP Crypt, o cualquier otro.
Informe Auditoria ESCALAFON
Página 17
Departamento: Coordinación Métodos y procedimientos
Hallazgo:
1. No cuentan con un plan de contingencias escrito.
2. Los empleados del centro IT no están identificados por un carnet.
3. No cuentan con controles, ni disposiciones ambientales adecuadas.
4. Los tomacorrientes no están identificados con el tipo de voltaje correspondiente.
5. Utilizan regletas para conectar los equipos.
6. Por falta de suministros de energía se conectan extensiones lo que puede causar
accidentes al equipo.
7. No cuentan con políticas ni procedimientos al realizar la selección y reclutamientos
del personal.
8. No hay políticas definidas para evaluar el desempeño del personal, además no existe
documentación donde se refleje la supervisión realizada a cada empleado del área.
Informe Auditoria ESCALAFON
Página 18
Departamento: Coordinación Métodos y procedimientos
Recomendaciones:
1. Elaborar un plan de contingencias para combatir situaciones de riesgo, el cual debe
contener:
Análisis y Selección de las Operaciones Críticas.
Identificación de Procesos en cada Operación.
Listar los Recursos Utilizados para las Operaciones.
Especificación de Escenarios en los cuales puede Ocurrir los Problemas.
Determinar y Detallar las Medidas Preventivas.
Formación y Funciones de los Grupos de Trabajo.
Desarrollo de los Planes de Acción.
Preparación de la Lista de Personas y Organizaciones para Comunicarse en Caso de
Emergencia.
Pruebas y Monitoreo (simulacros).
Y todos aquellos que se consideren necesarios.
2. Implementar un carnet propio impreso de la unidad de Infotecnología, para
identificación de los empleados.
3. Contar con las disposiciones ambientales adecuadas y necesarias para la protección
en caso de emergencias. Como ser:
Extintores contra incendios.
Detectores de humo.
Guantes.
Mascarías
Y todos los demás que se consideren necesarios.
4. Identificar cada tomacorriente según sea su voltaje. Para evitar accidentes con el
equipo computacional
5. Utilizar UPS para la conexión del equipo computacional
6. Instalación de suministros de energía por cada nodo
Informe Auditoria ESCALAFON
Página 19
7. Crear las políticas y procedimientos para realizar la contratación del personal, ya
que la mayoría del personal es empleada por medio de recomendaciones personales.
8. Elaborar procedimientos para evaluar el desempeño del personal constantemente,
tomando en cuenta también que dentro de las auditorias a la unidad de
Infotecnologia se realizaran evaluaciones al personal en los periodos de las mismas.
Documentando los resultados de cada empleado, de manera que estos reflejen la
supervisión realizada a cada uno de ellos.
Informe Auditoria ESCALAFON
Página 20
Análisis estadístico de la situación de riesgo del centro IT
Control Valor Obtenido
%
Acumulado
Variación
Acumulada 80-20
Control I 90 13% 90 80%
Control F 81 24% 171 80%
Control H 80 35% 251 80%
Control D 75 46% 326 80%
Control E 66.37 55% 392.37 80%
Control J 65 64% 457.37 80%
Control G 62 73% 519.37 80%
Control K 59 82% 578.37 80%
Control C 58.5 90% 636.87 80%
Control B 52.75 97% 689.62 80%
Control A 20 100% 709.62 80%
Informe Auditoria ESCALAFON
Página 21
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
0
100
200
300
400
500
600
700
Valor Obtenido
% Acumulado
80-20
Diagrama de Pareto
ANALISIS: Al encontrarse los controles A (Organización), B (Administración),
C(desarrollo de aplicaciones) y K (Evaluación de parte de los usuarios) sobre el valor del
80% del diagrama de Pareto los constituye en las principales áreas donde se encuentran
problemas.
Por lo cual concluimos que es el área administrativa y de jefes de sistemas los que
presentaros las evaluaciones mas bajas de toda la unidad.
Hay que tener en cuanta que tanto la distribución de los efectos como sus posibles causas
no es un proceso lineal, sino que el 20% de las causas totales hace que sean originados el
80% de los efectos.
Obteniendo un promedio global 64,51 %
Informe Auditoria ESCALAFON
Página 22
Calendario para Sanear inconformidades.
Departamento
Objetivo
Fecha de
Inicio
Fecha de
vencimient
o
Observacione
s
Dirección
Unidad de
Infotecnologia
Falta de un comité de gestión de seguridad. 26
noviembre
2012
2 de enero
2013
Revisa Wilson
López
Dirección
Unidad de
Infotecnologia
Respaldar el equipo de cómputo con UPS
por cada computadora.
26
noviembre
2012
2 de enero
2013
Revisa Sergia
Torres
Dirección
Unidad de
Infotecnologia
No se presento un documento escrito de la
aprobación de las aplicaciones nuevas y de
actualización de los programas.
26
noviembre
2012
31 de mayo
2013
Revisa Ricardo
Andino
Dirección
Unidad de
Infotecnologia
No se encontraron procedimientos definidos
para solicitar y efectuar modificaciones a los
programas.
26
noviembre
2012
31 de mayo
2013
Revisa Evelin
Canaca
Dirección
Unidad de
Infotecnologia
No existen guías, estándares o disposiciones
para realizar las pruebas de las nuevas
aplicaciones
26
noviembre
2012
31 de mayo
2013
Revisa Sandra
Sánchez
Dirección
Unidad de
Infotecnologia
No cuenta con un comité de informática.
26
noviembre
2012
2 de enero
2013
Revisa Wilson
López
Dirección
Unidad de
Infotecnologia
Nunca se ha realizado una auditoria al
departamento de Infotecnologia
26
noviembre
2012
30 nov 2013 Revisa Ricardo
Andino
Dirección
Unidad de
Infotecnologia
No existe un plan estratégico de manera
general para toda la unidad de
Infotecnologia.
26
noviembre
2012
2 de enero
2013
Revisa Sandra
Sánchez
Dirección
Unidad de
Infotecnologia
Ninguna Capacitación al personal ni la
existencia de manuales operativos bien
detallados.
26
noviembre
2012
31 de mayo
2013
Revisa Wilson
López
Coordinación
Ingeniería y
desarrollo
Instaurar un manual de procedimientos o
guías para la administración de la base de
datos
26
noviembre
2012
2 de enero
2013
Revisa Orlin
Turcios
Informe Auditoria ESCALAFON
Página 23
Coordinación
Ingeniería y
desarrollo
Adquirir software especializado para la
seguridad de la base de datos
26
noviembre
2012
2 de febrero
2013
Revisa Evelin
Canaca
Coordinación
Métodos y
procedimientos
Elaborar un plan de contingencias para
combatir situaciones de riesgo
26
noviembre
2012
2 de febrero
2013
Revisa Orlin
Turcios
Coordinación
Métodos y
procedimientos
Implementar un carnet para identificación de
los empleados
26
noviembre
2012
2 de enero
2013
Revisa Wilson
López
Coordinación
Métodos y
procedimientos
Elaborar políticas y procedimientos para
realizar la contratación del personal
26
noviembre
2012
2 de enero
2013
Revisa Sandra
Sánchez
Coordinación
Métodos y
procedimientos
Crear procedimientos para evaluar el
desempeño del personal
26
noviembre
2012
2 de enero
2013
Revisa Orlin
Turcios
Administració
n
Redactar una póliza de fidelidad para ser
firmada por los empleados al momento de
ser contratados
26
noviembre
2012
2 de enero
2013
Revisa Sergia
Torres
Administració
n
Crear un plan de capacitación adecuado para
el personal
26
noviembre
2012
2 de enero
2013
Revisa Evelin
Canaca
Coordinación
de soporte
técnico
Se debe adquirir hardware similar o
compatible para ser utilizado en caso de
emergencias
26
noviembre
2012
2 de
noviembre
2013
Revisa Ricardo
Andino
Coordinación
de soporte
técnico
Respaldar el equipo de cómputo con UPS
por cada computadora para garantizar el
suministro de energía eléctrica
26
noviembre
2012
2 de mayo
2013
Revisa Wilson
López
Informe Auditoria ESCALAFON
Página 24
Conclusiones
En base a las observaciones e investigaciones hechas en la estructura organizativa, la
administración, los procedimientos, la seguridad y todo lo relacionado con la gestión de la
unidad de Infotecnologia de ESCALAFON de la Secretaria de Educación, Gobierno de
Honduras, se presentan como conclusión un análisis FODA que resume las valoraciones
encontradas en nuestra investigación.
Análisis FODA
Fortalezas:
1. La ubicación de las instalaciones se encuentran en un punto estratégico de la ciudad.
2. Por encontrarse en el nivel más alto del edificio no corre riesgos de daños por
inundaciones u otros riesgos a nivel del suelo.
3. Cuentan con hardware en general actualizado.
4. El data center esta bien protegido y custodiado, debidamente respaldado,
actualizado y mantenido.
5. Las aplicaciones con las que cuentan son creadas en el área de desarrollo de la
Unidad de Infotecnología.
6. Cuentan con un router 3G en caso de ausencia de internet, se conecta un modem y
este alimenta de internet a todos los nodos de la red local.
Oportunidades:
1. Se da la posibilidad de realizar procesos remotos desde distintos sitios a nivel
nacional.
2. Reciben donaciones de hardware de organismos internacionales.
3. A nivel de comunicaciones cuentan con 2 empresas que respaldan las transmisiones
de datos en la ciudad y entre los departamentos del país.
4. La evaluación de las aplicaciones internas ha sido satisfactorias ya que la mayoría
de todos los programas son realizadas por ellos mismos.
Informe Auditoria ESCALAFON
Página 25
Debilidades:
1. No cuentan con personal calificado en casi todas las áreas de la unidad.
2. No se realizan capacitaciones al personal.
3. No cuentan con respaldo de energía eléctrica en caso de ausencia de la misma.
4. No cuentan con las instalaciones físicas necesarias para ser un centro IT bien
acondicionado.
5. Inexistencia de un comité informático.
6. Seguridad de contraseñas deficientes.
7. Inexistencia de rutas de evacuación.
8. Falta de personal con el conocimiento para asegurar en continuo funcionamiento de
la Unidad de Infotecnología.
9. No se han realizado auditorias en sistemas a esta unidad.
10. En ocasiones se han encontrados con problemas de tipo “cuellos de botellas” en los
trabajos internos de la red. (impresiones, comunicaciones, etc).
Amenazas:
1. Debido al hecho de que solo 2 personas conoces el funcionamiento y todas las
claves de acceso a los sistemas críticos, al faltar uno o ambos de ellos se hace
necesario contratar personal foráneo, a los cuales se les da acceso físico y lógico y
esto podría llevar a situaciones adversas.
2. Al no brindar capacitación continua a los usuarios del sistemas estos tienden a
evaluar de manera negativa la gestión
3. Al no existir manuales actualizados y bien definidos, los usuarios finales tienden a
mal utilizar, o no sacar el provecho completo de las aplicaciones creadas por lo
tanto se abre la posibilidad de mal uso del sistema.
Informe Auditoria ESCALAFON
Página 26
Anexos
Informe Auditoria ESCALAFON
Página 27
Resumen de controles, evaluados en la unidad de Infotecnología del
Ministerio de Educación del Estado de Honduras. “ESCALAFON”
Control “A” Organización
Este control trata de evaluar como está estructurada la organización general y el
departamento de Infotecnología.
La organización cuentan con los organigramas, general y del departamento de sistemas,
pero no se encuentran actualizados, porque fueron creados hace algunos años,
entrevistando al personal se encontró que no tienen conocimiento de ninguno de los
organigramas de la organización. Además la información que este departamento genera, le
es de utilidad a toda la institución pero no recibe apoyo financiero y técnico de la secretaria
de educación de estado.
El organigrama del departamento de sistemas ha sufrido cambios y reducciones de puestos,
el organigrama está estructurado de tal manera que se muestran las áreas de
desarrolladores, operaciones de computador, mantenimiento, soporte y apoyo a usuarios, de
redes y seguridad. Pero no hay coordinador de base de datos en el organigrama.
Existe una no conformidad en los perfiles de puestos ya que no se comprobó la veracidad
de los mismos, no cuentan con políticas ni procedimientos cuando se realiza la selección
del personal, ya que la mayoría entra a laborar por medio de recomendaciones. A este
personal no se le exige que firmen una póliza de fidelidad.
El departamento de Infotecnología no cuenta con un comité de informática, pero si realizan
reuniones empíricas imprevistas con personal seleccionado, según sea la necesidad del
departamento. Y al cual nunca se ha realizado una auditoria.
Informe Auditoria ESCALAFON
Página 28
A A) ORGANIZACION 100% 20%
A,1 Existe el organigrama general en la institución. 10 8
A,2 Existe el organigrama del departamento de sistemas 10 9
A,3 existe un manual de descripción de funciones y puestos 20 0
A,4 políticas y procedimientos definidos 10 0
A,5 El personal de alto riesgo esta incluido en una póliza de
fidelidad. 20 0
A,6 existe un comité de informática 10 3
A,7 se realizan auditorias periódicamente 20 0
02468
101214161820
Control A: Organización
Valor Control
Obtenido
Informe Auditoria ESCALAFON
Página 29
Control “B” Administración
El control B trata de evaluar cómo se están desempeñando las funciones en el área de
administración.
No existe un plan de capacitación adecuado, por lo cual ocurren errores pero no graves por
la falta de capacitación aunque en ocasiones es necesaria la ayuda de especialistas y los
empleados son capacitados indirectamente. No hay políticas definidas para evaluar al
personal, realizan evaluaciones pero visuales con cada trabajo asignado los empleados
presentan inconformidad respecto a promociones de ascenso.
Existe rotación de personal, pero no es una rotación estipulada según se presentan las
necesidades del departamento.
No se cuenta con un plan de vacaciones, ya que el personal entrevistado trabaja por
contrato lo cual presenta inconformidad entre los empleados de contrato Temporal y los
empleados de contratos de Acuerdo. Las vacaciones no las asigna el jefe de sistemas ya que
son políticas de Recursos Humanos.
No existe ningún tipo de política y control para la terminación del contrato de trabajo a
excepción de eliminar el acceso que tienen al sistema en la Unidad de Infotecnología. No
hay un plan estratégico definido hacia donde se desea llevar la unidad de Infotecnología ya
que los objetivos no se alinean con la parte de la organización en general. Aunque este
departamento funciona de acuerdo a las necesidades que se presentan.
Los recursos con los que cuenta el departamento no se están utilizando de una manera
eficiente ya que en la unidad no se cuenta con un plan estratégico adecuado, por lo tanto no
hay ninguna actividad planeada. Existe supervisión de labores por personas encargadas a
los empleados, no se cuenta con una documentación donde se refleje la supervisión
realizada a los mismos, ya que la supervisión es visual y oral.
Utilizan licencias originales para el desarrollo de las diferentes aplicaciones y funciones
que se realizan en Infotecnología.
Informe Auditoria ESCALAFON
Página 30
B B) ADMINISTRACION 100% 52.75%
B,11 existe un plan de capacitación para el personal 7.5 4
B,12 Se cuentan con políticas para evaluar el personal 10 5
B,13.1 Existen Rotación de personal para las funciones
operacionales básicas 7.5 5.5
B,13.2 Existen Rotación de personal para las funciones
operacionales básicas de las aplicaciones automatizadas 7.5 5.5
B,14 existe un plan previo de vacaciones para el personal 7.5 3
B,15 Se cuentan con políticas definidas para terminación el
contrato de trabajo 7.5 1
B,16 Se cuentan con planes estratégicos. 20 6
B,17 Existe un programa de actividades a corto mediano y largo
plazo. 10 3
B,18 Existe una supervisión de labores. 7.5 4.75
B,19 Se cumple con las disposiciones gubernamentales para las
operaciones 0 0
B,20 Se cuentan con licencias originales de software 7.5 7.5
B,21 Existen políticas TIC'S 7.5 7.5
02468
101214161820
Control B: Administracion
Valor Control
Obtenido
Informe Auditoria ESCALAFON
Página 31
Control “C” Desarrollo de Aplicaciones
Este control trata de evaluar la existencia de estándares y procedimiento para el diseño y
desarrollo de aplicaciones.
El departamento de Infotecnologia no cuenta con los estándares o guías para el diseño o
desarrollo de aplicaciones, lo que se hace, es que a cada desarrollador se le asignan
aplicaciones y este las desarrolla según sea su criterio. Hasta el momento no se ha
presentado ningún tipo de problemas en el desarrollo de programas o aplicaciones a pesar
de no contar con ningún estándar o guías para el diseño o desarrollo de los mismo, y Cada
programa o aplicación cuenta con la debida documentación técnica.
Se realiza un adecuado control de implantación de programas y servicios en el servidor de
producción; pero no existe un documento escrito de aprobación de las auditorias de
actualización de los programas instalados. Al desarrollar un programa o aplicación se toma
en cuenta la opinión del departamento de origen y la gerencia. Los usuarios participan
únicamente en la fase de prueba y finalización.
Hasta el momento no han ocurrido problemas. Por no contar con los procedimientos
definidos para solicitar y efectuar modificaciones a los programas, se realizan estudios de
factibilidad de manera lógica entre el jefe de sistemas y los departamentos dueños de
aplicaciones, pero no se documentan dichos estudios.
No existe un contrato de calidad adecuado, pero no han existido complicaciones con las
aplicaciones aprobadas.
No existen guías estándares o disposiciones para realizar las pruebas, aunque son hechas
por los usuarios con datos diseñados para ellos pero no se realiza ningún proceso en
paralelo dado que este es muy costoso. Los recursos para desarrollo, prueba y producción
se encuentran separados adecuadamente para que estos se realicen de forma correcta.
Informe Auditoria ESCALAFON
Página 32
C
C) DESARROLLO DE APLICACIONES
100%
58.5%
C, 24 Existen estándares o guías para el diseño y desarrollo de aplicaciones (Analistas)
5 0
C, 25 existen estándares o guías para el diseño y desarrollo de programas (Programador)
5 0
C, 26 existen estándares o guías para elaborar la documentación técnica de aplicaciones
10 0
C, 27 ¿Cada aplicación tiene documentación técnica?
10 10
C, 28 Existen procedimientos para la implantación de software el servidor de producción.
6.67 5.5
C, 29.1 Los departamentos de origen y la gerencia participan en las etapas de desarrollo.
6.67 5
C, 29.2 Los dueños de cada aplicación dan la aprobación final al funcionamiento de la aplicación.
6.67 6.67
C, 30 Se cuenta con procedimientos para solicitar y efectuar modificaciones a los programas.
5 0
C, 31 Se realizan estudios de factibilidad, antes de realizar el desarrollo o la compra de nuevas
aplicaciones. 10 6
C, 32 Existe la función de control de calidad.
5 2
C, 33 En el desarrollo de sistemas se contemplan las pistas de auditoria para la posterior
auditabilidad de los mismos. 0 0
C, 34.1 Los programas y aplicaciones se prueban con datos especialmente diseñados para ellos.
6.67 6.67
C, 34.2 Los usuarios participan activamente en las pruebas de los programas y aplicaciones.
6.66 6.66
C, 34.3 Toda aplicación o proceso el probado en paralelo contra el anterior proceso.
6.66 0
C, 35
La institución efectúa contratos con entidades externas para realizar actividades de
procesamiento y resguardo de las operaciones y otros servicios relacionados con las TIC. 0 0
C, 36 Están adecuadamente separados los recursos para desarrollo prueba y producción.
10 10
0123456789
10
exis
ten
est
and
ares
…
exis
ten
est
and
ares
…
exis
ten
est
and
ares
…
¿cad
a ap
licac
ión
…
exis
ten
…
los
de
par
tam
ento
s…
los
du
eñ
os
de
cad
a…
se c
uen
ta c
on
…
se r
ealiz
an e
stu
dio
s…
exis
te la
fu
nci
on
de
…
en e
l de
sarr
ollo
de
…
los
pro
gram
as y
…
los
usu
ario
s…
tod
a ap
licac
ión
o…
la in
stit
uci
on
…
esta
n…
Control C: Desarrollo de aplicaciones.
Valor Control
Obtenido
Informe Auditoria ESCALAFON
Página 33
Control “D” Operaciones
Este control trata de evaluar como está estructurada la seguridad de las operaciones
(Accesos al sistema, seguridad de equipo, y acceso a internet) realizadas en el departamento
de Infotecnología.
Este departamento, cuenta con una red de seguridad la cual está configurada por categorías
o grupos donde a cada empleado se le asigna las categorías o grupos que tendrán acceso.
No se cuenta con hardware similar o compatible para ser utilizado en caso de emergencias;
con el único hardware que tienen es el que se encuentra dentro de la empresa, (para futuros
se piensa ampliar la rede en los 18 departamentos se desea implementar un clúster de
máquinas virtuales, para que este pueda funcionar en caso de emergencias).
El mantenimiento preventivo de hardware se realiza de manera eficiente respaldado con el
contrato CAREPACK de la compañía Hewlett Packard (HP) quien brinda el soporte
continuamente del hardware. Cuando se deteriora un equipo se realizan respaldos atreves
de VSPHERE (Plataforma de virtualización líder del sector para construir infraestructuras
de cloud. Permite a los usuarios ejecutar aplicaciones críticas para el negocio con confianza
y responder con mayor rapidez a las necesidades empresariales.)
No cuentan con un plan de contingencias escrito. Lo que realizan son dos tipos de respaldo:
Respaldo Caliente, y Frio.
El acceso a internet es controlado adecuadamente para uso exclusivo de la empresa utilizan
las reglas de los corta fuegos para proteger el equipo de infecciones de virus.
El departamento no maneja ningún tipo de documento o formulario en blanco, ni autoriza
transacciones u operaciones que no le competen a este.
Informe Auditoria ESCALAFON
Página 34
D D) OPERACIONES 100% 75%
D, 37
Están diseñadas en la red de seguridad los diferentes grupos o
categorías del personal involucrado en las aplicaciones 10 10
D, 38
cuenta el departamento de sistemas con hardware interno o
externo similar o compatible para ser utilizado en caso
emergencias 10 5
D, 39.1 Existe un adecuado mantenimiento preventivo de hardware. 20 20
D, 39.2 Existe un control y análisis del desempeño de hardware para
futuros cambios de equipo. 10 10
D, 40 Existe un plan de contingencias para situaciones de emergencia. 20 10
D, 41.1 El uso de Internet es controlado adecuadamente. 5 5
D, 41.2 Se cuenta con procedimientos de seguridad para evitar el
contagio de virus por internet. 15 15
D, 42.1 El departamento de sistemas en ocasiones inicia o autoriza
transacciones u operaciones. 5 0
D, 42.2 El departamento de sistemas en ocasiones custodia o maneja
documentos, formularios de recibos y/o cheques en blanco 5 0
D, 43 La institución brinda servicios de banca electrónica. 0 0
D, 44 La institución tiene sus oficinas principales en un país del
exterior. 0 0
02468
101214161820
Control D: Operaciones
Valor Control
Obtenido
Informe Auditoria ESCALAFON
Página 35
Control “E” Procesamiento
El control trata de evaluar cómo se están desempeñando las funciones en el área de
procesamiento.
El manual de usuario es proporcionado a los empleados, los cuales no muestra las
descripciones de las aplicaciones, no obstante se le brinda capacitaciones y hasta la fecha
no existen contratiempo de los mismos.
Los formularios están debidamente automatizados, los campos están correctamente
descritos y separados para que no permita mala interpretación por el usuario final.
Los supervisores y jefes son los encargados de controlar la calidad de los datos y los
procesos la cual es supervisada, y controlada por el usuario final, dichos datos
son verificados y en caso de haber duplicidad son depurados, el cual minimiza los riesgos
en la corrupción de los datos por errores del proceso o por actos deliberados del personal, la
cual muestra advertencias cuando los datos son inconsistentes y para evitar este tipo de
falencias hay respaldos contra estos incidentes y una bitácora que nos indica que realizo
cada usuario.
La capacidad técnica operativa del personal es poco ya que cuando presenta fallas el
computador no tiene el conocimiento sobre mantenimiento preventivo,
La información sensible y confidencial están almacenadas en lugares restringidos , los
cuales solo tienen acceso el administrador del aplicativo y el administrador del proyecto,
cuenta con todos los niveles de acceso a todo el sistema, los usuarios testan restringidos por
privilegios ya que existen restricciones para resguardar la información, con estas medidas
se han evitado robos o fraudes dentro de la organización ya que todo el personal no poseen
muchos conocimientos de programación, pero no obstante si han tenido ataques de virus
fuera de la organización, la cual se le dan mantenimiento y seguimiento para evitar dichas
dificultades en el futuro.
Informe Auditoria ESCALAFON
Página 36
E E) PROCESAMIENTO 100 % 66.37%
E,45
¿Existen manuales operativos (trascripción de datos, de operación, de biblioteca, de usuario) para cada aplicación del computador? 6.16 2.16
E,46
¿Los formularios de la información fuente están diseñados eficientemente para evitar interpretación y/o trascripción errónea de los datos? 6.16 5
E,47.1
¿En el punto de preparación, registro o envío de los datos, todas las transacciones son controladas por medio de listados o totales de control adecuados? 6.16 6.16
E,47.2
¿Existe la función de control de procesos y de datos, para verificar y revisar los datos de entrada, procesos y salidas o resultados en el Departamento dueño de la aplicación? 6.15 5
E,47.3
¿Los resultados finales de los procesos se comprueban adicionalmente en forma automática o manual contra archivos o registros externos relacionados? 6.16 3.75
E,47.4
¿Existen procedimientos definidos para la corrección y retroalimentación de transacciones no registradas por tener errores? 6.15 5
E,48
¿Existen rutinas de validación de inconsistencias en los programas de captación de datos y/o programas de inconsistencias especialmente diseñados para tal efecto? 6.15 5
E,49 ¿El personal de trascripción y operación está capacitado para identificar fallas de funcionamiento del computador? 20 3
E,50
¿Son marcados o sellados los documentos fuentes utilizados en la captación de datos para protegerlos contra duplicados o reentradas? 6.15 6.15
E,51.1
¿Son los reportes de salidas que contienen información confidencial y sensible, mantenida y manejada con la prudencia que corresponde? 6.15 5
E,51.2
¿La información confidencial y sensible mantenida en los archivos magnéticos, es restringida y autorizada a los funcionarios y personal de nivel adecuado? 6.16 5
E,52
¿Los archivos de datos y programas para procesamiento están adecuadamente administrados e identificados tanto interna como externamente? 6.15 6.15
E,53
¿Los operadores del computador y/o los operadores de las aplicaciones en el Departamento de origen poseen conocimientos de programación de computadoras? 6.15 5
E,54 Existe adecuada segregación de tareas en el procesamiento de las aplicaciones? 6.15 4
0
5
10
15
20
¿Exi
ste
n m
anu
ale
s…
¿Lo
s fo
rmu
lari
os
de
la…
¿En
el p
un
to d
e…
¿Exi
ste
la f
un
ció
n d
e…
¿Lo
s re
sult
ado
s fi
nal
es…
¿Exi
ste
n…
¿Exi
ste
n r
uti
nas
de…
¿El p
ers
on
al d
e…
¿So
n m
arca
do
s o
…
¿So
n lo
s re
po
rte
s d
e…
¿La
info
rmac
ión
…
¿Lo
s ar
chiv
os
de
dat
os…
¿Lo
s o
per
ado
res
del
…
Exis
te a
de
cuad
a…
Control E: Procesamiento
Valor Control
Obtenido
Informe Auditoria ESCALAFON
Página 37
Control “F” Operaciones Lógicas
Este control se basa en la protección de los programas, aplicaciones, base de datos, datos de
usuarios, contraseñas y demás controles necesarios para garantizar un continuo servicio de
datos y programas.
Con respecto al otorgamiento de contraseñas si existe un control y administración en un
alto porcentaje, con la excepción que no cuentan con normativas de contraseñas de calidad
ya que suelen ser fáciles y el sistema no exige cambiarlas en un tiempo determinado esto a
nivel de sistema operativo. Pero en las aplicaciones criticas si se cuentan con controles
definidos.
Con respecto a la administración de la seguridad y de los dueños de las aplicaciones y el
acceso de los usuarios, se realiza un correcto control. En cuanto a la protección de las
transmisiones de datos todas están respaldadas y bien protegidas, por dos empresas de
transmisión de datos, además de los controles internos de ellos mismos.
Existen instalados en un servidor de antivirus 2 programas de protección de antivirus, que
tienen el control de todo el equipo computacional instalado en la red. Anidado a esto están
los suministros de energía alterna (UPS, Plantas eléctricas) que protegen el Datacenter
como las computadoras personales más importantes.
Además están bien definidas las medidas de control para otorgar acceso a terceros, por lo
tanto no han ocurrido problemas en sistema por acceso de terceros, a pesar de la falta de un
comité de gestión de seguridad. Junto a esto se utilizan adecuadas medidas de criptografía.
Informe Auditoria ESCALAFON
Página 38
F F) SEGURIDADES LOGICAS 100% 81%
F, 55.1 Existe un procedimiento eficiente para el otorgamiento y
administración de Password. 10 10
F, 55.2 Existe un procedimiento eficiente para la concientización en el
personal sobre la responsabilidad, uso y manejo de password. 10 5
F, 56.1 Se han designado a algunas personas para llevar a cabo las
funciones de administración de seguridad del sistema. 15 15
F, 56.2
Se investiga en el departamento de sistemas y por parte de los
dueños de la aplicación las violaciones del acceso al computador y a
las aplicaciones. 5 3
F, 56.3 Existe por parte de la jefatura de sistemas un análisis sobre el
acceso de los usuarios al computador y a las aplicaciones. 5 5
F, 57 Existen procedimientos de control que protejan la información que
es transmitida entre el servidor y las computadoras remotas. 10 10
F, 58 Cuenta la empresa con procedimientos y programas de antivirus. 15 15
F, 59 Cuenta el centro de cómputo con suficientes UPS u otros sistemas
alternativos que suministren energía por tiempo suficiente. 10 8
F, 60 Existen adecuados procedimientos de control para el otorgamiento
de terceros a los sistemas de información. 5 5
F, 61 Existe un comité de gestión de la seguridad de la información u
otro órgano interno con similares funciones. 5 0
F, 62 Existen políticas sobre el uso de medidas criptográficas. 10 5
02468
10121416
Control F: Seguridades Lógicas
Valor Control
Obtenido
Informe Auditoria ESCALAFON
Página 39
Control “G” Seguridad Física
Este control trata de evaluar como está estructurada la localización distribución física, y
seguridad del departamento de sistemas. El departamento de Infotecnología de escalafón se
encuentra localizado en un lugar adecuado y con una distribución interna eficiente. La
única deficiencia que tiene es las paredes de separación interna están construidas de tabla
de yeso
Al centro de cómputo solo personal autorizado puede ingresar. Los empleados del centro IT
deberían estar identificados por un carnet. El centro IT en la entrada cuenta con un rotulo
de identificación Departamento de Infotecnologia “Área Restringida solo personal
autorizado” Al computador o servidor central solamente el jefe de sistemas puede ingresar
y personal autorizado por el. El departamento IT no cuenta con una póliza de seguros para
casos de emergencia, con la única póliza que cuenta es con la garantía de mantenimiento
preventivo de hardware contrato con la compañía Hewlett Packard (HP).
Hasta el momento el centro IT no ha sufrido ningún daño por no contar con controles ni
disposiciones ambientales debidas. Solamente cuentan con extintores contra el fuego pero
estos no son preventivos, ya que le personal que labora en el entro IT no los sabe utilizar,
tampoco se encuentran ubicados en un lugar estratégico, ni son vaciados ni llenados
constantemente. Por los momentos se encuentra en proceso la implementación de una
planta de energía eléctrica. Para cuando haya ausencia prolongada de la energía eléctrica.
El centro IT cuenta con un panel de control de breaker debidamente identificado. Los
cables de comunicación y energía se encuentran separados y protegidos con tubos así evitan
las violaciones y manipulaciones a los mismos. Los tomacorrientes no están identificados
con el tipo de voltaje correspondiente, debido a que las separaciones del centro IT son de
paneli se utilizan regletas para conectar los equipos.
Los servidores y computador central se encuentran bajo llave y solo el jefe de sistemas y
personal autorizado puede ingresar a ellos. El servidor de aplicaciones de encuentra física
y lógicamente separado de los demás servidores la empresa cuenta con un total de 22
servidores. Y continuamente se realizan Backup para proteger la información.
Informe Auditoria ESCALAFON
Página 40
02468
10121416
Control G: Seguridad Fisica
Valor Control
Obtenido
G G) SEGURIDAD FISICA 100% 62%
G. 63 ¿La distribución y localización del departamento de sistemas es la
adecuada? 10 8
G. 64.1 ¿El acceso al centro de cómputo es permitido solamente al personal del
departamento? 5 5
G. 64.2 ¿Existen rótulos visibles que indiquen que el centro IT es área restringida?
5 5
G. 64.3 ¿El personal del departamento de sistemas esta debidamente identificado?
5 0
G. 65 ¿Existen pólizas de seguros para proteger economicamente la inversión de
SW y HW en caso de siniestro? 5 0
G. 66 ¿Existen condiciones ambientales en el centro IT para protegerse contra
cualquier daño? 10 0
G. 67 ¿Existen extintores contra el fuego en el departamento de sistemas?
5 3
G. 68 ¿Cuenta la empresa con una planta de energía eléctrica que la provea de
energía en caso de ausencia de la misma? 10 5
G. 69.1 ¿Cuenta el centro de cómputo con su propio panel de control de breaker
(Interruptores)? 5 5
G. 69.2 ¿Los tomacorrientes están debidamente identificados y protegidos?
5 2
G. 69.3 ¿El sistema de cableado y cables están identificados y protegidos contra
daños violaciones de la información? 5 5
G. 70 ¿Existen restricciones físicas que impidan el fácil acceso a personas no
autorizadas a los servidores? 5 5
G. 71 ¿Cuenta la Institución con loocker para proteger los hob routers y/o
switch? 5 5
G. 72 ¿El servidor de producción y aplicaciones se encuentran separados
físicamente de los demás servidores? 15 12
G. 73 ¿Existen disposiciones de seguridad para recursos informáticos instalados
fuera de la organización? 5 2
Informe Auditoria ESCALAFON
Página 41
Control H Almacenamiento
Este control se basa en verificar la existencia de una biblioteca y los procedimientos
eficientes para la custodia y el manejo de los archivos de datos, programas y
documentación técnica, se cuenta con una biblioteca ubicada en las instalaciones del
departamento de INFOTECNOLOGIA, la persona encargada no posee conocimientos de
informática, los medios de almacenamiento se encuentran en armarios dentro de la
biblioteca están debidamente identificados, no se realizan actividades incompatibles ya que
la persona encargada no maneja el tipo de información que se encuentra en la biblioteca, no
existen manuales sobre las funciones que el encargado de la biblioteca debe cumplir,
tampoco existe un control de los préstamos de archivos y programas que se les hace al
personal .
Existe restricción de las personas que entran a la biblioteca solo personal autorizado. No
hay un software especial para el control de préstamos y usos de programas. No existen
procedimientos adecuados para mantener un estricto control en el acceso de las librerías de
programas.
La efectividad del sistema de archivos de respaldo externos para ser utilizados en casos de
emergencia.
Con respecto a los archivos de respaldo son guardados en el banco central. En el
procedimiento de traslado de los archivos de respaldo hay personas autorizadas y saben
cómo llevar el backup. Están en constante actualización del proceso de los archivos de
respaldo. Cuando se envían al BCH van con sus respectivas etiquetas que incluyen nombre,
fecha del backup. Los que salvaguardan la información de los medios informáticos una vez
revisada y debidamente documentada se envía a la bóveda del BCH.
Informe Auditoria ESCALAFON
Página 42
H
H) ALMACENAMIENTO
100%
80%
H. 74 ¿El departamento de sistemas cuenta con una biblioteca de
archivos y programas? 50 40
H. 75 ¿Existen procedimientos definidos para el uso de archivos de
datos, programas y aplicaciones de la biblioteca? 25 20
H. 76 ¿Cuenta el centro de cómputo con archivos de respaldo
externos? 25 20
05
101520253035404550
¿el departamentode sistemas cuentacon una biblioteca
de archivos yprogramas?
¿Existenprocedimientosdefinidos para el
uso de archivos dedatos, programas yaplicaciones de la
biblioteca?
¿Cuenta el centrode computo con
archivos de respaldoexternos?
Control H: Almacenamieto
Valor control
Obtenido
Informe Auditoria ESCALAFON
Página 43
Control “I” ADMINISTRACION Y OPERACIÓN DE REDES
Este control se basa en la existencia de estándares y políticas para la administración de las
redes y los procedimientos para la eficacia en las operaciones de las mismas la cual se
verifica la seguridad e integridad para un uso eficiente, el cual el administrador de red se le
asignan las funciones correspondientes con los estándares y políticas mediante la red, Vlan,
y sudneteo.
El administrador de redes es el encargado de verificar que existen procedimientos que
determinan el correcto y óptimo funcionamiento de la red mediante testeo la cual es la base
para monitorear los 21 sitios a nivel nacional .En actualidad se monitorea las violaciones a
la seguridad de la red, lo cual nunca se ha dado ya que se cuenta con un muro de fuego,
contando con generadores de energía (UPS) así la conectividad puede ser levantada en
cualquier momento.
Escalafón implementa procedimientos de control que restringe el acceso no autorizado a las
aplicaciones o recursos de información la cual se maneja por directorios activos o el
dominio el cual proporciona los permisos necesarios.
Existe estándares de la telefonía de vos y video para el personal adecuado pero es
bloqueado el ancho de banda y el acceso es controlado a nivel de la planta.
Informe Auditoria ESCALAFON
Página 44
I
I) ADMINISTRACION Y OPERACIONES DE REDES
100%
90%
I. 78 ¿Existen estándares y políticas para la administración de la Red? 20 10
I. 79 ¿Existen procedimientos establecidos para la eficiente operación de la
Red? 20 20
I. 80 ¿Existen procedimientos que verifiquen la seguridad e integridad de la
Red? 20 20
I. 81 Existe una política para el personal que usa recursos de comunicación
de voz, facsímile y video? 20 20
I. 82 ¿El funcionamiento de la Red es eficiente? (encuesta a usuarios) 20 20
02468
101214161820
ValorControl
Obtenido
Control I: Administración y Operaciones de Redes
Informe Auditoria ESCALAFON
Página 45
Control “J” Administración y Operación de la Base de Datos
Este control se basa en determinar la eficiente operación, administración y seguridad de la
Base de Datos.
El departamento de Infotecnologia no cuenta con procedimientos o guías para la
Administración de la base de datos, ya que a cada desarrollador se le asigna un programa a
realizar con su respectiva Base de Datos, esta posee su manual técnico de manera digital
pero no se encuentra archivada.
A cada base de datos particular del programa asignado a cada desarrollador solo tiene
acceso desde la computadora del mismo a través del servidor de producción y esta se
encuentra protegida por medio de contraseña.
En cuanto a los derechos y privilegios de administración de la base de datos solo el
desarrollador de la aplicación puede entrar como súper usuario (Tiene todos los privilegios)
y los demás personas solo es de lectura.
En la seguridad de las contraseñas no se cuenta con un formato o lineamiento a seguir para
la creación de la misma (Tamaño mínimo de caracteres, incluir letras, números y caracteres
especiales, no dejar espacios en blanco, etc.).
Se realizan backup a diario por si ocurre alguna falla en el sistema, pero para fines de
seguridad extra se respalda la base de datos a través de un backup mensual en el Banco
Central de Honduras.
No existen procedimientos de seguridad para encriptar los campos más sensitivos y
confidenciales de la Base de Datos, solo las claves de acceso a la misma se encriptan.
Informe Auditoria ESCALAFON
Página 46
0
10
20
30
40
50
¿Existen proccedimientos parael desempeño de las funciones
del DBA de la B-D?
¿Existen proccedimientos parala seguridad de la B-D?
Control J: Administracion y Operacion de BD
ValorControl
Obtenido
J J) ADMINISTRACION Y OPERACIÓN DE LA BASE DE
DATOS
100%
65%
J. 85 ¿Existen procedimientos para el desempeño de las funciones
del DBA de la B-D? 50 25
J. 86 ¿Existen procedimientos para la seguridad de la B-D? 50 40
Informe Auditoria ESCALAFON
Página 47
Control “K”
Este control trata de medir el nivel de satisfacción de los usuarios finales de las
aplicaciones y/ó servicios dados por los unidad de Infotecnologia.
En opinión de los empleados entrevistados en la unidad de nominas y planillas de la misma
estructura organizativa de escalafón, quienes a su ves son usuarios de algunos de los
programas creados en esta unidad, ellos calificaron con una nota en promedio del 59% de
100% la gestión, manejo, repuesta y ayudas dadas por la unidad de Infotecnologia, lo cual
indica una gestión ACEPTABLE de la unidad.
Siendo las áreas de: Capacitación al personal y manuales operativos bien detallados las dos
con más baja aceptación de parte de los usuarios, además los usuarios presentaron
inconformidad moderada en la parte del retraso con que son atendidos sus requerimientos
hechos.
Informe Auditoria ESCALAFON
Página 48
Estructura organizativa de la secretaria de educación.
Informe Auditoria ESCALAFON
Página 49
Estructura Organizativa de la unidad de Infotecnologia.
Informe Auditoria ESCALAFON
Página 50
Imágenes de la unidad de Infotecnologia.
Informe Auditoria ESCALAFON
Página 51
Informe Auditoria ESCALAFON
Página 52
Informe Auditoria ESCALAFON
Página 53
Informe Auditoria ESCALAFON
Página 54
Informe Auditoria ESCALAFON
Página 55
Diagrama de Red
top related