Informe de Evaluación de Controles de TI de la Empresa/
Enviado por bolivar2008 • 17 de Abril de 2016 • Apuntes • 12.589 Palabras (51 Páginas) • 245 Visitas
San Cristóbal, Diciembre 2015
Informe de Evaluación de Controles de TI de la Empresa
Grupo Premier.
Equipo Evaluador:
Coordinador: Humberto Chacón
Analistas: Wilder Calderon
Javier Maldonado
Maiguel García
Introducción:
"Las compañías invierten en tecnología para ser más productivas. Tecnología que no es rentable, es arte", indica Omar de la Hoz Gerente de Informática y Tecnología de Carulla Vivero. Esta frase es contundente para dimensionar la relación directa entre tecnología y productividad. No es una opción, es una exigencia para los directivos en tecnología generar productividad haciendo el mejor uso de las soluciones tecnológicas, sacándoles el mayor provecho, logrando satisfacer las necesidades de la empresa y generando valor.
Las empresas son hoy informatico-dependientes, por esto cada vez son mayores los retos y las responsabilidades del líder tecnológico. Para lograr las metas el camino a seguir es hacer una buena gobernabilidad del área tecnológica (TI), la cual indica cómo tomar decisiones estratégicas sobre la infraestructura tecnológica e ilustra sobre cómo apoyar los objetivos del negocio de forma correcta y en los tiempos precisos.
Objetivo General:
Hacer una evaluación que permita a la Empresa emprender un plan de trabajo para lograr la estabilización y adecuación de su ambiente de TI, de manera de garantizar al Negocio los servicios necesarios para el cumplimiento de sus metas.
Premisas:
Para la empresa es de vital importancia la seguridad y resguardo de los datos que se generan de su operatividad.
Para la Empresa es de gran importancia el generar un ambiente organizado y alineado con mejores prácticas para el área de TI.
Para la Empresa es importante el recurso Humano existente, y desea su fortalecimiento y capacitación para acometer los retos planteados.
I. Seguridad Física y Continuidad de Negocio
ALCANCE
Gestión de Activos.
Relaciones con los Proveedores.
Gestión de la Continuidad del Negocio. Seguridad Física y Ambiental.
En la evaluación desarrollada se evaluó el ambiente de producción del aplicativo Power Street Solutions; A continuación se destaca la documentación que soporta lo establecido en cada objetivo de Control, las debilidades encontradas, el riesgo que trae dicha debilidad y la recomendación propuesta por parte del grupo evaluador.
Gestión de Activos.
1. Inventario de Equipos:
Se le solicitud al departamento de tecnologia el inventario de los Activos de los diferentes equipos tecnológicos (información entregada con fecha de diciembre 2015), la misma fue recibida y analizada, dando los siguientes resultados:
Hallazgo | Implicaciones / Riesgos | Recomendaciones |
Se pudo evidenciar en el inventario suministrado por el personal de tecnología, la falta del serial del activo fijo en varios equipos, por ejemplo: 54 equipos entre los cuales se mencionan: (Monitor, CPU, Mouse, Fotocopiadora, Regulador de Voltaje, Laptop, UPS). | Posibilidad de pérdidas de equipos por una débil gestión de los inventarios. | Se recomienda al personal de tecnologia incorporar el serial del activo fijo a los equipos que le hacen falta en el inventrario, y asi poder tener un mejor control de cada uno de ellos. |
NOTA; considero que nos deben apoyar mejor con la recomendación, con más información al respecto de teoría de inventario de equipos de tecnología, normas o nomenclaturas a ser usado, con la finalidad de estandarizar este inventario de equipos, e ir apuntado al deber ser (ejemplo; es remendado usar código de barras o no, necesario utilizar un sistema para no llevar esto en físico), dudas que surgen del anterior punto.
Hallazgo | Implicaciones / Riesgos | Recomendaciones |
No se evidenció inventario de equipos de comunicación: (Switch, Router, Modem). | Posibilidad de pérdidas de equipos por una débil gestión de los inventarios, lo cual generaría un impacto económico negativo para la empresa. | Se recomienda al área de tecnología incorporar en el inventario general todos los equipos de comunicación, para asi poder tener un mejor control de todos los activos tecnológicos que posee la empresa, lo que significaria en un momento dado contar con ese equipo para la resolucion de un problema diagnosticado. |
NOTA; tengo las mismas apreciaciones del anterior comentario, además que se debería explicar cómo se debería ser asumidas las responsabilidades de estos equipos al resguardo de del Depto. Soporte – IT y sobre qué riesgo la empresa y su personal debería también asumir el riesgo. Ejemplo (Lo que sucedió con el servidor, por una gotera fallo el equipo, políticas que se debe tener por escrito de quien asume la responsabilidad de tal falla).
2. Propiedad de los activos:
Se pudo evidenciar en el inventario la asignación del responsable del activo tanto personal, como también el departamento donde se encuentra ubicado.
3. Uso aceptable de los activos:
Hallazgo | Implicaciones / Riesgos | Recomendaciones |
Se pudo constatar con el personal de tecnología la existencia de una carta de compromiso para los equipos móviles (PDA), pero no se evidenció la documentación de una política de seguridad donde establezca el uso adecuado de todos los activos tecnológicos (CPU, Mouse, Lapto, UPS, Teclado). | Posibilidad de una gestión no adecuada para el uso de los equipos, la misma podría originar daños y deterioro, lo cual podría generar pérdidas económicas para la empresa. | Se recomienda al departamento de tecnología realizar la creación de una política de seguridad para el uso aceptable de los diferentes activos tecnológicos que utiliza el personal operativo de la empresa. Por ejemplo se recomienda la siguientes politicas: 1). “Los empleados y los usuarios externos que utilizan o tienen acceso a los activos de la organización deberían ser conscientes de la importancia de los mismos para la organización, y de su cuidado y buen resguardo. 2). Deberían responsabilizarse del uso de los recursos de procesamiento de la información y de su adecuado uso”. |
...