AUDITORÍA DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN

Enviado por Steve Ch • 27 de Noviembre de 2017 • Informe • 999 Palabras (4 Páginas) • 95 Visitas

Página 1 de 4

Informe De Auditoria

Integrantes

Steve Chiluisa
Milton Navarro
Cristian Morales

Nivel: 8

Carrera

Ingeniería Informática

Curso

Grupo

Fecha de presentación del informe

10/11/2017

DATOS EMPRESARIALES

Empresa: Almacenes El Triunfo

Giro del Negocio: Empresa nacional de venta al por menor de artículos para el hogar

Iniciativas:

Propagarse en el Oriente del país
Crear bienes con su marca
Mejorar Infraestructura (Edificios y Tecnología

OBJETIVOS

Revisar y Evaluar con el fin de optimizar:

Los controles, sistemas, procedimientos informáticos.
La Utilización, eficiencia y seguridad de los equipos de cómputo,
La organización en el procesamiento de la información

ALCANCE

El estudio realizado está enfocado al área de Tecnología de Información de la empresa Almacenes el Triunfo de acuerdo a la organización, infraestructura, sistemas y servicios establecidos en la actualidad

METODOLOGÍA

Identificación de Riesgos mediante la matriz y un cuestionario
Identificación de controles clave mediante la matriz y un cuestionario
Evaluación de riesgos y controles mediante cuestionario
Establecer el impacto y la probabilidad

RIESGOS Y CONTROLES

SISTEMAS

RIESGOS Gestión de Cambios/Desarrollo de Aplicaciones	CONTROLES Gestión de Cambios/Desarrollo de Aplicaciones
Procesos ineficaces del control de cambio	Política de gestión de cambios en desarrollos internos y externos
Cambios no autorizados en ambiente de producción	Plan de segregación de funciones Aprobación de cambios
Pruebas insuficientes antes de la implementación	Plan de pruebas de software Documentar las pruebas
Falta de realización de una revisión posterior a la validación	Plan de revisión de cambios Aprobación de cambios Validación de cambios

INFRAESTRUCTURA

RIESGOS Arquitectura	CONTROLES Arquitectura
La arquitectura no está alineada con la estrategia corporativa	Contratar una consultoría externa para organizar la arquitectura de la organización
Incapacidad para implementar una tecnología alineada con la estrategia de la organización	Solicitar capacitación para el personal a la empresa que desarrolle la consultoría en el área de arquitectura.
Incapacidad para desarrollar una arquitectura orientada al negocio	Capacitación al Personal en arquitecturas orientadas al negocio.
Los sistemas no cumplen con los requerimientos del negocio	Comprar un software ajustable que permita alinearlo a los requerimientos del negocio.

RIESGOS Administración de Activos	CONTROLES Administración de Activos
Uso de software y hardware no soportado	Política de actualización de software y de hardware de la organización
Administración de inventario de software y hardware	Política de gestión de inventario de equipos de cómputo y de software de la compañía (CM) Registro de adiciones, modificaciones y bajas de equipos de cómputo y software de la compañía Registro y revisión periódica de vida útil de equipos y caducidad o falta de soporte en versiones de software"
Incapacidad para monitorear el desempeño y la disponibilidad de recursos	Plan de monitoreo de equipos Plan de comunicación con proveedores de servicios Programación de alertas en hardware y software ante averías o percances "

GESTION DE TI

RIESGOS Administración de la Continuidad del negocio	CONTROLES Administración de la Continuidad del negocio
Incapacidad para recuperar la información	Plan de gestión de respaldo Procedimientos para el resguardo de información Procedimientos para el uso de la información de respaldo"D1. Plan de continuidad del negocio
Los recursos críticos no están disponibles	Segregación de conocimiento de personal clave de procesos Procedimientos para tener información correctamente clasificada Levantar servicios y/o equipos alternos"
Planeación inapropiada para las alteraciones de infraestructura críticas	Estrategia para que las demás áreas de la organización se involucren en las necesidades tecnológicas de la organización Mejora en la infraestructura de la red de datos de la organización"
Incapacidad para recuperarse de una interrupción del negocio	Comprar un software ajustable que permita alinearlo a los requerimientos del negocio.

RIESGOS Privacidad y Protección dela Información	CONTROLES Privacidad y Protección de la Información
Acceso no autorizado	Políticas de acceso a equipos, servicios e información Segregación de funciones"
Propiedad y clasificación de información poco clara	Gestión de información relevantes de la organización
Falta de integridad de la información	Procedimientos para el tratamiento de la información, Rastreo de accesos no autorizados

RIESGOS Seguridad de la Información	CONTROLES Seguridad de la Información
Controles de acceso ineficientes/ineficaces	Políticas de acceso, Políticas de distribución de información y aprobaciones"
Vulnerabilidad a ataques maliciosos	Monitoreo de la red de datos principal como de los almacenes de la organización Procedimientos para el desarrollo seguro de aplicaciones internas y externas Plan de Ethical hacking en toda la organización
Estrategia antivirus ineficaz	Generar política de versiona miento y uso de software antivirus para toda la organización Actualización periódica del software antivirus de forma centralizada"
Aplicación inoportuna de parches de seguridad	Plan de implementación de parches de seguridad Asignar personal en dedicación exclusiva a la Seguridad Informática
Falta de seguridad física/lógica	Políticas de uso instalación, actualización de las aplicaciones / de equipos de cómputo. Bitácora de accesos a los equipos principales de la organización Controles perimetrales de la red de datos principal como el de cada uno de los almacenes Políticas de uso y parametrización de contraseñas en todos los equipos de computo

SERVICIOS

RIESGOS Administración de base de conocimientos, soporte y Mesa de ayuda	CONTROLES Administración de base de conocimientos, soporte y Mesa de ayuda
Detección y escalación inoportuna de problemas	Crear, actualizar y utilizar una base de conocimientos ante problemas Asignar personal en dedicación exclusiva a mesa de ayuda 3. Establecer niveles de mesa de ayuda
Acciones inadecuadas e inoportunas posteriores para resolver problemas	Registrar el problema en la base de conocimientos Dar seguimiento y verificar la solución
Incapacidad para resolver problemas	Realizar capacitación a personal de la empresa para que resuelvan los problemas de forma ágil y rápida

CONCLUSIONES

Multiplicidad de sistemas para cada procesos
No Existe segregación de funciones
Administración inadecuada recursos informáticos
Contratos de servicios sin clausulas claras
Falta coordinación con otros departamentos
Falta políticas administrativas y de operación de TI para desarrollo, soporte, servicio y escalabilidad

RECOMENDACIONES

Estructurar el Departamento de Ti dividiendo la Gestión de TI de las Operaciones
Actualizar la infraestructura tecnológica
Crear área de Seguridad Informática
Creación de un servicio de mesa de ayuda
Crear un sistema para gestión de inventario

...

Descargar como (para miembros actualizados) txt (8 Kb) pdf (164 Kb) docx (53 Kb)

Leer 3 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

prev next

Denunciar este ensayo

Ensayos relacionados

Auditor Se Declara Culpable De Fraude
NUEVA YORK | El contable David Friehling, auditor externo del financiero Bernard Madoff durante 17 años, se declaró hoy culpable de los nueve cargos que

3 Páginas • 1567 Visualizaciones
Auditores YOVENDO S.A.
Información de fondo: YOVENDO S.A. tiene domicilio legal en la Capital Federal. Se dedica a la importación, ensamble y venta de juegos de video. Su

3 Páginas • 1050 Visualizaciones
L as estrías son el resultado del rompimiento de las fibras elásticas de la piel
Entendiendo las estrías L as estrías son el resultado del rompimiento de las fibras elásticas de la piel. Cuando la piel se estira las fibras

3 Páginas • 1690 Visualizaciones
LA RESPONSABILIDAD DEL AUDITOR
“INTRODUCCION” La norma que a continuación se presentan nos hace referencia a la responsabilidad del auditor para la detección de información significativamente errónea que resulte

27 Páginas • 2235 Visualizaciones
El auditor deberá usar juicio profesional para evaluar el riesgo de auditoría
400. EVALUACIÓN DE RIESGO Y CONTROL INTERNO Introducción El propósito de esta Norma Internacional de Auditoría es establecer normas y proporcionar lineamientos para obtener una

9 Páginas • 2079 Visualizaciones
INSTITUTO DE AUDITORES INTERNOS DE E.U.A
INSTITUTO DE AUDITORES INTERNOS DE E.U.A (I.I.A) INSTITUTO MEXICANO DE AUDITORES INTERNOS (I.M.AI.) THE INSTITUTE OF INTERNAL AUDITOS (IIA) Antecedentes históricos Iniciaba el año de

5 Páginas • 1119 Visualizaciones
Contador Publico Y Auditor
PLAN ESTRATÉGICO DE DESARROLLO Universidad de la Serena El presente documento contiene el Plan Estratégico de Desarrollo (PED) de la Universidad de La Serena (ULS)

4 Páginas • 1133 Visualizaciones
As The Old Saying Goes: "save Money For A Rainy Day"
As the old saying goes: “save money for a rainy day” The economic cycle theory, that attempts to explain and somehow forecast the long terms

2 Páginas • 1735 Visualizaciones
La Información sobre el predominio de AS es limitada, pero el desorden es más común en muchachos que en muchachas
Niños Asperger 4434332 La Información sobre el predominio de AS es limitada, pero el desorden es más común en muchachos que en muchachas (APA, 1994).

7 Páginas • 1768 Visualizaciones
Resolver Proble,As Que ImpliQuen El Analisis DEl Valor Posicional A Aprtir De La Descomposicion De Numeros Ensayos Y Documentos
Situacion Didactica CAMPO FORMATIVO: EXPLORACION Y CONOCIMIENTO DEL MUNDO ASPECTO: EL MUNDO NATURAL COMPETENCIA: OBESERVA SERES VIVOS Y ELEMENTOS DE LA NATURALEZA Y LO QUE

2 Páginas • 2108 Visualizaciones