INFORME SOBRE LA REVISIÓN DEL ÁREA DE TECNOLOGÍA DE LA INFORMACIÓN
Enviado por Andy_marty • 30 de Mayo de 2019 • Ensayo • 4.829 Palabras (20 Páginas) • 140 Visitas
INFORME SOBRE LA REVISIÓN DEL ÁREA DE TECNOLOGÍA DE LA INFORMACIÓN
RECOMENDACIONES TENDIENTES A MEJORAR EL CONTROL INTERNO DEL ÁREA DE TI
ABARCA LOS CONTROLES DE:
- ESTRUCTURA DE TI Y GERENCIAMIENTO
- SISTEMA INFORMÁTICO DE GESTIÓN – ERP
- SEGURIDAD LÓGICA
- SEGURIDAD FÍSICA E INFRAESTRUCTURA
- DOCUMENTACIÓNES DE TI
RELEVAMIENTO PRELIMINAR
PROGRAMA DE AUDITORÍA DE EVALUACIÓN DE TI | |||
ENTIDAD: | X | Ref. P.T.: | T.I. |
PERIODO: | X años |
Breve descripción de la empresa auditada:
Ñanduti S.R.L es una empresa de transporte dedicado a brindar servicios y a satisfacer
a sus pasajeros, a través de la eficiencia, compromiso y responsabilidad de sus R.R.H.H.
NIVEL DE TI:
- Gerencial
- Departamento[pic 2]
- Jefatura
- Coordinación
- Otro
EL ÁREA DE TI DEPENDE DE:
- Presidencia
- Gerencial General[pic 3]
- Gerencia Administrativa
- Gerencia de Contabilidad
- Otro
ORGANIZACIÓN DE LA ESTRUCTURA DE TI
CARGO | NOMBRE |
Gerente/Jefe/Encargado de TI | |
Administración de base de datos | |
Administración de sistemas | |
Administración redes e infraestructura | |
Administración de la seguridad | |
Soporte técnico |
ESTRUCTURA DEL DATACENTER
SERVIDORES DISPONIBLES:
- Aplicativo
- Base de datos[pic 4]
- Dominio
- Archivos[pic 5]
- Internet (IP Pública, Hosting)[pic 6]
- Correo [pic 7]
- Firewall (Protección de acceso)
- Otros
TIPO DE SISTEMA OPERATIVO:
- Propietario – Windows[pic 8]
- Libre – Linux
- Otro
SISTEMA DE INFORMACIÓN
- Desarrollado internamente
- Tercerizado con licencia[pic 9]
- Disponibilidad de los fuentes
DESCRIPCIÓN DEL SISTEMA DE INFORMACIÓN
Sistema | Contable Millennium Gold |
Plataforma de base de datos | Sql Server Express |
Lenguaje de programación | Visual FoxPro |
Módulos |
|
Integración | No está integrado al sistema de ventas y caja |
Generación de asientos contables | Automáticos |
Mecanismo de cierre contable | Anual |
RELEVAMIENTO DE PROCEDIMIENTOS
PROGRAMA DE AUDITORÍA DE EVALUACIÓN DE TI | |||
ENTIDAD: | Ref. P.T.: | T.I. | |
PERIODO: |
I - ESTRUCTURA DE TI Y GERENCIAMIENTO | |||
| |||
Ref. | INDICADORES DE EVALUACIÓN | RELEVAMIENTO SITUACIÓN OBSERVADA | NCI Si/No |
Existe una estructura de TI, se dispone un encargado interno para las tareas del área? | Cuenta con dos personales y un Jefe de Departamento de TI | SI | |
La ubicación estructural de los servicios de TI tiene su dependencia gerencial? | Depende directamente del Gerente General. | NO | |
Existe un Comité de tecnologías de la información? | No existe un comité de tecnología de la información. | NO | |
Existe un organigrama de TI – disponible y actualizado? | No se dispone de ningún organigrama de TI en la organización. | NO | |
Se definió apropiadamente la separación de funciones - personal clave de tecnología de información? | SI | ||
Se dispone un administrador de seguridad de TI, y su dependencia estructural es adecuada? | No existe un Administrador de Seguridad de TI | NO | |
Se dispone un administrador de Base de Datos, responsable del mantenimiento y su seguridad? | SI | ||
Existen controles de auditoría a nivel informático e implementación de la auditoría interna de informática? | No existen controles de auditoría anivel informático e implementación de la auditoría interna de informática. | NO | |
Se realiza evaluación del personal de TI? | . | SI | |
Existe alta rotación de personales técnicos de TI? | SI | ||
Se dispone un plan general de capacitación y entrenamiento del personal de TI? | SI | ||
Se dispone de documentaciones utilizadas por el departamento de RR.HH., para procedimientos de seguridad y comunicaciones de cambios y rotaciones de personales, entre otros? | SI | ||
II - SISTEMAS INFORMÁTICO DE GESTIÓN – ERP | |||
| |||
Ref. | INDICADORES DE EVALUACIÓN | RELEVAMIENTO SITUACIÓN OBSERVADA | NCI Si/No |
Existe integración total de los sistemas? | No existe integración entre los sistemas. | NO | |
Se ha observado una alta obsolescencia del sistema informático de gestión y fragilidad y de la base de datos? | La Base de Datos del Sistema de Gestión está actualizada. | NO | |
Se realizan las pruebas del sistema en forma paralela antes del traspaso a producción? | SI | ||
Se ha implementado un plan de control de calidad de sistemas? | No se ha implementado un plan de control de calidad de sistemas. | NO | |
Se dispone los programas fuentes del sistema de gestión? | No se dispone de los programas fuentes del sistema de gestión. | NO | |
III – SEGURIDAD LÓGICA | |||
Evaluar si los sistemas de información cumplen con los siguientes objetivos principales:
| |||
Ref. | INDICADORES DE EVALUACIÓN | RELEVAMIENTO SITUACIÓN OBSERVADA | NCI Si/No |
| Se tiene acceso remoto a recursos de TI?, con que herramienta? | NO | |
| Se ha programado la expiración de contraseñas de usuarios del sistema de gestión? | No se ha programado la expiración de contraseñas de usuarios del sistema de gestión | NO |
| Se ha programado la expiración de contraseñas de usuarios de la red de área local? | No se ha programado la expiración de contraseñas de usuarios de la red. | NO |
| Se tiene un control del vencimiento de licencias de software propietario? | SI | |
Se ha programado la desconexión del sistema por intentos fallidos con claves erróneas – desactivación del código de usuario del sistema de gestión? | SI | ||
| Se ha programado la desconexión del sistema por intentos fallidos con claves erróneas – desactivación del código de usuario de la red de área local? | SI | |
| Se ha programado el bloqueo por intento con claves erróneas en la red y sistemas? | SI | |
| Se restringe el acceso a otras unidades de disco desde una terminal - carpetas y discos compartidos? | SI | |
| Se ha bloqueado o restringido el acceso a puertos USB? | No se ha bloqueado o restringido el acceso a puertos USB | NO |
| Se ha programado las restricciones de accesos por horario en la red LAN? | No se ha programado las restricciones de accesos por horario en la red LAN | NO |
| Se permite el cambio a datos operativos a través del sistema gestor de base de datos? | Solamente el Administrador de Base de Datos puede realizar los cambios. | NO |
| Se tiene programado el diseño y control de pistas de auditoría interna a través del sistema de gestión? | No existe un sistema de control | NO |
| Se tiene aplicado usuarios únicos no genéricos? | En el Departamento de Contabilidad, los personales se conectan con el mismo usuario y misma contraseña. | NO |
| Se tiene resguardado en sobre lacrado las contraseñas administradores y están en conocimiento de la alta gerencia? | SI | |
| Se tiene aplicado los usuarios de Windows en forma limitada? | El sistema permite crear más usuarios de Windows sin limitaciones | NO |
| Se tiene instalado el servidor de archivos centralizado? | SI | |
| Se tiene resguardado externamente los backups? | No tienen resguardo externo | NO |
| Dispositivo de respaldo externo de datos (backup) | Cuentan con un disco externo de datos. | SI |
| Se tiene registro de planilla de control de copias de respaldos? | No existen registros de planillas de control de copias de respaldo. | NO |
| Se ha hecho las prueba de recuperación de la información – backup? | No se han realizado pruebas de recuperación de datos. | NO |
| Se aplica contraseñas para el acceso a la red de área local? | SI | |
| Se aplican correctamente los perfiles de usuarios en el Sistema de Gestión? | SI | |
IV – SEGURIDAD FÍSICA E INFRAESTURCTURA | |||
| |||
Ref. | INDICADORES DE EVALUACIÓN | RELEVAMIENTO SITUACIÓN OBSERVADA | NCI Si/No |
Se tiene seguridad del espacio físico destinado al área de TI y se tiene seguridad de los servidores? | El espacio físico destinado al área de TI es apropiado pero las condiciones en que se encuentra el servidor no es seguro. | NO | |
Existe restricción de acceso a la sala de servidores? | SI | ||
Se dispone sistema de puesta a tierra? | No disponen de sistema de puesta a tierra. | NO | |
Se dispone de suministros de energía eléctrica, generador de electricidad? | SI | ||
Existen observaciones de las instalaciones de los switch de conectividad de redes – troncales? | NO | ||
Se tiene el mapeado de red? | SI | ||
Se dispone de servidor espejado – sitio alternativo (alta disponibilidad)? | NO | ||
Existe obsolescencia del parque de hardware y del sistema operativo? | Todos los equipos se encuentran en buen estado. | NO | |
Se tiene etiquetado la red LAN – red de área local? | SI | ||
Se realiza el monitoreo de control de tráfico de red? | SI | ||
V – DOCUMENTACIONES DE TI | |||
| |||
Ref. | INDICADORES DE EVALUACIÓN | RELEVAMIENTO SITUACIÓN OBSERVADA | NCI Si/No |
Se dispone el plan estratégico del área de informática? | SI | ||
Se dispone de presupuestos asignados al área de TI? | SI | ||
Se dispone los Manuales de funciones y procedimientos del departamento de TI? – Normal | SI | ||
Se dispone los Manuales de usuarios del sistema en forma actualizada en formato interactivo? | SI | ||
Se tiene un plan maestro de proyecto de desarrollo de sistemas? | No cuentan con un plan maestro de proyecto de desarrollo de sistemas | NO | |
Se tiene el manual de documentación del sistema - definición de la arquitectura de información (diagrama de flujo de datos - AOO - UML)? | SI | ||
Se tiene el manual de documentación del sistema - definición de la arquitectura de información (diagrama sociedad relación)? | SI | ||
Se ha definido claramente la propiedad y custodia de datos del sistema? | SI | ||
Se ha hecho una encuesta de satisfacción del cliente – usuario final? | SI | ||
Se aplican documentaciones formales para la alta, baja y modificación de usuarios del sistema de gestión y de la red? | SI | ||
Se dispone las Políticas de seguridad de sistemas de información? | No cuentan con Políticas de seguridad | NO | |
Se dispone la documentación de determinación de confidencialidad de usuarios? | SI | ||
Se dispone los planes de continuidad de las actividades de TI (plan de contingencia)? | SI | ||
Hay evidencia de las pruebas del plan de contingencias? | SI | ||
Se ha aprobado por la alta gerencia el plan de contingencias? | SI | ||
Se ha aprobado por la alta gerencia las PSSI? | SI | ||
Se tiene un cronograma de mantenimiento de hardware? | SI | ||
Se tiene un contrato de mantenimiento de hardware y de trabajos especiales? | SI | ||
Se tiene un contrato de mantenimiento de software? | SI | ||
Se tiene un inventario de hardware y software actualizado? | SI | ||
Se tiene contrato de seguro contra siniestros para equipos de TI? | SI |
...