INFORME DE AUDITORIA

TATIANA MARCELA GALLEGO AIDA MILENA ROJAS SEPULVEDA

AUDITORIA DE SISTEMAS II CARLOS HERNN GMEZ

ADMINISTRACIN DE SISTEMAS INFORMTICOS UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES MAYO 2010

PLAN DE AUDITORIA La auditoria estar enfocada a los siguientes procesos: AI2 Adquirir y mantener software aplicativo PO10 Administrar proyectos AI5 Adquirir recursos de TI DS12 Administrar el ambiente fsico ME4 Proporcionar gobierno de TI Despus de evaluar los resultados obtenidos se socializarn con el grupo auditado, para despus enviar el documento depurado a la parte contratante. Para realizar la auditoria se utilizaron herramientas como encuestas y cuestionarios, que fueron resueltos por Sebastin Soche Lpez y Andrs Felipe Marn Pinto. La auditora busca que se cumpla con los siguientes objetivos de control: AI2 Adquirir y mantener software aplicativo AI2.1 Diseo de Alto Nivel. AI2.2 Diseo Detallado. AI2.3 Control y Posibilidad de Auditar las Aplicaciones. AI2.4 Seguridad y Disponibilidad de las Aplicaciones. AI2.5 Configuracin e Implantacin de Software Aplicativo Adquirido. AI2.6 Actualizaciones Importantes en Sistemas Existentes. AI2.7 Desarrollo de Software Aplicativo. AI2.8 Aseguramiento de la Calidad del Software. AI2.9 Administracin de los Requerimientos de Aplicaciones. AI2.10 Mantenimiento de Software Aplicativo.

PO10 Administrar proyectos PO10.1 Marco de Trabajo para la Administracin de Programas.

PO10.2 Marco de Trabajo para la Administracin de Proyectos. PO10.3 Enfoque de Administracin de Proyectos. PO10.4 Compromiso de los Interesados. PO10.5 Declaracin de Alcance del Proyecto. PO10.6 Inicio de las Fases del Proyecto. PO10.7 Plan Integrado del Proyecto. PO10.8 Recursos del Proyecto. PO10.9 Administracin de Riesgos del Proyecto. PO10.10 Plan de Calidad del Proyecto. PO10.11 Control de Cambios del Proyecto. PO10.12 Planeacin del Proyecto y Mtodos de Aseguramiento. PO10.13 Medicin del Desempeo, Reporte y monitoreo del proyecto

AI5 Adquirir recursos de TI AI5.1 Control de Adquisicin. AI5.2 Administracin de Contratos con Proveedores. AI5.3 Seleccin de Proveedores. AI5.4 Adquisicin de Recursos de TI.

DS12 Entregar y dar soporte DS12.1 Seleccin y diseo del centro de datos DS12.2 Medidas de seguridad fsica DS12.3 Acceso Fsico DS12.4 Proteccin contra factores ambientales DS12.5 Administracin de instalaciones Fsicas

ME4 Proporcionar gobierno de TI

ME4.1 Establecimiento de un Marco de Gobierno de TI. ME4.2 Alineamiento Estratgico. ME4.3 Entrega de Valor. ME4.4 Administracin de Recursos. ME4.5 Administracin de Riesgos. ME4.6 Medicin del Desempeo. ME4.7 Aseguramiento Independiente.

AI2 Adquirir y mantener software aplicativo

HERRAMIENTA Entrevista 1. Se realiz algn procedimiento para comprobar que los aplicativos cumplan con los requerimientos del negocio? No 2. En las compras de aplicaciones se ha verificado que el software cumpla con las legislaciones y regulaciones? Si, antes de adquirir un SW se realiza un estudio en donde unas de las cosas que se determina es que cumpla con las leyes que lo regulan 3. Existe algn procedimiento de gestin de cambios de requerimientos durante el desarrollo y compra de aplicativos? La empresa no desarrolla SW, pero al comprar aplicativos si se realiza la gestin de cambios pertinente 4. Existe algn plan para el mantenimiento de aplicaciones de software? Si se realizan peridicamente 5. Existe un anlisis entre diferentes aplicativos TI, que involucre anlisis de costo inicial, consto en el tiempo, funcionalidades, soportes y consultoras? Si realiza un anlisis previo, cuando se adquiere SW para la empresa

6. Se han identificado claramente las necesidades del negocio y con qu mdulos del aplicativo se solucionan? La solucin informtica utilizada suple las necesidades de la organizacin 7. Existe un plan de gestin de riesgos de seguridad de la aplicacin aprobado por la direccin? No, no contamos con este 8. Existe un plan implementacin y configuracin de las aplicaciones adquiridas No, cuando se compra SW la empresa desarrolladora se encarga de implementarla y configurarla

MODELO DE MADUREZ 2 Repetible pero intuitivo Existe alguna conciencia acerca de las reglamentaciones que se deben tener en cuenta para la adquisicin e implementacin de Software en la empresa, incluso se realizan sesiones de mantenimiento peridicamente y se analizan las necesidades del negocio para adquisiciones de este tipo. OBSERVACIONES Aunque la empresa tiene en cuenta las necesidades del negocio y las normativas al momento de realizar planes de adquisicin de software para dar satisfaccin a dichas necesidades, es necesario que se realice un plan de gestin de riesgos, permitiendo a la direccin comprometerse con las problemticas que se puedan presentar.

PO10 Administrar proyectos

HERRAMIENTA Entrevista. 1. En qu medida la organizacin ha integrado formalmente los proyectos en el trabajo? Los proyectos de TI se ejecutan segn criterios de la empresa, ya sean para optimizar o apoyar los procesos.

2. Tiene la organizacin una poltica escrita sobre Proyectos? No, no existe una poltica estructurada 3. Imparte la organizacin formacin sobre Proyectos? Si, dentro de la gerencia de planta se formulan proyectos despus de un estudio en el rea de investigacin de la empresa 4. Se realizan los proyectos a tiempo y dentro del presupuesto? En ocasiones se realizan exitosamente, algunos no culminan en el tiempo presupuestado 5. Existe una definicin clara y documentada del alcance de cada proyecto? Si, se define de forma escrita cada proyecto con sus objetivos y alcances 6. Estn claramente identificados los riesgos de cada proyecto as como los mecanismos que minimizan estos riesgos? Si, estos estn incluidos dentro del informe inicial de cada proyecto, los cuales son tenidos en cuenta para que el proyecto sea aceptado 7. Existe un plan de Calidad de cada proyecto debidamente aprobado por todas las partes interesadas? El plan de calidad tambin esta incluido en el informe del proyecto, con el objetivo de garantizar el cumplimiento 100% del proyecto 8. Los cambios en cronograma, costos, alcance, calidad del proyecto son debidamente documentados? Si cada cambio que se realice durante la ejecucin del proyecto debe ser informado y documentado previamente

MODELO DE MADUREZ 3 Definido En la empresa se establece una conexin entre los proyectos de TI y los procesos de la misma, en busca de su optimizacin, adems se ha establecido un plan de calidad para asegurar el cumplimiento de los

proyectos establecidos, para los cuales se desarrollan procesos de monitorizacin y de control de cambios.

OBSERVACIONES

En trminos generales la empresa se encuentra bien en el cumplimiento de este objetivo, ya que se tiene muy en cuenta el plan que se debe seguir para el desarrollo de los proyectos de TI, a partir de los estudios realizados en la empresa, aunque no se cuenta con una poltica formal y bien definida para el desarrollo de este tipo de proyectos lo que sera muy importante y debera ser tenido en cuenta por la administracin de la empresa.

AI5 Adquirir recursos de TI

HERRAMIENTA Entrevista 1. Existen polticas para la adquisicin de los recursos de TI en la organizacin?

Si

2. Existen procesos de capacitacin de personal para el manejo de procesos relacionados con la adquisicin de recursos?

Si, contamos con personal capacitado para realizar un anlisis estricto para adquirir TI

3. Qu criterios se tienen en cuenta al momento de adquirir recursos y como se asegura que estos representen un beneficio para la Organizacin?

Se realiza un anlisis de costo beneficio para saber que viabilidad tiene para implementarla en la organizacin.

4. Existe alguna funcin especfica que controle la entrada ilegal de recursos de TI, es decir que vaya en contra de las polticas establecidas por la Organizacin para ello?

Si, todo recurso de TI que entra a la organizacin debe estar acorde a las polticas que define el PETI

5. Qu tipo de documentacin se realiza para registrar formalmente la adquisicin de recursos tecnolgicos y toda la informacin relacionada?

6. Qu procedimientos y controles de seguridad existen para la evaluacin, seleccin y adquisicin de software?

7. Qu tipo de aprobaciones (o de quien) se tienen en cuenta para adquirir recursos tecnolgicos?

Va desde el gerente de tecnologas y el financiero, pero quien determina la ltima palabra es el gerente general

MODELO DE MADUREZ 4 Administrado y medible En la empresa se establecen las polticas y procedimientos necesarios para la adquisicin de recursos de TI, dentro de los cuales se incluyen las capacitaciones pertinentes, que permiten que estos sean utilizados adecuadamente.

OBSERVACIONES

El proceso de adquisicin de recursos de TI est bien definido en la empresa y por tanto en el plan de accin, garantizando la seguridad y justicia para la organizacin y dems entidades

DS12 Entregar y dar soporte

HERRAMIENTA Cuestionario 1. Se definieron y disearon centros de datos para el equipo de TI y se tuvieron en cuenta las normas de seguridad fsica y las leyes de seguridad y de salud en el trabajo?

SI_X_ NO____ N/A____ OBSERVACIONES: ____________________________________

2. Se definieron e implementaron medidas de seguridad fsica alineadas con los requerimientos del negocio? Permetro de seguridad Zonas de seguridad Ubicacin de equipo crtico reas de envo y recepcin Responsabilidades del monitoreo Procedimientos de reporte y de resolucin de incidentes

SI__X___ NO____ N/A____ OBSERVACIONES: __________________________________________________

3. Se disearon e implementaron medidas de proteccin contra factores ambientales y equipo especializado para monitorear y controlar el ambiente?

SI__X___ NO____ N/A____ OBSERVACIONES: __________________________________________________

4. Se administran las instalaciones y equipo de comunicaciones y energa, de acuerdo con los reglamentos, requerimientos tcnicos y lineamientos de seguridad y salud?

SI__X___ NO____ N/A____ OBSERVACIONES: __________________________________________________

5. Se definieron e implementaron procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y reas de acuerdo con las necesidades del negocio?

SI__X___ NO____ N/A____ OBSERVACIONES: _____existen buenas polticas de seguridad_______________

6. Se ha minimizado el tiempo que se encuentra sin servicio el negocio debido a incidentes ambientales?

SI_____ NO____ N/A__X_ OBSERVACIONES: __no se ha realizado un estudio del caso______________________

7. Se han minimizado los riesgos de seguridad debido a incidentes de seguridad fsica o fallos, violaciones a la seguridad y acceso no autorizado? SI_____ NO____ N/A__X__ OBSERVACIONES: ___no se ha realizado un estudio del caso_____________

8. Se elaboran bitcoras de mantenimiento de alarmas y pruebas de simulacro, de intrusin y deteccin en instalaciones y cobertura de los guardias?

SI_____ NO_X__ N/A____ OBSERVACIONES: __________________________________________________

MODELO DE MADUREZ 3 Definido La empresa entiende la necesidad de mantener un ambiente de cmputo controlado, realizando mantenimientos preventivos y controlando las amenazas ambientales. Se cumplen los reglamentos de seguridad OBSERVACIONES La empresa cuenta con un buen nivel de seguridad, sin embargo se deben implementar planes de contingencia para garantizar la continuidad del negocio en caso de que la prestacin de servicios se vea interrumpida por incidentes de seguridad fsica, violaciones de seguridad o accesos no autorizados.

ME4 Proporcionar gobierno de TI

HERRAMIENTA Entrevista: 1. Cules son los objetivos de TI y como ayudan a cumplir con los objetivos del negocio?

Servir de apoyo para todas las reas de la organizacin Mejorar la calidad de los recursos humanos en el rea de sistemas Obtener resultados medibles de las tecnologas incorporadas. 2. Cmo se rinden cuentas ante la direccin, de las gestiones realizadas en TI? Se tiene documentacin de cada una de las fases gestionadas en los proyectos 3. La direccin consulta con el departamento de Tecnologa acerca decisiones estratgicas que se toman en el negocio? Si 4. Qu actitud tiene la gerencia en cuanto a la inversin en tecnologa? La gerencia est abierta a todas las propuestas de tipo tecnolgico realizadas por parte del rea de sistemas, estas propuestas se evalan y se mide la factibilidad de que se conviertan en proyectos a desarrollar. 5. Cmo garantiza el cumplimiento de las regulaciones legales relevantes y las polticas de la organizacin? Existen polticas de seguridad que garantizan la legalidad y el manejo interno de las TI en la organizacin.

Cuestionario. 1. Existe un PETI aprobado por la direccin el negocio? SI 2. En el PETI se tiene en la cuenta las leyes y regulaciones? SI 3. Se presenta a la direccin, peridicamente informes de metas y objetivos alcanzados? NO, se realiza peridicamente 4. Se ha definido un procedimiento de rendicin de cuentas ante la direccin? No 5. Existen actas de comits de gerencia o similares a los cuales asista el departamento de TI?

No se tiene conocimiento de ello 6. Existen estudios de impacto en los cuales se identifique el efecto de los planes de TI sobre la operacin del negocio? Si, en el PETI, se estiman los beneficios que aporta el rea de sistemas a cada una de las dems reas de la empresa. 7. La evaluacin del riesgo TI est integrada a la evaluacin del riesgo de toda la empresa? Si, cuando se realiza cualquier actividad en el rea de sistemas se tiene en cuenta el efecto que esta ocasiona al negocio. 8. Existen evaluaciones del proceso de TI por parte de otras unidades funcionales de la empresa? Si . 9. Existe un procedimiento que garantice un ambiente de desarrollo y pruebas que soporte la efectividad y eficiencia de las mismas? Si, existen equipos de trabajo bien definidos con labores especficas dentro del rea de sistemas 10.Existe algn documento que defina claramente las caractersticas mnimas de los recursos de la organizacin para garantizar el correcto funcionamiento del las soluciones TI? Si, en el PETI existe una regulacin de especificaciones de HW que soporte el SW utilizado y en las polticas de seguridad del rea de sistemas se mencionan regulaciones para los ambientes de trabajo (infraestructura fsica) y especificaciones de SW, HW y redes, para garantizar la efectividad de los ambientes TI. MODELO DE MADUREZ 4 Administrado y medible La empresa tiene un claro entendimiento acerca de quien es el cliente y se definen los acuerdos de niveles de servicio. Las responsabilidades son claras y la propiedad de procesos esta establecida. Los procesos de TI y el gobierno de TI estn alineados con la estrategia corporativa de TI. El gobierno de TI ha sido integrado con los procesos de planeacin estratgica y operativa, as como a los procesos de monitoreo.

OBSERVACIONES El rea de sistemas de la organizacin trabaja de forma articulada con la direccin en busca de los objetivos de negocio de forma que se garantizan las buenas prcticas en el desarrollo de sus actividades.