Informe Auditoria Escalafon_final

Universidad Nacional Autónoma de

Honduras

Departamento de Informática Administrativa

Asignatura: Auditoria Informática

Informe Auditoria

Catedrática: Lic. Claudia Núñez

Equipo “ESCALAFON”

Nombre Cuenta No Lista

Wilson Josué López 20031009787 07

Ricardo Andino Osorio 20041002879 08

Orlin Antonio Turcios 20051005622 16

Sandra Gerardina Sánchez 20081005714 30

Evelin Rocio Canaca 20081011714 33

Sergia Georgina Torres 20091000566 34

Sección: 1700

Tegucigalpa M.D.C 18 de Noviembre del 2012 Ciudad Universitaria

Informe Auditoria ESCALAFON

Página 2

INDICE

Contenido

Propósito de la Auditoria..................................................................................................................... 3

Resumen Ejecutivo .............................................................................................................................. 4

Objetivo General ................................................................................................................................. 5

Objetivos Específicos .......................................................................................................................... 6

Detalle de hallazgos y situaciones de riesgo ....................................................................................... 7

Departamento: Dirección Unidad de Infotecnologia (UIT) ............................................................ 7

Hallazgo ...................................................................................................................................... 7

Recomendaciones ........................................................................................................................ 8

Departamento: Administración ..................................................................................................... 10

Hallazgo .................................................................................................................................... 10

Recomendaciones ...................................................................................................................... 11

Departamento: Coordinación de soporte técnico. ......................................................................... 12

Hallazgos ................................................................................................................................... 12

Recomendaciones: ..................................................................................................................... 13

Departamento: Coordinación Ingeniería y desarrollo ................................................................... 15

Hallazgo: ................................................................................................................................... 15

Recomendación: ........................................................................................................................ 16

Departamento: Coordinación Métodos y procedimientos ............................................................. 17

Hallazgo: ................................................................................................................................... 17

Recomendaciones: ..................................................................................................................... 18

Análisis estadístico de la situación de riesgo del centro IT ............................................................... 20

Diagrama de Pareto ....................................................................................................................... 21

Calendario para Sanear inconformidades. ......................................................................................... 22

Conclusiones ..................................................................................................................................... 24

Anexos............................................................................................................................................... 26


Página 3

Propósito de la Auditoria

Iidentificar, ordenar y comunicar en forma oportuna la información necesaria para que los

empleados puedan cumplir con sus obligaciones.

Identificar, ordenar y comunicar en forma oportuna la información necesaria para que los

empleados puedan cumplir con sus obligaciones y además evaluar los sistemas de

información en general desde sus entradas, procedimientos, controles, archivos, seguridad y

obtención de información.

Asegurando que las políticas y procedimientos ayuden en la toma de medidas para limitar

los riesgos que puedan afectar que se alcancen los objetivos de la Unidad de Infotecnología

y de la Organización.


Página 4

Resumen Ejecutivo

El objeto del examen comprende la revisión y el análisis del funcionamiento de los

controles y de los procedimientos, como se desarrollan para la ejecución y confiabilidad de

cada uno de los procesos.

La información presentada puede ser operativa o administrativa, de origen interno o

externo, de control o de procesamiento. Puede estar dirigida al: personal de Dirección de

Unidad de Infotecnologia o al personal administrativo. Además puede incluir información

valiosa a las coordinaciones y el personal de las áreas de: Ingeniería y desarrollo, métodos y

procedimientos o de soporte técnico.

Deben existir adecuados canales de comunicación para que el personal sea informado de la

importancia de la auditoria, de los hallazgos en la misma y de las medidas de mejoramiento

recomendadas a la empresa.

Los controles son necesarios para que los sistemas sean confiables y con un buen nivel de

seguridad. Además debe evaluar todo: informática, organización de centros de información,

hardware y software.


Página 5

Objetivo General

Revisar y evaluar los controles, sistemas, procedimientos de informática; de los

equipos de cómputo, su utilización, eficiencia y seguridad de la organización que

participan en el procesamiento de la información, a fin de que por medio del

señalamiento, las recomendaciones y sugerencias alternativas se logre una

utilización más eficiente y segura de la información.

La Auditoría Informática deberá comprender no sólo la evaluación de los equipos

de cómputo, de un sistema o procedimiento específico, sino que además habrá de

evaluar los sistemas de información en general desde sus entradas, procedimientos,

controles, archivos, seguridad y obtención de información.


Página 6

Objetivos Específicos

Comprobar la estructura de la organización general y el de la unidad de

Infotecnología.

Verificar el desempeñando las funciones en el área de administración.

comprobar la existencia de estándares y procedimiento para el diseño y desarrollo

de aplicaciones.

Corroborar el nivel de seguridad en las operaciones (Accesos al sistema, seguridad

de equipo, y acceso a internet) realizadas en el departamento de Infotecnología.

Verificar la protección de los programas, aplicaciones, base de datos, datos de

usuarios, contraseñas y demás controles necesarios.

Evaluar como está estructurada la localización, distribución física, y seguridad del

departamento de sistemas.

Verificar la existencia de una biblioteca y de los procedimientos para la custodia y

el manejo de los archivos de datos, programas y documentación técnica.

determinar la capacidad de operación, administración y seguridad de la Base de

Datos.

Evaluar el diseño de los sistemas del área de Informática.

Evaluar los procedimientos de control de operación, analizar su estandarización y

evaluar el cumplimiento de los mismos.

Evaluar la forma como se administran los dispositivos de almacenamiento, los

servidores y la infraestructura de red del área de Infotecnologia.

Evaluar el control que se tiene sobre el mantenimiento y las fallas.


Página 7

Detalle de hallazgos y situaciones de riesgo

Departamento: Dirección Unidad de Infotecnologia (UIT)

Hallazgo

1. Falta de un comité de gestión de seguridad.

2. Respaldar el equipo de cómputo con UPS por cada computadora para garantizar el

suministro de energía eléctrica, para proteger de manera oportuna archivos o

programas que están siendo usados en los nodos de la red.

3. No se presento un documento escrito de la aprobación de las aplicaciones nuevas y

de actualización de los programas creados e instalados en el equipo de cómputo de

escalafón.

4. No se encontraron procedimientos definidos para solicitar y efectuar modificaciones

a los programas.

5. No existen guías, estándares o disposiciones para realizar las pruebas de las nuevas

aplicaciones

6. No cuenta con un comité de informática, aunque si se realizan reuniones empíricas

imprevistas con personal seleccionado.

7. Nunca se ha realizado una auditoria al departamento de Infotecnologia.

8. No existe un plan estratégico de manera general para toda la unidad de

Infotecnologia.

9. Ninguna Capacitación al personal ni la existencia de manuales operativos bien detallados.

además los usuarios presentaron inconformidad en el retraso con que son atendidos sus

requerimientos hechos a la unidad de Infotecnologia.


Página 8

Departamento: Dirección Unidad de Infotecnologia (UIT)

Recomendaciones

1. Instaurar un comité de gestión de la seguridad, con la participación de un miembro

de la gerencia que promuevan la seguridad de la información entre todos los

miembros de la organización.

2. Constituir una guía con los estándares a seguir para la elaboración y desarrollo de

nuevas aplicaciones. Que contenga las siguientes partes:

Análisis de requisitos de los programas.

Especificaciones detallando los programas.

Diseño y arquitectura.

Programación.

Prueba.

Documentación.

Mantenimientos.

Y todos los demás que se consideren necesarios.

3. El jefe de sistemas, los desarrolladores y analistas deberán de crear un documento

escrito de la aprobación, actualización de los programas creados.

4. El jefe de sistemas, los desarrolladores y analistas deberán de solicitar un

documento escrito de las unidades solicitantes de actualizaciones y modificaciones

de los programas.

5. crear guías, estándares o disposiciones para realizar las pruebas de las nuevas

aplicaciones.

6. Crear un comité de informática para facilitar la toma de decisiones, el cual debe

estar integrado por:

El coordinador del área de software.

El secretario general.

El director financiero

El director del departamento de planificación.

Los asesores externos nombrados por la institución.


Página 9


Estos miembros solo participaran en el comité informático únicamente con voz.

7. Establecer periodos de auditorias con entidades externas según sea la necesidad y lo

recomendable (una en el periodo de un año ó una cada seis meses).

8. Instaurar un plan estratégico de la unidad de Infotecnologia, el cual deberá de

contener en el los siguientes aspectos:

Misión

Visión

Objetivos (generales y específicos)

Actividades

Metas.

Los demás que se consideren necesarios.

9. Crear un plan de capacitación que serán impartidas a los usuarios de las diferentes

Aplicaciones y programas, la cual podrá contener entre otras cosas:

Detección de necesidades de capacitación.

Formulación y ejecución de los programas de capacitación.

Evaluación periódica de las actividades de capacitación para conocer el grado

de eficacia, eficiencia y beneficio que se ha alcanzado con las actividades

realizadas.

Siendo también necesaria la creación y actualización de los manuales operativos ya

existentes para la correcta capacitación del personal.

En este apartado también será necesario crear un sistema para atender las

necesidades y requerimientos de los usuarios finales de las aplicaciones, como ser:

correo electrónico, buzón de sugerencias, formularios para recibir las mismas o

cualquier otro sistema que se considere necesario.


Página 10

Departamento: Administración

Hallazgo

1. No existen manuales sobre las funciones que el encargado de la biblioteca debe

cumplir.

2. No hay existencia de un control de los préstamos de archivos y programas que se le

hace al personal.

3. No hay un software especial para el control de préstamos y usos de programas.

4. No se cuentan con procedimientos adecuados para mantener un estricto control en el

acceso de las librerías de programas.

5. Los empleados no firman una póliza de fidelidad al momento de ser contratados.

6. No existe un plan de capacitación adecuado para el personal.

7. No se cuenta con un plan de vacaciones bien definido para el personal.


Página 11

Departamento: Administración

Recomendaciones

1. Crear las funciones que deberá cumplir la persona encargada de la biblioteca para

hacer un mayor uso de la misma.

2. Controlar el uso de préstamos de archivos y programas que se encuentran en la

biblioteca.

3. Desarrollar un software especial para el control de préstamos.

4. Elaborar procedimientos que contengan un estricto control sobre el acceso de las

librerías de programas.

5. Redactar una póliza de fidelidad para ser firmada por los empleados al momento de

ser contratados, la cual deberá de incluir clausulas como ser:

No propagar la información.

utilizar la información únicamente dentro de la empresa.

en caso de ser necesario extraer información fuera de las instalaciones, solo

con la autorización del jefe ó con los procedimientos adecuados.


6. Crear un plan de capacitación adecuado para el personal, basados en el puesto de

trabajo de cada uno, además de las nuevas técnicas y tecnologías usadas.

7. Estandarizan plan de vacaciones a los empleados de contrato y de acuerdo.


Página 12

Departamento: Coordinación de soporte técnico.

Hallazgos

1. No se cuentan con contraseñas de calidad

2. Falta de sistemas de suministros de energía de respaldo para equipo de computo en

los nodos de red.

3. No se cuenta con hardware similar o compatible para ser utilizado en caso de

emergencias.

4. Mediante la red se realizan muchas solicitudes las cuales no todas son atendidas ya

que la reducción de Coello de botellas en la red quedan pendientes.


Página 13

Departamento: Coordinación de soporte técnico.

Recomendaciones:

1. Exigir criterios de seguridad para la creación, modificación y administración de

contraseñas. Como por ejemplo:

No podrá ser asociada con facilidad a cualquier información relacionada con el

usuario de la cuenta.

No estará formada por secuencias de caracteres o palabras fácilmente

predecibles.

Tendrá una longitud mínima de ocho caracteres.

Combinará diferentes tipos de caracteres tipográficos: mayúsculas, minúsculas,

números y caracteres especiales.

Será cambiada de forma inmediata por el Usuario siempre que el sistema sugiera

su cambio.

Las contraseñas se cambiarán periódicamente


Estos criterios deberán de ser usados para la creación de cuentas de ingreso al sistema,

administración de la base de datos, administración de la red, y en todas las áreas en donde

se consideren necesarias.

2. Respaldar el equipo de cómputo con UPS por cada computadora para garantizar el

suministro de energía eléctrica, para proteger de manera oportuna archivos o

programas que están siendo usados en los nodos de la red.

3. Se debe adquirir Hardware (equipo computacional) que sea compatible con el

existente para ser usado de inmediato en caso de emergencia, respaldando los

Servidores y bases de datos en un lugar diferente. La infraestructura de red debe

mantener equipo adicional para cuando estos presenten fallas.

4. Implementar el nuevo Protocolo UMP (Universal Multi Protocol), permite un

máximo rendimiento en la transferencia de datos digitales a través de red,

minimizando los costes de envío.


Página 14

Actualmente el protocolo de transporte más empleado en la transferencia de datos a

través de Internet es el TCP (Transmission Control Protocol). Éste es utilizado

como capa de transporte de la mayoría del resto de protocolos de transmisión de

ficheros a través de Internet, como el FTP, HTTP, CIFS y NIFS. Sin embargo, tanto

el TCP como los protocolos que lo utilizan, generan cuellos de botella inherentes

que hacen disminuir el rendimiento de las transferencias, especialmente en redes

con alta latencia, redes con un elevado ratio de pérdida de paquetes y en la mayoría

de las redes de alta velocidad.

Para garantizar la fiabilidad de los datos, UMP está diseñado para enviar señales

críticas de control por TCP. Para garantizar un rendimiento de transferencia óptimo,

UMP nunca dejará de transmitir datos a una velocidad constante y fluida mientras el

enlace lo permita. Para contrarrestar el cuello de botella de lectura/escritura en

disco, UMP utilizará técnicas de buffering cuando el ancho de banda sea superior a

la capacidad de éste. A diferencia del TCP, UMP separa el control de congestión de

la retransmisión.


Página 15

Departamento: Coordinación Ingeniería y desarrollo

Hallazgo:

1. El departamento de Infotecnologia no cuenta con procedimientos o guías para la

Administración de la base de datos.

2. No existen procedimientos de seguridad para encriptar los campos más sensitivos y

confidenciales de la Base de Datos,


Página 16

Departamento: Coordinación Ingeniería y desarrollo

Recomendación:

1. Instaurar un manual de procedimientos o guías para la administración de la base de

datos, que debería de contener los pasos para:

Administrar la estructura de la Base de Datos

Administrar la actividad de los datos

Administrar el Sistema Manejador de Base de Datos

Establecer el Diccionario de Datos

Asegurar la confiabilidad de la Base de Datos

Confirmar la seguridad de la Base de Datos


Además que estas se almacenen de forma física y no solo digital.

2. Adquirir software especializado para la seguridad de la base de datos, como ser:

Lockdown, ARC server 2000, Data Base Scanner, o cualquier otro; además de

software especializado para el encriptamiento de los registros en la base de datos,

como ser: Secure Data de Protegrity, SQL Shield, XP Crypt, o cualquier otro.


Página 17

Departamento: Coordinación Métodos y procedimientos

Hallazgo:

1. No cuentan con un plan de contingencias escrito.

2. Los empleados del centro IT no están identificados por un carnet.

3. No cuentan con controles, ni disposiciones ambientales adecuadas.

4. Los tomacorrientes no están identificados con el tipo de voltaje correspondiente.

5. Utilizan regletas para conectar los equipos.

6. Por falta de suministros de energía se conectan extensiones lo que puede causar

accidentes al equipo.

7. No cuentan con políticas ni procedimientos al realizar la selección y reclutamientos

del personal.

8. No hay políticas definidas para evaluar el desempeño del personal, además no existe

documentación donde se refleje la supervisión realizada a cada empleado del área.


Página 18

Departamento: Coordinación Métodos y procedimientos

Recomendaciones:

1. Elaborar un plan de contingencias para combatir situaciones de riesgo, el cual debe

contener:

Análisis y Selección de las Operaciones Críticas.

Identificación de Procesos en cada Operación.

Listar los Recursos Utilizados para las Operaciones.

Especificación de Escenarios en los cuales puede Ocurrir los Problemas.

Determinar y Detallar las Medidas Preventivas.

Formación y Funciones de los Grupos de Trabajo.

Desarrollo de los Planes de Acción.

Preparación de la Lista de Personas y Organizaciones para Comunicarse en Caso de

Emergencia.

Pruebas y Monitoreo (simulacros).

Y todos aquellos que se consideren necesarios.

2. Implementar un carnet propio impreso de la unidad de Infotecnología, para

identificación de los empleados.

3. Contar con las disposiciones ambientales adecuadas y necesarias para la protección

en caso de emergencias. Como ser:

Extintores contra incendios.

Detectores de humo.

Guantes.

Mascarías


4. Identificar cada tomacorriente según sea su voltaje. Para evitar accidentes con el

equipo computacional

5. Utilizar UPS para la conexión del equipo computacional

6. Instalación de suministros de energía por cada nodo


Página 19

7. Crear las políticas y procedimientos para realizar la contratación del personal, ya

que la mayoría del personal es empleada por medio de recomendaciones personales.

8. Elaborar procedimientos para evaluar el desempeño del personal constantemente,

tomando en cuenta también que dentro de las auditorias a la unidad de

Infotecnologia se realizaran evaluaciones al personal en los periodos de las mismas.

Documentando los resultados de cada empleado, de manera que estos reflejen la

supervisión realizada a cada uno de ellos.


Página 20

Análisis estadístico de la situación de riesgo del centro IT

Control Valor Obtenido

%

Acumulado

Variación

Acumulada 80-20

Control I 90 13% 90 80%

Control F 81 24% 171 80%

Control H 80 35% 251 80%

Control D 75 46% 326 80%

Control E 66.37 55% 392.37 80%

Control J 65 64% 457.37 80%

Control G 62 73% 519.37 80%

Control K 59 82% 578.37 80%

Control C 58.5 90% 636.87 80%

Control B 52.75 97% 689.62 80%

Control A 20 100% 709.62 80%


Página 21

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

0

100

200

300

400

500

600

700

Valor Obtenido

% Acumulado

80-20

Diagrama de Pareto

ANALISIS: Al encontrarse los controles A (Organización), B (Administración),

C(desarrollo de aplicaciones) y K (Evaluación de parte de los usuarios) sobre el valor del

80% del diagrama de Pareto los constituye en las principales áreas donde se encuentran

problemas.

Por lo cual concluimos que es el área administrativa y de jefes de sistemas los que

presentaros las evaluaciones mas bajas de toda la unidad.

Hay que tener en cuanta que tanto la distribución de los efectos como sus posibles causas

no es un proceso lineal, sino que el 20% de las causas totales hace que sean originados el

80% de los efectos.

Obteniendo un promedio global 64,51 %


Página 22

Calendario para Sanear inconformidades.

Departamento

Objetivo

Fecha de

Inicio

Fecha de

vencimient

o

Observacione

s

Dirección

Unidad de

Infotecnologia

Falta de un comité de gestión de seguridad. 26

noviembre

2012

2 de enero

2013

Revisa Wilson

López

Dirección

Unidad de

Infotecnologia

Respaldar el equipo de cómputo con UPS

por cada computadora.

26

noviembre

2012

2 de enero

2013

Revisa Sergia

Torres

Dirección

Unidad de

Infotecnologia

No se presento un documento escrito de la

aprobación de las aplicaciones nuevas y de

actualización de los programas.

26

noviembre

2012

31 de mayo

2013

Revisa Ricardo

Andino

Dirección

Unidad de

Infotecnologia

No se encontraron procedimientos definidos

para solicitar y efectuar modificaciones a los

programas.

26

noviembre

2012

31 de mayo

2013

Revisa Evelin

Canaca

Dirección

Unidad de

Infotecnologia

No existen guías, estándares o disposiciones

para realizar las pruebas de las nuevas

aplicaciones

26

noviembre

2012

31 de mayo

2013

Revisa Sandra

Sánchez

Dirección

Unidad de

Infotecnologia

No cuenta con un comité de informática.

26

noviembre

2012

2 de enero

2013

Revisa Wilson

López

Dirección

Unidad de

Infotecnologia

Nunca se ha realizado una auditoria al

departamento de Infotecnologia

26

noviembre

2012

30 nov 2013 Revisa Ricardo

Andino

Dirección

Unidad de

Infotecnologia

No existe un plan estratégico de manera

general para toda la unidad de

Infotecnologia.

26

noviembre

2012

2 de enero

2013

Revisa Sandra

Sánchez

Dirección

Unidad de

Infotecnologia

Ninguna Capacitación al personal ni la

existencia de manuales operativos bien

detallados.

26

noviembre

2012

31 de mayo

2013

Revisa Wilson

López

Coordinación

Ingeniería y

desarrollo

Instaurar un manual de procedimientos o

guías para la administración de la base de

datos

26

noviembre

2012

2 de enero

2013

Revisa Orlin

Turcios


Página 23

Coordinación

Ingeniería y

desarrollo

Adquirir software especializado para la

seguridad de la base de datos

26

noviembre

2012

2 de febrero

2013

Revisa Evelin

Canaca

Coordinación

Métodos y

procedimientos

Elaborar un plan de contingencias para

combatir situaciones de riesgo

26

noviembre

2012

2 de febrero

2013

Revisa Orlin

Turcios

Coordinación

Métodos y

procedimientos

Implementar un carnet para identificación de

los empleados

26

noviembre

2012

2 de enero

2013

Revisa Wilson

López

Coordinación

Métodos y

procedimientos

Elaborar políticas y procedimientos para

realizar la contratación del personal

26

noviembre

2012

2 de enero

2013

Revisa Sandra

Sánchez

Coordinación

Métodos y

procedimientos

Crear procedimientos para evaluar el

desempeño del personal

26

noviembre

2012

2 de enero

2013

Revisa Orlin

Turcios

Administració

n

Redactar una póliza de fidelidad para ser

firmada por los empleados al momento de

ser contratados

26

noviembre

2012

2 de enero

2013

Revisa Sergia

Torres

Administració

n

Crear un plan de capacitación adecuado para

el personal

26

noviembre

2012

2 de enero

2013

Revisa Evelin

Canaca

Coordinación

de soporte

técnico

Se debe adquirir hardware similar o

compatible para ser utilizado en caso de

emergencias

26

noviembre

2012

2 de

noviembre

2013

Revisa Ricardo

Andino

Coordinación

de soporte

técnico

Respaldar el equipo de cómputo con UPS

por cada computadora para garantizar el

suministro de energía eléctrica

26

noviembre

2012

2 de mayo

2013

Revisa Wilson

López


Página 24

Conclusiones

En base a las observaciones e investigaciones hechas en la estructura organizativa, la

administración, los procedimientos, la seguridad y todo lo relacionado con la gestión de la

unidad de Infotecnologia de ESCALAFON de la Secretaria de Educación, Gobierno de

Honduras, se presentan como conclusión un análisis FODA que resume las valoraciones

encontradas en nuestra investigación.

Análisis FODA

Fortalezas:

1. La ubicación de las instalaciones se encuentran en un punto estratégico de la ciudad.

2. Por encontrarse en el nivel más alto del edificio no corre riesgos de daños por

inundaciones u otros riesgos a nivel del suelo.

3. Cuentan con hardware en general actualizado.

4. El data center esta bien protegido y custodiado, debidamente respaldado,

actualizado y mantenido.

5. Las aplicaciones con las que cuentan son creadas en el área de desarrollo de la

Unidad de Infotecnología.

6. Cuentan con un router 3G en caso de ausencia de internet, se conecta un modem y

este alimenta de internet a todos los nodos de la red local.

Oportunidades:

1. Se da la posibilidad de realizar procesos remotos desde distintos sitios a nivel

nacional.

2. Reciben donaciones de hardware de organismos internacionales.

3. A nivel de comunicaciones cuentan con 2 empresas que respaldan las transmisiones

de datos en la ciudad y entre los departamentos del país.

4. La evaluación de las aplicaciones internas ha sido satisfactorias ya que la mayoría

de todos los programas son realizadas por ellos mismos.


Página 25

Debilidades:

1. No cuentan con personal calificado en casi todas las áreas de la unidad.

2. No se realizan capacitaciones al personal.

3. No cuentan con respaldo de energía eléctrica en caso de ausencia de la misma.

4. No cuentan con las instalaciones físicas necesarias para ser un centro IT bien

acondicionado.

5. Inexistencia de un comité informático.

6. Seguridad de contraseñas deficientes.

7. Inexistencia de rutas de evacuación.

8. Falta de personal con el conocimiento para asegurar en continuo funcionamiento de

la Unidad de Infotecnología.

9. No se han realizado auditorias en sistemas a esta unidad.

10. En ocasiones se han encontrados con problemas de tipo “cuellos de botellas” en los

trabajos internos de la red. (impresiones, comunicaciones, etc).

Amenazas:

1. Debido al hecho de que solo 2 personas conoces el funcionamiento y todas las

claves de acceso a los sistemas críticos, al faltar uno o ambos de ellos se hace

necesario contratar personal foráneo, a los cuales se les da acceso físico y lógico y

esto podría llevar a situaciones adversas.

2. Al no brindar capacitación continua a los usuarios del sistemas estos tienden a

evaluar de manera negativa la gestión

3. Al no existir manuales actualizados y bien definidos, los usuarios finales tienden a

mal utilizar, o no sacar el provecho completo de las aplicaciones creadas por lo

tanto se abre la posibilidad de mal uso del sistema.


Página 26

Anexos


Página 27

Resumen de controles, evaluados en la unidad de Infotecnología del

Ministerio de Educación del Estado de Honduras. “ESCALAFON”

Control “A” Organización

Este control trata de evaluar como está estructurada la organización general y el

departamento de Infotecnología.

La organización cuentan con los organigramas, general y del departamento de sistemas,

pero no se encuentran actualizados, porque fueron creados hace algunos años,

entrevistando al personal se encontró que no tienen conocimiento de ninguno de los

organigramas de la organización. Además la información que este departamento genera, le

es de utilidad a toda la institución pero no recibe apoyo financiero y técnico de la secretaria

de educación de estado.

El organigrama del departamento de sistemas ha sufrido cambios y reducciones de puestos,

el organigrama está estructurado de tal manera que se muestran las áreas de

desarrolladores, operaciones de computador, mantenimiento, soporte y apoyo a usuarios, de

redes y seguridad. Pero no hay coordinador de base de datos en el organigrama.

Existe una no conformidad en los perfiles de puestos ya que no se comprobó la veracidad

de los mismos, no cuentan con políticas ni procedimientos cuando se realiza la selección

del personal, ya que la mayoría entra a laborar por medio de recomendaciones. A este

personal no se le exige que firmen una póliza de fidelidad.

El departamento de Infotecnología no cuenta con un comité de informática, pero si realizan

reuniones empíricas imprevistas con personal seleccionado, según sea la necesidad del

departamento. Y al cual nunca se ha realizado una auditoria.


Página 28

A A) ORGANIZACION 100% 20%

A,1 Existe el organigrama general en la institución. 10 8

A,2 Existe el organigrama del departamento de sistemas 10 9

A,3 existe un manual de descripción de funciones y puestos 20 0

A,4 políticas y procedimientos definidos 10 0

A,5 El personal de alto riesgo esta incluido en una póliza de

fidelidad. 20 0

A,6 existe un comité de informática 10 3

A,7 se realizan auditorias periódicamente 20 0

02468

101214161820

Control A: Organización

Valor Control

Obtenido


Página 29

Control “B” Administración

El control B trata de evaluar cómo se están desempeñando las funciones en el área de

administración.

No existe un plan de capacitación adecuado, por lo cual ocurren errores pero no graves por

la falta de capacitación aunque en ocasiones es necesaria la ayuda de especialistas y los

empleados son capacitados indirectamente. No hay políticas definidas para evaluar al

personal, realizan evaluaciones pero visuales con cada trabajo asignado los empleados

presentan inconformidad respecto a promociones de ascenso.

Existe rotación de personal, pero no es una rotación estipulada según se presentan las

necesidades del departamento.

No se cuenta con un plan de vacaciones, ya que el personal entrevistado trabaja por

contrato lo cual presenta inconformidad entre los empleados de contrato Temporal y los

empleados de contratos de Acuerdo. Las vacaciones no las asigna el jefe de sistemas ya que

son políticas de Recursos Humanos.

No existe ningún tipo de política y control para la terminación del contrato de trabajo a

excepción de eliminar el acceso que tienen al sistema en la Unidad de Infotecnología. No

hay un plan estratégico definido hacia donde se desea llevar la unidad de Infotecnología ya

que los objetivos no se alinean con la parte de la organización en general. Aunque este

departamento funciona de acuerdo a las necesidades que se presentan.

Los recursos con los que cuenta el departamento no se están utilizando de una manera

eficiente ya que en la unidad no se cuenta con un plan estratégico adecuado, por lo tanto no

hay ninguna actividad planeada. Existe supervisión de labores por personas encargadas a

los empleados, no se cuenta con una documentación donde se refleje la supervisión

realizada a los mismos, ya que la supervisión es visual y oral.

Utilizan licencias originales para el desarrollo de las diferentes aplicaciones y funciones

que se realizan en Infotecnología.


Página 30

B B) ADMINISTRACION 100% 52.75%

B,11 existe un plan de capacitación para el personal 7.5 4

B,12 Se cuentan con políticas para evaluar el personal 10 5

B,13.1 Existen Rotación de personal para las funciones

operacionales básicas 7.5 5.5

B,13.2 Existen Rotación de personal para las funciones

operacionales básicas de las aplicaciones automatizadas 7.5 5.5

B,14 existe un plan previo de vacaciones para el personal 7.5 3

B,15 Se cuentan con políticas definidas para terminación el

contrato de trabajo 7.5 1

B,16 Se cuentan con planes estratégicos. 20 6

B,17 Existe un programa de actividades a corto mediano y largo

plazo. 10 3

B,18 Existe una supervisión de labores. 7.5 4.75

B,19 Se cumple con las disposiciones gubernamentales para las

operaciones 0 0

B,20 Se cuentan con licencias originales de software 7.5 7.5

B,21 Existen políticas TIC'S 7.5 7.5

02468

101214161820

Control B: Administracion

Valor Control

Obtenido


Página 31

Control “C” Desarrollo de Aplicaciones

Este control trata de evaluar la existencia de estándares y procedimiento para el diseño y

desarrollo de aplicaciones.

El departamento de Infotecnologia no cuenta con los estándares o guías para el diseño o

desarrollo de aplicaciones, lo que se hace, es que a cada desarrollador se le asignan

aplicaciones y este las desarrolla según sea su criterio. Hasta el momento no se ha

presentado ningún tipo de problemas en el desarrollo de programas o aplicaciones a pesar

de no contar con ningún estándar o guías para el diseño o desarrollo de los mismo, y Cada

programa o aplicación cuenta con la debida documentación técnica.

Se realiza un adecuado control de implantación de programas y servicios en el servidor de

producción; pero no existe un documento escrito de aprobación de las auditorias de

actualización de los programas instalados. Al desarrollar un programa o aplicación se toma

en cuenta la opinión del departamento de origen y la gerencia. Los usuarios participan

únicamente en la fase de prueba y finalización.

Hasta el momento no han ocurrido problemas. Por no contar con los procedimientos

definidos para solicitar y efectuar modificaciones a los programas, se realizan estudios de

factibilidad de manera lógica entre el jefe de sistemas y los departamentos dueños de

aplicaciones, pero no se documentan dichos estudios.

No existe un contrato de calidad adecuado, pero no han existido complicaciones con las

aplicaciones aprobadas.

No existen guías estándares o disposiciones para realizar las pruebas, aunque son hechas

por los usuarios con datos diseñados para ellos pero no se realiza ningún proceso en

paralelo dado que este es muy costoso. Los recursos para desarrollo, prueba y producción

se encuentran separados adecuadamente para que estos se realicen de forma correcta.


Página 32

C

C) DESARROLLO DE APLICACIONES

100%

58.5%

C, 24 Existen estándares o guías para el diseño y desarrollo de aplicaciones (Analistas)

5 0

C, 25 existen estándares o guías para el diseño y desarrollo de programas (Programador)

5 0

C, 26 existen estándares o guías para elaborar la documentación técnica de aplicaciones

10 0

C, 27 ¿Cada aplicación tiene documentación técnica?

10 10

C, 28 Existen procedimientos para la implantación de software el servidor de producción.

6.67 5.5

C, 29.1 Los departamentos de origen y la gerencia participan en las etapas de desarrollo.

6.67 5

C, 29.2 Los dueños de cada aplicación dan la aprobación final al funcionamiento de la aplicación.

6.67 6.67

C, 30 Se cuenta con procedimientos para solicitar y efectuar modificaciones a los programas.

5 0

C, 31 Se realizan estudios de factibilidad, antes de realizar el desarrollo o la compra de nuevas

aplicaciones. 10 6

C, 32 Existe la función de control de calidad.

5 2

C, 33 En el desarrollo de sistemas se contemplan las pistas de auditoria para la posterior

auditabilidad de los mismos. 0 0

C, 34.1 Los programas y aplicaciones se prueban con datos especialmente diseñados para ellos.

6.67 6.67

C, 34.2 Los usuarios participan activamente en las pruebas de los programas y aplicaciones.

6.66 6.66

C, 34.3 Toda aplicación o proceso el probado en paralelo contra el anterior proceso.

6.66 0

C, 35

La institución efectúa contratos con entidades externas para realizar actividades de

procesamiento y resguardo de las operaciones y otros servicios relacionados con las TIC. 0 0

C, 36 Están adecuadamente separados los recursos para desarrollo prueba y producción.

10 10

0123456789

10

exis

ten

est

and

ares

…

exis

ten

est

and

ares

…

exis

ten

est

and

ares

…

¿cad

a ap

licac

ión

…

exis

ten

…

los

de

par

tam

ento

s…

los

du

eñ

os

de

cad

a…

se c

uen

ta c

on

…

se r

ealiz

an e

stu

dio

s…

exis

te la

fu

nci

on

de

…

en e

l de

sarr

ollo

de

…

los

pro

gram

as y

…

los

usu

ario

s…

tod

a ap

licac

ión

o…

la in

stit

uci

on

…

esta

n…

Control C: Desarrollo de aplicaciones.

Valor Control

Obtenido


Página 33

Control “D” Operaciones

Este control trata de evaluar como está estructurada la seguridad de las operaciones

(Accesos al sistema, seguridad de equipo, y acceso a internet) realizadas en el departamento

de Infotecnología.

Este departamento, cuenta con una red de seguridad la cual está configurada por categorías

o grupos donde a cada empleado se le asigna las categorías o grupos que tendrán acceso.

No se cuenta con hardware similar o compatible para ser utilizado en caso de emergencias;

con el único hardware que tienen es el que se encuentra dentro de la empresa, (para futuros

se piensa ampliar la rede en los 18 departamentos se desea implementar un clúster de

máquinas virtuales, para que este pueda funcionar en caso de emergencias).

El mantenimiento preventivo de hardware se realiza de manera eficiente respaldado con el

contrato CAREPACK de la compañía Hewlett Packard (HP) quien brinda el soporte

continuamente del hardware. Cuando se deteriora un equipo se realizan respaldos atreves

de VSPHERE (Plataforma de virtualización líder del sector para construir infraestructuras

de cloud. Permite a los usuarios ejecutar aplicaciones críticas para el negocio con confianza

y responder con mayor rapidez a las necesidades empresariales.)

No cuentan con un plan de contingencias escrito. Lo que realizan son dos tipos de respaldo:

Respaldo Caliente, y Frio.

El acceso a internet es controlado adecuadamente para uso exclusivo de la empresa utilizan

las reglas de los corta fuegos para proteger el equipo de infecciones de virus.

El departamento no maneja ningún tipo de documento o formulario en blanco, ni autoriza

transacciones u operaciones que no le competen a este.


Página 34

D D) OPERACIONES 100% 75%

D, 37

Están diseñadas en la red de seguridad los diferentes grupos o

categorías del personal involucrado en las aplicaciones 10 10

D, 38

cuenta el departamento de sistemas con hardware interno o

externo similar o compatible para ser utilizado en caso

emergencias 10 5

D, 39.1 Existe un adecuado mantenimiento preventivo de hardware. 20 20

D, 39.2 Existe un control y análisis del desempeño de hardware para

futuros cambios de equipo. 10 10

D, 40 Existe un plan de contingencias para situaciones de emergencia. 20 10

D, 41.1 El uso de Internet es controlado adecuadamente. 5 5

D, 41.2 Se cuenta con procedimientos de seguridad para evitar el

contagio de virus por internet. 15 15

D, 42.1 El departamento de sistemas en ocasiones inicia o autoriza

transacciones u operaciones. 5 0

D, 42.2 El departamento de sistemas en ocasiones custodia o maneja

documentos, formularios de recibos y/o cheques en blanco 5 0

D, 43 La institución brinda servicios de banca electrónica. 0 0

D, 44 La institución tiene sus oficinas principales en un país del

exterior. 0 0

02468

101214161820

Control D: Operaciones

Valor Control

Obtenido


Página 35

Control “E” Procesamiento

El control trata de evaluar cómo se están desempeñando las funciones en el área de

procesamiento.

El manual de usuario es proporcionado a los empleados, los cuales no muestra las

descripciones de las aplicaciones, no obstante se le brinda capacitaciones y hasta la fecha

no existen contratiempo de los mismos.

Los formularios están debidamente automatizados, los campos están correctamente

descritos y separados para que no permita mala interpretación por el usuario final.

Los supervisores y jefes son los encargados de controlar la calidad de los datos y los

procesos la cual es supervisada, y controlada por el usuario final, dichos datos

son verificados y en caso de haber duplicidad son depurados, el cual minimiza los riesgos

en la corrupción de los datos por errores del proceso o por actos deliberados del personal, la

cual muestra advertencias cuando los datos son inconsistentes y para evitar este tipo de

falencias hay respaldos contra estos incidentes y una bitácora que nos indica que realizo

cada usuario.

La capacidad técnica operativa del personal es poco ya que cuando presenta fallas el

computador no tiene el conocimiento sobre mantenimiento preventivo,

La información sensible y confidencial están almacenadas en lugares restringidos , los

cuales solo tienen acceso el administrador del aplicativo y el administrador del proyecto,

cuenta con todos los niveles de acceso a todo el sistema, los usuarios testan restringidos por

privilegios ya que existen restricciones para resguardar la información, con estas medidas

se han evitado robos o fraudes dentro de la organización ya que todo el personal no poseen

muchos conocimientos de programación, pero no obstante si han tenido ataques de virus

fuera de la organización, la cual se le dan mantenimiento y seguimiento para evitar dichas

dificultades en el futuro.


Página 36

E E) PROCESAMIENTO 100 % 66.37%

E,45

¿Existen manuales operativos (trascripción de datos, de operación, de biblioteca, de usuario) para cada aplicación del computador? 6.16 2.16

E,46

¿Los formularios de la información fuente están diseñados eficientemente para evitar interpretación y/o trascripción errónea de los datos? 6.16 5

E,47.1

¿En el punto de preparación, registro o envío de los datos, todas las transacciones son controladas por medio de listados o totales de control adecuados? 6.16 6.16

E,47.2

¿Existe la función de control de procesos y de datos, para verificar y revisar los datos de entrada, procesos y salidas o resultados en el Departamento dueño de la aplicación? 6.15 5

E,47.3

¿Los resultados finales de los procesos se comprueban adicionalmente en forma automática o manual contra archivos o registros externos relacionados? 6.16 3.75

E,47.4

¿Existen procedimientos definidos para la corrección y retroalimentación de transacciones no registradas por tener errores? 6.15 5

E,48

¿Existen rutinas de validación de inconsistencias en los programas de captación de datos y/o programas de inconsistencias especialmente diseñados para tal efecto? 6.15 5

E,49 ¿El personal de trascripción y operación está capacitado para identificar fallas de funcionamiento del computador? 20 3

E,50

¿Son marcados o sellados los documentos fuentes utilizados en la captación de datos para protegerlos contra duplicados o reentradas? 6.15 6.15

E,51.1

¿Son los reportes de salidas que contienen información confidencial y sensible, mantenida y manejada con la prudencia que corresponde? 6.15 5

E,51.2

¿La información confidencial y sensible mantenida en los archivos magnéticos, es restringida y autorizada a los funcionarios y personal de nivel adecuado? 6.16 5

E,52

¿Los archivos de datos y programas para procesamiento están adecuadamente administrados e identificados tanto interna como externamente? 6.15 6.15

E,53

¿Los operadores del computador y/o los operadores de las aplicaciones en el Departamento de origen poseen conocimientos de programación de computadoras? 6.15 5

E,54 Existe adecuada segregación de tareas en el procesamiento de las aplicaciones? 6.15 4

0

5

10

15

20

¿Exi

ste

n m

anu

ale

s…

¿Lo

s fo

rmu

lari

os

de

la…

¿En

el p

un

to d

e…

¿Exi

ste

la f

un

ció

n d

e…

¿Lo

s re

sult

ado

s fi

nal

es…

¿Exi

ste

n…

¿Exi

ste

n r

uti

nas

de…

¿El p

ers

on

al d

e…

¿So

n m

arca

do

s o

…

¿So

n lo

s re

po

rte

s d

e…

¿La

info

rmac

ión

…

¿Lo

s ar

chiv

os

de

dat

os…

¿Lo

s o

per

ado

res

del

…

Exis

te a

de

cuad

a…

Control E: Procesamiento

Valor Control

Obtenido


Página 37

Control “F” Operaciones Lógicas

Este control se basa en la protección de los programas, aplicaciones, base de datos, datos de

usuarios, contraseñas y demás controles necesarios para garantizar un continuo servicio de

datos y programas.

Con respecto al otorgamiento de contraseñas si existe un control y administración en un

alto porcentaje, con la excepción que no cuentan con normativas de contraseñas de calidad

ya que suelen ser fáciles y el sistema no exige cambiarlas en un tiempo determinado esto a

nivel de sistema operativo. Pero en las aplicaciones criticas si se cuentan con controles

definidos.

Con respecto a la administración de la seguridad y de los dueños de las aplicaciones y el

acceso de los usuarios, se realiza un correcto control. En cuanto a la protección de las

transmisiones de datos todas están respaldadas y bien protegidas, por dos empresas de

transmisión de datos, además de los controles internos de ellos mismos.

Existen instalados en un servidor de antivirus 2 programas de protección de antivirus, que

tienen el control de todo el equipo computacional instalado en la red. Anidado a esto están

los suministros de energía alterna (UPS, Plantas eléctricas) que protegen el Datacenter

como las computadoras personales más importantes.

Además están bien definidas las medidas de control para otorgar acceso a terceros, por lo

tanto no han ocurrido problemas en sistema por acceso de terceros, a pesar de la falta de un

comité de gestión de seguridad. Junto a esto se utilizan adecuadas medidas de criptografía.


Página 38

F F) SEGURIDADES LOGICAS 100% 81%

F, 55.1 Existe un procedimiento eficiente para el otorgamiento y

administración de Password. 10 10

F, 55.2 Existe un procedimiento eficiente para la concientización en el

personal sobre la responsabilidad, uso y manejo de password. 10 5

F, 56.1 Se han designado a algunas personas para llevar a cabo las

funciones de administración de seguridad del sistema. 15 15

F, 56.2

Se investiga en el departamento de sistemas y por parte de los

dueños de la aplicación las violaciones del acceso al computador y a

las aplicaciones. 5 3

F, 56.3 Existe por parte de la jefatura de sistemas un análisis sobre el

acceso de los usuarios al computador y a las aplicaciones. 5 5

F, 57 Existen procedimientos de control que protejan la información que

es transmitida entre el servidor y las computadoras remotas. 10 10

F, 58 Cuenta la empresa con procedimientos y programas de antivirus. 15 15

F, 59 Cuenta el centro de cómputo con suficientes UPS u otros sistemas

alternativos que suministren energía por tiempo suficiente. 10 8

F, 60 Existen adecuados procedimientos de control para el otorgamiento

de terceros a los sistemas de información. 5 5

F, 61 Existe un comité de gestión de la seguridad de la información u

otro órgano interno con similares funciones. 5 0

F, 62 Existen políticas sobre el uso de medidas criptográficas. 10 5

02468

10121416

Control F: Seguridades Lógicas

Valor Control

Obtenido


Página 39

Control “G” Seguridad Física

Este control trata de evaluar como está estructurada la localización distribución física, y

seguridad del departamento de sistemas. El departamento de Infotecnología de escalafón se

encuentra localizado en un lugar adecuado y con una distribución interna eficiente. La

única deficiencia que tiene es las paredes de separación interna están construidas de tabla

de yeso

Al centro de cómputo solo personal autorizado puede ingresar. Los empleados del centro IT

deberían estar identificados por un carnet. El centro IT en la entrada cuenta con un rotulo

de identificación Departamento de Infotecnologia “Área Restringida solo personal

autorizado” Al computador o servidor central solamente el jefe de sistemas puede ingresar

y personal autorizado por el. El departamento IT no cuenta con una póliza de seguros para

casos de emergencia, con la única póliza que cuenta es con la garantía de mantenimiento

preventivo de hardware contrato con la compañía Hewlett Packard (HP).

Hasta el momento el centro IT no ha sufrido ningún daño por no contar con controles ni

disposiciones ambientales debidas. Solamente cuentan con extintores contra el fuego pero

estos no son preventivos, ya que le personal que labora en el entro IT no los sabe utilizar,

tampoco se encuentran ubicados en un lugar estratégico, ni son vaciados ni llenados

constantemente. Por los momentos se encuentra en proceso la implementación de una

planta de energía eléctrica. Para cuando haya ausencia prolongada de la energía eléctrica.

El centro IT cuenta con un panel de control de breaker debidamente identificado. Los

cables de comunicación y energía se encuentran separados y protegidos con tubos así evitan

las violaciones y manipulaciones a los mismos. Los tomacorrientes no están identificados

con el tipo de voltaje correspondiente, debido a que las separaciones del centro IT son de

paneli se utilizan regletas para conectar los equipos.

Los servidores y computador central se encuentran bajo llave y solo el jefe de sistemas y

personal autorizado puede ingresar a ellos. El servidor de aplicaciones de encuentra física

y lógicamente separado de los demás servidores la empresa cuenta con un total de 22

servidores. Y continuamente se realizan Backup para proteger la información.


Página 40

02468

10121416

Control G: Seguridad Fisica

Valor Control

Obtenido

G G) SEGURIDAD FISICA 100% 62%

G. 63 ¿La distribución y localización del departamento de sistemas es la

adecuada? 10 8

G. 64.1 ¿El acceso al centro de cómputo es permitido solamente al personal del

departamento? 5 5

G. 64.2 ¿Existen rótulos visibles que indiquen que el centro IT es área restringida?

5 5

G. 64.3 ¿El personal del departamento de sistemas esta debidamente identificado?

5 0

G. 65 ¿Existen pólizas de seguros para proteger economicamente la inversión de

SW y HW en caso de siniestro? 5 0

G. 66 ¿Existen condiciones ambientales en el centro IT para protegerse contra

cualquier daño? 10 0

G. 67 ¿Existen extintores contra el fuego en el departamento de sistemas?

5 3

G. 68 ¿Cuenta la empresa con una planta de energía eléctrica que la provea de

energía en caso de ausencia de la misma? 10 5

G. 69.1 ¿Cuenta el centro de cómputo con su propio panel de control de breaker

(Interruptores)? 5 5

G. 69.2 ¿Los tomacorrientes están debidamente identificados y protegidos?

5 2

G. 69.3 ¿El sistema de cableado y cables están identificados y protegidos contra

daños violaciones de la información? 5 5

G. 70 ¿Existen restricciones físicas que impidan el fácil acceso a personas no

autorizadas a los servidores? 5 5

G. 71 ¿Cuenta la Institución con loocker para proteger los hob routers y/o

switch? 5 5

G. 72 ¿El servidor de producción y aplicaciones se encuentran separados

físicamente de los demás servidores? 15 12

G. 73 ¿Existen disposiciones de seguridad para recursos informáticos instalados

fuera de la organización? 5 2


Página 41

Control H Almacenamiento

Este control se basa en verificar la existencia de una biblioteca y los procedimientos

eficientes para la custodia y el manejo de los archivos de datos, programas y

documentación técnica, se cuenta con una biblioteca ubicada en las instalaciones del

departamento de INFOTECNOLOGIA, la persona encargada no posee conocimientos de

informática, los medios de almacenamiento se encuentran en armarios dentro de la

biblioteca están debidamente identificados, no se realizan actividades incompatibles ya que

la persona encargada no maneja el tipo de información que se encuentra en la biblioteca, no

existen manuales sobre las funciones que el encargado de la biblioteca debe cumplir,

tampoco existe un control de los préstamos de archivos y programas que se les hace al

personal .

Existe restricción de las personas que entran a la biblioteca solo personal autorizado. No

hay un software especial para el control de préstamos y usos de programas. No existen

procedimientos adecuados para mantener un estricto control en el acceso de las librerías de

programas.

La efectividad del sistema de archivos de respaldo externos para ser utilizados en casos de

emergencia.

Con respecto a los archivos de respaldo son guardados en el banco central. En el

procedimiento de traslado de los archivos de respaldo hay personas autorizadas y saben

cómo llevar el backup. Están en constante actualización del proceso de los archivos de

respaldo. Cuando se envían al BCH van con sus respectivas etiquetas que incluyen nombre,

fecha del backup. Los que salvaguardan la información de los medios informáticos una vez

revisada y debidamente documentada se envía a la bóveda del BCH.


Página 42

H

H) ALMACENAMIENTO

100%

80%

H. 74 ¿El departamento de sistemas cuenta con una biblioteca de

archivos y programas? 50 40

H. 75 ¿Existen procedimientos definidos para el uso de archivos de

datos, programas y aplicaciones de la biblioteca? 25 20

H. 76 ¿Cuenta el centro de cómputo con archivos de respaldo

externos? 25 20

05

101520253035404550

¿el departamentode sistemas cuentacon una biblioteca

de archivos yprogramas?

¿Existenprocedimientosdefinidos para el

uso de archivos dedatos, programas yaplicaciones de la

biblioteca?

¿Cuenta el centrode computo con

archivos de respaldoexternos?

Control H: Almacenamieto

Valor control

Obtenido


Página 43

Control “I” ADMINISTRACION Y OPERACIÓN DE REDES

Este control se basa en la existencia de estándares y políticas para la administración de las

redes y los procedimientos para la eficacia en las operaciones de las mismas la cual se

verifica la seguridad e integridad para un uso eficiente, el cual el administrador de red se le

asignan las funciones correspondientes con los estándares y políticas mediante la red, Vlan,

y sudneteo.

El administrador de redes es el encargado de verificar que existen procedimientos que

determinan el correcto y óptimo funcionamiento de la red mediante testeo la cual es la base

para monitorear los 21 sitios a nivel nacional .En actualidad se monitorea las violaciones a

la seguridad de la red, lo cual nunca se ha dado ya que se cuenta con un muro de fuego,

contando con generadores de energía (UPS) así la conectividad puede ser levantada en

cualquier momento.

Escalafón implementa procedimientos de control que restringe el acceso no autorizado a las

aplicaciones o recursos de información la cual se maneja por directorios activos o el

dominio el cual proporciona los permisos necesarios.

Existe estándares de la telefonía de vos y video para el personal adecuado pero es

bloqueado el ancho de banda y el acceso es controlado a nivel de la planta.


Página 44

I

I) ADMINISTRACION Y OPERACIONES DE REDES

100%

90%

I. 78 ¿Existen estándares y políticas para la administración de la Red? 20 10

I. 79 ¿Existen procedimientos establecidos para la eficiente operación de la

Red? 20 20

I. 80 ¿Existen procedimientos que verifiquen la seguridad e integridad de la

Red? 20 20

I. 81 Existe una política para el personal que usa recursos de comunicación

de voz, facsímile y video? 20 20

I. 82 ¿El funcionamiento de la Red es eficiente? (encuesta a usuarios) 20 20

02468

101214161820

ValorControl

Obtenido

Control I: Administración y Operaciones de Redes


Página 45

Control “J” Administración y Operación de la Base de Datos

Este control se basa en determinar la eficiente operación, administración y seguridad de la

Base de Datos.

El departamento de Infotecnologia no cuenta con procedimientos o guías para la

Administración de la base de datos, ya que a cada desarrollador se le asigna un programa a

realizar con su respectiva Base de Datos, esta posee su manual técnico de manera digital

pero no se encuentra archivada.

A cada base de datos particular del programa asignado a cada desarrollador solo tiene

acceso desde la computadora del mismo a través del servidor de producción y esta se

encuentra protegida por medio de contraseña.

En cuanto a los derechos y privilegios de administración de la base de datos solo el

desarrollador de la aplicación puede entrar como súper usuario (Tiene todos los privilegios)

y los demás personas solo es de lectura.

En la seguridad de las contraseñas no se cuenta con un formato o lineamiento a seguir para

la creación de la misma (Tamaño mínimo de caracteres, incluir letras, números y caracteres

especiales, no dejar espacios en blanco, etc.).

Se realizan backup a diario por si ocurre alguna falla en el sistema, pero para fines de

seguridad extra se respalda la base de datos a través de un backup mensual en el Banco

Central de Honduras.

No existen procedimientos de seguridad para encriptar los campos más sensitivos y

confidenciales de la Base de Datos, solo las claves de acceso a la misma se encriptan.


Página 46

0

10

20

30

40

50

¿Existen proccedimientos parael desempeño de las funciones

del DBA de la B-D?

¿Existen proccedimientos parala seguridad de la B-D?

Control J: Administracion y Operacion de BD

ValorControl

Obtenido

J J) ADMINISTRACION Y OPERACIÓN DE LA BASE DE

DATOS

100%

65%

J. 85 ¿Existen procedimientos para el desempeño de las funciones

del DBA de la B-D? 50 25

J. 86 ¿Existen procedimientos para la seguridad de la B-D? 50 40


Página 47

Control “K”

Este control trata de medir el nivel de satisfacción de los usuarios finales de las

aplicaciones y/ó servicios dados por los unidad de Infotecnologia.

En opinión de los empleados entrevistados en la unidad de nominas y planillas de la misma

estructura organizativa de escalafón, quienes a su ves son usuarios de algunos de los

programas creados en esta unidad, ellos calificaron con una nota en promedio del 59% de

100% la gestión, manejo, repuesta y ayudas dadas por la unidad de Infotecnologia, lo cual

indica una gestión ACEPTABLE de la unidad.

Siendo las áreas de: Capacitación al personal y manuales operativos bien detallados las dos

con más baja aceptación de parte de los usuarios, además los usuarios presentaron

inconformidad moderada en la parte del retraso con que son atendidos sus requerimientos

hechos.


Página 48

Estructura organizativa de la secretaria de educación.


Página 49

Estructura Organizativa de la unidad de Infotecnologia.


Página 50

Imágenes de la unidad de Infotecnologia.


Página 51


Página 52


Página 53


Página 54


Página 55

Diagrama de Red

Documents

Informe Auditoria Escalafon_final