Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
Nombre del estudiante: Eleazar Aliber Castillo de la Garza
Nombre del trabajo: Investigación - Auditoria Informática
Fecha de entrega: 10 – Julio - 2013
Campus: Campus Monterrey Norte
Carrera: Sistemas de Computación Administrativa
Cuatrimestre: Segundo
Nombre del Docente: Mtra. Patricia Razo C.
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
Seguridad y Auditoria Informática
Tema: Proyecto de auditoría informática en la organización DATA CENTER E.I.R.L
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
ÍndicePortada 1
Índice 3
Introducción 5
I.- Planteamiento del problema 6
Caracterización de la empresa 6
Naturaleza de la empresa 6
Ubicación grafica 6
Visión 6
Misión 6
Objetivos estratégicos 7
Análisis FODA 7
Metas organizacionales 7
Objetivos estratégicos 8
Organigrama de la empresa 8
Descripción de la gerencia y área 9
II.- Metodología 9
Área a auditar 9
Reclutamiento de la información 9
Documentos 10
Plan 10
Herramientas 10
Motivo o necesidad de la auditoria 11Eleazar Aliber Castillo de la Garza
Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
III.-Situación actual del área de sistemas 11
Objetivo del departamento 11
Organigrama del Departamento . 12
Seguridad del Departamento 13
Caracterización de las tecnologías de Información y Comunicación 14
Determinación de problemas 16
IV.- Realización de la auditoria 17
Procesos 17
Reporte general 18
Resumen 19
Resultados 21
Criterios de información 21
V.- Análisis de resultados 23
Informe 23
VI.- Conclusiones 27
VII.- Bibliografía 28
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
IntroducciónA finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier Organización Empresarial, los Sistemas de Información de la Organización. Donde los Sistemas Informáticos hoy en día constituyen una herramienta bastante poderosa para la mejora de rendimiento de toda la Organización.
Por lo ello se realiza una auditoria informática en la Organización “DATA CENTER E.I.R.L” tomando muy en cuenta la dependencia critica de muchos procesos de negocios sobre las Tecnologías de la Información, con el objetivo de cumplir con los requerimientos existentes y los beneficios de administrar los riesgos efectivamente, utilizando como modelo de referencia COBIT 4.1, mediante la evaluación de 34 procesos que define esta metodología, agrupados en 4 dominios (Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte, y Monitorear y Evaluar), estos procesos son ubicados en los niveles de madurez en los cuales se encuentran en la actualidad, para luego dar las respectivas recomendaciones que sugiere COBIT 4.1, mediante este trabajo se pretende solucionar varios problemas como el servicio eficiente a los clientes y el aprovechamiento eficaz y eficiente de los recursos tecnológicos y humanos que cuenta la Organización en estudio.
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
I.- Planteamiento del problemaCaracterización de la empresa
Naturaleza de la empresa
El 20 de Agosto de 2001 nace “DATA CENTER E.I.R.L” en Huaraz “Paraíso Natural” capital del Departamento de Ancash, para brindar un servicio de calidad y excelencia al pueblo de Huaraz, la región de Ancash y al País, de acuerdo a la necesidad existente en cada uno de estos entes, buscando lograr la competitividad, reconocimiento e innovación en dicho rubro.
Uno de los hechos más resaltantes de su historia es el haber apostado por el negocio de venta de computadoras y accesorios, soporte técnico, diseño de página webs y redes.
Siendo sus inicios el soporte técnico de computadoras, logrando así con el tiempo ser reconocida en el mercado local, para posteriormente realizar venta de computadoras y accesorio, conjuntamente con los demás servicios que brinda. El valor agregado que “DATA CENTER E.I.R.L” es transmitir a sus clientes la seguridad en la compra de computadoras y accesorios, sabiendo que cuenta con una sólida garantía, respaldo y servicio de post-venta. Sin embargo, “DATA CENTER E.I.R.L” mantuvo su estrategia y fue reconocida claramente por sus clientes como una Organización netamente integradora.
Ubicación geográfica
La Organización “DATA CENTER E.I.R.L” se encuentra ubicado en el Jr. San Martin 561 en el Distrito de Huaraz, Provincia de Huaraz, Departamento de Ancash.
Visión
“Ser la Organización Líder en Gestión de Tecnologías de la Información de nuestra localidad, región y país, reconocida por la excelencia de sus servicios, y por la calidad profesional y ética de sus miembros”
Misión
“La Organización DATA CENTER E.I.R.L es una compañía dedicada a la prestación de servicios informáticos, así como al completo suministros de equipos de cómputo, localizada en el sector de las PYMES y particulares, llevando a cabo su función con
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
criterios de una alta calidad, profesionalismo y rigor, utilizando para ello las más modernas tecnologías y orientada a la plena satisfacción del cliente”
Objetivos estratégicos
Análisis FODA
FORTALEZAS DEBILIDADES Tratamiento personalizado a clientes,
orientación y asesoramiento. Integración de productos y servicios
buscando sinergias entre ellos. Innovación Constante. Personal debidamente Capacitado y
comprometido con la visión de la Organización.
Control de Almacén. Realizar grandes proyectos en el sector
privado y público. Dependencia de los servicios
subcontratados. Sistema de Información Integrado
(Compras, ventas, Almacén y Kárdex).
OPORTUNIDADES AMENAZAS Valoración positiva de las TIC en la
Organización. Costos cada vez menores para las
Organizaciones para la aplicación de las TIC.
Lealtad de los clientes hacia la Organización.
Ubicación Céntrica del Local.
Oferta de productos a menor precio por parte de la competencia.
La inestabilidad económica de los pobladores de la cuidad de Huaraz.
Cambios repentinos de los Sistemas Informáticos.
Incremento de la Competencia.
Metas organizacionales
Abastecimiento de las Áreas de la Organización según sus necesidades primarias. Realizar la capacitación a todo el personal, la renovación tecnológica, humana y
la infraestructura de la Organización. Lograr la expansión demográfica en el rubro, con innovaciones tecnológicas y el
desarrollo de un sistema de información integrado.
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
Objetivos estratégicos
Desarrollar estrategias para llamar la atención de nuevos clientes. Aprovechar la Tecnología para Desarrolla un Sistema de Información Integral de
Calidad. Aprovechar el buen clima para capacitar al personal de la Organización. Desarrollar servicios nuevos que mejoren el nivel del servicio. Explotar el potencial humano y tecnológico para una óptima productividad de los
mismos.
Organigrama de la empresa
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
Descripción de la gerencia y área
A. Gerencia General.- Tiene como propósito, organizar, dirigir y coordinar el funcionamiento y desarrollo de los procesos y actividades diarias, de acuerdo a las políticas de la Organización.
B. Área de Negocios.- Se encargan de planificar, controlar y verificar los procesos de compra y venta; como también la recepción y clasificación en almacén, de los equipos de cómputo, accesorios y otros.
C. Área de Administración.- Se encarga de velar por una adecuada organización, soporte logístico, administración eficiente en el uso de los bienes, muebles e inmuebles, y el recurso humano de la Organización en General.
D. Área de Informática.- Se encarga de integrar y coordinar los servicios informáticos, la misma que tiene que estar subdividida a su vez por tres unidades internas (hardware, software y redes), con el fin de ser más específicos al equipamiento, comunicaciones y aplicaciones, para brindar un servicio de calidad.
II.- MetodologíaÁrea a auditar
Área de Informática de “DATA CENTER E.I.R.L”, debido a que allí se encuentran ubicados gran parte de los equipos de cómputo con los que cuenta la Organización “DATA CENTER E.I.R.L”.
Reclutamiento de la información
Por medio de la observación realizada se procedió a la realización de entrevistas y cuestionarios con el Gerente General de “DATA CENTER E.I.R.L”; y así poder determinar con más precisión cuales son los problemas presentados y poder dar un dictamen más específico.
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
Documentos
Actualmente “DATA CENTER E.I.R.L” no cuenta con el manual de procedimientos administrativos informáticos, ni tampoco cuenta con la documentación requerida las cuales son:
Mantenimiento de Equipos de Cómputo. Un Plan de Contingencias. Seguridad de datos y equipos de Cómputo.
Plan
Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de la alta gerencia de la Organización, solicitando la participación de los principales trabajadores de la Organización y en donde se realizaran las siguientes acciones:
Nº ACTIVIDADES
1 Observación General del Área de Informática.
2 Entrevistas a los trabajadores del Área de Informática.
3 Analizar con que documentos de Gestión y Técnicos cuentas.
4 Verificar si que los equipos de los que se cuenta en la actualidad concuerdan con su inventario.
5 Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos.
6 Evaluar las tecnologías de información (TI), tanto en hardware como en software.
7 Evaluación de la seguridad física, lógica y de redes.
Herramientas
HERRAMIENTAS TECNICASCuaderno de Apuntes, Papel, Lapicero, Antivirus Eset Smart Security 4.0, Microsoft Office 2010 y otros.
Observación, entrevistas y cuestionarios.
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
Motivo o necesidad de la auditoria
Síntomas de mala imagen e insatisfacción de los usuarios. Síntomas de debilidad económico financiero. Síntomas de Inseguridad. Síntomas de descoordinación y desorganización.
III.-Situación actual del área de sistemasObjetivo del departamento
Recomendar la adquisición de hardware, software básico y de aplicaciones conveniente y necesario.
Estructurar, ejecutar y actualizar el plan estratégico del Sistema de Información, según los requerimientos de las áreas y la coordinación con la Gerencia General.
Proporcionar mecanismos de seguridad tanto lógica y física del hardware, software y redes de “DATA CENTER E.I.R.L”.
Aprovechar de las Redes Sociales (Facebook, MySpace y otros) para publicitar a la Organización, ya que no incurre ningún costo.
Mantener actualizado el inventario del parque informático y los precios de los productos de la base de datos, para la cotización correcta.
Planificar y mantener actividades de Backups (copias de respaldo) de forma periódica en medios físicos de almacenamiento masivo.
Aprovechar la tecnología existente para rediseñar el Website actual, convirtiéndolo en portal dinámico, donde puedan realizarse las operaciones transaccionales de la Organización y consultas comunes para los usuarios y clientes.
Asesorar, administrar y proporcionar el soporte tecnológico al personal de todas las áreas de “DATA CENTER E.I.R.L”.
Proponer a la alta gerencia de poder involucrarnos en proyectos corporativos y sociales.
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
Organigrama del dpto.
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
Seguridad del departamento
Establecer un sistema contra incendios y la capacitación adecuada para el manejo de estos.
Contar con agentes de seguridad para el resguardo del establecimiento, principalmente en las noches, debido a la creciente delincuencia.
Contar con un espacio adecuado para el alojamiento de los servidores. Hacer uso de estándares y metodologías de calidad (IEEE, ISO y otros) al brindar
los servicios de redes y diseño de páginas web. Contar con las licencias de los sistemas operativos (Microsoft) en uso. Realizar una auditoría de la tecnologías de la información externa a “DATA
CENTER E.I.R.L” Realizar periódicamente backups de la base de datos del sistema de información. Procesar los datos más importantes de la Organización en las aplicaciones
tecnológicas (hojas de cálculo, procesadores de texto y otros) y al sistema de información.
Restringir al acceso al sistema de información y al servidor para que la data no sea adulterada.
Renovar los implementos de seguridad de los técnicos de informática. Realizar las señalizaciones sísmicas pertinentes en el establecimiento ante un
desastre sísmico. Establecer políticas de integridad física y mental para el personal que labora,
dentro de sus horas de trabajo.
Caracterización de las tecnologías de Información y Comunicación
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
a. Recursos Humanos:
b. Hardware:
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
c. Software:
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
Determinación de problemas
Posibles Problemas
Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.
Falta de una planificación informática. Disminución considerable e injustificable del presupuesto del Área de Comercio. Falta de documentación del sistema de información y del servidor en uso, lo que
dificulta efectuar el mantenimiento de estos. Organización que no funciona correctamente por la falta de políticas, normas,
metodología, asignación de tareas, debidamente establecida por la Gerencia General.
Formulación de Hipótesis
No se cuenta con la seguridad en general de los recursos informáticos y humanos de la Organización, debido a que no existen políticas de negocio bien definidas, como también una planificación informática, teniendo como consecuencia problemas económicos y de tecnología de información (Hardware y Software).
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
IV.- Realización de la auditoriaProcesos
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
Reporte general
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
Resumen
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
Resultados
Criterios de información
A continuación analizamos cada uno de los criterios de la información:
EFECTIVIDAD.- Para este criterio de información se obtuvo un porcentaje del 47.76% sobre 100%, es decir que la información que es de importancia para “DATA CENTER E.I.R.L”, que tiene incidencia en los procesos del negocio y debe ser entregada de forma oportuna, consistente, y veraz tiene un porcentaje del 47.76%.
EFICIENCIA.- Para este criterio de información se obtuvo un porcentaje del 49.59% sobre el 100%, es decir que la información que debe generar el uso óptimo de los recursos de “DATA CENTER E.I.R.L” tiene un porcentaje del 49.59%.
CONFIDENCIALIDAD.- Para este criterio de información se obtuvo un porcentaje del 39.03% sobre el 100%, es decir que la protección de la información de “DATA CENTER E.I.R.L” para que esta no sea divulgada a personas o sectores extraños a este tiene un porcentaje del 39.03%.
INTEGRIDAD.- Para este criterio de información se obtuvo un porcentaje del 35.05% sobre el 100%, es decir la distribución de la información exacta y correcta, así como su validez con las expectativas de la empresa tiene un porcentaje del 35.05%.
DISPONIBILIDAD.- Para este criterio de la información se obtuvo un porcentaje del 32.96% sobre el 100%, es decir la accesibilidad de la información cuando esta sea requerida por los procesos del negocio y a la salvaguarda de los recursos y capacidades asociadas a la misma en “DATA CENTER E.I.R.L”, tiene porcentaje del 32.96%.
CUMPLIMIENTO.- Para este criterio de la información se obtuvo un porcentaje del 51.93% sobre el 100%, es decir que el cumplimiento de las leyes, regulaciones, y compromisos contractuales con los cuales está comprometido “DATA CENTER E.I.R.L”, tiene un porcentaje del 51.93%.
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
CONFIABILIDAD.- Para este criterio de la información se obtuvo un porcentaje del 50.97% sobre el 100%, es decir proveer la información apropiada para que la administración tome decisiones adecuadas para manejar “DATA CENTER E.I.R.L” y cumplir con sus responsabilidades, tiene porcentaje del 50.97%.
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
V.- Análisis de resultadosInforme
En el Informe Ejecutivo se detallara los resultados de la evaluación a cada uno de los 34 procesos que recomienda COBIT 4.1 siendo evaluado en “DATA CENTER E.I.R.L” de Huaraz. Los criterios de información se encuentran en el siguiente porcentaje todos sobre el 100%.
La efectividad consiste en que la información relevante sea entregada de forma oportuna, correcta, consistente y utilizable, este criterio tiene un promedio del 47.76%
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
La eficiencia consiste en que la información debe ser generada optimizando los recursos, este criterio tiene un promedio del 49.59%.
.
La confidencialidad consiste en que la información vital sea protegida contra la revelación no autorizada, este criterio tiene un promedio del 39.03%.
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
La integridad consiste en que la información debe ser precisa, completa y valida, este criterio tiene un promedio del 35.05%.
La disponibilidad consiste en que la información esté disponible cuando esta sea requerida por parte de las áreas del negocio en cualquier momento, este criterio tiene un promedio del 32.96%.
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
El cumplimiento consiste en que se debe respetar las leyes, reglamentos y acuerdos contractuales a los que está sujeta el proceso del negocio, como políticas internas, este criterio tiene un promedio del 51.93%.
La confiabilidad consiste en que se debe respetar proporcionar la información apropiada, con el fin de que la Gerencia General administre la entidad, este criterio tiene un promedio del 50.97%.
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
VI.-ConclusionesCon este estudio se ha dado un conjunto de directrices las cuales pueden ayudar a alinear TI con el negocio, es decir identificar riesgos, gestionar recursos y medir el desempeño, así como el nivel de madurez de cada uno de los procesos de “DATA CENTER E.I.R.L”.
Los gerentes y usuarios son beneficiados con el desarrollo de COBIT 4.1, ya que este marco de referencia ayuda a estos individuos entender sus sistemas de TI, de igual forma decidir el nivel de seguridad y control para proteger los activos (información, hardware, software, etc.) de “DATA CENTER E.I.R.L” mediante un modelo de desarrollo de gobernación de TI.
Mediante el marco de referencia COBIT, se ha podido evaluar y diagnosticar los procesos de TI en “DATA CENTER E.I.R.L” de Huaraz. También se ha diagnosticado cada uno de los criterios de la información, los cuales son efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
RECOMENDACIONES
Tomar en cuenta los procesos que se encuentran con el nivel de madurez de 0 y 1, que son los de factor crítico.
Realizar evaluaciones periódicas con el fin de medir el avance de cada uno de los procesos estudiados en este trabajo.
Se debe utilizar software aplicativo con licenciamiento, así como adecuar las instalaciones del área de informática, puesto que el espacio de trabajo de este es muy limitado y sin las seguridades fiscas pertinentes.
Hacer el uso del presente trabajo, con el fin de tomarlo como guía para futuras mejoras en TI.
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte
Page
10
Auditoría InformáticaMódulo 1 Ciclo 02-13
VII.-BibliografíaDirecciones Electrónicas:
ISACA ORG. Obtain Cobit
http://www.isaca.org/Content/NavigationMenu/Members and_Leaders1/COBIT6/Obtain_COBIT/Obtain_COBIT.htm Diciembre 2008.
WIKIPEDIA, Objetivos de control para la información y tecnologías relacionadas.
http://es.wikipedia.org/wiki/COBIT
WIKIPEDIA, Auditoria Informática
http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica
Textos:
Escuela Politécnica Nacional, Auditoria de la Gestión de las Tecnologías de la Información en el Gobierno Municipal de San Miguel de Urcuqui, utilizando como modelo de referencia COBIT 4.0.
COBIT 4.1 Marco Referencial, Emitido por el Comité Directivo de COBIT y El IT Governance Institute 2007.
Eleazar Aliber Castillo de la Garza Campus Monterrey Norte