SlideShare una empresa de Scribd logo

Informe Técnico de Auditoría

Descargar como PPTX, PDF
Porfirio Armando Rodríguez
Porfirio Armando Rodríguez

Práctica de una Auditoria de Sistemas Informáticos realizada en el Instituto Tecnológico de Costa Rica.

Educación
1 de 31
Instituto Tecnológico de Costa Rica Maestría en Computación Auditoría de Sistemas Arelis Troetsth Armando Rodríguez Jorge Molina
 Introducción  Objetivos de la Auditoria.  Metodología  Dictamen de la auditoría  Garantizar la continuidad del servicio  Administrar los datos  Administrar el ambiente físico  Conclusiones
 Se efectuó la auditoría al Centro de Cómputo del Instituto Tecnológico de Costa Rica (ITCR) y con base en el examen efectuado, observamos ciertos aspectos referentes al sistema de control interno y procedimientos de Tecnología de Información, basados en las los estándares establecidos según los Objetivos de Control para Información y Tecnología Relacionada (COBIT).
 Evaluamos y calificamos el entorno de Tecnologías de Información con el que cuenta el ITCR.  La evaluación se centró en los siguientes procesos de TI especificados dentro del dominio “Entregar y Dar soporte” de COBIT:  Garantizar la continuidad del Servicio  Administrar los datos  Administrar el ambiente físico
 Realización de entrevistas  Observación directa de algunos aspectos a evaluar  Se realizó un análisis de la información suministrada por el Departamento de Tecnologías de Información del ITCR:  entrevistas,  Inspecciones  documentos sobre las tres áreas evaluadas.
 Para cada una de las áreas a evaluar se presenta:  Puntos a evaluar  Oportunidades de mejoras detectadas  Niveles de madurez del proceso  Recomendaciones
 Puntos a Evaluar:  Marco de trabajo de continuidad:  Planes de continuidad de TI  Recursos críticos de TI  Mantenimiento del plan de continuidad de TI  Pruebas del plan de continuidad de TI  Entrenamiento del plan de continuidad de TI  Distribución del plan de continuidad de TI  Recuperación y reanudación de los servicios de TI  Almacenamiento de respaldos fuera de las instalaciones  Revisión post-reanudación
Oportunidades de Mejora detectadas:  El Centro de Computo dispone de:  Procedimientos para realizar los respaldos de la información  UPS y una Planta eléctrica como soporte a fallas de energía eléctrica
Oportunidades de Mejora detectadas:  No se nos proporcionó evidencia de los siguientes controles detallados  Marco de trabajo de continuidad de TI para soportar la continuidad del negocio con un proceso consistent  Planes de continuidad de TI con base en el marco de trabajo, diseñado para reducir el impacto de una interrupción mayor de las funciones y los procesos clave del negocioe a lo largo de toda la organización
 Nivel de Madurez del proceso y recomendaciones: Nivel 1 (Inicial /Ad-Hoc).  Las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada.  La gerencia comienza a darse cuenta de los riesgos relacionados y de la necesidad de mantener continuidad en los servicios.
 Nivel de Madurez del proceso y recomendaciones: Nivel 1 (Inicial /Ad-Hoc).  El enfoque de la gerencia sobre la continuidad del servicio radica en los recursos de infraestructura, en vez de radicar en los servicios de TI.  Los usuarios utilizan soluciones alternas como respuesta a la interrupción de los servicios. La respuesta de TI a las interrupciones mayores es reactiva y sin preparación.  Las pérdidas de energía planeadas están programadas para cumplir con las necesidades de TI pero no consideran los requerimientos del negocio.
 Por tanto se recomienda:  Desarrollar un marco de trabajo de continuidad del negocio para soportar los procesos del ITCR, que permita determinar y guiar en el desarrollo y la creación del Plan de Continuidad de TI, enfocándose en reducir el impacto de una interrupción de las funciones y procesos claves.  Mejorar el procedimiento de respaldo y recuperación, de manera que se ofrezca mayor detalle de los procesos tanto para respaldo como para la recuperación de la información, así como la realización de pruebas para medir el impacto en la continuidad del negocio.
 Puntos a evaluar  Requerimientos del negocio para administración de datos  Acuerdos de almacenamiento y conservación  Sistema de administración de librería de medios  Eliminación  Respaldo y restauración  Requerimientos de seguridad para la administración de datos
 Oportunidades de mejora detectadas:  El centro de computo dispone: ▪ Procedimientos para realizar los respaldos de la información que define información respaldada, periodicidad, formato de identificación de cintas, proceso de duplicidad y destinos de almacenamiento, además de definir el hardware y modelos de cintas a utilizar. Sin embargo, no se define como se realiza la restauración de la información en caso de ser necesario.
 Oportunidades de mejora detectadas.  No se nos proporcionó evidencia de los siguientes controles detallados ▪ Políticas y procedimientos para el archivo y almacenamiento de los datos ▪ Políticas y procedimientos para mantener un inventario de medios en sitio
 Oportunidades de mejora detectadas.  No se nos proporcionó evidencia de los siguientes controles detallados ▪ Políticas y procedimientos para prevenir acceso a datos una vez eliminados ▪ Políticas y procedimientos de respaldo y restauración de los sistemas, datos y configuraciones
 Oportunidades de mejora detectadas.  No se nos proporcionó evidencia de los siguientes controles detallados ▪ Políticas y procedimientos para prevenir acceso a datos una vez eliminados ▪ Políticas y procedimientos de respaldo y restauración de los sistemas, datos y configuraciones
 Nivel de madurez del proceso y recomendaciones: Nivel 2 (repetible pero intuitivo)  A lo largo de toda la organización existe conciencia sobre la necesidad de una adecuada administración de los datos.  A un alto nivel empieza a observarse la propiedad o responsabilidad sobre los datos.
 Nivel de madurez del proceso y recomendaciones: Nivel 2 (repetible pero intuitivo)  Los requerimientos de seguridad para la administración de datos son documentados por individuos clave.  Se lleva a cabo algún tipo de monitoreo dentro de TI sobre algunas actividades clave de la administración de datos.
 Nivel de madurez del proceso y recomendaciones: Nivel 2 (repetible pero intuitivo)  Las responsabilidades para la administración de datos son asignadas de manera informal a personal clave de TI
 Recomendaciones  Políticas y procedimientos para el archivo y almacenamiento de los datos, de manera que los datos permanezcan accesibles y utilizables.  Políticas y procedimientos para mantener un inventario de medios en sitio  Políticas y procedimientos para prevenir el acceso a datos sensitivos y al software desde equipos o medios una vez que son eliminados o transferidos para otro uso
 Recomendaciones  Políticas y procedimientos para el archivo y almacenamiento de los datos, de manera que los datos permanezcan accesibles y utilizables.  Políticas y procedimientos para mantener un inventario de medios en sitio  Políticas y procedimientos para prevenir el acceso a datos sensitivos y al software desde equipos o medios una vez que son eliminados o transferidos para otro uso  Políticas y procedimientos de respaldo y restauración de los sistemas, datos y configuraciones
 Puntos a evaluar  Selección y diseño del centro de datos  Medidas de seguridad física  Acceso Físico  Protección contra factores ambientales  Administración de instalaciones físicas
 Oportunidades de mejora detectadas.  El Centro de Cómputo dispone: ▪ Controles electrónicos de acceso físico a los centros de datos y comunicaciones para los empleados. ▪ Controles ambientales de humedad y aire acondicionado. ▪ UPS y generadores eléctricos
 Oportunidades de mejora detectadas.  No se nos proporcionó evidencia de los siguientes controles detallados ▪ Políticas y procedimientos de TI relacionadas a las medidas de seguridad físicas ▪ Políticas y procedimientos de TI para otorgar, limitar y revocar el acceso a locales, edificios y áreas
 Nivel de madurez del proceso y recomendaciones: Nivel 2 (repetible pero intuitivo)  los controles ambientales se implementan y monitorean por parte del personal de operaciones  La seguridad física es un proceso informal, realizado por un pequeño grupo de empleados  Los procedimientos de mantenimiento de instalaciones no están bien documentados  Las metas de seguridad física no se basan en estándares formales
 Recomendaciones  Documentar e implementar políticas y procedimientos de TI relacionadas a las medidas de seguridad físicas  Documentar e implementar políticas y procedimientos de TI para otorgar, limitar y revocar el acceso a locales, edificios y áreas
 Es importante mencionar que recibimos mucha atención por parte de los encargados de las distintas áreas del Centro de Cómputo, pero debido a sus múltiples ocupaciones no se pudo obtener mucha mayor información para extender el alcance de esta auditoría.
 Aunque hubo un compromiso de parte del director de TI, debido a que el proyecto se enmarcó dentro de un proyecto de curso, no se tenía la facilidad o la consciencia de parte del personal de cómputo para realizar pruebas sustantivas o de cumplimiento.
Informe Técnico de Auditoría
Informe Técnico de Auditoría

Recomendados

DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 
La Auditoría Física
La Auditoría FísicaLa Auditoría Física
La Auditoría FísicaCarlos R. Adames B.
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosDiana Alfaro
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasRocio Saenz
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBITIsaacDaniel20
 
Control Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasControl Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasAna Julieta Gonzalez Garcia
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controlesAlexander Velasque Rimac
 

Recomendados

DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 
La Auditoría Física
La Auditoría FísicaLa Auditoría Física
La Auditoría FísicaCarlos R. Adames B.
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosDiana Alfaro
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasRocio Saenz
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBITIsaacDaniel20
 
Control Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasControl Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasAna Julieta Gonzalez Garcia
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controlesAlexander Velasque Rimac
 
Auditoria Fisica
Auditoria FisicaAuditoria Fisica
Auditoria FisicaManuel Medina
 
Diseño de entradas para sistemas de información
Diseño de entradas para sistemas de informaciónDiseño de entradas para sistemas de información
Diseño de entradas para sistemas de informaciónYaskelly Yedra
 
TPS
TPSTPS
TPSarturo baltazar
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria InformaticaAmd Cdmas
 
DIAPOSITIVAS COBIT
DIAPOSITIVAS COBITDIAPOSITIVAS COBIT
DIAPOSITIVAS COBITluz milagros
 
Auditoría Física
Auditoría FísicaAuditoría Física
Auditoría Físicajosmal 7
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
perfil del auditor
perfil del auditorperfil del auditor
perfil del auditorAlberth ibañez Fauched
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOCAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOOrlando Bello
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS
 
Propuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN TicPropuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN TicOriol Recasens
 
Tema N° 2 El Proceso de Negocio y sus Elementos
Tema N° 2 El Proceso de Negocio y sus ElementosTema N° 2 El Proceso de Negocio y sus Elementos
Tema N° 2 El Proceso de Negocio y sus ElementosSaraEAlcntaraR
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicacionesAndres Reyes
 
Check List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasCheck List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasÁlex Picón
 
Funciones de un administrador de base de datos
Funciones de un administrador de base de datosFunciones de un administrador de base de datos
Funciones de un administrador de base de datosRodolfo Kuman Chi
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informáticaNatii Rossales Hidrobo
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICARaquel Solano
 
Caso éxito Amsa
Caso éxito AmsaCaso éxito Amsa
Caso éxito AmsaNovitec Consultores
 
Elaboración de un informe de Auditoria
Elaboración de un informe de AuditoriaElaboración de un informe de Auditoria
Elaboración de un informe de AuditoriaManu Mujica
 

Más contenido relacionado

La actualidad más candente

Diseño de entradas para sistemas de información
Diseño de entradas para sistemas de informaciónDiseño de entradas para sistemas de información
Diseño de entradas para sistemas de informaciónYaskelly Yedra
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria InformaticaAmd Cdmas
 
DIAPOSITIVAS COBIT
DIAPOSITIVAS COBITDIAPOSITIVAS COBIT
DIAPOSITIVAS COBITluz milagros
 
Auditoría Física
Auditoría FísicaAuditoría Física
Auditoría Físicajosmal 7
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOCAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOOrlando Bello
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS
 
Propuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN TicPropuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN TicOriol Recasens
 
Tema N° 2 El Proceso de Negocio y sus Elementos
Tema N° 2 El Proceso de Negocio y sus ElementosTema N° 2 El Proceso de Negocio y sus Elementos
Tema N° 2 El Proceso de Negocio y sus ElementosSaraEAlcntaraR
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicacionesAndres Reyes
 
Check List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasCheck List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasÁlex Picón
 
Funciones de un administrador de base de datos
Funciones de un administrador de base de datosFunciones de un administrador de base de datos
Funciones de un administrador de base de datosRodolfo Kuman Chi
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICARaquel Solano
 

La actualidad más candente (20)

Auditoria Fisica
Auditoria FisicaAuditoria Fisica
Auditoria Fisica
 
Diseño de entradas para sistemas de información
Diseño de entradas para sistemas de informaciónDiseño de entradas para sistemas de información
Diseño de entradas para sistemas de información
 
TPS
TPSTPS
TPS
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria Informática
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria Informatica
 
DIAPOSITIVAS COBIT
DIAPOSITIVAS COBITDIAPOSITIVAS COBIT
DIAPOSITIVAS COBIT
 
Auditoría Física
Auditoría FísicaAuditoría Física
Auditoría Física
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
 
perfil del auditor
perfil del auditorperfil del auditor
perfil del auditor
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
 
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOCAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
 
Propuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN TicPropuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN Tic
 
Tema N° 2 El Proceso de Negocio y sus Elementos
Tema N° 2 El Proceso de Negocio y sus ElementosTema N° 2 El Proceso de Negocio y sus Elementos
Tema N° 2 El Proceso de Negocio y sus Elementos
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicaciones
 
Check List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasCheck List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y Sistemas
 
Funciones de un administrador de base de datos
Funciones de un administrador de base de datosFunciones de un administrador de base de datos
Funciones de un administrador de base de datos
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informática
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
 

Destacado

Elaboración de un informe de Auditoria
Elaboración de un informe de AuditoriaElaboración de un informe de Auditoria
Elaboración de un informe de AuditoriaManu Mujica
 
Amplificadores realimentados
Amplificadores realimentadosAmplificadores realimentados
Amplificadores realimentadosAngel Naveda
 
Mapa mental de métricas de la auditoría
Mapa mental de métricas de la auditoría Mapa mental de métricas de la auditoría
Mapa mental de métricas de la auditoría carlossdani
 
I Workshop RS Bioderma by Gema Herrerías
I Workshop RS Bioderma by Gema HerreríasI Workshop RS Bioderma by Gema Herrerías
I Workshop RS Bioderma by Gema HerreríasGema Herrerías
 
Zimbra EXAMEN
Zimbra EXAMENZimbra EXAMEN
Zimbra EXAMENwicho2612
 
Zimbra examen
Zimbra examenZimbra examen
Zimbra examenwicho2612
 
Estrategia de implantacion_de_itil_en_una_gran_corporacion_telefonica
Estrategia de implantacion_de_itil_en_una_gran_corporacion_telefonicaEstrategia de implantacion_de_itil_en_una_gran_corporacion_telefonica
Estrategia de implantacion_de_itil_en_una_gran_corporacion_telefonicaRochin Piolin
 
Manual de Instalación y configuración Zimbra
Manual de Instalación y configuración Zimbra Manual de Instalación y configuración Zimbra
Manual de Instalación y configuración Zimbra Ignacio Lozano
 
Memorias webCast Como aplicar las mejores practicas de servicio itil?
Memorias webCast Como aplicar las mejores practicas de servicio itil?Memorias webCast Como aplicar las mejores practicas de servicio itil?
Memorias webCast Como aplicar las mejores practicas de servicio itil?Aranda Software
 
Soluciones de Oracle para la Auditoría, Seguridad y Gobierno de TI
Soluciones de Oracle para la Auditoría, Seguridad y Gobierno de TISoluciones de Oracle para la Auditoría, Seguridad y Gobierno de TI
Soluciones de Oracle para la Auditoría, Seguridad y Gobierno de TIMario Redón Luz
 
PMBok Caso Practico_PRES_MKhiani_v1.0
PMBok Caso Practico_PRES_MKhiani_v1.0PMBok Caso Practico_PRES_MKhiani_v1.0
PMBok Caso Practico_PRES_MKhiani_v1.0Monica Khiani - PMP
 
InstalacióN Del Servidor De Correo Zimbra
InstalacióN Del Servidor De Correo ZimbraInstalacióN Del Servidor De Correo Zimbra
InstalacióN Del Servidor De Correo ZimbraDianaBermeo2009
 
El Factor Humano en la Dirección de Proyectos
El Factor Humano en la Dirección de ProyectosEl Factor Humano en la Dirección de Proyectos
El Factor Humano en la Dirección de Proyectositproiectus
 
La gestión de proyectos TIC en Binter Sistemas
La gestión de proyectos TIC en Binter SistemasLa gestión de proyectos TIC en Binter Sistemas
La gestión de proyectos TIC en Binter Sistemasitproiectus
 

Destacado (20)

Caso éxito Amsa
Caso éxito AmsaCaso éxito Amsa
Caso éxito Amsa
 
Elaboración de un informe de Auditoria
Elaboración de un informe de AuditoriaElaboración de un informe de Auditoria
Elaboración de un informe de Auditoria
 
Amplificadores realimentados
Amplificadores realimentadosAmplificadores realimentados
Amplificadores realimentados
 
Auditoriaitvf
AuditoriaitvfAuditoriaitvf
Auditoriaitvf
 
Mapa mental de métricas de la auditoría
Mapa mental de métricas de la auditoría Mapa mental de métricas de la auditoría
Mapa mental de métricas de la auditoría
 
Zimbra
ZimbraZimbra
Zimbra
 
I Workshop RS Bioderma by Gema Herrerías
I Workshop RS Bioderma by Gema HerreríasI Workshop RS Bioderma by Gema Herrerías
I Workshop RS Bioderma by Gema Herrerías
 
Zimbra EXAMEN
Zimbra EXAMENZimbra EXAMEN
Zimbra EXAMEN
 
Zimbra examen
Zimbra examenZimbra examen
Zimbra examen
 
Estrategia de implantacion_de_itil_en_una_gran_corporacion_telefonica
Estrategia de implantacion_de_itil_en_una_gran_corporacion_telefonicaEstrategia de implantacion_de_itil_en_una_gran_corporacion_telefonica
Estrategia de implantacion_de_itil_en_una_gran_corporacion_telefonica
 
Manual de Instalación y configuración Zimbra
Manual de Instalación y configuración Zimbra Manual de Instalación y configuración Zimbra
Manual de Instalación y configuración Zimbra
 
Memorias webCast Como aplicar las mejores practicas de servicio itil?
Memorias webCast Como aplicar las mejores practicas de servicio itil?Memorias webCast Como aplicar las mejores practicas de servicio itil?
Memorias webCast Como aplicar las mejores practicas de servicio itil?
 
05 cci seguridadfisicacentrodatos
05 cci seguridadfisicacentrodatos05 cci seguridadfisicacentrodatos
05 cci seguridadfisicacentrodatos
 
Soluciones de Oracle para la Auditoría, Seguridad y Gobierno de TI
Soluciones de Oracle para la Auditoría, Seguridad y Gobierno de TISoluciones de Oracle para la Auditoría, Seguridad y Gobierno de TI
Soluciones de Oracle para la Auditoría, Seguridad y Gobierno de TI
 
PMBok Caso Practico_PRES_MKhiani_v1.0
PMBok Caso Practico_PRES_MKhiani_v1.0PMBok Caso Practico_PRES_MKhiani_v1.0
PMBok Caso Practico_PRES_MKhiani_v1.0
 
InstalacióN Del Servidor De Correo Zimbra
InstalacióN Del Servidor De Correo ZimbraInstalacióN Del Servidor De Correo Zimbra
InstalacióN Del Servidor De Correo Zimbra
 
El Factor Humano en la Dirección de Proyectos
El Factor Humano en la Dirección de ProyectosEl Factor Humano en la Dirección de Proyectos
El Factor Humano en la Dirección de Proyectos
 
KANBAN
KANBANKANBAN
KANBAN
 
La gestión de proyectos TIC en Binter Sistemas
La gestión de proyectos TIC en Binter SistemasLa gestión de proyectos TIC en Binter Sistemas
La gestión de proyectos TIC en Binter Sistemas
 
PMBOK
PMBOKPMBOK
PMBOK
 

Similar a Informe Técnico de Auditoría

Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITDimitri Villamar
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasOvi Larios
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosadolfo1608
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónedithua
 
11 - 3 Prácticas de Auditoría 3.2 Auditoria Gestión de TI - Adquisición Desar...
11 - 3 Prácticas de Auditoría 3.2 Auditoria Gestión de TI - Adquisición Desar...11 - 3 Prácticas de Auditoría 3.2 Auditoria Gestión de TI - Adquisición Desar...
11 - 3 Prácticas de Auditoría 3.2 Auditoria Gestión de TI - Adquisición Desar...Luis Fernando Aguas Bucheli
 
Cobit 4
Cobit 4Cobit 4
Cobit 4Martha
 
Principales áreas de la auditoría informática
Principales áreas de la auditoría informáticaPrincipales áreas de la auditoría informática
Principales áreas de la auditoría informáticamerytalopez
 
auditoria de sistemas - capitulo 5
auditoria de sistemas - capitulo 5auditoria de sistemas - capitulo 5
auditoria de sistemas - capitulo 5KarenSalazarOrtega
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasgalactico_87
 
COBIT E ITIL SISTEMAS DE INFORMACIÓN
COBIT E ITIL SISTEMAS DE INFORMACIÓNCOBIT E ITIL SISTEMAS DE INFORMACIÓN
COBIT E ITIL SISTEMAS DE INFORMACIÓNdian1103
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasfefer87
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasfefer87
 
Auditoria de sistemas presentacion
Auditoria de sistemas presentacionAuditoria de sistemas presentacion
Auditoria de sistemas presentacionfefer87
 

Similar a Informe Técnico de Auditoría (20)

Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De Cobit
 
Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBIT
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
ITIL Foundations.pptx
ITIL Foundations.pptxITIL Foundations.pptx
ITIL Foundations.pptx
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datos
 
Evaluación de procesos
Evaluación de procesosEvaluación de procesos
Evaluación de procesos
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
 
11 - 3 Prácticas de Auditoría 3.2 Auditoria Gestión de TI - Adquisición Desar...
11 - 3 Prácticas de Auditoría 3.2 Auditoria Gestión de TI - Adquisición Desar...11 - 3 Prácticas de Auditoría 3.2 Auditoria Gestión de TI - Adquisición Desar...
11 - 3 Prácticas de Auditoría 3.2 Auditoria Gestión de TI - Adquisición Desar...
 
Cobit 4
Cobit 4Cobit 4
Cobit 4
 
Cobit
CobitCobit
Cobit
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Principales áreas de la auditoría informática
Principales áreas de la auditoría informáticaPrincipales áreas de la auditoría informática
Principales áreas de la auditoría informática
 
Auditoriadesistemas
AuditoriadesistemasAuditoriadesistemas
Auditoriadesistemas
 
auditoria de sistemas - capitulo 5
auditoria de sistemas - capitulo 5auditoria de sistemas - capitulo 5
auditoria de sistemas - capitulo 5
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Estándar
EstándarEstándar
Estándar
 
COBIT E ITIL SISTEMAS DE INFORMACIÓN
COBIT E ITIL SISTEMAS DE INFORMACIÓNCOBIT E ITIL SISTEMAS DE INFORMACIÓN
COBIT E ITIL SISTEMAS DE INFORMACIÓN
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas presentacion
Auditoria de sistemas presentacionAuditoria de sistemas presentacion
Auditoria de sistemas presentacion
 

Último

RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACIONRESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACIONamelia poma
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024IES Vicent Andres Estelles
 
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptPINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptAlberto Rubio
 
ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...
ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...
ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...JAVIER SOLIS NOYOLA
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primariaWilian24
 
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfFeliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfMercedes Gonzalez
 
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdf
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdfPlan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdf
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdfcarolinamartinezsev
 
activ4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdfactiv4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdfRosabel UA
 
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxLA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxlclcarmen
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxFernando Solis
 
Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024IES Vicent Andres Estelles
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Katherine Concepcion Gonzalez
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESOluismii249
 
Linea del tiempo - Filosofos Cristianos.docx
Linea del tiempo - Filosofos Cristianos.docxLinea del tiempo - Filosofos Cristianos.docx
Linea del tiempo - Filosofos Cristianos.docxEnriqueLineros1
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Juan Martín Martín
 
prostitución en España: una mirada integral!
prostitución en España: una mirada integral!prostitución en España: una mirada integral!
prostitución en España: una mirada integral!CatalinaAlfaroChryso
 
Desarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por ValoresDesarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por ValoresJonathanCovena1
 

Último (20)

RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACIONRESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024
 
Usos y desusos de la inteligencia artificial en revistas científicas
Usos y desusos de la inteligencia artificial en revistas científicasUsos y desusos de la inteligencia artificial en revistas científicas
Usos y desusos de la inteligencia artificial en revistas científicas
 
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptPINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
 
ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...
ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...
ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
 
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfFeliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
 
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdf
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdfPlan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdf
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdf
 
PP_Comunicacion en Salud: Objetivación de signos y síntomas
PP_Comunicacion en Salud: Objetivación de signos y síntomasPP_Comunicacion en Salud: Objetivación de signos y síntomas
PP_Comunicacion en Salud: Objetivación de signos y síntomas
 
activ4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdfactiv4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdf
 
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxLA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
 
Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
 
Linea del tiempo - Filosofos Cristianos.docx
Linea del tiempo - Filosofos Cristianos.docxLinea del tiempo - Filosofos Cristianos.docx
Linea del tiempo - Filosofos Cristianos.docx
 
Sesión de clase APC: Los dos testigos.pdf
Sesión de clase APC: Los dos testigos.pdfSesión de clase APC: Los dos testigos.pdf
Sesión de clase APC: Los dos testigos.pdf
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
 
prostitución en España: una mirada integral!
prostitución en España: una mirada integral!prostitución en España: una mirada integral!
prostitución en España: una mirada integral!
 
Desarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por ValoresDesarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por Valores
 

Informe Técnico de Auditoría

  • 1. Instituto Tecnológico de Costa Rica Maestría en Computación Auditoría de Sistemas Arelis Troetsth Armando Rodríguez Jorge Molina
  • 2. Introducción  Objetivos de la Auditoria.  Metodología  Dictamen de la auditoría  Garantizar la continuidad del servicio  Administrar los datos  Administrar el ambiente físico  Conclusiones
  • 3. Se efectuó la auditoría al Centro de Cómputo del Instituto Tecnológico de Costa Rica (ITCR) y con base en el examen efectuado, observamos ciertos aspectos referentes al sistema de control interno y procedimientos de Tecnología de Información, basados en las los estándares establecidos según los Objetivos de Control para Información y Tecnología Relacionada (COBIT).
  • 4.  Evaluamos y calificamos el entorno de Tecnologías de Información con el que cuenta el ITCR.  La evaluación se centró en los siguientes procesos de TI especificados dentro del dominio “Entregar y Dar soporte” de COBIT:  Garantizar la continuidad del Servicio  Administrar los datos  Administrar el ambiente físico
  • 5. Realización de entrevistas  Observación directa de algunos aspectos a evaluar  Se realizó un análisis de la información suministrada por el Departamento de Tecnologías de Información del ITCR:  entrevistas,  Inspecciones  documentos sobre las tres áreas evaluadas.
  • 6. Para cada una de las áreas a evaluar se presenta:  Puntos a evaluar  Oportunidades de mejoras detectadas  Niveles de madurez del proceso  Recomendaciones
  • 7. Puntos a Evaluar:  Marco de trabajo de continuidad:  Planes de continuidad de TI  Recursos críticos de TI  Mantenimiento del plan de continuidad de TI  Pruebas del plan de continuidad de TI  Entrenamiento del plan de continuidad de TI  Distribución del plan de continuidad de TI  Recuperación y reanudación de los servicios de TI  Almacenamiento de respaldos fuera de las instalaciones  Revisión post-reanudación
  • 8. Oportunidades de Mejora detectadas:  El Centro de Computo dispone de:  Procedimientos para realizar los respaldos de la información  UPS y una Planta eléctrica como soporte a fallas de energía eléctrica
  • 9. Oportunidades de Mejora detectadas:  No se nos proporcionó evidencia de los siguientes controles detallados  Marco de trabajo de continuidad de TI para soportar la continuidad del negocio con un proceso consistent  Planes de continuidad de TI con base en el marco de trabajo, diseñado para reducir el impacto de una interrupción mayor de las funciones y los procesos clave del negocioe a lo largo de toda la organización
  • 10. Nivel de Madurez del proceso y recomendaciones: Nivel 1 (Inicial /Ad-Hoc).  Las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada.  La gerencia comienza a darse cuenta de los riesgos relacionados y de la necesidad de mantener continuidad en los servicios.
  • 11. Nivel de Madurez del proceso y recomendaciones: Nivel 1 (Inicial /Ad-Hoc).  El enfoque de la gerencia sobre la continuidad del servicio radica en los recursos de infraestructura, en vez de radicar en los servicios de TI.  Los usuarios utilizan soluciones alternas como respuesta a la interrupción de los servicios. La respuesta de TI a las interrupciones mayores es reactiva y sin preparación.  Las pérdidas de energía planeadas están programadas para cumplir con las necesidades de TI pero no consideran los requerimientos del negocio.
  • 12. Por tanto se recomienda:  Desarrollar un marco de trabajo de continuidad del negocio para soportar los procesos del ITCR, que permita determinar y guiar en el desarrollo y la creación del Plan de Continuidad de TI, enfocándose en reducir el impacto de una interrupción de las funciones y procesos claves.  Mejorar el procedimiento de respaldo y recuperación, de manera que se ofrezca mayor detalle de los procesos tanto para respaldo como para la recuperación de la información, así como la realización de pruebas para medir el impacto en la continuidad del negocio.
  • 13. Puntos a evaluar  Requerimientos del negocio para administración de datos  Acuerdos de almacenamiento y conservación  Sistema de administración de librería de medios  Eliminación  Respaldo y restauración  Requerimientos de seguridad para la administración de datos
  • 14. Oportunidades de mejora detectadas:  El centro de computo dispone: ▪ Procedimientos para realizar los respaldos de la información que define información respaldada, periodicidad, formato de identificación de cintas, proceso de duplicidad y destinos de almacenamiento, además de definir el hardware y modelos de cintas a utilizar. Sin embargo, no se define como se realiza la restauración de la información en caso de ser necesario.
  • 15. Oportunidades de mejora detectadas.  No se nos proporcionó evidencia de los siguientes controles detallados ▪ Políticas y procedimientos para el archivo y almacenamiento de los datos ▪ Políticas y procedimientos para mantener un inventario de medios en sitio
  • 16. Oportunidades de mejora detectadas.  No se nos proporcionó evidencia de los siguientes controles detallados ▪ Políticas y procedimientos para prevenir acceso a datos una vez eliminados ▪ Políticas y procedimientos de respaldo y restauración de los sistemas, datos y configuraciones
  • 17. Oportunidades de mejora detectadas.  No se nos proporcionó evidencia de los siguientes controles detallados ▪ Políticas y procedimientos para prevenir acceso a datos una vez eliminados ▪ Políticas y procedimientos de respaldo y restauración de los sistemas, datos y configuraciones
  • 18. Nivel de madurez del proceso y recomendaciones: Nivel 2 (repetible pero intuitivo)  A lo largo de toda la organización existe conciencia sobre la necesidad de una adecuada administración de los datos.  A un alto nivel empieza a observarse la propiedad o responsabilidad sobre los datos.
  • 19. Nivel de madurez del proceso y recomendaciones: Nivel 2 (repetible pero intuitivo)  Los requerimientos de seguridad para la administración de datos son documentados por individuos clave.  Se lleva a cabo algún tipo de monitoreo dentro de TI sobre algunas actividades clave de la administración de datos.
  • 20. Nivel de madurez del proceso y recomendaciones: Nivel 2 (repetible pero intuitivo)  Las responsabilidades para la administración de datos son asignadas de manera informal a personal clave de TI
  • 21. Recomendaciones  Políticas y procedimientos para el archivo y almacenamiento de los datos, de manera que los datos permanezcan accesibles y utilizables.  Políticas y procedimientos para mantener un inventario de medios en sitio  Políticas y procedimientos para prevenir el acceso a datos sensitivos y al software desde equipos o medios una vez que son eliminados o transferidos para otro uso
  • 22. Recomendaciones  Políticas y procedimientos para el archivo y almacenamiento de los datos, de manera que los datos permanezcan accesibles y utilizables.  Políticas y procedimientos para mantener un inventario de medios en sitio  Políticas y procedimientos para prevenir el acceso a datos sensitivos y al software desde equipos o medios una vez que son eliminados o transferidos para otro uso  Políticas y procedimientos de respaldo y restauración de los sistemas, datos y configuraciones
  • 23. Puntos a evaluar  Selección y diseño del centro de datos  Medidas de seguridad física  Acceso Físico  Protección contra factores ambientales  Administración de instalaciones físicas
  • 24. Oportunidades de mejora detectadas.  El Centro de Cómputo dispone: ▪ Controles electrónicos de acceso físico a los centros de datos y comunicaciones para los empleados. ▪ Controles ambientales de humedad y aire acondicionado. ▪ UPS y generadores eléctricos
  • 25. Oportunidades de mejora detectadas.  No se nos proporcionó evidencia de los siguientes controles detallados ▪ Políticas y procedimientos de TI relacionadas a las medidas de seguridad físicas ▪ Políticas y procedimientos de TI para otorgar, limitar y revocar el acceso a locales, edificios y áreas
  • 26. Nivel de madurez del proceso y recomendaciones: Nivel 2 (repetible pero intuitivo)  los controles ambientales se implementan y monitorean por parte del personal de operaciones  La seguridad física es un proceso informal, realizado por un pequeño grupo de empleados  Los procedimientos de mantenimiento de instalaciones no están bien documentados  Las metas de seguridad física no se basan en estándares formales
  • 27. Recomendaciones  Documentar e implementar políticas y procedimientos de TI relacionadas a las medidas de seguridad físicas  Documentar e implementar políticas y procedimientos de TI para otorgar, limitar y revocar el acceso a locales, edificios y áreas
  • 28. Es importante mencionar que recibimos mucha atención por parte de los encargados de las distintas áreas del Centro de Cómputo, pero debido a sus múltiples ocupaciones no se pudo obtener mucha mayor información para extender el alcance de esta auditoría.
  • 29. Aunque hubo un compromiso de parte del director de TI, debido a que el proyecto se enmarcó dentro de un proyecto de curso, no se tenía la facilidad o la consciencia de parte del personal de cómputo para realizar pruebas sustantivas o de cumplimiento.