Articulo de Auditoria Informática dentro de una Institución
Pasantia
1. Gestión del Áreade Sistemasen la ContraloríaDepartamentaldel Cauca
Juan David Cerón España
Institución Universitaria Tecnológica de Comfacauca
Tecnología en Sistemas Empresariales de Información
Popayán, Noviembre 2013
1
2. Gestión del Área de Sistemasen la ContraloríaDepartamentaldel Cauca
Anteproyecto de Trabajo de Grado
Pasantía
Juan David Cerón España
Supervisor de la Contraloría Departamentaldel Cauca:
Mónica María Duran
Institución Universitaria Tecnológica de Comfacauca
Tecnología en Sistemas Empresariales de Información
Popayán, Noviembre 2013
2
4. Planteamiento del Problema.
La ContraloríaDepartamental del Cauca es una entidad, al servicio del pueblo y
es vista como una de las más importantes para el progreso del país; no
obstante al igual que muchas empresas y entidades tiene una gran
dependencia de los sistemas de información, con lo cual logran hacer
transacciones, guardar información valiosa para sí misma, atender sus
necesidades y las del pueblo, entre otras.
Sin embargo,actualmenteLa ContraloríaDepartamental del Cauca no cuenta
con personal adecuado en el área de sistemas.De tal modo que cada vez que
se presenta un problema informático dentro de esta,no tienen a quien acudir.
En este momentocuentan con varios problemas informáticos que no se han
podido solucionar, tales como: la carencia de internet en algunos equipos, las
fallas en cuanto al funcionamiento de algunos de estos, la falta de restricción a
las redes sociales o páginas fuera del ámbito laboral, los computadores no
cuentan con la seguridad básica contra malware u otras amenazas virtuales,
las redes no tienen una buena organización ni funcionamiento. Igualmente se
planea
desarrollar
la
auditoria
informática
interna
de
la
ContraloríaDepartamental del Cauca.
Por esta razón se identifica la necesidad de contribuir a dicha entidad
prestando los servicios de tecnólogo en sistemas, con el fin de solucionar los
problemas expuestos anteriormente y aquellos que puedan presentarse en un
futuro, de tal forma que la Contraloría Departamental del Cauca tenga un mejor
desempeño en sus labores habituales.
4
5. Justificación.
Esta propuesta se realiza con el fin de satisfacer las necesidades y
problemáticas que se están presentando en estos momentos y aquellos que se
puedan presentar posteriormente dentro de la Contraloría Departamental del
Cauca y consigo traer beneficios para la entidad, como mejorar y agilizar los
procesos de esta, también se planea contribuir con la auditoria informática
interna de esta, además de instruir el personal para que estos cuiden mejor de
sus equipos y así evitar contraer un malware o fallas en el sistema, evitando
pérdidas o flujo de información, logrando una mejor eficiencia y calidad en sus
procesos habituales.
Objetivos.
Objetivo General.
Contribuir con la Gestión del área de sistemas enLa Contraloríadepartamental
del Cauca.
Objetivos Específicos.
Integrar los conocimientos adquiridos en la práctica presencial de 360
horas identificando y consolidando las mejores acciones para preparar
un plan de contingencia a tomar
Realizar un plan de contingencia el cual puede ser aplicado en el área
informática
Realizar un informe sobre los hallazgos encontrados y algunas
recomendaciones informáticas
5
6. Marco Teórico.
SISTEMA DE GESTION:
Un Sistema de Gestión es un conjunto de etapas unidas en un proceso
continuo, que permite trabajar ordenadamente una idea hasta lograr mejoras y
su continuidad.
Se establecen cuatro etapas en este proceso, que hacen de este sistema, un
proceso circular virtuoso, pues en la medida que el ciclo se repita recurrente y
recursivamente, se logrará en cada ciclo, obtener una mejora.
Las cuatro etapas del sistema de gestión son:
1.
2.
3.
4.
Etapa de Ideación
Etapa de Planeación
Etapa de Implementación
Etapa de Control
Etapa de Ideación:
El objetivo de esta etapa es trabajar en la idea que guiará los primeros pasos
del proceso.
Etapa de Planeación (Planificación):
Dentro del proceso, la planificación constituye una etapa fundamental y el
punto de partida de la acción directiva, ya que supone el establecimiento de
sub-objetivos y los cursos de acción para alcanzarlos.
En esta etapa, se definen las estrategias que se utilizarán, la estructura
organizacional que se requiere, el personal que se asigna, el tipo de tecnología
que se necesita, el tipo de recursos que se utilizan y la clase de controles que
se aplican en todo el proceso.
Etapa de Implementación (Gestión):
En su significado más general, se entiende por gestión, la acción y efecto de
administrar. Pero, en un contexto empresarial, esto se refiere a la dirección que
toman las decisiones y las acciones para alcanzar los objetivos trazados.
6
7. Etapa de control:
El control es una función administrativa, esencialmente reguladora, que permite
verificar (o también constatar, palpar, medir o evaluar), si el elemento
seleccionado (es decir, la actividad, proceso, unidad, sistema, etc.), está
cumpliendo sus objetivos o alcanzando los resultados que se esperan1.
La tecnología de la información juega un papel estratégico en las
organizaciones, las cuales fundamentan cada vez más el logro de los objetivos
institucionales, en el uso de herramientas tecnológicas, procurando un alto
nivel de competitividad2.
Auditoria Informática Interna.
El origen etimológico de la palabra es el verbo inglés "Audit", que significa
"comprobar", y es utilizado principalmente en el "Auditaccounting", que es la
traducción de auditoría. El origen etimológico de la palabra es el verbo latino
"Audire", que significa "oír", que a su vez tiene su origen en que los primeros
auditores ejercían su función juzgando la verdad o falsedad de lo que les era
sometido a su verificación principalmente oyendo3.
Realización de las labores propias de la función de auditoria interna con
especialistas informáticos (CISA-CertifiedInformationSystems Auditor) que
permite cubrir los riesgos derivados de la utilización de sistemas informáticos
sobre la fiabilidad, integridad y confidencialidad de la información empleada por
la organización como soporte a sus procesos de negocio y a su estrategia4.
Según
Eduardo
Rodríguez,
director
de
consultoría
de
PractiaConsultingEspaña, “la seguridad informática implica asegurar la
confidencialidad, integridad y disponibilidad de la información. Esto afecta al
software, al hardware y a las redes. La interconectividad, la ubicuidad de la PC
y del acceso a internet y el uso de los modelos client/sever y web-based hacen
que las compañías, ante incidentes de gran impacto…
…comprendan que la seguridad debe dejar de ser un reducto de especialista
para ser una preocupación de la dirección”5.
Plan de Contingencias.
Un plan de contingencias es un instrumento de gestión para el buen gobierno
de las Tecnologías de la Información y las Comunicaciones en el dominio del
soporte y el desempeño (delivery and support, véase ITIL). Dicho plan contiene
las medidas técnicas, humanas y organizativas necesarias para garantizar la
continuidad del negocio y las operaciones de una compañía 6
7
8. Metodología.
Fase 1:
Determinar los problemas y necesidades informáticos: En esta fase se
realizaran actividades y tareas con el fin de encontrar los problemas
informáticos que se presentan en la actualidad, paradarles una solución
inmediata.
Recolección de información.
Entrevistar a los usuarios informáticos para recolectar parte de la
información sobre los daños, necesidades o problemas en el área de
sistemas.
Analizar la información.
Luego de obtener la información brindada por los usuarios, esta será
analizada para así poder establecer los procesos de restauración
recuperación y solución de problemas, e inclusive para establecer un
punto de inicio y finalización.
Comprobar la información.
Examinar cada uno de los problemas y necesidades informáticos
comprobando, si la información recolectada es verdadera y el origen de
estos, para posteriormente brindar una solución eficiente.
Fase 2:
Darle Solución a los problemas y necesidades
informáticos
encontrados:en esta fase se define el mejor proceso parar dar solución a los
problemas y posteriormente aplicar este proceso.
Establecer procesos de solución.
Teniendo en cuenta el tipo de problema al que se vea enfrentado, se
establecen algunos procesos y se opta por la mejor opción.
Efectuar Procesos de solución.
Luego de escoger se procede a ejecutar el mejor proceso y de esta
forma reparar los daños o brindar solución al(os) problema(s).
8
9. Fase 3:
Ayudar con el desarrollo de la auditoria informática interna:
En esta fase se planea contribuir con el desarrollo y documentación de la
auditoria informática interna con el fin demantener, monitorear y mejorar el
Sistema de Gestión de Seguridad de la información en la Contraloría
Departamental del Cauca.
Conformar equipo de auditoria.
La organización de un equipo auditor requiere de un orden jerárquico
que garantice el flujo de la información de conformidad con la autoridad
y responsabilidad asignados a todos y cada uno de sus integrantes. Este
proceso se llevara a cabo mediante una reunión con el jefe de personal.
Establecer la(s) Norma(s) ISO
Definir que NormaISO se va a utilizar o es necesaria para la
Implementación de la auditoria informática interna.
Desarrollar la Auditoria Informática Interna
Teniendo en cuenta los procesos y normas para la auditoria informática
interna esta pasara a ser desarrollada.
Documentación a cerca de la Auditoria Informática Interna
Luego de desarrollar la Auditoria Informática Interna se deberá dar un
veredicto u opinión sobre esta, para lo cual se brindara un informe de
auditoría.
Fase 4:
Documentación:En esta fase se desarrolla la documentación a cerca del
trabajo realizado en general dentro de la pasantía.
Establecer Formatos o normas requeridas
Deacuerdo con la información brindada por la Universidad de
UniComfacauca, se utilizara los formatos o normas especificadas para el
desarrollo de la documentación de pasantía.
Desarrollar la Documentación
Una vez establecidoslos formatos o normas para la documentación, esta
pasara a ser desarrolladaeficazmente.
9
10. Fase 5:
CRONOGRAMA DE ACTIVIDADES
CRONOGRAMA DE ACTIVIDADES
FASE
ACTIVIDADES
MES 1
1
Identificación de
problemas y
necesidades
informáticas
x
2
Solución de
problemas y
necesidades
informáticas
x
3
ayudar con el
desarrollo de la
auditoria
informática
interna
MES 2
X
X
10
MES 3
X
11. PRESUPUESTO
FUENTES
RUBRO
TOTAL
CONTRALORÍA PROPIAS UNICOMFACAUCA
1Estudiantede
Tecnología de
sistemas
2`100.000
2`100.000
1 docente
orientador
2`800.000
2`800.000
1 persona
encargada de
la información
500.000
1 Computador
500.000
1`500.000
1`500.000
Herramientas
para
mantenimiento
de equipos
120.000
120.000
100.000
100.000
material de
escritorio
Transporte
108.000
108.000
7`228.000
11
12. Resultados esperados.
Tras el desarrollo dela pasantía a cerca de la Gestión del Área de Sistemas en
la Contraloría Departamental del Cauca se espera:
Obtener la documentación a cerca del plan de contingencia informático
dentro del cual se tiene en cuenta como puntos principales:
La creación de un procedimiento de reparación y mantenimiento de los
sistemas y equipos informáticos.
Controlar el acceso a internet.
Establecer los procesos que mejoren la seguridad informática.
Identificación y análisis de riesgos
Identificación de procesos críticos
Plan de mitigación
Plan experimental de pruebas
Implementación del plan
Impactos esperados.
Los efectos que se esperan con el desarrollo de la pasantía durante y/o al final
de su realización son:
Incentivar el desarrollo de la Auditoria Informática Interna.
Demostrar la necesidad de contratación de personal encargado del área
de sistemas.
Crear en los usuarios de los equipos informáticos dentro de la
Contraloría la cultura de uso eficiente de las herramientas tecnológicas
(con algunas recomendaciones previas).
12