1. Instituto Tecnológico de Costa Rica
Maestría en Computación
Auditoría de Sistemas
Arelis Troetsth
Armando Rodríguez
Jorge Molina
2. Introducción
Objetivos de la Auditoria.
Metodología
Dictamen de la auditoría
Garantizar la continuidad del servicio
Administrar los datos
Administrar el ambiente físico
Conclusiones
3. Se efectuó la auditoría al Centro de
Cómputo del Instituto Tecnológico de Costa
Rica (ITCR) y con base en el examen
efectuado, observamos ciertos aspectos
referentes al sistema de control interno y
procedimientos de Tecnología de
Información, basados en las los estándares
establecidos según los Objetivos de Control
para Información y Tecnología Relacionada
(COBIT).
4. Evaluamos y calificamos el entorno de Tecnologías
de Información con el que cuenta el ITCR.
La evaluación se centró en los siguientes procesos
de TI especificados dentro del dominio “Entregar y
Dar soporte” de COBIT:
Garantizar la continuidad del Servicio
Administrar los datos
Administrar el ambiente físico
5. Realización de entrevistas
Observación directa de algunos aspectos a
evaluar
Se realizó un análisis de la información
suministrada por el Departamento de
Tecnologías de Información del ITCR:
entrevistas,
Inspecciones
documentos sobre las tres áreas evaluadas.
6. Para cada una de las áreas a evaluar se
presenta:
Puntos a evaluar
Oportunidades de mejoras detectadas
Niveles de madurez del proceso
Recomendaciones
7. Puntos a Evaluar:
Marco de trabajo de continuidad:
Planes de continuidad de TI
Recursos críticos de TI
Mantenimiento del plan de continuidad de TI
Pruebas del plan de continuidad de TI
Entrenamiento del plan de continuidad de TI
Distribución del plan de continuidad de TI
Recuperación y reanudación de los servicios de TI
Almacenamiento de respaldos fuera de las instalaciones
Revisión post-reanudación
8. Oportunidades de Mejora detectadas:
El Centro de Computo dispone de:
Procedimientos para realizar los respaldos de la
información
UPS y una Planta eléctrica como soporte a fallas de
energía eléctrica
9. Oportunidades de Mejora detectadas:
No se nos proporcionó evidencia de los siguientes
controles detallados
Marco de trabajo de continuidad de TI para soportar la
continuidad del negocio con un proceso consistent
Planes de continuidad de TI con base en el marco de
trabajo, diseñado para reducir el impacto de una
interrupción mayor de las funciones y los procesos clave
del negocioe a lo largo de toda la organización
10. Nivel de Madurez del proceso y recomendaciones: Nivel 1
(Inicial /Ad-Hoc).
Las responsabilidades sobre la continuidad de los
servicios son informales y la autoridad para
ejecutar responsabilidades es limitada.
La gerencia comienza a darse cuenta de los
riesgos relacionados y de la necesidad de
mantener continuidad en los servicios.
11. Nivel de Madurez del proceso y recomendaciones: Nivel 1
(Inicial /Ad-Hoc).
El enfoque de la gerencia sobre la continuidad del
servicio radica en los recursos de infraestructura, en vez
de radicar en los servicios de TI.
Los usuarios utilizan soluciones alternas como respuesta
a la interrupción de los servicios. La respuesta de TI a las
interrupciones mayores es reactiva y sin preparación.
Las pérdidas de energía planeadas están programadas
para cumplir con las necesidades de TI pero no
consideran los requerimientos del negocio.
12. Por tanto se recomienda:
Desarrollar un marco de trabajo de continuidad del negocio
para soportar los procesos del ITCR, que permita determinar
y guiar en el desarrollo y la creación del Plan de Continuidad
de TI, enfocándose en reducir el impacto de una interrupción
de las funciones y procesos claves.
Mejorar el procedimiento de respaldo y recuperación, de
manera que se ofrezca mayor detalle de los procesos tanto
para respaldo como para la recuperación de la información,
así como la realización de pruebas para medir el impacto en
la continuidad del negocio.
13. Puntos a evaluar
Requerimientos del negocio para administración
de datos
Acuerdos de almacenamiento y conservación
Sistema de administración de librería de medios
Eliminación
Respaldo y restauración
Requerimientos de seguridad para la
administración de datos
14. Oportunidades de mejora detectadas:
El centro de computo dispone:
▪ Procedimientos para realizar los respaldos de la
información que define información
respaldada, periodicidad, formato de identificación de
cintas, proceso de duplicidad y destinos de
almacenamiento, además de definir el hardware y
modelos de cintas a utilizar. Sin embargo, no se define
como se realiza la restauración de la información en
caso de ser necesario.
15. Oportunidades de mejora detectadas.
No se nos proporcionó evidencia de los siguientes
controles detallados
▪ Políticas y procedimientos para el archivo y
almacenamiento de los datos
▪ Políticas y procedimientos para mantener un inventario
de medios en sitio
16. Oportunidades de mejora detectadas.
No se nos proporcionó evidencia de los siguientes
controles detallados
▪ Políticas y procedimientos para prevenir acceso a datos
una vez eliminados
▪ Políticas y procedimientos de respaldo y restauración de
los sistemas, datos y configuraciones
17. Oportunidades de mejora detectadas.
No se nos proporcionó evidencia de los siguientes
controles detallados
▪ Políticas y procedimientos para prevenir acceso a datos
una vez eliminados
▪ Políticas y procedimientos de respaldo y restauración de
los sistemas, datos y configuraciones
18. Nivel de madurez del proceso y
recomendaciones: Nivel 2 (repetible pero
intuitivo)
A lo largo de toda la organización existe
conciencia sobre la necesidad de una adecuada
administración de los datos.
A un alto nivel empieza a observarse la propiedad
o responsabilidad sobre los datos.
19. Nivel de madurez del proceso y
recomendaciones: Nivel 2 (repetible pero
intuitivo)
Los requerimientos de seguridad para la
administración de datos son documentados por
individuos clave.
Se lleva a cabo algún tipo de monitoreo dentro de
TI sobre algunas actividades clave de la
administración de datos.
20. Nivel de madurez del proceso y
recomendaciones: Nivel 2 (repetible pero
intuitivo)
Las responsabilidades para la administración de
datos son asignadas de manera informal a
personal clave de TI
21. Recomendaciones
Políticas y procedimientos para el archivo y
almacenamiento de los datos, de manera que los datos
permanezcan accesibles y utilizables.
Políticas y procedimientos para mantener un inventario de
medios en sitio
Políticas y procedimientos para prevenir el acceso a datos
sensitivos y al software desde equipos o medios una vez
que son eliminados o transferidos para otro uso
22. Recomendaciones
Políticas y procedimientos para el archivo y
almacenamiento de los datos, de manera que los datos
permanezcan accesibles y utilizables.
Políticas y procedimientos para mantener un inventario de
medios en sitio
Políticas y procedimientos para prevenir el acceso a datos
sensitivos y al software desde equipos o medios una vez
que son eliminados o transferidos para otro uso
Políticas y procedimientos de respaldo y restauración de
los sistemas, datos y configuraciones
23. Puntos a evaluar
Selección y diseño del centro de datos
Medidas de seguridad física
Acceso Físico
Protección contra factores ambientales
Administración de instalaciones físicas
24. Oportunidades de mejora detectadas.
El Centro de Cómputo dispone:
▪ Controles electrónicos de acceso físico a los centros de
datos y comunicaciones para los empleados.
▪ Controles ambientales de humedad y aire
acondicionado.
▪ UPS y generadores eléctricos
25. Oportunidades de mejora detectadas.
No se nos proporcionó evidencia de los siguientes
controles detallados
▪ Políticas y procedimientos de TI relacionadas a las
medidas de seguridad físicas
▪ Políticas y procedimientos de TI para otorgar, limitar y
revocar el acceso a locales, edificios y áreas
26. Nivel de madurez del proceso y
recomendaciones: Nivel 2 (repetible pero
intuitivo)
los controles ambientales se implementan y
monitorean por parte del personal de operaciones
La seguridad física es un proceso informal, realizado
por un pequeño grupo de empleados
Los procedimientos de mantenimiento de
instalaciones no están bien documentados
Las metas de seguridad física no se basan en
estándares formales
27. Recomendaciones
Documentar e implementar políticas y
procedimientos de TI relacionadas a las medidas
de seguridad físicas
Documentar e implementar políticas y
procedimientos de TI para otorgar, limitar y
revocar el acceso a locales, edificios y áreas
28. Es importante mencionar que recibimos
mucha atención por parte de los encargados
de las distintas áreas del Centro de
Cómputo, pero debido a sus múltiples
ocupaciones no se pudo obtener mucha
mayor información para extender el alcance
de esta auditoría.
29. Aunque hubo un compromiso de parte del
director de TI, debido a que el proyecto se
enmarcó dentro de un proyecto de curso, no
se tenía la facilidad o la consciencia de parte
del personal de cómputo para realizar
pruebas sustantivas o de cumplimiento.