SlideShare una empresa de Scribd logo

Informe Técnico de Auditoría

Descargar como PPTX, PDF
Porfirio Armando Rodríguez
Porfirio Armando Rodríguez

Práctica de una Auditoria de Sistemas Informáticos realizada en el Instituto Tecnológico de Costa Rica.

Educación
1 de 31
Instituto Tecnológico de Costa Rica Maestría en Computación Auditoría de Sistemas Arelis Troetsth Armando Rodríguez Jorge Molina
 Introducción  Objetivos de la Auditoria.  Metodología  Dictamen de la auditoría  Garantizar la continuidad del servicio  Administrar los datos  Administrar el ambiente físico  Conclusiones
 Se efectuó la auditoría al Centro de Cómputo del Instituto Tecnológico de Costa Rica (ITCR) y con base en el examen efectuado, observamos ciertos aspectos referentes al sistema de control interno y procedimientos de Tecnología de Información, basados en las los estándares establecidos según los Objetivos de Control para Información y Tecnología Relacionada (COBIT).
 Evaluamos y calificamos el entorno de Tecnologías de Información con el que cuenta el ITCR.  La evaluación se centró en los siguientes procesos de TI especificados dentro del dominio “Entregar y Dar soporte” de COBIT:  Garantizar la continuidad del Servicio  Administrar los datos  Administrar el ambiente físico
 Realización de entrevistas  Observación directa de algunos aspectos a evaluar  Se realizó un análisis de la información suministrada por el Departamento de Tecnologías de Información del ITCR:  entrevistas,  Inspecciones  documentos sobre las tres áreas evaluadas.
 Para cada una de las áreas a evaluar se presenta:  Puntos a evaluar  Oportunidades de mejoras detectadas  Niveles de madurez del proceso  Recomendaciones
 Puntos a Evaluar:  Marco de trabajo de continuidad:  Planes de continuidad de TI  Recursos críticos de TI  Mantenimiento del plan de continuidad de TI  Pruebas del plan de continuidad de TI  Entrenamiento del plan de continuidad de TI  Distribución del plan de continuidad de TI  Recuperación y reanudación de los servicios de TI  Almacenamiento de respaldos fuera de las instalaciones  Revisión post-reanudación
Oportunidades de Mejora detectadas:  El Centro de Computo dispone de:  Procedimientos para realizar los respaldos de la información  UPS y una Planta eléctrica como soporte a fallas de energía eléctrica
Oportunidades de Mejora detectadas:  No se nos proporcionó evidencia de los siguientes controles detallados  Marco de trabajo de continuidad de TI para soportar la continuidad del negocio con un proceso consistent  Planes de continuidad de TI con base en el marco de trabajo, diseñado para reducir el impacto de una interrupción mayor de las funciones y los procesos clave del negocioe a lo largo de toda la organización
 Nivel de Madurez del proceso y recomendaciones: Nivel 1 (Inicial /Ad-Hoc).  Las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada.  La gerencia comienza a darse cuenta de los riesgos relacionados y de la necesidad de mantener continuidad en los servicios.
 Nivel de Madurez del proceso y recomendaciones: Nivel 1 (Inicial /Ad-Hoc).  El enfoque de la gerencia sobre la continuidad del servicio radica en los recursos de infraestructura, en vez de radicar en los servicios de TI.  Los usuarios utilizan soluciones alternas como respuesta a la interrupción de los servicios. La respuesta de TI a las interrupciones mayores es reactiva y sin preparación.  Las pérdidas de energía planeadas están programadas para cumplir con las necesidades de TI pero no consideran los requerimientos del negocio.
 Por tanto se recomienda:  Desarrollar un marco de trabajo de continuidad del negocio para soportar los procesos del ITCR, que permita determinar y guiar en el desarrollo y la creación del Plan de Continuidad de TI, enfocándose en reducir el impacto de una interrupción de las funciones y procesos claves.  Mejorar el procedimiento de respaldo y recuperación, de manera que se ofrezca mayor detalle de los procesos tanto para respaldo como para la recuperación de la información, así como la realización de pruebas para medir el impacto en la continuidad del negocio.
 Puntos a evaluar  Requerimientos del negocio para administración de datos  Acuerdos de almacenamiento y conservación  Sistema de administración de librería de medios  Eliminación  Respaldo y restauración  Requerimientos de seguridad para la administración de datos
 Oportunidades de mejora detectadas:  El centro de computo dispone: ▪ Procedimientos para realizar los respaldos de la información que define información respaldada, periodicidad, formato de identificación de cintas, proceso de duplicidad y destinos de almacenamiento, además de definir el hardware y modelos de cintas a utilizar. Sin embargo, no se define como se realiza la restauración de la información en caso de ser necesario.
 Oportunidades de mejora detectadas.  No se nos proporcionó evidencia de los siguientes controles detallados ▪ Políticas y procedimientos para el archivo y almacenamiento de los datos ▪ Políticas y procedimientos para mantener un inventario de medios en sitio
 Oportunidades de mejora detectadas.  No se nos proporcionó evidencia de los siguientes controles detallados ▪ Políticas y procedimientos para prevenir acceso a datos una vez eliminados ▪ Políticas y procedimientos de respaldo y restauración de los sistemas, datos y configuraciones
 Oportunidades de mejora detectadas.  No se nos proporcionó evidencia de los siguientes controles detallados ▪ Políticas y procedimientos para prevenir acceso a datos una vez eliminados ▪ Políticas y procedimientos de respaldo y restauración de los sistemas, datos y configuraciones
 Nivel de madurez del proceso y recomendaciones: Nivel 2 (repetible pero intuitivo)  A lo largo de toda la organización existe conciencia sobre la necesidad de una adecuada administración de los datos.  A un alto nivel empieza a observarse la propiedad o responsabilidad sobre los datos.
 Nivel de madurez del proceso y recomendaciones: Nivel 2 (repetible pero intuitivo)  Los requerimientos de seguridad para la administración de datos son documentados por individuos clave.  Se lleva a cabo algún tipo de monitoreo dentro de TI sobre algunas actividades clave de la administración de datos.
 Nivel de madurez del proceso y recomendaciones: Nivel 2 (repetible pero intuitivo)  Las responsabilidades para la administración de datos son asignadas de manera informal a personal clave de TI
 Recomendaciones  Políticas y procedimientos para el archivo y almacenamiento de los datos, de manera que los datos permanezcan accesibles y utilizables.  Políticas y procedimientos para mantener un inventario de medios en sitio  Políticas y procedimientos para prevenir el acceso a datos sensitivos y al software desde equipos o medios una vez que son eliminados o transferidos para otro uso
 Recomendaciones  Políticas y procedimientos para el archivo y almacenamiento de los datos, de manera que los datos permanezcan accesibles y utilizables.  Políticas y procedimientos para mantener un inventario de medios en sitio  Políticas y procedimientos para prevenir el acceso a datos sensitivos y al software desde equipos o medios una vez que son eliminados o transferidos para otro uso  Políticas y procedimientos de respaldo y restauración de los sistemas, datos y configuraciones
 Puntos a evaluar  Selección y diseño del centro de datos  Medidas de seguridad física  Acceso Físico  Protección contra factores ambientales  Administración de instalaciones físicas
 Oportunidades de mejora detectadas.  El Centro de Cómputo dispone: ▪ Controles electrónicos de acceso físico a los centros de datos y comunicaciones para los empleados. ▪ Controles ambientales de humedad y aire acondicionado. ▪ UPS y generadores eléctricos
 Oportunidades de mejora detectadas.  No se nos proporcionó evidencia de los siguientes controles detallados ▪ Políticas y procedimientos de TI relacionadas a las medidas de seguridad físicas ▪ Políticas y procedimientos de TI para otorgar, limitar y revocar el acceso a locales, edificios y áreas
 Nivel de madurez del proceso y recomendaciones: Nivel 2 (repetible pero intuitivo)  los controles ambientales se implementan y monitorean por parte del personal de operaciones  La seguridad física es un proceso informal, realizado por un pequeño grupo de empleados  Los procedimientos de mantenimiento de instalaciones no están bien documentados  Las metas de seguridad física no se basan en estándares formales
 Recomendaciones  Documentar e implementar políticas y procedimientos de TI relacionadas a las medidas de seguridad físicas  Documentar e implementar políticas y procedimientos de TI para otorgar, limitar y revocar el acceso a locales, edificios y áreas
 Es importante mencionar que recibimos mucha atención por parte de los encargados de las distintas áreas del Centro de Cómputo, pero debido a sus múltiples ocupaciones no se pudo obtener mucha mayor información para extender el alcance de esta auditoría.
 Aunque hubo un compromiso de parte del director de TI, debido a que el proyecto se enmarcó dentro de un proyecto de curso, no se tenía la facilidad o la consciencia de parte del personal de cómputo para realizar pruebas sustantivas o de cumplimiento.
Informe Técnico de Auditoría
Informe Técnico de Auditoría

Recomendados

Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemasYony Laurente
 
Deontologia del auditor informático
Deontologia del auditor informáticoDeontologia del auditor informático
Deontologia del auditor informáticoRonald Choca Juarez
 
AREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICAAREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICAWillian Yanza Chavez
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales Jazmín Moreno
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controlesAlexander Velasque Rimac
 
Reunión de cierre
Reunión de cierreReunión de cierre
Reunión de cierrelady oscar
 

Recomendados

Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemasYony Laurente
 
Deontologia del auditor informático
Deontologia del auditor informáticoDeontologia del auditor informático
Deontologia del auditor informáticoRonald Choca Juarez
 
AREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICAAREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICAWillian Yanza Chavez
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales Jazmín Moreno
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controlesAlexander Velasque Rimac
 
Reunión de cierre
Reunión de cierreReunión de cierre
Reunión de cierrelady oscar
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosEduardo Gonzalez
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimaticaManuel Medina
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
Auditoria de sistemas contables ppt clases
Auditoria de sistemas contables ppt clasesAuditoria de sistemas contables ppt clases
Auditoria de sistemas contables ppt clasesceleste ramos
 
Ejemplo de una auditoria
Ejemplo de una auditoriaEjemplo de una auditoria
Ejemplo de una auditoriajoinergac
 
Planificacion y preparacion de una auditoria
Planificacion y preparacion de una auditoriaPlanificacion y preparacion de una auditoria
Planificacion y preparacion de una auditoriaMauricio Guerrero Murillo
 
Fases de la auditoria
Fases de la auditoriaFases de la auditoria
Fases de la auditoriaStefany Paiz Brol Liceo Evangelico Olimpiadas
 
Trabajo de Auditoria de Sistemas
Trabajo de Auditoria de SistemasTrabajo de Auditoria de Sistemas
Trabajo de Auditoria de SistemasSarita Peña
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases kyaalena
 
Clase 11. proceso de auditoría
Clase 11. proceso de auditoríaClase 11. proceso de auditoría
Clase 11. proceso de auditoríaoscarreyesnova
 
Gc pr-04. procedimiento para auditoria internas
Gc pr-04. procedimiento para auditoria internasGc pr-04. procedimiento para auditoria internas
Gc pr-04. procedimiento para auditoria internasssuser8d0f2f
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasPaola Yèpez
 
Etapas de analisis de sistemas
Etapas de analisis de sistemasEtapas de analisis de sistemas
Etapas de analisis de sistemasKaarlOoss Gaarcia
 
Auditoria de efectivo y equivalente de efectivo
Auditoria de efectivo y equivalente de efectivoAuditoria de efectivo y equivalente de efectivo
Auditoria de efectivo y equivalente de efectivoangel maximo alcarraz ortiz
 
Diseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistemaDiseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistemaFernando Kano
 
Auditoría
AuditoríaAuditoría
AuditoríaVivian-ITC
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Nanet Martinez
 
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICA
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICATECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICA
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICAYULIANA JIMENEZ
 
Ensayo de auditoría en informatica
Ensayo de auditoría en informaticaEnsayo de auditoría en informatica
Ensayo de auditoría en informaticaLeoner Parra
 
Caso éxito Amsa
Caso éxito AmsaCaso éxito Amsa
Caso éxito AmsaNovitec Consultores
 
Elaboración de un informe de Auditoria
Elaboración de un informe de AuditoriaElaboración de un informe de Auditoria
Elaboración de un informe de AuditoriaManu Mujica
 

Más contenido relacionado

La actualidad más candente

Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosEduardo Gonzalez
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimaticaManuel Medina
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
Auditoria de sistemas contables ppt clases
Auditoria de sistemas contables ppt clasesAuditoria de sistemas contables ppt clases
Auditoria de sistemas contables ppt clasesceleste ramos
 
Ejemplo de una auditoria
Ejemplo de una auditoriaEjemplo de una auditoria
Ejemplo de una auditoriajoinergac
 
Planificacion y preparacion de una auditoria
Planificacion y preparacion de una auditoriaPlanificacion y preparacion de una auditoria
Planificacion y preparacion de una auditoriaMauricio Guerrero Murillo
 
Trabajo de Auditoria de Sistemas
Trabajo de Auditoria de SistemasTrabajo de Auditoria de Sistemas
Trabajo de Auditoria de SistemasSarita Peña
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases kyaalena
 
Clase 11. proceso de auditoría
Clase 11. proceso de auditoríaClase 11. proceso de auditoría
Clase 11. proceso de auditoríaoscarreyesnova
 
Gc pr-04. procedimiento para auditoria internas
Gc pr-04. procedimiento para auditoria internasGc pr-04. procedimiento para auditoria internas
Gc pr-04. procedimiento para auditoria internasssuser8d0f2f
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasPaola Yèpez
 
Etapas de analisis de sistemas
Etapas de analisis de sistemasEtapas de analisis de sistemas
Etapas de analisis de sistemasKaarlOoss Gaarcia
 
Diseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistemaDiseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistemaFernando Kano
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Nanet Martinez
 
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICA
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICATECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICA
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICAYULIANA JIMENEZ
 
Ensayo de auditoría en informatica
Ensayo de auditoría en informaticaEnsayo de auditoría en informatica
Ensayo de auditoría en informaticaLeoner Parra
 

La actualidad más candente (20)

Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimatica
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
 
Auditoria de sistemas contables ppt clases
Auditoria de sistemas contables ppt clasesAuditoria de sistemas contables ppt clases
Auditoria de sistemas contables ppt clases
 
Ejemplo de una auditoria
Ejemplo de una auditoriaEjemplo de una auditoria
Ejemplo de una auditoria
 
Planificacion y preparacion de una auditoria
Planificacion y preparacion de una auditoriaPlanificacion y preparacion de una auditoria
Planificacion y preparacion de una auditoria
 
Fases de la auditoria
Fases de la auditoriaFases de la auditoria
Fases de la auditoria
 
Trabajo de Auditoria de Sistemas
Trabajo de Auditoria de SistemasTrabajo de Auditoria de Sistemas
Trabajo de Auditoria de Sistemas
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases
 
Clase 11. proceso de auditoría
Clase 11. proceso de auditoríaClase 11. proceso de auditoría
Clase 11. proceso de auditoría
 
Gc pr-04. procedimiento para auditoria internas
Gc pr-04. procedimiento para auditoria internasGc pr-04. procedimiento para auditoria internas
Gc pr-04. procedimiento para auditoria internas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Etapas de analisis de sistemas
Etapas de analisis de sistemasEtapas de analisis de sistemas
Etapas de analisis de sistemas
 
Auditoria de efectivo y equivalente de efectivo
Auditoria de efectivo y equivalente de efectivoAuditoria de efectivo y equivalente de efectivo
Auditoria de efectivo y equivalente de efectivo
 
Diseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistemaDiseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistema
 
Auditoría
AuditoríaAuditoría
Auditoría
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas
 
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICA
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICATECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICA
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICA
 
Ensayo de auditoría en informatica
Ensayo de auditoría en informaticaEnsayo de auditoría en informatica
Ensayo de auditoría en informatica
 

Destacado

Elaboración de un informe de Auditoria
Elaboración de un informe de AuditoriaElaboración de un informe de Auditoria
Elaboración de un informe de AuditoriaManu Mujica
 
Amplificadores realimentados
Amplificadores realimentadosAmplificadores realimentados
Amplificadores realimentadosAngel Naveda
 
Mapa mental de métricas de la auditoría
Mapa mental de métricas de la auditoría Mapa mental de métricas de la auditoría
Mapa mental de métricas de la auditoría carlossdani
 
I Workshop RS Bioderma by Gema Herrerías
I Workshop RS Bioderma by Gema HerreríasI Workshop RS Bioderma by Gema Herrerías
I Workshop RS Bioderma by Gema HerreríasGema Herrerías
 
Zimbra EXAMEN
Zimbra EXAMENZimbra EXAMEN
Zimbra EXAMENwicho2612
 
Zimbra examen
Zimbra examenZimbra examen
Zimbra examenwicho2612
 
Estrategia de implantacion_de_itil_en_una_gran_corporacion_telefonica
Estrategia de implantacion_de_itil_en_una_gran_corporacion_telefonicaEstrategia de implantacion_de_itil_en_una_gran_corporacion_telefonica
Estrategia de implantacion_de_itil_en_una_gran_corporacion_telefonicaRochin Piolin
 
Manual de Instalación y configuración Zimbra
Manual de Instalación y configuración Zimbra Manual de Instalación y configuración Zimbra
Manual de Instalación y configuración Zimbra Ignacio Lozano
 
Memorias webCast Como aplicar las mejores practicas de servicio itil?
Memorias webCast Como aplicar las mejores practicas de servicio itil?Memorias webCast Como aplicar las mejores practicas de servicio itil?
Memorias webCast Como aplicar las mejores practicas de servicio itil?Aranda Software
 
Soluciones de Oracle para la Auditoría, Seguridad y Gobierno de TI
Soluciones de Oracle para la Auditoría, Seguridad y Gobierno de TISoluciones de Oracle para la Auditoría, Seguridad y Gobierno de TI
Soluciones de Oracle para la Auditoría, Seguridad y Gobierno de TIMario Redón Luz
 
PMBok Caso Practico_PRES_MKhiani_v1.0
PMBok Caso Practico_PRES_MKhiani_v1.0PMBok Caso Practico_PRES_MKhiani_v1.0
PMBok Caso Practico_PRES_MKhiani_v1.0Monica Khiani - PMP
 
InstalacióN Del Servidor De Correo Zimbra
InstalacióN Del Servidor De Correo ZimbraInstalacióN Del Servidor De Correo Zimbra
InstalacióN Del Servidor De Correo ZimbraDianaBermeo2009
 
El Factor Humano en la Dirección de Proyectos
El Factor Humano en la Dirección de ProyectosEl Factor Humano en la Dirección de Proyectos
El Factor Humano en la Dirección de Proyectositproiectus
 
La gestión de proyectos TIC en Binter Sistemas
La gestión de proyectos TIC en Binter SistemasLa gestión de proyectos TIC en Binter Sistemas
La gestión de proyectos TIC en Binter Sistemasitproiectus
 

Destacado (20)

Caso éxito Amsa
Caso éxito AmsaCaso éxito Amsa
Caso éxito Amsa
 
Elaboración de un informe de Auditoria
Elaboración de un informe de AuditoriaElaboración de un informe de Auditoria
Elaboración de un informe de Auditoria
 
Amplificadores realimentados
Amplificadores realimentadosAmplificadores realimentados
Amplificadores realimentados
 
Auditoriaitvf
AuditoriaitvfAuditoriaitvf
Auditoriaitvf
 
Mapa mental de métricas de la auditoría
Mapa mental de métricas de la auditoría Mapa mental de métricas de la auditoría
Mapa mental de métricas de la auditoría
 
Zimbra
ZimbraZimbra
Zimbra
 
I Workshop RS Bioderma by Gema Herrerías
I Workshop RS Bioderma by Gema HerreríasI Workshop RS Bioderma by Gema Herrerías
I Workshop RS Bioderma by Gema Herrerías
 
Zimbra EXAMEN
Zimbra EXAMENZimbra EXAMEN
Zimbra EXAMEN
 
Zimbra examen
Zimbra examenZimbra examen
Zimbra examen
 
Estrategia de implantacion_de_itil_en_una_gran_corporacion_telefonica
Estrategia de implantacion_de_itil_en_una_gran_corporacion_telefonicaEstrategia de implantacion_de_itil_en_una_gran_corporacion_telefonica
Estrategia de implantacion_de_itil_en_una_gran_corporacion_telefonica
 
Manual de Instalación y configuración Zimbra
Manual de Instalación y configuración Zimbra Manual de Instalación y configuración Zimbra
Manual de Instalación y configuración Zimbra
 
Memorias webCast Como aplicar las mejores practicas de servicio itil?
Memorias webCast Como aplicar las mejores practicas de servicio itil?Memorias webCast Como aplicar las mejores practicas de servicio itil?
Memorias webCast Como aplicar las mejores practicas de servicio itil?
 
05 cci seguridadfisicacentrodatos
05 cci seguridadfisicacentrodatos05 cci seguridadfisicacentrodatos
05 cci seguridadfisicacentrodatos
 
Soluciones de Oracle para la Auditoría, Seguridad y Gobierno de TI
Soluciones de Oracle para la Auditoría, Seguridad y Gobierno de TISoluciones de Oracle para la Auditoría, Seguridad y Gobierno de TI
Soluciones de Oracle para la Auditoría, Seguridad y Gobierno de TI
 
PMBok Caso Practico_PRES_MKhiani_v1.0
PMBok Caso Practico_PRES_MKhiani_v1.0PMBok Caso Practico_PRES_MKhiani_v1.0
PMBok Caso Practico_PRES_MKhiani_v1.0
 
InstalacióN Del Servidor De Correo Zimbra
InstalacióN Del Servidor De Correo ZimbraInstalacióN Del Servidor De Correo Zimbra
InstalacióN Del Servidor De Correo Zimbra
 
El Factor Humano en la Dirección de Proyectos
El Factor Humano en la Dirección de ProyectosEl Factor Humano en la Dirección de Proyectos
El Factor Humano en la Dirección de Proyectos
 
KANBAN
KANBANKANBAN
KANBAN
 
La gestión de proyectos TIC en Binter Sistemas
La gestión de proyectos TIC en Binter SistemasLa gestión de proyectos TIC en Binter Sistemas
La gestión de proyectos TIC en Binter Sistemas
 
PMBOK
PMBOKPMBOK
PMBOK
 

Similar a Informe Técnico de Auditoría

Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITDimitri Villamar
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasOvi Larios
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosadolfo1608
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónedithua
 
11 - 3 Prácticas de Auditoría 3.2 Auditoria Gestión de TI - Adquisición Desar...
11 - 3 Prácticas de Auditoría 3.2 Auditoria Gestión de TI - Adquisición Desar...11 - 3 Prácticas de Auditoría 3.2 Auditoria Gestión de TI - Adquisición Desar...
11 - 3 Prácticas de Auditoría 3.2 Auditoria Gestión de TI - Adquisición Desar...Luis Fernando Aguas Bucheli
 
Cobit 4
Cobit 4Cobit 4
Cobit 4Martha
 
Principales áreas de la auditoría informática
Principales áreas de la auditoría informáticaPrincipales áreas de la auditoría informática
Principales áreas de la auditoría informáticamerytalopez
 
auditoria de sistemas - capitulo 5
auditoria de sistemas - capitulo 5auditoria de sistemas - capitulo 5
auditoria de sistemas - capitulo 5KarenSalazarOrtega
 
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOCAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOOrlando Bello
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasgalactico_87
 
COBIT E ITIL SISTEMAS DE INFORMACIÓN
COBIT E ITIL SISTEMAS DE INFORMACIÓNCOBIT E ITIL SISTEMAS DE INFORMACIÓN
COBIT E ITIL SISTEMAS DE INFORMACIÓNdian1103
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasfefer87
 
Auditoria de sistemas presentacion
Auditoria de sistemas presentacionAuditoria de sistemas presentacion
Auditoria de sistemas presentacionfefer87
 

Similar a Informe Técnico de Auditoría (20)

Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De Cobit
 
Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBIT
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
ITIL Foundations.pptx
ITIL Foundations.pptxITIL Foundations.pptx
ITIL Foundations.pptx
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datos
 
Evaluación de procesos
Evaluación de procesosEvaluación de procesos
Evaluación de procesos
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
 
11 - 3 Prácticas de Auditoría 3.2 Auditoria Gestión de TI - Adquisición Desar...
11 - 3 Prácticas de Auditoría 3.2 Auditoria Gestión de TI - Adquisición Desar...11 - 3 Prácticas de Auditoría 3.2 Auditoria Gestión de TI - Adquisición Desar...
11 - 3 Prácticas de Auditoría 3.2 Auditoria Gestión de TI - Adquisición Desar...
 
Cobit 4
Cobit 4Cobit 4
Cobit 4
 
Cobit
CobitCobit
Cobit
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Principales áreas de la auditoría informática
Principales áreas de la auditoría informáticaPrincipales áreas de la auditoría informática
Principales áreas de la auditoría informática
 
Auditoriadesistemas
AuditoriadesistemasAuditoriadesistemas
Auditoriadesistemas
 
auditoria de sistemas - capitulo 5
auditoria de sistemas - capitulo 5auditoria de sistemas - capitulo 5
auditoria de sistemas - capitulo 5
 
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOCAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Estándar
EstándarEstándar
Estándar
 
COBIT E ITIL SISTEMAS DE INFORMACIÓN
COBIT E ITIL SISTEMAS DE INFORMACIÓNCOBIT E ITIL SISTEMAS DE INFORMACIÓN
COBIT E ITIL SISTEMAS DE INFORMACIÓN
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas presentacion
Auditoria de sistemas presentacionAuditoria de sistemas presentacion
Auditoria de sistemas presentacion
 

Último

Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfAlfredoRamirez953210
 
Análisis de la Implementación de los Servicios Locales de Educación Pública p...
Análisis de la Implementación de los Servicios Locales de Educación Pública p...Análisis de la Implementación de los Servicios Locales de Educación Pública p...
Análisis de la Implementación de los Servicios Locales de Educación Pública p...Baker Publishing Company
 
Procesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptxProcesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptxMapyMerma1
 
Metabolismo 3: Anabolismo y Fotosíntesis 2024
Metabolismo 3: Anabolismo y Fotosíntesis 2024Metabolismo 3: Anabolismo y Fotosíntesis 2024
Metabolismo 3: Anabolismo y Fotosíntesis 2024IES Vicent Andres Estelles
 
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...JAVIER SOLIS NOYOLA
 
periodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicasperiodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicas123yudy
 
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdfOswaldoGonzalezCruz
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxJunkotantik
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxlclcarmen
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxjosetrinidadchavez
 
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfManuel Molina
 
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxc3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxMartín Ramírez
 
c3.hu3.p1.p3.El ser humano como ser histórico.pptx
c3.hu3.p1.p3.El ser humano como ser histórico.pptxc3.hu3.p1.p3.El ser humano como ser histórico.pptx
c3.hu3.p1.p3.El ser humano como ser histórico.pptxMartín Ramírez
 
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docxPLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docxJUANSIMONPACHIN
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIACarlos Campaña Montenegro
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...fcastellanos3
 

Último (20)

Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
 
Análisis de la Implementación de los Servicios Locales de Educación Pública p...
Análisis de la Implementación de los Servicios Locales de Educación Pública p...Análisis de la Implementación de los Servicios Locales de Educación Pública p...
Análisis de la Implementación de los Servicios Locales de Educación Pública p...
 
PPTX: La luz brilla en la oscuridad.pptx
PPTX: La luz brilla en la oscuridad.pptxPPTX: La luz brilla en la oscuridad.pptx
PPTX: La luz brilla en la oscuridad.pptx
 
Procesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptxProcesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptx
 
Repaso Pruebas CRECE PR 2024. Ciencia General
Repaso Pruebas CRECE PR 2024. Ciencia GeneralRepaso Pruebas CRECE PR 2024. Ciencia General
Repaso Pruebas CRECE PR 2024. Ciencia General
 
Metabolismo 3: Anabolismo y Fotosíntesis 2024
Metabolismo 3: Anabolismo y Fotosíntesis 2024Metabolismo 3: Anabolismo y Fotosíntesis 2024
Metabolismo 3: Anabolismo y Fotosíntesis 2024
 
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
 
periodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicasperiodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicas
 
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptx
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
 
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
 
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxc3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
 
c3.hu3.p1.p3.El ser humano como ser histórico.pptx
c3.hu3.p1.p3.El ser humano como ser histórico.pptxc3.hu3.p1.p3.El ser humano como ser histórico.pptx
c3.hu3.p1.p3.El ser humano como ser histórico.pptx
 
Sesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdfSesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdf
 
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docxPLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
 
Earth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversaryEarth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversary
 

Informe Técnico de Auditoría

  • 1. Instituto Tecnológico de Costa Rica Maestría en Computación Auditoría de Sistemas Arelis Troetsth Armando Rodríguez Jorge Molina
  • 2. Introducción  Objetivos de la Auditoria.  Metodología  Dictamen de la auditoría  Garantizar la continuidad del servicio  Administrar los datos  Administrar el ambiente físico  Conclusiones
  • 3. Se efectuó la auditoría al Centro de Cómputo del Instituto Tecnológico de Costa Rica (ITCR) y con base en el examen efectuado, observamos ciertos aspectos referentes al sistema de control interno y procedimientos de Tecnología de Información, basados en las los estándares establecidos según los Objetivos de Control para Información y Tecnología Relacionada (COBIT).
  • 4.  Evaluamos y calificamos el entorno de Tecnologías de Información con el que cuenta el ITCR.  La evaluación se centró en los siguientes procesos de TI especificados dentro del dominio “Entregar y Dar soporte” de COBIT:  Garantizar la continuidad del Servicio  Administrar los datos  Administrar el ambiente físico
  • 5. Realización de entrevistas  Observación directa de algunos aspectos a evaluar  Se realizó un análisis de la información suministrada por el Departamento de Tecnologías de Información del ITCR:  entrevistas,  Inspecciones  documentos sobre las tres áreas evaluadas.
  • 6. Para cada una de las áreas a evaluar se presenta:  Puntos a evaluar  Oportunidades de mejoras detectadas  Niveles de madurez del proceso  Recomendaciones
  • 7. Puntos a Evaluar:  Marco de trabajo de continuidad:  Planes de continuidad de TI  Recursos críticos de TI  Mantenimiento del plan de continuidad de TI  Pruebas del plan de continuidad de TI  Entrenamiento del plan de continuidad de TI  Distribución del plan de continuidad de TI  Recuperación y reanudación de los servicios de TI  Almacenamiento de respaldos fuera de las instalaciones  Revisión post-reanudación
  • 8. Oportunidades de Mejora detectadas:  El Centro de Computo dispone de:  Procedimientos para realizar los respaldos de la información  UPS y una Planta eléctrica como soporte a fallas de energía eléctrica
  • 9. Oportunidades de Mejora detectadas:  No se nos proporcionó evidencia de los siguientes controles detallados  Marco de trabajo de continuidad de TI para soportar la continuidad del negocio con un proceso consistent  Planes de continuidad de TI con base en el marco de trabajo, diseñado para reducir el impacto de una interrupción mayor de las funciones y los procesos clave del negocioe a lo largo de toda la organización
  • 10. Nivel de Madurez del proceso y recomendaciones: Nivel 1 (Inicial /Ad-Hoc).  Las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada.  La gerencia comienza a darse cuenta de los riesgos relacionados y de la necesidad de mantener continuidad en los servicios.
  • 11. Nivel de Madurez del proceso y recomendaciones: Nivel 1 (Inicial /Ad-Hoc).  El enfoque de la gerencia sobre la continuidad del servicio radica en los recursos de infraestructura, en vez de radicar en los servicios de TI.  Los usuarios utilizan soluciones alternas como respuesta a la interrupción de los servicios. La respuesta de TI a las interrupciones mayores es reactiva y sin preparación.  Las pérdidas de energía planeadas están programadas para cumplir con las necesidades de TI pero no consideran los requerimientos del negocio.
  • 12. Por tanto se recomienda:  Desarrollar un marco de trabajo de continuidad del negocio para soportar los procesos del ITCR, que permita determinar y guiar en el desarrollo y la creación del Plan de Continuidad de TI, enfocándose en reducir el impacto de una interrupción de las funciones y procesos claves.  Mejorar el procedimiento de respaldo y recuperación, de manera que se ofrezca mayor detalle de los procesos tanto para respaldo como para la recuperación de la información, así como la realización de pruebas para medir el impacto en la continuidad del negocio.
  • 13. Puntos a evaluar  Requerimientos del negocio para administración de datos  Acuerdos de almacenamiento y conservación  Sistema de administración de librería de medios  Eliminación  Respaldo y restauración  Requerimientos de seguridad para la administración de datos
  • 14. Oportunidades de mejora detectadas:  El centro de computo dispone: ▪ Procedimientos para realizar los respaldos de la información que define información respaldada, periodicidad, formato de identificación de cintas, proceso de duplicidad y destinos de almacenamiento, además de definir el hardware y modelos de cintas a utilizar. Sin embargo, no se define como se realiza la restauración de la información en caso de ser necesario.
  • 15. Oportunidades de mejora detectadas.  No se nos proporcionó evidencia de los siguientes controles detallados ▪ Políticas y procedimientos para el archivo y almacenamiento de los datos ▪ Políticas y procedimientos para mantener un inventario de medios en sitio
  • 16. Oportunidades de mejora detectadas.  No se nos proporcionó evidencia de los siguientes controles detallados ▪ Políticas y procedimientos para prevenir acceso a datos una vez eliminados ▪ Políticas y procedimientos de respaldo y restauración de los sistemas, datos y configuraciones
  • 17. Oportunidades de mejora detectadas.  No se nos proporcionó evidencia de los siguientes controles detallados ▪ Políticas y procedimientos para prevenir acceso a datos una vez eliminados ▪ Políticas y procedimientos de respaldo y restauración de los sistemas, datos y configuraciones
  • 18. Nivel de madurez del proceso y recomendaciones: Nivel 2 (repetible pero intuitivo)  A lo largo de toda la organización existe conciencia sobre la necesidad de una adecuada administración de los datos.  A un alto nivel empieza a observarse la propiedad o responsabilidad sobre los datos.
  • 19. Nivel de madurez del proceso y recomendaciones: Nivel 2 (repetible pero intuitivo)  Los requerimientos de seguridad para la administración de datos son documentados por individuos clave.  Se lleva a cabo algún tipo de monitoreo dentro de TI sobre algunas actividades clave de la administración de datos.
  • 20. Nivel de madurez del proceso y recomendaciones: Nivel 2 (repetible pero intuitivo)  Las responsabilidades para la administración de datos son asignadas de manera informal a personal clave de TI
  • 21. Recomendaciones  Políticas y procedimientos para el archivo y almacenamiento de los datos, de manera que los datos permanezcan accesibles y utilizables.  Políticas y procedimientos para mantener un inventario de medios en sitio  Políticas y procedimientos para prevenir el acceso a datos sensitivos y al software desde equipos o medios una vez que son eliminados o transferidos para otro uso
  • 22. Recomendaciones  Políticas y procedimientos para el archivo y almacenamiento de los datos, de manera que los datos permanezcan accesibles y utilizables.  Políticas y procedimientos para mantener un inventario de medios en sitio  Políticas y procedimientos para prevenir el acceso a datos sensitivos y al software desde equipos o medios una vez que son eliminados o transferidos para otro uso  Políticas y procedimientos de respaldo y restauración de los sistemas, datos y configuraciones
  • 23. Puntos a evaluar  Selección y diseño del centro de datos  Medidas de seguridad física  Acceso Físico  Protección contra factores ambientales  Administración de instalaciones físicas
  • 24. Oportunidades de mejora detectadas.  El Centro de Cómputo dispone: ▪ Controles electrónicos de acceso físico a los centros de datos y comunicaciones para los empleados. ▪ Controles ambientales de humedad y aire acondicionado. ▪ UPS y generadores eléctricos
  • 25. Oportunidades de mejora detectadas.  No se nos proporcionó evidencia de los siguientes controles detallados ▪ Políticas y procedimientos de TI relacionadas a las medidas de seguridad físicas ▪ Políticas y procedimientos de TI para otorgar, limitar y revocar el acceso a locales, edificios y áreas
  • 26. Nivel de madurez del proceso y recomendaciones: Nivel 2 (repetible pero intuitivo)  los controles ambientales se implementan y monitorean por parte del personal de operaciones  La seguridad física es un proceso informal, realizado por un pequeño grupo de empleados  Los procedimientos de mantenimiento de instalaciones no están bien documentados  Las metas de seguridad física no se basan en estándares formales
  • 27. Recomendaciones  Documentar e implementar políticas y procedimientos de TI relacionadas a las medidas de seguridad físicas  Documentar e implementar políticas y procedimientos de TI para otorgar, limitar y revocar el acceso a locales, edificios y áreas
  • 28. Es importante mencionar que recibimos mucha atención por parte de los encargados de las distintas áreas del Centro de Cómputo, pero debido a sus múltiples ocupaciones no se pudo obtener mucha mayor información para extender el alcance de esta auditoría.
  • 29. Aunque hubo un compromiso de parte del director de TI, debido a que el proyecto se enmarcó dentro de un proyecto de curso, no se tenía la facilidad o la consciencia de parte del personal de cómputo para realizar pruebas sustantivas o de cumplimiento.