Upload
abril-luk-dary
View
5
Download
0
Embed Size (px)
DESCRIPTION
iu
Citation preview
FASE DE EJECUCION DE LA AUDITORIA DE SISTEMAS
PRESENTADO POR:
LUKDARY ABRIL RUEDA ZULLY KATERIN MALAGÓN
GRUPO: 90168_27
DIRECTOR:
FRANCISCO NICOLÁS SOLARTE
TUTOR:
CARMEN EMILIA RUBIO
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA
PROGRAMA INGENIERIA DE SISTEMAS
COLOMBIA
Octubre 19 2015
TABLA DE CONTENIDO
INTRODUCCION............................................................................................................................3
OBJETIVOS.....................................................................................................................................4General:.........................................................................................................................................4Específicos:....................................................................................................................................4
METODOLOGÍA DE LA AUDITORIA DE SISTEMAS...............................................................5
PROCESO: AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO...............................10Aplicación de instrumentos de recoleccion de informacion........................................................12Análisis y evaluación de riesgos..................................................................................................15Cuadro de hallazgos detectados...................................................................................................16
PROCESO: DS7 EDUCAR Y ENTRENAR A LOS USUARIOS................................................17Diseño de instrumentos de recolección de información..............................................................19Análisis y evaluación de riesgos..................................................................................................24Guías de hallazgos detectados ....................................................................................................25
CONCLUSIONES..........................................................................................................................28
REFERENCIAS BIBLIOGRÁFICAS............................................................................................29
INTRODUCCION
Con el desarrollo de las empresas y sus distintos procesos, se hace necesario contar con
herramientas adecuadas para la investigación. La auditoría de sistemas es el campo que nos
ocupa en esta actividad, definiéndola como la verificación de controles en el procesamiento de la
información, desarrollo de sistemas y su instalación; con el objetivo de evaluar su desempeño y
presentar informes a la gerencia para la toma de decisiones más oportunas para su corrección.
Mediante la realización de esta actividad se pretende poner en práctica los conocimientos sobre
auditoria de sistemas, comenzando por la escogencia de una empresa cualquiera para conocerla y
analizar sus procesos y sistemas de información; siguiendo con la planeación y finalizando con
la ejecución o puesta en marcha de la auditoria de sistemas. Todo esto teniendo en cuenta los
pasos para su realización.
OBJETIVOS
General:
Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de
cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el
procesamiento de la información, a fin de que por medio del señalamiento de cursos
alternativos se logre una utilización más eficiente y segura de la información que servirá para
una adecuada toma de decisiones.
Específicos:
Profundizar un poco más mediante la práctica en el campo de las auditorias y su
importancia en el desempeño exitoso de una empresa.
Lograr identificar las falencias en los sistemas de información de la empresa,
generando un informe final por escrito con esas novedades.
Conocer la eficacia en el manejo de las tecnologías por parte de la empresa para el
manejo
METODOLOGÍA DE LA AUDITORIA DE SISTEMAS
Existen algunas metodologías de Auditorías de Sistemas y todas dependen de lo que se pretenda
revisar o analizar, se pueden definir muchas etapas diferentes, más o menos detalladas según el
criterio de cada auditor, las cuatro fases principales son:
• Estudio preliminar
• Planeamiento
• Revisión y evaluación de controles y seguridades
• Examen detallado de áreas criticas
• Comunicación de resultados
• Informe
• Seguimiento
Estudio preliminar: Esta etapa consiste en definir el grupo de trabajo, el Programa de Auditoría,
efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un
cuestionario para la obtención de información para evaluar preliminarmente el control interno,
solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los
principales funcionarios del PAD.
Página 5
Página 6
Planeamiento: En esta etapa se define la estrategia que se debe seguir en la Auditoría. Lo
anterior conlleva planear los temas que se deben ejecutar, de manera que aseguren la realización
de una Auditoría de alta calidad y que se logre con la economía, eficiencia, eficacia y prontitud
debidas.
Partiendo de los objetivos y alcance previstos para la Auditoría y considerando toda la
información obtenida y conocimientos adquiridos sobre la entidad en la etapa de exploración, el
jefe de grupo procede a planear las tareas a desarrollar y comprobaciones necesarias para
alcanzar los objetivos de la Auditoría.
Igualmente, debe determinar la importancia relativa de los temas que se van a auditar y reevaluar
la necesidad de personal de acuerdo con los elementos de que dispone.
Revisión y evaluación de controles y seguridades: El propósito de esta etapa es recopilar las
pruebas que sustenten las opiniones del auditor en cuanto al trabajo realizado, es la fase, por decir
de alguna manera, del trabajo de campo, esta depende grandemente del grado de profundidad con
que se hayan realizado las dos etapas anteriores, en esta se elaboran los Papeles de Trabajo y las
hojas de nota, instrumentos que respaldan excepcionalmente la opinión del auditor actuante
Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de
cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, Revisión de
procesos históricos (backups), Revisión de documentación y archivos, entre otras
actividades
Página 7
Examen detallado de áreas críticas: Con las fases anteriores el auditor descubre las áreas
críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su
grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance
Recursos que usara, definirá la metodología de trabajo, la duración de la Auditoría, Presentará el
plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente
analizado.
Comunicado de resultados: Se elaborara el borrador del informe a ser discutido con los
ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemáticamente
en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas
encontrados , los efectos y las recomendaciones de la Auditoría.
El informe debe contener lo siguiente:
• Motivos de la Auditoría.
• Objetivos.
• Alcance.
• Estructura Orgánico-Funcional del área Informática.
• Configuración del Hardware y Software instalado.
• Control Interno.
• Resultados de la Auditoría.
Página 8
Informe: En esta etapa el Auditor se dedica a formalizar en un documento los resultados a los
cuales llegaron los auditores en la Auditoría ejecutada y demás verificaciones vinculadas con el
trabajo realizado.
El informe parte de los resúmenes de los temas y de las Actas de Notificación de los Resultados
de Auditoría que se vayan elaborando y analizando con los auditados, respectivamente, en el
transcurso de la Auditoría.
La elaboración del informe final de Auditoría es una de las fases más importante y compleja de la
Auditoría, por lo que requiere de extremo cuidado en su confección.
El informe de Auditoría debe tener un formato uniforme y estar dividido por secciones para
facilitar al lector una rápida ubicación del contenido de cada una de ellas.
Seguimiento: En esta etapa se siguen, como dice la palabra, los resultados de una Auditoría,
generalmente una Auditoria evaluada de Deficiente o mal, así que pasado un tiempo aproximado
de seis meses o un año se vuelve a realizar otra Auditoría de tipo recurrente para comprobar el
verdadero cumplimiento de las deficiencias detectadas en la Auditoria.
Página 9
EMPRESA ESCOGIDA: SERVIENTREGA S.A
Teniendo en cuenta que lo que se desea medir, analizar e identificar, son los problemas con los que cuenta Servientrega S.A con respecto a la seguridad física y lógica de sus equipos, además la calidad y capacidad en su sistema informático relacionado a funcionalidad, operatividad y accesibilidad de la información respectivamente, se hace necesario orientar esta auditoria hacia una “Auditoría informática de seguridad”.
La estructura del estándar Cobit
Se divide en dominios que son agrupaciones de procesos que corresponden a una responsabilidad personal, procesos que son una serie de actividades unidas con delimitación o cortes de control y objetivos de control o actividades requeridas para lograr un resultado medible. Se trabajó con los siguientes dominios y procesos:
Dominio: adquisición e implementación (ai)
- Proceso: ai2 adquirir y mantener software aplicativo
Dominio: servicios y soporte (ds)
- Proceso: ds7 educar y entrenar a los usuarios
Página 10
DOMINIO: ADQUISICIÓN E IMPLEMENTACIÓN (AI)PROCESO: AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares. Esto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas.
Control sobre el proceso TI de Adquirir y dar mantenimiento a software aplicativo que satisface el requisito de negocio de TI para construir las aplicaciones de acuerdo con los requerimientos del negocio y haciéndolas a tiempo y a un costo razonable enfocándose en garantizar que exista un proceso de desarrollo oportuno y confiable
Se logra con:
La traducción de requerimientos de negocio a especificaciones de diseño La adhesión a los estándares de desarrollo para todas las modificaciones La separación de las actividades de desarrollo, de pruebas y operativas
Se mide con:
Número de problemas en producción por aplicación, que causan tiempo perdido significativo
Porcentaje de usuarios satisfechos con la funcionalidad entregada
Objetivos de control
AI2.5 Configuración e implantación de software aplicativo adquirido: configurar e implementar software de aplicación adquirido para conseguir los objetivos del negocio.
AI2.10 Mantenimiento de software aplicativo: desarrollar una estrategia y un plan para el mantenimiento de aplicaciones de software.
Página 11
Objetivos General
Alinear los requerimientos del negocio con las especificaciones técnicas y de diseño para la adquisición de software, de forma tal que se pueda responder a las directivas tecnológicas y a la arquitectura de información manejada por la organización.
Aplicar los controles necesarios para garantizar el procesamiento correcto y oportuno de la información, así como también para cumplir con los niveles de seguridad obligatorios.
Garantizar la disponibilidad de las aplicaciones de forma que se dé respuesta a los requerimientos de tiempo de repuesta y manejo de la información.
Implementar estrategias con tendencia a asegurar el mantenimiento de las aplicaciones y un alto nivel de calidad en las mismas.
ALCANCE
Se quiere comprobar cuáles son los controles manejados por la organización en la adquisición de software y de qué forma se garantizan tanto la calidad y buen desempeño, como la seguridad en el manejo de las aplicaciones y la información que se pone a su disposición.
Aplicaremos los instrumentos y herramientas para la auditoria:
Para esta fase se utilizaran las siguientes herramientas:
Entrevistas, cuestionarios de control, lista de chequeos serán entregados con anticipación a los empleados directos del área a auditar
Página 14
- Lista de chequeo
sistema de información Servientrega S.ACuestionario de Control
Dominio Adquisición e ImplementaciónProceso AI2: Adquirir y mantener software aplicativo
Pregunta Si No OBSERVACIONESExiste un plan de pruebas del proyecto y un proceso de aprobación del usuario
X
Los materiales de soporte y referencia para usuarios, así como las instalaciones de ayuda en línea están disponibles?¿Son autorizadas y probadas las correcciones realizadas? X¿Se posee un registro de fallas detectadas en los equipos?
XExisten procesos de adquisición y mantenimiento de aplicaciones, con diferencias pero similares, en base a la experiencia dentro de la operación de TI.
x El proceso de Adquirir y Mantener Software Aplicativo está en el nivel de madurez
Se da el proceso de reevaluación siempre que ocurren discrepancias tecnológicas y/o lógicas significativas?
¿Se cuenta con servicio de mantenimiento para todos los equipos?
x
¿Se lleva a cabo actualmente un plan de mantenimiento para la solución del sistema de información?
Existe un proceso claro, definido y de comprensión general para la adquisición y mantenimiento de software aplicativo. Este proceso va de acuerdo con la estrategia de TI y del negocio?
X Dar a conocer el proceso de adquisición y mantenimiento del Sistema de Información (software) y aplicaciones
¿Tiene el sistema de información manuales técnicos, de
operación y de usuario?
X
¿El personal que se encarga del mantenimiento es personal capacitado?
X
¿Se lleva un procedimiento para la adquisición de nuevos equipos?
X
Existe una metodología formal y bien comprendida que incluye un proceso de diseño y especificación, un criterio de adquisición, un proceso de prueba y requerimientos para la documentación?
X Determinar la metodología formal para la documentación del software en uso.
¿Son compatibles software y hardware? X
Página 15
Análisis y evaluación de riesgos del proceso: AI2 Adquirir y mantener software aplicativo
N°
Descripción
Probabilidad ImpactoBaja 0-30%
Media 31-
Alta 61-100%
L M C
R1 falta de mantenimiento de los equipos X XR2 Equipos con bajo rendimiento X XR3 No se ha asignado un espacio locativo para el
ejercicio del mantenimiento preventivo y correctivo.
X X
R4 No se ha definido un protocolo para la organización de los equipos dependiendo que clase de mantenimiento se procederá a efectuar
X X
R5 No hay una hoja de vida de la existencia de los equipos
X X
R6 Sobrecalentamiento de equipos de computo X X
R7 No existe monitorio continuo de software instalado en los equipos de computo
X X
R8 Salida de información por accesos no autorizados
X X
R9 Sistemas operativos mal configurados y mal organizados
X X
R10 El Software no cumple con los estándares de seguridad requeridos pues nunca fue diseñado para dar soporte a una organización.
X
R11 Daños al software y sistema operativo de los equipos de la empresa
X
R12 Software sin licencia XR13 aplicativos cumplan con los requerimientos del
negocioX
R14 No hay plan de gestión de riesgos de seguridad de la aplicación
X
Resultado Matriz de probabilidad
PRO
BABI
LID
AD Alto 61-100%R1, R2,R5,R6,R12
R4,R7,R10,R 11,R13,R14
Menor impacto o probabilidad de ocurrencia
Medio 31-60% R2, R5 R6 Probabilidad y ocurrencia media
Bajo 0-30% R3, R7 R9 Alta probabilidad de ocurrenciaLeve Moderado Catastrófico
IMPACTO
Cuadro de hallazgos detectados, identificando la posible causa que los origina, y los recursos afectados
Hallazgos Causas Recursos Afectados Recomendaciones
No se cuenta con un Software que permita la seguridad de los programas y la restricción y/o control del acceso de los mismos
Cuando se instalaron programas en los equipos con los que cuenta la empresa no se aseguró que se tuviera la suficiente seguridad para queestos no fueran manipulados por otras personas
la seguridad de la información de la empresa, las claves de los usuarios autorizados
Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y de los programadores.
Las modificaciones a los programas son solicitadas generalmente sin notas internas, en donde se describen los cambios o modificaciones que se requieren.
Cuando se incrementa aún más la posibilidad de producir modificaciones erróneas y/o no autorizadas a los programas o archivos y que las mismas no sean detectadas en forma oportuna
Las actualizaciones en cuanto a los cambios en los programas.
Implementar y conservar todas las documentaciones de prueba de los sistemas, como así también las modificaciones y aprobaciones de programas realizadas por los usuarios
No cuenta con documentaciones técnicas del sistema integrado de la Empresa y tampoco no cuenta con un control o registro formal de las modificaciones efectuadas.
La escasa documentación técnica de cada sistema dificulta la compresión de las normas, demandando tiempos considerables para su mantenimiento e imposibilitando la capacitación del personal nuevo en el área.
El desarrollo del trabajo del usuario del trabajo del usuario, la capacitación de un nuevo personal.
Elaborar la documentación técnica correspondiente a los sistemas implementados y establecer normasy procedimientos para los desarrollos en forma periódica y su actualización.
Software sin licencia Equipos sin licencia, debido al alto costo de las mismas.
Pérdidas de información causadas por fallas en los sistemas, y a incurrir en gastos extra por no contar con garantías y asistencia formal.
Utilizar software gratuito o sacar crédito con banco para evitar posibles multas. Debe ser resuelto inmediatamente
Falta de planes y Programas Informáticos
Poca información personal sin experiencia
El sistema se ve afectado al no poderse actualizar de acuerdo a las tecnologías actuales, igualmente se afecta a la gestión de la documentación.
Aplicar la solución más efectiva posible.
Página 16
Página 17
DOMINIO: ENTREGAR Y DAR SOPORTEPROCESO: DS7 EDUCAR Y ENTRENAR A LOS USUARIOS
Para una educación efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos dentro
de TI, se requieren identificar las necesidades de entrenamiento de cada grupo de usuarios.
Además de identificar las necesidades, este proceso incluye la definición y ejecución de una
estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados.
Un programa efectivo de entrenamiento incrementa el uso efectivo de la tecnología al disminuir
los errores, incrementando la productividad y el cumplimiento de los controles clave tales como
las medidas de seguridad de los usuarios.
Satisface el requerimiento del negocio de TI para: El uso efectivo y eficiente de soluciones y
aplicaciones tecnológicas y el cumplimiento del usuario con las políticas y procedimientos
Enfocándose en:
Un claro entendimiento de las necesidades de entrenamiento de los usuarios de TI, la ejecución
de una efectiva estrategia de entrenamiento y la medición de resultados
Se logra con
• Establecer un programa de entrenamiento
• Organizar el entrenamiento
• Impartir el entrenamiento
• Monitorear y reportar la efectividad del entrenamiento
Página 18
Y se mide con
• Número de llamadas de soporte debido a problemas de entrenamiento
• Porcentaje de satisfacción de los Interesados con el entrenamiento recibido
• Lapso de tiempo entre la identificación de la necesidad de entrenamiento y la impartición
del mismo
Objetivos de control:
DS7.1 Identificación de Necesidades de Entrenamiento y Educación
DS7.2 Impartición de Entrenamiento y Educación
DS7.3 Evaluación del Entrenamiento recibido
Página 21
Listas de chequeo:
Cuestionario de control C1
Empresa Sevientrega 13/10/2015Cuestionario de control C1Dominio Entregar y dar soporteProceso DS7 Educar y entrenar a los usuariosObjetivo de control Identificación de necesidades y de entrenamiento y educación
CuestionarioPregunta Si No N/A Observaciones¿Se llevan a cabo entrenamientos a los usuarios de la empresa?
X Si se realizan entrenamientos, los cuales son de carácter obligatorio
¿Se cuenta con un registro de los prerrequisitos para la ejecución de la capacitación?
X Se lleva a cabo un análisis de factibilidad
¿La empresa tiene material de entrenamiento para transferir el conocimiento?
X Los materiales de entrenamiento son tomados como los distintos manuales que se tienen a la hora de entrega de un software
¿Se cuenta con la opinión y el apoyo de las demás áreas para la planeación de las capacitaciones?
X El área de sistemas trabaja en conjunto con el departamento de recursos humanos para llevar a cabo las capacitaciones y comunicación de los planes hacia los demás empleados.
¿Se tiene en cuenta la opinión del usuario en estas actividades de comunicación de servicios, capacitación y soporte?
X Se tienen en cuenta los aportes de los usuarios para realizar los planes de comunicación y capacitación.
¿Existe un registro de llamadas de soporte debido a problemas por falta de entrenamiento?
X No se cuenta con dicho registro
Página 22
Cuestionario de control C2
Empresa Sevientrega 13/10/2015Cuestionario de control C2Dominio Entregar y dar soporteProceso DS7 Educar y entrenar a los usuariosObjetivo de control Impartición de entrenamiento y educación
CuestionarioPregunta Si No N/A Observaciones¿Las capacitaciones van dirigidas a todos los grupos de usuarios de la empresa?
X A todos los usuarios que requieran del uso de software para el cumplimiento de sus funciones
¿Se utilizan métodos para la impartición del conocimiento?
X Se cuenta con políticas de capacitación establecidas para el personal nuevo y para la capacitación en la implementación de software nuevo pero no se especifican métodos de capacitación ni el procedimiento a seguir
¿La documentación existente está disponible para la transferencia de conocimiento a los usuarios?
X Al momento de realizar un software se muestran manuales tanto técnicos como de usuarios y están disponibles para que los usuarios accedan a ellos y se instruyan
¿Se tiene definido un método para la designación de los instructores para la capacitación?
X No hay un método definido para la designación de instructores de capacitación
¿Se cuenta con un registro de los usuarios que han recibido capacitación?
X No se cuenta dicho registro
Página 23
Cuestionario de control C3
Empresa Sevientrega 13/10/2015Cuestionario de control C3Dominio Entregar y dar soporteProceso DS7 Educar y entrenar a los usuariosObjetivo de control Evaluación del entrenamiento recibido
CuestionarioPregunta Si No N/A Observaciones¿Se cuenta con control sobre los acuerdos de confidencialidad firmados por los empleados acerca de la información manejada en la empresa?
X No se cuenta con los acuerdos de confidencialidad
¿Se han ejecutado revisiones posteriores a las actividades de comunicación y cuáles son sus resultados?
X Luego de llevar a cabo las capacitaciones se realizan revisiones posteriores
¿Existe un proceso definido para la evaluación el desempeño dentro de las capacitaciones?
X No hay especificación de dicho proceso
¿Las actividades de comunicación son llevadas a cabo según lo planeado inicialmente?
X Es ocasiones se realizan modificaciones a los condiciones iniciales
¿Se tienen procesos definidos para monitorear la efectividad en las semanas posteriores de haberse realizado las capacitaciones y actividades de comunicación?
X No se tienen procesos definidos para medir la efectividad de las capacitaciones tiempo después de haber sido realizadas
Página 24
Análisis y evaluación de riesgos
Riesgos / Valoración Probabilidad ImpactoA M B C M L
R1 No se cuenta con personal capacitado para la ejecución de
las capacitaciones
X X
R2 No hay metodologías definidas para la planeación de las
capacitaciones
X X
R3 No se lleva registro de llamadas a soporte técnico X XR4 No se especifican métodos para la impartición de
conocimiento
X X
R5 No hay método definido para la selección de instructores
de capacitación
X X
R6 No existe registro de usuarios que han
recibido capacitación
X X
R7 No hay registro sobre los acuerdos de confidencialidad X XR8 No hay proceso definido para la evaluación de desempeño
en las capacitaciones
X X
R9 No se lleva a cabalidad los planes diseñados para la
capacitación
X X
R10 No se realiza evaluación de la efectividad tiempo después
de haber sido realizadas las capacitaciones
X X
R11 No hay conocimiento de los usuarios sobre las políticas de
seguridad de la información
X X
R12 Desconocimiento de medidas básicas de seguridad del área
de tecnologías de la información
X X
- Clasificación de riesgosImpacto
Leve Moderado Catastrófico
Pro
bab
ilid
ad Alto R9 R2, R6, R10
Medio R4, R8 R3, R5, R11 R7, R12
Bajo R1
Página 25
Guías de hallazgos detectados identificando la posible causa que los origina, y los recursos afectados
- Guía de hallazgos H1
Empresa Servientrega Cúcuta R/PT: P1Hallazgos dela auditoria H1
Dominio Servicios y soporteProceso DS7 Educar y entrenar a los usuariosObjetivo de control Identificación de necesidades de entrenamiento y educación
Riesgos asociados R1, R3, R5Descripción
No se cuenta con una metodología para la selección del personal que realizara la capacitación, por lo cual en muchas ocasiones se elige personal que no está capacitado o no cuenta con el conocimiento suficiente sobre el hardware o software que se va a tratar. Adicionalmente, para la planeación de las capacitaciones no se tienen en cuenta los temas relacionados con las llamadas realizadas a soporte técnico.
CausaFalta de personal en la empresa con el conocimiento suficiente para poder impartir las capacitaciones.No hay control sobre los soportes realizados.
Recursos afectadosIntegridad de los datos en los sistemas de información
RecomendaciónSolicitar apoyo con las empresas proveedoras de los productos de hardware y software, para que el personal de sistemas pueda recibir orientaciones directamente de ellos, con el fin de que el área de sistemas se pueda estar actualizando constantemente sobre el uso de las herramientas y puedan brindar mejores capacitaciones y soportes a las demás áreas .Diseñar planillas en donde se registre el área que solicita el soporte, fecha, hora, motivo y descripción del soporte realizado, y firma del que da el soporte y quien lo recibe.
Nivel de riesgoEn cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al impacto es
moderado
Página 26
- Guía de hallazgos H2
Empresa Servientrega Cúcuta R/PT: P2Hallazgos dela auditoria H2
Dominio Servicios y soporteProceso DS7 Educar y entrenar a los usuariosObjetivo de control Impartición de entrenamiento y educación
Riesgos asociados R2, R4, R6, R11, R12Descripción
No se tienen definidos los métodos que serán utilizados para la ejecución de las capacitaciones, además no se lleva control del personal que ha recibido capacitación y sobre qué temas.
CausaFalta de organización del personal y de investigación sobre métodos de impartición de conocimiento
Recursos afectadosSeguridad de la información y recursos tecnológicos
RecomendaciónEntre el área de sistemas y recursos humanos deberán definir la metodología estándar que será usada para la ejecución de las capacitaciones, tomando como base la cantidad de empleados y las temáticas que se van a tratar.Para cada actividad de comunicación y capacitación se llevara un formato en donde se registre el asunto de la capacitación, fecha, hora de inicio y fin, nombre del instructor, y código, nombre, área y firma de las personas asistentes.
Nivel de riesgoEn cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al impacto
es moderado
Página 27
- Guía de hallazgos H3
Empresa Servientrega Cúcuta R/PT: P3Hallazgos dela auditoria H3
Dominio Servicios y soporteProceso DS7 Educar y entrenar a los usuariosObjetivo de control Evaluación de entrenamiento recibido
Riesgos asociados R7, R8, R9, R10Descripción
Aunque desde el principio se realiza un plan y cronograma de trabajo para la capacitación no es llevado a cabalidad, lo que genera que muchos temas que tratar no se realicen. Posterior a esto no se realiza seguimiento en las actividades de los empleados para verificar que estén haciendo buen uso de los recursos y sistemas informáticos
CausaNo se realiza un buen diseño en el cronograma, dejando por fuera temáticas que son importantes tratar, lo cual genera alteraciones en el tiempo de ejecución.
Recursos afectadosCredibilidad de la empresa ante los clientes
RecomendaciónHacer un estudio previo teniendo en cuenta las opiniones de los demás empleados, así se podrá tener una idea más clara de los problemas que más se presentan en las diferentes áreas, y así mismo poder realizar un cronograma que se acomode mejor con las necesidades. Igualmente, con ayuda de las opiniones de los empleados se puede buscan los métodos de impartición de conocimiento que más se acomoden al grupo de usuarios y temáticas a tratar.
Nivel de riesgoEn cuanto a la probabilidad de ocurrencia está clasificado en alto, en cuanto al impacto es
moderado
Página 28
CONCLUSIONES
Con los resultados de la auditoria se evidencian las falencias del área auditada, teniendo
presente elaborar las correcciones a las mismas.
En este caso elaborar planes y seguimientos de la información para su manipulación, con
medios que brinden seguridad.
Otro aspecto de vital importancia señalado en el resultado de la auditoria, es la mala
organización de los puestos de trabajo y la falta de compromiso por parte de los
empleados para con la empresa. Este es un factor muy importante ya que por más
seguridad y mantenimiento que se tenga en los equipos, y en los sistemas de información,
el componente humano es la base fundamental de la empresa.
Página 29
REFERENCIAS BIBLIOGRÁFICAS
Bertha A. Naranjo S. Metodología de una auditoria de sistemas. 2015, de Galeon.com Sitio web: http://anaranjo.galeon.com/metodo_audi.htm
Gerónimo Manso. (2008). Etapas de una auditoria de sistemas. De Geronet Sitio web: http://www.geronet.com.ar/?p=48
IT Governance Institute. COBIT 4.1. 2007, Recuperado de: http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf