EJEMPLO DE AUDITORIA
Enviado por claudiave15 • 27 de Mayo de 2013 • 944 Palabras (4 Páginas) • 574 Visitas
La institución posee más de un sector responsable de los servicios de procesamiento de la información dificultando llevar a cabo estrategias y planes unificados relativos a la TI todo por posible duplicación de esfuerzos y tareas.
Las áreas informáticas identificadas dependen de una de las áreas usuarias dado por falta de independencia y contribuyendo a una incorrecta gestión de prioridades en la prestación de servicios.
Las áreas informáticas identificadas carecen de procedimientos documentados de back up, lo que puede acarrear pérdidas de información, Interrupciones a la continuidad operativa del organismo y dependencia del personal que se encarga de la tarea.
Las áreas informáticas identificadas carecen de procedimientos documentados para las actividades de soporte técnico. Asimismo carecen de procedimientos documentados para la gestión de licencias de software dando como resultado tener una administración deficiente de prioridades, disconformidad de los usuarios; además que se incumple la normativa aplicable.
La institución no realiza auditorías internas de sistemas de información lo cual, influye en desencadenar un desequilibrio entre la informatización del organismo y la realización de auditorías.
Existe un responsable único de los datos lo cual genera imposibilidad para consolidar la información y tener una base de datos consolidada en tiempo real para contar con información oportuna.
Los servidores o lugares donde se encuentran los datos, no están protegidos contra incendios o deterioro por alguna otra anomalía exponiendo a la organización a posibles pérdidas de información atentando contra la continuidad de la empresa.
No existen planes de contingencia para la información plasmada en los datos del área de ventas que permitan la seguridad de los mismos.
Los archivos y datos no se clasifican con fines de seguridad; no se tiene un sistema organizado y seguro para garantizar la custodia de la información.
No existe un registro de las personas que tienen acceso a los datos ni se cambian las claves de acceso periódicamente, exponiendo a la organización a la manipulación de la información o manipulación de los programas informáticos atentando contra los intereses de la empresa.
El área no cuenta con planta eléctrica ni se realizan adecuaciones y remodelaciones a las instalaciones físicas frecuentemente, esto afecta la operatividad de la organización perdiendo elementos competitivos para sus actividades habituales y frente a la competencia.
No se han implantado medidas de protección apropiadas para restringir el acceso de los procesos, exponiendo a la organización a que de estos procesos se manipule la información o pueda utilizarla manos no deseadas (ver matriz riesgos vs componentes).
No existe un proceso que indique el momento de hacer mantenimiento al software y hardware y no se realizan estimaciones que identifiquen el momento en que el hardware pasa a ser obsoleto.
No se cuenta con personal alternativo en caso de que los responsables del área no estén disponibles.
No se controla el número de entradas y salidas del personal de Operación.
No se cuenta con un software que permita realizar ventas electrónicas.
El software no consta con acceso restringido para su uso.
Recomendaciones
Elaborar toda la documentación técnica correspondiente a los sistemas implementados y establecer normas y procedimientos para los desarrollos y su actualización.
Evaluar e implementar un software que permita mantener
...