ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

INFORME SOBRE LA REVISIÓN DEL ÁREA DE TECNOLOGÍA DE LA INFORMACIÓN


Enviado por   •  30 de Mayo de 2019  •  Ensayos  •  4.829 Palabras (20 Páginas)  •  11 Visitas

Página 1 de 20

INFORME SOBRE LA REVISIÓN DEL ÁREA DE  TECNOLOGÍA DE LA INFORMACIÓN

RECOMENDACIONES TENDIENTES A MEJORAR EL CONTROL INTERNO DEL ÁREA DE TI

ABARCA LOS CONTROLES DE:

  1. ESTRUCTURA DE TI Y GERENCIAMIENTO
  2. SISTEMA INFORMÁTICO DE GESTIÓN – ERP
  3. SEGURIDAD LÓGICA
  4. SEGURIDAD FÍSICA  E INFRAESTRUCTURA
  5. DOCUMENTACIÓNES DE TI

RELEVAMIENTO PRELIMINAR

PROGRAMA DE AUDITORÍA DE EVALUACIÓN DE TI

ENTIDAD:

X

Ref.

P.T.:

T.I.

PERIODO:

X años

Breve descripción de la empresa auditada:

Ñanduti S.R.L es una empresa de transporte dedicado a brindar servicios y a satisfacer

a sus pasajeros, a través de la eficiencia, compromiso y responsabilidad de sus R.R.H.H.

NIVEL DE TI:

  • Gerencial
  • Departamento[pic 2]
  • Jefatura
  • Coordinación
  • Otro

EL ÁREA DE TI DEPENDE DE:

  • Presidencia
  • Gerencial  General[pic 3]
  • Gerencia Administrativa
  • Gerencia de Contabilidad
  • Otro

ORGANIZACIÓN DE LA ESTRUCTURA DE TI

CARGO

NOMBRE

Gerente/Jefe/Encargado de TI

Administración de base de datos

Administración de sistemas

Administración redes e infraestructura

Administración de la seguridad

Soporte técnico

ESTRUCTURA DEL DATACENTER

SERVIDORES DISPONIBLES:

  • Aplicativo
  • Base de datos[pic 4]
  • Dominio
  • Archivos[pic 5]
  • Internet (IP Pública, Hosting)[pic 6]
  • Correo [pic 7]
  • Firewall (Protección de acceso)
  • Otros

TIPO DE SISTEMA OPERATIVO:

  • Propietario – Windows[pic 8]
  • Libre – Linux
  • Otro

SISTEMA DE INFORMACIÓN

  • Desarrollado internamente
  • Tercerizado con licencia[pic 9]
  • Disponibilidad de los fuentes

DESCRIPCIÓN DEL SISTEMA DE INFORMACIÓN

Sistema

Contable Millennium Gold

Plataforma de base de datos

Sql Server Express

Lenguaje de programación

Visual FoxPro

Módulos

  • Estados Financieros Res. 49
  • Ficha de Proveedores
  • Impresión de Formularios
  • Cuadro de Revalúo
  • Libro IVA
  • Fondo Fijo
  • Hechauka
  • I.R.P.
  • Bancos
  • Retenciones

Integración

No está integrado al sistema de ventas y caja

Generación de asientos contables

Automáticos

Mecanismo de cierre contable

Anual


RELEVAMIENTO DE PROCEDIMIENTOS

PROGRAMA DE AUDITORÍA DE EVALUACIÓN DE TI

ENTIDAD:

Ref.

P.T.:

T.I.

PERIODO:

I - ESTRUCTURA DE TI Y GERENCIAMIENTO

  • El propósito de este formulario es obtener conocimiento de la estructura administrativa del área de Tecnología de la Información, determinando la buena gestión de gerenciamiento.

Ref.

INDICADORES DE EVALUACIÓN

RELEVAMIENTO

SITUACIÓN OBSERVADA

NCI

Si/No

Existe una estructura de TI, se dispone un encargado interno para las tareas del área?

Cuenta con dos personales y un Jefe de Departamento de TI

SI

La ubicación estructural de los servicios de TI tiene su dependencia gerencial?        

Depende directamente del Gerente General.

NO

Existe un Comité de tecnologías de la información?

No existe un comité de tecnología de la información.

NO

Existe un organigrama de TI – disponible y actualizado?

No se dispone de ningún organigrama de TI en la organización.

NO

Se definió apropiadamente la separación de funciones - personal clave de tecnología de información?

SI

Se dispone un administrador de seguridad de TI, y su dependencia estructural es adecuada?

No existe un Administrador  de Seguridad de TI

NO

Se dispone un administrador de Base de Datos, responsable del mantenimiento y su seguridad?

SI

Existen controles de auditoría a nivel informático e implementación de la auditoría interna de informática?

No existen controles de auditoría anivel informático e implementación de la auditoría interna de informática.

NO

Se realiza evaluación del personal de TI?

.

SI

Existe alta rotación de personales técnicos de TI?

SI

Se dispone un plan general de capacitación y entrenamiento del personal de TI?

SI

Se dispone de documentaciones utilizadas por el departamento de RR.HH., para procedimientos de seguridad y comunicaciones de cambios y rotaciones de personales, entre otros?

SI

II - SISTEMAS INFORMÁTICO DE GESTIÓN – ERP

  • El propósito de este formulario es obtener  conocimiento del sistema de información automatizado del cliente y dejar documentado en el archivo permanente.

Ref.

INDICADORES DE EVALUACIÓN

RELEVAMIENTO

SITUACIÓN OBSERVADA

NCI

Si/No

Existe integración total de los sistemas?

No existe integración entre los sistemas.

NO

Se ha observado una alta obsolescencia del sistema informático de gestión y fragilidad y de la base de datos?

La Base de Datos del Sistema de Gestión está actualizada.

NO

Se realizan las pruebas del sistema en forma paralela antes del traspaso a producción?

SI

Se ha implementado un plan de control de calidad de sistemas?

No se ha implementado un plan de control de calidad de sistemas.

NO

Se dispone los programas fuentes del sistema de gestión?

No se dispone de los programas fuentes del sistema de gestión.

NO

III – SEGURIDAD LÓGICA

Evaluar si los sistemas de información cumplen con los siguientes objetivos principales:

  • Integridad: garantizar que los datos sean los que se supone que son.
  • Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian.
  • Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información.
  • Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
  • Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos.

Ref.

INDICADORES DE EVALUACIÓN

RELEVAMIENTO

SITUACIÓN OBSERVADA

NCI

Si/No

  1. 1

Se tiene acceso remoto a recursos de TI?, con que herramienta?

NO

  1. 1

Se ha programado la expiración de contraseñas de usuarios del sistema de gestión?

No se ha programado la expiración de contraseñas de usuarios del sistema de gestión

NO

  1. 2

Se ha programado la expiración de contraseñas de usuarios de la red de área local?

No se ha programado la expiración de contraseñas de usuarios de la red.

NO

  1. 2

Se tiene un control del vencimiento de licencias de software propietario?

SI

Se ha programado la desconexión del sistema por intentos fallidos con claves erróneas – desactivación del código de usuario del sistema de gestión?

SI

  1. 2

Se ha programado la desconexión del sistema por intentos fallidos con claves erróneas – desactivación del código de usuario de la red de área local?

SI

  1. 2

Se ha programado el bloqueo por intento con claves erróneas en la red y sistemas?

SI

  1. 2

Se restringe el acceso a otras unidades de disco desde una terminal - carpetas y discos compartidos?

SI

  1. 3

Se ha bloqueado o restringido el acceso a puertos USB?

No se ha bloqueado o restringido el acceso a puertos USB

NO

  1. 3

Se ha programado las restricciones de accesos por horario en la red LAN?

No se ha programado las restricciones de accesos por horario en la red LAN

NO

  1. 3

Se permite el cambio a datos operativos a través del sistema gestor de base de datos?

Solamente el Administrador de Base de Datos puede realizar los cambios.

NO

  1. 3

Se tiene programado el diseño y control de pistas de auditoría interna a través del sistema de gestión?

No existe un sistema de control

NO

  1. 3

Se tiene aplicado usuarios únicos no genéricos?

En el Departamento de Contabilidad, los personales se conectan con el mismo usuario y misma contraseña.

NO

  1. 3

Se tiene resguardado en sobre lacrado las contraseñas administradores y están en conocimiento de la alta gerencia?

SI

  1. 4

Se tiene aplicado los usuarios de Windows en forma limitada?

El sistema permite crear más usuarios de Windows sin limitaciones

NO

  1. 4

Se tiene instalado el servidor de archivos centralizado?

SI

  1. 4

Se tiene resguardado externamente los backups?

No tienen resguardo externo

NO

  1. 4

Dispositivo de respaldo externo de datos (backup)

Cuentan con un disco externo de datos.

SI

  1. 4

Se tiene registro de planilla de control de copias de respaldos?

No existen registros de planillas de control de copias de respaldo.

NO

  1. 4

Se ha hecho las prueba de recuperación de la información – backup?

No se han realizado pruebas de recuperación de datos.

NO

  1. 4

Se aplica contraseñas para el acceso a la red de área local?

SI

  1. 5

Se aplican correctamente los perfiles de usuarios en el Sistema de Gestión?

SI

IV – SEGURIDAD FÍSICA E INFRAESTURCTURA

  • Determinar si la Gerencia de TI, ha obtenido una evaluación real y efectiva sobre los posibles riesgos físicos, identificando la vulnerabilidad de los bienes tangibles y personales.
  • Evaluar si la Gerencia de TI ha implantado los planes de acción, mecanismos de respuesta y sistemas para controlar y reducir hasta donde sea posible los riesgos identificados y minimizar o eliminar los daños o consecuencias.

Ref.

INDICADORES DE EVALUACIÓN

RELEVAMIENTO

SITUACIÓN OBSERVADA

NCI

Si/No

Se tiene seguridad del espacio físico destinado al área de TI y se tiene seguridad de los servidores?

El espacio físico destinado al área de TI es apropiado pero las condiciones en que se encuentra el servidor no es seguro.

NO

Existe restricción de acceso a la sala de servidores?

SI

Se dispone sistema de puesta a tierra?

No disponen de sistema de puesta a tierra.

NO

Se dispone de suministros de energía eléctrica, generador de electricidad?

SI

Existen observaciones de las instalaciones de los switch de conectividad de redes – troncales?

NO

Se tiene el mapeado de red?

SI

Se dispone de servidor espejado – sitio alternativo (alta disponibilidad)?

NO

Existe obsolescencia del parque de hardware y del sistema operativo?

Todos los equipos se encuentran en buen estado.

NO

Se tiene etiquetado la red LAN – red de área local?

SI

Se realiza el monitoreo de control de tráfico de red?

SI

V – DOCUMENTACIONES DE TI

  • El propósito de este formulario es obtener conocimiento de los documentos aplicado por la entidad, en lo referente a sistemas y gestión, así como la evaluación de proyectos tecnológicos.

Ref.

INDICADORES DE EVALUACIÓN

RELEVAMIENTO

SITUACIÓN OBSERVADA

NCI

Si/No

Se dispone el plan estratégico del área de informática?

SI

Se dispone de presupuestos asignados al área de TI?

SI

Se dispone los Manuales de funciones y procedimientos del departamento de TI? – Normal

SI

Se dispone los Manuales de usuarios del sistema en forma actualizada en formato interactivo?

SI

Se tiene un plan maestro de proyecto de desarrollo de sistemas?

No cuentan con un plan maestro de proyecto de desarrollo de sistemas

NO

Se tiene el manual de documentación del sistema - definición de la arquitectura de información (diagrama de flujo de datos - AOO - UML)?

SI

Se tiene el manual de documentación del sistema - definición de la arquitectura de información (diagrama sociedad relación)?

SI

Se ha definido claramente la propiedad y custodia de datos del sistema?

SI

Se ha hecho una encuesta de satisfacción del cliente – usuario final?

SI

Se aplican documentaciones formales para la alta, baja y modificación de usuarios del sistema de gestión y de la red?

SI

Se dispone las Políticas de seguridad de sistemas de información?

No cuentan con Políticas de seguridad

NO

Se dispone la documentación de determinación de confidencialidad de usuarios?

SI

Se dispone los planes de continuidad de las actividades de TI (plan de contingencia)?

SI

Hay evidencia de las pruebas del plan de contingencias?

SI

Se ha aprobado por la alta gerencia el plan de contingencias?

SI

Se ha aprobado por la alta gerencia las PSSI?

SI

Se tiene un cronograma de mantenimiento de hardware?

SI

Se tiene un contrato de mantenimiento de hardware y de trabajos especiales?

SI

Se tiene un contrato de mantenimiento de software?

SI

Se tiene un inventario de hardware y software actualizado?

SI

Se tiene contrato de seguro contra siniestros para equipos de TI?

SI

...

Descargar como (para miembros actualizados)  txt (24.4 Kb)   pdf (319.8 Kb)   docx (553.1 Kb)  
Leer 19 páginas más »
Disponible sólo en Clubensayos.com