Bitácora de Auditoria
2 de
marzo del 2015
Planeación de la Auditoria
Permite dimensionar el
tamaño y las características del área de la organización a auditar
- Sistema
- Organización
- Equipos
Revisión de la seguridad de los equipos
se determino las debilidades y fortalezas en
la seguridad física del equipo y el
edificio donde se encuentra instalado el sistema de información y sus políticas
sobre la seguridad, y luego poder hacer algunos señalamientos que contribuirán
con las mejoras de esta.
Hallazgo encontrado
INSTITUCIÓN:
|
Departamento
de informática - IVSS.
|
|||
AREA
AUDITADA:
|
Seguridad
Física.
|
|||
FECHA:
|
03 de
marzo del 2015
|
|||
REF
|
CONDICIÓN
|
CAUSA
|
EFECTO
|
RECOMENDACIÓN
|
1
|
No existe un manual de
planes de mitigación de riesgos.
|
Dice que no le han
entregado de parte de sus líderes dicho manual.
|
El problema es que en un
momento
Pueda ocurrir un
siniestro y no habrá forma de poder restablecer el sistema.
|
Se les recomienda poder
elaborar una manual de contingencias.
|
4 de marzo del 2015
Revisión de la Seguridad del Personal
Hallazgo encontrado
INSTITUCIÓN:
|
Departamento
de informática - IVSS.
|
|||
AREA
AUDITADA:
|
Seguridad
del personal.
|
|||
FECHA:
|
04 de marzo
del 2015
|
|||
REF
|
CONDICIÓN
|
CAUSA
|
EFECTO
|
RECOMENDACIÓN
|
1
|
Se constató que no
existen salidas de emergencias.
|
Así fue diseñado el
edificio.
|
Puede haber algún
atascamiento de los usuarios a la hora de alguna emergencia
|
Es necesario crear una
puerta de emergencia.
|
2
|
No existen suficientes extintores
de fuego.
|
No se los ha facilitado
el director.
|
Puede ocurrir un
incendio y no habrá forma de extinguirlo.
|
Se recomienda comprar
extintores lo más pronto posible.
|
5 de marzo de 2015
Revisión de la Seguridad del Hardware
y Software
Evidenciar
el acomodamiento de hardware, sistema operativo, versiones del software
manejado, como también en los aspectos referentes a la programación de las
distintas aplicaciones, prioridades de ejecución, lenguaje utilizado y la documentación
necesaria haga constar que existe una
administración adecuada que garantice la seguridad de la parte tangible e
intangible de los equipos de cómputo
Hallazgo encontrado
INSTITUCIÓN:
|
Departamento
de informática - IVSS.
|
|||
AREA
AUDITADA:
|
Seguridad
del hardware y software.
|
|||
FECHA:
|
05 de
marzo del 2015
|
|||
REF
|
CONDICIÓN
|
CAUSA
|
EFECTO
|
RECOMENDACIÓN
|
1
|
Faltan pocos equipos
para ser conectados a la red del
instituto
|
Falta de materiales.
|
Problemas a la hora de realizar un reporte
en el sistema utilizado por el personal técnico.
No se actualiza el antivirus.
|
Se recomienda establecer conexión en estos
equipos.
Esto puede ocasionar serios problemas y
transportar virus
|
06 de marzo de 2015
Seguridad de los Datos
Corroborar si existe integridad y seguridad en los sistemas de gestión de las bases de datos o si se han formulado políticas respecto a su seguridad, privacidad y protección de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violación etc.
Hallazgo encontrado
INSTITUCIÓN:
|
Departamento
de informática - IVSS.
|
|||
AREA
AUDITADA:
|
Seguridad
de los datos.
|
|||
FECHA:
|
06 de marzo
del 2015
|
|||
REF.
|
CONDICIÓN
|
CAUSA
|
EFECTO
|
RECOMENDACIÓN
|
1
|
No se encontrarón normas
y políticas para el resguardo de las bases de datos.
|
No se han elaborado los
manuales.
|
No existirá un control
adecuado para el resguardo de la información.
|
Se solicita crear normas
y políticas lo más pronto sea posible.
|
2
|
No se elaboran backups
de forma periodica
|
Dice el administrador
que lo habían pasado por alto.
|
En un incendio o
cualquier siniestro se hará imposible recuperar la información.
|
Comenzar lo más pronto
posible a crear backups.
|
A
través de los resultados obtenidos en el presente trabajo, se determinó
que la Auditoría realizada están integradas por un reducido número de
personas, lo cual ocasiona una limitante para el desarrollo adecuado de
sus funciones y la cobertura total de las áreas críticas de sistemas a
evaluar, así como también, para el cumplimiento adecuado del plan de
trabajo. Se efectúan evaluaciones, pero no lo hacen a través de
programas de auditoría, sino que lo hacen utilizando instructivos,
manuales, narrativas y cuestionarios. Las evaluaciones realizadas se
deberían de hacer con el propósito de detectar oportunamente las
inconsistencias o debilidades en los sistemas; sin embargo, se comprobó,
que en su mayoría, las auditorías realizadas son correctivas, lo cual
evidencia la carencia de programas estándar de auditoría interna. El
departamento de Informática, es de suma importancia, sin embargo, la
institucion encuestadas, carecen de instructivos u otros controles que
normen la seguridad de dicho departamento debido a que esta área en la
mayoría de estas instituciones es manejada por una sola persona
Recomendaciones
- Considerando el acelerado desarrollo tecnológico que se está experimentando en las instituciones , así como también el alto grado de riesgo que esto implica, es conveniente, que las Unidades de Auditoría Interna cuenten con el personal suficiente para la cobertura total de las áreas a evaluar.
- Considerando la magnitud de operaciones que se realizan en la institucion, se hace necesario que las unidades de auditoría interna cuenten con un número adecuado de personas, lo que traería como consecuencia, el desarrollo de auditorías tanto preventivas como correctivas, permitiendo detectar oportunamente las debilidades en el control interno.
- Es conveniente, que las unidades de auditoría interna, utilicen programas estándar de auditoría, que estén enfocados a la prevención de errores o inconsistencias en las diferentes áreas criticas de sistemas, como los que se proponen en este documento. `
- El hecho de contar con programas estándar para el desarrollo de las auditorías, no garantiza la efectividad de las mismas, debido a que la tecnología avanza en forma acelerada, razón por la cual, los responsables de las Unidades de Auditoría Interna deberían de actualizar periódicamente, los programas de revisión, de acuerdo a su criterio y al desarrollo tecnológico de las instituciones, lo cual garantizará la efectividad en las pruebas que se realicen.