informe técnico de auditoría
TRANSCRIPT
Instituto Tecnológico de Costa RicaMaestría en ComputaciónAuditoría de Sistemas
Arelis TroetsthArmando RodríguezJorge Molina
Introducción Objetivos de la Auditoria. Metodología Dictamen de la auditoría
Garantizar la continuidad del servicio
Administrar los datos
Administrar el ambiente físico
Conclusiones
Se efectuó la auditoría al Centro de Cómputo del Instituto Tecnológico de Costa Rica (ITCR) y con base en el examen efectuado, observamos ciertos aspectos referentes al sistema de control interno y procedimientos de Tecnología de Información, basados en las los estándares establecidos según los Objetivos de Control para Información y Tecnología Relacionada (COBIT).
Evaluamos y calificamos el entorno de Tecnologías de Información con el que cuenta el ITCR.
La evaluación se centró en los siguientes procesos de TI especificados dentro del dominio “Entregar y Dar soporte” de COBIT:
Garantizar la continuidad del Servicio
Administrar los datos
Administrar el ambiente físico
Realización de entrevistas Observación directa de algunos aspectos a
evaluar Se realizó un análisis de la información
suministrada por el Departamento deTecnologías de Información del ITCR:
entrevistas,
Inspecciones
documentos sobre las tres áreas evaluadas.
Para cada una de las áreas a evaluar sepresenta:
Puntos a evaluar
Oportunidades de mejoras detectadas
Niveles de madurez del proceso
Recomendaciones
Puntos a Evaluar: Marco de trabajo de continuidad: Planes de continuidad de TI Recursos críticos de TI Mantenimiento del plan de continuidad de TI Pruebas del plan de continuidad de TI Entrenamiento del plan de continuidad de TI Distribución del plan de continuidad de TI Recuperación y reanudación de los servicios de TI Almacenamiento de respaldos fuera de las instalaciones
Revisión post-reanudación
Oportunidades de Mejora detectadas:
El Centro de Computo dispone de:
Procedimientos para realizar los respaldos de la información
UPS y una Planta eléctrica como soporte a fallas de energía eléctrica
Oportunidades de Mejora detectadas:
No se nos proporcionó evidencia de los siguientes controles detallados
Marco de trabajo de continuidad de TI para soportar la continuidad del negocio con un proceso consistent
Planes de continuidad de TI con base en el marco de trabajo, diseñado para reducir el impacto de una interrupción mayor de las funciones y los procesos clave del negocioe a lo largo de toda la organización
Nivel de Madurez del proceso y recomendaciones: Nivel 1(Inicial /Ad-Hoc).
Las responsabilidades sobre la continuidad de losservicios son informales y la autoridad paraejecutar responsabilidades es limitada.
La gerencia comienza a darse cuenta de los riesgos relacionados y de la necesidad de mantener continuidad en los servicios.
Nivel de Madurez del proceso y recomendaciones: Nivel 1(Inicial /Ad-Hoc).
El enfoque de la gerencia sobre la continuidad del servicio radica en los recursos de infraestructura, en vez de radicar en los servicios de TI.
Los usuarios utilizan soluciones alternas como respuesta a la interrupción de los servicios. La respuesta de TI a las interrupciones mayores es reactiva y sin preparación.
Las pérdidas de energía planeadas están programadas para cumplir con las necesidades de TI pero no consideran los requerimientos del negocio.
Por tanto se recomienda:
Desarrollar un marco de trabajo de continuidad del negociopara soportar los procesos del ITCR, que permita determinary guiar en el desarrollo y la creación del Plan de Continuidadde TI, enfocándose en reducir el impacto de una interrupciónde las funciones y procesos claves.
Mejorar el procedimiento de respaldo y recuperación, de manera que se ofrezca mayor detalle de los procesos tanto para respaldo como para la recuperación de la información, así como la realización de pruebas para medir el impacto en la continuidad del negocio.
Puntos a evaluar
Requerimientos del negocio para administración de datos
Acuerdos de almacenamiento y conservación
Sistema de administración de librería de medios
Eliminación
Respaldo y restauración
Requerimientos de seguridad para la administración de datos
Oportunidades de mejora detectadas:
El centro de computo dispone:
▪ Procedimientos para realizar los respaldos de lainformación que define informaciónrespaldada, periodicidad, formato de identificación decintas, proceso de duplicidad y destinos dealmacenamiento, además de definir el hardware ymodelos de cintas a utilizar. Sin embargo, no se definecomo se realiza la restauración de la información encaso de ser necesario.
Oportunidades de mejora detectadas.
No se nos proporcionó evidencia de los siguientescontroles detallados
▪ Políticas y procedimientos para el archivo yalmacenamiento de los datos
▪ Políticas y procedimientos para mantener un inventariode medios en sitio
Oportunidades de mejora detectadas.
No se nos proporcionó evidencia de los siguientescontroles detallados
▪ Políticas y procedimientos para prevenir acceso a datosuna vez eliminados
▪ Políticas y procedimientos de respaldo y restauración delos sistemas, datos y configuraciones
Oportunidades de mejora detectadas.
No se nos proporcionó evidencia de los siguientescontroles detallados
▪ Políticas y procedimientos para prevenir acceso a datosuna vez eliminados
▪ Políticas y procedimientos de respaldo y restauración delos sistemas, datos y configuraciones
Nivel de madurez del proceso yrecomendaciones: Nivel 2 (repetible perointuitivo)
A lo largo de toda la organización existe conciencia sobre la necesidad de una adecuada administración de los datos.
A un alto nivel empieza a observarse la propiedado responsabilidad sobre los datos.
Nivel de madurez del proceso yrecomendaciones: Nivel 2 (repetible perointuitivo)
Los requerimientos de seguridad para la administración de datos son documentados por individuos clave.
Se lleva a cabo algún tipo de monitoreo dentro deTI sobre algunas actividades clave de laadministración de datos.
Nivel de madurez del proceso yrecomendaciones: Nivel 2 (repetible perointuitivo)
Las responsabilidades para la administración de datos son asignadas de manera informal a personal clave de TI
Recomendaciones Políticas y procedimientos para el archivo y
almacenamiento de los datos, de manera que los datospermanezcan accesibles y utilizables.
Políticas y procedimientos para mantener un inventario demedios en sitio
Políticas y procedimientos para prevenir el acceso a datossensitivos y al software desde equipos o medios una vezque son eliminados o transferidos para otro uso
Recomendaciones Políticas y procedimientos para el archivo y
almacenamiento de los datos, de manera que los datospermanezcan accesibles y utilizables.
Políticas y procedimientos para mantener un inventario demedios en sitio
Políticas y procedimientos para prevenir el acceso a datossensitivos y al software desde equipos o medios una vezque son eliminados o transferidos para otro uso
Políticas y procedimientos de respaldo y restauración delos sistemas, datos y configuraciones
Puntos a evaluar
Selección y diseño del centro de datos
Medidas de seguridad física
Acceso Físico
Protección contra factores ambientales
Administración de instalaciones físicas
Oportunidades de mejora detectadas.
El Centro de Cómputo dispone:
▪ Controles electrónicos de acceso físico a los centros de datos y comunicaciones para los empleados.
▪ Controles ambientales de humedad y aire acondicionado.
▪ UPS y generadores eléctricos
Oportunidades de mejora detectadas.
No se nos proporcionó evidencia de los siguientescontroles detallados
▪ Políticas y procedimientos de TI relacionadas a lasmedidas de seguridad físicas
▪ Políticas y procedimientos de TI para otorgar, limitar yrevocar el acceso a locales, edificios y áreas
Nivel de madurez del proceso yrecomendaciones: Nivel 2 (repetible perointuitivo)
los controles ambientales se implementan ymonitorean por parte del personal de operaciones
La seguridad física es un proceso informal, realizadopor un pequeño grupo de empleados
Los procedimientos de mantenimiento deinstalaciones no están bien documentados
Las metas de seguridad física no se basan enestándares formales
Recomendaciones
Documentar e implementar políticas yprocedimientos de TI relacionadas a las medidasde seguridad físicas
Documentar e implementar políticas yprocedimientos de TI para otorgar, limitar yrevocar el acceso a locales, edificios y áreas
Es importante mencionar que recibimos mucha atención por parte de los encargados de las distintas áreas del Centro de Cómputo, pero debido a sus múltiples ocupaciones no se pudo obtener mucha mayor información para extender el alcance de esta auditoría.
Aunque hubo un compromiso de parte del director de TI, debido a que el proyecto se enmarcó dentro de un proyecto de curso, no se tenía la facilidad o la consciencia de parte del personal de cómputo para realizar pruebas sustantivas o de cumplimiento.