20131004 2
Páginas: 155 (38591 palabras)
Publicado: 16 de julio de 2015
SERVICIO NACIONAL DEL SISTEMA DE
REPARTO (SENASIR)
AUDITORÍA DE TECNOLOGÍAS DE
INFORMACIÓN Y COMUNICACIÓN
INFORME Nº K3/IP05/S12
RESUMEN EJECUTIVO
Entidad
Servicio Nacional del Sistema de Reparto (SENASIR)
Referencia
Auditoría de Tecnologías de Información y Comunicación
Informe
K3/IP05/S12
Objetivo
Verificar que los sistemas de información coadyuvan a los objetivos de la institución.
Objeto
Elobjeto de auditoría comprende los siguientes sistemas informáticos relacionados con el
proceso de pago de rentas del Sistema de Reparto en el SENASIR, que se detallan a
continuación:
SISTEMAS INFORMÁTICOS
ANEXO 15
DPINFO
DUODECIMAS
INICIO TRÁMITES VEJEZ
MÓDULO DE ABONO AUTOMÁTICO
PADME
PAGO DOM
RENAPEVI
REPOSICIONES
REVERSIONES
SISTEMA NOVEDADES NOVA
CRENTA
DESIN
SISP –SISP PROCESO
Alcance
Elperiodo de evaluación comprende el proceso de pago de planillas, efectuado durante el
periodo enero de 2011 a agosto de 2012.
La evaluación se ha realizado en el marco de las Normas de Auditoria Gubernamental
vigentes durante la auditoria, específicamente la NAG 270.
i
Resultados
Como resultado se han emitido 12 recomendaciones con el propósito de minimizar los
riesgos y eliminar las causasdetectados que afectan a: la integridad y confiabilidad de la
información gestionada por el SENASIR, el cumplimiento del ordenamiento jurídico
administrativo por parte de los sistemas informáticos, la seguridad de la infraestructura
tecnológica y la confiabilidad y desempeño de los sistemas de comunicación.
Las recomendaciones emitidas son las detalladas a continuación:
1.
Sobre la integridad yconfiabilidad de la base de datos
R1. Implantar políticas y procedimientos para que la base de datos contenga controles que
garanticen la integridad, completitud y totalidad de la información. Estas políticas y
procedimientos deben incluir el establecimiento de:
El modelo de la arquitectura de la información,
El diccionario de datos,
La administración de la integridad.
R2. Implementar políticas yprocedimientos que garanticen mantener actualizada toda la
documentación técnica de las bases de datos (modelo entidad relación, modelo
relacional, diccionario de datos y otros que se considere pertinentes), de forma tal que
no se vuelvan a presentar las deficiencias detectadas en el presente informe.
R3. Actualizar la documentación técnica de la base de datos, de forma tal que esta
documentación seacomprensible y útil para los funcionarios del SENASIR usuarios
de la misma, ya sean usuarios finales del sistema así como para el personal técnico de
la Unidad de Tecnologías de Información, concordantes con las políticas y
procedimientos implantados en R2.
R4. Eliminar de la base de datos todas las tablas que contienen datos que no son parte de
las estructuras del modelo de datos.
2.
Sobre laspolíticas y procedimientos de seguridad
R5. Depurar los usuarios del Active Directory, tomando en cuenta únicamente a los
usuarios activos del SENASIR.
R6. Implantar políticas y procedimientos de seguridad para la gestión de usuarios del
SENASIR acorde a las necesidades de la Entidad, tomando en cuenta que se subsanen
las deficiencias detectadas en el presente informe y que permita mantener laconfidencialidad, la integridad y la disponibilidad de la información. Además, que
contemplen la administración de los roles y privilegios que se pueden conceder a los
usuarios, y que estos roles y privilegios estén acorde con las funciones y
ii
responsabilidades de los servidores públicos usuarios de los sistemas informáticos y
la infraestructura tecnológica. Asimismo, que se establezca claramentela segregación
de responsabilidades entre quienes solicitan, autorizan y conceden los privilegios.
R7. Implantar políticas y procedimientos para el establecimiento y gestión de logs o pistas
de auditoría que considere el establecimiento de logs para la información sensible de
la base de datos, las actividades de los usuarios a través del Active Directory y los
dispositivos de la infraestructura...
REPARTO (SENASIR)
AUDITORÍA DE TECNOLOGÍAS DE
INFORMACIÓN Y COMUNICACIÓN
INFORME Nº K3/IP05/S12
RESUMEN EJECUTIVO
Entidad
Servicio Nacional del Sistema de Reparto (SENASIR)
Referencia
Auditoría de Tecnologías de Información y Comunicación
Informe
K3/IP05/S12
Objetivo
Verificar que los sistemas de información coadyuvan a los objetivos de la institución.
Objeto
Elobjeto de auditoría comprende los siguientes sistemas informáticos relacionados con el
proceso de pago de rentas del Sistema de Reparto en el SENASIR, que se detallan a
continuación:
SISTEMAS INFORMÁTICOS
ANEXO 15
DPINFO
DUODECIMAS
INICIO TRÁMITES VEJEZ
MÓDULO DE ABONO AUTOMÁTICO
PADME
PAGO DOM
RENAPEVI
REPOSICIONES
REVERSIONES
SISTEMA NOVEDADES NOVA
CRENTA
DESIN
SISP –SISP PROCESO
Alcance
Elperiodo de evaluación comprende el proceso de pago de planillas, efectuado durante el
periodo enero de 2011 a agosto de 2012.
La evaluación se ha realizado en el marco de las Normas de Auditoria Gubernamental
vigentes durante la auditoria, específicamente la NAG 270.
i
Resultados
Como resultado se han emitido 12 recomendaciones con el propósito de minimizar los
riesgos y eliminar las causasdetectados que afectan a: la integridad y confiabilidad de la
información gestionada por el SENASIR, el cumplimiento del ordenamiento jurídico
administrativo por parte de los sistemas informáticos, la seguridad de la infraestructura
tecnológica y la confiabilidad y desempeño de los sistemas de comunicación.
Las recomendaciones emitidas son las detalladas a continuación:
1.
Sobre la integridad yconfiabilidad de la base de datos
R1. Implantar políticas y procedimientos para que la base de datos contenga controles que
garanticen la integridad, completitud y totalidad de la información. Estas políticas y
procedimientos deben incluir el establecimiento de:
El modelo de la arquitectura de la información,
El diccionario de datos,
La administración de la integridad.
R2. Implementar políticas yprocedimientos que garanticen mantener actualizada toda la
documentación técnica de las bases de datos (modelo entidad relación, modelo
relacional, diccionario de datos y otros que se considere pertinentes), de forma tal que
no se vuelvan a presentar las deficiencias detectadas en el presente informe.
R3. Actualizar la documentación técnica de la base de datos, de forma tal que esta
documentación seacomprensible y útil para los funcionarios del SENASIR usuarios
de la misma, ya sean usuarios finales del sistema así como para el personal técnico de
la Unidad de Tecnologías de Información, concordantes con las políticas y
procedimientos implantados en R2.
R4. Eliminar de la base de datos todas las tablas que contienen datos que no son parte de
las estructuras del modelo de datos.
2.
Sobre laspolíticas y procedimientos de seguridad
R5. Depurar los usuarios del Active Directory, tomando en cuenta únicamente a los
usuarios activos del SENASIR.
R6. Implantar políticas y procedimientos de seguridad para la gestión de usuarios del
SENASIR acorde a las necesidades de la Entidad, tomando en cuenta que se subsanen
las deficiencias detectadas en el presente informe y que permita mantener laconfidencialidad, la integridad y la disponibilidad de la información. Además, que
contemplen la administración de los roles y privilegios que se pueden conceder a los
usuarios, y que estos roles y privilegios estén acorde con las funciones y
ii
responsabilidades de los servidores públicos usuarios de los sistemas informáticos y
la infraestructura tecnológica. Asimismo, que se establezca claramentela segregación
de responsabilidades entre quienes solicitan, autorizan y conceden los privilegios.
R7. Implantar políticas y procedimientos para el establecimiento y gestión de logs o pistas
de auditoría que considere el establecimiento de logs para la información sensible de
la base de datos, las actividades de los usuarios a través del Active Directory y los
dispositivos de la infraestructura...
Leer documento completo
Regístrate para leer el documento completo.