GALPESA
Páginas: 21 (5141 palabras)
Publicado: 30 de junio de 2013
INFORME DE AUDITORÍA DE SISTEMAS
EMPRESA
DE TELECOMUNICACIONES DE OCCIDENTE
(OCCITEL)
19 DE SEPTIEMBRE DE 2012
1. INTRODUCCIÓN
a. Objetivo
Este documento se ha elaborado con el objetivo de presentar nuestra opinión colegiada relacionada con los riesgos asociados al Área de Tecnologías de Información de la EMPRESA TELECOMUNICACIONES DE OCCIDENTE (OCCITEL),estableciendo la situación actual de los sistemas computacionales en cuanto a seguridad, integridad, confidencialidad, trazabilidad y disponibilidad de los recursos informáticos de la empresa y a la vez proporcionar un enfoque orientado a establecer las directrices necesarias en cuanto a la funcionalidad, operatividad y proyección a futuro de sus recursos como: software, hardware, comunicaciones,documentación, recurso humano y logística entre otros).
b. Alcance
El documento está sustentado por la información recopilada del Área de Tecnologías de Información, de las visitas realizadas y de las entrevistas con el personal de dicha área; así mismo, se contó con la valiosa asistencia del Área de Auditoría Interna y el conocimiento que esta dependencia tiene de la empresa y en especial delÁrea de TI.
c. Metodología
La metodología de trabajo del diagnóstico comprendió actividades de análisis de la información proporcionada por el Área de TI, su tabulación e indexación en nuestros formatos de matriz de riesgos, identificación de los niveles preliminares de madurez y comparación con indicadores del entorno.
d. Aspectos y riesgos que fueron abordados
El objetivo principalde TI, es la administración de los recursos tecnológicos, llámese, software, hardware, información, canales de comunicación y recurso humano por lo que en este caso la evaluación del riesgo tomo de base los estándares COBIT e ISO27001/2, complementado con otros estándares internacionales, manuales de políticas, estándares, procesos internos y sanas prácticas relacionadas con las tecnologías deinformación; así mismo, se tomó en cuenta los aspectos de riesgo propios del negocio y la disposición de la unidad de tecnologías de información hacia los mismos.
1.
2.
3.
2. RESULTADOS DEL DIAGNÓSTICO INICIAL
El resultado de nuestro diagnóstico basado en una matriz de riesgo preliminar (Anexo 1) revelo que existen riesgos asociados con la seguridad, integridad, disponibilidad yconfidencialidad de la información; así como, a aspectos relacionados con los recursos tecnológicos, presentando mayor énfasis en los siguientes procesos:
Evaluación y administración de riesgos de TI
Continuidad del servicio
Administrar proyectos
Seguridad lógica de los sistemas
Procesos de adquisición de recursos de TI
Administración de los niveles de servicio
Adquisición y mantenimiento dela infraestructura tecnológica
Apego y cumplimiento del plan estratégico de TI
Adquisición y mantenimiento de software
Monitoreo y evaluación del control interno sobre aspectos de TI
Administración de servicios de terceros
Administración de datos
Administración de problemas e incidente
Gestión de una gobernabilidad tecnológica, entre otras.
3. RESULTADOS DEL INFORME FINAL
El resultado denuestra auditoría sustentada por los hallazgos identificados, avalan nuestro diagnóstico preliminar revelando que la exposición a los riesgos asociados con la seguridad, integridad, disponibilidad y confidencialidad de la información; así como, a aspectos relacionados con los recursos tecnológicos, presentan mayor énfasis en los aspectos siguientes:
1. PLANEAR Y ORGANIZAR
Objetivo: Cubrelas estrategias y las tácticas, y tiene que ver con identificar la manera en que TI pueda contribuir al logro de los objetivos del negocio. Además, la comunicación, planificación y administración de la visión estratégica y como esta implementada la estructura organizacional y tecnológica.
1. Plan estratégico de TI y del negocio
No se han podido acoplar los planes estratégicos de TI y el...
INFORME DE AUDITORÍA DE SISTEMAS
EMPRESA
DE TELECOMUNICACIONES DE OCCIDENTE
(OCCITEL)
19 DE SEPTIEMBRE DE 2012
1. INTRODUCCIÓN
a. Objetivo
Este documento se ha elaborado con el objetivo de presentar nuestra opinión colegiada relacionada con los riesgos asociados al Área de Tecnologías de Información de la EMPRESA TELECOMUNICACIONES DE OCCIDENTE (OCCITEL),estableciendo la situación actual de los sistemas computacionales en cuanto a seguridad, integridad, confidencialidad, trazabilidad y disponibilidad de los recursos informáticos de la empresa y a la vez proporcionar un enfoque orientado a establecer las directrices necesarias en cuanto a la funcionalidad, operatividad y proyección a futuro de sus recursos como: software, hardware, comunicaciones,documentación, recurso humano y logística entre otros).
b. Alcance
El documento está sustentado por la información recopilada del Área de Tecnologías de Información, de las visitas realizadas y de las entrevistas con el personal de dicha área; así mismo, se contó con la valiosa asistencia del Área de Auditoría Interna y el conocimiento que esta dependencia tiene de la empresa y en especial delÁrea de TI.
c. Metodología
La metodología de trabajo del diagnóstico comprendió actividades de análisis de la información proporcionada por el Área de TI, su tabulación e indexación en nuestros formatos de matriz de riesgos, identificación de los niveles preliminares de madurez y comparación con indicadores del entorno.
d. Aspectos y riesgos que fueron abordados
El objetivo principalde TI, es la administración de los recursos tecnológicos, llámese, software, hardware, información, canales de comunicación y recurso humano por lo que en este caso la evaluación del riesgo tomo de base los estándares COBIT e ISO27001/2, complementado con otros estándares internacionales, manuales de políticas, estándares, procesos internos y sanas prácticas relacionadas con las tecnologías deinformación; así mismo, se tomó en cuenta los aspectos de riesgo propios del negocio y la disposición de la unidad de tecnologías de información hacia los mismos.
1.
2.
3.
2. RESULTADOS DEL DIAGNÓSTICO INICIAL
El resultado de nuestro diagnóstico basado en una matriz de riesgo preliminar (Anexo 1) revelo que existen riesgos asociados con la seguridad, integridad, disponibilidad yconfidencialidad de la información; así como, a aspectos relacionados con los recursos tecnológicos, presentando mayor énfasis en los siguientes procesos:
Evaluación y administración de riesgos de TI
Continuidad del servicio
Administrar proyectos
Seguridad lógica de los sistemas
Procesos de adquisición de recursos de TI
Administración de los niveles de servicio
Adquisición y mantenimiento dela infraestructura tecnológica
Apego y cumplimiento del plan estratégico de TI
Adquisición y mantenimiento de software
Monitoreo y evaluación del control interno sobre aspectos de TI
Administración de servicios de terceros
Administración de datos
Administración de problemas e incidente
Gestión de una gobernabilidad tecnológica, entre otras.
3. RESULTADOS DEL INFORME FINAL
El resultado denuestra auditoría sustentada por los hallazgos identificados, avalan nuestro diagnóstico preliminar revelando que la exposición a los riesgos asociados con la seguridad, integridad, disponibilidad y confidencialidad de la información; así como, a aspectos relacionados con los recursos tecnológicos, presentan mayor énfasis en los aspectos siguientes:
1. PLANEAR Y ORGANIZAR
Objetivo: Cubrelas estrategias y las tácticas, y tiene que ver con identificar la manera en que TI pueda contribuir al logro de los objetivos del negocio. Además, la comunicación, planificación y administración de la visión estratégica y como esta implementada la estructura organizacional y tecnológica.
1. Plan estratégico de TI y del negocio
No se han podido acoplar los planes estratégicos de TI y el...
Leer documento completo
Regístrate para leer el documento completo.