SlideShare a Scribd company logo
1 of 17
Download to read offline
ALGUN DIA




INFORME DEL EXAMEN ESPECIAL AL DEPARTAMENTO DE INFORMÁTICA
            Del 1 de enero 2004 al 30 de marzo de 2010
         Informe de Acción de Control N.º 002-2010-2-3620
ÍNDICE

                                                                                            Pág.


Síntesis gerencial                                                                                 3


I.         INTRODUCCIÓN                                                                            4

       1   Origen del examen                                                                       4

       2   Naturaleza y objetivos del examen                                                       4

       3   Alcance del examen                                                                      5

       4   Otros aspectos de importancia                                                           8


II.        OBSERVACIONES                                                                           9


III.       CONCLUSIONES                                                                        16


IV.        RECOMENDACIONES                                                                     17

Anexos

       Anexo N.º 1 - Relación de funcionarios comprendidos en las observaciones
       Anexo N.º 2 - Copia del Memorándum de Control Interno
       Anexo N.º 3 - Medidas correctivas de las deficiencias de control interno




                                                                                  Página 2 de 17
INFORME DEL EXAMEN ESPECIAL AL DEPARTAMENTO DE
                            INFORMATICA
                            Período del 01.01.09 al 31.03.10


Síntesis gerencial


El presente Examen Especial comprende la evaluación de los Sistemas Informáticos con
los que cuenta la Entidad, los mecanismos de seguridad informáticos, los mecanismos de
contingencias y recuperación de desastres y la implantación del control interno en el
departamento de Informática dentro del período del 01.01.09 al 31.03.10.


Las principales conclusiones del trabajo realizado son las siguientes:


1. El departamento de Informática realiza básicamente labores de soporte a los
   usuarios, no habiendo actividades de desarrollo de Sistemas.
2. El departamento de Informática no cuenta con normatividad esencial para su
   funcionamiento. Específicamente no cuenta con una Plan de Contingencias adecuado
   y además no cuenta con un Plan Estratégico de Sistemas.
3. Algunos procedimientos del área no se encuentran normados.
4. La ejecución del proceso del backup se considera expuesta a demasiado riesgo, toda
   vez que los backups no son almacenados adecuadamente en un lugar seguro.


Como resultado de esta acción de control se identificaron seis (6) observaciones, y
diversas deficiencias de control interno entre las que destacan las relacionadas con
deficiencias en la seguridad física, ejecución de backups        de software   base y la
documentación relacionada, por lo que con la finalidad de promover la superación de las
causas que las motivaron, se proponen las siguientes recomendaciones tanto al Comité
Directivo, Gerencia Mancomunada, Gerencia de Administración y Gerencia Técnica:


                                          * * *




                                                                               Página 3 de 17
ALGUN DIA                                                               Informe N.º 006-2010-2-3620



I.        INTRODUCCIÓN


A continuación se presenta información general sobre el presente Examen Especial al
Departamento de Informática de la Federación Peruana de Cajas Municipales de Ahorro
y Crédito, ALGUN DIA.


1. Origen del examen


     El Examen Especial al Departamento de Informática, por el período comprendido
     entre el 01.01.09 y 30.03.10, se realiza en cumplimiento del Plan Anual de Control
     para el 2010 del Órgano de Control Institucional de la ALGUN DIA, aprobado
     mediante Resolución de Contraloría N.º xxx-xxx-CG publicada en el diario oficial El
     Peruano el xx de xxxx de 200x.


     Cabe señalar que, de acuerdo con los lineamientos de política del Sistema Nacional
     de Control, dentro de esta acción de control se ha considerado el control
     presupuestal,          la    implantación   de   mecanismos   de     control      interno        y,
     complementariamente, los resultados de gestión, en cuanto al logro de objetivos y
     metas institucionales, en áreas vinculadas con la finalidad de la entidad.


     Es importante destacar que las áreas relacionadas con el Departamento de
     Informática no han sido materia de acciones de control posterior en los últimos dos
     años.


2. Naturaleza y objetivos del examen


     Esta acción de control consiste en un Examen Especial y tiene como objetivos
     general y específicos los siguientes:


     Objetivo General


     Evaluar el adecuado uso de las Tecnologías de Información incidiendo en
     software, hardware, comunicaciones, seguridad y control de calidad, así como
     evaluar la adecuada organización, planificación y administración del Área de
     Informática.

Órgano de Control Institucional – Confidencial                                          Página 4 de 17
ALGUN DIA                                                            Informe N.º 006-2010-2-3620




     Objetivos específicos


     a) Evaluar el Sistema Informático con el que cuenta la Entidad, determinando
           si los aplicativos actuales satisfacen las necesidades de la Entidad, la
           interrelación de sus aplicativos, su grado de funcionamiento y los controles
           implementados.


     b) Evaluar los mecanismos de Seguridad Informáticos implantados en la Entidad
           para asegurar la integridad de la información y de los recursos informáticos de la
           Entidad.


     c) Evaluar los mecanismos de Contingencias y recuperación de desastres de la
           Oficina de Informática para minimizar los riesgos de interrupciones y/o
           paralizaciones en el servicio..


     d) Determinar el grado de cumplimiento           del sistema de Control Interno del
           departamento de Informática.




3. Alcance del examen


     El alcance del Examen Especial al Departamento de Informática está referido a todas
     las acciones de control posterior y demás actividades desarrolladas para lograr un
     adecuado y oportuno funcionamiento de los sistemas de la ALGUN DIA, ejecutadas
     durante el periodo comprendido entre el 01.01.09 y 30.03.10.


     De acuerdo con el Plan Anual de Control 2010, los procesos ó áreas a ser
     examinados serán la administración eficiente de los recursos destinados al desarrollo
     de actividades del Departamento de Informática; el nivel de seguridad de los recursos
     informáticos, el nivel de cumplimiento de objetivos del área; aplicación de las normas
     legales e internas que regulan la labor de informática y la realización de las labores
     del área.



Órgano de Control Institucional – Confidencial                                       Página 5 de 17
ALGUN DIA                                                            Informe N.º 006-2010-2-3620



     El examen fue realizado de acuerdo con las Normas de Auditoria Gubernamental –
     NAGUs y el Manual de Auditoria Gubernamental – MAGU; y comprendió la revisión y
     análisis, en forma selectiva, de la información que obra en el Departamento de
     Informática y en otras áreas de la Entidad, relacionada con los hechos y actividades
     materia de examen, según la materialidad, mediante la aplicación de procedimientos
     analíticos, con la profundidad necesaria para obtener la evidencia suficiente y
     competente correspondiente, sin afectar a los principios de eficiencia, efectividad y
     economía que rigen el control gubernamental.


     El presente examen especial se desarrolló en la cuidad de Lima, en las instalaciones
     del local institucional de la ALGUN DIA. El plazo inicialmente estimado para el
     desarrollo de este examen se vio ampliado debido a la solicitud de ampliación de
     plazo presentada por el Gerente Técnico y la Directora de Informática para la
     presentación de sus comentarios y aclaraciones en relación con los hallazgos
     comunicados; así como al plazo adicional otorgado a los mencionado funcionarios
     según se indica en el numeral 5 Comunicación de Hallazgos.




4. Otros aspectos de importancia


     Por ser de importancia para los fines del presente informe, es preciso resaltar los
     siguientes hechos o circunstancias verificados durante el desarrollo de esta acción de
     control posterior, relacionados con los objetivos de ésta y con las situaciones
     evidenciadas en la Entidad:


     a) Durante la revisión del software con el que cuenta la Entidad, se pudo apreciar
           que la Entidad no cuenta con un aplicativo que le permita llevar el control de las
           partidas presupuestales. Se pudo evidenciar que actualmente, el sistema de
           Contabilidad SISCONT no cuenta con información de control que sirva como
           instrumento para la toma de decisiones relacionadas al Presupuesto. Las
           actividades de formulación y control de los montos ejecutados y pendientes son
           realizadas de forma manual.


     b) De la revisión a la seguridad lógica de la Entidad, se encontró que los Servidores
           Novell y Windows que se encuentran dentro de las instalaciones de la Sala de


Órgano de Control Institucional – Confidencial                                       Página 6 de 17
ALGUN DIA                                                          Informe N.º 006-2010-2-3620



           Servidores no contaban con una contraseña de protección de la consola que
           proteja el acceso a dichos Servidores. Sin embargo durante el transcurso de
           nuestra revisión, se pudo comprobar que dicho control ya había sido
           implementado.




II.       OBSERVACIONES


Durante el desarrollo de esta acción de control se determinaron las siguientes
observaciones, las cuales incluyen los comentarios y aclaraciones de los funcionarios de
la Entidad.

1. ALGUNAS TABLAS DEL SISTEMA CMACSI NO CUENTAN CON LLAVE PRIMARIA

De la revisión a la estructura de la Base de Datos del Sistema GERCSI (Sistema de
Información Gerencial), se evidenció que de un total de 90 tablas, 18 tablas no contenían
llaves primarias (es la que permite identificar cada registro individual de los demás
registros en una determinada tabla).
Las tablas que no cuentan con llave primaria son:

FormaA1                      MoviMiembros           registro
TasasME                      TasasME1               TasasMN
TasasMN1                     TbRatios               XCOLOCACIONES_DEPOSITOS
Xconcepto                    Xformula               XMontosCtas
XRESULTADO                   XRESULTADO1            XRESULTADO2
XRESULTADOFINAL              Xstitulo               Xtitulo

Al respecto, se advierte que:


 Las Normas Técnicas de Control Interno, aprobadas mediante Resolución de
      Contraloría N° 072-98-CG de 18.DIC.98, Código 500 Para Sistemas Computarizados,
      señala en su Numeral 500-03 sobre Controles de Datos Fuente, de Operación y de
      Salida, señala lo siguiente: “Numeral 04: Corresponde al Departamento de la entidad
      en coordinación con el Área de Informática, establecer los controles de datos fuente,
      los controles de operación y los controles de seguridad, con el objeto de asegurar la
      integridad y adecuado uso de la información que produce la entidad”.




Órgano de Control Institucional – Confidencial                                     Página 7 de 17
ALGUN DIA                                                          Informe N.º 006-2010-2-3620



 Los Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT)
     aprobados por ITGI (Information Technology Governance Institute), 3° Edición,
     mencionan lo siguiente:


     Objetivo Planeamiento y Organización, N° 2.1 Modelo de Arquitectura de Información:
     “La función de sistemas de información deberá crear y actualizar regularmente un
     modelo de arquitectura de información, abarcando el modelo de datos corporativo y
     los sistemas de información asociados. El modelo de arquitectura de información
     deberá conservar consistencia con el plan a largo plazo de tecnología de
     información”.


     Esto se debe a que en el Departamento no existen procedimientos de monitoreo que
     permitan asegurar la integridad referencial de la Base de Datos del Sistema CMACSI.


     Esta situación podría conllevar a que los registros de información presenten
     duplicidad en información, incrementa el riesgo de que la Base de Datos del Sistema
     CMACSI contenga información no validada o información sujeta a errores.


2. EL PLAN DE CONTINGENCIAS NO CUENTA CON LOS PROCEDIMIENTOS DE
RECUPERACIÓN                DE      DESASTRES    ANTE   LA   OCURRENCIA      DE     ALGUNA
EVENTUALIDAD


El Plan de Contingencias formulado por el Departamento de Informática, presenta
algunas deficiencias, las cuales se detallan a continuación:
     a) El Plan de Contingencias no cuenta con los procedimientos de recuperación a
          seguir ante la ocurrencia de una eventualidad.
     b) No se contempla los diferentes escenarios de desastre.
     c) El Plan no cuenta con un calendario de pruebas.
     d) El Plan de Contingencias, siendo un documento confidencial, ha sido distribuido a
          todas las Jefaturas
     e) El Plan no considera la recuperación de las aplicaciones CMACSI, SISCONT y
          SISFACT.


Al respecto, se advierte que:




Órgano de Control Institucional – Confidencial                                     Página 8 de 17
ALGUN DIA                                                                    Informe N.º 006-2010-2-3620



      Las Normas Técnicas de Control Interno, aprobadas mediante Resolución de
          Contraloría       N°.     072-98-CG    del   18.DIC.98,   código     500     para     Sistemas
          Computarizados, señala en su numeral 06 sobre Plan de Contingencias que: “01.
          El área de Informática debe elaborar el Plan de Contingencias de la entidad que
          establezca los procedimientos a utilizarse para evitar interrupciones en la
          operación del sistema de cómputo.


      Los Objetivos de Control para la información y tecnologías relacionadas (COBIT)
          –    Objetivo Entrega de Servicios y Soporte Nro. 4.1 Marco de Referencia de
          Continuidad de Tecnología de Información             indica que la Gerencia de TI, en
          cooperación con los propietarios de los procesos del negocio, deberá crear un
          marco de referencia de continuidad que defina los roles, responsabilidades, el
          enfoque / metodología basada en riesgo a seguir y las reglas y la estructura para
          documentar el plan de continuidad, así como los procedimientos de aprobación”.


Esto se debe a que el Departamento de Informática no ha priorizado dentro de su Plan de
Actividades la definición de los procedimientos de recuperación del Plan de
Contingencias.


La falta de procedimientos en el Plan de Contingencias origina que la Entidad no esté
preparada para afrontar la ocurrencia de una situación de emergencia o desastre, la cual
podría devenir en cortes y/o interrupciones prolongadas del servicio informático ofrecido
por el Departamento de Informática.


3. LA ENTIDAD NO CUENTA CON UN PLAN DE SISTEMAS DE INFORMACIÓN


De la revisión y evaluación de la documentación de Planeamiento se determinó que el
Departamento de Informática no cuenta un Plan de Sistemas, el cual es una herramienta
de gestión que establece las necesidades de información de la entidad, teniendo el
propósito de prever el desarrollo de los recursos físicos y lógicos con un horizonte
temporal determinado, de manera que contribuya efectivamente con los objetivos de la
entidad.
El Departamento de Informática en la actualidad cuenta con un Plan de Actividades que
muestra las actividades realizadas en dicho periodo.




Órgano de Control Institucional – Confidencial                                                Página 9 de 17
ALGUN DIA                                                            Informe N.º 006-2010-2-3620



Al respecto, se advierte que:


 Las Norma Técnicas Control Interno, aprobadas mediante Resolución de Contraloría
     N° 072-98-CG del 18.DIC.98, código 500-02 Plan de Sistemas de Información,
     señalan lo siguiente: “Toda entidad que disponga de un área de informática debe
     implementar un plan de sistemas de información con el objeto que prever que el
     desarrollo de sus actividades contribuya al logro de sus objetivos institucionales”.


 Los Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT)
     aprobadas por ITGI (Information Technology Governance Institute) 3º Edición,
     mencionan lo siguiente:


     Objetivo: Planeación y Organización Nº 1.4 Cambios al Plan a largo Plazo de TI: “La
     Gerencia de TI y los dueños del proceso del negocio deberán asegurar que se
     establezca un proceso con el fin de adaptar los cambios al plan a largo plazo de la
     organización y los cambios en las condiciones de la TI. La gerencia Senior deberá
     establecer una política que requiera que se desarrollen y se mantengan planes de
     largo y corto plazo de TI”.


La falta de un Plan de Sistemas, se debe a que el Departamento de Informática basa la
ejecución de         sus actividades en un Plan de Actividades anual, el cual contiene la
descripción y cronograma de ejecución de dichas actividades.


Esta situación podría conllevar que las actividades del área Informática no se encuentren
alineadas con los objetivos institucionales y estratégicos de la entidad así como a los
requerimientos de la empresa; Además el no contar con un Plan de Sistemas a largo
plazo, origina que la empresa no se comprometa a destinar recursos suficientes para el
cumplimiento de los mismos.




4. LOS RESPALDOS DE INFORMACIÓN (BACKUPS)                              QUE REALIZA EL
DEPARTAMENTO DE INFORMÁTICA NO SE ALMACENAN EN UN LUGAR SEGURO


Se comprobó que los backups son elaborados de forma semanal, guardándose en un
disco de uno de los Servidores del Departamento de Informática. Dichos backups de


Órgano de Control Institucional – Confidencial                                      Página 10 de 17
ALGUN DIA                                                                    Informe N.º 006-2010-2-3620



manera quincenal son almacenados en cinta. Las cintas son luego, guardadas en la
Gerencia de Administración, en un estante que no brinda ninguna seguridad ni protección
para el buen estado de las cintas.


Al respecto, se advierte que:


      Las Norma Técnicas Control Interno, aprobadas mediante Resolución de
          Contraloría       N°.     072-98-CG    del   18.DIC.98,   código    500     para     Sistemas
          Computarizados, señala en su numeral 500-05 Seguridad de Programas, de datos
          y de equipos de cómputo, lo siguiente: “04 Corresponde a la Oficina de
          Informática, en coordinación con la administración de la Entidad establecer los
          mecanismos de seguridad de los programas y datos del Sistema, que permitan
          asegurar la integridad, exactitud y acceso a las informaciones que se procesan
          internamente”.


      Los Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT)
          aprobadas por ITGI (Information Technology Governance Institute) 3 º Edición,
          mencionan lo siguiente:


         Objetivo Entrega y Soporte Nº 4.12 Almacenamiento de respaldo en el sitio (off-
         site) “El almacenamiento externo de copias de respaldo, documentación y otros
         recursos tecnológicos de información, catalogados como críticos, debe ser
         establecido para soportar el plan de recuperación y continuidad del negocio”.


Esto se debe a que no se han tomado todas las medidas necesarias para garantizar la
disponibilidad, protección y buen estado de las cintas, necesarias ante la ocurrencia de
alguna contingencia.


Esta situación pone en riesgo la continuidad del servicio ofrecido por el Departamento de
Informática, toda vez que ante la ocurrencia de un desastre, existe el riesgo de no contar
con los recursos necesarios para restaurar el servicio ofrecido por el Departamento de
Informática.




Órgano de Control Institucional – Confidencial                                               Página 11 de 17
ALGUN DIA                                                                   Informe N.º 006-2010-2-3620



5. EL DEPARTAMENTO DE INFORMÁTICA NO REALIZA PERIÓDICAMENTE                                           UN
MONITOREO DE LAS ACTIVIDADES DE USO Y ACCESO A LOS RECURSOS
INFORMÁTICOS


De la revisión a los procedimientos de monitoreo de la seguridad lógica, se evidenció
que el Departamento de Informática no realiza ningún monitoreo periódico de actividades
de uso y acceso a los recursos informáticos de la Entidad, con el fin de determinar el
uso correcto de dichos recursos, así como detectar intentos de violación y/o acceso no
autorizados a los recursos informáticos de la ALGUN DIA.


Así tenemos que no se encontró evidencia de la realización de un monitoreo periódico a
las actividades de uso de Internet, tráfico de correo,             tráfico sospechoso por la red,
actualización de cliente antivirus, cambio de passwords, ni de intentos de acceso o
acceso no autorizado a los recursos informáticos administrados por el Departamento de
Informática.


Al respecto, se advierte que:


      Las Normas Técnicas de Control Interno, aprobadas mediante Resolución de
          Contraloría       N°     072-98-CG     de   18.DIC.98,   Código    500     Para     Sistemas
          Computarizados, señala en su Numeral 500-05 sobre seguridad de programas, de
          datos y equipos de cómputo que: “Numeral 04: Corresponde a la Oficina de
          Informática, en coordinación con la administración de la entidad establecer los
          mecanismos de seguridad de los programas y datos del sistema, que permitan
          asegurar la integridad, exactitud y acceso a las informaciones que se procesan
          internamente”.


Esto se debe a que el Departamento de Informática no ha previsto la realización de un
cronograma de monitoreo periódico al uso y acceso de los recursos informáticos ni al
seguimiento del cumplimiento de normas y políticas del Departamento. Asimismo el Plan
de Seguridad de Información no define tareas del monitoreo ni de seguimiento a las
políticas definidas en dicho Plan.




Órgano de Control Institucional – Confidencial                                              Página 12 de 17
ALGUN DIA                                                                      Informe N.º 006-2010-2-3620



Esta situación origina que no se detecten los intentos de acceso o los accesos no
autorizados a los recursos informáticos de la Entidad e incluso podría devenir en fuga de
información sensitiva fuera de la Entidad.




6. NO EXISTE UN PROCEDIMIENTO FORMAL QUE REGULE EL ACCESO REMOTO
A LOS SERVIDORES DE LA ENTIDAD


Durante la inspección realizada para verificar                    los controles de acceso            lógico
implementados en la Entidad, se                  pudo verificar   que la Directora de Informática ha
realizado en un par de ocasiones el acceso remoto a los recursos de la Entidad. Este
acceso remoto se realiza a través de Internet. A la fecha de nuestra revisión, este acceso
no se encontraba normado.


Al respecto, se advierte que:


      Las Normas Técnicas de Control Interno, aprobadas mediante Resolución de
          Contraloría       N°     072-98-CG       de   18.DIC.98,    Código    500     Para     Sistemas
          Computarizados, señala en su Numeral 500-05 sobre seguridad de programas, de
          datos y equipos de cómputo que: “Numeral 04: Corresponde a la Oficina de
          Informática, en coordinación con la administración de la entidad establecer los
          mecanismos de seguridad de los programas y datos del sistema, que permitan
          asegurar la integridad, exactitud y acceso a las informaciones que se procesan
          internamente”.


Esta situación se debe a que el Departamento de Informática no ha previsto la
formulación de un procedimiento que regule el acceso remoto a los recursos informáticos
de la Entidad.


Esta situación podría ocasionar un acceso no autorizado de información, toda vez que al
tratarse de un acceso remoto, no se necesita estar dentro de las instalaciones de la
Entidad.




Órgano de Control Institucional – Confidencial                                                 Página 13 de 17
ALGUN DIA                                                            Informe N.º 006-2010-2-3620




III.         CONCLUSIONES


Como resultado del examen especial realizado, arribamos a las siguientes conclusiones:


1. El departamento de Informática no cuenta con un Plan de Contingencias actualizado
       y completo, debido a que no se ha priorizado la definición de los procedimientos de
       recuperación del Plan de Contingencias. (Observación N.º 2)


2. El departamento de Informática no cuenta con un Plan de Sistemas de Información,
       debido a que el Departamento de Informática basa la ejecución de sus actividades
       en un Plan de Actividades anual, el cual contiene la descripción y cronograma de
       ejecución de dichas actividades. (Observación N.º 3).


3. Los respaldos de información (backups) no son almacenados en un lugar seguro,
       debido a que no se han tomado todas las medidas necesarias para garantizar la
       disponibilidad, protección y buen estado de las cintas, necesarias ante la ocurrencia
       de alguna contingencia. (Observación N. º 4).


4.     No se ejecuta un monitoreo periódico de las actividades de uso y acceso a los
       recursos informáticos de la Entidad, debido a que no se ha previsto la realización de
       un cronograma de monitoreo de uso y acceso a los recursos ni al seguimiento del
       cumplimiento de normas y políticas del Departamento. (Observación N. º 5).


5. No existe un procedimiento formal que regule el acceso remoto a los servidores de la
       entidad, debido a que no se ha previsto la formulación de un procedimiento que
       regule el acceso remoto a los recursos informáticos de la Entidad. (Observación N. º
       6).




Órgano de Control Institucional – Confidencial                                      Página 14 de 17
ALGUN DIA                                                               Informe N.º 006-2010-2-3620




      IV.       RECOMENDACIONES


      Con el propósito de promover la superación de las causas y deficiencias evidenciadas se
      sugieren las siguientes recomendaciones:


      Al Departamento de Informática.


      1. Actualizar el Plan de Contingencias, definiendo las siguientes actividades:
            a) Definir los procedimientos de recuperación a seguir ante la ocurrencia de una
                 eventualidad.
            b) Contemplar diferentes escenarios de desastre por cada riesgo identificado.
            c) Definir un calendario para la realización de pruebas a los procedimientos del
                 Plan.


2.    2. Elaborar el Plan de Sistemas de Información, el cual debe estar alineado con los
         Objetivos Institucionales trazados en el Plan Estratégico de la Entidad.
         Específicamente el Plan de Sistemas debe contener:
3.
                     Diagnóstico de la situación informática actual con la finalidad de saber las
                      capacidades actuales de la entidad;
                     Elaboración de objetivos y estrategias del sistema de información que sirva
                      de base para apoyar la misión y los objetivos de la entidad;
                     Desarrollo del modelamiento de datos para determinar que información es
                      necesaria para la entidad;
                     Generación, ordenamiento y priorización (por nivel de importancia e
                      inversión) sistemática de los proyectos informáticos;
                     Programación de los tiempos requeridos para la puesta en marcha de los
                      proyectos designados, estimando el período de vida de cada proyecto.


     3. Definir un procedimiento que garantice el adecuado almacenamiento de los backups. Se
       recomienda que los backups se almacenen en la caja fuerte del departamento de
       Administración. Asimismo definir un procedimiento que permita a la Directora de
       Informática contar con el acceso a dicha caja fuerte solo en los casos de la ocurrencia
       de alguna eventualidad.



      Órgano de Control Institucional – Confidencial                                         Página 15 de 17
ALGUN DIA                                                         Informe N.º 006-2010-2-3620




4. Elaborar un calendario periódico que permita definir fechas de realización del monitoreo
  de las actividades de uso y acceso a los recursos informáticos de la ALGUN DIA.
  Asimismo como resultado de dicho monitoreo se debe informar a la Gerencia de las
  actividades encontradas en dicho monitoreo, con el objeto de realizar las acciones
  correctivas correspondientes contra el o los infractores.
5. Definir un procedimiento que regule el acceso a los recursos informáticas vía acceso
  remoto. Asimismo como parte de las actividades del procedimiento se debe emitir un
  informe a la Gerencia Mancomunada, informando las actividades realizadas para cada
  uno de los accesos remotos ocurridos.




 Lima, 01 de diciembre de 2011




 Katherine Midleton
 Jefa del OCI – ALGUN DIA




 Órgano de Control Institucional – Confidencial                                   Página 16 de 17
ALGUN DIA                                                                    Informe N.º 006-2010-2-3620




                                                                          ANEXO N.º 1


                                      RELACIÓN DE FUNCIONARIOS COMPRENDIDOS EN LAS OBSERVACIONES




                                                                                  Periodo de gestión          Condición          Domicilio
Nombre
                                                 D.N.I.          Cargo             Desde          Hasta        laboral
Mora Flores, Marina                         12345678      Directora del          xx.xx.04      A la fecha Permanente      XXXXXXXXXXXXXX
                                                          Departamento de
                                                          Informática
Flores, Juan Diego                          12345678      Gerente Técnico        xx.xx.04      A la fecha Permanente      XXXXXXXXXXXXXX




Órgano de Control Institucional – Confidencial                                              Página 17 de 17

More Related Content

What's hot

Trabajo electiva v de la unidad vii auditorias internas johan guevara
Trabajo electiva v de la unidad vii auditorias internas johan guevaraTrabajo electiva v de la unidad vii auditorias internas johan guevara
Trabajo electiva v de la unidad vii auditorias internas johan guevarajohanguevara
 
Auditoría de sistema1
Auditoría de sistema1Auditoría de sistema1
Auditoría de sistema1MAKLG
 
Auditoría de sistema1
Auditoría de sistema1Auditoría de sistema1
Auditoría de sistema1MAKLG
 
Sistemas de control interno
Sistemas de control internoSistemas de control interno
Sistemas de control internoAAX 21
 

What's hot (7)

Circular externa 038_2009
Circular externa 038_2009Circular externa 038_2009
Circular externa 038_2009
 
Trabajo electiva v de la unidad vii auditorias internas johan guevara
Trabajo electiva v de la unidad vii auditorias internas johan guevaraTrabajo electiva v de la unidad vii auditorias internas johan guevara
Trabajo electiva v de la unidad vii auditorias internas johan guevara
 
Auditoría de sistema1
Auditoría de sistema1Auditoría de sistema1
Auditoría de sistema1
 
Auditoría de sistema1
Auditoría de sistema1Auditoría de sistema1
Auditoría de sistema1
 
Sistemas de control interno
Sistemas de control internoSistemas de control interno
Sistemas de control interno
 
MCI-SIII
MCI-SIIIMCI-SIII
MCI-SIII
 
Control interno
Control internoControl interno
Control interno
 

Viewers also liked

Informe final informatica. caro y me
Informe final informatica. caro y meInforme final informatica. caro y me
Informe final informatica. caro y memelisapergolini
 
Informe final de tesis benavente bravo ana x administracion
Informe  final de tesis benavente bravo ana x administracionInforme  final de tesis benavente bravo ana x administracion
Informe final de tesis benavente bravo ana x administracionanabenavente2013
 
Informe de revisión de tesis modelo general de Joanny Ibarbia Pardo
Informe de revisión de tesis modelo general de Joanny Ibarbia PardoInforme de revisión de tesis modelo general de Joanny Ibarbia Pardo
Informe de revisión de tesis modelo general de Joanny Ibarbia PardoJoanny Ibarbia Pardo
 
INFORME FINAL DE TESIS
INFORME FINAL DE TESISINFORME FINAL DE TESIS
INFORME FINAL DE TESISLennin Dolmus
 
Informe final tesis clima laboral en el area de atencion al cliente de emapa...
Informe final  tesis clima laboral en el area de atencion al cliente de emapa...Informe final  tesis clima laboral en el area de atencion al cliente de emapa...
Informe final tesis clima laboral en el area de atencion al cliente de emapa...rosasubauste2013
 
Auditoria informatica informe_final
Auditoria informatica informe_finalAuditoria informatica informe_final
Auditoria informatica informe_finalOvadito Duran
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria InformaticaAmd Cdmas
 
Informe Final del Trabajo Educativo Social. T.E.S - 2013
Informe Final del Trabajo Educativo Social. T.E.S - 2013Informe Final del Trabajo Educativo Social. T.E.S - 2013
Informe Final del Trabajo Educativo Social. T.E.S - 2013mahonrygallo
 
Herramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticaHerramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticajoseaunefa
 

Viewers also liked (12)

Informe final
Informe finalInforme final
Informe final
 
Esquemas de informe final 2 (1)
Esquemas de informe final 2 (1)Esquemas de informe final 2 (1)
Esquemas de informe final 2 (1)
 
Informe final informatica. caro y me
Informe final informatica. caro y meInforme final informatica. caro y me
Informe final informatica. caro y me
 
Informe final de tesis benavente bravo ana x administracion
Informe  final de tesis benavente bravo ana x administracionInforme  final de tesis benavente bravo ana x administracion
Informe final de tesis benavente bravo ana x administracion
 
Informe de revisión de tesis modelo general de Joanny Ibarbia Pardo
Informe de revisión de tesis modelo general de Joanny Ibarbia PardoInforme de revisión de tesis modelo general de Joanny Ibarbia Pardo
Informe de revisión de tesis modelo general de Joanny Ibarbia Pardo
 
INFORME FINAL DE TESIS
INFORME FINAL DE TESISINFORME FINAL DE TESIS
INFORME FINAL DE TESIS
 
Informe final tesis clima laboral en el area de atencion al cliente de emapa...
Informe final  tesis clima laboral en el area de atencion al cliente de emapa...Informe final  tesis clima laboral en el area de atencion al cliente de emapa...
Informe final tesis clima laboral en el area de atencion al cliente de emapa...
 
Auditoria informatica informe_final
Auditoria informatica informe_finalAuditoria informatica informe_final
Auditoria informatica informe_final
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria Informatica
 
Informe Final del Trabajo Educativo Social. T.E.S - 2013
Informe Final del Trabajo Educativo Social. T.E.S - 2013Informe Final del Trabajo Educativo Social. T.E.S - 2013
Informe Final del Trabajo Educativo Social. T.E.S - 2013
 
Herramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticaHerramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informática
 
7. ejemplo de reporte final
7. ejemplo de reporte final7. ejemplo de reporte final
7. ejemplo de reporte final
 

Similar to Informe final auditoria_nformatica

Similar to Informe final auditoria_nformatica (20)

Mag parte viii auditoria informatica
Mag parte viii   auditoria informaticaMag parte viii   auditoria informatica
Mag parte viii auditoria informatica
 
Mag parte viii auditoria informatica (1)
Mag parte viii   auditoria informatica (1)Mag parte viii   auditoria informatica (1)
Mag parte viii auditoria informatica (1)
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
Auditoria interna
Auditoria internaAuditoria interna
Auditoria interna
 
Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)
 
Clase01
Clase01Clase01
Clase01
 
mesicic4_hnd_TAEVCII-UAI.ppt
mesicic4_hnd_TAEVCII-UAI.pptmesicic4_hnd_TAEVCII-UAI.ppt
mesicic4_hnd_TAEVCII-UAI.ppt
 
Casos de estudio
Casos de estudioCasos de estudio
Casos de estudio
 
Informe Final Auditoria II
Informe Final Auditoria IIInforme Final Auditoria II
Informe Final Auditoria II
 
Auditoria1
Auditoria1Auditoria1
Auditoria1
 
AUDITORIA
AUDITORIAAUDITORIA
AUDITORIA
 
AUDITORIA DE SISTEMA
AUDITORIA DE SISTEMAAUDITORIA DE SISTEMA
AUDITORIA DE SISTEMA
 
Monografía
MonografíaMonografía
Monografía
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Plan de parcticas
Plan de parcticasPlan de parcticas
Plan de parcticas
 
Balotario de auditoria
Balotario de auditoriaBalotario de auditoria
Balotario de auditoria
 
Auditoría de sistemas fundamentos
Auditoría de sistemas fundamentosAuditoría de sistemas fundamentos
Auditoría de sistemas fundamentos
 
Auditoria grupo 2
Auditoria grupo 2Auditoria grupo 2
Auditoria grupo 2
 
Anchali2
Anchali2Anchali2
Anchali2
 
Silabo auditoria informatica ( analisis v ciclo)
Silabo auditoria informatica ( analisis  v ciclo)Silabo auditoria informatica ( analisis  v ciclo)
Silabo auditoria informatica ( analisis v ciclo)
 

Informe final auditoria_nformatica

  • 1. ALGUN DIA INFORME DEL EXAMEN ESPECIAL AL DEPARTAMENTO DE INFORMÁTICA Del 1 de enero 2004 al 30 de marzo de 2010 Informe de Acción de Control N.º 002-2010-2-3620
  • 2. ÍNDICE Pág. Síntesis gerencial 3 I. INTRODUCCIÓN 4 1 Origen del examen 4 2 Naturaleza y objetivos del examen 4 3 Alcance del examen 5 4 Otros aspectos de importancia 8 II. OBSERVACIONES 9 III. CONCLUSIONES 16 IV. RECOMENDACIONES 17 Anexos Anexo N.º 1 - Relación de funcionarios comprendidos en las observaciones Anexo N.º 2 - Copia del Memorándum de Control Interno Anexo N.º 3 - Medidas correctivas de las deficiencias de control interno Página 2 de 17
  • 3. INFORME DEL EXAMEN ESPECIAL AL DEPARTAMENTO DE INFORMATICA Período del 01.01.09 al 31.03.10 Síntesis gerencial El presente Examen Especial comprende la evaluación de los Sistemas Informáticos con los que cuenta la Entidad, los mecanismos de seguridad informáticos, los mecanismos de contingencias y recuperación de desastres y la implantación del control interno en el departamento de Informática dentro del período del 01.01.09 al 31.03.10. Las principales conclusiones del trabajo realizado son las siguientes: 1. El departamento de Informática realiza básicamente labores de soporte a los usuarios, no habiendo actividades de desarrollo de Sistemas. 2. El departamento de Informática no cuenta con normatividad esencial para su funcionamiento. Específicamente no cuenta con una Plan de Contingencias adecuado y además no cuenta con un Plan Estratégico de Sistemas. 3. Algunos procedimientos del área no se encuentran normados. 4. La ejecución del proceso del backup se considera expuesta a demasiado riesgo, toda vez que los backups no son almacenados adecuadamente en un lugar seguro. Como resultado de esta acción de control se identificaron seis (6) observaciones, y diversas deficiencias de control interno entre las que destacan las relacionadas con deficiencias en la seguridad física, ejecución de backups de software base y la documentación relacionada, por lo que con la finalidad de promover la superación de las causas que las motivaron, se proponen las siguientes recomendaciones tanto al Comité Directivo, Gerencia Mancomunada, Gerencia de Administración y Gerencia Técnica: * * * Página 3 de 17
  • 4. ALGUN DIA Informe N.º 006-2010-2-3620 I. INTRODUCCIÓN A continuación se presenta información general sobre el presente Examen Especial al Departamento de Informática de la Federación Peruana de Cajas Municipales de Ahorro y Crédito, ALGUN DIA. 1. Origen del examen El Examen Especial al Departamento de Informática, por el período comprendido entre el 01.01.09 y 30.03.10, se realiza en cumplimiento del Plan Anual de Control para el 2010 del Órgano de Control Institucional de la ALGUN DIA, aprobado mediante Resolución de Contraloría N.º xxx-xxx-CG publicada en el diario oficial El Peruano el xx de xxxx de 200x. Cabe señalar que, de acuerdo con los lineamientos de política del Sistema Nacional de Control, dentro de esta acción de control se ha considerado el control presupuestal, la implantación de mecanismos de control interno y, complementariamente, los resultados de gestión, en cuanto al logro de objetivos y metas institucionales, en áreas vinculadas con la finalidad de la entidad. Es importante destacar que las áreas relacionadas con el Departamento de Informática no han sido materia de acciones de control posterior en los últimos dos años. 2. Naturaleza y objetivos del examen Esta acción de control consiste en un Examen Especial y tiene como objetivos general y específicos los siguientes: Objetivo General Evaluar el adecuado uso de las Tecnologías de Información incidiendo en software, hardware, comunicaciones, seguridad y control de calidad, así como evaluar la adecuada organización, planificación y administración del Área de Informática. Órgano de Control Institucional – Confidencial Página 4 de 17
  • 5. ALGUN DIA Informe N.º 006-2010-2-3620 Objetivos específicos a) Evaluar el Sistema Informático con el que cuenta la Entidad, determinando si los aplicativos actuales satisfacen las necesidades de la Entidad, la interrelación de sus aplicativos, su grado de funcionamiento y los controles implementados. b) Evaluar los mecanismos de Seguridad Informáticos implantados en la Entidad para asegurar la integridad de la información y de los recursos informáticos de la Entidad. c) Evaluar los mecanismos de Contingencias y recuperación de desastres de la Oficina de Informática para minimizar los riesgos de interrupciones y/o paralizaciones en el servicio.. d) Determinar el grado de cumplimiento del sistema de Control Interno del departamento de Informática. 3. Alcance del examen El alcance del Examen Especial al Departamento de Informática está referido a todas las acciones de control posterior y demás actividades desarrolladas para lograr un adecuado y oportuno funcionamiento de los sistemas de la ALGUN DIA, ejecutadas durante el periodo comprendido entre el 01.01.09 y 30.03.10. De acuerdo con el Plan Anual de Control 2010, los procesos ó áreas a ser examinados serán la administración eficiente de los recursos destinados al desarrollo de actividades del Departamento de Informática; el nivel de seguridad de los recursos informáticos, el nivel de cumplimiento de objetivos del área; aplicación de las normas legales e internas que regulan la labor de informática y la realización de las labores del área. Órgano de Control Institucional – Confidencial Página 5 de 17
  • 6. ALGUN DIA Informe N.º 006-2010-2-3620 El examen fue realizado de acuerdo con las Normas de Auditoria Gubernamental – NAGUs y el Manual de Auditoria Gubernamental – MAGU; y comprendió la revisión y análisis, en forma selectiva, de la información que obra en el Departamento de Informática y en otras áreas de la Entidad, relacionada con los hechos y actividades materia de examen, según la materialidad, mediante la aplicación de procedimientos analíticos, con la profundidad necesaria para obtener la evidencia suficiente y competente correspondiente, sin afectar a los principios de eficiencia, efectividad y economía que rigen el control gubernamental. El presente examen especial se desarrolló en la cuidad de Lima, en las instalaciones del local institucional de la ALGUN DIA. El plazo inicialmente estimado para el desarrollo de este examen se vio ampliado debido a la solicitud de ampliación de plazo presentada por el Gerente Técnico y la Directora de Informática para la presentación de sus comentarios y aclaraciones en relación con los hallazgos comunicados; así como al plazo adicional otorgado a los mencionado funcionarios según se indica en el numeral 5 Comunicación de Hallazgos. 4. Otros aspectos de importancia Por ser de importancia para los fines del presente informe, es preciso resaltar los siguientes hechos o circunstancias verificados durante el desarrollo de esta acción de control posterior, relacionados con los objetivos de ésta y con las situaciones evidenciadas en la Entidad: a) Durante la revisión del software con el que cuenta la Entidad, se pudo apreciar que la Entidad no cuenta con un aplicativo que le permita llevar el control de las partidas presupuestales. Se pudo evidenciar que actualmente, el sistema de Contabilidad SISCONT no cuenta con información de control que sirva como instrumento para la toma de decisiones relacionadas al Presupuesto. Las actividades de formulación y control de los montos ejecutados y pendientes son realizadas de forma manual. b) De la revisión a la seguridad lógica de la Entidad, se encontró que los Servidores Novell y Windows que se encuentran dentro de las instalaciones de la Sala de Órgano de Control Institucional – Confidencial Página 6 de 17
  • 7. ALGUN DIA Informe N.º 006-2010-2-3620 Servidores no contaban con una contraseña de protección de la consola que proteja el acceso a dichos Servidores. Sin embargo durante el transcurso de nuestra revisión, se pudo comprobar que dicho control ya había sido implementado. II. OBSERVACIONES Durante el desarrollo de esta acción de control se determinaron las siguientes observaciones, las cuales incluyen los comentarios y aclaraciones de los funcionarios de la Entidad. 1. ALGUNAS TABLAS DEL SISTEMA CMACSI NO CUENTAN CON LLAVE PRIMARIA De la revisión a la estructura de la Base de Datos del Sistema GERCSI (Sistema de Información Gerencial), se evidenció que de un total de 90 tablas, 18 tablas no contenían llaves primarias (es la que permite identificar cada registro individual de los demás registros en una determinada tabla). Las tablas que no cuentan con llave primaria son: FormaA1 MoviMiembros registro TasasME TasasME1 TasasMN TasasMN1 TbRatios XCOLOCACIONES_DEPOSITOS Xconcepto Xformula XMontosCtas XRESULTADO XRESULTADO1 XRESULTADO2 XRESULTADOFINAL Xstitulo Xtitulo Al respecto, se advierte que:  Las Normas Técnicas de Control Interno, aprobadas mediante Resolución de Contraloría N° 072-98-CG de 18.DIC.98, Código 500 Para Sistemas Computarizados, señala en su Numeral 500-03 sobre Controles de Datos Fuente, de Operación y de Salida, señala lo siguiente: “Numeral 04: Corresponde al Departamento de la entidad en coordinación con el Área de Informática, establecer los controles de datos fuente, los controles de operación y los controles de seguridad, con el objeto de asegurar la integridad y adecuado uso de la información que produce la entidad”. Órgano de Control Institucional – Confidencial Página 7 de 17
  • 8. ALGUN DIA Informe N.º 006-2010-2-3620  Los Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT) aprobados por ITGI (Information Technology Governance Institute), 3° Edición, mencionan lo siguiente: Objetivo Planeamiento y Organización, N° 2.1 Modelo de Arquitectura de Información: “La función de sistemas de información deberá crear y actualizar regularmente un modelo de arquitectura de información, abarcando el modelo de datos corporativo y los sistemas de información asociados. El modelo de arquitectura de información deberá conservar consistencia con el plan a largo plazo de tecnología de información”. Esto se debe a que en el Departamento no existen procedimientos de monitoreo que permitan asegurar la integridad referencial de la Base de Datos del Sistema CMACSI. Esta situación podría conllevar a que los registros de información presenten duplicidad en información, incrementa el riesgo de que la Base de Datos del Sistema CMACSI contenga información no validada o información sujeta a errores. 2. EL PLAN DE CONTINGENCIAS NO CUENTA CON LOS PROCEDIMIENTOS DE RECUPERACIÓN DE DESASTRES ANTE LA OCURRENCIA DE ALGUNA EVENTUALIDAD El Plan de Contingencias formulado por el Departamento de Informática, presenta algunas deficiencias, las cuales se detallan a continuación: a) El Plan de Contingencias no cuenta con los procedimientos de recuperación a seguir ante la ocurrencia de una eventualidad. b) No se contempla los diferentes escenarios de desastre. c) El Plan no cuenta con un calendario de pruebas. d) El Plan de Contingencias, siendo un documento confidencial, ha sido distribuido a todas las Jefaturas e) El Plan no considera la recuperación de las aplicaciones CMACSI, SISCONT y SISFACT. Al respecto, se advierte que: Órgano de Control Institucional – Confidencial Página 8 de 17
  • 9. ALGUN DIA Informe N.º 006-2010-2-3620  Las Normas Técnicas de Control Interno, aprobadas mediante Resolución de Contraloría N°. 072-98-CG del 18.DIC.98, código 500 para Sistemas Computarizados, señala en su numeral 06 sobre Plan de Contingencias que: “01. El área de Informática debe elaborar el Plan de Contingencias de la entidad que establezca los procedimientos a utilizarse para evitar interrupciones en la operación del sistema de cómputo.  Los Objetivos de Control para la información y tecnologías relacionadas (COBIT) – Objetivo Entrega de Servicios y Soporte Nro. 4.1 Marco de Referencia de Continuidad de Tecnología de Información indica que la Gerencia de TI, en cooperación con los propietarios de los procesos del negocio, deberá crear un marco de referencia de continuidad que defina los roles, responsabilidades, el enfoque / metodología basada en riesgo a seguir y las reglas y la estructura para documentar el plan de continuidad, así como los procedimientos de aprobación”. Esto se debe a que el Departamento de Informática no ha priorizado dentro de su Plan de Actividades la definición de los procedimientos de recuperación del Plan de Contingencias. La falta de procedimientos en el Plan de Contingencias origina que la Entidad no esté preparada para afrontar la ocurrencia de una situación de emergencia o desastre, la cual podría devenir en cortes y/o interrupciones prolongadas del servicio informático ofrecido por el Departamento de Informática. 3. LA ENTIDAD NO CUENTA CON UN PLAN DE SISTEMAS DE INFORMACIÓN De la revisión y evaluación de la documentación de Planeamiento se determinó que el Departamento de Informática no cuenta un Plan de Sistemas, el cual es una herramienta de gestión que establece las necesidades de información de la entidad, teniendo el propósito de prever el desarrollo de los recursos físicos y lógicos con un horizonte temporal determinado, de manera que contribuya efectivamente con los objetivos de la entidad. El Departamento de Informática en la actualidad cuenta con un Plan de Actividades que muestra las actividades realizadas en dicho periodo. Órgano de Control Institucional – Confidencial Página 9 de 17
  • 10. ALGUN DIA Informe N.º 006-2010-2-3620 Al respecto, se advierte que:  Las Norma Técnicas Control Interno, aprobadas mediante Resolución de Contraloría N° 072-98-CG del 18.DIC.98, código 500-02 Plan de Sistemas de Información, señalan lo siguiente: “Toda entidad que disponga de un área de informática debe implementar un plan de sistemas de información con el objeto que prever que el desarrollo de sus actividades contribuya al logro de sus objetivos institucionales”.  Los Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT) aprobadas por ITGI (Information Technology Governance Institute) 3º Edición, mencionan lo siguiente: Objetivo: Planeación y Organización Nº 1.4 Cambios al Plan a largo Plazo de TI: “La Gerencia de TI y los dueños del proceso del negocio deberán asegurar que se establezca un proceso con el fin de adaptar los cambios al plan a largo plazo de la organización y los cambios en las condiciones de la TI. La gerencia Senior deberá establecer una política que requiera que se desarrollen y se mantengan planes de largo y corto plazo de TI”. La falta de un Plan de Sistemas, se debe a que el Departamento de Informática basa la ejecución de sus actividades en un Plan de Actividades anual, el cual contiene la descripción y cronograma de ejecución de dichas actividades. Esta situación podría conllevar que las actividades del área Informática no se encuentren alineadas con los objetivos institucionales y estratégicos de la entidad así como a los requerimientos de la empresa; Además el no contar con un Plan de Sistemas a largo plazo, origina que la empresa no se comprometa a destinar recursos suficientes para el cumplimiento de los mismos. 4. LOS RESPALDOS DE INFORMACIÓN (BACKUPS) QUE REALIZA EL DEPARTAMENTO DE INFORMÁTICA NO SE ALMACENAN EN UN LUGAR SEGURO Se comprobó que los backups son elaborados de forma semanal, guardándose en un disco de uno de los Servidores del Departamento de Informática. Dichos backups de Órgano de Control Institucional – Confidencial Página 10 de 17
  • 11. ALGUN DIA Informe N.º 006-2010-2-3620 manera quincenal son almacenados en cinta. Las cintas son luego, guardadas en la Gerencia de Administración, en un estante que no brinda ninguna seguridad ni protección para el buen estado de las cintas. Al respecto, se advierte que:  Las Norma Técnicas Control Interno, aprobadas mediante Resolución de Contraloría N°. 072-98-CG del 18.DIC.98, código 500 para Sistemas Computarizados, señala en su numeral 500-05 Seguridad de Programas, de datos y de equipos de cómputo, lo siguiente: “04 Corresponde a la Oficina de Informática, en coordinación con la administración de la Entidad establecer los mecanismos de seguridad de los programas y datos del Sistema, que permitan asegurar la integridad, exactitud y acceso a las informaciones que se procesan internamente”.  Los Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT) aprobadas por ITGI (Information Technology Governance Institute) 3 º Edición, mencionan lo siguiente: Objetivo Entrega y Soporte Nº 4.12 Almacenamiento de respaldo en el sitio (off- site) “El almacenamiento externo de copias de respaldo, documentación y otros recursos tecnológicos de información, catalogados como críticos, debe ser establecido para soportar el plan de recuperación y continuidad del negocio”. Esto se debe a que no se han tomado todas las medidas necesarias para garantizar la disponibilidad, protección y buen estado de las cintas, necesarias ante la ocurrencia de alguna contingencia. Esta situación pone en riesgo la continuidad del servicio ofrecido por el Departamento de Informática, toda vez que ante la ocurrencia de un desastre, existe el riesgo de no contar con los recursos necesarios para restaurar el servicio ofrecido por el Departamento de Informática. Órgano de Control Institucional – Confidencial Página 11 de 17
  • 12. ALGUN DIA Informe N.º 006-2010-2-3620 5. EL DEPARTAMENTO DE INFORMÁTICA NO REALIZA PERIÓDICAMENTE UN MONITOREO DE LAS ACTIVIDADES DE USO Y ACCESO A LOS RECURSOS INFORMÁTICOS De la revisión a los procedimientos de monitoreo de la seguridad lógica, se evidenció que el Departamento de Informática no realiza ningún monitoreo periódico de actividades de uso y acceso a los recursos informáticos de la Entidad, con el fin de determinar el uso correcto de dichos recursos, así como detectar intentos de violación y/o acceso no autorizados a los recursos informáticos de la ALGUN DIA. Así tenemos que no se encontró evidencia de la realización de un monitoreo periódico a las actividades de uso de Internet, tráfico de correo, tráfico sospechoso por la red, actualización de cliente antivirus, cambio de passwords, ni de intentos de acceso o acceso no autorizado a los recursos informáticos administrados por el Departamento de Informática. Al respecto, se advierte que:  Las Normas Técnicas de Control Interno, aprobadas mediante Resolución de Contraloría N° 072-98-CG de 18.DIC.98, Código 500 Para Sistemas Computarizados, señala en su Numeral 500-05 sobre seguridad de programas, de datos y equipos de cómputo que: “Numeral 04: Corresponde a la Oficina de Informática, en coordinación con la administración de la entidad establecer los mecanismos de seguridad de los programas y datos del sistema, que permitan asegurar la integridad, exactitud y acceso a las informaciones que se procesan internamente”. Esto se debe a que el Departamento de Informática no ha previsto la realización de un cronograma de monitoreo periódico al uso y acceso de los recursos informáticos ni al seguimiento del cumplimiento de normas y políticas del Departamento. Asimismo el Plan de Seguridad de Información no define tareas del monitoreo ni de seguimiento a las políticas definidas en dicho Plan. Órgano de Control Institucional – Confidencial Página 12 de 17
  • 13. ALGUN DIA Informe N.º 006-2010-2-3620 Esta situación origina que no se detecten los intentos de acceso o los accesos no autorizados a los recursos informáticos de la Entidad e incluso podría devenir en fuga de información sensitiva fuera de la Entidad. 6. NO EXISTE UN PROCEDIMIENTO FORMAL QUE REGULE EL ACCESO REMOTO A LOS SERVIDORES DE LA ENTIDAD Durante la inspección realizada para verificar los controles de acceso lógico implementados en la Entidad, se pudo verificar que la Directora de Informática ha realizado en un par de ocasiones el acceso remoto a los recursos de la Entidad. Este acceso remoto se realiza a través de Internet. A la fecha de nuestra revisión, este acceso no se encontraba normado. Al respecto, se advierte que:  Las Normas Técnicas de Control Interno, aprobadas mediante Resolución de Contraloría N° 072-98-CG de 18.DIC.98, Código 500 Para Sistemas Computarizados, señala en su Numeral 500-05 sobre seguridad de programas, de datos y equipos de cómputo que: “Numeral 04: Corresponde a la Oficina de Informática, en coordinación con la administración de la entidad establecer los mecanismos de seguridad de los programas y datos del sistema, que permitan asegurar la integridad, exactitud y acceso a las informaciones que se procesan internamente”. Esta situación se debe a que el Departamento de Informática no ha previsto la formulación de un procedimiento que regule el acceso remoto a los recursos informáticos de la Entidad. Esta situación podría ocasionar un acceso no autorizado de información, toda vez que al tratarse de un acceso remoto, no se necesita estar dentro de las instalaciones de la Entidad. Órgano de Control Institucional – Confidencial Página 13 de 17
  • 14. ALGUN DIA Informe N.º 006-2010-2-3620 III. CONCLUSIONES Como resultado del examen especial realizado, arribamos a las siguientes conclusiones: 1. El departamento de Informática no cuenta con un Plan de Contingencias actualizado y completo, debido a que no se ha priorizado la definición de los procedimientos de recuperación del Plan de Contingencias. (Observación N.º 2) 2. El departamento de Informática no cuenta con un Plan de Sistemas de Información, debido a que el Departamento de Informática basa la ejecución de sus actividades en un Plan de Actividades anual, el cual contiene la descripción y cronograma de ejecución de dichas actividades. (Observación N.º 3). 3. Los respaldos de información (backups) no son almacenados en un lugar seguro, debido a que no se han tomado todas las medidas necesarias para garantizar la disponibilidad, protección y buen estado de las cintas, necesarias ante la ocurrencia de alguna contingencia. (Observación N. º 4). 4. No se ejecuta un monitoreo periódico de las actividades de uso y acceso a los recursos informáticos de la Entidad, debido a que no se ha previsto la realización de un cronograma de monitoreo de uso y acceso a los recursos ni al seguimiento del cumplimiento de normas y políticas del Departamento. (Observación N. º 5). 5. No existe un procedimiento formal que regule el acceso remoto a los servidores de la entidad, debido a que no se ha previsto la formulación de un procedimiento que regule el acceso remoto a los recursos informáticos de la Entidad. (Observación N. º 6). Órgano de Control Institucional – Confidencial Página 14 de 17
  • 15. ALGUN DIA Informe N.º 006-2010-2-3620 IV. RECOMENDACIONES Con el propósito de promover la superación de las causas y deficiencias evidenciadas se sugieren las siguientes recomendaciones: Al Departamento de Informática. 1. Actualizar el Plan de Contingencias, definiendo las siguientes actividades: a) Definir los procedimientos de recuperación a seguir ante la ocurrencia de una eventualidad. b) Contemplar diferentes escenarios de desastre por cada riesgo identificado. c) Definir un calendario para la realización de pruebas a los procedimientos del Plan. 2. 2. Elaborar el Plan de Sistemas de Información, el cual debe estar alineado con los Objetivos Institucionales trazados en el Plan Estratégico de la Entidad. Específicamente el Plan de Sistemas debe contener: 3.  Diagnóstico de la situación informática actual con la finalidad de saber las capacidades actuales de la entidad;  Elaboración de objetivos y estrategias del sistema de información que sirva de base para apoyar la misión y los objetivos de la entidad;  Desarrollo del modelamiento de datos para determinar que información es necesaria para la entidad;  Generación, ordenamiento y priorización (por nivel de importancia e inversión) sistemática de los proyectos informáticos;  Programación de los tiempos requeridos para la puesta en marcha de los proyectos designados, estimando el período de vida de cada proyecto. 3. Definir un procedimiento que garantice el adecuado almacenamiento de los backups. Se recomienda que los backups se almacenen en la caja fuerte del departamento de Administración. Asimismo definir un procedimiento que permita a la Directora de Informática contar con el acceso a dicha caja fuerte solo en los casos de la ocurrencia de alguna eventualidad. Órgano de Control Institucional – Confidencial Página 15 de 17
  • 16. ALGUN DIA Informe N.º 006-2010-2-3620 4. Elaborar un calendario periódico que permita definir fechas de realización del monitoreo de las actividades de uso y acceso a los recursos informáticos de la ALGUN DIA. Asimismo como resultado de dicho monitoreo se debe informar a la Gerencia de las actividades encontradas en dicho monitoreo, con el objeto de realizar las acciones correctivas correspondientes contra el o los infractores. 5. Definir un procedimiento que regule el acceso a los recursos informáticas vía acceso remoto. Asimismo como parte de las actividades del procedimiento se debe emitir un informe a la Gerencia Mancomunada, informando las actividades realizadas para cada uno de los accesos remotos ocurridos. Lima, 01 de diciembre de 2011 Katherine Midleton Jefa del OCI – ALGUN DIA Órgano de Control Institucional – Confidencial Página 16 de 17
  • 17. ALGUN DIA Informe N.º 006-2010-2-3620 ANEXO N.º 1 RELACIÓN DE FUNCIONARIOS COMPRENDIDOS EN LAS OBSERVACIONES Periodo de gestión Condición Domicilio Nombre D.N.I. Cargo Desde Hasta laboral Mora Flores, Marina 12345678 Directora del xx.xx.04 A la fecha Permanente XXXXXXXXXXXXXX Departamento de Informática Flores, Juan Diego 12345678 Gerente Técnico xx.xx.04 A la fecha Permanente XXXXXXXXXXXXXX Órgano de Control Institucional – Confidencial Página 17 de 17