Académique Documents
Professionnel Documents
Culture Documents
I.
INFORME
INTRODUCCION
II. OBJETIVOSde la
Tecnologa
Informacin
III. HALLAZGOS Y
PerodoRECOMENDACIONES
Cortado al 15 de Diciembre de 2009
IV. CONCLUSIONES
1
I. INTRODUCCION
Objetivos Generales:
Alcance:
Objetivos Especficos:
SEGURIDAD LOGICA:
1. Revisar y evaluar la administracin global de seguridad implementada en el
sistema operativo de red.
2. Revisar que las bases de datos utilizadas por los sistemas son administradas
correctamente para asegurar que se mantenga su integridad.
3. Revisar y evaluar los mecanismos establecidos para la seguridad en las
aplicaciones o programas propios de la institucin.
4. Evaluar el cumplimiento de las polticas y procedimientos internos de
seguridad.
5. Verificar y evaluar las normativas internas en el uso de correo electrnico e
Internet.
SEGURIDAD FISICA:
En revisin a los estatutos y actas de Comit de TI, se detectaron las siguientes oportunidades de
mejora:
Criterio:
Arto. 5 Responsabilidad de la Junta Directiva y de la Alta Gerencia, Captulo III, de la
Norma sobre Gestin de Riesgo Tecnolgico.
Estatutos del Gobierno de TI: Integrantes del Gobierno de TI y Funciones.
Causa:
a) Limitada estandarizacin de los estatutos del Comit de TI, conforme a los estatutos de
otros comits establecidos en la institucin.
b) Los dos comits de TI efectuados a la fecha de revisin, no han considerado algunas
disposiciones establecidas en los estatutos de dicho Comit.
c) Limitada aplicacin de las mejores prcticas de gobierno corporativo.
Efecto:
Recomendacin:
a) Revisar y estandarizar los estatutos del Comit de TI, con base a la estructura establecida
en los estatutos de otros comits que forman parte del Gobierno Corporativo del banco.
b) Los principales miembros del Comit de TI deben asegurar el cumplimiento adecuado de
las disposiciones establecidas en los estatutos del Comit, dejando evidencia de dicho
cumplimiento en las respectivas actas.
c) Adoptar la aplicacin de mejores prcticas corporativas en relacin a la funcin de TI.
Comentarios de TI:
Gerente General,
Gerente de OyT,
Gerente de Riesgo,
Miembro de la JD designado.
A inicios del presente ao se elabor el Marco Referencia para la Gestin de Proyectos, mismo
que fue proporcionado a la SIBOIF durante su inspeccin insitu realizada en febrero de 2009.
Con base a los principales lineamientos del Marco de Referencia, evaluamos una muestra de los
proyectos estratgicos en ejecucin (Ver detalle de proyectos revisados en el Anexo 1), detectando
las siguientes situaciones:
6. No se observ acta de entrega de la primera fase del proyecto de la Red del xito.
Criterio:
Arto. 10 Administracin de nuevos proyectos, del captulo IV de la Norma sobre la
Gestin de Riesgo Tecnolgico.
Documento Marco Referencia para la Gestin de Proyectos.
Causa:
No se estaba aplicando para todos los proyectos (incluyendo los estratgicos), el Marco
Referencia para la Gestin de Proyectos.
No todos los lderes de los proyectos en ejecucin (reas usuarias) conocen el marco de
referencia.
Limitada estandarizacin de procesos y procedimiento en la implementacin de los
proyectos con componentes tecnolgicos.
Efecto:
a) Aumento del riesgo tecnolgico.
b) Posibles sealamientos del ente regulador.
Recomendacin:
Comentarios de TI:
Los proyectos en curso ya se estn documentando en el dotProject, en donde aparecen los recursos
y su rol.
Criterio:
Incisos a), c) y d) del Arto. 7 Planeacin de tecnologa de informacin, Captulo III, de la
Norma sobre la Gestin de Riesgo Tecnolgico.
Arto. 20 Administracin y monitoreo de los niveles de servicio, Captulo V, de la Norma
sobre la Gestin de Riesgo Tecnolgico.
Causa:
- Limitadas polticas y procedimientos sobre la administracin de la infraestructura
tecnolgica.
- Limitada supervisin al proceso de migracin de la herramienta SD.
Efecto:
Aumento del riesgo operacional.
Se incrementa el riesgo tecnolgico.
Recomendacin:
a. La vicegerencia de tecnologa en colaboracin con la vicegerencia de calidad y procesos, debe
elaborar polticas y procedimientos para la administracin de la infraestructura tecnolgica,
tomando en consideracin todos los incisos del Arto 7 de la Norma sobre la gestin de Riesgo
Tecnolgico.
b. As mismo, se deben asegurar que dichas polticas y procedimientos sean aprobados por las
instancias correspondientes y divulgadas al personal involucrado en el cumplimiento de las
mismas.
c. La vicegerencia de tecnologa debe incrementar la supervisin a las actividades y proyectos de
las diferentes jefaturas de TI, en pro de garantizar la calidad y aseguramiento de los servicios
relacionados con tecnologa.
Comentarios de TI:
Con base a nuestra revisin y de acuerdo a los controles del rea de soporte de TI, an existen
limitaciones en el licenciamiento del software instalado en la institucin, tanto a nivel de sistema
operativo y ofimtica, como software utilitarios.
Debilidad encontrada y/o Hallazgo
Criterio:
Inciso d) del Arto. 16, Captulo V de la Norma sobre Gestin de Riesgo Tecnolgico.
Seccin 23.2 Realizar copias del software, de las Polticas de Seguridad de la Informacin.
Causa:
- Limitado cumplimiento de las polticas de seguridad de la informacin por parte de algunos
usuarios del banco.
- El rea de TI an no ha establecido los procedimientos y herramientas a nivel del sistema
operativo de red, para la administracin del software a ser instalado en los equipos
institucionales.
Efecto:
- Aumenta el riesgo de imagen y de prdida.
- Incrementa el riesgo tecnolgico.
Recomendacin:
Comentarios de TI:
Fecha
Usuario Empleado Modelo del equipo retiro del
empleado
RTELLEZ Ricardo Tllez DELL OPTIPLEX GX280 28/05/2009
EOROZCO Erick Orozco OptiPlex GX520 01/06/2009
SIALVAREZ Silvia Alvarez OptiPlex GX520 23/06/2009
3. No se incluyen todos los equipos utilizados por el personal de tecnologa que se encuentra
en el edificio de Tiscapa. Ejemplo: Los equipos listados a continuacin no se encontraban
en el inventario proporcionado:
.
Criterio:
Causa:
Efecto:
Recomendacin:
b. Este procedimiento debe considerar el uso de la herramienta de software que se utilice para
obtener las caractersticas de los equipos instalados a la red, asimismo se deben efectuar cruces
con el control de inventario de activos fijos que lleva la administracin del banco, para validar
la efectividad de la herramienta de software (y viceversa), o bien para detectar posibles equipos
que no se estn conectando a la red del banco.
Comentarios de TI:
Criterio:
Causa:
Efecto:
Recomendacin:
Comentarios de TI:
S PS NS
Informe TOTAL
# % # % # %
AI 2008 2 13% 11 69% 3 19% 16
SIBOIF 2008 2 18% 8 73% 1 9% 11
SIBOIF 2007 3 23% 10 77% 0 0% 13
TOTAL 7 18% 29 72% 4 10% 40
Criterio:
De acuerdo a mejores prcticas del sector, la administracin debe monitorear la efectividad del
control interno en el curso normal de las operaciones a travs de actividades administrativas y de
supervisin. La confiabilidad en los controles internos requiere que estos operen rpidamente para
resaltar errores e inconsistencias y que estos sean corregidos antes de que tengan un impacto
negativo sobre la institucin.
Causa:
Debilidad encontrada y/o Hallazgo
Falta de un plan de trabajo especfico para el seguimiento e implementacin de las condiciones
identificadas y reportadas por auditora interna y la SIBOIF en revisiones anteriores.
Efecto:
Recomendacin:
Comentarios de TI:
El 90% de las recomendaciones ya se han implementado o les queda poco para superarlas en todos
sus puntos, por lo tanto no hay limitacin en el cumplimiento.
IV. CONCLUSIONES
Aceptacin de
Seguimiento Acta de
Estudio de Definicin Determinacin de Gestin de Gestin de Auditora deresultados y
Proyecto del entrega del Observaciones
viabilidad de recursos fases del proyecto calidad riesgos proyectosrevisiones post-
proyecto* proyecto
implementacin
Claves
Cumple
Cumple con Excepcin
No Cumple
Anexo 2A. Documentacin de TI
2. Ejemplos: