Auditoria de Sistemas

Auditoria del centro de cmputo de Administracin .NI

Utilizacin de la Metodologa COSO para la realizacin de la Auditoria al centro de cmputo de la Administracin de los dominios de tercer nivel .NI en Nicaragua.

Viernes 24 de Julio del 2011

Universidad Nacional de Ingeniera Instituto de Estudios Superiores

Trabajo final de Auditoria de Sistemas. Presentado por: Emely Scarlett Gamboa Orozco Migdia Arabell Maradiaga Lpez Vania Mara Rayo Ramrez

Docente: Ing. Liber Marcial Cerda. Grupo: 5T1-S

Introduccin El presente trabajo de estudio est orientado a la realizacin de una auditoria que abarca todos los conocimientos adquiridos en clase de Auditoria de Sistemas y su implementacin con la utilizacin de la Metodologa COSO para la deteccin de problemas, hallazgos y sus posibles recomendaciones, del rea de cmputo de la Administracin del NIC.NI. Segn los permisos concedidos por el Ing. Marvin Castaeda, Director ejecutivo de Administracin NIC.NI y el giro del departamento asignado se realiz la auditoria, analizando aspectos relevantes desde el punto de vista de hardware, software, redes, seguridad y calidad. Para lo cual se tom mediante las herramientas de auditoria y la observacin, datos relevantes que caben destacar como problemtica o hallazgos dentro de la empresa. La Administracin del NIC.NI es una entidad que se ocupa de la venta y asignacin de dominios de tercer nivel, para las personas naturales o jurdicas que deseen hacer pblicas sus pginas o quieran realizar una, la empresa, exclusivamente el centro de cmputo es el encargado de la realizacin gratuita de la pgina esttica, ver ANEXO 6.

Justificacin

La realizacin del presente estudio es con el propsito evaluar la eficiencia y eficacia de los controles establecidos en los procesos de negocio, para poder evaluar los mismos y presentar los posibles. La Auditoria es realizada para evaluar de manera objetiva el funcionamiento de dicha institucin, y para efectuar recomendaciones en caso de encontrar fallas significativas en el desempeo de sus funciones. Es de vital importancia la realizacin de las auditorias de forma peridica para cuidar las debilidades y deficiencias de la empresa, ya sea para corregirlas oportunamente o para evitar impactos no deseados en la organizacin. Una auditoria permite evaluar los riesgos de la empresa para su correccin y mantenimiento.

Objetivos

Objetivo General.

Realizar un estudio general del centro de cmputo de Administracin NIC.NI. en el rea diseo de las pginas WEB.

Objetivos Especficos.

Estudiar el equipo de hardware, software y seguridad, utilizado rea de Diseo Web de la Administracin NIC.NI. Presentar la situacin actual de las operaciones, personal, hardware, software, y los estndares, normativas y cdigos existentes en la empresa. Mostrar las posibles soluciones en cuanto a los problemas encontrados.

CAPITULO I
Definiciones Generales

Control El proceso de medir los actuales resultados en relacin con los planes, diagnosticando la razn de las desviaciones y tomando las medidas correctivas necesarias. Robert B. Buchele El control es una etapa primordial en la administracin, pues, aunque una empresa cuente con magnficos planes, una estructura organizacional adecuada y una direccin eficiente, el ejecutivo no podr verificar cul es la situacin real de la organizacin i no existe un mecanismo que se cerciore e informe si los hechos van de acuerdo con los objetivos. Control Interno El control interno es un proceso llevado a cabo por las personas de una organizacin, diseado con el fin de proporcionar un grado de seguridad "razonable" para la consecucin de sus objetivos, dentro de las siguientes categoras:

Eficiencia y eficacia de la operatoria. Fiabilidad de la informacin financiera. Cumplimiento de las leyes y normas aplicables.

Por lo mencionado precedentemente podemos entonces definir ciertos conceptos fundamentales del control interno:

El control interno es un proceso, es un medio para alcanzar un fin. Al control interno lo realizan las personas, no son slo polticas y procedimientos. El control interno slo brinda un grado de seguridad razonable, no es la seguridad total. El control interno tiene como fin facilitar el alcance de los objetivos de una organizacin.

Ahora bien resulta necesario ampliar y describir los conceptos fundamentales mencionados para lograr un mejor entendimiento del control interno. El control interno constituye una serie de acciones que se interrelacionan y se extienden a todas las actividades de una organizacin, stas son inherentes a la gestin del negocio (actividades de una entidad). El control interno es parte y est integrado a los procesos de gestin bsicos: planificacin, ejecucin y supervisin, y se encuentra entrelazado con las actividades operativas de una organizacin. Los controles internos son ms efectivos cuando forman parte de la esencia de una organizacin, cuando son "incorporados" e "internalizados" y no "aadidos". Control Adecuado Es el que est presente si la direccin ha planificado y organizado (diseado) las operaciones de manera tal que proporcionen un aseguramiento razonable de que los objetivos y metas de la organizacin sern alcanzados de forma eficiente y econmica.

CAPITULO II
Definicin de COSO

Una auditoria informtica requiere de varias actividades, dentro de las cuales se evalan la efectividad, y eficacia que se tiene en la empresa, aspectos que cuentan con una gran importancia dentro de la organizacin. COSO (Committee of Sponsoring Organizations) consiste en un comit creado en Estados Unidos, conformado por instituciones que incluyen la participacin de los auditores internos, contadores, administradores y otros. Dentro de las organizaciones que participaron en la elaboracin del modelo COSO se encuentran: American Accounting Association (AAA). American institute of Certificate Public Accountants (AICPA). Financial Executive Institute (FEI). Institute of Internal Auditors (IIA). Institute of Managent Accountants (IMA).

El modelo COSO surge para el cumplimiento de los siguientes objetivos: Implementar una definicin de control interno para que sea de conocimiento general y para satisfacer las necesidades de cada persona involucrada. Facilitar la evaluacin del sistema de control interno mediante una estructura. Proporciona un modelo de control para el logro de una administracin de los riesgos de las organizaciones de una forma eficiente. El control interno en cuanto a COSO es un proceso efectuado por la direccin y el resto del personal de una entidad, diseado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro de las siguientes categoras: Eficacia y eficiencia de las operaciones. Confiabilidad de la informacin financiera. Cumplimiento de las leyes, reglamentos y normas que sean aplicables. Componentes de la metodologa COSO: 1. Ambiente de control: El ambiente de control define al conjunto de circunstancias que enmarcan el accionar de una entidad desde la perspectiva del control interno y que son por lo tanto determinantes del grado en que los principios de este ltimo imperan sobre las conductas y los procedimientos organizacionales

Este elemento proporciona la disciplina y la conducta, de personal implicado en el seccin de anlisis de la empresa, en este caso el centro de cmputo de la ADMINISTRACION .NI. Dicho componente integra todas las normas que deben de seguir las personas de la organizacin. Debe de tomarse en cuenta en cuenta que la alta administracin es la que debe de encargarse de dar las bases de disciplina, los cdigos de conducta y dems normativas que deben de seguir el personal de la organizacin. El ambiente de control se determina en funcin de la integridad y competencia del personal de una organizacin; los valores ticos son un elemento esencial que afecta a otros componentes del control. Entre sus factores se incluye la filosofa de la administracin, la atencin y gua proporcionados por el consejo de administracin, el estilo operativo, as como la manera en que la gerencia confiere autoridad y asigna responsabilidades, organiza y desarrolla a su personal. Los aspectos importantes de dicho componente incluyen valores ticos organizacional. 2. Evaluacin de Riesgos: Los riesgos se analizan considerando su probabilidad e impacto como base para determinar cmo deben ser administrados. Los riesgos son evaluados sobre una base inherente y residual bajo las perspectivas de probabilidad (posibilidad de que ocurra un evento) e impacto (su efecto debido a su ocurrencia), con base en datos pasados internos (pueden considerarse de carcter subjetivo) y externos (ms objetivos). Este componente consiste en establecer normas y proporcionar lineamientos para obtener una comprensin de los sistemas de contabilidad y de control interno sobre el riesgo de auditora y sus componentes: riesgo inherente, riesgo de control y riesgo de deteccin. Respuesta al riesgo. La direccin selecciona las posibles respuestas - evitar, aceptar, reducir o compartir los riesgos desarrollando una serie de acciones para alinearlos con el riesgo aceptado y las tolerancias al riesgo de la entidad. Las categoras de respuesta al riesgo son: Evitarlo: Se toman acciones de modo de discontinuar las actividades que generan riesgo Reducirlo: Se toman acciones de modo de reducir el impacto, la probabilidad de ocurrencia del riesgo o ambos Compartirlo: Se toman acciones de modo de reducir el impacto o la probabilidad de ocurrencia al transferir o compartir una porcin del riesgo Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo y la estructura

3. Actividades de Control: Se deben de establecer polticas y procedimientos de control con el objetivo de recudir la posibilidad de que existen acciones que impliquen riesgos que impidan o entorpezcan el cumplimiento de los objetivos de la organizacin. Las actividades de control son las polticas y los procedimientos que ayudan a asegurar que se lleven a cabo las instrucciones de la direccin de la empresa. Ayudan a asegurar que se tomen las medidas necesarias para controlar los riesgos relacionados con la consecucin de los objetivos de la empresa. Hay actividades de control en toda la organizacin, a todos los niveles y en todas las funciones. Las actividades de control ocurren a lo largo de la organizacin, en todos los niveles y todas las funciones, incluyendo los procesos de aprobacin, autorizacin, conciliaciones, etc. Las actividades de control pueden clasificarse en controles preventivos, detectivos, correctivos, manuales de usuario, de cmputo, de tecnologa de la informacin y administrativos. 4. Informacin y comunicacin Se debe generar informacin relevante y comunicarla oportunamente, de tal manera que permita a las personas entenderla y cumplir con sus responsabilidades. Los sistemas de informacin deben de proveer la adecuada cantidad, precisin, oportunidad y confiabilidad y la misma debe de ser necesaria para una administracin eficaz y eficiente. Se tiene que identificar la informacin relevante y conocer los mecanismos para recogerla y comunicarla oportunamente para que se pueda cumplir con los objetivos determinados. As como es necesario que todos los agentes conozcan el papel que les corresponde desempear en la organizacin (funciones, responsabilidades), es imprescindible que cuenten con la informacin peridica y oportuna que deben manejar para orientar sus acciones en consonancia con los dems, hacia el mejor logro de los objetivos. La informacin relevante debe ser captada, procesada y transmitida de tal modo que llegue oportunamente a todos los sectores permitiendo asumir las responsabilidades individuales. La informacin operacional, financiera y de cumplimiento conforma un sistema para posibilitar la direccin, ejecucin y control de las operaciones. Esta informacin est conformada no slo por datos generados internamente sino por aquellos provenientes de actividades y condiciones externas, necesarios para la toma de decisiones. 5. Supervisin y Monitoreo El objetivo del monitoreo es asegurar que el proceso se encuentra operando tal y como se plante y comprobar que son efectivos.

Las actividades de monitoreo constante pueden ser implantadas en los propios procesos del negocio o a travs de evaluaciones separadas de la operacin, es decir, mediante auditoria interna o externa. El objetivo del componente es el de asegurar que el control interno funciona adecuadamente, a travs de dos modalidades de supervisin: actividades continuas o evaluaciones puntuales. Las primeras son aquellas incorporadas a las actividades normales y recurrentes que, ejecutndose en tiempo real y arraigadas a la gestin, generan respuestas dinmicas a las circunstancias sobrevinientes. En cuanto a las evaluaciones puntuales, corresponden las siguientes consideraciones: A. Su alcance y frecuencia estn determinados por la naturaleza e importancia de los cambios y riesgos que stos conllevan, la competencia y experiencia de quienes aplican los controles, y los resultados de la supervisin continuada. B. Son ejecutados por los propios responsables de las reas de gestin (autoevaluacin), la auditoria interna (incluida en el planeamiento o solicitada especialmente por la direccin), y los auditores externos. C. Constituyen en s todo un proceso dentro del cual, aunque los enfoques y tcnicas varen, priman una disciplina apropiada y principios insoslayables. D. La tarea del evaluador es averiguar el funcionamiento real del sistema: que los controles existan y estn formalizados, que se apliquen cotidianamente como una rutina incorporada a los hbitos, y que resulten aptos para los fines perseguidos. E. Responden a una determinada metodologa, con tcnicas y herramientas para medir la eficacia directamente o a travs de la comparacin con otros sistemas de control probadamente buenos. F. El nivel de documentacin de los controles vara segn la dimensin y complejidad de la entidad.

Representacin Grfica de los componentes de COSO

CAPITULO III
Analisis y Evaluacion de los componentes de la auditoria con la utilizacion de la metodologia COSO.

1. Ambiente de control: Hallazgos El personal de dicha organizacin es un personal consciente de cumplir con los valores establecidos por la direccin, para los cuales la empresa tiene establecido en un cdigo de conducta. El personal del departamento de diseo est consciente de guardar la cordura dentro de la organizacin pero sus relaciones se basan en su comportamiento natural con limitaciones establecidas en los cdigos de manera tal que se basan en honestidad y equidad. No hay presin por el cumplimiento de objetivos irreales, pero si por el cumplimiento de los reales, los cuales si llegan a ser cumplidos se otorga una bonificacin por metas alcanzadas como incentivo. No se ha realizado un anlisis detallado de las funciones de cada uno de los funcionarios del departamento por lo que muchos de ellos realizan ms de lo que le compete en dado caso que haya otros funcionarios que no puedan llevar a cabo efectivamente su labor. En el departamento si se ha efectuado un anlisis de las competencias requeridas por los funcionarios para desempear adecuadamente sus funciones, ya que se requieren de ciertos requisitos muy exigentes para poder laborar. En el departamento existe un plan de capacitacin al personal, en CS4 y HTML. Cabe destacar que el personal debe de tener conocimientos bsicos de dichos programas. Se percibe de parte de la Direccin del departamento un compromiso permanente con el sistema de control interno y con los valores ticos del mismo, tanto es as que se ha elaborado un cdigo de conducta y asistencia, ya que interesa la parte cuantitativa y la cualitativa, es decir se valoran tanto las aptitudes del personal como las actitudes. La Direccin del departamento realiza reuniones para que los funcionarios conozcan decisiones importantes tomadas pero tambin para que participen brindando su opinin para la toma de decisiones. La direccin participa de manera efectiva en operaciones de alto riesgo que involucren incumplimiento en entrega de sus servicios y otras situaciones que salgan del control de los funcionarios.

Las decisiones sustantivas de la Organizacin se toman luego de que se ha realizado un anlisis rpido de los riesgos asumidos, pero no se realiza de manera detallada solo se trata al problema superficialmente con metas de reducirlo y no de erradicarlo en su totalidad. Existe una actitud positiva hacia la funcin de rendicin de cuentas, auditora interna y otro tipo de controles. En el departamento del NIC.NI existe una estructura organizativa como se muestra en el ANEXO 2, el cual ha sido difundido a toda la organizacin. La Organizacin cuenta con una estructura organizativa donde especifica los niveles de autoridad y responsabilidad de la empresa pero aun as no se han involucrado a todos los cargos de la empresa, pues no se ha actualizado. Cada una de las funciones de los cargos se encuentran especificadas en el ANEXO 3. El organigrama contribuye efectivamente al flujo de informacin entre todas las reas de la empresa segn la empresa. La estructura organizativa es adecuada al tamao pues no hay muchos cargos pero se debera de reestructurar. Actualmente hay un manual de procesos, pero no se pudo realizar el anlisis ya que no nos fue autorizado por la entidad. Los funcionarios conocen los cometidos de la Organizacin y cmo su funcin contribuye al logro de los mismos, pues esto sirve de motivacin a continuar sus labores y a desempearse de manera efectiva. Existen normas y procedimientos relacionados con el control y descripciones de puestos de trabajo, pues hay un manual de funciones y uno de procesos. Por parte de los funcionarios existe responsabilidad y delegacin de autoridad, pues cada persona cumple con las funciones encomendadas dentro de los lmites de su autoridad. Si un funcionario tiene asignadas responsabilidades debe de rendir cuentas peridicamente de su labor a la autoridad superior. El nmero del personal est de acuerdo con el tamao de la entidad as como la naturaleza y complejidad de sus actividades y sistemas, pues con el personal actual se cumple eficazmente las responsabilidades. Existen procedimientos definidos para la promocin, seleccin, capacitacin, evaluacin, compensacin y sancin del personal, pero son de manera sencilla y no tan detallados como otras empresas, los cuales son conocidos por todos los funcionarios y se si se aplican realmente.

Recomendaciones Realizacin de un anlisis detallado de las funciones de cada persona dentro de la empresa para poder lograr un mejor orden, y que se hagan cumplir de manera que no se tenga que hacer delegaciones de autoridad. Elaboracin de reglamentos que puedan cumplir los empleados para la entrega del producto (pgina WEB), realizada en base al cumplimiento de estndares y normativas de la informtica. Dentro de las decisiones tomadas en cuanto a los productos, se debe hacer un anlisis exhaustivo y no superficial de los beneficios, complejidad y estructura del diseo de la pagana WEB para su realizacin, para poder crear beneficios a la empresa y satisfacer las necesidades del cliente. La realizacin de un diagrama de cargos que involucre solamente al centro de cmputo sera de gran beneficio para poder alcanzar una mejor organizacin, ya que el organigrama actual incluye los todos los cargos superiores dentro de la Organizacin de la Administracin del NIC.NI. Ver ANEXO 9. Actualizacin de los campos en el organigrama de funciones es de vital importancia.

2. Evaluacin de Riesgos Hallazgos La misin de la Organizacin si es conocida y comprendida por la Direccin y por los funcionarios del departamento y adems est siendo cumplida en un 100%. Se han definido pocos objetivos dentro del departamento los cuales no cuentan con polticas para su cumplimiento, solo de manera verbal pero no escrita. La Direccin del departamento no da mucha importancia a los objetivos y solamente se preocupan por cumplir con los trabajos del da a da. El Departamento de diseo no cuenta con un plan estratgico, pues este solo se ve a nivel del rea de administracin y el departamento se encarga de cumplir las rdenes. Adems que objetivos propuestos en el plan estratgico no tienen nada ver con los objetivos del departamento. Si se han determinado las personas e instituciones beneficiadas con las funciones que realiza el departamento pues segn su misin es la de construir pginas web estticas a instituciones pblicas y privadas que no tengan. Los cometidos de la institucin solamente se conocen a nivel interno y no a nivel externo, y se promulgan para que sus funcionarios sepan siempre su deber en la institucin. No existen polticas documentadas para el cumplimiento de los objetivos, pero si se realizan determinados procedimientos para el control de los objetivos. Realmente no hay un presupuesto especfico asignado a la unidad, ya que de esto lleva control la administracin pues dependiendo de los gastos que vaya teniendo el departamento, el director tcnico pide los recursos a la Administracin. Actualmente no se encuentran identificados los riesgos tanto internos como externos, que podran interferir en la continuidad del negocio y por lo tanto los mecanismos para contraatacarlos son mnimos, solo se tienen conocimientos bsicos de cmo contrarrestarlos. Algunas recomendaciones de las auditorias informticas se han tomado en cuenta en lo que respecta a este aspecto. En caso de que haya algn problema la direccin del departamento se encarga de resolverlo, pero las medidas que toma se piensan hasta el momento de ocurrencia del riesgo. No existe una estimacin de riesgos, pues los riesgos se tratan hasta despus que han ocurrido. El Departamento no cuenta con el apoyo de la administracin, para planeacin y ejecucin de los estudios de probabilidades e impactos de los riesgos, pues solamente se tratan aspectos financieros; y en donde se tiene ms control de los riesgos es en el departamento de los servidores y no en el de diseo de las pginas web. Por lo tanto no se efectan cambios en los riesgos, solamente se aprende de la experiencia y otra vez que ocurran ya saben cmo actuar.

No existen mecanismos para identificar y reaccionar ante los cambios que pueden afectar al departamento como por ejemplo cambios en el entorno operacional, en el contexto econmico, legal y social; nuevo personal, sistemas de informacin nuevos o modernizados, rpido crecimiento de la organizacin, tecnologas modernas, nuevos servicios y actividades, reestructuraciones internas, y si llegaran a ocurrir hasta ese momento se pensara la solucin. El departamento no ha establecido las respuestas a los riesgos identificados, tales como: evitar, reducir, compartir y aceptar los riesgos, solamente se tienen medidas para contraatacarlos pero no para antes para prevenir riesgos. No existen mecanismos para la toma de decisiones, pero segn las investigaciones todas las decisiones tomadas por el responsable han tenido buena labor. Para decidir la respuesta a los riesgos, el responsable considera; los costos y beneficios de las respuestas potenciales, las posibles oportunidades para alcanzar los objetivos del departamento, dependiendo de la situacin se toman los costos y beneficios ms econmicos, o los ms seguros y si se comunica a los diferentes funcionarios, las decisiones tomadas pero tambin se renen para discutir posibles alternativas.

A continuacin se evaluara cada uno de los objetivos del departamento para realizar un anlisis de riesgos, para ayudar a la empresa a controlar los riesgos de manera efectiva cuando se presenten o para que no se presenten. 1. Uno de os objetivos del rea son el diseo de las pginas web segn las especificaciones de los clientes entonces: 2. Otro de los objetivos segn las funciones del departamento es mantener tanto la seguridad fsica como la lgica del hardware, software y redes y los hallazgos encontrados fueron: Seguridad en el hardware 1. El sistema de Aire Acondicionado no se encuentra limpio, tiene bastante polvo y filtraciones de agua. 2. Solo se tiene un extintor, el cual est asignado para 3 oficinas. 3. No existe una poltica de seguridad y normativas de seguridad. 4. Los equipos no poseen proteccin (fundas para los equipos: computadoras, estabilizadores y batera) contra el polvo u otros agentes externos.

Seguridad en el software

5. Se encontr que todos los equipos poseen ms de 1 programa instalado, que no tiene nada que ver con el diseo Web, como: matlab, skype, entre otros. 6. No se tiene conocimiento de la procedencia de los software instalados el 99% de ellos son piratas y no tienen licencia. 7. No se realiza inventario a los software que poseen cada equipo para controlar la instalacin, actualizacin o eliminacin del mismo, en caso de prdidas por formateo forzado, o daos al sistema operativo. 8. No se tiene restricciones en el tipo de programas que se pueden instalar en la computadora. 9. No se posee un control estricto sobre los archivos que se almacenan en la computadora. 10. No se posee respaldo de todas las aplicaciones creadas, estas se almacenan de forma directa en el equipo. 11. No existe una poltica de seguridad y normativas de seguridad. Seguridad en la Red. 12. No se cuenta con un software en la red que administre los programas que se pueden instalar en los diferentes puntos de la red. 13. Cableado expuesto a manipulacin de los diseadores. 14. Desorden en la estructura del cableado. Identificacin de efecto-causa de la Seguridad Hardware Efecto Causa 1. Al estar el aire acondicionado es 1. Problemas de funcionamiento del esas condiciones, puede dejar de aire acondicionado funcionar en cualquier momento y las computadoras podran sobrecalentarse. 2. Los efectos que tendra un incendio en el rea son devastadores, pues el cuarto es muy pequeo y solamente hay una salida. 2. En caso de incendios, y no se tendra acceso fcilmente a los extintores, por lo que el fuego no sera controlado a tiempo.

3.

Si no existe una poltica de seguridad y normativas, los funcionarios no sabrn cmo actuar ante situaciones catastrficas.

3. Falta de polticas de seguridad que los funcionarios deban cumplir

Efecto 4.

Hardware Causa Con lo del aire acondicionado y las computadoras sin proteccin externa, es ms fcil que los componentes electrnicos del departamento adquieran polvo y otros agentes externos, adems que aumenta los costos de mantenimiento, reparacin o reemplazo, cuando stas empiezan a dar problemas. 4. Ocurrencia de desperfectos en los equipos por el polvo o agentes externos.

Software Efecto Causa 5. Los funcionarios trabajaran ms 5. Disminucin de la velocidad y la lento y esto no debe suceder pues capacidad de las computadoras. los programas que utilizan para disear pginas web necesitan que la computara no de problemas de velocidad. 6. Las pginas web podran tener funciones limitadas y no cumplir con las expectativas de los usuarios. 6. El software al no tener licencia, puede que no tengan todas las funciones completas o se permita actualizarlo y expone a la empresa a represiones legales incluyendo multas, indemnizaciones, etc. 7. Daos a las computadoras por virus o formateo a) En caso de problemas con las computadoras, ya sea formateo se tendra que conseguir nuevamente los instaladores de las aplicaciones. b) Tambin los problemas con las computadoras podran ocasionar perdida de informacin importante y no recuperarla.

7. Daos a las computadoras por virus, formateo a) Retraso en las entregas de las pginas web.

b) Al perder informacin importante, sin contar con respaldos, tendran que buscar soluciones de recuperacin de informacin lo que tomara tiempo y muchas veces no se logra recuperar todo.

Software Efecto Causa 8. Al no conocer la procedencia o no 8. Ingresos de programas que pueden tener control de lo que se instala, los contener virus o no se conoce su gastos o tiempo para repararlas procedencia. puede ser demasiado y puede que se pierda equipo por no controlar las instalaciones.

Redes Efecto Causa 9. Al no haber un control, no se puede 9. Cada estacin de trabajo puede hacer limitar la instalacin de programas cualquier modificacin ya que no que pueden contener virus. existe un administrador en la red. 10. Al estar el cableado expuesto puede que haya accidentes sin intencin y puede que desactiven cables o que los golpeen y estos al ser muy delicados se pueden pandear con facilidad. Determinacin de la magnitud y probabilidad Magnitud Baja Probabilidad Baja Mediana Alta Mediana Alta 10. Accidentes o dao de cables por parte los funcionarios.

1,8 4,9,10

2 3,5 7.a, 7.b

La determinacin de la las probabilidades y magnitudes se realiz en base a opiniones de los mismos funcionarios y por personas que tienen conocimiento en Seguridad, y por los hallazgos e investigacin en el departamento. Segn los resultados: 1. El riesgo # 6 presentado en la tabla anterior es aceptable, lo que significa que se puede mantener con los controles actuales que tienen en el departamento. 2. Los riesgos 1, 4, 8, 9, 10 son riesgos moderados, se debern realizar acciones de reduccin de daos. 3. Los riesgos 2, 3, 5, 7.a, 7.b son riesgos inaceptables, por lo que se deben de tomar acciones de reduccin de impacto y probabilidad para anular la gravedad del riesgo.

Hallazgos en el rea de Hardware Segn los objetivos de rea de cmputo con respecto al hardware son los siguientes: 1. Verificar el estado en que se encuentran los equipos del rea de diseo Web de Administracin NIC.NI. 2. Verificar la existencia de inventario de los equipos y de bitcoras de mantenimiento y adquisicin de los equipos y cambios en estos. Por lo que se determin que lo que evita el cumplimiento de esos objetivos es lo siguiente: 1. No hay una persona encargada del mantenimiento y reparacin de los equipos. 2. Se observ que cuando ocurre un desperfecto en el equipo no se cataloga como fallado hasta que se reemplaza con uno nuevo. 3. Se observ que no existe una bitcora de control de equipos. En la que se registre los cambio de partes, autorizacin de mantenimientos, las fechas, tipo de mantenimiento, cotizacin, adquisicin y compra, autorizacin de la compra, especificaciones del equipo. Todo se realiza de forma verbal entre el director 4. No existe una poltica de mantenimiento preventivo, solo correctivo del equipo. 5. El rea de diseo no cuenta con un control de inventario de los equipos. Por lo que se tuvo que elaborar uno para determinar las especificaciones y el estado de los mismos. Y se determin: i. Que los equipos de cmputo no cumplen con las caractersticas requeridas para el desarrollo y diseo web.

Identificacin de efecto-causa del Hardware Hardware Efecto Causa 1. La falta de mantenimiento a los 1. equipos puede generar fallas en estos provocando retrasos de las labores; y deficiencia en los mismos al grado de no funcionar ms. 2. Al no haber control de los equipos, las fallas que pueden presentar solucin no son atendidas a tiempo ocasionando dao total en el equipo por su tarda actuacin. Lo que genera prdidas de dinero de la institucin. 3. Si se requiere el mantenimiento o actualizacin de un equipo no se sabr la fecha indicada o necesaria para realizarlo.

No hay una persona encargada del mantenimiento y reparacin de los equipos, por lo que los equipos no son sometidos a mantenimiento en el tiempo adecuado.

2. No hay control del estado de los equipos, se registra el desperfecto hasta que la pieza o el equipo es cambiado.

3. La falta de una bitcora, causa desconocimiento de la situacin de equipo o del historial del mismo. observ que no existe una bitcora control de equipos. 4. No existe una poltica mantenimiento preventivo, correctivo del equipo.

el un Se de

4. Sin una normativa de mantenimiento las maquinas pasaran mucho tiempo sin ser limpiadas, por lo cual se deprecian y daan con mayor facilidad. 5. El descontrol de las entradas de equipos y falta de un inventario, puede generar prdidas econmicas para la organizacin. 6. Los equipos son utilizados para acciones no propias de la institucin. 7. En caso de una alteracin de la corriente elctrica, los equipos resultaran daados, al no contar con la proteccin necesaria, adems que se perdera la informacin no almacenada. 8. Los equipos se daaran rpidamente debido al exceso de polvo que estn expuestos al no contar con proteccin.

de solo

5. No hay un control de los equipos adquiridos para las operaciones y de los equipos que ya no sern utilizados.

6. No existen polticas de control de los equipos del rea de Diseo. 7. Solo se cuenta con un estabilizador de energa para las 7 mquinas del rea de Diseo.

8. Los equipos no cuenta con fundas que los protejan de agentes externos como el polvo.

Determinacin de la magnitud y probabilidad de ocurrencia de fallos en el Hardware Magnitud Baja Probabilidad Baja Mediana Alta Segn los resultados: 1. Los riesgos 1, 2, 5, 6, 7 y 8 presentado en la tabla anterior son inaceptables, por lo que se deben de tomar medidas necesarias para contrarrestarlos y anularlos completamente. Mediana Alta

3, 4 8

1, 2, 6 5, 7

2. Los riesgos 3 y 4, son riesgos moderados, se deben realizar acciones para reducir los daos que pueden ocasionar.

Hallazgos en el rea de Redes. De acuerdo a los objetivos, con respecto a las redes del rea de Diseo: 1. 2. 3. 4. 5. Comprobar si aplicaron cableado estructurado. Evaluar el diseo y estructura de la red. Verificar si se cumplieron con los estndares y requerimientos de red. Comprobar la estabilidad y fiabilidad de la red. Verificar la seguridad de la red.

Se encontraron los siguientes hallazgos, que evitan el cumplimiento de dichos objetivos: 1. No se realiz un anlisis de factibilidad tcnica previa a la instalacin de la red. 2. No se utiliz una normativa en el diseo e implantacin de la red. 3. Inexistencia y falta de uso de los manuales de operacin. 4. No existe un plan que asegure acciones correctivas asociadas a la conexin con redes externas. 5. No existe un calendario de mantenimiento de rutina peridico del hardware definido por la administracin de la red. 6. No hay un control especial que permita mantener la disponibilidad de los servicios de red y computadoras conectadas. 7. No existe una topologa estandarizada en toda la organizacin. 8. El rea de cableado se encuentra expuesta, y cualquier persona tiene acceso a ella. 9. El tendido de cable no es adecuado, ya que esta en conjunto con el tendido elctrico y telefnico. 10. Se ha hecho mal uso de las regletas para lneas de red, en las cuales se ha notado saturacin de cables, esto contribuye al deterioro de los mismos. 11. No hay alternativas de respaldo de las redes. 12. No hay una revisin de las actividades de los usuarios.

Identificacin de efecto-causa de las Redes. Efectos Redes Causas 1. No se hizo un anlisis de factibilidad tcnica previa a la instalacin de la red.

1. El manejo y la flexibilidad de la red es poco confiable ante cambios tecnolgicos y un posible crecimiento. 2. La no utilizacin de estndares para realizar el diseo genera descontrol en la organizacin de la red e inseguridad en las transmisiones de datos. 3. Se generan retrasos e inefectividad de trabajo al no contar con los manuales de operacin.

2. No se utiliz una normativa en el diseo e implantacin de la red.

3. No hay manuales que especifiquen las operaciones que pueden realizarse en cada equipo y existe un desorden en la asignacin de equipos por usuario. 4. Se tiene libre acceso a redes externas, lo que implica problemas con intromisiones externas (virus, hackers, etc.) 5. No se efecta un exacto mantenimiento a las redes.

4. Los equipos pueden salir perjudicados y el producto WEB tambin en el momento de una intromisin a la red.

5. Fallas en las conexiones y problemas en la funcionalidad de la red.

6.

Pueden ocurrir daos en el cableado, provocando dficit en la transferencia de datos. Pueden provocarse posibles cortocircuitos e interferencia de los cables de red y las lneas telefnicas.

6. El rea de cableado se encuentra expuesta, y cualquier persona tiene acceso a ella. 7. Mala organizacin y ubicacin del cableado en el rea de diseo, ya que est en conjunto con el tendido elctrico y telefnico. 8. Exceso de cables conectados a las regletas.

7.

8.

Cuando las regletas y las lneas de red son saturadas provoca el desgaste de estas y se corre el riesgo de generar cortocircuitos y hasta incendios. En caso de cadas de red, no podrn trabajar, ya que no cuentan con respaldo de operaciones a nivel de red.

9.

9. No hay alternativas de respaldo de las redes.

Redes Efectos Causas 10. No hay controles sobre las actividades 10. Al no contar con controles de sus que realizan los usuarios. accesos, los usuarios pueden entrar o accesar a reas que no tienen permitido. Determinacin de la magnitud y probabilidad de ocurrencia de fallos en la Red Magnitud Baja Probabilidad Baja Mediana Alta Mediana Alta

9 2,6 3,10

1,5,8 4,7

1. Los riesgos 2, 6 y 9 so riesgos moderados, se necesitan acciones que reduzcan los posibles daos.

2. Los riesgos 1, 3, 4, 5, 7, 8 y 10 so riesgos inaceptables, por lo que se necesitan medidas que eliminen los riesgos.

1. Hallazgos en el rea de Software: Los objetivos en cuanto a Software del rea de diseo son: 1. 2. 3. 4. Verificar los programas de mantenimiento que utilizan. Verificar la capacidad de los equipos en donde estn instalados los programas. Revisar las licencias de las aplicaciones que utilizan para el desarrollo web. Revisar los procedimientos de instalacin y desinstalacin de programas.

Los hallazgos encontrados, que evitan que se cumplan los objetivos anteriormente descritos son: 1. Se observ que cada usuario posee un diferente software para darle mantenimiento a su equipo. 2. No existe una poltica referente a la instalacin de aplicaciones aparte de las de desarrollo web. 3. Los usuarios pueden instalar programas que no son para diseo web. 4. La capacidad de los equipos es baja en comparacin con las especificaciones de los programas de diseo. 5. Las licencias de los programas de diseo y edicin de imgenes no son originales. 6. No existen polticas para la adquisicin de programas para el diseo de imgenes o edicin de estas tales como la coleccin adobe CS4 que utilizan los desarrolladores web. 7. No hay un procedimiento establecido para informar al director del rea tcnica de los cambios que se realizan en las PC con respecto a la instalacin o desinstalacin de programas. 8. Se observ que los archivos personales de los diseadores tambin se almacenan en los equipos. 9. No hay una normativa que estipule como sern estructurados los passwords, o que caracteres llevaran, estos se dejan a discrecionalidad de los desarrolladores

Identificacin de efecto-causa del Software. Efecto Software Causa 1. Cada usuario posee un diferente software para darle mantenimiento a su equipo.

1. Algn software importante del equipo pueden daarse con la instalacin de ciertos programas de proteccin y limpieza de los equipos. 2. Las actividades que un usuario realiza para mantenimiento es diferente a la de otro por lo que si se realiza el mismo procedimiento podra daar el equipo. 3. Existen ciertos programas no compatibles para interactuar con otros, lo que genera conflictos y puede daar el sistema operativo de la mquina. 4. Los equipos pueden llegar a saturarse de programas que acarrean basura y virus de la red, adems que no son necesarios para las operaciones. 5. Los equipos tienden a ser ms lentos al utilizar los programas de diseo, por no contar con la capacidad necesaria; adems que pueden daarse por sobre cargas. 6. Para realizar las pginas no se cuentan con los componentes completos, lo que limita la funcionalidad de estas, y evita completa satisfaccin de parte del cliente. 7. No se utilizan programas completos para el desarrollo de las pginas.

2.

Las acciones de mantenimiento varan en cada usuario.

3. No existe una poltica referente a la instalacin de aplicaciones aparte de las de desarrollo web.

4. No hay controles de los programas que pueden instalarse.

5. La capacidad de los equipos es baja en comparacin con las especificaciones de los programas de diseo.

6. Las licencias de los programas de diseo y edicin de imgenes no son originales.

7. No existen polticas para la adquisicin de programas para de diseo de imgenes o edicin de estas. 8. No hay un procedimiento establecido para informar al director del rea tcnica de los cambios que se realizan en las PC con respecto a la instalacin o desinstalacin de programas.

8. Si se ordena la utilizacin de un programa ya desinstalado o no compatible con uno instalado ocasionara, daos en la mquina y por ende atrasos en la entrega.

Software Efecto Causa 9. El almacenamiento de informacin 9. Los diseadores pueden almacenar basura, podra generar portacin de archivos personales en el equipo. virus, que puede daar programas y el sistema operativo mismo. 10. Si no se lleva un registro de los usuarios y contraseas pueden generarse problemas en el acceso de los equipos. 10. No hay una normativa que estipule como sern estructurados los passwords, o que caracteres llevaran, estos se dejan a discrecionalidad de los desarrolladores.

Determinacin de la magnitud y probabilidad de ocurrencia de fallos en el Software. Magnitud Baja Probabilidad Baja Mediana Alta Mediana Alta

6, 7

3 8, 4 1, 5

2, 9 10

1. Los riesgos 3, 4, 6, 7 y 8 so riesgos moderados, se necesitan acciones que reduzcan los posibles daos.

2. Los riesgos 1, 2, 5, 9 y 10 so riesgos inaceptables, por lo que se necesitan medidas que eliminen los riesgos.

3. Actividades de Control No se realiza controles a los riesgos, pues estos no estn identificados por lo que no se analizan ni evalan. Los Manuales de procedimientos existentes son acerca de funciones no inherentes a la seguridad y control del hardware, software y redes. Actividades de control de la Seguridad. Objetivos Riesgos Controles Conclusiones sobre la adecuacin del diseo Realizar Al realizar mantenimiento mantenimiento preventivo al aire se reduce la acondicionado posibilidad de por lo menos quema en los cada 2 meses. equipos y de que estos adquieran polvo. Instalar alarmas Avisara con de incendio tiempo cuando haya incendio en caso de que nadie se haya percatado. El fuego ser Tener por lo ms rpido de menos 2 apagar o extintores permitir calmarlo mientras llegan los bomberos Realizar una Los usuarios poltica, manual aprendern a de seguridad o cmo actuar ante planes de desastres contingencia. naturales, fallas en los equipos, como respaldar la informacin y otras situaciones. Pruebas efectividad de

Asegurar la seguridad fsica y lgica en el departamento, tanto a nivel de hardware software y redes.

Problemas de funcionamiento del aire acondicionado

Verificacin del funcionamiento del aire acondicionado.

En caso de incendios, y no se tendra acceso fcilmente a los extintores, por lo que el fuego no sera controlado a tiempo.

Mantenimiento de alarmas.

Mantenimiento de los extintores

Verificacin del cumplimiento de las normativas

Falta de polticas de seguridad que los funcionarios deban cumplir

Objetivos

Riesgos

Controles

Capacitar al personal o realizar simulacros sobre cmo actuar ante diferentes situaciones Ocurrencia de desperfectos en los equipos por el polvo o agentes externos. Comprar fundas protectoras para los equipos para evitar daos por polvo o agentes externos.

Conclusiones sobre la adecuacin del diseo El personal conocer de manera ms prctica lo que se deber realizar

Pruebas efectividad

de

Verificar que el personal haya aprendido realmente.

Los equipos no tendrn mucho contacto con el polvo o agentes externos

Verificar la condicin de las fundas y que estas no se llenen de polvo.

Disminucin de la velocidad y la capacidad de las computadoras. Ingresos de programas que pueden contener virus o no se conoce su procedencia. Daos a las computadoras por virus o formateo

Desinstalar del sistema operativo todos aquellos programas que no tienen nada que ver con el trabajo que se realiza en el rea de diseo Web o que son de riesgo para la estacin de trabajo. Realizar Inventario del software que poseen las computadoras, para facilitar el futuro reemplazo, actualizacin o eliminacin si ya no es necesario.

En la computadora solo habr los programas necesarios para la realizacin de las pginas web. Aumento de la capacidad del disco duro.

Verificacin de que no se instalen programas innecesarios. Pasar el antivirus a toda la informacin por lo menos cada semana y siempre a cada disco extrable. Verificacin del inventario este actualizado.

Al realizar inventario, en un dado caso se pierdan todos los programas o se anexara otra estacin de trabajo ya se tendrn los programas que se necesitan.

Objetivos

Riesgos

Controles

Cada estacin de trabajo puede hacer cualquier modificacin ya que no existe un administrador en la red.

Implementar un programa de respaldo para posible utilizacin de aplicaciones o informacin guardada en la computadora. Implementar un Software para el control de los programas que se instalaran en cada ordenador, esto estar a juicio y evaluacin del administrador de red. Se deber instalar un corta fuegos, para restringir el acceso a diferentes aplicaciones no permitidas en el rea, para as mejorar el rendimiento y productividad de los trabajadores.

Conclusiones sobre la adecuacin del diseo Al respaldar la informacin, no se tendr preocupacin por perdida de informacin.

Pruebas efectividad

de

Verificar que los respaldos estn en lugares seguros y realizar verificacin para que los respaldos estn al da.

Aumentar la seguridad en la red y se tendr ms control de accesos de las estaciones de trabajo.

Verificar el rendimiento de la red, permisos, accesos por parte del administrador de la red.

Accidentes o dao de cables por parte los funcionarios.

Reestructurar el cableado, implementando cableado estructurado y siguiendo las correspondientes

No solo evitara problemas fsicos con los cables tambin mejorara el trfico de red pues se realizara una

Verificar que la restructuracin disminuya la efectividad de la red.

Objetivos

Riesgos

Controles

Conclusiones Pruebas sobre la efectividad adecuacin del diseo normas de restructuracin. calidad para mejorar el trfico de datos.

de

Actividades de control del Hardware. Objetivos Riesgos Controles Conclusiones sobre la adecuacin del diseo Con el mantenimiento regular de los equipos disminuyen el nmero de fallas y por lo tal aumenta la productividad. La disponibilidad de personal de personal de mantenimiento de equipos beneficia el estado de los mismos. Pruebas efectividad de

Verificar el estado en que se encuentran los equipos del rea de diseo Web de Administracin NIC.NI y realizacin de bitcoras de mantenimiento y fallos en los equipos.

Fallas por falta de mantenimiento en los equipos de diseo.

Establecer la normativa de mantenimiento preventivo en un periodo de cada 3 meses.

Pruebas constantes del adecuado funcionamiento del equipo de hardware.

Falta de personal de mantenimiento de equipos.

Contratacin de personal capacitado para que se encargue del mantenimiento preventivo y correctivo del rea de diseo.

Verificacin de la disponibilidad de los equipos de diseo.

Objetivos

Riesgos

Controles

Deficiente control inventarios equipos.

Implementar un de control de de inventario de equipos en el cual se registre lo siguiente: *Cdigo del equipo el cual se utilizara el nmero de serie. *Nombre del Hardware. *Caractersticas del Hardware. *Cotizacin del Hardware: No. Cotizacin, *Nombre de los proveedores, precio, tipo de cotizacin y fecha. *Autorizacin de Compra. *Adquisicin del Hardware: No. *Orden de Compra, No. Factura *Proveedor, precio y fecha. *Tipo de Garanta y soporte.

Conclusiones sobre la adecuacin del diseo El control de los inventarios beneficia las nuevas adquisiciones y se lleva un manejo fluido y eficiente de las operaciones, trayendo un historial de precios que puede evitar prdidas de dinero.

Pruebas efectividad

de

Especificacin de las entradas y salidas del inventario, evitando perdidas y hasta mal funcionamiento de las operaciones.

Objetivos

Riesgos

Controles

Falta de manuales polticas y estndares para la proteccin y control del hardware.

Elaborar un manual de polticas, normas y estndares para el control del hardware.

Conclusiones sobre la adecuacin del diseo El hardware de la organizacin tendr una vida til ms alta si se tiene control de la utilizacin exclusiva del mismo.

Pruebas efectividad

de

Pruebas de funcionamiento del hardware.

Actividades de control de la Red. Objetivos Riesgos Controles Conclusiones sobre la adecuacin del diseo Al realizar este nuevo anlisis, se ver realmente si los componentes son los adecuados y si se realizar una restructuracin de la red. Al aplicar esto, la red cumplir con este estndar, el cual su objetivo es mejorar el funcionamiento de la red. Pruebas de efectividad

Mantener el buen estado de No se hizo la red, que sea capaz de un anlisis realizar la funcin para la de que fue diseada, factibilidad tcnica previa a la instalacin de la red.

Analizar si la red realmente cumple las funciones para lo que fue diseada; comprobar si los componentes son los adecuados. No se utiliz Reestructurar y aplicar las una normativa en normativas de cableado el diseo e estructurado implantacin para el mejor de la red. manejo y mayor flexibilidad antes cambios tecnolgicos y de crecimiento.

Verificar los componentes y funcionamiento de la red.

Verificar el cumplimiento de este estndar.

Actividades de control del Software. Objetivos Riesgos Controles Conclusiones sobre la adecuacin del diseo Los equipos que poseen software licenciado tienen ventajas de utilizacin sobre el software pirata. La utilizacin de un software seguro para el mantenimiento de la informacin, beneficia al producto WEB y al hardware en s. Tener equipos de respaldo en caso de fallos es primordial para el desempeo de la creacin de las pginas WEB. El no almacenamiento de informacin no til para la realizacin de las pginas WEB, libera espacio en la mquina. Pruebas de efectividad

Verificar los programas de mantenimiento que utilizan y capacidad de los equipos en donde estn instalados los programas, revisando las licencias de las aplicaciones que utilizan para el desarrollo web.

Cada usuario posee un diferente software para darle mantenimiento a su equipo.

Establecer un estndar para el control de los programas licenciados instalados en los equipos en general Las acciones de Generalizar una mantenimiento normativa con varan en cada personal usuario. autorizado para la realizacin del mantenimiento de los equipos.

Elaboracin de pruebas de calidad del software y validacin de licencias.

Elaborar revisiones de los equipos para mantenimiento y actualizacin de los datos y programas.

La capacidad de los equipos es baja en comparacin con las especificaciones de los programas de diseo. Los diseadores pueden almacenar archivos personales en el equipo.

Agregar a pedidos de inventario equipos que sean ptimos para trabajar con los programas necesarios. Divulgar una normativa que prohba el almacenamiento de datos personales en los equipos.

Controles de revisin peridica del inventario.

Controles de reglamentacin para la no utilizacin de los equipos para actividades no laborales.

Objetivos

Riesgos

Conclusiones sobre la adecuacin del diseo No hay una Crear una La encriptacin normativa que normativa de de las estipule como creacin de contraseas sern contraseas evita el control estructurados utilizando de accesos los passwords, encriptacin. indebidos. o que caracteres llevaran, estos se dejan a discrecionalidad de los desarrolladores.

Controles

Pruebas de efectividad

Pruebas de control de accesos con muestras de diferentes usuarios, para verificacin de la confiabilidad de las contraseas.

4. Informacin y comunicacin Hallazgos Se comunica al personal sobre los resultados peridicos de las decisiones tomadas, con el fin de lograr su apoyo, en la consecucin de los objetivos, cada opinin es tomada en cuenta para la adaptacin de los recursos y mtodos. Existen en el centro polticas de informacin para mantener a todo el personal involucrado, bien enterado de todas las operaciones, que se hayan o se planeen realizar, basndose en la informacin relevante segn el nivel. Se hace uso de circulares y para hacer informes de diferentes tipos, para los diferentes niveles en el organigrama, segn los involucrados. Existe una normativa con la cual se acuerda compartir informacin con fines de control y gestin. La informacin siempre y cuando sea brindada y/o presentada de manera formal por las autoridades superiores, ser confiable, de manera por la cual se establecen fechas y mandatos. Se brinda informacin confiable acerca de cambios, regulaciones y anomalas. No existen mecanismos de control por parte de la auditoria para evaluacin del sistema de informacin. Se comunica oportunamente al personal respecto a cambios. alteraciones o responsabilidades varias. No hacen uso de la comunicacin en caso de uso inadecuado de equipos del centro de cmputo. Las autoridades principales no siempre toman en cuenta las propuestas hechas por el personal, para mejorar la productividad y la calidad. La comunicacin con los clientes es bsica debido a que el personal lleva de la mano el cliente al momento de la elaboracin de un producto. La administracin toma en cuenta requerimientos de clientes, proveedores, organismos reguladores y otros, para la realizacin del producto. En los mecanismos de comunicacin existen manuales, polticas, instructivos, escritos internos, correos electrnicos, novedades en los tablones de anuncios, videos y mensajes en la pgina web.

5. Monitoreo y Supervisin Hallazgos No hay un constante monitoreo dentro del control de la red, el mantenimiento de la misma, hardware y software. No se hace el uso de herramientas de evaluacin del personal, revisar el estado de los equipos y procedimientos de actualizacin y mantenimiento del centro. No se realizan gestiones de riesgos corporativos, por lo cual el proceso de anlisis de riesgos es muy difcil de llevar, de la mano con la identificacin de los riesgos mismos. La organizacin cuenta con una estructura organizacional que delega autoridad a ciertas personas para que tengan la capacidad de llevar el control de sus subordinados. Dentro del centro de cmputo solo se han desarrollado una auditoria ms, la cual no fue apropiada en su totalidad por la empresa. No hay personal dedicado a la supervisin y monitoreo de los controles internos. Las autoridades no toman mucha atencin a las auditorias, por lo que no se realizan muchas variaciones si estas implican de costos. No existe un plan de accin correctiva, en caso de daos. Al momento de un desastre o un improvisto con un equipo se lleva al alto mando, luego se procede a realizar compras de equipos, o dems; segn el tipo de accin que haya que corregir.

Recomendaciones Se recomienda la asignacin de personal para la realizacin de supervisin de equipos y personal para lograr un mayor desempeo de las actividades, y servicios que se prestan dentro de la institucin. Es recomendable que la organizacin realice una medicin del desempeo del personal utilizando mtodos de evaluacin del desempeo como el de escala grfica, para apreciar las caractersticas de desempeo ms destacadas por la empresa y la situacin de cada empleado ante ellas. Es de vital importancia que la organizacin tome en cuenta un proceso de anlisis para la evaluacin de riesgos, mediante los cuales pueda asegurar que ante un fallo, el personal podr sobrellevar la situacin con un plan de contingencia. La elaboracin de un plan de accin correctiva es muy importante en cuanto a contrarrestar un fallo, puesto que se necesita un plan de contingencia y un manual de recuperacin ante fallos en cierta situacin en la que simples medidas correctivas pequeas no puedan ser de mucha utilidad.

Anexos

ANEXO 1: Descripcin general de la empresa. Nombre: Administracin NIC.NI, Entidad encarga de Nicaragua de registrar los dominios de tercer nivel .ni. Es la autoridad responsable de la asignacin y registro de DNS (servidor de nombres de dominios, indicando la direccin IP donde est ubicado) para nombres y dominios de tercer nivel y segundo nivel del .NI en internet. Misin: Administracin de NIC.NI pretende brindar a los clientes identidad de nacin con soporte tcnico gil y seguro, reconocimiento de todos los servidores internacionales, alojamiento y diseo de PYMES, iglesias, centros educativos y profesionales independientes. Visin: Facilitar a nuevos usuarios el servicio de registro de dominios a todos los sectores de la poblacin especialmente a pequeas industrias, artesanos, pequeos negocios, que deseen anunciarse en Internet. Ubicacin: UNI-RUSB 2do piso contiguo a adquisiciones Administracin. Fecha de iniciacin de operaciones de la empresa y Fecha de iniciacin de operaciones del centro de cmputo. El .NI, como cdigo de dominio para Nicaragua, fue abierto y delegado en 1988 por solicitud de la Universidad Nacional de Ingeniera, y bajo la coordinacin del Decano de la FEC de ese entonces Ing. Leonel Plazaola y el cooperante Alemn Cornelio Hoppman. Dicha solicitud estaba respaldada por condiciones tcnicas (servidores y perifricos) que asegur el apoyo de la OEA, la cooperacin espaola y el acceso internacional de los servidores asegurados por la empresa estatal de comunicaciones nacionales en esa poca, TELCOR ahora ENITEL.

ANEXO 2: Organigrama de Cargos AdministrativoDirector Administrativo

FinancieraAdministracin Financiera

Director Tcnico

ntador

Director Tcnico

branza

ClienteAtencin al Cliente

1Gestor de Cobros 1

2Gestor de Cobros 2

3Gestor de Cobros 3

Administracin NIC.NI es un proyecto de la Universidad Nacional de Ingeniera UNI, regido bajo la autonoma de la Universidad, su composicin est regida por la misma. ANEXO 3: Organizacin de las funciones Director Administrativo: Representante legal. Revisa y planea presupuestos. Contratacin de personal. Firma Libradora.

Director Tcnico: Registra y baja dominios. Registra cuentas de correo. Respaldar servidores.

Mantenimiento de Servidores.

Sub director Tcnico: Mantenimiento preventivo y correctivo de PC. Supervisar el rea de cmputo. Asignar diseadores WEB.

Administracin Financiera: Enfocarse en las principales funciones financieras claves de la organizacin: La inversin, La financiacin y las decisiones de dividendos. Utilizar herramientas financieras como indicadores globales que complementan an ms la fuente de informacin Tomar medidas en procura del crecimiento econmico de la Organizacin.

Contador: Establecimiento de sistema de contabilidad. Estudios de estados financieros y anlisis, de los mismos. Certificacin de planillas para pago de impuestos. Aplicacin de beneficios y reportes de dividendos. La elaboracin de reportes financieros para la toma de decisiones.

Gestores de Cobros: Cobran los dominios. Actualizan las bases de datos de los dominios.

Atencin al cliente: Asignar dominios a cobrar. Brindar Informacin.

ANEXO 4: Objetivos y propsitos del diagnstico: Mediante el presente estudio se pretende estudiar los mecanismos de control que estn implantados en la organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de deteccin, correctivos o de recuperacin ante una contingencia. Composicin de Capital: Por polticas internas la empresa no proporciona esta informacin. Giro de Negocio: NIC.NI es el ente que administra, registra y controla todos los dominios de tercer nivel .ni, es el administrador regional de los dominios .NI. Objetivos del centro de cmputo:

Desarrollar y disear pginas web estticas para los dominios registrados que soliciten este servicio. Brindar soporte tcnico a las pginas diseadas. Actualizar la informacin de los sitios web cada mes siempre y cuando los clientes lo soliciten. Brindar asistencia tcnica a los clientes que administren sus sitios WEB.

reas a revisar: Centro de cmputo. Motivacin e incentivos al personal: Bonos por metas alcanzadas. ANEXO 5: Hardware Existen al momento de la inspeccin 7 mquinas, todas clones, con bateras, estabilizadores de corriente y mouse ptico Genius USB.

Con las caractersticas siguientes: Sistema Operativo Procesador Tarjeta de video Memoria RAM Disco Duro Quemador Tamao de monitor Tarjeta de sonido Buffer Seguridad de Hardware: Todos los usuarios de los equipos son encargados de los mismos, poseen su user y password para ingresar a los equipos, dicha asignacin de los equipos se realiza por escrito y se lleva en el archivo del rea tcnica. Tratamiento de fallas en los equipos: Cuando se realiza un desperfecto de cualquiera de las partes del hardware, la persona que esta encargada de equipo informa de la falla al jefe del rea tcnica Ing. Alfonso Boza este realiza una inspeccin de la falla y si amerita cambio le solicita una cotizacin para despus pasarla al director administrativo Ing. Marvin Castaeda para su aprobacin y compra del mismo. La parte que se reemplaza se entrega al director del rea tcnica e inmediatamente se cataloga como fallada. ANEXO 6: Software Sistema Operativo Antivirus Utilera XP Kaspersky 6 con licencia activa hasta diciembre del 2011 Windows office 2007, poseen adobe photoshop CS4 y adobe flash CS4 para los diseos de imgenes y animaciones, y como gestor de contenido web utilizan Joomla 1.5. Windows XP Intel Pentium 4 3.00ghz. Nvidia xfx geforce 8800GTX 768MB 2 RAM ddr2 de 1gb c/u. 250 Giga Bites DVD dual layer 17'' ADC Sound blaster 4.0 4.0

*Aplicable a todos los equipos. Para la elaboracin de las pginas WEB, se tiene la clasificacin de las mismas en 2 tipos: Dinmicas y Estticas para lo cual podemos definir:

Pgina Web Esttica: Es aquella que est compuesta de una serie de archivos que contienen el cdigo HTML que constituye la pgina en s y que permiten mostrar los textos, imgenes, videos, etc que conforman el contenido de la pgina. Estos archivos se almacenan en el servidor de Hosting en formato HTML junto con los archivos de imgenes (comnmente en formato jpg, gif o png) y los videos y dems contenido del site. Para modificar este tipo de pgina los archivos deben ser descargados del servidor con algn software para este fin (como los clientes FTP), editado usando un programa de edicin de pginas web como el Dreamweaver, grabados y subidos nuevamente al servidor. Pgina Web Dinmica: El trmino dinmico no se refiere a movimiento como muchos pueden pensar. El trmino dinmico hace referencia a que la pgina web se construye al momento en que la pgina es visitada por el usuario. Es decir que el contenido de la pgina web no es fijo sino que se construye de acuerdo a la interaccin que el usuario hace con la pgina. La informacin de este tipo de pgina suele estar almacenada en Bases de Datos de las cuales se extrae una parte segn las selecciones o acciones llevada a cabo por la persona que visita la pgina web. Para realizar este tipo de pgina se necesita tener conocimientos de programacin y manejo de bases de datos o usar software que haga uso de estas tecnologas. La diferencia entre los tipos de pginas es que las pginas estticas son muy sencillas y no requieren de almacenamiento en base de datos, a diferencia de las pginas dinmicas, las cuales utilizan bases de datos y por lo tanto un servidor de bases de datos, son ms complejas y verstiles. El centro de cmputo del .NI solo trabaja con pginas que no hacen uso de bases de datos, es decir provee a sus clientes de una pgina esttica de manera gratuita al momento de la compra de un dominio. ANEXO 7: Personal El personal que labora dentro del centro de cmputo son estudiantes de 3ro y 4to ao de Ingeniera de computacin de la UNI-RUSB, y el encargado de la unidad es docente de la UNI, con ttulo de Ingeniera de computacin y especialidad en servidores y redes. ANEXO 8: Cableado El cableado que utiliza una topologa de estrella, cada computadora est ligada al switch, principal, para poder tener acceso al internet.

El proveedor de internet brinda el servicio por medio de fibra ptica, para lo cual el centro de cmputo tiene un trancyber (convertidor), para manejar el servicio de internet, luego est conectado a un Access Point que va ligado al Router, conectado a un Switch que entrelaza las maquinas con el uso de un cable UTP. ANEXO 9: Organigrama:

Director

Administracin

Director Tcnico

ContadorCo

Sub Director TcnicoSub

CobranzaCo

Atencin al

Diseadores WEB

Gestor de Cobros

Gestor de Cobros

Gestor de Cobros

ANEXO 10: Cuestionario segn Metodologa COSO

No

FACTOR

Integridad y Valores ticos

AMBIENTE INTERNO DE CONTROL PREGUNTAS SI NO Existe en el departamento de Diseo un cdigo de tica, que regule su conducta en el ejercicio de su trabajo? Las relaciones entre ellos (diseadores) se basan en la honestidad y equidad? Se incorporan los cdigos de tica en los procesos y en el personal? En caso de que haya un cdigo de tica, se ha dado a conocer a todos los funcionarios involucrados y se ha verificado su comprensin? Los funcionarios se comportan de acuerdo a las reglas de conducta definidas por la Direccin? Hay presin por cumplir objetivos de desempeo irreales, particularmente por resultados de corto plazo, en la cual la compensacin est basada en la consecucin de tales objetivos de desempeo?

N/A

OBSERVACIONES

Competencia de los funcionarios

Se han analizado detalladamente las funciones de cada uno de los funcionarios del departamento? Se ha efectuado un anlisis de las competencias requeridas por los funcionarios para desempear adecuadamente sus funciones? Existe un plan de capacitacin anual que contribuya al mantenimiento y mejoramiento de las competencias de los funcionarios? Se percibe de parte de la Direccin del departamento un compromiso permanente con el sistema de control interno y con los valores ticos del mismo? La Direccin del departamento realiza reuniones o brinda exposiciones para que los funcionarios conozcan decisiones importantes tomadas? La Direccin incentiva y compromete a sus trabajadores en el cumplimiento de reglamentos establecidos por la misma? Participa la direccin a menudo en operaciones de alto riesgo o es extremadamente prudente a la hora de aceptar riesgos? Las decisiones sustantivas de la Organizacin se toman luego de que se ha realizado un cuidadoso anlisis de los riesgos asumidos? Existe una actitud positiva hacia la funcin de rendicin de cuentas, auditora interna y otro tipo de controles?

Estilo de direccin y gestin

Estructura Organizativa

Asignacin autoridad responsabilidad

de y

Existe un diagrama de la estructura organizativa vigente? El mismo ha sido difundido a toda la Organizacin? La Organizacin cuenta con una estructura organizativa donde se identifique con claridad los niveles de autoridad y responsabilidad? El organigrama contribuye al flujo de informacin entre reas? La estructura organizativa es adecuada al tamao y naturaleza de las operaciones? Se actualiza el Reglamento Orgnico Funcional? (Organigramas) Existen manuales de procesos? Los funcionarios conocen los cometidos de la Organizacin y cmo su funcin contribuye al logro de los mismos? Existen normas y procedimientos relacionados con el control y descripciones de puestos de trabajo? Existe responsabilidad y delegacin de autoridad? La asignacin de responsabilidad est directamente vinculada con la asignacin de autoridad? Los funcionarios que tienen asignadas responsabilidades rinden cuentas peridicamente por tal asignacin? El nmero del personal est de acuerdo con el tamao de la entidad as como la naturaleza y complejidad de sus actividades y sistemas?

Polticas y prcticas del personal

Existen procedimientos definidos para la promocin, seleccin, capacitacin, evaluacin, compensacin y sancin del personal? Los mismos son conocidos por todos los funcionarios? Los mismos se aplican en la realidad?

7 Misin, Objetivos y Polticas

EVALUACION DE RIESGOS La misin de la Organizacin es conocida y comprendida por la Direccin y los funcionarios de la Unidad? La misin de la institucin es cumplida? Los objetivos definidos para la Unidad son concordantes con la misin definida? El Departamento cuenta con un plan estratgico difundido internamente en concordancia con el plan estratgico de la administracin? Existe una conexin de los objetivos especficos del departamento con los objetivos y planes estratgicos de la Administracin? Existe un compromiso por parte de la Direccin de que los objetivos sean conocidos y comprendidos por todos los funcionarios? Se han determinado los beneficiarios de las acciones desarrolladas por la Organizacin?

 Existe una definicin adecuada de polticas por parte de la Direccin para alcanzar los objetivos? Las mismas son difundidas y comprendidas por parte de todos los funcionarios? El presupuesto asignado a la Unidad es adecuado para el cumplimiento de los objetivos? Existe por parte de la Direccin una priorizacin de objetivos, concordante con los recursos asignados a la misma? Se encuentran identificados los riesgos tanto internos como externos, que podran interferir en que los objetivos de procesos sean cumplidos. Existen mecanismos definidos para la identificacin de riesgos internos y los mismos funcionan adecuadamente? Los mecanismos utilizados para identificar riesgos tienen en cuenta los siguientes factores: Futuros recortes de Presupuesto Modificacin de procedimientos Dificultades en los sistemas de informacin Falta de competencia y capacitacin del personal Modificacin de autoridades Falta de financiamiento Se tienen en cuenta las observaciones y recomendaciones de auditora realizadas en el pasado? Estn identificados aquellos riesgos que la Direccin entiende que no debe mitigar (riesgo residual) y por lo tanto asume esa

10 Identificacin de riesgos

responsabilidad? Existe una estimacin de riesgos, considerando la probabilidad de ocurrencia y el impacto de los mismos? El Departamento cuenta con el apoyo de la administracin, para planeacin y ejecucin de los estudios de probabilidades e impactos de los riesgos? Se evala los riesgos peridicamente para conocer la forma en que los eventos potenciales impactan en la consecucin de objetivos del departamento? Se han implantado tcnicas de evaluacin de riesgos que pueden afectar el cumplimiento de los objetivos tales como: benchmarking, modelos probabilsticas y modelos no probabilsticas? Existe informacin provista por el establecimiento de objetivos e identificacin de eventos para evaluar los riesgos? Existe transparencia de la informacin sobre los resultados de la evaluacin del riesgo? Existen mecanismos para identificar y reaccionar ante los cambios que pueden afectar al departamento? Se monitorea los nuevos riesgos, originados por cambios que pueden afectar la consecucin de los objetivos tales como: cambios en el entorno operacional, en el contexto econmico, legal y social; nuevo personal, sistemas de informacin nuevos o modernizados, rpido crecimiento de la organizacin, tecnologas modernas, nuevos

11 Estimacin de riesgos

 12 Manejo al cambio

13 Identificacin procedimientos control de de

servicios y actividades, reestructuraciones internas? El departamento ha establecido las respuestas a los riesgos identificados, tales como: evitar, reducir, compartir y aceptar los riesgos? Existen mecanismos para la toma de decisiones? El responsable del departamento, tiene los conocimientos necesarios para tomar la mejor decisin? Para decidir la respuesta a los riesgos, el responsable considera; los costos y beneficios de las respuestas potenciales, las posibles oportunidades para alcanzar los objetivos? Se comunica a los diferentes funcionarios, las decisiones adoptadas? Los funcionarios estn instruidos para informar a la Direccin de cualquier variacin que pueda afectar el cumplimiento de los objetivos del departamento. Existen procedimientos capaces de captar e informar oportunamente cambios, tanto internos como externos, que puedan determinar variantes en el anlisis de riesgos. Los procedimientos son aplicados en la realidad. ACTIVIDADES DE CONTROL Existe calidad de informacin y comunicacin sobre las decisiones adoptadas por la direccin del departamento sobre el estudio de los riesgos? El Director del rea, implanta mecanismos de control para disminuir los riesgos y alcanzar los objetivos? Se establece una matriz que relacione los

riesgos seleccionados con los controles establecidos con el objeto de brindar una seguridad razonable de que los riesgos se mitigan y de que los objetivos se alcanzan? Los mismos se aplican apropiadamente. Dichos procedimientos son comprendidos por todos los funcionarios involucrados. 14 Principales actividades de control

Existe apoyo de la administracin para el

diseo y aplicacin de los controles en funcin de los riesgos? Existen mecanismos para analizar las alternativas de controles a seleccionar? El Director emite polticas y procedimientos de las actividades de controla los funcionarios encargados de ejecutarlos? Las actividades de control, incluyen los controles preventivos, detectives, manuales, informticos y de direccin? Se implantan actividades de control en funcin de los riegos y objetivos, tales como: revisiones y supervisiones, gestin directa de funciones o actividades, procesamiento de la informacin, validacin, aseguramiento, especializacin funcional, controles fsicos? Los procedimientos de control aseguran que las tareas son realizadas exclusivamente por los funcionarios que tienen asignada la tarea. Los permisos asignados para acceder a la informacin, tanto sea tangible como en formato electrnico, son revisados peridicamente, asegurando el principio de la necesidad de saber.

Controles sobre las tecnologas de informacin 15

 Se realizan controles peridicos de los recursos existentes. Existen controles para el hardware, software, redes y seguridad en el departamento? Los mismo se emplean realmente 16 Manuales procedimientos de Existen manuales de procedimientos escritos para los procesos sustantivos de la Unidad, en los cuales se desarrolla la forma ptima de llevar adelante el proceso. Se ha notificado a los funcionarios acerca de los mismos. INFORMACIN Y COMUNICACIN Existen polticas relativas a la informacin y comunicacin as como su difusin en todos los niveles? Se ha establecido comunicacin en sentido amplio, que facilite la circulacin de la informacin tanto formal como informal en las direcciones, es decir ascendente, transversal, horizontal y descendente? El Director ha dispuesto a todo el personal la responsabilidad de compartir la informacin con fines de gestin y control? Se comunica al personal sobre los resultados peridicos de las decisiones tomadas, con el fin de lograr su apoyo, en la consecucin de los objetivos? Existen sistemas y procedimientos que aseguran la confiabilidad de los datos? Se realiza con frecuencia la supervisin de los procesos y de la informacin? La informacin, adems de oportuna, es

17 Informacin responsabilidad

18 Confiabilidad de la Informacin

 19 Comunicacin Interna

confiable? El flujo de informacin en tiempo real, es coherente con el ritmo de trabajo? La informacin es de calidad, su contenido es adecuado, oportuno, est actualizado, es exacto, est accesible? La informacin identifica los riesgos sobre errores o irregularidades, a travs de los controles establecidos? Existen mecanismos de control por parte de la auditora interna para evaluar los procesos y los sistemas de informacin? Se comunica oportunamente al personal respecto de sus responsabilidades? Se denuncia posibles actos indebidos? Las autoridades toman en cuenta las propuestas del personal respecto de formas de mejorar la productividad y la calidad? Existe comunicacin con clientes? La comunicacin interna sobre procesos y procedimientos se alinea con la cultura deseada del director del departamento?

20 Comunicacin Externa

Se comunica a terceros sobre el grado de tica de la entidad? La administracin toma en cuenta requerimientos de clientes, proveedores, organismos reguladores y otros? Se actualiza permanentemente la pgina WEB del Municipio? La unidad de comunicacin ha implantado canales externos a los usuarios sobre el diseo o la calidad de los servicios?

 En los mecanismos de comunicacin existen manuales, polticas, instructivos, escritos internos, correos electrnicos, novedades en los tablones de anuncios, videos y mensajes en la pgina web? SUPERVISIN Y MONITOREO Con que frecuencia se realizan controles al hardware, redes y software? Se ha implantado herramientas de evaluacin, que incluyan listas de comprobacin, cuestionarios, cuadros de mando y tcnicas de diagramas de flujo? Los auditores y asesores internos y externos deben facilitar peridicamente recomendaciones para reforzar la gestin de riesgos corporativos? El Departamento cuenta con una estructura organizativa racional que incluya las actividades de supervisin apropiadas que permitan comprobar que las funciones de control se ejecutan y que en caso de deficiencias importantes sean identificadas? Se ha Tomado en cuenta resultados de auditoras anteriores? Existe planes de accin correctiva? Existe del Director a la revisin de los controles internos? Las autoridades toman atencin a los informes de auditores internos, externos y SRI? Existen planes de accin correctiva y el grado del cumplimiento del mismo? Existe coordinacin entre auditores internos y

21 Supervisin Permanente

22 Supervisin Interna

23 Supervisin Externa

externos? El Acalde y Directores disponen el cumplimiento inmediato y obligatorio de las recomendaciones de los informe de auditora interna y de la CGA.