Escolar Documentos
Profissional Documentos
Cultura Documentos
INFORME EJECUTIVO
Nuestra Auditoria Informtica se realiz del 5 de Junio al 14 de Julio del 2017 con el fin de
informar sobre los resultados obtenidos en la auditoria a la Unidad de Tecnologas de la
Informacin de la Armada del Ecuador usando la metodologa COSO III y COBIT 5, dichas
metodologas permiten determinar mecanismos y pasos para detectar vulnerabilidades y
problemas de dicho departamento, nuestro objetivo es minimizar los riesgos resultantes de
lo descrito anteriormente mediante la emisin de recomendaciones que es
Responsabilidad de la Direccin y la Unidad de Tecnologas de la Informacin de
implementarlas, se evalu la institucin con el uso de tcnicas y procedimientos como es
la conversacin y observacin directa y cuestionarios donde mediante COSO III se
estableci el riesgo y dentro de COBIT 5 se seleccionaron 3 dominios con 3 procesos
crticos de los 37 procesos existentes para analizar en la Armada del Ecuador.
Los problemas que inciden dentro de la Armada del Ecuador se relacionan con la falta de
controles peridicos de seguridad de la informacin general y confidencial, as tambin en
el bajo control de designaciones formales de responsabilidades de la seguridad informtica
dentro departamento de sistemas.
Gerente General
CONSULTORES Y AUDITORES " VGB ADITORES S.A.
Seor Contralmirante
Renn Ruz Cornejo
COMANDANTE GENERAL DE LA ARMADA DEL ECUADOR
Quito
De mi consideracin:
CONSULTORES Y AUDITORES "VGB ADITORES S.A GESTION AUDITORES" S.A. en uso de sus
atribuciones legales y constitucionales efectu un examen especial a los procesos de TI
mediante la informacin proporcionada por el ARMADA DEL ECUADOR por el perodo
comprendido entre el 1 de enero al 31 de diciembre del dos mil diecisis.
Atentamente,
ALCANCE
OBJETIVO GENERAL
OBJETIVOS ESPECFICOS
METODOLOGA:
COBIT presenta 5 campos principales de administracin, los cuales a su vez implican 347
procesos de administracin asociados con la tecnologa de la informacin. Cada proceso
TI provee una descripcin de los requerimientos del negocio e identifica los asuntos claves
que deben ser llevados a cabo para administrar exitosamente estos procesos.
Los recursos de TI y los criterios de la informacin requeridos para asegurar el xito son
tambin identificados para cada proceso TI. Para soportar una auto-evaluacin, COBIT
incluye un modelo de madurez para cada proceso TI. Estos modelos de madurez son
similares en sus conceptos bsicos utilizados por otros marcos referenciales, pero as
como los 34 procesos TI de COBIT cubren todos los aspectos de TI, los modelos pueden
ser utilizados para soportar la evaluacin de toda la organizacin TI, en lugar de
especializarse en determinadas reas. Como soporte a la medicin del rendimiento
operacional, factores crticos de xito, indicadores clave de logro de objetivos, e
indicadores clave de rendimiento son identificados en cada proceso.
Por lo tanto, COBIT, es una herramienta desarrollada para ayudar a los administradores
de negocios a entender y administrar los riesgos asociados con la implementacin de
nuevas tecnologas y demostrar a las entidades reguladoras e inversionistas, que tan
efectiva es su tarea.
Se ha definido a COBIT como: "Una estructura de relaciones y procesos para direccionar
y controlar la compaa para lograr la consecucin de los objetivos del negocio,
entregando valor agregado mientras se administra el riesgo en funcin del ambiente de
sistemas y sus procesos"
Por esta razn para la Armada del Ecuador se realiz una evaluacin a los procesos
dando como resultado 4 dominios con 4 procesos con mayor riesgo, que se encuentran
clasificados de acuerdo a la metodologa de COBIT 5, uno perteneciente al Gobierno de
TI y 3 procesos que corresponden a la Gestin de TI, y son los siguientes:
A continuacin damos a conocer los procesos evaluados en cada uno de los dominios,
basndonos en los niveles de madurez los cuales van desde el rango 0 hasta el rango
mximo 5.
CAPITULO I
RESUMEN
Al realizar el score de riesgo mediante COSO III detectamos que existe un riesgo al no
controlar constantemente el uso incorrecto de los sistemas informticos, adicionalmente se
pudo verificar que existe una persona formalmente encargada y autorizada de entregar
claves pero muchas de las veces no es respetado este proceso, as mismo dichas claves
no son estrictamente cambiadas en un periodo de tiempo establecido. Mencionado estos
riesgos se decidi escoger el proceso DSS03 Gestin de Problemas el cual nos permite
identificar y clasificar problemas y sus causas raz y proporcionar resolucin en tiempo
para prevenir incidentes recurrentes, y el Riesgo de negocio relacionados con las TI
gestionados, beneficios y riesgos de las TI, Seguridad de la informacin y la Disponibilidad
de informacin til y relevante para la toma de decisiones.
Serie 1
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Serie 1
CAPITULO II
Facilitar un enfoque ordenado para garantizar una ptima evaluacin y verificacin del buen
funcionamiento del negocio, donde se pueda analizar todos los riesgos que en un lapso de
tiempo pueden ser riesgos representativos que pueden provocar interrupciones al
negocio.
Donde la comunicacin de las funciones y responsabilidades son factores determinantes
para la organizacin ya que con esto se puede evaluar el desempeo del personal y
verificar si los proceso se cumplen, la cual se puede lograr con el apoyo del Director
competente con el fin de lograr los objetivos establecidos.
Resumen
Al realizar el score de riesgo mediante COSO III, se determin que existe una debilidad
debido a la costumbre en el manejo de los procedimiento que se vuelven tareas y
actividades repetitivas dentro del departamento de TI, adems se determin que los
mtodos de evaluacin y verificacin del rendimiento de TI no se cumplen en los tiempos
determinados en los manuales. Mencionado estos riesgos se procede a seleccionar el
proceso MEA01 Supervisar, Evaluar Y Valorar Rendimiento Y Conformidad en la cual se
muestra el desempeo y soporte de TI acorde al cumplimiento del negocio, Riesgo de
negocio relacionado con la TI y gestionados, Entrega de servicio TI adecuado a los
requisitos del negocio, Optimizacin de activos, recursos y capacidades de TI,
Cumplimiento de las polticas internas por parte de TI.
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
04 RIESGO DE 07 ENTREGA DE 11 OPTIMIZACIN DE 15 CUPLIMIENTO DE
NEGOCIO SERVICIO TI DE ACTIVOS, RECURSOS Y LAS POLITICAS
RELACIONADO CON LA ACUEDO A LOS CAPACIDADES DE TI INTERNAS POR PARTE
TI Y GESTIONADOS REQUISITOS DEL DE TI
NEGOCIO
Serie 1
HALLAZGO I
Condicin:
Criterio:
Causa:
Efecto:
Los usuarios debido a que no se tomaron las medidas necesarias para operar en sus
actividades laborales mientras se reestableca los sistemas de TI, ocurrieron interrupciones
en los servicios de los mismos.
Conclusin
Recomendacin:
HALLAZGO II
Condicin:
Criterio:
Para el cumplimento de las polticas internas por parte de TI, se determin en base al
nmero de incidentes ocurridos por el incumplimiento de polticas establecidas, tomadas
sobre el total de acontecidas en el periodo.
Efecto:
CONCLUSIN
RECOMENDACIN
Se aconseja que para que el proceso APO13 Gestin de Seguridad alcance por completo
el nivel de madurez se proceda a:
los sistemas de informacin que proveen informacin rpida, oportuna y precisa, que pueden
ser usados al interactuar con los clientes - son un requisito primordial para organizaciones que
aspiren crecer.