MONTES & ASOCIADOS AUDITORES CONSULTORES

M&A. 1559:08 Manizales, 21 de Octubre de 2008 Doctor: BRUNO SIDEL Gerente General CENTRAL HIDROELCTRICA DE CALDAS S.A. E.S.P. Ciudad.

Referencia: Informe de Auditora de Sistemas a los Controles Generales. Respetado Doctor Seidel: En cumplimiento de las obligaciones encomendadas como Auditores externos de Gestin y resultados, de la entidad a su cargo, nos es grato entregar a su consideracin el presente informe, el cual contiene algunas observaciones y recomendaciones derivadas de la evaluacin efectuada a los Controles Generales de la Divisin de Sistemas. Esta revisin fue adelantada con el propsito de conocer las fortalezas y debilidades, como quiera que los Sistemas de Informacin se constituyen en uno de los soportes del Control Interno (ver informe COSO). Cabe reiterar que, tal como lo indican las normas de auditoria generalmente aceptadas, al considerar la efectividad en cualquier sistema de control interno, no importa qu tan bien ha sido concebido y operado; este puede proveer solamente una seguridad razonable -no absoluta- a la administracin y a los directivos de la organizacin. Necesariamente un sistema est afectado por limitaciones inherentes en todos los sistemas de control interno. Estas limitaciones, de acuerdo a criterios tcnicos, incluyen entre otros, el hecho de que los juicios en la toma de decisiones pueden ser defectuosos, que las fallas pueden ocurrir por simples errores o equivocaciones, que, los controles pueden estar circunscritos a un nmero muy limitado de personas y que el diseo de un sistema de control interno puede reflejar a su vez estrechez en el uso de recursos (costo beneficio en la implementacin de controles). Aprovechamos igualmente para agradecer al personal de la Divisin de Sistemas de la CHEC su atencin y ayuda al efectuar nuestro proceso de revisin. Desde luego, cualquier aclaracin o extensin que requiera estaremos gustosos de atenderle. Cordialmente,

JOSE ROBERTO MONTES MARN Representante Legal NEXIA INTERNATIONAL MONTES & ASOCIADOS S.A.

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

MONTES & ASOCIADOS AUDITORES CONSULTORES

1. ANTECEDENTES- LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIN COMO ELEMENTO IMPORTANTE DEL CONTROL INTERNO. La informacin es un activo, como otros importantes activos del negocio, es esencial para la organizacin del negocio y como consecuencia necesita ser adecuadamente protegido. Como resultado del constante incremento de la nter conectividad, la informacin esta expuesta a un gran y variado numero de amenazas y vulnerabilidades. La seguridad de la Informacin es lograda implementando adecuados controles en los procesos, procedimientos, estructuras organizacionales y funciones de Hardware y Software. La seguridad de la informacin se caracteriza como la preservacin de: a) Confidencialidad: Seguridad de que la Informacin es accesible solamente a quienes estn autorizados para ello. b) Integridad: Proteccin de la exactitud y estado completo de la informacin y mtodos de procesamiento. c) Disponibilidad: Seguridad de que los usuarios autorizados tienen acceso a la informacin y a los activos asociados cuando los requieren. 2. 2.1. ALCANCE Y TRABAJO REALIZADO ALCANCE:

El presente informe tiene como alcance la evaluacin de los siguientes aspectos: 1. Plan Estratgico de Sistemas. 2. Mapas Anlisis de Riesgos de Sistemas. 3. Polticas de seguridad y manual de seguridad de la informacin 4. Documentacin de los sistemas de informacin y procedimientos de configuracin del servidor del SIFI (Sistema de Informacin Financiero y Administrativo). 5. Backup de los microcomputadores y seguridad del SIFI 6. Plan de Continuidad Tecnolgico. 7. Granja de Servidores (Centro de Cmputo) 8. Manuales de Funciones de los empleados de la Divisin de Sistemas. 2.2. 1. 2. 3. 4. 5. 6. 7. TRABAJO REALIZADO: Se solicitaron los documentos nombrados en el Alcance. Se elabor un checklist para los documentos descritos en el alcance. Se hizo la lectura y anlisis de cada documento descrito en el alcance. Se diligencio el Checklist con los dueos o responsables de cada proceso. Se revisaron los manuales del Usuario. Se valido la seguridad del Sistema de Informacin Financiero SIF. Se hizo visita al centro de cmputo.

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

MONTES & ASOCIADOS AUDITORES CONSULTORES

8. 9. 3. 3.1.

Se elabor el informe. El informe se valid con el Jefe de Informtica. INFORME EJECUTIVO: FORTALEZAS DE LA DIVISIN DE SISTEMAS:

La Divisin de Sistemas cuenta con muy buenos proyectos, los cuales tienen personal y presupuesto asignado. El centro de cmputo tiene amplio espacio y buenas seguridades fsicas. Se considera que el alcance de los activos a los que apunta el Anlisis de Riesgos es adecuado. Se cuenta con los manuales del Usuario de todas las aplicaciones. Se hacen desarrollos Internos lo cual se considera como una fortaleza. 3.2. DEBILIDADES DE LA DIVISIN DE SISTEMAS:

No se diagnostican todos los Sistemas de Informacin y todo el Hardware utilizado como base para proponer nuevos proyectos (evaluacin de la situacin actual). No se cuenta con una metodologa para desarrollar el Plan Estratgico de Sistemas.

Solo se ha hecho anlisis de Riesgos para el Sistema de Informacin SIEC, es conveniente hacerlo al menos para los Sistemas de Informacin crticos del Negocio. Las polticas de seguridad no son suficientes para garantizar la seguridad de la informacin y no contemplan todos los aspectos (dominios) definidos por la norma ISO-17799-2 (Code of Practice for Information Security Management, Cdigo de Prctica para la Administracin de la Seguridad). Algunos Manuales Tcnicos de las aplicaciones no cuentan con el Diccionario de Datos, lo cual dificulta el proceso de mantenimiento de las aplicaciones. Los logs de la Base de Datos del SIFI, SIEC, MAFE y de la aplicacin del Fondo Rotatorio no estn activados. No estn activadas las pistas de auditoria del SIFI, ni se revisan en forma peridica las mismas. No se analizan todos los riesgos para todos los activos en especial los que tienen que ver con el Plan de Continuidad Tecnolgico. No se ha desarrollado el Plan de Contingencia para todos los Sistemas de Informacin crticos del negocio, se han desarrollado para el SIEC y el Exchange.

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

MONTES & ASOCIADOS AUDITORES CONSULTORES

4. 4.1.

DESARROLLO DE LA AUDITORA: AUDITORIA AL PLAN ESTRATGICO DE SISTEMAS

El objetivo del Plan Estratgico de Sistemas, es apoyar la empresa en sus operaciones y nuevos proyectos para prestar un mejor servicio a los usuarios internos y externos. El Plan Estratgico de Sistemas de la CHEC cuenta con muy buenos proyectos, no obstante a continuacin mostramos algunas recomendaciones que podran mejorarlo. NRO. 1 OBSERVACIN Aunque se cuenta con un diagnostico de algunas aplicaciones y servidores, no se diagnostican todos los Sistemas de Informacin y todo el Hardware utilizado como base para proponer nuevos proyectos. RECOMENDACIN Se recomienda hacer un diagnstico o anlisis DOFA de todos los Sistemas de Informacin existentes y del Hardware que los respalda. Tambin se recomienda evaluar todos los Sistemas de informacin y realizar una evaluacin de su Capacidad, Lenguaje (costos de mantenimiento), Base de Datos y tiempos de respuesta; (etapa de diagnostico o situacin actual) para de esta forma determinar los nuevos proyectos a implementar, tambin diagnosticar el Hardware existente. Se recomienda elaborar un documento, el cual contenga los siguientes puntos: Anlisis del Plan Estratgico de la empresa (especialmente en lo ALTA De acuerdo recomendacin. con la CRITIDAD ALTA COMENTARIOS AUDITADO De acuerdo con recomendacin. DEL la

Aunque se cuenta con bastantes proyectos, no se cuenta con un mtodo para desarrollar el Plan Estratgico de Sistemas

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO.

OBSERVACIN

RECOMENDACIN referente a los nuevos servicios ofrecidos). Mapa de Procesos de la Empresa (Definir Procesos Misionales y no Misionales de la empresa). Situacin Existente: Diagnstico de las aplicaciones existentes y del hardware existente (Desempeo y Capacidad), se puede utilizar un anlisis DOFA (debilidades, Oportunidades, Fortalezas y Amenazas). Definicin de la Criticidad de Aplicaciones a desarrollar (Prioridades de Desarrollo). Definicin de Estrategias de implementacin (InHouse, Outsourcing o Joinsource) para el Software y Hardware Existente (en caso de requerir cambios) y de los nuevos Procesos a Sistematizar. Anlisis de los procesos a Sistematizar (nuevos y existentes con debilidades, se tiene

CRITIDAD

COMENTARIOS AUDITADO

DEL

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO.

OBSERVACIN

RECOMENDACIN en cuenta que estos procesos estn alineados con el Plan estratgico de la Empresa). Diagramas de Flujo de Datos (general). Definir el grado de complejidad de los procesos a Sistematizar y de los procesos Sistematizados a cambiar (caracterizar los procesos). Cronograma Preliminar de Ejecucin del Plan. Definicin del Presupuesto de Inversin. Exposicin del Plan y Aprobacin del mismo por los Jefes de rea y los Directivos.

CRITIDAD

COMENTARIOS AUDITADO

DEL

4.2.

MAPA O ANALISIS DE RIESGOS:

El objetivo del Mapa o Anlisis de Riesgos es examinar los riesgos y los controles y evaluarlos para proporcionar razonable confianza a la Gerencia respecto a que los objetivos de la entidad sern alcanzados. Tambin reducir las prdidas de la empresa ante la materializacin de los riesgos. El anlisis esta hecho con base en los activos de la empresa, entre los activos tenemos: Aplicativos, Servicios, Equipos Informticos, Redes de Comunicaciones, Equipamiento Auxiliar, Soportes de Informacin, Instalaciones y Personal. Se considera que el alcance de los activos a los que apunta el Anlisis de Riesgos es adecuado.

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO. 1

OBSERVACIN El Anlisis de Riesgos no explica la metodologa utilizada para elaborar el Mapa de Riesgos.

RECOMENDACIN Se recomienda describir al inicio del documento o hacer referencia a la metodologa (y sealar cual se utiliz) con el fin de conocer como funciona y poder interpretarla de una mejor forma. En general se recomienda hacer anlisis de riesgos detallados para cada sistema de informacin de la misma manera que se hizo para el SIEC. Uno de los aspectos importantes a tener en cuenta es analizar todos los riesgos para cada Sistema de Informacin, as se garantiza que la mayor parte de los riesgos que afectan cada aplicacin sean analizados. En especial se requerira hacer un anlisis detallado de los Sistemas de Informacin SIFI, SPARD y SGO (Sistema de Gestin de Operacin), entre otros. Para definir sobre cuales Sistemas de Informacin se debe hacer el Mapa de Riesgos, es

CRITIDAD ALTA

COMENTARIOS DEL AUDITADO Se tiene la metodologa para realizar el anlisis de riesgos y se har referencia de ella en el documento.

Una vez analizados el alcance del anlisis de riesgos, se encontr que solo se ha hecho anlisis de riesgos para el Sistema de Informacin SIEC.

ALTA

No se cuenta con el personal suficiente para realizar esta actividad. Abra que hacer joinsourcing (Ing. Chec e Ing. Contratistas).

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO.

OBSERVACIN

RECOMENDACIN conveniente determinar la criticidad de cada Sistema de Informacin de acuerdo con el tipo de soporte que de dicho sistema: Core (Corazn del Negocio), direccionamiento estratgico, CRM Customer Relationship Management, apoyo entre otros, usualmente en el Plan estratgico de Sistemas y en el Plan de Contingencia Tecnolgico se encuentran definida la criticidad de cada Aplicacin para el negocio.

CRITIDAD

COMENTARIOS AUDITADO

DEL

No se contemplan todos los riesgos COSO mostrados en la recomendacin.

La metodologa del Magerit recomienda que se amplen los riesgos base mostrados en ella, de acuerdo con las necesidades de la empresa. Se recomienda incluir los siguientes riesgos, obtenidos del estndar COSO: R001DAO DESTRUCCIN ACTIVOS O DE

ALTA

De acuerdo recomendacin.

con

la

Prdidas por dao o destruccin de activos tangibles o intangibles

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO.

OBSERVACIN

RECOMENDACIN que son necesarios para el proceso e incluye la prdida de informacin, software, etc. Este riesgo puede ser generado por causas accidentales o intencionales. R002BAJA REPUTACIN Y CREDIBILIDAD PBLICA DE LA EMPRESA. Prdidas de la confianza o de la imagen de una organizacin frente a sus clientes o frente a la comunidad en general que pueden generar prdidas econmicas a la empresa y hasta su cierre definitivo. Este riesgo puede ser generado por causas accidentales o intencionales. R003- DECISIONES ERRNEAS DE LA GERENCIA Prdidas que sufre una empresa cuando se toman decisiones equivocadas por falta de informacin o por la baja confiabilidad de la misma. Este riesgo puede ser generado por causas accidentales o intencionales.

CRITIDAD

COMENTARIOS AUDITADO

DEL

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO.

OBSERVACIN

RECOMENDACIN R004- DESVENTAJA COMPETITIVA Prdida de la ventaja que la empresa tiene frente a sus competidores. Este riesgo puede ser generado por causas accidentales o intencionales.

CRITIDAD

COMENTARIOS AUDITADO

DEL

R005HURTO FRAUDE.

Prdidas de dinero o de activos convertibles en dinero, por actos malintencionados de empleados o que terceros producen. Incluye las diferentes modalidades de fraude relacionado con los sistemas informticos. R006- PERDIDAS DE INGRESOS Se refiere a las prdidas de dinero que se originan por errores y accidentes en los clculos de ingresos o cuentas por cobrar a los clientes, efectuados por procedimientos manuales o por el computador. Este riesgo puede ser generado nicamente

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO.

OBSERVACIN

RECOMENDACIN por accidentales. causas

CRITIDAD

COMENTARIOS AUDITADO

DEL

R007- PERDIDA POR EXCESO DE EGRESOS Se refiere a las prdidas de dinero que se originan por errores y accidentes en los clculos de egresos o cuentas por pagar (desembolsos), efectuados por procedimientos manuales o por el computador. Este riesgo puede ser generado nicamente por causas accidentales. 4 El Anlisis de Riesgos no cuenta con un plan de accin de implementacin de los nuevos controles a implementar. Con base en los controles propuestos, se recomienda elaborar un plan de accin, el cual determine el responsable y la fecha de implementacin de los nuevos controles, as como una priorizacin de los controles y una revisin posterior de los mismos con el fin de determinar si funcionan (los controles existentes) y si se han implementado los nuevos controles. ALTA De acuerdo recomendacin. con la

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

10

MONTES & ASOCIADOS AUDITORES CONSULTORES

4.3. NRO. 1

POLITICAS DE SEGURIDAD Y MANUAL DE SEGURIDAD DE LA INFORMACION. OBSERVACIN El manual de polticas de seguridad tiene incluidas polticas sobre uso de los computadores y contingencias, como por ejemplo: - No se debe tomar bebidas, colocar vasos sobre o cerca de los equipos ni fumar cerca de stos cuando estn encendidos, debido a que el humo del cigarrillo es absorbido por el calor de los integrados, ocasionando problemas de contacto elctrico. - Cada usuario debe canalizar a travs de la Divisin de Sistemas, las solicitudes relacionadas con asesora en la restauracin de programas y de los datos contenidos en el ltimo backup realizado por cada usuario. RECOMENDACIN Separar las polticas de seguridad de las polticas de uso de computadores y de los procedimientos de contingencias. CRITIDAD MEDIA COMENTARIOS DEL AUDITADO De acuerdo con la recomendacin.

Aunque se cuenta con unas polticas de seguridad, dichas polticas no son suficientes y no contemplan todos los dominios definidos por la norma ISO17799-2.

Se recomienda incluir dentro de las polticas de seguridad y manual de seguridad para la informacin los dominios desarrollados por la norma ISO-17799-2. De acuerdo con el estndar ISO-177992, (Code of Practice for Information Security Management, cdigo de prctica para la administracin de la seguridad) la

ALTA

De acuerdo con la recomendacin.

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

11

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO.

OBSERVACIN

RECOMENDACIN seguridad de la informacin debe contemplar los siguientes dominios: . Polticas de Seguridad. . Seguridad Organizacional. . Seguridad del Personal. . Control y Clasificacin de Activos. . Seguridad Ambiental y Fsica. . Administracin de las Operaciones y Comunicaciones. . Control de Acceso. .Desarrollo y Mantenimiento de Sistemas. .Administracin de la Continuidad del Negocio. Es conveniente que el(los) encargado(s) de realizar este manual de seguridad tengan la experiencia suficiente en el desarrollo del mismo y en la metodologa para desarrollarlo de no ser as, es mejor hacer Outsourcing de este servicio para asegurar el adecuado funcionamiento de los mismos

CRITIDAD

COMENTARIOS DEL AUDITADO

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

12

MONTES & ASOCIADOS AUDITORES CONSULTORES

4.4. DOCUMENTACION DE LOS SISTEMAS DE INFORMACION Y PROCEDIMIENTOS DE CONFIGURACION DEL SERVIDOR DEL SIFI: Aunque todas las aplicaciones cuentan con manual del Usuario, algunos manuales tcnicos no cuentan con Diccionario de Datos. NRO OBSERVACIN 1 Algunos Manuales Tcnicos de las aplicaciones cuentan con el Diccionario de Datos, otros no, por ejemplo los siguientes manuales no cuentan con Diccionario de Datos: Almacn Reactiva SGO (tiene diccionario de variables, falta Diccionario de Datos) SIFI (Mdulos de: Activos Fijos, Compras, Garanta de Medidores y Tesorera). SPARD A continuacin mostramos los aplicativos que si cuentan con Diccionarios de Datos en el manual tcnico: Gesper Mvil Gesper PC GIIP INFORED Kardex MAFE Prometeo SIA_Central SICUEX (Parcialmente). SIFI (Parcialmente Mdulo de Contratacin) SINEM Talentos SIEC Radicador de Correspondencia RECOMENDACIN CRITIDAD COMENTARIOS DEL AUDITADO De acuerdo con la recomendacin.

Se recomienda ALTA solicitar a los proveedores el Diccionario de Datos (en la medida de lo posible) y dado el caso que el software sea desarrollo interno, elaborar el Diccionario de Datos y modelos entidad relacin para cada aplicativo. Sin estas herramientas es muy difcil hacer el mantenimiento a las aplicaciones. Se recomienda que cuando se desarrollen aplicaciones se debe solicitar el Manual Tcnico y el manual del Usuario al desarrollador, verificando que el manual tcnico contenga el diccionario de datos.

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

13

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO OBSERVACIN Calidad Civic Gema Preved Visorreddistribucin 4.5.

RECOMENDACIN

CRITIDAD

COMENTARIOS AUDITADO

DEL

BACKUP DE LOS MICROCOMPUTADORES Y SEGURIDAD DEL SIFI RECOMENDACIN CRITIDAD COMENTARIOS AUDITADO DEL

NRO OBSERVACIN 1 No se cuenta con un Sofware que permita realizar el Backup de los archivos de los Microcomputadores.

Para realizar el MEDIA Backup de los microcomputadores, se recomienda adquirir un software que realice dicho backup, preferiblemente en horas de almuerzo. Dicho backup sera almacenado en una carpeta de un servidor. Las mejores prcticas, ALTA entre ellas ISO-177992 e ITIL versin 3, recomiendan que se activen todos los logs: Sistemas Operativo, Base de Datos, Performance, Aplicaciones y otros. Tambin que se cuente con la evidencia necesaria para resolver y aclarar cualquier Incidente de Seguridad (como por ejemplo: cambio no autorizado de Informacin). Se recomienda en la medida de lo posible,

Para algunos microcomputadores crticos, se tiene un espacio en servidor compartido en donde ellos copian sus archivos.

El log de la Base de Datos del SIFI, SIEC, MAFE y de la aplicacin del Fondo Rotatorio no estn activados, los cambios o anulaciones realizados por fuera de las aplicaciones no quedan registrados en ninguna parte. Se podran realizar actividades no autorizadas sobre las Bases de Datos sin quedar registradas.

De acuerdo con la recomendacin, Que infraestructura revise la viabilidad de activar las auditorias de las BD SIFI, SIEC, MAFE y de la aplicacin del Fondo Rotatorio.

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

14

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO OBSERVACIN

RECOMENDACIN activar el log de la BD del SIFI, SIEC y MAFE, ya que si se hicieran cambios borrados (Updates o Deletes), por fuera de la aplicacin no quedaran registrados (por ejemplo utilizando el SQL o el toad), tambin se recomienda restringir el uso de dichas herramientas (SQL o el toad). Es conveniente realizar un backup del log de la BD y eliminar todos los registros del archivo del log, con el fin de evitar que dicho archivo crezca en forma no controlada. La activacin de los logs mediante triggers no permite detectar las actividades realizadas por fuera de la aplicacin (por los ingenieros).

CRITIDAD

COMENTARIOS AUDITADO

DEL

recomienda ALTA No estn activadas las pistas de Se auditoria del SIFI, ni se revisan determinar mediante anlisis de riesgos los las pistas de auditoria. datos crticos para cada aplicacin, activar las pistas de auditoria y hacerle revisin a las dichas pistas y a la documentacin que soporta dichas modificaciones o borrados de

De acuerdo con la recomendacin, habra que revisar la infraestructura para ver si se puede activar el log.

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

15

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO OBSERVACIN

RECOMENDACIN informacin. Esta actividad debe ser desarrollada por el lder Funcional de cada Sistema de Informacin. Se recomienda verificar que el archivo de pistas de auditoria tenga por lo menos la siguiente informacin, con el fin de realizar la revisin: Usuario Hora Fecha Campo Valor anterior Nuevo Valor Tipo de operacin (Eliminar, Modificar Insertar). Si el archivo de Pistas de Auditoria no contiene la informacin aqu mostrada, es conveniente incluirla en dicho archivo. Por ejemplo se recomienda revisar en forma peridica los siguientes datos, entre otros, los cuales materializan el riesgo de Hurto / Fraude: Disminucin de los montos de las Cuentas por Cobrar. Anulacin de

CRITIDAD

COMENTARIOS AUDITADO

DEL

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

16

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO OBSERVACIN

RECOMENDACIN Cuentas por Cobrar. Aumentos de Salarios de los empleados. Aumento de montos de Cuentas por Pagar. Disminucin de cantidad de tems del Inventario. Disminucin del valor de los tems del Inventario. Borrado de Facturas. Incluir terceros no autorizados. Realizar pagos a terceros no autorizados. Estos tipos de controles deben ser establecidos en el anlisis de riesgos efectuado a cada aplicacin o Sistema de Informacin.

CRITIDAD

COMENTARIOS AUDITADO

DEL

4.6.

PLAN DE CONTINUIDAD TECNOLOGICO:

Se han desarrollado algunos procedimientos tan solo para los riesgos de Incendio, Paro-HuelgaSabotaje y Sismo (para toda la empresa Tratamiento Corporativo), lo cual esta enfocado mas al plan de contingencia de la empresa. Se ha desarrollado el Plan de Contingencia Tecnolgico nicamente para el SIEC y Exchange, no obstante a dicho plan le faltan algunos aspectos importantes mostrados en las recomendaciones como por ejemplo los tiempos mximos de no operacin y la estrategia a desarrollar. Es conveniente tener en cuenta los siguientes aspectos, los cuales mejoraran el plan de contingencia, en especial dada una Contingencia Mayor:

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

17

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO. OBSERVACIN 1 Aunque ya se han analizado algunos riesgos: en especial para el SIEC, no todos los riesgos han sido analizados y no para todos los Sistemas de Informacin.

RECOMENDACIN

CRITIDAD

COMENTARIOS AUDITADO

DEL

Se recomienda ALTA analizar los siguientes riesgos para cada aplicacin o Sistemas de Informacin: RIESGOS CATASTRFICOS: Terremotos (ya est) Temblores (ya est) Huracanes Inundacin Incendio (ya est) Sabotaje Terrorismo Sustraccin de hardware RIESGOS QUE AFECTAN PARCIALMENTE LOS EQUIPOS, EL SOFTWARE, LA INFORMACIN Y LAS COMUNICACIONES: Falla en el suministro de energa Sustraccin de software Fallas hardware Fallas equipos de comunicaciones Fallas en comunicaciones Fallas en planta elctrica Fallas UPS Fallas reguladores Fallas aire acondicionado

Se han desarrollado la mayora de riesgos para el SIEC aqu expuestos, falta desarrollarlos para el resto de sistemas de informacin y verificar que estn incluidos los riesgos aqu mostrados en el SIEC.

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

18

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO. OBSERVACIN

RECOMENDACIN Fallas de tablero de control Fallas en el software operativo, aplicativo y de comunicacin. RIESGOS AUSENCIA RETIROS PERSONAL: POR O DE

CRITIDAD

COMENTARIOS AUDITADO

DEL

Conflicto laboral (Sabotaje). Retiro de personal clave. Retiro masivo de personal. 2 No se han definido los tiempos mximos de no operacin soportados por cada aplicacin Sistema de Informacin sin entrar en grandes prdidas, no se ha definido la estrategia a aplicar, se tienen unos procedimientos pero no se sabe si aplican para la estrategia adoptada en el Plan de Contingencia del SIEC. Se deben establecer ALTA los tiempos mximos de no operacin (basado en los costos de no operacin) para cada aplicacin o Sistema de Informacin, sin causar prdidas inaceptables (Altas prdidas para la empresa) y de acuerdo con estos tiempos definir la estrategia a ejecutar para cada Sistema de Informacin (Hot-site, Middle-site Coldsite), una vez definida la estrategia, establecer los procedimientos a aplicar y los responsables de dichos procedimientos, De acuerdo con recomendacin. la

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

19

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO. OBSERVACIN

RECOMENDACIN finalmente hacer pruebas al Plan de contingencias y corregir los procedimientos y estrategias de acuerdo con los tiempos gastados en restaurar las operaciones y los tiempos mximos soportados de no operacin.

CRITIDAD

COMENTARIOS AUDITADO

DEL

Aunque algunos riesgos se contemplan en el mapa de Riesgos, no se analizan todos los riesgos para todos los activos en especial los que tienen que ver con el Plan de Continuidad Tecnolgico.

Se recomienda ALTA contemplar los siguientes Riesgos o Causas de Riesgos, relacionados especficamente con el Plan de continuidad Tecnolgico: RIESGOS CATASTRFICOS: Terremotos Temblores Huracanes Inundacin Incendio Sabotaje Terrorismo Sustraccin hardware

De acuerdo con recomendacin.

la

de

RIESGOS QUE AFECTAN PARCIALMENTE LOS EQUIPOS, EL SOFTWARE, LA INFORMACIN Y LAS COMUNICACIONES: Falla en el

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

20

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO. OBSERVACIN

RECOMENDACIN suministro de energa Sustraccin de software Fallas hardware Fallas equipos de comunicaciones Fallas en comunicaciones Fallas en planta elctrica Fallas UPS Fallas reguladores Fallas aire acondicionado Fallas de tablero de control Fallas en el software operativo, aplicativo y de comunicacin. RIESGOS AUSENCIA RETIROS PERSONAL: POR O DE

CRITIDAD

COMENTARIOS AUDITADO

DEL

Conflicto laboral (Sabotaje). Retiro de personal clave. Retiro masivo de personal. 4 No se ha desarrollado el Plan de Contingencia para todos los Sistemas de Informacin crticos para el negocio. Se recomienda ALTA desarrollar el Plan de Contingencia para todos los Sistemas de Informacin Crticos Una vez analizado el plan de del Negocio. contingencia del SIEC, se encontr que falta desarrollar En general se algunos aspectos enunciados recomienda seguir en en el punto 2. el mismo orden los puntos mostramos a Se tienen planes de contingencia para el SIEC y el Exchange, los cuales cuentan con la mayora de puntos aqu mencionados, es conveniente revisar la aplicacin y secuencia de los puntos aqu mostrados y desarrollar el Plan de Contingencia

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

21

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO. OBSERVACIN

RECOMENDACIN continuacin, desarrollar un contingencia: para plan

CRITIDAD

COMENTARIOS AUDITADO

DEL

para los otros Sistemas de Informacin Crticos del Negocio.

Anlisis y Jerarquizacin de Riesgos que podran afectar las aplicaciones (Evaluar la Criticidad de la Materializacin de los riesgos). Valoracin de Impacto y Probabilidad de ocurrencia de los riesgos. Levantamiento de Controles existentes para mitigar los riesgos. Definir los nuevos controles a aplicar, teniendo en cuenta el Anlisis de Riesgos (riesgo residual Alto y Medio), los controles existentes y la prioridad de cada aplicacin. Levantamiento de Inventario de las Aplicaciones utilizadas por la empresa. Determinar los tiempos mximos de no operacin soportados por cada aplicacin sin incurrir en prdidas inaceptables. Definir el costo de las prdidas de los tiempos de no operacin para cada aplicacin (Alto, Medio, Bajo).

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

22

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO. OBSERVACIN

RECOMENDACIN Definir la Prioridad o Importancia de cada aplicacin como soporte a las actividades desarrolladas por el negocio. Definicin de la estrategia y de los procedimientos a realizar para cada Sistema de Informacin dada una contingencia. Definicin de grupos responsables para poner en operacin la estrategia diseada para cada aplicacin. Elaborar las listas de Proveedores, del personal que debe ser contactado y sus responsabilidades dentro del Plan de Contingencias. Realizar la Capacitacin del personal relacionado con la implementacin del Plan de Contingencias. Planear y ejecutar las Pruebas del Plan de Contingencia. Ajustar los Procedimientos y las estrategias de acuerdo con las pruebas.

CRITIDAD

COMENTARIOS AUDITADO

DEL

Los dueos de los procesos (usuarios y de sistemas) no participan en forma activa en el desarrollo del Plan de Contingencia.

Se recomienda que los ALTA dueos de los procesos gestionen estos planes de manera oportuna (en

De acuerdo con recomendacin.

la

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

23

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO. OBSERVACIN

RECOMENDACIN especial Sistemas). los de

CRITIDAD

COMENTARIOS AUDITADO

DEL

Los dueos de los procesos deben desarrollar procedimientos manuales (Tablas de Excel, listados o formatos) con el fin de dar continuidad a las operaciones de su rea, dado el caso de que no se cuente con una estrategia en lnea dentro del plan de contingencia que permita restaurar en forma inmediata en tiempos muy cortos la operacin. 6 No se cuenta con el tiempo suficiente (por el funcionario encargado) para realizar el plan de contingencia a todos los sistemas de informacin crticos del negocio. Es conveniente que ALTA el(los) encargado(s) de realizar este Plan de Continuidad Tecnolgico conozcan el mtodo y tengan la experiencia y tiempo suficiente en el desarrollo de Planes de Continuidad Tecnolgica, de no ser as es mejor hacer outsourcing o joinsourcing (Ingenieros de la Chec e Ingenieros contratistas) para asegurar el adecuado funcionamiento del mismo. De acuerdo con recomendacin. la

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

24

MONTES & ASOCIADOS AUDITORES CONSULTORES

4.7.

REVISIN DE LA GRANJA DE SERVIDORES (CENTRO DE COMPUTO). RECOMENDACIN CRITIDAD COMENTARIOS AUDITADO De acuerdo con recomendacin. DEL la

NRO OBSERVACIN 1 La Cintoteca se encuentra ubicada dentro del centro de cmputo, dado un incendio se podran quemar la Cintoteca y los Servidores, lo cual dificultara la restauracin de los Backups ya que los mismos se destruiran.

Se recomienda ALTA reubicar la Cintoteca en unas instalaciones separadas del centro de cmputo y que cuenten con las condiciones Fsicas y ambientales adecuadas (como la Programoteca). Se recomienda en la ALTA medida de lo posible (en proyectos futuros y de acuerdo con el presupuesto) reubicar el centro de cmputo, revisar en forma peridica el estado de la impermeabilizacin de la sotea (verificar la existencia de un contrato de mantenimiento preventivo y correctivo de la impermeabilizacin de la sotea) Se recomienda instalar ALTA detectores de humedad (en especial en el techo y en el piso) que tengan algn tipo de alarma audible o visible, estos detectores no son muy costosos.

Encima del centro de computo se encuentra una sotea (la cual esta impermeabilizada), las buenas practicas recomiendan que el centro de cmputo no se ubique en los ltimos pisos de los edificios o en los stanos, debido a riesgos de goteo y filtraciones de agua lluvia (si es ultimo piso) e inundacin (si es un stano), lo cual generara corto elctrico y daos graves en los servidores.

Hablar con la Divisin de Servicios Generales para la verificacin constante del adecuado funcionamiento de la impermeabilizacin de la sotea.

El centro de cmputo no cuenta con detectores de humedad, los cuales alerten acerca de una inundacin o filtracin de agua.

De acuerdo con recomendacin.

la

recomienda ALTA No se esta seguro si el material Se con el del techo del centro de verificar proveedor si el cmputo es antiinflamable.

De acuerdo con recomendacin.

la

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

25

MONTES & ASOCIADOS AUDITORES CONSULTORES

NRO OBSERVACIN

RECOMENDACIN material del techo es antiinflamable y si no lo es cotizar el techo.

CRITIDAD

COMENTARIOS AUDITADO

DEL

4.8. REVISIN DEL MANUAL DE FUNCIONES DEL PERSONAL DE LA DIVISION DE SISTEMAS NRO OBSERVACIN 1 RECOMENDACIN CRITIDAD COMENTARIOS DEL AUDITADO De acuerdo con la recomendacin.

El cargo de Jefe de Sistemas, Se recomienda incluir ALTA no incluye todas las funciones las siguientes desarrolladas. funciones en el cargo de Jefe de Sistemas: Desarrollar un Plan Estratgico de Sistemas a corto, mediano y largo plazo en relacin con los sistemas de informacin y la tecnologa. Elaborar e implementar los anlisis o mapas de riesgos, relacionados con tecnologa. Elaborar un Plan de Contingencias el cual permita dar continuidad a las operaciones de la empresa soportadas por los Sistemas de Informacin.

AUDITORIA DE SISTEMAS - LA CHEC

Ser/infaud/infdef/lachec/Inf. M&A 1559:08 Auditado: GBR Impreso: JMCD

26