Dictamen de la auditoria

PROCESO COBIT: DS5 Garantizar la seguridad de los sistemas.

a. Objetivo de la auditoria: Medir y evaluar el funcionamiento de todos los

sistemas de informacin que se poseen por medio de la verificacin de
polticas y procedimientos de seguridad, manejo de usuarios y permisos de
los mismos segn su cargo y actividades realizadas y sus planes de
contingencia para la prevencin o correccin de posibles hallazgos.

b. Dictamen:

Se califica un nivel de madurez 3 DEFINIDO, ya que se evidencian

metodologas establecidas de trabajo, se siguen estndares de calidad para
el buen funcionamiento de los sistemas de informacin y se capacita
habitualmente al usuario para dar a conocer dichos estndares y
metodologas de trabajo, pero estas no son medidas constantemente y no
se lleva un registro detallado en el cual se demuestre que son utilizadas
por cada uno de los usuarios a los que se les ha capacitado.

c. Hallazgos que soportan el Dictamen:

En la base de datos no se encuentra una tabla en la cual se guarde el

registro de cada accin u operacin que realiza un usuario en los sistemas
de informacin.

No se cuenta con un personal directamente encargado de las reas de

informtica, tanto de los servidores y salas de trabajo como tambin de la
sala en la que se encuentran todas las reservas de piezas y partes
relacionadas con el hardware, por ende se puede dar paso a que all se
encuentren personas no autorizadas y peor an personal no perteneciente
al rea de informtica.

No existen perfiles ya establecidos para cada uno de los cargos, para as

determinar los permisos y accesos que van a llegar a tener cada uno de
estos, por ende se obliga a los usuarios usar una mesa de ayuda por la cual
deben realizar las solicitudes de acceso a algunas funcionalidades que para
ellos se encuentran restringidas.

d. Recomendaciones:

Crear dicha tabla con una estructura suficientemente efectiva, en la cual

se pueda almacenar la informacin de cada una de las operaciones y
cuales usuarios son las que las realizan.
 Realizar inventario de todas las piezas que se encuentran en la sala de
hardware y destinar solo a un personal capacitado y especfico para su
manipulacin.

Colocar carteles los cuales informen del acceso restringido a las salas
pertenecientes al rea de informtica y asignar un encargado de llaves el
cual ser el responsable de abrir y cerrar cada una de ellas.

Realizar un estudio de cargos y las acciones que las personas asociadas a

este deben realizar para as asignar perfiles de acuerdo a cada uno de los
cargos con sus respetivos permisos.