res

UNIVERSIDAD CENTRAL DEL ECUADOR

AUDITORÍA INFORMÁTICA HA-1
HOJA DE HALLAZGO N° 1 1/2

Período: Del 01 de Enero al 31 de Diciembre de 2017

Título: Inexistencia de Políticas de Seguridad para la administración de TI.

Condición:
El área tecnológica de la Universidad Central del Ecuador no cuenta con políticas, procedimientos,
estándares, directrices u otra documentación se Seguridad físicas y aprobadas para el manejo de las
Tecnologías de Información y Comunicación.
Criterio:
El proceso de Tecnologías de Información PO6 que forma parte del dominio Planear y Organizar
propuesto por el marco de referencia COBIT 4.1 manifiesta que la dirección debe elaborar un marco de
trabajo de control empresarial para TI y proporcionar políticas, procedimientos, directrices y otra
documentación aprobada de forma precisa y entendible que apoyen a la estrategia de TI y sean parte
integral de las actividades empresariales.

Causa:
Los directivos no han establecido un ambiente positivo de control de información y no hay
reconocimiento de la necesidad de establecer esta clase de normativa interna para TI.

Efecto:
La falta de políticas y procedimientos para el área tecnológica provoca que el personal desarrolle sus
actividades de diferentes formas, con riesgos altos por la inconsistencia en la operación de los sistemas
de información, que ocasiona duplicidad de información, reprocesamiento de datos, uso ineficiente de
los recursos informáticos y la solución de problemas con base en el criterio del funcionario responsable,
desperdiciándose esfuerzos y recursos.

Conclusión:
El área tecnológica carece de políticas, procedimientos, estándares, directrices u otra documentación
aprobada para el manejo de las Tecnologías de Información y Comunicación, debido a que la gerencia
no ha establecido un ambiente positivo de control de información y no hay reconocimiento de la
necesidad de establecer esta normativa interna lo que provoca que existan riesgos altos por la
inconsistencia en la operación de los sistemas de información, que ocasiona duplicidad de información,
reprocesamiento de datos, uso ineficiente de los recursos informáticos y la solución de problemas con
base en el criterio del funcionario responsable, desperdiciándose esfuerzos y recursos.
 UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORÍA INFORMÁTICA HA-1
HOJA DE HALLAZGO N° 1 2/2

Período: Del 01 de Enero al 31 de Diciembre de 2017

Recomendación:
A los directivos de la institución:
1. Definirán claramente programas continuos de comunicación y proveerán de guías para administrar
los recursos de TI dentro de la institución; para lo cual se establecerán en forma conjunta con el
coordinador del área tecnológica políticas, procedimientos y estándares de administración de
Tecnologías de Información y Comunicación en alineación constante con los objetivos del negocio.

Elaborado por: SA, PG, PR, JS, FS Fecha: 08/12/2018

Aprobado por: Dr. Mauricio Cantuña Fecha: 13/12/2018
 res
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORÍA INFORMÁTICA HA-2
HOJA DE HALLAZGO N° 2 1/2

Período: Del 01 de Enero al 31 de Diciembre de 2017

Título: Carencia de mecanismos para administrar los datos eficientemente.

Condición:
En la institución no se ha establecido ningún mecanismo para administrar los datos de manera efectiva.

Criterio:
El proceso de Tecnologías de Información DS11 que forma parte del dominio Entregar y Dar Soporte
propuesto por el marco de referencia COBIT 4.1 indica que se identifiquen los requerimientos de datos
y el establecimiento de procedimientos efectivos para administrar los medios, el respaldo y la
recuperación de los datos que ayuden a garantizar la calidad, oportunidad y disponibilidad de la
información del negocio.

Causa:
La dirección de TIC’S no reconoce a los datos como parte de los recursos y los activos de la empresa y
por percibe la importancia de administrarlos

Efecto:
Se pueden presentar errores frecuentes en el ingreso y procesamiento de los datos, que pudieran ocasionar
pérdidas económicas no cuantificables debido a que no existen parámetros de medición de esta variable.

Conclusión:
En la institución no se ha establecido ningún mecanismo para administrar los datos de manera efectiva,
debido a que los datos no son reconocidos como parte de los recursos y los activos de la empresa, por lo
que se pueden presentar errores frecuentes en el ingreso y procesamiento de los datos, que pudieran
ocasionar pérdidas económicas no cuantificables debido a que no existen parámetros de medición de esta
variable.
 UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORÍA INFORMÁTICA HA-2
HOJA DE HALLAZGO N° 2 2/2

Período: Del 01 de Enero al 31 de Diciembre de 2017

Recomendación:
Al director de TIC’S:
1. Verificará en forma permanente que todos los datos que se espera procesar son validados, se reciben
correctamente y se procesan completamente y que los resultados se entregan de acuerdo a los
requerimientos del negocio.
Al Rector:
2. Definirá e implementará procedimientos para el archivo, almacenamiento y retención de los datos.
3. definirá e implementará procedimientos de respaldo y restauración de los sistemas, aplicaciones,
datos y documentación en línea con los requerimientos del negocio y el plan de contingencia de TI.

Elaborado por: SA, PG, PR, JS, FS Fecha: 08/12/2018

Aprobado por: Dr. Mauricio Cantuña Fecha: 13/12/2018
 res
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORÍA INFORMÁTICA HA-3
HOJA DE HALLAZGO N° 3 1/2

Período: Del 01 de Enero al 31 de Diciembre de 2017

Título: Inexistencia de comandos para cambio de contraseña.

Condición:
La institución no cuenta con un mecanismo que brinde la posibilidad y disponibilidad a los usuarios de
la Tecnología de la Información de cambiar la contraseña cuantas veces lo desee, bajo los mismos
parámetros de protección de la información que debe tener el sistema informático.

Criterio:
Se incumplió el Esquema Gubernamental de Seguridad de la Información, directriz 7.18 Sistema de
gestión de contraseñas, numeral b en el que menciona:
“b) Controlar el cambio de contraseña de los usuarios y del personal de tecnología y de los administradores
de tecnología, en rangos de tiempo y complejidad”

Causa:
El desconocimiento de las necesidades de los usuarios por parte del director de TIC’S no le ha permitido
aumentar los comandos necesarios al sistema para que brinden posibilidad y disponibilidad para cambios
de contraseña
Efecto:
Los usuarios no pueden cambiar periódicamente la clave por lo que la información sensible se vuelve
más susceptible a la divulgación no autorizada

Conclusión:
El desconocimiento de las necesidades de los usuarios por parte del director de TIC’S ha ocasionado que
la institución no cuente con un mecanismo que brinde la posibilidad y disponibilidad a los usuarios de la
Tecnología de la Información de cambiar la contraseña cuantas veces lo desee por lo que no pueden
cambiar periódicamente la clave y la información sensible se vuelve más susceptible a la divulgación no
autorizada

UNIVERSIDAD CENTRAL DEL ECUADOR

AUDITORÍA INFORMÁTICA HA-2
HOJA DE HALLAZGO N° 3 2/2
 Período: Del 01 de Enero al 31 de Diciembre de 2017

Recomendación:
Al director de TIC’S:
1. Aumentará los comandos necesarios al sistema para que brinden posibilidad y disponibilidad para
cambios de contraseña

Elaborado por: SA, PG, PR, JS, FS Fecha: 08/12/2018

Aprobado por: Dr. Mauricio Cantuña Fecha: 13/12/2018