3. MARCO PROPOSITIVO
3.3. DESARROLLO DE LA PROPUESTA
3.3.5. Informe
3.3.5.1. Fase IV: Comunicación de Resultados
AUDITORÍA INFORMÁTICA AL GAD MUNICIPAL DEL CANTÓN SANTIAGO DE QUERO
CARTA DE PRESENTACIÓN
DEL 1 DE ENERO AL 31 DE DICIEMBRE DEL 2017 Riobamba, 01 de Junio de 2018
Ing.
César Beltrán Palacios
JEFE DEL DEPARTAMENTO DE GESTIÓN TECNOLÓGICA DEL GAD MUNICIPAL DEL CANTÓN SANTIAGO DE QUERO
Presente.-
De mi consideración:
Se ha realizado la AUDITORIA INFORMÁTICA AL GAD MUNICIPAL DEL CANTÓN SANTIAGO DE QUERO, PROVINCIA DE TUNGURAGUA, PERÍODO 2017, el mismo que se realizó de acuerdo a las Normas de Auditoría Generalmente Aceptadas, Principios de Control Interno, Normas de Control de la Contraloría General del Estado y demás procedimientos técnicos considerados necesarios para la auditoría.
Para la evaluación de Control Interno, se aplicó los componentes del COSO I, los mismos que facilitaron la evaluación y ayudaron a determinar áreas críticas que podrían afectar a la consecución de los objetivos institucionales.
En la auditoría constan los resultados obtenidos en base al análisis realizado, incluyendo los respectivos comentarios, conclusiones y recomendaciones que de seguro serán de beneficio para la institución.
Atentamente,
Ing. Ricardo Tipan Auditor Senior
AC-CP 1/1
83
AUDITORÍA INFORMÁTICA AL GAD MUNICIPAL DEL CANTÓN SANTIAGO DE QUERO
INFORME DE AUDITORÍA
DEL 1 DE ENERO AL 31 DE DICIEMBRE DEL 2017
No existe capacitación al personal sobre el manejo y seguridad de los activos informáticos.
Conclusión
El Municipio no cuenta con manuales para el manejo de equipos informáticos tanto para usuarios como para técnicos, el personal utiliza dichos equipos de acuerdo a los conocimientos y experiencia que posee.
Recomendación
Al jefe de cómputo del Municipio: Solicitar a la Administración se le provea los recursos para desarrollar programas de capacitación y preparar manuales para técnicos y usuarios para un correcto manejo de los equipos informáticos.
No existe capacidad suficiente para el almacenamiento de los respaldos. Conclusión
La información crítica y sensible que se almacena en los equipos informáticos no tiene respaldos en lugares externos, poniendo en riesgo su integridad y seguridad.
Recomendación
Al Alcalde: Suministrar el presupuesto necesario para la adquisición dispositivos externos para el almacenamiento de los respaldos de la información crítica y sensible.
Si cuenta con el cableado instalado pero faltan los equipos de seguridad. Conclusión
No se ha adquirido dispositivos de seguridad provocando que los activos informáticos queden vulnerables al riesgo informático.
84 Recomendación
Al Concejo Municipal: Adquirir dispositivos de seguridad de forma inmediata para salvaguardar los medios físicos y la información que se procesa mediante sistemas informáticos.
No están asegurados los equipos informáticos. Conclusión
No se adquirido un seguro que cubra los equipos informáticos ya que solo se cuenta con la garantía que tiene al momento de la compra del equipo.
Recomendación
Al jefe de cómputo: Realizar un plan de cotización de seguro con el fin de contratar una cobertura para los equipos informáticos ante cualquier situación fortuita que se presente.
Existe los equipos pero con están debidamente conectados. Conclusión
Los equipos no están en funcionamiento por lo que genera una ocasión de que se suscite algún imprevisto dentro de la institución y no contar con una grabación o un dispositivo de seguridad.
Recomendación
Al jefe de cómputo: Realizar las instalaciones que sea necesarias para la seguridad de los equipos informáticos y de las instalaciones del municipio.
85
INDICADORES
NOMBRE DEL INDICADOR FÓRMULA DE CÁLCULO ANÁLISIS
INDICADOR DE EFICIENCIA Presupuesto Informático Presupuesto Equipos Informaticos
Presupuesto Total ∗ 100 =
900
120000∗
100 = 0,75%
Del presupuesto asignado para el departamento en el año 2017, el 0,75% corresponde a los equipos, sistemas y paquetes informáticos, un valor muy bajo con respecto a las necesidades reales que tiene la institución tanto en activos informáticos como en dispositivos para la seguridad. Presupuesto capacitaciones Presupuesto Capacitaciones
Presupuesto Total ∗ 100=
0
120000∗ 100 = 0% En el año 2107 no contaban con una partida presupuestaria destinada a la capacitación del personal técnico y usuarios
de los equipos informáticos. INDICADOR DE EFICACIA Sistema Operativo Actualizado #𝐶𝑜𝑚𝑝𝑢𝑡𝑎𝑑𝑜𝑟𝑎𝑠 𝑐𝑜𝑛 𝑊𝑖𝑛𝑑𝑜𝑤𝑠 𝑋𝑃 #Total de Computadoras ∗ 100 = 3 75∗ 100= 4%
El 4% de las computadoras del Municipio cuenta con un sistema operativo actualizado, el personal sigue utilizando Windows 7, sin embargo el sistema operativo funciona correctamente para la realización de las actividades cotidianas de la entidad.
Acceso a Internet #Computadoras con Internet
#Total Computadoras ∗ 100 = 75
75∗ 100 = 100% Según el indicador de eficacia se concluye que el 100% de las computadoras cuentan con acceso a internet, cumpliendo con las necesidades de casi la totalidad de usuarios que utilizan los equipos informáticos.
Asistencia Técnica
#Usuarios que recibieron asistencia técnica #Usuarios que demandaron asistencia técnica∗ 100
=50
75∗ 100 = 66,6%
El 66,67% aproximadamente de los usuarios que laboran en el Municipio de Quero han recibido asistencia técnica por parte del personal del departamento Tecnológico, por lo que se deduce que la mayoría del personal que recurre a este servicio es atendido, asegurando así el buen manejo de los recursos informáticos.
Mantenimiento preventivo
#Computadoras que se realiza mantenimiento preventivo #Total Computadoras
∗ 100 =75
75∗ 100 = 100%
El técnico encargado del mantenimiento preventivo realiza al 100% este tipo de mantenimiento, lo cual se realiza de acuerdo a un cronograma previamente establecido para
86
Ing. Ricardo Tipan Ing. Freddy Baño Auditor Senior Director Tesis
evitar problemas y errores en los equipos que dificulten las actividades de cada funcionario.
INDICADORES DE SEGURIDAD Seguridad para ingresar al
computador
#Computadoras con contraseña
#Total Computadoras ∗ 100
= 75
75∗ 100 = 100%
Se ha determinado que de las 75 computadoras examinadas, 75 cuentan con una contraseña para ingresar al sistema operativo, las mismas representan un 100% de cumplimiento en seguridad.
Restricción de ingreso a Redes Sociales
#Computadoras con restricción
#Total Computadoras ∗ 100 =
o 75∗ 100 = 0%
De las 75 computadoras examinadas 75 no tienen restricción para acceder a redes sociales como Facebook, Twitter e incluso música, las mismas corresponden al 0% de seguridad.
Antivirus Actualizado
#Computadoras con virus actualizado
#Total Computadoras ∗ 100
=75
75∗ 100 = 100%
Las computadoras que tienen instalado un antivirus, el mismo que esta actualizado cada año con su respectiva licencia corresponde al 100% de un total de 75 computadoras examinadas, un nivel aceptable de seguridad.
87
CONCLUSIONES
✓ No se cumplen con las Normas de Control Interno de la CGE, puesto que los directivos no tienen presupuesto para implementar manuales de manejo de equipos informáticos, planes de capacitación en lo referentes a las Tecnologías de la Información.
✓ Las instalaciones del Municipio cuenta con infraestructura nueva por lo que posee los cableados instalados para las seguridades que son necesarios y salvaguardar los equipos, pero lastimosamente no cuenta con equipos de seguridad (extractores de calor, censores de humo, sensores de temperatura, pararrayos, entre otros) por falta de presupuesto.
✓ La Dirección de Talento Humano no ha establecido un Plan de Capacitación para el personal de la institución que tiene a cargo la responsabilidad de los equipos informáticos con temas relacionados al manejo y seguridad de los activos informáticos.
✓ Al culminar el examen de auditoría se emitió un informe final que contiene las conclusiones y recomendaciones dirigidas a las autoridades correspondientes, que permitirá contribuirá la toma correcta de decisiones, y así mejorar el manejo de la información y equipos informáticos.
88
RECOMENDACIONES
✓ A los Directivos y Personal cumplir y hacer cumplir con las Normas de Control Interno de la CGE con la finalidad de proteger los activos informáticos mediante el numeral 410-Tecnologías de la Información.
✓ A los Directivos demandar financiamiento para adquirir dispositivos de seguridad necesarios dentro de las instalaciones con el propósito de proteger la integridad de la información y los equipos informáticos evitando daños o pérdidas.
✓ A la Dirección de Recursos Humanos coordinar con el Alcalde para crear un Plan de Capacitación para el personal de la institución con la finalidad de que aprendan a usar de manera eficaz, eficiente y segura los activos informáticos bajo su responsabilidad.
✓ A los Directivos del Municipio analizar las conclusiones y recomendaciones expuestas en el informe final de auditoría, con la finalidad de tomar las acciones correctivas para mejorar el manejo de la información y equipos informáticos, y así contribuir al cumplimiento de las metas y objetivos institucionales.
89
BIBLIOGRAFÍA
Arnoletto, E. J., & Díaz, A. C. (14 de Febrero de 2011). eumed.net La gestión operativa. Obtenido de http://www.eumed.net/libros-gratis/2009b/550/La%20gestion%20operativa.htm
Auditoría, N. I. (15 de Octubre de 2013). Evidencia de Auditoría. Obtenido de http://www.icac.meh.es/NIAS/NIA%20500%20p%20def.pdf
Barajas, E. (25 de Octubre de 2009). angelfire.com. Obtenido de
http://www.angelfire.com/linux/emilio/introduccion.pdf
Clempner, J., & Gutiérrez, A. (31 de Marzo de 2002). Administración y Ejecución de un Plan Estratégico de Tecnología de Información. Revista digital Universitaria, 3(1). Obtenido de http://www.revista.unam.mx/vol.3/num1/art1/index.html
Del Peso, E., & Ramos, M. (2001). La seguridad de los datos de carácter personal. México: Ediciones Díaz de Santos.
Finkowsky, F. (2013). Auditoría Administrativa: Evaluación y Diagnóstico Empresarial (3a ed.). México: Pearson Educación.
Fred, D. (2012). Conceptos de Administración Estratégica (14 ed.). México: ADDISON- WESLEY.
Hernández, E. (13 de Junio de 2000). Auditoría en Informática: Un enfoque (2a ed.). México: Patria Cultural Cecsa. Obtenido de http://www.buenastareas.com/ensayos/Terminologia- Auditoria-Informatica/421610.html
Menkus, B. (1991). Control is Fundamental to Successful Information Security", Computers and Security. Washington: NW.
Muñoz, C. (2002). Auditoría en Sistemas Computacionales. México: PEARSON EDUCACIÓN.
Piattini, M., & Del Peso, E. (2008). Auditoría Informática: Un enfoque práctico (2a ed.). México: Alfaomega.
Piattini, V. M. (2008). Auditoría de Tecnologías y Sistemas de Información. México: RA-MA S.A. Editorial y Publicaciones.
Rivas, G. (2000). Auditoría Informática. Madrid: Ediciones Díaz de Santos, S.A.
Teran David. (2011). Redes Convergentes Diseño E Implementación. Marcombo: S.A.
Marcombo.
Torres, V., & Augusto, C. (2006). METODOLOGÍA DE LA INVESTIGACIÓN. México: Person
Educación.
Venezuela, M. (16 de Junio de 2011). webdelprofesor.ula.ve. Obtenido de
ANEXOS
Anexo 1: Equipos Informáticos con sistema Operativo de 32 bits Windows 7
Anexo 3: Cámaras de Seguridad inhabilitadas
Anexo 5: Seguridad para Ingresar al Computador
Anexo 6: Reloj Biométrico en funcionamiento para el control de entrada y salida del personal del GAD Municipal.
Anexo 7: Hoja de Marcas y Referencias HOJA DE MARCAS MARCA SIGNIFICADO @ Hallazgo D Debilidad Σ Sumatoria
Ω Sustentado con Evidencia
√ Verificado
A Incumplimiento de normativa HOJA DE REFERENCIAS
AP Archivo Permanente
AC Archivo Corriente
HMR Hoja de Marcas y Referencias
PGA Programa General de Auditoría
CCI Cuestionario de Control Interno
HH Hoja de Hallazgos
VP Visita Preliminar
EA Entrevista al Alcalde
NIA Notificación de Inicio de Auditoría
IND Indicadores
CP Carta de Presentación
IA Informe de Auditoría
RATT Ricardo Alfonso Tipan Tipan
CONCLUSIONES PARA EL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION Y COMUNICACION
✓ Las Computadoras que utilizan los Departamentos se encuentran en estados normales lo que permiten que se desarrollen todas las actividades sin ninguna complicación.
✓ Las condiciones en las que se encuentra las computadoras son poco favorables para el buen funcionamiento ya que el área de cada Departamento es suficiente no hay lugar para otra computadora.
✓ No se comunica de manera formal al personal las políticas, manuales y plan de contingencia del Departamento de Tecnologías de la Información y Comunicación. ✓ La mayoría de las computadoras si cuentan con reguladores de voltaje por lo que si
existiera algún corto circuito las maquinas estarán resguardadas correctamente.
RECOMENDACIONES PARA EL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION Y COMUNICACIÓN
La información a continuación detallada contiene aspecto como un Plan Informático, se ha elaborado de acuerdo a la investigación directa de esta área técnica:
✓ El jefe de la unidad de sistemas debe identificar las metas a largo plazo de la unidad a su cargo y verificar que éstas sean coherentes con las metas de la organización. ✓ Elaborar técnicamente el plan, donde se determinen los costos y se compare contra
los posibles beneficios, transmitiéndole al usuario de sistemas las bondades que esos cambios representarán para la organización.
✓ La unidad de sistemas debe asegurarse que le sean asignados los recursos adecuados y suficientes y que los planes a corto plazo sean coherentes con los planes a largo plazo.
✓ Considerar la utilización del cronograma como herramienta de planeación y control de gestión en el desarrollo de sistemas.
✓ Evaluar el plan estratégico, con el propósito de reflejar el estado del sistema instalado, el progreso del nuevo sistema y realizar los ajustes que sean del caso.
96
✓ La Planeación Estratégica de Sistemas de Información debe ser un proceso cíclico, periódico, que cubra espacios no muy extensos de tiempo, debido a la incertidumbre que conlleva el rápido cambio tecnológico.