La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

MAESTRÍA EN EVALUACIÓN Y AUDITORÍA DE SISTEMAS TECNOLÓGICOS

Publicada porSebastián Acosta Sánchez Modificado hace 7 años

Presentaciones similares

Presentación del tema: "MAESTRÍA EN EVALUACIÓN Y AUDITORÍA DE SISTEMAS TECNOLÓGICOS"— Transcripción de la presentación:

1 MAESTRÍA EN EVALUACIÓN Y AUDITORÍA DE SISTEMAS TECNOLÓGICOS
TEMA: “AUIDITORÍA INFORMÁTICA PARA ENTREGA, SERVICIO Y SOPORTE DE TI EN EL MREMH UTILIZANDO COBIT 5” MAESTRÍA EN EVALUACIÓN Y AUDITORÍA DE SISTEMAS TECNOLÓGICOS AUTOR: MARCELO ARCOS

2 Agenda Antecedentes Objetivos de la Investigación
Desarrollo de la Auditoría Conclusiones Recomendaciones

3 Antecedentes Actualmente la Dirección de Soporte y Servicio al Usuario que es parte de la Coordinación General de Tecnologías de la Información y Comunicaciones del MREMH, cuenta con un manejador de información y recursos con interface Web GLPI, implementado hace un año aproximadamente, pese a que el objetivo de la implementación del GLPI (herramienta de mesa de ayuda), era solucionar incidentes y requerimientos de una manera ágil, eficiente y oportuna, minimizando riesgos de problemas mayores, ello en la actualidad ha generado insatisfacción por parte del usuario en la entrega de servicios que brinda la Dirección de Soporte y Servicio al Usuario.

4 Objetivos Objetivo General
Realizar una Auditoría Informática para evaluar la entrega, servicios y soporte de TI en el Ministerio de Relaciones Exteriores y Movilidad Humana utilizando el Marco de Referencia COBIT5.

5 Objetivos Objetivos Específicos:
Evaluar y describir el estado actual de la Entrega, Servicio y Soporte de la Coordinación General de TIC´s del MREMH, deduciendo actividades críticas y faltantes. Aplicar el estándar COBIT 5 al evaluar la Entrega, Servicio y Soporte en la Coordinación General de TIC´s del MREMH, enfocándose a los procesos: DSS01, DSS02, DSS03, DSS04, y DSS05 Identificar y clasificar los problemas y sus causas fundamentales, para prevenir incidentes recurrentes. Identificar debilidades y emitir recomendaciones que permitan mejorar la Entrega, Servicio y Soporte de la Coordinación General de TIC´s del MREMH

6 Desarrollo de la Auditoría
Planeación: Alcance del trabajo: Ha sido enfocado la auditoría a la Entrega, Servicio y Soporte de TI en el MREMH con COBIT 5, Dominio DSS , procesos : DSS01: Gestionar operaciones DSS02: Gestionar peticiones e incidentes de servicio DSS03: Gestionar problemas DSS04 : Gestionar la continuidad DSS05: Gestionar servicios de seguridad

7 Desarrollo de la Auditoría
Procesos : b) Actividad - Riesgo Inherente

8 Programa de Auditoría

9 Mapa de calor- Valoración de Riesgo
Los riesgos valorados se realizaron de acuerdo a los riesgos identificados según su criticidad de impacto en: Catastrófico, Importante y moderado, según la probabilidad de ocurrencia en: Frecuente, Probable y Ocasional. Los riesgos críticos están representados por la gama de colores más intensos, según el mapa de calor en valores 9, 6, 4, 3 y 2 (rojo, naranja, amarillo, verde y azul).

10 Ejecución En la ejecución de la auditoría tratada, se utilizó varias técnicas para la obtención de evidencias como las siguientes: Bibliográfica Entrevistas Cuestionarios Matriz de Riesgos Verificación y Cumplimiento

11 Hallazgos de la Auditoría
PROCEDIMIENTO AUDITADO : DSS01, DSS02, DSS03, DSS04 y DSS05 Como resultado de la Auditoría realizada, se evidencia aspectos críticos en procedimientos alineados a buenas prácticas de TI en los referente a la Entrega Servicio y Soporte de TI en el MREMH. Para su evaluación se utilizó el Marco de Referencia COBIT 5, el mismo que al tener una visión holística del Gobierno y la Gestión en la temática, permite emitir observaciones, conclusiones y recomendaciones, que fortalecerán la entrega del servicios y soporte de manera eficaz, eficiente y oportuna, alineados con los objetivos institucionales. Los 24 hallazgos encontrados en la Auditoría que dieron origen a sus respectivas recomendaciones emitidas en el Informe , se resumen en 19 puntos: 1. La DSSU no mantiene un registro de errores detectados y una solución apropiada que garantice la disponibilidad e integridad de la información ante problemas presentados. 2. No dispone de un Plan de Continuidad (BCP), basado en la estrategia de la continuidad, que asegure su efectividad frente a desastres o incidentes de TI. 3. Dirección de Capacidad de la Continuidad inexistente, no permite su idoneidad, adecuación y efectividad, ante servicios que brinda la DSSU a nivel nacional y en el exterior, con un nivel considerable de criticidad. 4. No priorización en peticiones e incidentes, de acuerdo al impacto de los servicios que entrega.

12 Hallazgos de la Auditoría
5. Registro de síntomas e incidentes inexistentes, recursos para solución de incidentes no manejados. 6. Incidentes registrados en mesa de ayuda, es cerrado por los técnicos mas no por el usuario, evitando la confirmación del grado de satisfacción del servicio. 7. Criterios y procedimientos en la entrega de servicio no definidos ni aprobados, los problemas son solucionados como incidentes, evidenciado inexistencia de niveles de escalamiento. 8. Registro de eventos de seguridad inexistentes, no maneja tickets de incidentes relacionados, evitando mantener niveles aceptados en disponibilidad, confidencialidad e integridad de la información. 9. Inexistencia de soluciones sostenibles referidas a la causa raíz del problema, no se maneja Gestión de Cambios adecuadamente, no información hacia el usuario sobre acciones tomadas para prevenir incidentes futuros.

13 Hallazgos de la Auditoría
10. No se maneja procedimientos que puedan ser mantenidos y ejecutados de forma consistente por parte de los técnicos de soporte. 11. Inexistencia de acuerdos de niveles de servicio y acuerdo de nivel de operaciones SLAS y OLAS. 12. Esquemas, modelos de clasificación de incidentes y peticiones de servicio no definidos por la DSSU. 13. Inexistencia de información relacionada a incidentes de seguridad con planes de respuesta, registro de errores conocidos, registro de incidentes con información para fuente de conocimiento. 14. Información inexistente para mejora continua en incidentes y tendencias de cumplimiento en peticiones de servicio. 15. Inexistencia de niveles de escalamiento en incidentes y problemas.

14 Hallazgos de la Auditoría
16. No existe informes de cuentas de usuario y privilegios manejados adecuadamente, dando lugar a permisos no autorizados por falta de control adecuado. 17. Salvaguardas físicas inadecuadas para documentación sensible. 18. Equipos no asegurados a un nivel igual o superior definidos en los requerimientos de seguridad de la información, procesada almacenada o transmitida. 19. Inexistencia de control en los edificios del MREMH que manejas activos de TI, no dispone de formularios de peticiones y de acceso aprobados que eviten accesos no autorizados.

15 Principales Recomendaciones de la Auditoría
Es necesario contar con un Plan de Continuidad del Negocio BCP, que permita a la institución continuar con los servicios de TI, en niveles acordados tanto para sus representaciones a nivel nacional e internacional.  Mantener registro de síntomas e incidentes, que permitan determinar posibles causas de manera acertada y en menor tiempo. Seguimiento en incidentes recurrentes que sean categorizadas como problemas. Definir e implementar criterios y procedimientos para informar de los problemas identificados. Categorizar y priorizar los problemas, permitiendo mantener una gestión eficiente de los mismos. Mantener niveles de escalamiento en la mesa de ayuda, que permita clasificarse incidentes y problemas para ser solucionados de acuerdo a niveles de servicio. Manejar registros de eventos relacionados con la seguridad de la infraestructura, así como tickets de incidentes de seguridad cuando éstos se presenten.

16 Principales Recomendaciones de la Auditoría
Establecer procedimientos y tareas operativas de forma consistente, permitiendo garantizar el nivel de satisfacción de los servicios entregados. Mantener un registro de copias de respaldos de acurdo con la políticas establecidas en la Dirección de Soporte, que garanticen la disponibilidad de la información. Mantener planes de respuesta a incidentes relacionados con riesgo, que se registre errores conocidos y resolución de incidentes para fuente de conocimiento. Generar informes de revisión de cuentas y privilegios, manteniendo políticas y procedimientos establecidos, que permitan controlar el acceso lógico autorizado. Gestión del inventario para activos de TI sensibles, tales como formularios especiales, títulos negociables, impresoras de propósito especial o credenciales (token) de seguridad.

17 Conclusiones del Proyecto
Mediante el Marcos de Referencia COBIT 5, alineando a la Entrega, Servicio y Soporte de TI, y los objetivos de control propuestos, permitió identificar y valorar los riesgos, para toma de medidas pertinentes, minimizando la materialización de los riesgos identificados. En el análisis y evaluación con COBIT 5, en el dominio Entrega Servicio y Soporte se logró identificar debilidades, que permitieron obtener observaciones y recomendaciones para ser emitidas en el informe final. La auditoría realizada propone mejoras a los controles y procedimientos de la entrega de servicios en la DSSU del MREMH, evaluados con el marco de referencia COBIT 5.   Para evidenciar resultados de la mejora mediante la auditoría, la Dirección de Soporte y Servicio al Usuarios, debe mantener un compromiso con autoridades y técnicos involucrados, que se comprometan a cumplir las recomendaciones dadas en el informe final

18 GRACIAS

Descargar ppt "MAESTRÍA EN EVALUACIÓN Y AUDITORÍA DE SISTEMAS TECNOLÓGICOS"

Presentaciones similares

TIC I: Seguridad Informática. Gestión del riesgo.

TIC I: Seguridad Informática. Gestión del riesgo.
Entrega y soporte de servicio de TI Operaciones de los sistemas de información Hardware de sistemas La arquitectura y software de SI Infraestructura de.

Entrega y soporte de servicio de TI Operaciones de los sistemas de información Hardware de sistemas La arquitectura y software de SI Infraestructura de.
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES IBARRA TEMA: METODOLOGÍA DE LA AUDITORÍA DE GESTIÓN DOCENTE: ING. WILMER ARIAS 1.

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES IBARRA TEMA: METODOLOGÍA DE LA AUDITORÍA DE GESTIÓN DOCENTE: ING. WILMER ARIAS 1.
PROYECTO DE GRADO PARA LA OBTENCIÓN DEL TÍTULO DE “MAGISTER EN EVALUACIÓN Y AUDITORIA DE SISTEMAS TECNOLÓGICOS” “EVALUACIÓN TÉCNICA INFORMÁTICA DE LA ADQUISICIÓN.

PROYECTO DE GRADO PARA LA OBTENCIÓN DEL TÍTULO DE “MAGISTER EN EVALUACIÓN Y AUDITORIA DE SISTEMAS TECNOLÓGICOS” “EVALUACIÓN TÉCNICA INFORMÁTICA DE LA ADQUISICIÓN.
PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.

PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO 27001 QES Quality Environment & Strategies

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
Argentina - 2015 Módulo 6 - Subcapítulo C1, Política y objetivos de seguridad CURSO LAR 145 y 43.

Argentina Módulo 6 - Subcapítulo C1, Política y objetivos de seguridad CURSO LAR 145 y 43.
NORMA ISO DIS 9001:2015 Draft International Standard.

NORMA ISO DIS 9001:2015 Draft International Standard.
INTEGRANTES DEIYANIER MEJIA LOZANO LEIDY VEGA CARDENAS SUSANA FLOREZ PEDRAZA YAZMIN ADRIANA RIVERA.

INTEGRANTES DEIYANIER MEJIA LOZANO LEIDY VEGA CARDENAS SUSANA FLOREZ PEDRAZA YAZMIN ADRIANA RIVERA.
ADQUISICION E IMPLEMENTACION KARINA CAIZA U. AUDITORIA DE SISTEMAS INFORMATICOS.

ADQUISICION E IMPLEMENTACION KARINA CAIZA U. AUDITORIA DE SISTEMAS INFORMATICOS.
Reforzar los conocimientos sobre la planificación, control y mejora de la calidad de acuerdo con los requisitos de la Norma ISO 9001 en su Requisito 8.

Reforzar los conocimientos sobre la planificación, control y mejora de la calidad de acuerdo con los requisitos de la Norma ISO 9001 en su Requisito 8.
NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)

NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)
Auditoría de gestión Sánchez Pincay laura Karina trávez mero Gabriela Alexandra rosero pachay Evelin párraga cuenca maría victoria espinal anggie SANTANA.

Auditoría de gestión Sánchez Pincay laura Karina trávez mero Gabriela Alexandra rosero pachay Evelin párraga cuenca maría victoria espinal anggie SANTANA.
NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.

NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.
No conformidades y su análisis/ Acciones preventivas y/o correctivas TUTOR LEONARDO OLMOS INGENIERO INDUSTRIAL ESP. GERENCIA EN SEGURIDAD Y SALUD EN EL.

No conformidades y su análisis/ Acciones preventivas y/o correctivas TUTOR LEONARDO OLMOS INGENIERO INDUSTRIAL ESP. GERENCIA EN SEGURIDAD Y SALUD EN EL.
MAESTRÍA EN PLANIFICACIÓN Y DIRECCIÓN ESTRATÉGICA

MAESTRÍA EN PLANIFICACIÓN Y DIRECCIÓN ESTRATÉGICA
Plan de Continuidad de las TIC

Plan de Continuidad de las TIC
NELLY PEREZ ESPINOSA ANTONIO CHUQUIMARCA VEGA

NELLY PEREZ ESPINOSA ANTONIO CHUQUIMARCA VEGA
PLAN DIRECTOR DE SEGURIDAD DEL AYUNTAMIENTO DE BUENAS MANERAS

PLAN DIRECTOR DE SEGURIDAD DEL AYUNTAMIENTO DE BUENAS MANERAS
ING. ÍTALO GERARDO ESPÍN RUIZ ING. DIEGO OSWALDO PULE LÓPEZ

ING. ÍTALO GERARDO ESPÍN RUIZ ING. DIEGO OSWALDO PULE LÓPEZ

Presentaciones similares

Anuncios Google