Ing. sistemas Hollman Santiago Labrador Perdomo

Control y seguridad Informática

Actividad 2

Tú como auditor te haces las siguientes preguntas1.     ¿Tiene razón el administrador si o no y por qué?2.     ¿Qué implicaciones tiene la ausencia del plan maestro en el área de procesamiento de datos e

informática?3.     ¿Qué implicaciones tiene la ausencia del plan maestro para poder llevar a cabo la auditoria?4.     ¿Cuál es el procedimiento a seguir?

 Deberás colocar tus respuestas en el área Caso Plan Maestro en el Foro de discusión. Las aportaciones las podrás fundamentar con artículos que tú hayas encontrado en el Internet. Dichos artículos deberán ser incluidos en el área de anexos dentro de la discusión.

Solución respuesta

1. ¿Tiene razón el administrador sí o no y por qué?

El administrador de informática no tiene razón al plantear que no es necesario el plan maestro del área informática cuando debe dar resultados a corto plazo porque se evidencia una confusión entre la velocidad en la que se obtienen los objetivos sea equivalente o producto de administrar “a la carrera”, la necesidad de obtener resultados en corto tiempo no es justificación para no hacerlas bien y en este caso lo idóneo y recomendado es administrarlas conuna estructura que garantice su estabilidad y sus resultados, es más que evidente que un negocio tan exitoso en tan poco tiempo debería ser especialmente “protegido” de todos los factores de riesgo (especialmente el uso de un mainframe para muchas actividades) al que está expuesto y la mejor forma de minimizar el riesgo para garantizar esa rentabilidad en esos tiempos tan cortos es darle a este negocio una estructura sólida bien administrada que garantice que esa manera tan eficiente de retorno de capital sea acompañada de una administración eficientepara que este negocio se mantenga y pueda proyectarse.

2. ¿Qué implicaciones tiene la ausencia del plan maestro en el área de procesamiento de datos e informática?

“Como producto del proceso de gestión, el área de tecnología de información y comunicaciones debe elaborar un plan maestro, definido como un documento a largo plazo que contenga la estrategia de proyectos de modernización de los procesos institucionales a través de los recursos tecnológicos, con el objetivo de

Brindar con calidad el servicio ofrecido a los usuarios (Clientes) de la entidad, entre los aspectos mínimos que conforman dicho plan se encuentran los siguientes:

Objetivos estratégicos institucionales

Misión Visión Acciones estratégicas Procesos que serán automatizados Usuarios que intervienen en el proceso Recursos humanos, materiales, financieros y técnicos

Ing. sistemas Hollman Santiago Labrador Perdomo Cronograma de implementación de proyectos”Considero que no plantear específicamente la misión y la visión del área de procesamiento de datos e informática no permite el planteamiento de unas políticas que garanticen el cumplimiento de objetivos a largo plazo, aunque es evidente que al misión es clara y ha sido cumplida en este caso, la visión de este negocio aparece un tanto comprometida porque la estrategia de largo plazo no garantiza la adaptabilidad del negocio y la supervivencia de una empresa a todas luces exitosa.La gran dificultad que implica la ausencia del plan maestro del área de sistemas es la carencia de las acciones estratégicas que permitan definir las prácticas de producción y las forma en la que estas realimentan el proceso para obtener mejoramiento continuo. Si no establezco de una forma estructurada la forma en la que produzco, tendré más dificultades para determinar la forma de determinar y aplicar controles y de establecer las formas de mejorar.

El no detenerse a documentar los procesos no permite establecer la forma más adecuada se hacer los seguimientos y controles para los procesos e implica de forma tácita que si no se documentan los procesos mucho menos los mecanismos de control, seguimiento y de seguridad que dichos procesos requieren y la posibilidad de realimentar con esta información la mejora de procesos, la ausencia de documentación conlleva la dificultad de proteger el proceso de fallos en el recurso humano y de infraestructura, el desconocimiento de los perfiles del personal, sus manuales de funciones y la ausencia de la información necesaria para la administración de infraestructura conlleva una debilidad grande en la gestión de equipos.

La ausencia de un plan maestro en la producción de un proceso de creación de aplicaciones informáticas tiene la gran debilidad (a mi juicio, mayúscula considerando el riesgo del uso de un mainframe para muchas actividades)de no asegurar la información es este proceso, en el que tanto el proceso en si, como sus resultados son la razón de ser de esta empresa, de manera que si se ha establecido una empresa muy rentable decreación de aplicativos, la seguridad de esta información es la columna vertebral de esta producción, cualquier caso de fuga, robo o pérdida de información podrían llevar al fracaso esta producción, por eso considero que no asegurar la información en este caso sería comprometer de gran forma la subsistencia de este negocio y perder una fuente de retorno de capital y generación de utilidades.

Plan Maestro de tecnología de información y comunicaciones del documento citado en esta dirección:

http://bibliotecavirtual.olacefs.com/gsdl/collect/guasyman/archives/HASH0155.dir/ManualAuditoriaGestionTICs.pdf

3.     ¿Qué implicaciones tiene la ausencia del plan maestro para poder llevar a cabo la auditoria?

“PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

Evaluación de los sistemas y procedimientos.

Evaluación de los equipos de cómputo.”

En esta empresa en la que no existe un plan maestro la posibilidad de auditar en primera instancia los sistemas y los procedimientos hace pensar que es muy difícil evaluar algunos aspectos de este empresa porque aunque los objetivos están muy claros y quienes crean un producto exitoso saben lo que están haciendo, cuentan con la infraestructura adecuada y con el recurso humano adecuado, no se ha establecido de manera clara en qué punto de este proceso puedo entrar a protegerlo y a mejorarlo, la ausencia de políticas implicaría un orden implícito que es muy difícil de verificar cómo siempre el más conveniente para la empresa y el proceso de producción mismo, la ausencia de políticas de gestión tendrá como resultado la ausencia de manuales de procedimiento y uso, de la forma de establecer y hacer cumplir controles, de las políticas de aseguramiento de

Ing. sistemas Hollman Santiago Labrador Perdomola infraestructura y la información, de la información que permita hacer la planeación, el mejor hacer y la proyección a futuro de este negocio.

En este caso la auditoría se centraría en cómo evidenciar las fallas y cómo con la aplicación de esas correcciones se pueda ayudar a convertir este proceso exitoso en un proceso en el que se pueda plasmar ese modelo centrado en el resultado, en un modelo que sin sacrificar las utilidades pueda minimizar el riesgo de fallo por no establecer unas políticas que sólo pretender garantizar el resultado, el plan maestro por definición no pretender entorpecer el proceso, por el contrario busca es que los objetivos que se proponen puedan ser cumplidos, de la manera más eficiente y con la mayor seguridad de que esos objetivos durante su ejecución y su resultado se alcancen, la auditoría en este proceso sería un proceso muy enriquecedor porque implicaría cómo hacer mejor un negocio que de por sí ya es bueno, sólo implicaría plasmar (convertir en plan maestro) lo que se hace bien y mejorar lo que debe ser corregido.

En el documento consultado en esta dirección de internet:

http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html

4.     ¿Cuál es el procedimiento a seguir?

Indudablemente, establecer un plan maestro de gestión de información y sistemas, que ajustado a un modelo de producción exitoso debe ser mucho más fácil de determinar, en este caso pienso que un negocio exitoso generando utilidades sólo le queda ser más rentable, qué problema puede ser para una empresa minimizar la posibilidad de fallo? o mejor, analizado desde la postura de la empresa en este caso, maximizar su margen de utilidad logrando que lo que se hace bien se haga mejor, si en los documentos sobre la auditoría de sistemas siempre se dice que se busca el uso eficiente y seguro de la información para el logro de objetivos y la toma de decisiones a futuro, la auditoría sólo conllevaría hacer este negocio mucho más rentable y de hecho plantearse la posibilidad de hacer un negocio a largo plazo con su propio esquema de producción que no tiene por qué ser contradictorio o de encontrar el por qué la proyección a largo plazo no es coherente con la producción acelerada de aplicativos que expliquen la forma en la que ahora se hace, en todo caso estos análisis son necesarios.