Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Y ENTIDADES FINANCIERAS
Consultora en Auditora de Sistemas a
la
Unidad de Sistemas de Informacin
Trabajo Adicional
Enero de 2002
OBJETIVO
II.
ALCANCE
Conclusin general
III.2
Conclusiones especficas
IV.
RECOMENDACIONES
Detalle de recomendaciones
RESULTADOS OBTENIDOS
I.
OBJETIVO
El objetivo de nuestro trabajo fue evaluar la adecuada administracin de los
recursos tecnolgicos y humanos del rea de sistemas, as como la estructura
de control existente en los sistemas que soportan los procesos de negocio
para emitir una opinin respecto al ambiente de control existente en el
procesamiento electrnico de datos.
II.
ALCANCE
Si bien el alcance del trabajo efectuado se basa en los trminos de referencia
definidos en nuestra propuesta, hemos querido dar un valor agregado
adicional en cuanto a la visin de los aspectos notados desde un punto de
vista de la funcin informtica a nivel de toda la organizacin. De este modo
la Superintendencia de Bancos y Entidades Financieras (SBEF) dispondr de
mejor informacin para tomar acciones de mejora ms efectivas y de forma
mas focalizada.
II.1 INTRODUCCION
De acuerdo a lo relevado en el transcurso de nuestro trabajo, la SBEF nos ha
trasmitido su preocupacin por lograr la optimizacin de la efectividad y
eficiencia de su funcin informtica, apuntando al logro de sus objetivos
institucionales.
Queremos hacer notar que cuando nos referimos a la funcin informtica, lo
hacemos como a una funcin general de toda la organizacin, y no debe ser
confundida con el rea informtica, que si bien es una parte importante de
esta funcin, no es la nica que la compone.
Nuestra intencin es plantear las medidas requeridas por la funcin
informtica, basndonos en los hallazgos surgidos de la ejecucin de nuestro
programa de trabajo detallado. De este modo, la SBEF obtendr una visin
clara de su problemtica general, comprendiendo las relaciones causa-efecto
existentes entre los hallazgos obtenidos. Estas relaciones a las que nos
referimos, difciles de identificar sin un estudio profundo del entorno general
en el que se opera, son parte importante del valor agregado adicional que
obtendr la SBEF de nuestro trabajo.
Enfoque de las conclusiones generales
Como ya mencionamos anteriormente, hemos estructurado los resultados
obtenidos en torno a tres niveles, referidos a la funcin informtica de la
SBEF:
Planificacin
estratgica
de la
institucin
Necesidades
del negocio
Administracin
del Negocio
Planificacin
estratgica
de sistemas
Soporte a las
aplicaciones
existentes
Proyectos
prioritarios
Planificacin
tctica de
sistemas
Nuevos
Cambios
Entrega de
Aplicaciones
Administracin de Sistemas
Cultura Informtica
Entrega de aplicaciones. Una vez que los proyectos de han estructurado y los
recursos se han asignado, un proceso separado se lleva a cabo para entregar
el proyecto terminado, ya sea en la forma de una nueva aplicacin o de un
cambio a una ya existente. Este proceso esta relacionado con los aspectos
del da a da del gerenciamiento de proyectos y la calidad de integracin
entre el personal de sistemas y del negocio para asegurar la entrega exitosa
del proyecto. La salida de este proceso debe ser el nuevo conjunto de
aplicaciones existentes;
Cultura informtica. Este proceso provee una visin de alto nivel sobre la
informacin provista en el anlisis que procede y ayuda a la gerencia a
identificar necesidades de cambio de la postura de la organizacin en general
con respecto a los sistemas de informacin, con el fin de emprender el
desarrollo de nuevos productos o servicios.
III.
RESUMEN EJECUTIVO
Con el objeto de facilitar la lectura del presente informe, a continuacin
presentamos un resumen ejecutivo, de los aspectos ms relevantes que
han surgido como resultado de nuestro trabajo.
Dentro del diseo general del ambiente de seguridad hemos visto aspectos
que afectan la confidencialidad de la informacin, y deben ser mejorados en
cuanto a:
segregacin inadecuada de las funciones de administracin de seguridad,
segregacin inadecuada de otras funciones tcnicas de sistemas (por
ejemplo: desarrollo e implantacin en el ambiente de produccin)
el mecanismo de asignacin, modificacin y construccin de contraseas no
cumple con las mejores prcticas,
no se cuenta con funciones de auditora interna de sistemas,
no se cuenta con una clasificacin de la informacin en cuanto a su criticidad
(que incluye el concepto de confidencialidad) y por lo tanto tampoco con
medidas de proteccin asociadas a cada categora.
existen oportunidades de mejora en la seguridad fsica (piso falso, paredes de
vidrio, alarmas de incendio, detectores de humo, etc.)
Asimismo, es necesario contar con una mayor formalizacin y
estandarizacin de los procedimientos relacionados con la administracin de
seguridad.
Eficacia, eficiencia y oportunidad.
respaldo
b. Planificacin estratgica
Hemos apreciado la existencia de un proceso de planificacin estratgica a
nivel del negocio, cuya metodologa se encuentra delineada en el documento
Reglamento Especfico del Sistema de Programacin de Operaciones.
Durante el presente ao la SBEF ha seguido los lineamientos definidos en
dicho documento y realizado un proceso que culmin en la formulacin de
una serie de objetivos institucionales de la SBEF y los planes operativos
anuales (POAs) a nivel de cada una de sus distintas reas.
Metodolgicamente, estos POAs a nivel de rea se han alineado sobre la base
de los objetivos institucionales planteados y llevados a un nivel mas
operativo en las llamadas fichas tcnicas.
Si bien la metodologa de planificacin estratgica que se aplica en su
definicin cumple con las mejores prcticas, sus resultados en cuanto a la
previsin de los trabajos del rea informtica no se ven cumplidos, ya que
hemos observado un alto porcentaje de tareas no planificadas que
habitualmente realiza la USI.
De acuerdo al trabajo realizado, observamos que esta situacin tiene su
origen en la falta de una definicin formal de los requerimientos de las reas
usuarias en sus fichas tcnicas, identificando claramente los objetivos,
productos y plazos. Asimismo, el proceso de los POAs de las distintas reas
debera contar con la participacin de la USI, que las asesorara en cuanto a
posibles proyectos de automatizacin y definira los lineamientos generales
de los proyectos a llevar a cabo por la USI.
Asimismo, es importante incorporar polticas orientadas a establecer que este
procedimiento es el canal formalmente establecido para la incorporacin de
requerimientos al rea de sistemas y que solamente los requerimientos
definidos en esta instancia sern incorporados en el POA de la USI.
Excepcionalmente, un requerimiento adicional, solicitado en forma posterior,
podr ser evaluado, priorizado y aprobado por el comit de sistemas para su
incorporacin en el POA de la USI.
En este proceso, las distintas reas tambin asignaran prioridades a los
requerimientos realizados a la USI.
Una vez terminado el proceso de elaboracin de los POAs, e identificados
todos los proyectos requeridos a la USI, esta realizara una estimacin
primaria del esfuerzo requerido para su cumplimiento. En base a esta
informacin, el comit de informtica definira el conjunto de proyectos a
llevar a cabo en la gestin, sus prioridades, y opciones preliminares de
implantacin. Con esta informacin la USI elaborara su POA, que en los
hechos se consolidara como el plan informtico anual de la
superintendencia. Cada ficha tcnica as definida debera incluir los datos
bsicos de definicin de un proyecto: plazos, recursos, tareas, responsables,
dependencias externas e internas, servicios subcontratados, presupuesto,
etc.
10
11
Seguridad fsica
De acuerdo al trabajo realizado, hemos visto que la sala del computador no
cuenta con los siguientes dispositivos o medidas de proteccin: detectores de
humo, alarma contra incendios, alarma contra intrusos.
Asimismo,
estimamos conveniente mejorar las medidas de proteccin fsica, sellando las
ventanas y sustituyendo las divisiones de vidrio por paredes.
Estas medidas deberan ser extendidas en la medida de lo aplicable al resto
de las reas de sistemas, donde tambin residen equipamiento,
documentacin e informacin.
-
12
13
IV.
RECOMENDACIONES
Alta
M:
Media
B:
Baja
GESTION DE LA UNIDAD
1.
2.
3.
4.
5.
6.
7.
8.
9.
10
.
11
.
12
.
B.
Hallazgo
Reestructurar la participacin de la USI en el proceso de
elaboracin de los POAs de las reas usuarias
Planificacin estratgica de Sistemas
Consolidar el Comit de Sistemas
Adecuar la Estructura organizacional
Consolidar las funciones de apoyo de Auditora de Sistemas y
Organizacin & Mtodos
Definir mecanismos para la rotacin de personal
Planificar la carrera para el personal de la USI
Implantar un sistema de control presupuestario
Normar la adquisicin de sistemas y/o servicios de desarrollo de
sistemas
Definir normas y procedimientos de derechos de autor
A
A
A
A
M
M
B
M
M
B
M
M
A
A
14
5.
6.
7.
8.
9.
10
.
11
.
12
.
13
.
C.
informix
Definir procedimientos para la custodia de cdigo fuente
Definir procedimientos formales para realizar pases a produccin
Definir procedimientos para la implantacin de los sistemas
Definir la participacin de auditora interna en la implantacin de
los sistemas
Definir un plan de contingencias para la continuidad del negocio
Definir procedimientos formales para el monitoreo continuo del
hardware
Definir acuerdos de nivel de servicio entre la USI y las reas
usuarias
Definir una metodologa para la administracin de proyectos
Definir procedimientos
proyectos externos
para
administrar
la
calidad
de
A
A
M
M
A
M
B
A
los
A
A
A
M
A
M
M
M
M
15
y Windows 2000
16
GESTION DE LA UNIDAD
1.
17
18
Gastos no planificados,
Contratacin de personal adicional,
Contratacin de consultoras,
Coordinacin de los trabajos de desarrollo y/o modificacin de sistemas a
fin de posibilitar la participacin oportuna y adecuada de las reas usuarias.
De esta forma las decisiones de priorizacin para la ejecucin de los trabajos
pasa a ser una responsabilidad del comit, dnde se tiene la visin global de
la situacin de la organizacin y se est informado sobre los cambios de
accin o decisiones que se toman en los niveles ejecutivos.
Por todo lo mencionado anteriormente, consideramos de vital importancia
consolidar la funcin del comit de sistemas, el cual deber mantener
reuniones en forma peridica, tomando como base de referencia la
planificacin de tareas de acuerdo a lo mencionado en el punto 1,
Reestructuracin de las fichas tcnicas, de este documento.
4.
19
20
6.
21
7.
Personal que tiene bastante experiencia y al mismo tiempo tienen una buena
formacin acadmica, por naturaleza es personal caro que ocasiona que los
costos de la USI se incrementen en forma significativa.
8.
22
9.
23
24
1.
2.
25
3.
26
5.
27
6.
7.
28
de
ajuste
de
despeo,
Documentacin de usuario.
Documentacin de entrenamiento.
Documentacin para la operacin.
Estndares para la conversin de datos.
Pruebas de aceptacin.
Procedimientos para la recepcin y correccin de errores para las
aplicaciones externas.
Garantas y acuerdos de mantenimiento.
Documentacin formal de finalizacin del proyecto.
La SBEF cuenta con procedimientos para la aceptacin de los sistemas por
parte de los usuarios.
8.
29
9.
30
11. Definir acuerdos de nivel de servicio entre la USI y las reas usuarias
No existen acuerdos formales entre la USI y las reas usuarias que definan el
nivel de servicio necesario para los sistemas existentes.
31
32
33
2.
Cada usuario debera contar con una clave distinta para cada uno de los
sistemas.
Permitir la misma clave para todos los sistemas solamente con autorizacin
expresa
Cambio de clave por parte del usuario el momento de la sospecha de
conocimiento de la clave por parte de alguna otra persona
Las claves no deben ser escritas y dejadas al alcance de otras personas
Prohibicin de la utilizacin de claves comunes
3.
Los sistemas deben guardar al menos las ltimas tres claves para que las
mismas no puedan repetirse.
34
4.
5.
6.
7.
35
36
10.
11.
37
12.
13.
Equipos de comunicacin
Configuracin de la red
Discos duros (Unix)
Base de datos (Informix)
Mejorar la administracin de Backups
38
14.
39
de los recursos, alcanzar los objetivos y brindar un buen servicio. Los cambios
a estas tareas deberan encontrarse formalmente aprobados.
Los procesos de inicio deberan encontrarse establecidas de manera de
permitir identificar y registrar las desviaciones de la programacin estndar
de tareas.
15.
16.
NobodyV
Uucpa
Tcb
Daemon
Auth
Ris
Bin
Cron
Wnn
40
Usuarios
escritura
cuyo
Circ
Ggemio
directorio
home
mflores
permite
acceso
Permiso
Rwxrwx--Rwxrwxr-x
Rwxrwxr-x
Rwxrwxr-x
Rwxrwxr-x
Rwxrwx--Rwxrwx--Rwxrwx--Rwxrwx--Rwxrwx--Rwxrwxr-x
Directorio Home
/home/datos1/circ/
/users/usrdes/circsrc/
/users/usrdes/mflores/
/users/usrdes/jcibieta/
/users/usrdes/ggemio/
/users/usrcom/cquinta/
/users/usrcom/adips/
/users/usrcom/asivila/
/users/usrcom/kguzman/
/users/usrcom/rsalazar/
/users/usrdes/jcandia/
41
Cantidad
2
2
Sec
Tape
Mail
Operator
Terminal
42
Identificador
Nombre
Usuario
Csantacruz
Cecicilia
Santa Secretaria de Normas
Cruz
Holbin Roca
Usuario Regional Santa 137
Cruz
PC Porttil volante solicitado por Conzuelo 66
INB
Prado
Superintendencia de Bancos
115
Hroca
Portinb1
Supban
del Descripcin
Ultimo
ingreso
(das)
123
Nombre
Usuario
Aalmaraz
Amalia
Almaraz CAJA
DE
AHORRO
Delgadillo
PRESTAMO LOS ANDES
Alvaro Bazan
CITIBANK S.A.
559
Adolfo Berkhan
Caja los Andes
66
Alfredo Catari
Caja Los Andes
613
Compania
525
Internacional
Almacenara S.A.
Angel Davila
Cooperativa San Jos de 177
Punata
Almacenes
820
Generales
de
Deposito AGEDESA
Adrin Herrera
Banco Nacin Argentina
471
Alberto Mocobono Cooperativa
Trapetro 556
Oriente
Adrian Morales
Cooperativa San Martn de 79
Porres
Ana Karina Moreno FONDO
FINANCIERO 704
Parejas
PRIVADO FASSIL
Alvaro
Muoz BANCO SOLIDARIO
531
Poveda
Alex
Nuez FONDO
FINANCIERO 624
Justiniano
PRIVADO FASSIL.
Asteria Ortiz
Cooperativa San Jose de 332
Punata
Alejandra
Ribero BANCO GANADERO S.A.
819
Urquieta
Abel Rojas
Banco Union
628
Abazan
Aberkhan
Acatari
Aci
Adavila
Agd
Aherrera
Amocobono
Amorales
Amoreno
Amunoz
Anunez
Aortiz
Aribero
Arojas
del Descripcin
Ultimo
ingreso
(das)
Y 701
43
Identificador
Nombre
Usuario
Asolano
Alejandro
Solano Coop. Pio X
Condor
Alberto
Suarez COOPERATIVA LA MERCED 820
Mendez
Armando Taborga Cooperativa San Luis
643
Adalid de la Torre Banco Mercantil
861
Warrant
Santa
896
Cruz S.A.
Arturo Zabala
CITIBANK
805
Banco
Boliviano
668
Venta
Banco Agricola de
128
Bolivia
Bruno
Alarcon Citibank S.A.
338
Arrieta
ABM Amro Bank Ex- Banco Real.
133
N.V.
Banco
Boliviano
457
Americano
BBA RECOMPRA
BANCO
BOLIVIANO 673
AMERICANO
696
Benjamin Heredia Cooperativa Hospicio Ltda. 322
Bonos NFB
468
Banco Real
598
Betty
Vaca COOPERATIVA LA MERCED 340
Calderon
Carlos Cordova
Banco Industrial (Cheques 163
Rechazados)
Cecilia Alvarado
CAJA
DE
AHORRO
Y 825
PRESTAMO LOS ANDES
Carlos Michel
Cooperativa PIO X
622
Clemencia Artero BANCO GANADERO S.A.
745
Velasco
Carlos
Eric MUTUAL GUAPAY
674
Zambrana
Cristina Bernal
BANCO UNION
693
Carmen
Bustillo BANCO ECONOMICO S.A. 504
Zamorano
(COCHABAMBA)
Carla Cevasco
CITIBANK
679
Carlos Chavez
Banco Ganadero
63
Asuarez
Ataborga
Atorre
Awc
Azabala
Baa
Bab
Balarcon
Bam
Bba
Bbr
Bbv
Bheredia
Bonosnfb
Bre
Bvaca
Cacordova
Calvarado
Camichel
Cartero
Cazambrana
Cbernal
Cbustillo
Ccevasco
Cchavez
del Descripcin
Ultimo
ingreso
(das)
451
44
Identificador
Cheredia
Cjustiniano
Cluisaga
Cmichel
Cpereira
Cpoveda
Crivera
Csaavedra
Csanchez
Csj
Csl
Cvacaflor
Cvb
Dbarahona
Dcasapia
Dflores
Dperedo
Dsaric
Ebocapine
Ecalcina
Econdori
Edcordero
Eescobar
Efabiani
Efargo
Eguzman
Elramos
Emartinez
Eortiz
Epatroni
Eperalta
Nombre
Usuario
del Descripcin
Ultimo
ingreso
(das)
Coral Heredia
Fondo Financiero FIE
464
Claudia Justiniano BANCO MERCANTIL S.A
821
Clover
Luisaga COOPERATIVA
JESUS 159
Galarza
NAZARENO
Carlos Michel
Cooperativa San Antonio
793
Carlos Pereira
Banco Nacin Argentina
764
Cinthia Poveda
Caja de Ahorro y Prstamo 489
Los Andes
Carlos rivera
Citibank
157
Claudia Saavedra CITIBANK S.A
819
Ciro Sanchez
BNA
65
Cooperativa
San
724
Jose Obrero
Cooperativa
San
209
Luis
Csar Vacaflor
Cooperativa Catedral
763
Cooperativa de Vivienda Bermejo (Bermejo - 661
Tarija)
Daniel Barahona
Cooperativa San Roque
63
Dirza Casapia
CITIBANK S.A.
365
Dante Flores
Citibank
288
Danitza Peredo
Coop. San Pedro Ltda.
136
Davor Saric
Mutual La Paz
178
Erika
Paola FONDO FINANCIERO FASSIL 583
Bocapine Ardaya
Emilio Calcina
Cooperativa San Martin
533
Eugenio Condori
Banco Sol
427
Edgar Cordero
Banco Sol
429
Eduardo Escobar Banco Union - Santa Cruz 657
Edwin fabiani
BANCO SOLIDARIO S.A.
437
Edgar Fargo
Banco
Econmico 171
(Cheques Rechazados)
Elvira Guzmn
CVooperativa San Jos de 618
Bermejo
Eliott Ramos
FFP FIE
300
Enrique Martnez CITIBANK S.A.
611
Edwin Ortiz
Banco Union
66
Esteban Patroni
FONDO DE DESARROLLO 134
CAMPESINO
Edwin
Peralta MUTUAL GUAPAY
496
45
Identificador
Eramos
Erivero
Esalas
Esiles
Fal
Falopez
Fandrade
Fcl
Fcolque
Fcory
Fdc
Fesoliz
Fgutierrez
Flandivar
Flaura
Fmamani
Fmunoz
Fochoa
Frios
Fyaveta
Gburnett
Gespino
Ggemio
Ggomez
Gmachaca
Gmontano
Gosinaga
Nombre
Usuario
del Descripcin
Ultimo
ingreso
(das)
Salcedo
Edwin
Damaso FONDO FINANCIERO FASSIL 692
Ramos Miranda
Eduardo Rivero
Mutual Guapay
884
Edwin Salas
329
Edgar Siles
Banco Sol
359
Financiera Acceso
904
La Paz
Fabiola Lopez
BANCO SANTA CRUZ DE LA 828
SIERRA
Fatima
Andrade BANCO GANADERO S.A.
532
Hieller
FONDO
CAJA LOS ANDES
794
FINANCIERO
PRIVADO
LOS
ANDES
Fernando Colque Banco Sol
440
Franz
Cory COOPERATIVA SAN LUIS
608
Camacho
Fondo
de
128
Desarrollo
Campesino
Fernando Soliz
Cooperativa Pio X
709
Freddy Gutierrez
Cooperativa San Mateo
241
Freddy Landivar
ISB
366
Fidel Laura
Banco Sol
374
Freddy Mamami
Banco Sol
391
Federico Munoz
158
Federico
Ochoa BANCO DO BRASIL S.A.
496
Iturri
Freddy Rios
Cooperativa San Luis
211
Fernand Yaveta
BANCO DE LA UNION S.A
177
Guillermo Burnett MUTUAL LA PAZ
470
Mancilla
Gabriel Espino
Banco Sol
415
Gerson
Gemio
827
Miranda.
Gustavo Gomez
Banco Solidario
445
Gabier Machaca
Banco Sol
424
Gimara Montano
Banco CITIBANK
560
Grevy
Adalid COOPERATIVA HOSPICIO
628
46
Identificador
Grjustiniano
Gsanchez
Halcocer
Hhidalgo
Hmoreno
Htoledo
Hvillarroel
Hvonborries
Iberdeja
Ivguzman
Jacordova
Janez
Jarnez
Jasalinas
Jbenancio
Jbhurtado
Jborda
Jdelascasas
Jdelgado
Jherbas
Jhurtado
Jjimenez
Jjustiniano
Jlopez
Jmalvarez
Jmfernandez
Jmiranda
Jmollinedo
Jmorales
Jortiz
Nombre
Usuario
del Descripcin
Ultimo
ingreso
(das)
Osinaga Arispe
GRACIELA
CITIBANK S.A
335
JUSTINIANO
German Sanchez BANCOS SOLIDARIO
530
Hilda Alccer
Mutual Progreso
700
Henry Hidalgo
Banco Solidario
253
Humbert Moreno Banco Econmico
769
Hugo Toledo Roca BANCO GANADERO S.A.
533
Heber Villarroel
Citibank
303
Henry Walter Von MUTUAL GUAPAY
542
Borries Caballero
Ivan Berdeja
Mutual La Paz
413
Ivan Guzman
Cooperativa San Joaqun
421
Jos
Antonio ASOBAN
224
Cordova
Jorge Anez
Cooperativa
Jess 640
Nazareno
Jos Arnez
Cooperativa San Antonio
210
Jos
Antonio Mutual La Plata
454
Salinas
Jos Benancio
Cooperativa Hospicio Ltda. 105
Julia Betty Hurtado Banco Santa Cruz
69
Juan Carlos Borda CITIBANK S.A.
745
Jorge
de
las BANCO GANADERO S.A.
588
Casasa Samoje
Jerry Delgado Uria CITIBANK S.A
371
Julio Herbas
BANCO DE CREDITO
650
Jose Luis Hurtado BANCO DE LA UNION S.A. 891
Rosales
Jos
Fernando Banco Central de Bolivia
97
Jimnez
Arturo Justiniano
COOPERATIVA
JESUS 822
NAZARENO
Jenny Lpez
Mutual Paitit
524
Jos Alvarez
Banco Sol
414
Juan Fernndez
Banco Sol
440
Jos Miranda
Caja los Andes
91
Juan Mollinedo
CITIBANK
206
Jos Morales
CITIBANK S.A.
133
Julio Ortiz
Cooperativa Hospicio
631
47
Identificador
Nombre
Usuario
Jquintela
Jhenny
Quintela CAJA LOS ANDES
Huiza
Julio
Rocha Unidad de Sistemas
521
Carrasco
Josefa Rodo
Fondo Financiero FIE
339
Jorge
Sanchez BANCO ECONOMICO
356
Soliz
Juan Saucedo
Banco Ganadero
630
Jhonny Ugarte
BANCO SOLIDARIO
528
Juan Vega
CITIBANK
626
Jorge Velasco
BISA Leasing
823
Juan
Pedro FINANCIACOOP
177
Villarroel
Julio Zambrana
BANCO DE LA UNION S.A
863
Kenneth
CITIBANK S.A.
610
Armstrong
Katerina
FFP FIE
569
Bernasconi
Limberg Arauz
Mutual Guapay
402
Liliana Chale Perez Secretaria de INB
799
Leslie
Roxana Fondo de la Comunidad
829
Delgado Lavadenz
Leo Escobar
Mutual Potos
554
Liliana
Favot BANCO DE LA NACION 139
Carbonari
ARGENTINA
Lileth
Flores Fondo de la Comunidad
330
Montiel
Luis Goytia
Cooperativa
Catedral 361
Potos
Lidia Gutierrez
BANCO SOLIDARIO
615
Limberth Camacho BANCO DE LA UNION S.A
862
Luis Oliva
Coop. Jess de Nazareno
135
Luis Perez
Cooperativa Financiacoop 532
Liliana Salvatierra Mutual Pando
162
Loren Vidangos
CITIBANK S.A.
811
Marco Arteaga
Banco Sol
441
Maya Barbery
CITIBANCK
430
Marioly Abasto
Fondo de la Comunidad
233
Marco Aldayuz
Banco Ganadero
835
Mirtha Alvarez
INB
350
Jrocha
Jrodo
Jsanchez
Jsaucedo
Jugarte
Juvega
Jvelasco
Jvillarroel
Jzambrana
Karmstrong
Kbernasconi
Larauz
Lchale
Ldelgado
Lescobar
Lfavot
Lflores
Lgoytia
Lgutierrez
Licamacho
Loliva
Lperez
Lsalvatierra
Lvidangos
maarteaga
mabarbery
mabasto
maldayuz
malvarez
del Descripcin
Ultimo
ingreso
(das)
94
48
Identificador
Nombre
Usuario
mandia
Miguel
Andia Operaciones de Sistemas
Maldonado
Marcelo Vargas
CITIBANK S.A.
560
Marisol Viscarra
Cooperativa
421
Marvin Barbery
Cooperativa Ftima
792
Miguel
Barrios FONDO FINANCIERO FASSIL 105
Cabero
Matilde Beltran
CITIBANK S.A
280
Maria Cecilia Caro Mutual La Paz
223
Velzquez
Mario Fortn
Banco Do Brasil
463
Marisol Gamboa
CAJA
DE
AHORRO
Y 361
PRESTAMO LOS ANDES
Mirtha Glasinovic
157
Mauricio Gumiel
Banco Ganadero
469
Mery Jimenez
BANCO GANADERO
546
Marcos Miranda
Cooperativa San Antonio
570
Margot Mostajo
Mutual La Promotora
161
Martha
Beatriz MUTUAL GUAPAY
393
Negrete Vaca
Miguel
Angel
596
Navia de Pruebas
Mauricio Paz
CITIBANK S.A
707
Marcelo Rodriguez Mutual la Primera
692
Magda Sandi
Caja de Ahorro y Prstamo 350
Los Andes
Monica Saucedo
Cooperativa Jisunu
458
Mabel
Zamora COOPERATIVA CATEDRAL
512
Cuenca
Nestor Alcocer
Fondo
de
Desarrollo 399
Campesino
Nadie Crespo
CAJA LOS ANDES
94
Noraly
Cruz FONDO
FINANCIERO 786
Sanguino
PRIVADO FASSIL
Nelda
Analia FONDO FINANCIERO FASSIL 584
Garcia
Nancy Inturias
Mutual Guapay
430
Nelson Revilla
FONDO DE DESARROLLO 891
CAMPESINO
Oswaldo Huanca
Banco Sol
434
Oscar Mur
Cooperativa
Trapetrol 626
mavargas
maviscarra
mbarbery
mbarrios
mbeltran
mcaro
mfortun
mgamboa
mglasino
mgumiel
mjimenez
mmiranda
mmostajo
mnegrete
mnr
mpaz
mrodriguez
msandi
msaucedo
mzamora
Nalcocer
Ncrespo
Ncruz
Ngarcia
Ninturias
Nrevilla
Ohuanca
Omur
del Descripcin
Ultimo
ingreso
(das)
91
49
Identificador
Parnez
Pbaldellon
Pbravo
Pcarrasco
Pdavalos
Perodriguez
Pgutierrez
Phoyos
Phurtado
Pjerez
Rarias
Rcamacho
Rcamargo
Rcoriza
Rdeiraola
Rhavivi
Rherrera
Rhoyos
Rhuanca
Rjemio
Rlafuente
Rledezma
Rlozano
Rmartorell
Rmuriel
Rotazo
Rpiedras
Rribera
Rsantos
Rsheider
Nombre
Usuario
del Descripcin
Ultimo
ingreso
(das)
Oriente
Patricia Arnez
Cooperativa Hospicio
624
Patricia Baldellon Cooperativa Inca Huasi
604
Patricia Bravo
Banco Ganadero
538
Patricia
Carrasco MUTUAL GUAPAY
499
Banegas
Patricia
Paz FONDO
FINANCIERO 570
Davalos
PRIVADO FASSIL
Pedro Rodrguez
Mutual Pando
570
Paola Gutirrez
Banco
Econmico 142
(Cheques Rechazados)
Patricia Hoyos
CITIBANK S.A
181
Patricia Hurtado
Fondo
de
Desarrollo 484
Campesino
Petroz Jerez
Banco do Brasil
396
Ramiro Arias
Cooperativa Hospicio Ltda. 78
Ral Camacho
Mutual La Promotora
423
Ruth Camargo
Mutual La Plata
423
Roberto
Coriza COOPERATIVA
652
Llanos
FINANCIACOOP
Roberto de Irahola Banco Econmico
623
Ronald Havivi
BANCO SOLIDARIO
366
Ricardo
Herrera CITIBANK S.A
287
Lobo
Renn Hoyos
FINANCIA COOP.
191
Ren Huanca
FPP Los Andes
114
Roger
Jemio MUTUAL LA PAZ
619
Vargas
Rolando Lafuente Cooperativa Quillacollo
878
Romer Ledezma
CITIBANK
336
Roco
Lozano MUTUAL LA PAZ
659
Morales
Ronald Martorell
Banco Ganadero
906
Ric Muriel
CITIBANK S.A
387
Ruth Otazo
Banco Ganadero
521
Rubens Piedras
883
Roni Ribera
Fondo Fassil
653
Raul
Alberto Coop. San Antonio Cbba.
477
Santos Hurtado
Rafael Sheider
Banco Unin
186
50
Identificador
Nombre
Usuario
Rsoria
Rticona
Rtorrez
Rurquiza
Salcoba
Rodolfo Soria
Roxana Ticona
Rene Torrez
Rafael Urquiza
Salom Alcoba
del Descripcin
INB
FFP - FIE
Banco de la Unin
Banco Ganadero
Cooperativa Ftima
Ultimo
ingreso
(das)
349
399
311
527
820
51
Sbalboa
Scahuaza
Scoehlo
Senape
Sguillen
Sgutierrez
Sguzman
Smendez
Smontes
Srios
Stanacio
Svillarroel
Szamora
Tsubieta
Vayala
Vgonzales
Vmedinacelli
Vsalazar
Vvega
Wecornejo
Wgarcia
Xbarragan
Xinchausti
Xjauregui
Silverio Balboa
Renombramiento de cuentas
Debido a que las cuentas Administrator y Guest son cuentas estndar del
sistema operativo Windows NT/2000, las mismas son frecuentemente blanco
de ataques por usuarios maliciosos que intentan ganar acceso al sistema.
52
53
C:\winnt\system32\drivers
Se recomienda los siguientes permisos:
Administradores Full Control
Operadores del servidor (si existen) Change
Usuarios Read
Propietarios - Full Control
Sistema - Full Control
54
Las mejores prcticas de la industria nos muestran que slo los siguientes
tipos de usuarios deberan contar con este privilegio:
Backup Operators
Servidor SERVERUSR3 Principal Domain Controller y Proxy Server
Los usuarios BUILTIN\Backup Operators, BUILTIN\Server Operators y
BUILTIN\Administrators tienen este privilegio.
Servidor DNS_LPZ Servidor de Recepcin
Los usuarios BUILTIN\Backup Operators, BUILTIN\Server Operators y
BUILTIN\Administrators tienen este privilegio.
Servidor SERVERUSR4 Servidor SIF
Los usuarios BUILTIN\Backup Operators y BUILTIN\Administrators tienen
este privilegio.
55
Operators,
56
Los
usuarios
BUILTIN\Administrators,
BUILTIN\Backup
Operators,
BUILTIN\Server Operators, BUILTIN\Print Operators, BUILTIN\Account
Operators tienen este privilegio.
Servidor SERVERUSR4 Servidor SIF
Los usuarios BUILTIN\Administrators, BUILTIN\Backup Operators tienen
este privilegio.
57
V. RESULTADOS OBTENIDOS
Gestin informtica
1. Evaluacin de la gestin informtica de la Unidad de Sistemas (USI).
Procedimiento aplicado
2. Verificaremos la existencia de normas y procedimientos para la
administracin de las funciones estratgicas del rea de sistemas que
permitan controlar la consistencia, orientacin tecnolgica y el efectivo
enfoque tecnolgico del Plan Estratgico de Sistemas. Adicionalmente
verificaremos que el plan estratgico de sistemas est alineado a los
objetivos definidos en el plan estratgico de la SBEF.
Resultados obtenidos
Como resultado del anlisis del documento Plan estratgico de la SBEF para
el perodo 2001 2007, obtuvimos los siguientes resultados:
El documento incluye los siguientes aspectos:
1.
2.
3.
4.
Misin de la USI
Funciones
Anlisis FODA
Estrategias generales de gestin, donde se definen los objetivos.
Asimismo, observamos que el procedimiento utilizado para la planificacin
estratgica y operativa de las distintas reas consider las siguientes etapas:
1.
2.
3.
4.
5.
6.
58
5.
6.
7.
8.
Priorizacin de proyectos
Definir las estrategias de desarrollo
Cuantificar los esfuerzos de desarrollo y mantenimiento.
Definicin de las estrategias de HW y SW.
Asimismo, como resultado del anlisis del documento Planificacin
estratgica de la USI gestin 2001 2007, observamos lo siguiente:
Qu es el IT Governance
Qu cubre
Alineamiento estratgico de IT (Tecnologa de la Informacin)
Desarrollo de valor IT (Tecnologa de la Informacin)
Administracin del riesgo
Medidas de performance
59
Resultados obtenidos
Como resultado de los procedimientos aplicados observamos que el
seguimiento que se realiza sobre los proyectos no siempre sigue los mismos
procedimientos o estndares, lo cual puede ocasionar que los resultados
obtenidos tengan distintos niveles de seguimiento.
Por otro lado, observamos que no se aplican procedimientos formales y
estandarizados para el seguimiento al Plan operativo anual. Sin embargo, es
importante mencionar que debido a la falta de una adecuada especificacin
de los requerimientos a la Unidad de Sistemas de Informacin, por parte de
las reas usuarias, no es posible mantener un adecuado procedimiento de
seguimiento al Plan Operativos de la USI, esto principalmente porque los
requerimientos especficos son recibidos por la USI en forma posterior a la
definicin del POA.
Asimismo, observamos los siguientes aspectos:
60
Procedimiento aplicado
5. Evaluaremos los procedimientos establecidos para realizar estudios de
factibilidad y verificaremos el cumplimiento de los procedimientos de
adquisicin de bienes y servicios definidos SBEF.
Resultados obtenidos
Como resultado de los procedimientos aplicados no hemos identificado
evidencia de la aplicacin de procedimientos formalmente documentados
para realizar estudios de factibilidad de hardware ni de software.
En relacin a la adquisicin de bienes y servicios, observamos que se aplican
los procedimientos definidos por la Contralora General de la Nacin y por los
organismos financiadores, cuando los bienes o servicios son adquiridos
utilizando fondos de estos.
Asimismo y como resultado de las pruebas realizadas, observamos que se
aplicaron los procedimientos establecidos para la compra de:
Bien adquirido
61 computadoras porttiles
46 computadoras personales
7 impresoras
1 impresora a color
7 workstations
7 Monitores Flat
2 Proyectores
Tipo de recurso
Recursos propios
Recursos
Banco
Mundial
Recursos
Banco
Mundial
Recursos
Banco
Mundial
Recursos
Banco
Mundial
Recursos
Banco
Mundial
Recursos
Banco
Mundial
61
I.
II.
III.
IV.
62
Privilegios de acceso:
Los privilegios de acceso se encuentran definidos por la administracin de
passwords y el alta, baja y modificacin de usuarios. Estos aspectos se
encuentran detallados en el punto 41.
Los principales aspectos son los siguientes:
Recuperacin y respaldo:
La recuperacin y respaldo de la informacin se encuentra detallada en el
punto 61. Los principales aspectos son los siguientes:
63
Analista programador
Encargado de soporte tcnico
Encargado tcnico en comunicaciones
Operador de sistemas
Asimismo, observamos que el personal de sistemas est agrupado en las
siguientes categoras:
CATEGORIA
Jefe de Divisin B
SIB
S II A
CANTIDAD
DE
PERSONAL
1
1
3
%
42%
64
S
S
S
S
VA
VII C
VIII C
IX B
TIB
TIC
T IV A
TOTAL
1
1
1
1
1
1
1
12
33%
25%
100%
65
del
trabajo
realizado
Aspecto analizado
Porcentaje de personal en el
rea de sistema en relacin
al total de empleados de la
organizacin 1
Porcentaje de distribucin
de personal por tareas
Soporte/Mantenimiento
Produccin/Operaciones
Desarrollo
Administracin de los
sistemas
Otras tareas
hemos
obtenido
la
Mtrica
internacional
5.5 %
Situacin
actual
7.6 %
35.9 %
27.9 %
21.0 %
14.0 %
1.2 %
35.0 %
24.8 %
33.7 %
4.1 %
2.4 %
siguiente
- 2001 IT Spending and Staffing Survey Results, Gartner Group, Strategic Analysis Report, September 19,
2001.
- The Ratio of IT Employees to Total Enterprise Employees, Gartner Advisory, Tactical Guidelines, January,
4, 1999.
- http://www.cio.com/forums/executive (CIO executives research centre)
Sin embargo, es importante mencionar que este tipo de mtrica por si sola,
no proporciona una visin completa, por lo que es necesario considerar
adicionalmente, aspectos tales como:
de
al
Mtrica
internacio
nal
6.08 %
Situacin
actual
7.2 %
66
33.9 %
22.3 %
17.8 %
12.4 %
4.0 %
5.2 %
4.5 %
34.4 %
*
*
*
*
*
*
67
Educaci
n
Formal
Jefe de Unidad
100
Analista Programador
76
Encargado de Soporte Tcnico 0
Encargado de Soporte Tcnico 0
de Comunicaciones
Operador
67
PROMEDIO
48,6
Formacin
Complementa
ria
100
81
100
100
Experien Ingls
cia
tcnic
o
100
100
67
100
100
100
100
100
78
91,8
33
80
67
93,4
Procedimiento aplicado
12. En base a los resultados de los puntos 2, 8, 9, 10 y 11 evaluaremos al
personal de la USI a fin de identificar al personal clave.
Resultados obtenidos
Como resultado del trabajo realizado observamos que las funciones y
responsabilidades del personal de la Unidad de Sistemas est basada en
responsables por sistema, lo cual muestra que los Analistas/Programadores
estn especializados en las aplicaciones que estn a su cargo y en caso de
vacacin y ausencia, no se cuenta con personal de remplazo que tenga el
nivel de conocimiento necesario para brindar el soporte a las mismas.
68
APLICACION
XR JCI C M CL GG M CQ CA BC EZ RA
M F
N
de
1
Central de Informacin
Riesgo crediticio
Sistema
de
Informacin
Financiera
Sistema de Acuotaciones
Clausura y Rehabilitacin de
Cuentas Corrientes
Operaciones Interbancarias
Bolsn Unix
Bolsn SQL
Evolutivo
Central de Informacin de
Riesgo crediticio Microcrdito
Sistema
de
Apoyo
a
Supervisin
CAEDEC
Sistema Recursos Humanos
Sistema de Accionistas
Camel
Perlas
Sistemas Administrativos
Sistema
de
Control
Documentario
Sistema de Multas y Sanciones
Mesa de Entrada/Multas
Sistema de asignacin de
passwords
Entidades
Financieras
Informe confidencial
Boletn CIRC
Sistema de asignacin de
passwords SBEF
SIPOA
TOTAL
0
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
3
69
Procedimiento aplicado
13.
Razonamiento espacial
Razonamiento numrico
Resolucin
simples
de
problemas
de
Concentracin
problemas
Resultado obtenido
Nivel de inteligencia general
superior
a
los
parmetros
normales
Desempeo bajo presin dentro de
los parmetros normales
Adecuados
niveles
de
razonamiento verbal, los cuales
muestran
ser
ligeramente
superiores a los normales
Razonamiento espacial entro de
los parmetros normales.
Adecuados
niveles
de
razonamiento numrico, los cueles
muestran
estar
ligeramente
superiores
a
los
parmetros
normales.
Capacidad
de
resolucin
de
problemas simples dentro de los
parmetros normales.
Capacidad de atencin a detalles
dentro
de
los
parmetros
normales.
Capacidad
de
resolucin
de
problemas complejos dentro de los
niveles normales.
Niveles de concentracin dentro
de los niveles normales.
70
80
75
60
63
59
53
60
46
40
51
57
54
20
0
Capacidad
Trabajo bajo
Razonamiento
Razonamiento
Razonamiento
Resolucin de
Atencin a
Resolucin de
Intelectual
P resin
Verbal
Espacial
Numrico
P roblemas
Detalles
P roblemas
Simples
Concentracin
Complejos
Workstations
Costo
Precio
(US$)
Unitario
277,306,0
4,546,00
0
116,582,2 2,158,93
0
Comentarios
Sin excepciones.
El acta de recepcin
definitivo y el informe
al UEP, estn en
proceso.
70,854,4 10,122,07 El acta de recepcin
8
definitivo y el informe
71
al UEP,
proceso.
estn
en
72
Resultados obtenidos
Como resultado de los procedimientos aplicados observamos que los
contratos de trabajo no incluyen ningn tipo de clusula especfica orientada
a proteger los derechos de propiedad intelectual de la SBEF.
Procedimiento aplicado
18. Verificaremos la existencia de polticas referentes a la administracin del
personal, para lo cual revisaremos la existencia de:
Curso Planificado
Realizado
Programacin en tres capas
0
Generalidades sobre supervisin de entidades Financieras 1 0
Programacin avanzada en Lotus Notes
1
73
0
1
1
1
Procedimiento aplicado
22. Verificaremos los procedimientos que son aplicados para la evaluacin de
riesgos.
Resultados obtenidos
74
Informacin y datos
Hardware
Software
Servicios
Documentos
Recursos Humanos
Por lo tanto, es importante mencionar que si bien no se cuenta con normas ni
procedimientos formalmente establecidos para el anlisis de riesgos, la USI
aplica procedimientos que estn orientados a minimizar riesgos asociados a
algunos de los aspectos anteriormente mencionados, como ser:
Acciones que son aplicadas
Obtencin de copias de respaldo
Se cuenta con mantenimiento preventivo
y convenios de plizas de seguro
Existen normas para la aplicacin y uso
de antivirus, uso de software no
autorizado y otros
Existen normas claras para reclutamiento
de personal, evaluaciones peridicas y
planes de capacitacin.
Area
de
riesgo
asociada
Informacin y datos
Hardware
Software
Recursos Humanos
Procedimiento aplicado
23. Verificaremos la existencia
administracin de:
de
normas
procedimientos
para
la
75
de
la
calidad,
se
aplicaron
los
siguientes
Procedimiento aplicado
25. Verificaremos la existencia normas y procedimientos para la administracin
de la calidad en los proyectos que encara el rea de sistemas.
Resultados obtenidos
Como resultado del trabajo realizado observamos que la Unidad de Sistemas
de Informacin no aplica procedimientos para la administracin de la calidad.
Consecuentemente no fue posible aplicar el procedimiento definido.
Procedimiento aplicado
26. Tomando como base el alcance del Plan General de Calidad, evaluaremos la
adherencia a estndares de calidad.
Resultados obtenidos
Como fue mencionado anteriormente, no se aplican procedimientos
especficos para medir la calidad de los servicios ni de los sistemas en
produccin. Sin embargo, de acuerdo a la encuesta realizada respecto a la
calidad del servicio que ofrece la USI, obtuvimos los siguientes resultados:
76
Supervisin
Bancaria
Supervisin
No Bancaria
Asuntos
Jurdicos
Estudios
y
Normas
Bueno
Bueno
Entre Bueno y 2
Muy Bueno
Regular
6
Excelente
Muy bueno
Bueno
Regular
Cant.
Deficiente
Percepcin
promedio
Malo
Intendencia
1
3
Debilidades
Desorganizacin
Servicio inoportuno al usuario
Procedimiento aplicado
27. Verificaremos que existan procedimientos apropiados para el desarrollo de
aplicaciones, tanto para el proceso mismo de desarrollo como para la
documentacin de las aplicaciones.
Resultados obtenidos
Como resultado de los procedimientos aplicados, observamos que se cuenta
con normas establecidas para el desarrollo de aplicaciones y para la
documentacin de las mismas.
Las normas consideran lo siguiente:
77
Procedimiento aplicado
28. Verificaremos la aplicacin de procedimientos para generar reportes en base
a las mtricas definidas en el plan de calidad.
Resultados obtenidos
Como fue mencionado anteriormente, la USI no aplica procedimientos para la
medicin de los niveles de calidad, consecuentemente, no fue posible aplicar
este procedimiento. Sin embargo, de acuerdo a procedimientos adicionales
aplicados obtuvimos los siguientes resultados:
El presente grfico muestra el nivel de utilidad de las aplicaciones para el
negocio (eje y) y la calidad tcnica de los sistemas (eje x).
9 219
10
11
18
5
4
13
17
23
14
15
12
16
1.
CIRC
2.
SIF
3.
Acuotaciones
4.
5.
Operaciones Interbancarias
6.
Bols n Unix
7.
Bols n SQL
8.
Evolutivo
9.
CIRC M icrocrdito
10.
Apoyo a Supervisin
11.
CAEDEC
12.
Sistema RRHH
13.
Sistema de Accionistas
14.
Camel
15.
Perlas
16.
Sistemas Administrativos
17.
Control Documentario
18.
M ultas y Sanciones
19.
23
Informe confidencial
78
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
23
Sistema
Central de Informacin de Riesgo crediticio
Sistema de Informacin Financiera
Sistema de Acuotaciones
Sistema de Clausura y Rehabilitacin de Cuentas Corrientes
Operaciones Interbancarias
Bolsn Unix
Bolsn SQL
Evolutivo
Central de Informacin de Riesgo crediticio Microcrdito
Sistema de Apoyo a Supervisin
CAEDEC
Sistema Recursos Humanos
Sistema de Accionistas
Camel
Perlas
Sistemas Administrativos
Sistema de Control Documentario
Sistema de Multas y Sanciones
Mesa de Entrada/Multas
Informe confidencial
La iniciacin de proyectos
Evaluaremos que existan procedimientos para realizar estudios de factibilidad
y evaluar alternativas de solucin.
79
CIRC
SIF
Acuotaciones
CIRC Microcrdito
Sistema de Control de Almacenes
La documentacin de inicio de proyecto que se ha elaborado para los
proyectos de Informtica mencionados contempla:
CIRC
SIF
Sistema de Control de almacenes
80
CIRC
SIF
Acuotaciones
CIRC Microcrdito
Sistema de Control de Almacenes
Es importante mencionar que dicha informacin, para mantenerse
actualizada, depende en gran medida de la existencia y cumplimiento de las
normas definidas para los cambios a los programas. Estos aspectos estn
detallados en el punto 34.
La documentacin de anlisis y diseo de sistemas que elabora la USI para
los proyectos de Informtica contempla:
CIRC
SIF
Acuotaciones
81
CIRC Microcrdito
Sistema de Control de Almacenes
La documentacin relacionada a la construccin de sistemas que se elabora
para los proyectos de Informticos contempla:
CIRC
SIF
Acuotaciones
CIRC Microcrdito
Sistema de Control de Almacenes
La documentacin relacionada a la construccin de sistemas que se elabora
para los proyectos de Informticos contempla:
82
Procedimiento aplicado
31.
83
CIRC
Evaluacin
de
hardware
y
software nuevos
Mantenimiento
preventivo
de
hardware
La seguridad del
software
del
sistema
Mantenimiento del
software
del
sistema
No
existe
SIF
Acuotacio
nes
CIRC
Microcrd
ito
Sistema
de
Almacene
s
No existe
No
existe
No
existe
No
existe
Existe
Existe
Existe
Existe
Existe
No
existe
No existe
No
existe
No
existe
No
existe
Existe
Existe
Existe
Existe
Existe
Procedimiento aplicado
33.
84
La capacitacin
El ajuste de desempeo
La conversin
Las pruebas de los cambios
Criterios y desempeo de las pruebas paralelas/piloto
Las pruebas de aceptacin final
La acreditacin y pruebas de seguridad
Las pruebas operativas
La evaluacin del cumplimiento de los requerimientos del usuario
La revisin administrativa post implementacin
Resultados obtenidos
Los proyectos de sistemas cuentan con documentacin de manual de
usuario, la cual detalla las caractersticas funcionales de los sistemas, se
cuenta con un manual de operacin que describe procedimientos adicionales
que son realizados por el personal de sistemas.
Como se puede apreciar en el cuadro adjunto, no existe documentacin para
la capacitacin del personal operativo, este tipo de documentacin debera
incluir manuales de instructor y manual de instruccin para el participante.
Sin embargo, durante los cursos de induccin que la SBEF dicta a sus
empleados se muestra de manera general el funcionamiento de algunos de
los sistemas.
No existe documentacin de ajustes de desempeo realizados a los sistemas
operativos, bases de datos u otros relacionados con los sistemas evaluados
(ver cuadro adjunto).
De la documentacin evaluada, ninguno de los sistemas tuvo un proceso de
conversin de datos, motivo por el cual este punto no fue aplicable.
La documentacin de pruebas a los cambios que existe para los sistemas
evaluados no es formal. Adicionalmente, los sistemas SIF y de Acuotaciones
no tuvieron cambios importantes, por lo que el punto no es aplicable.
No existe documentacin de pruebas piloto o paralelas realizadas para todos
los sistemas evaluados. Sin embargo, generalmente se realizan pruebas
paralelas antes de realizar el pase a produccin de cualquier sistema (ver
cuadro adjunto).
Se cuenta con formularios de aceptacin para los sistemas evaluados. Sin
embargo, los mismos son firmados por los usuarios finales y no por las
personas que realizaron el requerimiento del sistema.
85
CIRC
SIF
Acuotaci
ones
CIRC
Microcrd
ito
Sistema
de
Almacene
s
Manual
de
procedimientos
del
usuario
Manual de operaciones
Documentacin
de
capacitacin
Documentacin
de
ajustes de desempeo
Documentacin
de
conversin de datos
Existe
Existe
Existe
Existe
Existe
Existe
No
existe
No
existe
No
aplicab
le
No
existe
Existe
No
existe
No
existe
No
aplicabl
e
Existe
Existe
Existe
Existe
No
existe
No
existe
No
aplicab
le
No
aplicab
le
No
existe
Existe
Existe
No
existe
No
existe
No
aplicabl
e
No
existe
Existe
Existe
No
Existe
No
existe
No
aplicab
le
No
aplicab
le
Existe
No
existe
Existe
No
existe
Existe
No
existe
No
existe
No
existe
No
existe
No
existe
No
existe
Existe
No
existe
Existe
No
existe
Existe
No
existe
Existe
No
existe
Existe
No
No
No
No
No
Documentacin
de
pruebas a los cambios
Documentacin de las
pruebas paralelas/piloto
Aceptacin final de las
pruebas
Acreditacin y pruebas
de seguridad en los
sistemas
Documentacin
de
pruebas operativas
Evaluacin
de
cumplimiento
de
los
requerimientos
del
usuario
Revisin de controles
86
Documentacin/Sistema
CIRC
SIF
Acuotaci
ones
CIRC
Microcrd
ito
Sistema
de
Almacene
s
post implantacin
existe
existe
existe
existe
existe
Procedimiento aplicado
34.
87
Aprobacin y rechazo
Para la tarea de implantacin de los cambios para los sistemas CIRC, SIF y
Acuotaciones, no existe la documentacin correspondiente, debido a que los
cambios efectuados en estos sistemas no modificaron o adicionaron
funcionalidades nuevas por lo que no existi un proceso normal de
implantacin.
Todos los cambios realizados se entregan a travs de una carta formal de la
USI hacia el rea usuaria correspondiente.
No existen procedimientos para realizar cambios de emergencia a los
sistemas.
Las cartas formales de entrega, son a su vez informes a la gerencia por lo
que todos los sistemas cuentan con este tipo de documentacin.
Adicionalmente, en sistemas ms complejos como el CIRC y el SIF existen
informes a la gerencia que se elaboraron durante el transcurso de proyecto.
Documentacin/Sistema
CIRC
SIF
Acuotacio
nes
CIRC
Microcrd
ito
Sistema
de
Almacene
s
Existe
No
existe
Existe
No
existe
Existe
No
aplicabl
e
No
aplicabl
e
No
existe
Existe
Existe
No
aplicabl
e
No
aplicabl
e
No
existe
No
existe
Existe
No
aplicabl
e
No
aplicabl
e
No
existe
No
existe
Existe
Existe
Existe
No
aplicabl
e
Existe
No
aplicabl
e
Existe
Existe
Existe
Existe
No
aplicabl
e
Existe
Existe
No
aplicabl
e
Existe
La priorizacin de los No
cambios
Aplicabl
e
Pruebas a los cambios
No
existe
Documentacin de los Existe
cambios
Aprobacin y rechazo Existe
de los cambios
Implantacin del cambio No
aplicabl
e
Entrega de los cambios
Existe
Cambios de emergencia No
aplicabl
e
Informes a la gerencia
Existe
No
aplicabl
e
No
existe
No
aplicabl
e
Existe
No
aplicabl
e
Existe
No
aplicabl
e
Existe
88
37.
Verificaremos los procedimientos de control aplicados en las interfaces con
terceros.
Verificaremos los procedimientos aplicados para la administracin de
requerimientos de terceros.
Verificaremos los procedimientos de control que aplica la USI para mantener
la continuidad de los servicios a terceros.
Verificaremos los procedimientos aplicados para monitorear y controlar los
servicios a terceros.
Resultados obtenidos
Existen dos sistemas que tienen interfaces con terceros, las instituciones
financieras envan diaria y mensualmente datos para los sistemas SIF y CIRC
89
90
Procedimiento aplicado
38. Verificaremos, a travs de una muestra, los procedimientos aplicados para la
administracin del desempeo y la capacidad del hardware, verificando la
existencia de:
91
Por otro lado, dicha ampliacin permitira una mejor utilizacin en el caso de
que se incorporen herramientas orientadas al usuario final (generador de
reportes, datawarehousing, etc.). Asimismo, una vez implementadas dichas
herramientas ser necesario efectuar un anlisis de performance de los
servidores para evaluar su posible ampliacin.
Procedimiento aplicado
39. Evaluaremos las normas y procedimientos para la administracin de
contingencias, considerando:
El marco referencial, mencionando el propsito del plan. Principios y criterios
en base a los cuales a de utilizase el mismo.
El contenido y alcance, que describa los pasos a seguir inmediatamente
despus de ocurrido el desastre.
Los procedimientos detallados para la recuperacin de las operaciones
crticas de la organizacin.
La descripcin de responsabilidades, composicin de equipos de trabajo y
tareas de recuperacin.
La descripcin de responsabilidades e identificacin del personal clave para
cada uno de los departamentos crticos.
La informacin acerca de las medidas de prevencin de desastres
implantadas y su utilizacin.
La informacin sobre convenios para la recuperacin de desastres.
Los anexos conteniendo: Inventarios, listas de contactos, mapas, diagramas y
dems informacin detallada.
Los procedimientos aplicados para el mantenimiento, pruebas y distribucin
del plan de contingencias.
Los procedimientos aplicados para la capacitacin del personal respecto al
plan de contingencias.
Verificaremos la existencia de acuerdos y plizas de seguros que tengan por
objetivo la proteccin de los bienes tecnolgicos.
Verificaremos la aplicacin de procedimientos para la proteccin de bienes
tecnolgicos en el rea de sistemas.
Verificaremos la aplicacin de procedimientos para el ingreso y salida del
hardware.
Resultados obtenidos
Se cuenta un marco referencial general para las contingencias de sistemas y
se han definido escenarios de contingencia para los sistemas.
No existe un procedimiento formal para activar el plan de contingencias, por
lo que no se han descrito los pasos a seguir inmediatamente despus de
ocurrida una contingencia.
92
93
los
mecanismos
utilizados
para
la
administracin
de
Resultados obtenidos
No se cuenta con polticas ni normas formalmente establecidas para realizar
la administracin de contraseas, excepto por la existencia de normas para la
actualizacin de contraseas que considera el cambio por parte de la USI de
todas las contraseas de la SBEF cada 120 das (las cuales no son aplicadas).
El trabajo es realizado por el administrador siguiendo lo detallado a
continuacin:
94
Procedimiento aplicado
42. Evaluaremos, para los usuarios del rea de sistemas, si los mismos tienen
acceso a datos en lnea
Resultados obtenidos
Los desarrolladores que realizan modificaciones especialmente a los sistemas
CIRC y SIF cuentan con acceso a los datos de produccin de dichos sistemas.
95
Usuarios
Fecha
4 usuarios
1 usuario
10 usuarios
2001
2001
2000
1988
Formular
io
SB91
No existe
No existe
Tipo
de
Acceso
Detallado
No existe
No existe
Firmas
Autorizadas
Existen
No existen
No existen
96
Procedimiento aplicado
44. Revisaremos las normas y procedimientos para la clasificacin de datos.
Resultados obtenidos
Como resultado de los procedimientos aplicados, observamos que no se
cuenta con normas ni procedimientos para la clasificacin de datos.
Normas internacionales de seguridad mencionan que los datos deberan ser
separados en cuatro clases con requerimientos separados de manipulacin:
Secretos, Confidenciales, Privados y No Clasificados. Esta clasificacin
estndar de datos debera ser usada dentro de la Superintendencia. La
clasificacin es definida de la siguiente manera:
Secretos: Esta clase es aplicada a la informacin ms sensitiva del negocio
cuyo uso es permitido estrictamente slo a personal de la Superintendencia.
El uso no autorizado de esta informacin puede causar un impacto muy
fuerte para la Superintendencia, las Entidades Financieras y los clientes.
Confidenciales: Esta clase es aplicada a la informacin menos sensitiva del
negocio, cuyo uso es permitido slo a personal de la Superintendencia. El uso
no autorizado de esta informacin puede causar un impacto para la
Superintendencia, las Entidades Financieras y los clientes.
Privados: Esta clase es aplicada a informacin personal cuyo uso es
permitido dentro de la Superintendencia. El uso no autorizado de esta
informacin puede causar un impacto fuerte a la Superintendencia o a sus
empleados.
No Clasificados: Esta clase es aplicada a toda la dems informacin que no
se encuentre claramente definida dentro de las tres anteriores clases. El uso
no autorizado de esta informacin no supone un impacto para la
Superintendencia, las Entidades Financieras o los clientes.
Procedimiento aplicado
97
Procedimiento aplicado
45. Revisaremos las normas y procedimientos para la emisin de reportes de
violacin y actividades de seguridad.
Resultados obtenidos
La pgina web de la SBEF no se encuentra publicada en un servidor que se
encuentra en el Centro de Cmputo. Se utiliza para ello un servidor de Entel.
En vista que no se tiene conexin entre la pgina web y la red interna de la
SBEF no es posible que se tengan intentos de violacin a la informacin de la
SBEF por ese medio.
Por tanto, no se tienen reportes de violacin en el rea de produccin.
Los intentos de violacin a la informacin de la Superintendencia desde la red
de la SBEF no cuentan con un registro, reporte ni revisin, para la resolucin
de actividades no autorizadas.
Procedimiento aplicado
de
los
problemas
presentados.
98
99
los
mecanismos
utilizados
para
la
administracin
de
Resultados obtenidos
Los procedimientos para la administracin de contraseas se encuentra
detallada en el punto 41.
Como se haba mencionado, los principales aspectos son:
100
Virus
PE_Magistr.A
PE_MAGISTR.DAM
Accin
Clean
Delete
101
Fecha
12/10/2001
12/11/2001
07/12/2001
10/12/2001
Virus
PE_MAGISTR.B
PE_MAGISTR.B
TROJ_SIRCAM.A
JOKE_FLIPPED
PE_MAGISTR.B
JOKE_WOBBLING
PE_MAGISTR.B
WORM_BADTRANS.B
PE_Magistr.A
JOKE_WINAVOID.A
WORM_BADTRANS.B
Accin
Delete
Delete
Delete
Delete
Delete
Delete
Delete
Delete
Clean
Delete
Delete
102
103
104
105
106
Resultados obtenidos
Resultados obtenidos
Como resultado de los procedimientos aplicados, observamos que la USI ha
definido un plan de capacitacin en funcin a los lineamientos estratgicos
que fueron definidos en el documento Plan estratgico de la USI, el cual
est alineado con los objetivos estratgicos de la SBEF definidos en el Plan
Estratgico de la Superintendencia PES.
En relacin a la administracin de la capacitacin como ya fue mencionado
anteriormente en los puntos 19, 20 y 21, el plan de capacitacin de la gestin
2001 no ha sido cumplido.
Respecto a la capacitacin a usuarios en temas relacionados con la
seguridad, hemos observado que la USI, no ha definido acciones especficas
al respecto. Sin embargo, como parte del trabajo de consultora en seguridad
que fue contratado por la SBEF, se realizaron sesiones de capacitacin a los
usuarios de la superintendencia.
Procedimiento aplicado
107
Equipos de comunicacin
Configuracin de la red
Discos duros (Unix)
Base de datos (Informix)
Procedimiento aplicado
55. Revisaremos las normas y procedimientos para la emisin de reportes de
violacin y actividades de seguridad.
108
Resultados obtenidos
Por el tipo de informacin que maneja la Superintendencia, no se cuenta con
documentos fuente, estos son manejados en las entidades financieras,
debido a que el manejo de documentos fuente se presenta cuando existe
ingreso de datos.
La Superintendencia no maneja documentos fuente, por tanto, no existe
autorizacin de estos documentos. Los documentos fuente, generalmente
son formas impresas para proporcionar uniformidad, exactitud y legibilidad.
La recoleccin de datos es realizada mediante los sistemas CIRC y SIF de la
Superintendencia. Sin embargo, no se reciben documentos fuente en ningn
caso.
Los sistemas CIRC y SIF recolectan en forma diaria datos de las entidades
financieras, para lo cual se cuenta con una estructura de comunicacin
dedicada a tal objetivo. Para entender como funciona tal estructura de
comunicaciones es necesario definir lo siguiente:
SuperBank: Es la red interna de la SBEF dedicada al intercambio de
informacin entre sus funcionarios y que permite el intercambio de correo
electrnico con redes externas y la salida de los funcionarios a Internet.
SuperNet: Es la red externa de la SBEF dedicada al intercambio de
informacin entre las entidades financieras y la institucin, dentro de esta red
se encuentran:
109
110
111
112
113
Procedimiento aplicado
60. Evaluaremos los procedimientos existentes para la destruccin de medios
que contengan informacin sensible.
Resultados obtenidos
La nica informacin sensible que se maneja en medios magnticos es la
obtenida en las copias de respaldo. No se desechan las copias de respaldo,
las cintas que presentan problemas se encuentran en un gavetero en el rea
de sistemas.
Por lo mencionado, no existen procedimientos para la destruccin de medios
que contienen informacin sensible.
Procedimiento aplicado
61. Revisaremos las normas y procedimientos aplicados para la administracin
de copias de respaldo, considerando: periodos de retencin, plazos de
almacenamiento, archivo, procedimientos de respaldo y restauracin, tareas
de respaldo y almacenamiento.
Resultados obtenidos
Se obtienen copias de respaldo diarias y mensuales. Se tiene dos cintas para
las copias diarias, las cuales van rotando en el transcurso de la semana. Las
copias mensuales son obtenidas en dos copias, una de las cuales queda en el
rea de produccin, en un gavetero bajo llave; y la otra es enviada a una caja
de seguridad en el Banco de Crdito.
La copia diaria es obtenida en una sola copia. La copia mensual es obtenida
en dos copias, una de las cuales se queda en un gavetero bajo llave en el
rea de Produccin, y la otra es enviada a una Caja de Seguridad en el Banco
de Crdito.
Los servidores de los sistemas: Informe Confidencial, CIRC y el servidor de
dominio tienen una periodicidad de obtencin de copias de respaldo mensual.
Las copias mensuales son permanentes.
Los dems servidores tienen una frecuencia de obtencin de copias de
respaldo diaria y mensual. Diariamente se respaldan todo los datos.
Se utilizan cintas de 4mm y cintas DLT para las copias de respaldo, se cuenta
con dos cintas para las copias diarias, las cuales son intercaladas los das de
la semana. El da que se obtiene la ltima copia del mes, la cinta diaria queda
como copia mensual y se renueva la misma, para la copia diaria.
114
115
Procedimiento aplicado
62. Revisaremos las normas y procedimientos aplicados para la proteccin de
mensajes delicados.
Resultados obtenidos
No existen normas ni procedimientos para la proteccin de mensajes,
tampoco se cuenta con normas que permitan contar con una clasificacin de
mensajes, motivo por el cual no fue posible aplicar el procedimiento
establecido.
Procedimiento aplicado
116
anteriormente
no
fue
posible
aplicar
este
Procedimiento aplicado
64. Verificaremos que el ambiente correspondiente al rea de tecnologa de
informacin Ambiente IT (Tecnologa de la Informacin), cuente con:
Mecanismos
Mecanismos
Mecanismos
Mecanismos
Mecanismos
de seguridad fsica
de registro y monitoreo de visitantes
de seguridad para el personal
para la proteccin contra factores ambientales
para el suministro ininterrumpido de energa
Resultados obtenidos
Se cuenta con acceso restringido al rea de produccin y tambin al Centro
de Cmputo, ambos mediante llave de proximidad y clave personal. Estas
llaves slo se encuentran en propiedad el personal de sistemas. Sin embargo,
las puertas y paredes de acceso al Centro de Cmputo son todas de vidrio. El
Centro de Cmputo tiene ventanas que dan al patio interior y no tienen rejas.
No se cuenta con un registro de visitas (personas ajenas) que ingresan al
Centro de Cmputo.
Se cuenta con extintores de incendio en lugares visibles. Tambin se cuenta
con luces de emergencia.
El piso del Centro de Cmputo es de cermica, se cuenta con aire
acondicionado, en su mayora los servidores se encuentran en el piso, uno de
ellos cuenta con rack.
117
Operaciones de procesamiento.
Manual de instrucciones
Documentacin del proceso de inicio y otras operaciones
Programacin de tareas
Desviaciones de la programacin estndar de tareas
Continuidad de procesamiento
Bitcoras de operaciones
Administracin remota
Resultados obtenidos
Se cuenta con documentacin establecida para las operaciones de
procesamiento y manuales de instrucciones para los principales sistemas que
maneja la Unidad de Sistemas. Estos documentos se encuentran detallados
paso a paso y muestran en todos los casos las pantallas necesarias para
llevar adelante el proceso.
No se cuenta con documentacin del proceso de inicio, programacin de
tareas ni con el detalle de desviaciones de la programacin estndar de
tareas.
Las tareas se realizan por el conocimiento del personal.
Para la continuidad del procesamiento, existen un Plan de Recuperacin de
Sistemas. Sin embargo, el mismo no contempla todos los aspectos necesarios
118
119