UNIVERSIDAD TCNICA DE AMBATO

MAESTRA EN GERENCIA DE SISTEMAS DE INFORMACIN

AUDITORA DE SISTEMAS DE INFORMACIN

NOMBRES:
Arias Darwin Ren
Barrera Cristian
Herrera Jackeline
Morales Luis Roberto

DOCENTE: Mgs, Katalina Coronel Hoyos

FECHA: 29/09/2017

INFORME COAC-SAC-2017-001

PARA: CONSEJO DE ADMINISTRACIN

CC: GERENTE GENERAL

ASUNTO: INFORME DE AUDITORA DE SISTEMAS AL DEPARTAMENTO DE

DESARROLLO DE SOFTWARE DE LA UNIVERSIDAD TCNICA DE COTOPAXI
FECHA DEL INFORME: 30 DE SEPTIEMBRE DE 2017

1. ANTECEDENTES

Los procesos organizacionales han pasado a estar soportados en su mayora

en sistemas de informacin que normalmente son desarrollados por personal
propio de la empresa especializada en la temtica.

El vnculo entre sistemas y los procesos del negocio han provocado que los
tiempos de respuesta que se le exigen a la gente de sistemas para la produccin
y/o adaptacin de los sistemas sean cada vez menores debido fundamentalmente
a la dinmica que el mercado les imprime a los negocios
Si bien lo expresado en los prrafos anteriores de por s justifica la intervencin
del Auditor en la seleccin del software, se pueden enumerar otros motivos por
los que se justifica la auditoria del proceso de desarrollo del software:
El gasto destinado a software es un componente cada vez ms importante
de la inversin en Tecnologa Informtica que realizan las empresas.
El software es un producto muy difcil de evaluar. Un mayor control el
proceso de seleccin y adquisicin aumenta la posibilidad de xito final del
proyecto.

2. OBJETIVOS
- Evaluar el proceso usado para el desarrollo de aplicaciones dentro del rea
informtica de la Universidad Tcnica de Cotopaxi.
- Identificar si las aplicaciones llevan una metodologa ptima para el
desarrollo y mantenimiento de las mismas.
- Identificar las falencias que pueden incurrir tanto en infraestructura de base
de datos como en la aplicacin.

3. ALCANCE

El alcance de la presente auditoria cubre las aplicaciones de Registro de Notas y

Nomina en el perodo enero a agosto del 2017. Se verificaron los siguientes
controles.

4. PROCEDIMIENTOS APLICADOS

Recoleccin de informacin.
Entrevistas al personal de desarrollo.
Revisin de la Documentacin disponible de cada proyecto en
desarrollo o mantenimiento.
 5. DOCUMENTACIN SOLICITADA

- Licencias de uso de software.

- Diagramas de bases de datos de cada proyecto
- Requerimientos Funcionales y No Funcionales de cada proyecto
-

6. RESUMEN EJECUTIVO

En el presente informe se indican los hallazgos y novedades encontradas en la

auditora con respecto al Departamento de Desarrollo de Software de la
Universidad Tcnica de Cotopaxi.

Luego de una revisin exhaustiva por parte del Equipo auditor, se determinaron 3
hallazgos importantes que podran provocar la suspensin temporal o prolongada
de los procesos crtico en el departamento de Desarrollo de Software de la
Universidad Tcnica de Cotopaxi.

- Plan de Continuidad de Negocio desactualizado

- Inexistencia de un sitio alterno que funcione como backup del servidor
principal.
- Inadecuada aplicacin de las polticas de seguridad de informacin por
parte del personal.

7. DETALLE DE LOS HALLAZGOS

- HALLAZGO 1
 El plan de Continuidad de Negocio no se encuentra actualizado, no se ha
dado seguimiento ni se han realizado ajustes al mismo. Existen serias
debilidades en el Plan que no se han cubierto, por lo que la Cooperativa
corre el riesgo de paralizar sus procesos crticos que son: Captaciones,
operaciones y negocios.

Recomendacin:
Se recomienda al personal de TI y Riesgos actualizar el Plan de
Continuidad de Negocio, con base en las debilidades detectadas,
identificando los riesgos que puedan afectar la continuidad del negocio. El
Plan debe ser aprobado por Consejo de Administracin y sociabilizado a
todo el personal de la Cooperativa.

- HALLAZGO 2
No existe un sitio alterno a utilizarse en caso de una catstrofe en el
servidor principal, debido a que no ha sido contemplado en el Plan de
Continuidad de Negocio. Existe un alto riesgo para la Cooperativa, ya que
al no contar con un backup de los equipos principales se puede interrumpir
el servicio a los socios, generando pnico financiero por la suspensin
inesperada de la atencin.

Recomendacin:
Se recomienda al personal de TI realizar la planificacin para la adquisicin
y/o instalacin de un sitio alterno, en donde se instalarn equipos de
similares caractersticas a los principales, garantizando el servicio a los
socios de la Entidad. La gerencia y Consejo de Administracin debern
considerar en el presupuesto de la Cooperativa los rubros necesarios para
el rea de TI.
 - HALLAZGO 3
Dentro del Plan de Continuidad se identifican amenazas como por ejemplo
robos, y se establecen polticas de seguridad y procesos a seguir en cada
rea en caso de un eventual robo. Sin embargo se evidencia que el
personal de Cajas no cumple con dichas polticas, observando que el
acceso a sta rea constantemente permanece con las puertas abiertas.
Por lo que se genera un alto riesgo ya que personas no autorizadas pueden
acceder al rea y provocar daos y prdidas irreparables.

Recomendacin:
Se recomienda a la Administracin establecer sanciones al personal que
no cumpla las polticas establecidas en sus manuales y que afecten al
negocio de acuerdo al reglamento interno institucional.

8. CONCLUSIONES

La Administracin de la Cooperativa de Ahorro y Crdito Indgena SAC no ha

realizado adecuadamente una actualizacin, monitoreo y seguimiento al
cumplimiento del Plan de Continuidad de Negocio actual, por lo que no ha
identificado sus vulnerabilidades y riesgos crticos.

- El plan de Continuidad de Negocio no se encuentra actualizado. Luego del

ltimo simulacro, se evidenciaron varias debilidades en el mismo, las
cuales hasta el cierre de la auditora no han sido superadas, adems en el
mencionado Plan no contempla un sitio alterno que acte como respaldo.

- No se ejecutan adecuadamente las polticas de seguridad, debido a la falta

de control y monitoreo.

Se recomienda reajustar el Plan de Continuidad de Negocio de la

Cooperativa de Ahorro y Crdito SAC, con base en las debilidades
 detectadas, as como la ejecucin del seguimiento semestral del
mencionado plan.