INFORME DE AUDITORÍA TI-13-10 27 de noviembre de 2012 ...

More documents

Recommendations

Info

6 TI-13-10 OPINIÓN Y HALLAZGOS titulada OPINIÓN Y HALLAZGOS. Luego de evaluar dichos comentarios y la evidencia suministrada, determinamos que la OPC tomó las acciones correctivas pertinentes, excepto por los hallazgos que se incluyen en este Informe. Las pruebas efectuadas demostraron que las operaciones del Departamento de Informática, en lo que concierne a los controles internos establecidos para la administración del programa de seguridad; el acceso físico y lógico; la evaluación de la continuidad del servicio; y la seguridad y la utilización de las computadoras, se realizaron sustancialmente conforme a las normas generalmente aceptadas en este campo, excepto por los hallazgos 1 y 2 que se comentan a continuación. Hallazgo 1 - Falta de un centro alterno para la recuperación de las operaciones computadorizadas a. Al 20 de agosto de 2010, la OPC no contaba con un centro alterno para restaurar sus operaciones críticas computadorizadas en casos de emergencias. Tampoco había formalizado acuerdos escritos con otra entidad para establecer un centro alterno en las instalaciones de esta. Criterio Las mejores prácticas en el campo de tecnología de información sugieren que, como parte integral del Plan de Continuidad de Negocios, deben existir convenios donde se estipulen las necesidades y los servicios requeridos para afrontar una emergencia. Debe incluirse, además, una cláusula que especifique el lugar o los lugares donde podrían ser requeridos dichos servicios. Estos lugares, de acuerdo con la capacidad de la agencia, podrían ser los siguientes: Una entidad pública o privada de similar configuración y tamaño Una compañía dedicada a servicios de restauración Un centro alterno de la propia entidad.
TI-13-10 7 Efecto La situación comentada podría afectar las operaciones de la OPC y los servicios del Departamento de Informática, ya que no tendrían disponibles unas instalaciones para operar después de una emergencia o evento que afectara su funcionamiento. Esto podría atrasar o impedir el proceso de restauración de archivos y el pronto restablecimiento de las operaciones normales del Departamento de Informática. Causa La situación comentada se atribuye a que el Especialista en Informática no había coordinado la identificación de un lugar disponible y adecuado como centro alterno para restaurar las operaciones críticas de la OPC en caso de desastre o de alguna emergencia. Comentarios de la Gerencia En la carta de la Procuradora del Ciudadano, esta nos indicó, entre otras cosas, lo siguiente: La Oficina del Procurador del Ciudadano identificó un lugar para que actúe como centro alterno para restaurar sus operaciones computarizadas en caso de una emergencia. El centro alterno se establecerá en la […]. [sic] Véase la Recomendación 1. Hallazgo 2 - Falta de un procedimiento para el manejo de incidentes de seguridad sobre los sistemas de información Situación a. Al 9 de septiembre de 2010, la OPC no tenía un procedimiento o plan para el manejo de incidentes que estableciera, entre otras cosas, una estrategia documentada para el manejo de los incidentes, un equipo de respuesta y la documentación de las actividades relacionadas con los mismos. Criterio En las mejores prácticas en el campo de la tecnología de información se establece que las entidades gubernamentales serán responsables de desarrollar procedimientos para detectar, informar y responder a incidentes de seguridad, incluidos los límites para esos incidentes en
Page 1: INFORME DE AUDITORÍA TI-13-10 27 d
Page 4 and 5: 2 TI-13-10 27 de noviembre de 2012
Page 6 and 7: 4 TI-13-10 comparecer a reuniones y
Page 10: 8 TI-13-10 RECOMENDACIONES término
Page 14: MISIÓN Fiscalizar las transaccione

INFORME DE AUDITORÍA TI-13-10 27 de noviembre de 2012 ...

Create successful ePaper yourself

Delete template?

Save as template?