INFORME DE AUDITORÍA TI-13-10 27 de noviembre de 2012 ...
INFORME DE AUDITORÍA TI-13-10 27 de noviembre de 2012 ...
INFORME DE AUDITORÍA TI-13-10 27 de noviembre de 2012 ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>TI</strong>-<strong>13</strong>-<strong>10</strong> 7<br />
Efecto<br />
La situación comentada podría afectar las operaciones <strong>de</strong> la OPC y los<br />
servicios <strong>de</strong>l Departamento <strong>de</strong> Informática, ya que no tendrían disponibles<br />
unas instalaciones para operar <strong>de</strong>spués <strong>de</strong> una emergencia o evento que<br />
afectara su funcionamiento. Esto podría atrasar o impedir el proceso <strong>de</strong><br />
restauración <strong>de</strong> archivos y el pronto restablecimiento <strong>de</strong> las operaciones<br />
normales <strong>de</strong>l Departamento <strong>de</strong> Informática.<br />
Causa<br />
La situación comentada se atribuye a que el Especialista en Informática no<br />
había coordinado la i<strong>de</strong>ntificación <strong>de</strong> un lugar disponible y a<strong>de</strong>cuado como<br />
centro alterno para restaurar las operaciones críticas <strong>de</strong> la OPC en caso <strong>de</strong><br />
<strong>de</strong>sastre o <strong>de</strong> alguna emergencia.<br />
Comentarios <strong>de</strong> la Gerencia<br />
En la carta <strong>de</strong> la Procuradora <strong>de</strong>l Ciudadano, esta nos indicó, entre otras<br />
cosas, lo siguiente:<br />
La Oficina <strong>de</strong>l Procurador <strong>de</strong>l Ciudadano i<strong>de</strong>ntificó un lugar para<br />
que actúe como centro alterno para restaurar sus operaciones<br />
computarizadas en caso <strong>de</strong> una emergencia. El centro alterno se<br />
establecerá en la […]. [sic]<br />
Véase la Recomendación 1.<br />
Hallazgo 2 - Falta <strong>de</strong> un procedimiento para el manejo <strong>de</strong> inci<strong>de</strong>ntes<br />
<strong>de</strong> seguridad sobre los sistemas <strong>de</strong> información<br />
Situación<br />
a. Al 9 <strong>de</strong> septiembre <strong>de</strong> 20<strong>10</strong>, la OPC no tenía un procedimiento o plan<br />
para el manejo <strong>de</strong> inci<strong>de</strong>ntes que estableciera, entre otras cosas, una<br />
estrategia documentada para el manejo <strong>de</strong> los inci<strong>de</strong>ntes, un equipo <strong>de</strong><br />
respuesta y la documentación <strong>de</strong> las activida<strong>de</strong>s relacionadas con los<br />
mismos.<br />
Criterio<br />
En las mejores prácticas en el campo <strong>de</strong> la tecnología <strong>de</strong> información<br />
se establece que las entida<strong>de</strong>s gubernamentales serán responsables<br />
<strong>de</strong> <strong>de</strong>sarrollar procedimientos para <strong>de</strong>tectar, informar y respon<strong>de</strong>r a<br />
inci<strong>de</strong>ntes <strong>de</strong> seguridad, incluidos los límites para esos inci<strong>de</strong>ntes en