1 + INGENIERIA SISTEMAS

2 + UNIVERSIDAD NACIONAL PEDRO RUIZ GALLO FACULTAD DE INGENIER Í A CIVIL, SISTEMAS Y ARQUITECTURA ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS INFORME DE INGENIERÍA PARA OPTAR EL TÍTULO PROFESIONAL DE INGENIERO DE SISTEMAS POR LA MODALIDAD DE ACTUALIZACIÓN DE CONOCIMIENTOS ASESOR : ING. ERNESTO KARLO CELI AREVALO BACHILLER : MENDOZA SANCHEZ EDITH LAMBAYEQUE FEBRERO DEL 2015

3 EVALUACIÓN DE LOS OBJETIVOS DE CONTROL DE TI COMO PARTE DE UNA AUDITORÍA INTERNA DE TI EN LA MUNICIPALIDAD PROVINCIAL DE JAEN, CAJAMARCA

4 INTRODUCCIÓN  Hoy en día muchas Instituciones dependen de las TI y SI.  Las TI apoyan muchas veces a la cumplir los Objetivos Empresariales de la Organización.  Las Empresas que invierten en La Seguridad y Protección de sus datos e información a aumentado considerablemente.  El presente informe nos ocuparemos de:  La Auditoría de Gestión.  La Auditoría de Los Sistemas de Información.  la Auditoría de Redes.  El fin perseguido es brindar una visión de los puntos favorables y desfavorables de su situación actual y plantear un plan de seguridad

5 AGENDA  Datos informativos del informe  Aspecto informativo de la organización  Diagnostico de la situación actual  Planteamiento del problema  Objetivos  Marco teórico y revisión literaria  Alcance y metodología de trabajo  Revisión de controles  Conclusiones y recomendaciones

6 DATOS INFORMATIVOS DEL INFORME

7 TÍTULO DEL PROYECTO: EVALUACIÓN DE LOS OBJETIVOS DE CONTROL DE TI COMO PARTE DE UNA AUDITORÍA INTERNA DE TI EN LA MUNICIPALIDAD PROVINCIAL DE JAEN, CAJAMARCA RESPONSABLE Apellidos y Nombres:MENDOZA SANCHEZ EDITH Email: [email protected]@hotmail.com ASESOR Apellidos y Nombres:CELI ARÉVALO, ERNESTO KARLO Correo: [email protected]@unprg.edu.pe ÁREA DE INVESTIGACIÓN Auditoría de Sistemas de Información LOCALIDAD E INSTITUCIÓN DONDE SE REALIZARÁ EL PROYECTO Municipalidad Provincial de Jaén FECHA DE INICIO Junio del 2014

8 ASPECTO INFORMATIVO DE LA ORGANIZACIÓN

9 Municipalidad Provincia de Jaén La MPJ, es un órgano de gobierno promotor del desarrollo local, con personería jurídica de derecho público y plena capacidad para el cumplimiento de sus propósitos La MPJ se constituyen en el núcleo de gobierno responsable de la conducción del desarrollo de sus ámbitos locales

10 DIAGNOSTICO DE LA SITUACIÓN ACTUAL

11  ORGANIZACIÓN DEL SERVICIO INFORMÁTICO EN LA MPJ Dentro de la estructura organizativa de la MPJ se encuentra la Unidad de Informática y Sistemas En relación al equipamiento de las oficinas, casi todas cuentan con computadoras. La mayoría se encuentra en óptimas condiciones y conectadas a red, cuentan también con impresoras, fotocopiadoras y software actualizados  Desarrollo Informático en la MPJ PLAN DE DESARROLLO MUNICIPAL PROVINCIAL CONCERTADO DE JAÉN (2013 – 2021) Eje Estratégico 1: Desarrollo del potencial humano Eje Estratégico 2: Servicio Públicos de calidad con atención eficiente Este enfoque orientador de la visión estratégica, otorga especial importancia a las potencialidades municipales de los recursos tecnológicos El actual gobierno tiene en su lista de objetivos impulsar una nueva estrategia de agilización de trámites, que permita el desarrollo local y la modernización institucional a través de nuevas tecnologías integradas

12 PLANTEAMIENTO DEL PROBLEMA

13  La Municipalidad Provincial de Jaén, actualmente no cuenta con un diagnostico y plan de seguridad informático. Aunado a ello no existe una concientización dentro del personal de la verdadera magnitud de la seguridad dentro de la organización.

14 OBJETIVOS

15 OBJETIVO GENERAL  Evaluar la seguridad integral de la institución mediante una Auditoría Informática, obteniendo un diagnóstico orientado a la protección de los recursos vinculados a los procesos de información. OBJETIVOS ESPECIFICOS  Evaluar las condiciones de seguridad actuales, orientada al manejo de los procesos de información en las Auditorías  Determinar puntos favorables y desfavorables para establecer propuestas que lleven a superar puntos desfavorables encontrados en la institución  Proponer acciones que nos permitan mejorar la seguridad dentro de la organización.

16 MARCO TEÓRICO Y REVISIÓN LITERARIA

17 CONTROL  según una de sus acepciones gramaticales, quiere decir comprobación, intervención o inspección  CONTROL INTERNO  Es el conjunto de normas mediante las cuales se lleva a cabo la administración dentro de una organización; es decir, es el conjunto de los numerosos recursos que sirve para supervisar y dirigir una operación determinada.  CONTROL INTERNO INFORMÁTICO  Controles preventivos  Controles detectivos  Controles correctivos

18 AUDITORÍA  Es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas  AUDITORÍA EN INFORMÁTICA  Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Objetivos de protección de activos e integridad de datos. Objetivos de gestión que abarcan, no solamente los de protección de activos sino también los de eficacia y eficiencia.

19 ALCANCE Y METODOLOGÍA DE TRABAJO

20  El alcance del trabajo de revisión de controles, como parte de la Auditoría Interna, contempla: 1. Auditoría de la Gestión Informática 2. Auditoría de los Sistemas de Información 3. Auditoría de la Red de datos y comunicaciones  Se ha aplicado una metodología de entrevistas, encuestas, observación, revisión documental, uso de listas de cotejo (check list).

21 REVISIÓN DE CONTROLES

22 AUDITORIA DE LA GESTION  Se evaluó y audito la Gestión Informática de la Unidad de Informática y Sistemas así como el cumplimiento de sus funciones básicas como son las de control, planificación, organización y coordinación ALCANCE  El trabajo se realizó durante 2 semanas.  Para el desarrollo de esta auditoria se realizaron entrevistas y encuestas al personal. Además se realizó el análisis documental RESULTADOS  Planificación La organización no cuenta con Plan Estratégico de Sistemas de Información (PESI)  Plan Operativo No cuenta con un Plan Operativo Anual (POA), No se cuenta con un Plan de Recuperación de Desastres (PRD),  Organización y Coordinación Comité de Informática (CI). La Municipalidad Provincial de Jaén no cuenta con un Comité de Informática  Recurso Humano El número de personas dentro de la oficina de informática son 2: un Ingeniero de Sistemas y un Programador

23 AUDITORIA DE LOS SISTEMAS DE INFORMACIÓN. ALCANCE  Además se realizó encuestas a 02 áreas usuarias: Personal y Abastecimiento. El tiempo demandado total para la realización de este trabajo, fue un promedio 10 horas, incluyendo el procesamiento de la información.  No se tuvo acceso a la manipulación de los Sistemas de Información, por lo que la información referente a ellos se tuvo en forma verbal y restringida por parte de la mayoría de las áreas usuarias. RESULTADOS  Auditoria de la organización y gestión del área de desarrollo En esta etapa se evaluó cómo se encuentra organizada la Unidad de Informática y Sistemas, así como el desempeño de las funciones del personal que trabaja en esta área.  Auditoría de Sistemas de información de la MPJ S istema de abastecimientos Sistema de personal Sistema de servicios no personales Sistema de planillas Sistema de contabilidad Sistema de tesorería Sistema de almacén Sistema de rentas

24 AUDITORIA DE REDES ALCANCE  El trabajo se realizó fue un promedio 8 horas.  Una característica de la presente Auditoría es que para su realización no se pudo verificar in situ, ni se tuvo acceso a la manipulación de la red de la MPJ  Por lo que la información se tuvo en forma verbal y restringida por parte del Jefe del Área de Informática RESULTADOS  AUDITORIA DE LA GERENCIA DE COMUNICACIONES La MPJ cuenta con una serie de oficinas las cuales para el mejor desempeño de sus labores cuentan con una serie de equipos. Sólo fue información de modo verbal que dio el Jefe de Informática de la Unidad de Informática y Sistemas. No cuenta con un reglamento que establezca normas y procedimientos de los puntos que abarca la gerencia de Comunicaciones. No existe ningún mantenimiento preventivo de la Red ni de los equipos que sea programado por la Unidad de Informática y Sistemas El rendimiento y registro de incidencias en la red se lo realiza mediante el Sistema Operativo de Red El presupuesto lo asigna la oficina de Presupuesto de la MPJ, la que no hace un estudio previo de las necesidades de la Unidad de Informática y Sistemas.

25 CONCLUSIONES Y RECOMENDACIONES

26 CONCLUSIONES  Los Sistemas de Información es un punto favorable con Salvedad ya que se tuvo acceso a los diferentes sistemas de información con los que cuenta la MPJ  La Gerencia de Comunicaciones es un punto Desfavorable con salvedad, Debido a que la MPJ no cuenta con ningún tipo de documentos que normen y regulen la gerencia de comunicaciones, lo que ocasiono la falta de evidencia para respaldar lo expuesto.  La Red Física es un punto Favorable con salvedad, ya que se pudo verificar en forma parcial algunos aspectos de la red física como instalaciones y equipos  La Red Lógica es un punto Denegado, ya que no se obtuvo ningún tipo de información en cuanto a seguridad controlada en las redes.  La Ofimática es un punto Favorable con Salvedad, debido a que se pudo constatar en la mayoría de las áreas usuarias la existencia y uso del software ofimático

27  Se sugiere que se elabore un Manual de Organización y Funciones en donde se estipulen las funciones y responsabilidades del Personal de la Unidad de Informática y Sistemas.  Se debe realizar una capacitación periódica tanto al personal del área de informática como al personal de zonas usuarias.  Se debe realizar auditorias periódicas en la MPJ, para identificar y evaluar los puntos desfavorables que permitan contrarrestar los riesgos de la empresa y se garantice el buen funcionamiento de la Organización.  Se debe realizar una inmediata actualización del software antivirus, ya que se corre el riesgo de perdida de información.  Se debe realizar un plan de prevención ante desastres que considere simulacros de sismos y/o incendios  Se debe diseñar un plano de la red de la MPJ, que permita realizar una ubicación rápida de los equipos de la red.  Se sugiere que la Unidad de Informática y Sistemas se encuentre en el Organigrama de la MPJ dependiente del órgano de más alto nivel.  Tener un registro de los accesos, ingresos, horarios, así como también un inventario de llaves de modo que se proteja la información y material en el área de informática. RECOMENDACIONES

28 GRACIAS