Control y seguridad Informtica

Actividad 2

Desarrollo y TI es una compaa que se dedica a la investigacin y el
desarrollo, se dedica al desarrollo de proyectos a corto plazo, ya que a sus
directivos les gusta obtener resultados de forma rpida es decir en el corto
plazo. Sus ventas han alcanzado ventas por ms de $100 millones de dlares
lo cual la convierte en una empresa muy exitosa.

Desarrollo y TI ha contratado a una firma de auditores externa en la cual t
estas trabajando. Cuando te dispones a trabajar comienzas por recopilar
algunos papeles entre los cuales buscas el plan maestro del rea de
informtica. Te das cuenta que la empresa hace uso extensivo de informtica
y todos sus recursos para la realizacin de sus actividades por lo que en
entrevista con el administrador de informtica le comentas sobre el punto, sin
embargo el te expresa que realmente no lo necesitan ya que es imposible su
preparacin debido al ambiente de innovacin en el que se desenvuelve la
empresa.
T sabes que el departamento de informtica cuenta con el uso de una
computadora mainframe para soportar muchas de sus operaciones de
investigacin y de operacin.

Tu como auditor te haces las siguientes preguntas
1. Tiene razn el administrador si o no y por qu?
2. Qu implicaciones tiene la ausencia del plan maestro en el rea de
procesamiento de datos e informtica?
3. Qu implicaciones tiene la ausencia del plan maestro para poder llevar
a cabo la auditoria?
4. Cul es el procedimiento a seguir?

Debers colocar tus respuestas en el rea Caso Plan Maestro en el Foro de
discusin.

Las aportaciones las podrs fundamentar con artculos que t hayas encontrado
en el Internet. Dichos artculos debern ser incluidos en el rea de anexos dentro
de la discusin

1. Tiene razn el administrador s o no y por qu?

El administrador de informtica no tiene razn al plantear que no es necesario
el plan maestro del rea informtica cuando debe dar resultados a corto plazo
porque se evidencia una confusin entre la velocidad en la que se obtienen los
objetivos sea equivalente o producto de administrar a la carrera, la
necesidad de obtener resultados en corto tiempo no es justificacin para no
hacerlas bien y en este caso lo idneo y recomendado es administrarlas con
una estructura que garantice su estabilidad y sus resultados, es ms que
evidente que un negocio tan exitoso en tan poco tiempo debera ser
especialmente protegido de todos los factores de riesgo (especialmente el
uso de un mainframe para muchas actividades) al que est expuesto y la
mejor forma de minimizar el riesgo para garantizar esa rentabilidad en esos
tiempos tan cortos es darle a este negocio una estructura slida bien
administrada que garantice que esa manera tan eficiente de retorno de capital
sea acompaada de una administracin eficiente para que este negocio se
mantenga y pueda proyectarse.

2. Qu implicaciones tiene la ausencia del plan maestro en el rea de
procesamiento de datos e informtica?
En este punto basndose en esta definicin:
Plan Maestro de tecnologa de informacin y comunicaciones del documento
citado en esta direccin:
http://bibliotecavirtual.olacefs.com/gsdl/collect/guasyman/archives/HASH0155.dir/
ManualAuditoriaGestionTICs.pdf
Como producto del proceso de gestin, el rea de tecnologa de informacin y
comunicaciones debe elaborar un plan maestro, definido como un documento a
largo plazo que contenga la estrategia de proyectos de modernizacin de los
procesos institucionales a travs de los recursos tecnolgicos, con el objetivo de
brindar con calidad el servicio ofrecido a los usuarios (Clientes) de la entidad,
entre los aspectos mnimos que conforman dicho plan se encuentran los
siguientes:
Objetivos estratgicos institucionales
Misin
Visin
Acciones estratgicas
Procesos que sern automatizados
Usuarios que intervienen en el proceso
Recursos humanos, materiales, financieros y tcnicos
Cronograma de implementacin de proyectos

Considero que no plantear especficamente la misin y la visin del rea de
procesamiento de datos e informtica no permite el planteamiento de unas
polticas que garanticen el cumplimiento de objetivos a largo plazo, aunque es
evidente que al misin es clara y ha sido cumplida en este caso, la visin de este
negocio aparece un tanto comprometida porque la estrategia de largo plazo no
garantiza la adaptabilidad del negocio y la supervivencia de una empresa a todas
luces exitosa. La gran dificultad que implica la ausencia del plan maestro del rea
de sistemas es la carencia de las acciones estratgicas que permitan definir las
prcticas de produccin y las forma en la que estas realimentan el proceso para
obtener mejoramiento continuo. Si no establezco de una forma estructurada la
forma en la que produzco, tendr ms dificultades para determinar la forma de
determinar y aplicar controles y de establecer las formas de mejorar.
El no detenerse a documentar los procesos no permite establecer la forma ms
adecuada se hacer los seguimientos y controles para los procesos e implica de
forma tcita que si no se documentan los procesos mucho menos los mecanismos
de control, seguimiento y de seguridad que dichos procesos requieren y la
posibilidad de realimentar con esta informacin la mejora de procesos, la ausencia
de documentacin conlleva la dificultad de proteger el proceso de fallos en el
recurso humano y de infraestructura, el desconocimiento de los perfiles del
personal, sus manuales de funciones y la ausencia de la informacin necesaria
para la administracin de infraestructura conlleva una debilidad grande en la
gestin de equipos.
La ausencia de un plan maestro en la produccin de un proceso de creacin de
aplicaciones informticas tiene la gran debilidad (a mi juicio, mayscula
considerando el riesgo del uso de un mainframe para muchas actividades) de no
asegurar la informacin es este proceso, en el que tanto el proceso en si, como
sus resultados son la razn de ser de esta empresa, de manera que si se ha
establecido una empresa muy rentable de creacin de aplicativos, la seguridad de
esta informacin es la columna vertebral de esta produccin, cualquier caso de
fuga, robo o prdida de informacin podran llevar al fracaso esta produccin, por
eso considero que no asegurar la informacin en este caso sera comprometer de
gran forma la subsistencia de este negocio y perder una fuente de retorno de
capital y generacin de utilidades.
3. Qu implicaciones tiene la ausencia del plan maestro para poder llevar a
cabo la auditoria?

En el documento consultado en esta direccin de internet:
http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html se plantea lo
siguiente:
PLANEACIN DE LA AUDITORA EN INFORMTICA
Para hacer una adecuada planeacin de la auditoria en informtica, hay que
seguir una serie de pasos previos que permitirn dimensionar el tamao y
caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin
y equipo.
En el caso de la auditoria en informtica, la planeacin es fundamental, pues
habr que hacerla desde el punto de vista de los dos objetivos:
Evaluacin de los sistemas y procedimientos.
Evaluacin de los equipos de cmputo.
En esta empresa en la que no existe un plan maestro la posibilidad de auditar en
primera instancia los sistemas y los procedimientos hace pensar que es muy difcil
evaluar algunos aspectos de este empresa porque aunque los objetivos estn muy
claros y quienes crean un producto exitoso saben lo que estn haciendo, cuentan
con la infraestructura adecuada y con el recurso humano adecuado, no se ha
establecido de manera clara en qu punto de este proceso puedo entrar a
protegerlo y a mejorarlo, la ausencia de polticas implicara un orden implcito que
es muy difcil de verificar cmo siempre el ms conveniente para la empresa y el
proceso de produccin mismo, la ausencia de polticas de gestin tendr como
resultado la ausencia de manuales de procedimiento y uso, de la forma de
establecer y hacer cumplir controles, de las polticas de aseguramiento de la
infraestructura y la informacin, de la informacin que permita hacer la planeacin,
el mejor hacer y la proyeccin a futuro de este negocio.
En este caso la auditora se centrara en cmo evidenciar las fallas y cmo con la
aplicacin de esas correcciones se pueda ayudar a convertir este proceso exitoso
en un proceso en el que se pueda plasmar ese modelo centrado en el resultado,
en un modelo que sin sacrificar las utilidades pueda minimizar el riesgo de fallo por
no establecer unas polticas que slo pretender garantizar el resultado, el plan
maestro por definicin no pretender entorpecer el proceso, por el contrario busca
es que los objetivos que se proponen puedan ser cumplidos, de la manera ms
eficiente y con la mayor seguridad de que esos objetivos durante su ejecucin y su
resultado se alcancen, la auditora en este proceso sera un proceso muy
enriquecedor porque implicara cmo hacer mejor un negocio que de por s ya es
bueno, slo implicara plasmar (convertir en plan maestro) lo que se hace bien y
mejorar lo que debe ser corregido.

4. Cul es el procedimiento a seguir?
Indudablemente, establecer un plan maestro de gestin de informacin y sistemas,
que ajustado a un modelo de produccin exitoso debe ser mucho ms fcil de
determinar, en este caso pienso que un negocio exitoso generando utilidades slo
le queda ser ms rentable, qu problema puede ser para una empresa minimizar
la posibilidad de fallo? o mejor, analizado desde la postura de la empresa en este
caso, maximizar su margen de utilidad logrando que lo que se hace bien se haga
mejor, si en los documentos sobre la auditora de sistemas siempre se dice que se
busca el uso eficiente y seguro de la informacin para el logro de objetivos y la
toma de decisiones a futuro, la auditora slo conllevara hacer este negocio
mucho ms rentable y de hecho plantearse la posibilidad de hacer un negocio a
largo plazo con su propio esquema de produccin que no tiene por qu ser
contradictorio o de encontrar el por qu la proyeccin a largo plazo no es
coherente con la produccin acelerada de aplicativos que expliquen la forma en la
que ahora se hace, en todo caso estos anlisis son necesarios.