Informe de Evaluación de Controles de TI de la Empresa/

...

NOTA; actualmente solo se maneja políticas para las PDAs, y los equipos laptops asignados, pero como aplicara para los equipos de mouse, ups, teclado. Donde sabemos que sufre un desgate por el uso y manipulación de los mismos, necesitamos accesoria en el sentido que tan tolerantes podemos ser, al momento de una asignación. Ejemplo (un teclado numérico se deteriora por el uso, como también se puede deterior por mal uso)

Inventario de Datos y protecciones:

1. El diccionario de datos se encuentra estructurado:

Hallazgo

Implicaciones / Riesgos

Recomendaciones

Durante la evaluación se pudo constatar que el personal de tecnología

de la empresa no tiene conocimiento del diccionario de datos, ya que esa información la maneja el proveedor de servicio del sistema “Power Street

Solutions”.

Dificultad para determinar las características lógicas y puntuales de los datos, ante un problema que se pueda presentar.

Se recomienda que el personal de tecnología de la empresa, realice la gestión de solicitar al proveedor la documentación

técnica del diccionario de datos,

y así tener mayor conocimiento de cómo se encuentra estructurado el diccionario de datos del aplicativo “Power Street Solutions”, ante cualquier problema que se pueda presentar.

2. Existe el Modelado de Datos:

---------------------------------------------------------------

Hallazgo

Implicaciones / Riesgos

Recomendaciones

Durante la evaluación se pudo constatar que el personal de tecnología

de la empresa no tiene conocimiento del modelado de datos, ya que esa información la maneja el proveedor de servicio del sistema “Power Street Solutions”.

Posibilidad de pérdida de tiempo al hacer trabajos que requieran ubicar la situación actual de las estructuras de datos, por lo cual se puede originar retraso para la solución.

Se recomienda que el personal de tecnología de la empresa, realice la gestión de solicitar al proveedor la documentación

técnica modelado de datos, y así tener mayor conocimiento de cómo se encuentra estructurado el modelado de datos.

NOTA; de acuerdo a la recomendación no solo es que nos entregue la información, también se debería tener adiestramiento por parte del proveedor, de cómo está configurada tanto el diccionario de datos como el modelado.

3. Esta implementado el control de acceso a la Bases de Datos:

Hallazgo

Implicaciones / Riesgos

Recomendaciones

Durante la evaluación se pudo constatar que el personal de tecnología

de la empresa no tiene conocimiento del control de acceso a bases de datos, es decir no

tienen información de los usuarios que están accediendo a la Bases de datos.

-Posibilidad de acceso

a información por parte

de usuarios no autorizados.

-Posibilidad de pérdida

o destrucción de información.

Se recomienda al personal de tecnología de la empresa, realizar mesas de trabajo con el proveedor de mantenimiento del

sistema “Power Street Solutions”;

Para realizar una depuración de los usuarios que se encuentra en la bases de datos y así tener un mejor control de acceso.

NOTA; es viable además que se debe tener una documentación de cómo está estructurado los usuarios a la BD.

Gestión de Proveedores.

1. Existencia de política de seguridad de la información para las relaciones con los proveedores:

Hallazgo

Implicaciones / Riesgos

Recomendaciones

Durante la evaluación se pudo evidenciar que la empresa no tiene establecidas políticas

de seguridad lógica y

física, que estén documentadas en los contratos con los diferentes proveedores de servicios tecnológicos.

- Posibilidad de incidentes que afecten

a la disponibilidad, la confidencialidad o la integridad de información.

-Posibilidad de afectar las operaciones de la empresa debido a pérdidas de tiempo en

la toma de decisiones

en casos de incidentes de alto impacto.

-Posibilidad de

Se recomienda al área de tecnología realizar mesas de trabajo con el personal jurídico de la empresa para tener en cuenta el siguiente aspecto al momento de elaborar el contrato: “La empresa debe administrar

adecuadamente la seguridad lógica

de los recursos de Tecnología de la Información, incluso aquellos que sean administrados o custodiados por terceros. En consecuencia deberá establecer, formalizar e informar las políticas y procedimientos que permitan identificar, autenticar y autorizar el acceso a los

---------------------------------------------------------------

creación de perfiles de usuarios con accesos no adecuados, a los

[pic 1]niveles de confidencialidad de la