OBJETIVOS GENERALES 1 La evaluacin tiene el propsito de hacer efectiva la revisin de generales llevando a cabo una serie de pasos para

determinar orgnica del departamento de Tecnologas de Informacin colaboracin con los otros departamentos de la Cmara de Industrias de Cortes y detectar la ausencia de documentos claves dichos controles. los controles la estructura (TIC) y su Comercio e que soportan

2 La siguiente evaluacin tiene como propsito de hacer efectiva la revisin de los Centros de Cmputo llevando a cabo una serie de cuestionarios que nos darn a conocer los Controles en los Equipos, los programas de operacin, controles ambientales, los planes de mantenimiento, administracin de archivos y el plan de contingencia. 3 Analizar y evaluar el plan de seguridad industrial que tiene la empresa y los mtodos descritos en l para reducir los riesgos a los que se expone el personal en el desarrollo de sus labores y se encuentren regulados por las normas o estndares: OHSAS 18001, reglamentos de la OIT y el cdigo del trabajo. Determinar el tipo de seguridad del departamento de TIC a nivel fsico, ambiental en sus instalaciones y los procedimientos que se utilizan para acceder a los datos procesados en l. Revisar que sean los adecuados para salvaguardar la informacin y las instalaciones de eventos accidentales, intencionales o naturales que puedan causar destruccin daos o prdidas de informacin. 4 Analizar y evaluar el plan de contingencia y recuperacin de desastres, conjunto de actividades, roles y responsabilidades que permitan mantener la continuidad de los sistemas de informacin y por ende las actividades de la empresa, considerando el tiempo de respuesta en caso de ocurrir una eventualidad.

Definicin del riesgo. 1 Postergacin de la evaluacin por falta de tiempo de las personas encargadas en la empresa. 2 No lograr entrevistar a la gerencia personalmente, teniendo que recurrir a otros medios como, los cuestionarios por correo, llamadas telefnicas, entre otros. 3 Inexistencia de documentos importantes como un manual con la estructura organizativa de la empresa, manual de polticas y normas generales de la empresa y los objetivos a corto y largo plazo, plizas de seguros, presupuestos, inventarios, entre otros. 4 Existencia de documentacin importante pero que la misma no pueda ser proporcionada para su revisin. 5 Negacin del acceso al centro de informacin por motivos internos de la empresa 6 Que la percepcin de los datos recabados mediante la observacin sea errnea. 7 Que los datos proporcionados por las personas involucradas sean ficticios. 8 Falta de inters del personal de la empresa para que la evaluacin se lleve a cabo. 9 Inexistencia de Polticas de Seguridad Industrial y salud ocupacional 10 Inexistencia del plan de contingencia y recuperacin de desastres.

Evaluacin del Riesgo Riesgo Como contrarrestarlo Nivel de riesgo Muy alto

Postergacin de la evaluacion por falta de tiempo.

Confirmar la evaluacin por medio de medios escritos, donde se estipule la disponibilidad de horario. Utilizar cuestionarios por correo electrnico, o llamadas telefnicas. Determinar si existen en otros medios, o slo verbalmente y comprobar que esto se cumpla. Estar solicitando esta documentacin constantemente y exigir la disponibilidad Confirmar el permiso por medios escritos, donde se estipule la disponibilidad de horario y el permiso correspondiente para tener acceso. Tomar la evidencia de diferentes maneras, fotografa, videos, etc. Y por varios evaluadores para luego hacer anlisis. Tomar evidencia de los datos proporcionados, y si hay documentos pedir copias de los mismos. Confrontacin de los desinteresados con sus superiores

No lograr entrevistas personalmente

Alto

Inexistencia de documentos importantes

Alto

Existencia de documentacin pero no su disponibilidad

Medio

Negacin del acceso al centro de informacin

Muy alto

Que la percepcin de los datos recabados sea errnea.

Alto

Que los datos proporcionados sean ficticios.

Alto

Falta de inters del personal de la empresa Inexistencia contingencia desastres de un plan y recuperacin de de

Bajo

Indagar las actividades que se llevan a cabo y comprobar que esto se cumpla.

Bajo

Antecedentes.
Desde su fundacin en 1931, la CCIC promueve los principios de la libre empresa, como un sistema que permite desarrollar la iniciativa, el mercado de bienes y trabajo, el crecimiento econmico y el bienestar individual, a fin de contribuir a la paz y al progreso social. Su origen se debe a un grupo de empresarios que, al ver la necesidad de organizarse, optaron por integrarla para apoyar la actividad econmica e iniciar la historia dinmica del empresariado de la regin norte de nuestro pas, que se ha distinguido por su carcter visionario y emprendedor. La CCIC es una entidad de derecho pblico, reconocida por el Estado, con Personalidad Jurdica propia y con domicilio en San Pedro Sula, conocida como capital industrial de Honduras, desde donde se ha proyectado por su representatividad, cohesin y credibilidad. Primero se llam Cmara de Comercio de Corts. Luego cambi su nombre inicial por el actual tras ser reorganizada de conformidad con el Decreto Legislativo Nmero (No.) 16 del 24 de enero de 1946. Su reglamento interno fue aprobado segn Acuerdo No. 002-90, para regular su funcionamiento. Con una estructura orgnica que comprende a la Asamblea General de socios, a la Junta Directiva y dems rganos por stos creados, la CCIC ha tenido una trayectoria destacada al incentivar la inversin, la capacitacin del recurso humano y la competitividad del empresariado. La Cmara de Comercio e Industrias de Corts contina teniendo una activa participacin en el acontecer nacional, al estar abierta al dilogo con los distintos sectores de la comunidad y, representar al empresariado que consciente de su responsabilidad social da su aporte decisivo al desarrollo del pas.

MISIN
Promover con responsabilidad social el fortalecimiento de la empresa privada, la integracin multisectorial y la competitividad para contribuir al desarrollo socioeconmico sostenible de Honduras.

VISIN
Ser para el ao 2015 una Cmara reconocida por brindar servicios de excelencia al sector empresarial de la zona norte y por ser una institucin facilitadora y promotora del fortalecimiento de la empresa privada, defensora de los principios de libre empresa, el desarrollo sostenible y la competitividad.

Ubicacin. Col. Las Brisas 22 y 24 calle entre 1 y 4ta. avenida Junior, 21101 San Pedro Sula

REVISIN DE CONTROLES GENERALES

OBJETIVOS ESPECFICOS
1.1 Investigar si los antecedentes histricos de la empresa han sido publicados en medios de difusin masiva. 1.2 Determinar si existe un manual organizacional del departamento de TIC de la empresa. 1.3 Identificar si el departamento de TIC tiene polticas informticas y reglamentos internos documentados. 1.4 Investigar la existencia de objetivos a corto plazo y largo plazo documentados en el departamento de TIC. 1.5 Determinar si el departamento de TIC tiene un presupuesto anual propio para inversiones y gastos del departamento. 1.6 Identificar la existencia de convenios con otras empresas u organizaciones, para el uso de sus instalaciones y/o recursos. 1.7 Investigar si la empresa posee plizas de seguros de los equipos informticos.

Programa de la Evaluacion
Tema: Camara de Comercio e Industrias de Cortes CCIC. Objetivo: Revisin de los controles generales de la empresa, especficamente del departamento de TI. Alcance: La Evaluacin consiste en la revisin de los controles generales de la empresa, y los controles generales del Departamento de TIC de la Cmara de Comercio e Industrias de Cortes, misma que se llevar a cabo en San Pedro Sula, Corts, Col. Las Brisas 22 y 24 calle entre 1 y 4ta. Avenida Junior, 21101 San Pedro Sula. En la semana del __ al __ de ___________ del 2013. Planificacin: Para obtener la informacin sobre los controles generales de la empresa se requiere entrevistar al Gerente General, o su asistente, al Gerente de Sistemas.

Detalle general de la evaluacin

Procedimiento de Evaluacin 1. Revisin de controles Generales. Gerencia general Antecedentes Histricos Manual de la organizacin con su estructura organizativa Polticas generales y normativas que rigen a la empresa Objetivos a corto y largo plazo Departamento de Tecnologa Manual de la organizacin de puestos y funciones en el departamento Inventario de materiales y recursos tecnolgicos que especifiquen las caractersticas, ubicacin mantenimientos, etc. Planes de expansin del rea o de la empresa. Cuestionario #1.1 Cuestionario #1.2 Cuestionario #1.3 Cuestionario #1.4 Entrevista # 1.1 Lugar Papeles Trabajados Referencia Recurso Hecho por: Fecha

Entrevista # 1.3 Entrevista # 1.4

Contratos de seguros.

Entrevista # 1.5 Entrevista # 1.6 Entrevista # 1.7

Convenios con otras instalaciones.

Presupuesto y costos del rea de Tecnologa.

Polticas de uso y exploracin de equipos

Entrevista # 1.8

Control de Tiempo y Actividades Semana: Nombre:

General A Nivel Gerencial Antecedentes Histricos Manual de la organizacin con su estructura organizativa -Recabar por medios escritos o digitales los antecedentes de la empresa. -Solicitar en un archivo a la gerencia del Organigrama de la empresa -Solicitar la descripcin de puestos y funciones. Polticas generales y normativas que rigen a la empresa Objetivos a corto y largo plazo -Solicitar al administrador o al gerente por escrito o por un archivo digital el manual de polticas del departamento. -Solicitar a la gerencia los objetivos a corto y largo plazo de la empresa. -Requerir una copia de los planes de inversin, gastos y Plan Operativo Anual (POA). Detalle L M M J V Hallazgos

Semana: Nombre:

General Al rea de informtica Antecedentes Histricos Manual de la organizacin con su estructura organizativa Polticas generales y normativas que rigen a la empresa

Detalle

Hallazgos

-Comparar los antecedentes adquiridos para comprobar las discrepancias. -Determinar diferencias relevantes entre puestos y funciones. -Verificar que las actividades que se realizan en el depto. de TI sean afines a los objetivos fijados por la gerencia general, mediante la revisin de las polticas establecidas, a travs de la observacin. -Verificar que los objetivos del departamento de TI, se adapten a los objetivos de la empresa.

Objetivos a corto y largo plazo

10

Semana: Nombre:
General Al rea de Informtica -Manual de la organizacional de puestos y funciones en el departamento. -Solicitar el Organigrama al Jefe de Informtica. Detalle L M M J V Hallazgos

-Solicitar el Manual de puestos y funciones. -Manual de polticas, reglamentos y lineamientos internos del departamento de sistemas. -Solicitar al gerente de sistemas una copia impresa de las polticas y lineamientos internos del rea.

-Determinar si las polticas y lineamientos internos son conocidas por todo el personal del rea de informtica. -Inventario de materiales y recursos tecnolgicos que especifiquen las caractersticas, ubicacin mantenimientos, etc. -Solicitar una copia del inventario de materiales y equipos con que cuenta el rea informtica.

-Solicitar documentos de arrendamiento de equipo, contratos de mantenimiento o seguros que se tengan registrados en el rea.

11

Semana: Nombre:
L M M J V

General Al rea de Informtica -Manual de la organizacin de puestos y funciones en el departamento. -Manual de polticas, reglamentos y lineamientos internos del departamento de sistemas. -Inventario de materiales y recursos tecnolgicos que especifiquen las caractersticas, ubicacin mantenimientos, etc.

Detalle

Hallazgos

-Verificar si existen discrepancias entre el organigrama y el manual de puesto y funciones.

-Verificar que las polticas internas estn acorde a las establecidas para todo el departamento.

-Determinar mediante pruebas fsicas (fotografas) de la existencia de los equipos mencionados en el inventario.

12

Semana: Nombre:
General Al rea de Informtica -Planes de expansin del rea o de la empresa. -Solicitar al Jefe de rea copia de los planes de expansin del departamento o del departamento en los cuales intervengan recursos de informtica. -Determinar si estos planes estn acorde a lo presupuestado por el departamento y se encuentran incluidos en el plan operativo anual (poa). -Solicitar la existencia de plizas de seguros, que protejan informacin, equipo personal y porttil de todo riesgo que se produzca por casos fortuitos o de mala operacin. -De existir convenios con terceros para la utilizacin de instalaciones o recursos, solicitar una copia de los contratos o convenios. -Solicitar al Jefe de rea copia de las polticas y procedimientos para la asignacin y uso de los recursos tecnolgicos de cada usuario de los diferentes departamentos -Solicitar una copia del presupuesto de inversiones y de gastos del departamento de TI. -Determinar si el presupuesto est acorde a los planes y montos establecidos por el departamento de TI. Detalle L M M J V Observaciones

-Contratos de seguros.

-Convenios con otras instalaciones.

-Polticas de uso y exploracin de equipos. -Presupuesto y costos del rea de sistemas.

13

Formato # 1 Nombre del entrevistado: __________________________________________________________ Departamento: _______________________ Cargo: __________________________ Fecha: _______________________ Este cuestionario tiene como objetivo, determinar si existen controles generales en la empresa y los mismos son del conocimiento de los empleados. Instrucciones: Responda en forma clara cada una de las aseveraciones que a continuacin se le presentan segn sea el caso. Seccin # 1.1. 1.- Los antecedentes histricos de la organizacin han sido publicados o difundidos por algn medio de difusin masiva, como radio, televisin, medios escritos, web, etc.? SI

NO

2.- Conocen los empleados los antecedentes histricos de la empresa? SI NO

Seccin # 1.2. 3.- Cuenta la empresa con un organigrama debidamente documentado? SI NO

Si la respuesta es afirmativa, anexe una copia digital o impresa del mismo. 4.- Cuenta la empresa con un manual organizacional que nos muestre cmo est estructurada, y donde se definan puestos, funciones, jerarquas? SI

NO

Si la respuesta es afirmativa, anexe una copia digital o impresa del mismo Seccin # 1.3. 5.- Cuenta la compaa con un manual de polticas generales debidamente documentado? SI

NO

Si su respuesta a esta pregunta es NO, pase a la pregunta nmero 8, Si la respuesta es afirmativa, anexar una copia digital o impresa del mismo 6.- Conocen todos los miembros de la empresa las polticas generales? SI

NO

7.- El manual de polticas de la empresa: Puede una o ambas.

14

 Es un instrumento til para la orientacin e informacin al personal Es una base para una constante y efectiva revisin administrativa Ninguna de las anteriores.
Pase a la pregunta 9 8.- Por qu razn la empresa no cuenta con un manual de polticas generales? _____________________________________________________________________________________ _____________________________________________________________________________________ ________________________________________________________________ 9.- Cuenta la compaa con un reglamento interno debidamente documentado? SI

NO

Si la respuesta es afirmativa, anexe una copia digital o impresa del mismo, Si su respuesta a la pregunta anterior es No especifique porqu y pase luego a la pregunta 11 ______________________________________________________________________________ 10.- Este manual asegura el tratamiento equitativo para todos los empleados? SI

NO

Seccin # 1.4. 11.- La empresa cuenta con objetivos a corto y largo plazo? SI

NO

Si su respuesta a la pregunta anterior es No, la entrevista se da por terminada. 12.- Estos objetivos sirven de base para propuestas de metas? SI

NO

13.- Cules de las siguientes caractersticas poseen estos objetivos? Puede elegir varias opciones. Medibles Alcanzables Realistas Claros Desafiantes Coherentes

14.- Estos objetivos estn relacionados con las necesidades y oportunidades de la empresa? SI

NO

15.- Los objetivos a corto y largo plazo estn debidamente documentados? SI NO

15

Formato # 2 Nombre del entrevistado: ___________________________________________________________ Departamento: _______________________ Cargo: _________________________ Fecha: _______________________ Esta entrevista tiene como objetivo, determinar si existen controles generales, procedimientos, presupuesto, polticas, estructura organizacional y manuales de funciones especficamente en el rea de sistemas. Instrucciones: Responda en forma clara cada una de las aseveraciones que a continuacin se le presentan segn sea el caso. Seccin # 2.1 1.- Cuenta el departamento con un organigrama debidamente documentado? SI

NO

Si la respuesta es afirmativa, anexar una copia digital o impresa del mismo 2.- Cuenta el departamento con un manual organizacional (que defina puestos, funciones y las jerarquas) que nos muestre cmo est estructurada? SI

NO

Si la respuesta es afirmativa, anexar una copia digital o impresa del mismo Seccin # 2.2 3.- Cuenta el departamento con un manual de polticas informticas? SI

NO

Si su respuesta a esta pregunta es NO, pase a la pregunta nmero 6, Si la respuesta es afirmativa, anexar una copia digital o impresa del mismo. 4.- Conocen los dems miembros del departamento las polticas generales de la empresa? SI

NO

5.- El manual de polticas del departamento: Puede elegir varias.

Presenta una visin de conjunto del departamento para su adecuada organizacin. Es un instrumento til para la orientacin e informacin al personal Es una base para una constante y efectiva revisin administrativa Ninguna de las anteriores.
Pase a la pregunta 7

16

6.- Por qu razn el departamento no cuenta con un manual de polticas informticas? _____________________________________________________________________________________ ___________________________________________________________________________ 7.- Cuenta el departamento con un reglamento interno? SI

NO

Si la respuesta es afirmativa, anexar una copia digital o impresa del mismo Si su respuesta a la pregunta anterior es No especifique porqu y pase luego a la pregunta 8 ________________________________________________________________________________ 8.- Este manual asegura el tratamiento equitativo para todos los integrantes del departamento? SI

NO

NO

Seccin # 2.3 9.- Cuenta el departamento con objetivos a corto y/o largo plazo? SI

Si su respuesta a esta pregunta es NO pase a la pregunta 14 Si la respuesta es afirmativa, anexar una copia digital o impresa de los mismos 10.- Estos objetivos sirven de base para propuestas de metas? SI

Claros Desafiantes Coherentes

NO

11.- Cules de las siguientes caractersticas poseen estos objetivos? Puede elegir varias opciones. Medibles Alcanzables Realistas

NO

12.- Estos objetivos estn relacionados con las necesidades y oportunidades del departamento de TI? SI

13.- Los objetivos a corto y largo plazo del departamento de TI estn debidamente documentados? SI NO

Seccin # 2.4 14.- Esta en la disposicin de proporcionar un inventario del tipo de computadores con las que trabajan en la empresa, as como la cantidad, la fecha de su mantenimiento, si es arrendado? SI

NO

17

Formato # 3 Nombre del entrevistado: __________________________________________________________ Departamento: _______________________ Cargo: _________________________ Fecha: _______________________ Esta entrevista tiene como objetivo, determinar si existen controles generales, procedimientos, presupuesto, polticas, estructura organizacional y manuales de funciones especficamente en el rea de sistemas. Instrucciones: Responda en forma clara cada una de las aseveraciones que a continuacin se le presentan segn sea el caso. Seccin # 3.1 1.- El rea donde actualmente se encuentra el departamento de TI, es propia del departamento? SI

NO

2.- Considera que el espacio fsico y sus instalaciones actuales son las ms adecuadas para el correcto desempeo de las actividades del departamento de TI? SI NO

3.- El departamento de TI tiene planes de expandirse? SI NO

Seccin # 3.2 4.- Cuenta la empresa con una pliza de seguros que abarque a los equipos informticos? SI

NO

Si su respuesta es afirmativa, podra proporcionar una copia impresa o digital de la misma. Seccin # 3.3 5.- La empresa tiene convenios para utilizar instalaciones o recursos de otras organizaciones? SI

NO

Si su respuesta es afirmativa, podra proporcionar una copia impresa o digital del mismo. Seccin # 3.4 6.- El departamento de TI, cuenta con un presupuesto propio anual, para inversiones y gastos del departamento de TI? SI

NO

Si su respuesta es afirmativa, podra proporcionar una copia impresa o digital del mismo. Si su respuesta es NO, podra indicar porque no cuenta con un presupuesto propio.

18

____________________________________________________ _________________________________________________
Seccin # 3.5 7.- La asignacin de los recursos informticos a los usuarios estn a cargo del departamento de TI? SI

NO

8.- Esta asignacin de recursos informticos esta sustentada por algn manual de polticas de exploracin que indique solo quien(es) pueden utilizar dichos recursos? SI

NO

Si su respuesta es afirmativa, podra proporcionar una copia impresa o digital del mismo.

19

Hallazgos En entrevista aplicada a: Gerente de TI:

1

No cuenta el departamento con un organigrama documentado. En el departamento solo son dos personas. (un jefe y su asistente), y hace poco solo era una persona. No es independiente sino que pertenece al rea de Finanzas, especficamente al departamento de Contabilidad. Ver Anexo

Recomendaciones: 1 Independizar el (Contabilidad). departamento de sistemas de otros departamentos

2 Mantener a disposicin inmediata los documentos importantes del departamento (Manual de polticas informticas, inventarios, objetivos, etc.)

20

REVISIN DE LOS CENTROS DE CMPUTO Objetivos Especficos. 2.1 Constatar que se brinde la seguridad fsica necesaria en los diferentes equipos de cmputo que existen en la organizacin. 2.2 Determinar la existencia de una planificacin de actividades y conocer si estas se llevan a cabo segn la misma. 2.3 Establecer la existencia y buen uso de controles ambientales en el centro de cmputo, que garanticen el ptimo desempeo del equipo. 2.4 Analizar y evaluar los mantenimientos necesarios para el ptimo funcionamiento en lo referente a tecnologas de informacin 2.5 Conocer la forma en que los usuarios tienen acceso a la informacin y los niveles de seguridad que se utilizan para tener control de los accesos 2.6 Determinar si la empresa est total o parcialmente preparada para una divergencia o situacin ajena a la seguridad del depto. de TI, de igual forma Verificar si los mecanismos que utiliza la empresa en aspecto de seguridad y recuperacin son los adecuados.

21

Alcance: La Evaluacin consiste en la revisin del Centro de Cmputo de la empresa, que comprende controles en los equipos, programas de operacin, controles ambientales, planes de mantenimiento, administracin de archivos y el plan de contingencias, misma que se llevar a cabo en San Pedro Sula, Corts, Col. Las Brisas 22 y 24 calle
entre 1 y 4ta. Avenida Junior, 21101 San Pedro Sula. En la semana del __ al __ de ___________ del 2013.

Planificacin: Para obtener la informacin detallada acerca de los controles del centro de cmputo se requiere entrevistar al Gerente de Sistemas, o su asistente.

Detalle general de la evaluacin

Procedimient o de Evaluacin 2. Revisin de Los Centros de Cmputo Departament o de Sistemas Controles en los equipos Encuesta #2.1 Lugar Papeles Trabajados Referencia Recursos Hecho Por Fecha

Programas de operacin Controles ambientales Plan de mantenimiento Administracin de archivos Plan de contingencias

Encuesta #2.2

Encuesta #2.3

Encuesta #2.4

Encuesta # 2.5

Encuesta # 2.6

22

Control de Tiempo y Actividades Semana: Nombre:

General Detalle
L M M J V

Hallazgos

A Nivel de Sistemas Controles en el Equipo Determinar si el Equipo est compartido con Otros Departamentos Verificar que cada persona que haga uso de un equipo tenga un usuario y contrasea nica. Solicitar polticas para el control, cambios y vencimiento de contrasea. Verificar cada cuanto se hace cambio de contrasea Solicitar una bitcora de los problemas que ocurren en la ejecucin de las tareas en el equipo.

Hecho Por: Revisado Por:

23

Semana: Nombre:
General Detalle L M M J V Hallazgos

A Nivel de Sistemas

Programas de operacin

Solicitar un plan de Actividades en el rea de Sistemas Revisin del plan de actividades Verificar el alcance del programa Comprobar el cumplimiento de los controles del programa

Verificar cmo se desarrollan las actividades en el departamento

Hecho Por: Revisado Por:

24

Semana: Nombre:
General Detalle
L M M J V

Hallazgos

A Nivel de Sistemas -Controles Ambientales -Verificar si Hay Extintores -Determinar si existe un documento para el control de recarga de extintores -Revisar la condicin del ambiente proporcionado por los aires acondicionado -Verificar la existencia documentada de un control de mantenimientos de Aires Acondicionados - Verifica Fuentes de Energa de Respaldo

- Revisar los ontroles

de humedad temperatura y

Hecho Por: Revisado Por:

25

Semana: Nombre:
General Detalle
L M . M J V

Hallazgos

A Nivel de Sistemas Revisin del plan de mantenimiento Solicitar un plan de mantenimiento preventivo y correctivo de los equipos. Solicitar un Documento que compruebe que el personal esta capacitado para realizar los mantenimientos de los equipos. Determinar si el departamento cuenta con herramientas necesarias para ejecutar los mantenimientos. Verificar cada cuanto se realizan los mantenimientos preventivos. Solicitar un historial de los Mantenimientos correctivos.

Solicitar una planificacin de los horarios en que se realizan mantenimientos Solicitar una lista de actividades que se realizan en el mantenimiento preventivo.

Hecho Por: Revisado Por:

26

Control de Tiempo y Actividades Semana: Nombre:

General Detalle
L M M J V

Hallazgos

A Nivel de Sistemas Administracin de Archivos - Determinar que tipos de medios o dispositivos se utilizan para tener acceso a la informacin compartida. - Identificar los Mtodos utilizados para acceder a la Informacin Compartida - Determinar si existen procedimientos para acceder a la informacin compartida. - Determinar si existe un mecanismo o mtodos para detectar si un usuario utiliza un archivo o carpeta no autorizada. - Solicitar un organigrama de las jerarquas para los niveles de acceso de los Usuarios.

Hecho Por: Revisado Por:

27

Semana: Nombre:
General Detalle
L M M J V

Hallazgos

A Nivel de Sistemas Plan de contingencia - Identificar cunto tiempo tarda el equipo del departamento de TI, en recuperarse de un desastre. - Determinar si el equipo de TI, tiene asignado una etiqueta de acuerdo a la importancia de su contenido a fin de tener prioridad en caso de evaluacin. -Verificar cada cuanto se realizan pruebas de backups. -Solicitar manual de prevencin en caso de una emergencia -Determinar cada cunto se ejecutan los simulacros y capacitaciones para el personal de TI.

Hecho Por: Revisado Por:

28

Hallazgos. En Entrevista aplicada a: Gerente de TI: Geovany Kelly 1. Controles del Equipo. 2. Programas de Operacin 3. Controles Ambientales 4 Revisin del Plan de mantenimiento 5 Administracin de Archivos 6. Plan de Contingencia

Recomendaciones Para el control de equipos Programas de Operacin. Controles ambientales

Revisin del plan de mantenimiento.

Administracin de archivos

Plan de Contingencia 1. Elaborar una lista de los posibles problemas que se puedan presentar y recopilar informacin acerca del tiempo que se necesita para solventar los fallos. El registro se puede elaborar investigando los problemas ocurridos en otras empresas y tomar como punto de partida la solucin que ejecutaron.(referencia Hallazgo 6.1) 2. Crear un mtodo de etiquetas para los equipos que son de mayor importancia y que estos sean evaluados con mayor determinacin.(referencia Hallazgo 6.2)

29

3. Desarrollar un programa de prevencin donde se estipulen los eventos y las actividades a realizar para contrarrestarlos.(referencia Hallazgo 6.4) 4. Programar simulacros para prevencin de desastres con los empleados peridicamente referencia Hallazgo 6.5)

30

REVISIN DE SEGURIDAD INDUSTRIAL Y SALUD OCUPACIONAL OBJETIVOS ESPECFICOS

1 Determinar la existencia de polticas o directrices de seguridad y salud ocupacional.

(basados en las OHSAS 18001, cdigo del trabajo y la OIT).

2 Identificar cada uno de los elementos utilizados para garantizar la Higiene y Seguridad
Industrial.

3 Identificar los diferentes riesgos a los que se expone el personal, centro de informacin
y las vulnerabilidades fsicas de la organizacin.

4 Verificar la existencia y uso de controles de acceso lgico a los datos procesados en el

centro de informacin.

5 Determinar los controles utilizados para obtener acceso al centro de informacin. 6 Identificar si las instalaciones estn adecuadamente sealizadas o rotuladas con rutas
de evacuacin en casos de emergencias y lugares de peligro. . Alcance: La Evaluacion consiste en la revisin de Seguridad industrial del departamento de TIC de la Cmara de Comercio e Industrias de Cortes, misma que se llevar a cabo en San Pedro Sula, Corts Col. Las Brisas 22 y 24 calle entre 1 y 4ta. Avenida Junior, 21101 San Pedro Sula. En la semana del ___ al ___ de ___________ del 2013. Planificacin: Para obtener la informacin sobre la revisin de Seguridad industrial de la empresa, enfocados especficamente en la proteccin del departamento de TI. Se recurrir a entrevistar al Gerente de TI, al departamento de Recursos Humanos, y a otros departamentos pertinentes, se harn algunas observaciones en las instalaciones de la empresa con el fin de corroborar la informacin obtenida.

31

32

Detalle general de programa de Evaluacion

Procedimiento de Evaluacn Revisin de la seguridad industrial Lugar Actividad Recursos Hecho Por Fecha

Departamento de TI, RRHH, y otros departamentos pertinentes.

Determinar la existencia de polticas o directrices de seguridad y salud ocupacional. Solicitando la documentacin requerida. Identificar cada uno de los elementos utilizados para garantizar la Higiene y Seguridad Industrial. Identificar los diferentes riesgos a los que se expone el personal centro de informacin y las vulnerabilidades fsicas de la organizacin. Verificar la existencia de controles de acceso lgico a los datos procesados en el centro de informacin. Determinar los controles utilizados para obtener acceso fsico al centro de informacin. Identificar si hay una correcta sealizacin del ambiente y el espacio fsico

Cuadro Tcnica Strobe No.1.1

Cuadro Tcnica Strobe No. 2

Cuadro Tcnica Strobe No. 3

Cuadro Tcnica Strobe No.4

Cuadro Tcnica Strobe No.5

Cuadro Tcnica Strobe No.6

33

PUNTOS FOCALES. 1. Polticas de Seguridad Industrial y salud ocupacional: 1.1. Reglamento OHSAS 18001 (Seguridad) 1.1.1 Existencia 1.1.2. Supervisin de RRHH 1.1.3. Actualizacin 1.1.4. Capacitacin a empleados 1.1.5. Seguimiento 1.2 Reglamento de Higiene y seguridad laboral ( Artculo 397-398) 1.2.1 Existencia 1.2.2. Supervisin de RRHH 1.2.3. Actualizacin 1.2.4. Capacitacin a empleados 1.2.5. Seguimiento 2. Higiene y Seguridad Ocupacional 2.1 Proteccin y Seguridad Personal 2.2 Prevencin de Accidentes y Enfermedades 2.3 Servicios mdicos, sanidad del establecimiento y salas cunas (guarderas) 2.4 Prevencin de riesgo 2.5 Control de desperdicios 2.6 Ambiente ocupacional 3. Riesgos existentes 3.1 Riesgos al personal 3.2 Riesgos y peligros al equipo e instalaciones 3.2.1 Eventos Accidentales. 3.2.2 Eventos Provocados. 3.3.3 Eventos Naturales. 3.3 Instalaciones fsicas del centro de informacin 3.3.1 Estructura Fsica 3.3.2 Instalacin Elctrica. 3.3.3 Vigilancia. 4. Acceso a los datos 4.1 Cuentas de Usuario y Contrasea 4.2 Categoras de Usuarios 4.3 Jerarqua de la informacin 4.4 Uso de Aplicaciones 4.5 Herramientas de prevencin

34

5. Acceso Fsico al Centro de informacin 5.1 Seguridad en Puerta 5.2 Autorizaciones de Acceso 5.3 Sistemas Biomtricos 6. Ambiente del Centro de Informacin. 6.1 Alarmas manuales 6.2 Sistemas de emergencia 6.3 Sealizacin y Rotulacin de emergencia.

35

OBSERVACIN Y TCNICA STROBE EN EL DEPARTAMENTO DE TIC Cuadro No. 1.1 Polticas de Seguridad Industrial y Salud Ocupacional. Objetivo: Determinar la existencia de polticas o directrices de seguridad y salud ocupacional a nivel de departamento de IT. (Basados en las OHSAS 18001, cdigo del trabajo y la OIT).
Elemento Seguridad Industrial
Polticas de Seguridad y Salud Ocupacional

Si

No

Observaciones

Existencia y revisin de polticas o directrices OHSAS 18001:

-Planificacin para identificar, evaluar y controlar los riesgos -Programa de gestin de OHSAS -Estructura y responsabilidad -Formacin, concienciacin y competencia -Consultora y comunicacin -Control de funcionamiento -Preparacin y respuesta ante emergencias -Medicin, supervisin y mejora del Rendimiento

Salud Ocupacional Existencia y revisin de polticas o directrices OIT:

-Planificacin para identificar, evaluar y controlar los riesgos

-Programa de gestin de OIT -Estructura y responsabilidad

36

-Formacin, concienciacin y competencia -Consultora y comunicacin -Control de funcionamiento -Preparacin y respuesta ante emergencias -Medicin, supervisin y mejora del rendimiento

Existencia de polticas o directrices OIT Las polticas o directrices OIT, son continuamente supervisados por RRHH. Actualizan y se le da seguimientos a las polticas o directrices OIT Se Imparten capacitaciones continuas de las polticas o directrices OIT

La actividad tuvo un porcentaje de: Si= 0% No = 100%

En el cuadro anterior el Si representa hallazgos positivos y el No negativos.

37

Cuadro No. 2.1 Higiene y Seguridad Industrial. Objetivo: Identificar cada uno de los elementos utilizados para garantizar la Higiene y Seguridad Industrial.
Elemento Higiene y Seguridad Ocupacional Proteccin y Seguridad Personal Si No Observaciones

Proteccin de Ojos y Cara. Proteccin de Pies y Piernas Proteccin de Cabeza Proteccin de lo odos Ropa protectora Proteccin Respiratoria Proteccin de Manos Prevencin de Accidentes y Enfermedades Sealizaciones Capacitaciones Vacunas Servicios mdicos, sanidad del establecimiento, salas cunas (guarderas) Atencin Mdica Clnica con mdico en las instalaciones Seguro de los empleados Botiqun Botiqun provisto de medicamentos Botiqun en zona visible para todos

38

Medicamentos estn vigentes Contenido Analgsicos Materiales de curacin Material de apoyo Control de desperdicios Procesarlos Basura Venta Liberacin de gases Aerosoles Gases y Vapores Instalaciones Insalubres

Control de Desechos radiactivos Qumicos

La actividad tuvo un porcentaje: Si = 0% No=0%

El en cuadro anterior el Si representa hallazgos positivos y el No negativos.

39

Cuadro No. 3.1 Riesgos para el personal, el centro de informacin y las instalaciones Objetivo: Identificar los diferentes riesgos a los que se expone el personal, centro de informacin y las vulnerabilidades fsicas de la organizacin.
Elemento Riesgos y Peligros al Personal Pisos resbaladizos Si No Observaciones

Gradas o pisos altos sin barandales Cables elctricos desprotegidos, con peligro de electrocutar o hacer cortos circuito Sustancias txicas que puedan ser inhaladas (Gases, polvo, vapores, humo) o malos olores. Deficiente Iluminacin Exceso de ruido Riesgos al equipo e instalaciones a causa de: Eventos Accidentales

Incendios Humedad, filtraciones de agua (goteras) Eventos Provocados Robo Vandalismo Sabotaje Eventos Naturales Inundaciones por lluvias Sismos Huracanes Instalaciones del Centro de informacin Estructura Fsica

40

Falta de Cielo falso Tamao inadecuado para la cantidad de personas y equipo Instalaciones elctricas Calibre incorrecto de cable principal. Calibre incorrecto para cada distribucin secundaria Se omiten revisiones del tendido elctrico. Vigilancia Inexistencia de vigilancia Omisin de almacenamiento de los videos Sin monitoreo Las pantallas no se encuentran en lugares aislados al personal

La actividad tuvo un porcentaje de: Si = 0% No = 0%

En el cuadro anterior el Si representa hallazgos negativos y el No positivos

41

Cuadro No. 4.1 Acceso lgico a los datos procesados en el centro de informacin. Objetivo: Verificar la existencia y uso de controles de acceso lgico a los datos procesados en el centro de informacin.
Elemento Cada empleado que tiene asignado un equipo posee una cuenta de usuario y contrasea Las cuentas de usuario tienen caducidad Utilizan jerarquas para definir usuarios de acuerdo al nivel que ocupa en la organizacion El acceso a la informacin compartida est regulada de acuerdo al nivel de cada usuario Cada de departamento tiene aplicaciones de uso exclusivo Utilizan sistemas de prevencin de intrusos para monitorear la actividad en la red de datos Si No Observaciones

Acceso Lgico

La actividad tuvo un porcentaje de: Si = 0% No = 0%

En el cuadro anterior el Si representa hallazgos positivos y el No respuesta negativa

42

Cuadro No. 5.1 Acceso fsico al centro de informacin. Objetivo: Determinar los controles utilizados para obtener acceso fsico al centro de informacin.
Elemento Acceso Fsico Puertas Puertas con seguro Puertas con combinaciones Puertas dobles Puertas elctricas Puertas con sistema biomtrico Puerta con lector de microchip Visitas Guardias de seguridad Escoltas para visitas. Rtulos Omisin de letreros que indiquen las zonas de centros de informacin Sistemas Biomtricos Huella Retina Voz Mixto Si No Observaciones

La actividad tuvo un porcentaje de: Si = 0% No = 0% En el cuadro anterior el Si representa hallazgos positivos y el No negativos

43

Cuadro No. 6.1 Ambiente en el centro de informacin. Objetivo: Identificar si las instalaciones estn adecuadamente sealizadas o rotuladas con rutas de evacuacin en casos de emergencias y lugares de peligro
Elemento Ambiente del Centro de Informacin Alarmas manuales de emergencias Si No Observaciones

Halon Golpe

Palanca Sistemas de emergencia Detectores de humo Extintores manuales Detectores de humedad Fuentes de alimentacin continua (planta elctrica, inversores, etc) Uso adecuado de fusibles, relay, break. (sin sobrecarga) Switch de apagado de emergencia Sealizacin de emergencia Rutas de evacuacin Existen Puertas de emergencia Extintores Mangueras para incendios

La actividad tuvo un porcentaje de: Si = 0% No = 0%

En el cuadro anterior el Si representa hallazgos positivos y el No negativos

44

Hallazgos En entrevista aplicada a: Jefe de IT:

Entrevista aplicada a: Gerente de Recursos Humanos:

Recomendaciones

Recomendaciones para los hallazgos detectados en entrevista realizada en Departamento de IT

45

46