Evaluación de los procesos de seguridad física y lógica, relativos a las tecnologías de información y comunicación

Abstract

El objetivo general del trabajo es evaluar los aspectos referentes a la seguridad física y lógica de aplicación por parte de una entidad pública en su ambiente de tecnologías de información y obtener un informe sobre los aspectos observados que constituyan oportunidades de mejora en dichos procesos, así como las recomendaciones respectivas. La organización investigada forma parte de la estructura estatal de instituciones públicas de naturaleza autónoma, que se rigen por una ley constitutiva, el marco jurídico que tutela el accionar del sector público costarricense, tal como la Ley General de la Administración Pública, Ley de Administración Financiera y Presupuestos Públicos, Ley General de Control Interno y otras. Además, del marco normativo de naturaleza vinculante emitido por la Contraloría General de la República. El proyecto desarrolla una investigación de tipo auditoría, mediante la evaluación de los procesos generales de seguridad física y lógica relativa con las tecnologías de información y comunicación de la institución. Dentro de las principales conclusiones se tienen: 1. De la evaluación realizada, se determinaron aspectos de mejora en las áreas de seguridad lógica y física, de acuerdo con los objetivos estratégicos de la institución, los cuales han sido recientemente replanteados por la nueva administración dada las variaciones y competitividad en el mercado internacional. 2. Al no haber adoptado la Institución un marco de referencia procedimental para la realización del trabajo propuesto, y ser la normativa del sector público aplicable a la organización ayuna en el tema, se definió como fuentes de criterio la utilización de las mejores prácticas incluidas en los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT), a sabiendas de que, por ser una normativa internacional generalmente aceptada para el uso cotidiano de gerentes de empresas y auditores, podría ser de aplicación en el proyecto por desarrollar, con la salvedad de que constituyese una adaptación de sus mejores prácticas y no una adopción de la metodología en forma integral. Igualmente la normativa de carácter obligatorio para las instituciones públicas, emitida por la Contraloría General de la República. 3. Se identificó un entorno del TI con un ciclo de madurez que favorece las oportunidades de reforzar la arquitectura de tecnología de información alineada con los objetivos estratégicos institucionales. 4. La situación actual de la organización en relación con el uso de las Tecnologías de Informática es insuficiente para alcanzar los objetivos estratégicos de la entidad. Con base en lo anterior, se recomienda: 1. Establecer un plan estratégico de las TI alineado con los objetivos de la entidad. 2. Elaborar un programa de acción para atender las necesidades de arquitectura en hardware y software con la capacidad que se requiere para automatizar los procesos pertinentes que coadyuvarán a alcanzar los objetivos estratégicos institucionales. 3. Considerar en el plan estratégico las acciones respectivas para fortalecer la seguridad física y lógica de las tecnologías de información, tales como: 3.1 Que la administración realice esfuerzos orientados hacia una mejor capacitación de su personal, en procura de establecer un índice satisfactorio de conciencia y cultura organizacional, las mismas que contribuirán con una mejor eficiencia, eficacia, uso y aprovechamiento de las tecnologías de información institucionales. 3.2 Que se proceda con la elaboración de los procedimientos que se encuentran en condición pendiente, y que los existentes sean revisados a efecto de complementarlos con los lineamientos necesarios 3.3 Que la administración considere los aspectos de mejora relacionados con seguridad física; tales como: Cámaras de vídeo, vigilancia, registro de personal que ingresa al Centro de Cómputo, alarmas contra robos, sistemas de detección de incendio, control de humedad, sistema detector de líquidos, piso falso, bitácoras de registro, entre otros. 3.4 De conformidad con la disponibilidad de sus recursos, sus planes estratégicos, estructura administrativa y operativa del recurso humano del Departamento de Tecnologías de Información, es necesario que la administración evalúe la conveniencia de implantar la figura del administrador de la seguridad de TI, como una función específica. 3.5 Se debe crear, comunicar y probar un plan de contingencia para mantener la continuidad de los sistemas críticos de la institución en caso de que ocurra una eventualidad que interrumpa la fluidez de las operaciones del negocio. 3.6 Se debe procurar la adecuada segregación de funciones para prevenir la posibilidad que una única persona sea la responsable por diversas funciones críticas, de forma tal que errores o modificaciones puedan ocurrir y no ser detectados oportunamente dentro del curso normal de los procesos operativos. 3.7 Para asegurar el servicio continuo, la organización debe satisfacer los requerimientos del negocio, asegurando que los servicios de TI estén disponibles y procurar un impacto mínimo en las actividades de la organización, en caso que ocurriera una interrupción mayor.