PRE-INFORME DE AUDITORIA

AUDITORIA SISTEMA DE INFORMACIÓN

ALUMNAS:MARÍA FERNANDA MEZA

PATRICIA VALDES
PROFESOR EDUARDO LEYTON
16 de noviembre 2015

pág. 0
I. ANTECEDENTES GENERALES DE LA AUDITORIA _____________________ 2
1.1. Objetivo General ____________________________________________________ 2
1.2. Objetivos específicos _________________________________________________ 2
1.3. Alcance de la Auditoría ______________________________________________ 3
1.4. Metodologías de la Auditoría __________________________________________ 3
1.5. Observación General ________________________________________________ 3
II. POLÍTICAS POSITIVAS OBSERVADAS EN EL AREA ___________________ 4
III. OBSERVACIONES Y RECOMENDACIONES DETALLADAS _____________ 5
3.1 Estructura de la Organización y su lugar dentro del Organigrama ____________________ 5
a. Situación actual _________________________________________________________________ 5
b. Observaciones __________________________________________________________________ 5
c. Recomendaciones _______________________________________________________________ 6

3.2 Desarrollo de Proyectos __________________________________________________ 6

a. Situación actual _________________________________________________________________ 6
b. Observaciones __________________________________________________________________ 6
c. Recomendaciones _______________________________________________________________ 7

3.3 Plan Informático ___________________________________________________________ 7

a. Situación actual _________________________________________________________________ 7
b. Observaciones __________________________________________________________________ 7
c. Recomendaciones _______________________________________________________________ 8

3.4 Seguridad de los activos tecnológicos _______________________________________ 8

a. Situación actual _________________________________________________________________ 8
b. Observaciones __________________________________________________________________ 8
c. Recomendaciones _______________________________________________________________ 8

3.5 Seguridad Ofimática ________________________________________________________ 9

a. Situación actual _________________________________________________________________ 9
b. Observaciones __________________________________________________________________ 9
c. Recomendaciones _______________________________________________________________ 9

3.6 Inexistencia de sala cero ____________________________________________________ 10

a. Situación actual ________________________________________________________________ 10
b. Observaciones _________________________________________________________________ 10
c. Recomendaciones ______________________________________________________________ 10

pág. 1
I. ANTECEDENTES GENERALES DE LA AUDITORIA

1.1. Objetivo General

El objetivo del presente trabajo es tomar conocimiento evaluar y analizar el Área de

Informática de la Empresa de Supermercados Jumbo, sobre sus debilidades y la eficacia de
esta, con el fin de emitir una opinion razonable acerca de funcionamiento en forma general,
si cumple con la calidad integridad y resguardo de la información como tambien ser una
herramienta estratégica y evaluar el grado de satsifaccion de todos los usuarios.

1.2. Objetivos específicos

 Para el logro del Objetivo General se considero los siguientes objetivos especificos:
 Tomar conocimiento sobre la estructura del Área de Informática con el fin de saber
si
 Tomar conocimiento sobre su lugar en el organigrama
 Tomar conocimiento de sus responsables, colaboradores y sus funciones para saber
si cada uno de ellos trabaja de acuerdo a sus labores específicas y responsabilidades
 Tomar conocimiento de la seguridad fisica en términos generales
 Tomar conocimiento de la seguridad logica en términos generales
 Tomar conocimiento de las normas, políticas, y manuales de dicha Área para
verificar si los procesos se desarrollan en dichos marcos teóricos
 Verificar si los usuarios internos conocen y utilizan las normas, manuales y
procesos estipulados en el Área para diagnosticar su conocimiento sobre ellas
 Tomar conocimiento de contratos sobre la externalización de los servicios de
soporte y contratos de licencias y software actualizados para saber si estos cumplen
con lo garantizado

2
 1.3. Alcance de la Auditoría

Según el objetivo general y los específicos, nuestra Auditoria se basa en que se cumplan
estos, verificando; la estructura, las funciones del Área y la participación de los usuarios
internos sus responsabilidades y compromisos. En cuanto a la seguridad física y lógica la
verificación los controles sobre los activos tecnológicos y su seguridad de modo general.
Todo esto se concentrara en un período desde el 10 de Octubre del 2015 hasta el 31 de
Octubre del 2015. Seguido de esto elaboramos en el Informe que se detalla más abajo y la
fecha de entrega es el 16 de Noviembre del 2015 con sus recomendaciones.

1.4. Metodologías de la Auditoría

Se recopiló para su verificación la siguiente documentación: flujos de procesos, manuales,

inventarios de los activos tecnológicos, licencias, contratos con proveedores de servicios, se
evaluaron entrevistas hechas a los encargados y colaboradores de Supermercado Jumbo,
profesionales del área y usuarios internos Se analizó el entorno físico donde se encuentran
los activos tecnológicos su higiene temperatura y mantención, se verificó el acceso a dichos
activos y sus controles de acceso. Se visitaron las sucursales que se están monitoreando
(sucursal Kennedy y sucursal Bilbao) las cuales contienen el desarrollo principal de los
activos tecnológicos. El análisis se baso preferentemente en las pruebas sustantivas y de
cumplimiento con el fin de evaluar el área y su control de procesos todo esto orientado a
medir la calidad, integridad y resguardo de los recursos tecnológicos.

En la auditoría se observan políticas positivas del Sistema de Información que posee

Supermercados Jumbo

1.5. Observación General

Supermercados Jumbo nace el año 1960 gracias a la idea de su principal accionista Sr.
Horst Paulmann, desde ese entonces se ido desarrollando y expandiendo dentro de Chile y
fuera de nuestro país. De acuerdo a su Plan Estratégico tendrá sucursales en Bolivia y
Argentina además de ser líder tecnológico en el rubro de ventas de productos alimenticios y
otros. En Base a este Plan Estratégico se desarrolló el Plan Informático el cual tendrá una
duración de 8 años el cual fue aprobado por el Jefe de Informática y por todo el comité de
integrantes de este.

3
 La empresa posee una estructura de área de con un Jefe del Departamento de informática
que tiene a su cargo a 175 profesionales y colaboradores dentro de los cuales se encuentran:
ingenieros en informática, electrónicos, ingenieros en ejecución, expertos en redes y
conectividad y digitadores de la información.

II. POLÍTICAS POSITIVAS OBSERVADAS EN EL AREA

Posee una posición dentro del organigrama definida con un orden jerárquico

Posee personal idóneo del departamento de Informática se profesionales capacitados y

actualizados en tecnologías

Posee políticas corporativas de seguridad de la información

Posee manuales de desarrollo de cada uno de sus procesos

Plan de emergencia frente a cortes de energía : Ej. los procesos no se ven detenidos por
cortes de luz por desastres climáticos, etc.

Posee políticas de adquisición de Sistemas de la Información para cubrir los requerimientos

de la empresa y su expansión

A pesar de las capacidades y aspectos positivos es posible observar la existencia de algunas

debilidades de alto y mediano riesgo que es recomendable subsanar; como de estructura,
de seguridad de procesos, de integridad de datos lo que se detalla a continuación:

Riesgo por la influencia comercial sobre el Área de informática ya que depende

directamente de esta

Riesgo sobre la definición de roles y funciones de los encargados en el área

Riesgo sobre la política de compras que debería estar basado sobre un análisis profundo de
factibilidad

Riesgo alto sobre las pruebas que se realizan para el desarrollo de sistemas en forma parcial
lo que puede traer falta de integridad en la información.

4
 Riesgo alto por pérdida de activos por falta de seguridad lo que se vio afectado a la fuga de
equipos lectores de barras para los distintos tipos de productos de la cadena, lo que implica
que dentro del proceso diario la falta de estos pueda afectar directamente la actividades del
supermercado en forma diaria

Riesgo por pérdida de bases de datos y de precios por falta de seguridad informática de
dichos datos, lo cual puede implicar que la información sea vendida a los competidores
obteniendo estos información clave del negocio, lo cual impacta directamente en sus
operaciones de ventas y negociación de productos.

Por lo que es recomendable que se tomen las medidas correctivas a fin de mejorar tales
deficiencias lo que traerá minimizar los riesgos. A continuación en el numeral III se
presentan las “Observaciones y Recomendaciones” en forma detallada.

III. OBSERVACIONES Y RECOMENDACIONES DETALLADAS

3.1 Estructura de la Organización y su lugar dentro del Organigrama

a. Situación actual
Supermercados Jumbo es una organización de 2.250 empleados, de estos 175 dependen del
directamente del Jefe de Informática Corporativo, único representante dentro del área
tecnológica con autoridad.

b. Observaciones
En cuanto a la estructura organizacional departamento de Informática depende de la
Gerencia de Operaciones Comerciales, lo que no le da la independencia necesaria ya que
las decisiones se toman orientadas en sentido comercial. El departamento de Informática
cumple un rol decisivo en los procesos de Jumbo por lo que debe tener el lugar que
corresponde dentro de la organización.

Se observa que el único representante dentro del área tecnológica es el Jefe de Informática
Corporativo, por lo tanto las decisiones finales recaen sobre una sola persona.

5
 c. Recomendaciones
Es muy recomendable que el Departamento de Informática se encuentre dentro de la
estructura organizacional en el lugar que le corresponde para potenciar sus objetivos que
van interrelacionados con las decisiones estratégicas, para que las TI pueden maximizar
sus beneficios y minimizar los riesgos que se puedan ocasionar debido a las decisiones de
tipo comercial, por lo tanto debe depender directamente de la Dirección General con el fin
de cumplir con sus objetivos y entregar la satisfacción de sus procesos tanto a los usuarios
directos e indirectos. Se recomienda que el encargado del Área informática tenga
exclusividad en dirigir esta y sus gestiones sean dirigidas en lograr todos los objetivos y
políticas de esta.

Toda vez que se independice el Departamento de Informática también se recomienda que

formalmente se nombren encargados para cada área específica del departamento con
funciones y responsabilidades delimitadas para que se canalicen más directamente los
reclamos, para que se corrijan los errores más rápidamente en resumen para potenciar las
habilidades de cada empleado y así cumplir con los principios de integridad y resguardo de
la información, la finalidad es que la estructura interna del Área Informática quede
totalmente definida y sus colaboradores alineados con sus objetivos.

3.2 Desarrollo de Proyectos

a. Situación actual
El ingeniero de sistemas quien está a cargo del desarrollo simultáneo de varios proyectos,
se turna esporádicamente en esa función con su colega de explotación de sistemas, a objeto
de que en cada desarrollo se considere la particular expertiz de cada uno y se puedan lograr
sistemas que ambos dominen en forma previa a su explotación. A su vez cuando disponen
de tiempo ejercen algunas labores operativas de construcción de sistemas, específicamente
de programación. También se les solicita que manipulen la unidad de disco y de cinta
magnética.

b. Observaciones

Según lo observado y por los antecedentes recabados existe riesgo en relación a la

explotación, el desarrollo de nuevos sistemas, estas funciones debido a la premura por
implantar los nuevos sistemas desarrollados se ha establecido efectuar al momento de su
implantación sólo una prueba global de ellos y que sean los auditores computacionales o los
usuarios finales quienes posteriormente y según necesidades desarrollen pruebas más
detalladas.

6
En cuanto a la seguridad informática se observa que ha enfrentado comprando e instalando
un software de control de acceso de última generación en todos los computadores y se ha
contratado un muy buen seguro de paralización que, en términos monetarios, cubre
satisfactoriamente eventuales pérdidas.

c. Recomendaciones
Se recomienda que cada labor realizada este respaldada por los conocimientos de cada
profesional, ya que se corre el riesgo no tener dedicación exclusiva de la responsabilidad
final ademas que dichos proyectos sean probados mas de una vez para su eficacia. ( que
solo en caso muy detallados sean reemplazados y alternen sus funciones).

Hay que diferenciar la seguridad de los equipos de escritorio con la seguridad del equipo
central, estos deben estar alejados del usuario final por muy impractico que esto sea, (que
no se encunentren en la misma sala) ya que como varios estudios lo han demostrado la
mayor cantidad de daño y robo de antecedentes se produce dentro de la organización ya sea
por error o por hacer daño en forma premeditada.

3.3 Plan Informático

a. Situación actual
En base al Plan Estratégico de mantención se formuló el Plan Informático del Grupo a 8
años, el cual, en la primera sesión del Comité de Informática Corporativo, este plan contó
con la aprobación inmediata del Jefe de Informática Corporativo y luego con la aprobación
de todos los demás integrantes de dicho Comité (Gerentes de Áreas) quienes apoyaron
abiertamente esa decisión.

b. Observaciones

El tiempo estimado al plan informático es muy extenso, debido a la rapidez con que se
desarrolla las tecnología TI dicho plan a 8 años puede encontrarse desactualizado al
término de este periodo, lo anterior puedo implicar que las tecnologías de la información
requeridas por la compañía y utilizadas para los procesos no cuenten con lo necesario para
desarrollarlas y lograr el objetivo de expansión en base a los TI existentes. Además de este
plan fue aprobado rápidamente por todos sin mayor objeción.

7
 c. Recomendaciones
Si la continuidad del negocio depende de su infraestructura informática es muy importante
disponer de un completo inventario que clasifique todos sus dispositivos, software y
sistemas operativos mediante una clasificación que facilite poder detectar las “caducidades”
que afectarán a la seguridad de la empresa. De este modo se podrá programar las diferentes
acciones de mejora y que este cambio no tome por sorpresa durante el plan de 8 años.

Se recomienda también que los acuerdos por los cuales se adquieran sistemas de
información sean mediante un análisis detallado (estudio de factibilidad) considerando los
factores más importantes: las necesidades que se originan por la capacidad, por eficiencia,
por la eficacia de los TI lo que producirá un beneficio tecnológico en relación al costo.

3.4 Seguridad de los activos tecnológicos

a. Situación actual
En el Supermercado Jumbo de Bilbao producto de una fuerte presión y carga de trabajo
existente, el encargado de mantención, en algunas oportunidades solicita operar
transitoriamente la unidad de disco y la cinta magnética a uno de los ingenieros de
computación.

b. Observaciones
Se observa una política de “salir del apuro” y no un plan de contingencia a la excesiva
demanda de trabajo, cada empleado debe dedicarse exclusivamente a sus labores y
desarrollarlas con tranquilidad y eficiencia, si bien es cierto que hay responsabilidad por
cumplir con todo, esto puede producir errores de resguardo y de daño físico a la cinta
magnética y a la unidad de disco.

c. Recomendaciones
Se recomienda tener una capacitación para tomar conciencia de la seguridad y de los
riesgos a los que estan enfrentados; la necesidad constante de informar y de formar al
personal es necesario destacar para todos los usuarios directos e indirectos.

8
Se recomienda mantener una sala pequeña para la seguridad de resguardar medios
magnéticos y la información que contienen, tales como la cinta magnética que está siendo
manipulada por dos personas por lo menos. Las cintas y otros soportes deben ser guardados
de un modo determinado para proteger la información que contienen, dependiendo de qué
tan eficiente sea el acomodo de los muebles de cintas el área debe ser hermética y de acceso
controlado. Por lo mismo debe contemplarse aire de precisión, ya que los elementos deben
conservarse en la mejor condición posible para ser utilizados en cualquier momento.

3.5 Seguridad Ofimática

a. Situación actual
El Jefe de Informática Corporativo, único representante dentro del área tecnológica con
autoridad, se ha enterado recientemente por sus dos únicos subalternos con atribuciones
formales (encargado de explotación de sistemas y encargado de desarrollo de sistemas
respectivamente), de recientes fugas de equipos lectores de barras para los productos del
supermercado, y de las bases de datos (información) de proveedores y de precios (ambos
desde el supermercado de Bilbao).

b. Observaciones
Falta de seguridad debido la fuga de lectores, bases de datos y precios dentro del
supermercado Jumbo Bilbao.

c. Recomendaciones
Se recomienda a la administración realizar una revisión a sus procedimientos y protocolos
de seguridad de bodega, realizar inventarios semestrales, y establecer encargados de la
custodia de la bodega.

Se recomienda a la administración la revisión de los procedimientos de alimentación y

resguardo de la base de datos, así como tan bien realizar una auditoría a los perfiles de los
usuarios limitando las acciones de estos según el cargo respectivo. Una de las mayores
ayudas que puede recibir un hacker que intenta infiltrarse en el sistema de una organización
consiste en obtener información acerca de éste ya sea por los empleados o por terceros.

9
3.6 Inexistencia de sala cero

a. Situación actual
Supermercado Jumbo poseen dos configuraciones computacionales idénticas de grandes
magnitudes de procesamiento (Host o Main Frame comunicadas entre sí para compartir
dispositivos e información-una en Kennedy -y la otra en Bilbao). En ambas instalaciones se
efectúan labores de desarrollo y explotación de sistemas para optimizar el uso de los
equipamientos.

b. Observaciones
No se observa que existe un centro de procesamiento de datos Sala Cero o Data Center
independiente de todos los sistemas de información, esto constituye hoy en día una real
necesidad no importando el giro o rubro de la entidad, las políticas de expansión de
Supermercados Jumbo necesitan urgentemente mantener una Data por separado.

c. Recomendaciones

La sala cero debe estar resguardada por seguridad del espacio y ubicación (existen
diferentes ámbitos que deben ser considerados para ello) ubicación estratégica, controles de
acceso, cámaras y guardias de seguridad, control de temperatura, de incendios y toda la
infraestructura y equipos mecánicos o aire acondicionado del centro de datos, los cuales
controlan la temperatura y humedad de todos los sistemas de procesamiento y equipos de
soporte. Estos equipos están reunidos en un cuarto específico pero suministran aire a los
demás, por lo que resguardar este activo es una inversión que vale la pena.

10
11