Barriers to knowledge transfer

Actualmente no se cuenta con una ambiente de pruebas en el cual se pueda realizar las pruebas de esfuerzo (stress) e identificar problemas de performance de estos sistemas que ayuden a mejorar los tiempos de respuesta.

Actualmente, esta prueba se viene desarrollando en el ambiente de desarrollo.

La réplica de la Base de Datos de Producción al ambiente de Pruebas permitirá, de alguna forma, mejorar la realización la efectividad de las pruebas (por ejemplo, pruebas de esfuerzo). Sin embargo, el acceso de esta Base de Datos con información de producción en el ambiente de pruebas, puede generar problemas de confidencialidad de información.

Se recomienda que el Ambiente de Pruebas sea de características idénticas al ambiente de producción (hardware, software y configuraciones), para garantizar que el proceso de pruebas sea más efectivo.

Se recomienda aplicar mecanismos de transformación de datos para evitar que en ambiente de prueba se utilicen datos que se trabaja en producción y, de esa forma, proteger la confidencialidad de la información.

No se cuenta con un Sistema de Gestión de la Calidad, para asegurar la buena performance de los sistemas de información en Producción.

Existe la probabilidad que existan errores en los sistemas de información en el ambiente de producción debido a una limitada aplicación de controles de calidad.

Establecer y mantener un Sistema de Gestión de la Calidad que considere los siguientes aspectos:

 Responsables de control calidad (evaluar si es necesario implementar un comité como parte de la organización de la gestión de

SITUACIÓN ACTUAL RIESGO ASOCIADO RECOMENDACIONES

calidad).

 Definición de criterios de calidad.

 Definición de procesos claves de TI su secuencia e interacción con otros procesos.  Políticas, criterios y métodos para descubrir

actividades erradas.

 Procedimientos para supervisar y medir la eficacia y aceptación del QA y aplicar proceso de mejoramiento continuo

La implantación de un Sistema de Control de Calidad tiene el propósito de minimizar los errores (o “caídas”) de los sistemas de información, así como también poder detectar los problemas de performance antes que éstos ingresen a Producción.

2.3.6.5 Aspectos de los Procedimientos de Respaldo

En esta etapa se realizó la verificación de los procedimientos de respaldo regulares periódicamente validados. Estos deben incluir las medidas necesarias para asegurar la recuperación en caso de falla en los medios o luego de un evento mayor. Estas medidas deben ser coherentes con la estrategia de continuidad de negocios de la institución y deben evitar que la información de respaldo y los procedimientos de restauración estén expuestos ante posibles eventos que comprometan la operación del centro principal de procesamiento. Para la verificación y evaluación del Desarrollo y Mantenimiento de Sistemas de Información se tomó como referencia el documento entregado por el Área de Cómputo: Políticas y Procedimientos.

2.3.6.6 Aspectos del Plan de Continuidad de Negocio

En este punto se verifica que la institución cuente con el "Plan de Continuidad de Negocios" (PCN), el cual debe ser periódicamente validado, garantizando de esta manera un nivel aceptable de operatividad de los procesos críticos, ante fallas mayores internas o externas.

SITUACIÓN ACTUAL RIESGO ASOCIADO RECOMENDACIONES

Los Servidores están ubicados en las Instalaciones del segundo piso de la Institución.

De acuerdo a información proporcionada en las entrevistas, El ministerio de educación tiene un Plan de Continuidad de Negocio para su Data Center.

Existe la probabilidad que, por desconocimiento del personal y por falta de pruebas al plan, no se desarrollen todas las actividades de recuperación de operaciones de manera adecuada durante un evento de emergencia.

Se recomienda:

 El Plan de Continuidad de Negocio de La Gerencia Regional de Educación La Libertad debe estar sincronizado con el Plan del Ministerio de Educación

 Planificar y ejecutar pruebas del Plan de Continuidad de Negocio, donde se pruebe la sincronización y consistencia con el Plan de la GRELL.

2.3.6.7 Aspectos de la Auditoría Interna

En esta etapa se verificó que la institución cuente con un servicio permanente de auditoría de sistemas, que colaboré con el área de auditoría interna en la verificación del cumplimiento de los criterios de control interno para las tecnologías de información, dentro del marco del plan de auditoría anual

En la presente auditoria no se ha identificado ninguna observación relevante referida a este aspecto.

2.3.6.8 Aspectos Metodológicos

Según las mejores prácticas de Tecnologías de Información expuestas en COBIT en su procedimiento P010 la institución deben seguir procedimientos que aseguren una correcta Administración de Proyectos. En tal sentido, en esta etapa se verificó que la institución cuente con metodologías de gestión de proyectos y con formatos de documentación estándar.

Actualmente el desarrollo de Sistemas se realiza mediante una Metodología propia. En la presente auditoria no se identificó ninguna observación relevante con relación al aspecto de metodologías.

2.3.6.9 Aspectos de Planificación

En esta etapa se verificó que la institución cuente con planes operativos, planes estratégicos, entre otros, que le marquen el camino a seguir con respecto a las tecnologías de información dentro un periodo. Para este propósito se usó como referencia el procedimiento P01 Definir Plan Estratégico TI expuesto en la versión 4.1 de COBIT.

Para la verificación y evaluación de los Aspectos de Planificación se tomó como referencia la reunión sostenida con el Jefe de Desarrollo de Proyectos y posteriormente con el Jefe de Producción, que fue designado por el Gerente Regional de Educación La Libertad, en su reemplazo.

A la fecha aún no cuenta con un Plan Estratégico de Tecnología de Información que marque la tendencia tecnológica de mediano y largo plazo de acuerdo al Plan Estratégico de La Gerencia Regional de Educación La Libertad (estrategias de hardware, software, comunicaciones y personal). Ésta fue una observación de la Auditoría 2009. Más adelante, en el punto 3.5 “Estado al 2013”, se revisa el estado de esta observación.

2.3.7 REVISIÓN DEL AVANCE DE IMPLEMENTACIÓN DE RECOMENDACIONES DE LA AUDITORIA ANTERIOR