Upload
isabel-vilca-ella-fanatica
View
292
Download
1
Embed Size (px)
Citation preview
PCUNIVERSIDAD NACIONAL DE MOQUEGUA
AUDITORIA INFORMATICA – OLVA COURIERUNIVERSIDAD NACIONAL DE MOQUEGUA
INTEGRANTES:
ISABEL VILCA QUISPE JOSE LUIS CALLACONDO SHIRLEY MAMANI RODRIGUEZ
DOCENTE:
ALEX ZUÑIGA INCALLA
INDICEDedicatoria.................................................................................................................................2
SOLICITUD DE AUDITORÍA INTERNA A LA EMPRESA OLVA CORIER...............................................3
PLANEACION DE LA AUDITORIA INFORMATICA...........................................................................5
1.1. ORIGEN DE LA AUDITORIA:................................................................................................6
1.2. OBJETIVO GENERAL...........................................................................................................6
1.3. OBJETIVOS ESPECIFICOS....................................................................................................6
1.4. ANTECEDENTES..................................................................................................................6
1.5. ENFOQUE A UTILIZAR........................................................................................................9
1.6. PERSONAL A CARGO DE AUDITAR.....................................................................................9
1.7. CRONOGRAMA DE TRABAJO...........................................................................................10
Diagrama de actividades....................................................................................................12
Auditoria del hardware......................................................................................................13
1.8. DOCUMENTOS A SOLICITAR............................................................................................14
1.9. AUTORIDADES DE LA EMPRESA OLVA CORIER................................................................14
1.10. PRINCIPALES ACTIVIDADES:....................................................................................14
1.11. RECURSOS PARA LA AUDITORIA..............................................................................15
Humanos:..............................................................................................................................15
Materiales:............................................................................................................................15
Tecnológicos..........................................................................................................................16
1.12. METODOLOGIA............................................................................................................16
1.13. ANALISIS FODA.............................................................................................................18
UNIVERSIDAD NACIONAL DE MOQUEGUA2
AUDITORIA INFORMATICA – OLVA COURIER
DedicatoriaPor este medio agradecemos a OLVA COURIER por permitir realizar nuestro trabajo dentro
de sus instalaciones, así permitirnos obtener experiencia como auditores en informática.
Apreciamos la confianza que nos brindaron, brindando todo lo que necesitábamos para la
elaboración del documento, tiempo, información, etc.
UNIVERSIDAD NACIONAL DE MOQUEGUA3
AUDITORIA INFORMATICA – OLVA COURIER
SOLICITUD DE AUDITORÍA INTERNA A LA EMPRESA OLVA CORIER
En Ilo, a 2 de Diciembre de 2013.
Yo, José Luis Callacondo, mayor de edad, con DNI 47014048, en condición de
alumno de la Universidad Nacional de Moquegua de la carrera profesional
ingeniería de sistemas e informática del VIII ciclo.
EXPONE:
1) Que según la Norma ISO (Organización Internacional de Normalización)
9001:2008, de Gestión y Aseguramiento de la Calidad, el centro se encuentra en
fase de implantación del Sistema General de Calidad.
2) Que de acuerdo en lo establecido en la Normas del Área de Informática,
sobre Seguimiento y medición, es preceptivo la realización de la Auditoría
Interna.
Es por ello que a la Empresa OLVA CORIER
SOLICITA:
Que para la realización de dicha Auditoría del año 2013 se envíe a los
pertinentes Auditores Internos de la empresa.
Que la realización de la Auditoría Interna en el centro al que representa se
realice en el mes de Diciembre y preferentemente en el día de la semana 16
al 28 .
Que no se realice la Auditoría Interna en su centro los días Sábados ni
Domingos
UNIVERSIDAD NACIONAL DE MOQUEGUA4
AUDITORIA INFORMATICA – OLVA COURIER
Asimismo, el centro asume el compromiso de cumplir con las pautas que se le
indiquen y a la colaboración con el Auditor para la realización de sus funciones.
Para que así conste, se solicita en forma y plazo
1 de Diciembre de 2013
----------------------------------
ATT. José Luis Callacondo
PRESIDENTE DE AUDITORIA INFORMÁTICA
----------------------------------
ATT. Isabel Vilca Quispe
AUDITORA INFORMATICA
----------------------------------
ATT. Shirley Mamani Rodriguez
AUDITORA INFORMATICA
UNIVERSIDAD NACIONAL DE MOQUEGUA5
AUDITORIA INFORMATICA – OLVA COURIER
INTRODUCCIÓN
En la Actualidad los Sistemas Informáticos constituyen una herramienta bastante
poderosa para la mejora de rendimiento de toda organización empresarial.
Del mismo modo, no solo se trata de adquirir tecnología, sino que también es
necesario saber darle el uso adecuado de acuerdo a los Requerimientos particulares
de un determinado usuario o grupos usuarios.
La Auditoría Informática, es un punto clave en este sentido, debido a que, si bien es
cierto, ayuda a detectar errores y señalar fallas en determinadas áreas o procesos,
su objetivo está orientado a brindar soluciones, planteando métodos y
procedimientos de control de los sistemas de información que son validos para
cualquier empresa u organización por pequeña que esta sea.
El auditor informático ha de velar por la correcta utilización de los amplios recursos
que la empresa pone en juego para disponer de un eficiente y eficaz sistema de
información.
Cabe resaltar que para la realización de una auditoria informática eficaz, es necesario
entender a la empresa en su más amplio sentido, El presente informe, realizado por la
empresa JC auditores, plantea un estudio profesional del los diversos factores que pueden
estar influyendo en las operaciones de la empresa auditada “OLVA COURIER” a fin de
brindar las soluciones y recomendaciones pertinentes.
UNIVERSIDAD NACIONAL DE MOQUEGUA6
AUDITORIA INFORMATICA – OLVA COURIER
PLANEACION DE LA AUDITORIA INFORMATICA
AUDITORIA INFORMATICA
UNIVERSIDAD NACIONAL DE MOQUEGUA7
AUDITORIA INFORMATICA – OLVA COURIER
AUDITORIA INFORMATICA A LA EMPRESA OLVA CORIER S.A.
1.1. ORIGEN DE LA AUDITORIA:
La presente Auditoria se realiza en el cumplimiento de las normas de seguridad en
dicha área de acuerdo al estándar ISO 9000
1.2. OBJETIVO GENERAL
Supervisar el área de informática de la empresa , de igual manera revisar su
utilización, eficiencia y seguridad para su previa participación en el procesamiento
de la información, para que logre una utilización mas eficiente y segura
información que servirá para una adecuada toma de decisiones.
1.3. OBJETIVOS ESPECIFICOS
Evaluar el diseño de los equipos de computo del área de informática
Determinar la veracidad de la información del área de Informática
A analizar su estandarización y evaluar el cumplimiento de los mismos.
Evaluar la forma como se administran los dispositivos de almacenamiento
básico del área de Informática
Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.
Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del
orden dentro del área de cómputo.
1.4. ANTECEDENTES
El 23 de marzo de 1987, dos jóvenes empresarios decidieron fundar Olva &
Asociados S.R.L., empresa de correo privado dirigida a especializarse
exclusivamente al correo nacional. Hoy, nos hemos convertido en el courier más
grande del Perú: OLVA COURIER.
Gracias al buen servicio, la conformidad y los mejores tiempos de entrega,
servicios complementarios a nivel nacional, y la confianza que se generó entre
nuestros clientes, es que entre los años 1990 y 1991, logramos una importante
UNIVERSIDAD NACIONAL DE MOQUEGUA8
AUDITORIA INFORMATICA – OLVA COURIER
cartera de más de 600 clientes corporativos, pertenecientes a diversos sectores
de negocio.
Ya para 1996 nos habíamos convertido en una organización con 68 oficinas en
todo el Perú, dedicadas al servicio de entregas, todas adecuadamente equipadas
y con la debida infraestructura.
Al nuevo milenio, ingresamos como una empresa sólida que cuenta con un
almacén central de 3.300 m2, 14 locales de atención al público ubicados en
distritos estratégicos de Lima, 270 oficinas en provincias y más de 200 unidades
móviles que recorren todo el país.
En el 2011, continuando con nuestro espíritu de crecimiento, en OLVA COURIER
iniciamos una nueva etapa al lanzar nuevas unidades de negocio: Olva Carga,
Olva Export-Import, Olva TI; y una nueva línea de servicio de gestiones con
cobertura nacional: verificaciones, cobranzas, trámites, firma de contratos,
outsoursing, control de colas y auditoría de envíos masivos.
Tras 25 años de experiencia, repotenciamos la marca y renovamos el logotipo e
identidad corporativa. Nuestra red de oficinas se consolida siendo la única que
permite brindar servicios de Lima a provincias, de provincias a Lima, entre
provincias y locales, soportando una cartera de clientes corporativos superior a
las 1,000 empresas y más de 2 millones de personas naturales, convirtiendo a
OLVA COURIER en la empresa líder en el servicio courier en el país.
UNIVERSIDAD NACIONAL DE MOQUEGUA9
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA10
AUDITORIA INFORMATICA – OLVA COURIER
1.5. ENFOQUE A UTILIZAR
La presente acción de control, se realiza de acuerdo con el organismo central y
rector de los Sistemas Nacionales de Estadística e Informática, responsable de
normar, supervisar y evaluar los métodos, procedimientos y técnicas estadísticas e
informáticas utilizados por los órganos del Sistema INEI (Instituto Nacional de
Estadística e Informática), Normas Internacionales de Auditoria (NIA); habiéndose
aplicado procedimientos de Auditoria que se consideraron necesarios de acuerdo a
las circunstancias.
Esta acción se realizara de acuerdo al objetivo de la auditoria informática tomando
en cuenta que cada uno de los integrantes del equipo participaremos como
responsables cumpliendo ciertas condiciones las cuales son supervisar y evaluar los
procedimientos y técnicas informáticas utilizadas en esta institución.
Habiendo así aplicado los procedimientos de auditoria que se consideren
necesarios de acuerdo a las circunstancias.
La presente Auditoria Informática se realizara en la empresa OLVA CORIER, ubicada
en el Distrito de Ilo, Departamento de Moquegua, siendo el área a examinarse la
de Informática.
1.6. PERSONAL A CARGO DE AUDITAR
1.7. CRONOGRAMA DE TRABAJO
UNIVERSIDAD NACIONAL DE MOQUEGUA11
ORGANIZACIÓN QUE LLEVA LA AUDITORIA
AUDITOR:ISABEL VILCA QUISPE
AUDITORIA INFORMATICA – OLVA COURIER
AUDITOR:SHIRLEY MAMANI ROGRIGUEZ
JEFE AUDITOR:JOSE LUIS CALLACONDO
PROGRAMA DE AUDITORIA
Empresa: Olva Courier S.A.
FASE ACTIVIDAD HORAS
ESTIMADA
S
ENCARGADOS
1 Planificar 16-19 de
diciembre
-Ing. Isabel Vilca
Quispe
- Ing. José Luis
Callacondo
- Ing. Shirley
Mamani Rodríguez
1.Solicitud de manuales y Documentación
2.Elaboracion de Cuestionarios
3.Recopilacion de la Información
4.Pistas de auditoria
5.Obtencion para evidencia de auditoria
6.Reconocimiento de factores internos de la
entidad a auditar
2 Ejecutar 20-27 de
diciembre
-Ing. Isabel Vilca
Quispe
- Ing. José Luis
Callacondo
- Ing. Shirley
Mamani Rodríguez
1.Aplicaciones del cuestionario al Personal
2.Analisis de las claves de acceso y control
seguridad, confiabilidad y respaldos
3.Evaluacion de los sistemas; relevamiento
de hardware y software, evaluación del
diseño lógico y del desarrollo del sistema
4. Evaluación de la estructura orgánica de la
empresa.
5. Evaluación del área informática y su flujo
de trabajo.
6. Evaluación de las normas de seguridad en
dicha entidad sobre posibles riesgos.
7.Evaluación del proceso de datos y de los
equipos de cómputo: seguridad de los datos,
control de operación seguridad física y
procedimientos de respaldos
UNIVERSIDAD NACIONAL DE MOQUEGUA12
AUDITORIA INFORMATICA – OLVA COURIER
3 verificar 27
diciembre
-Ing. Isabel Vilca
Quispe
- Ing. José Luis
Callacondo
- Ing. Shirley
Mamani Rodríguez
1.Revision de papeles de trabajo y solicitud
de requerimientos
2.Determinacion de diagnóstico
Implicaciones
3.Elaboracion de carta de Gerencia
4.Elaboracion de Borrador(Informe
Preliminar / Memorando)
4 Actuar 28-
diciembre
-Ing. Isabel Vilca
Quispe
- Ing. José Luis
Callacondo
- Ing. Shirley
Mamani Rodríguez
1.Elaboracion y presentación del Informe
2.Seguimiento
UNIVERSIDAD NACIONAL DE MOQUEGUA13
AUDITORIA INFORMATICA – OLVA COURIER
Diagrama de actividades
UNIVERSIDAD NACIONAL DE MOQUEGUA14
AUDITORIA INFORMATICA – OLVA COURIER
Auditoria del hardware
UNIVERSIDAD NACIONAL DE MOQUEGUA15
AUDITORIA INFORMATICA – OLVA COURIER
1.8. DOCUMENTOS A SOLICITAR
Políticas, estándares, normas y procedimientos.
Plan de sistemas.
Planes de seguridad y continuidad
Contratos, pólizas de seguros.
Organigrama y manual de funciones.
Manuales de sistemas.
Registros
Entrevistas
Archivos
Requerimientos de Usuarios
1.9. AUTORIDADES DE LA EMPRESA OLVA CORIER
DIRECTOR VASQUEZ LOPEZ GUSTAVO
DIRECTOR ADMINISTRATIVO VASQUEZ VELA ROSA MERCEDES
DIRECTOR GERENTE VASQUEZ VELA ANDERSON
1.10. PRINCIPALES ACTIVIDADES:
Olva Courier ofrece los siguientes servicios:
1) Soluciones courier: - Recojo y entrega a domicilio. - Retorno de cargos
adjuntos y guías de remisión. - Embalaje sin costo y embalaje especial. - Reporte
UNIVERSIDAD NACIONAL DE MOQUEGUA16
AUDITORIA INFORMATICA – OLVA COURIER
de entregas diarias, semanales o mensuales. - Sistema de comunicación en
tiempo real entre todas las oficinas.
2) Soluciones logísticas: - Servicio de carga. - Compras urgentes.
3) Transferencias de dinero.
4) Outsourcing:
* Municipalidad: - Partida de matrimonio. - Partida de nacimiento. *
Notarías: - Copia de minuta. - Carta notarial.
* Licitaciones: - Compra de bases. - Concursos públicos. - Adjudicaciones
directas.
* Essalud/Red asistencial: - Cobranzas de cheque. - Recojo de muestras. -
Recojo de comprobantes de retención. - Compra de bases.
* Iglesias: - Partida de confirmación. - Partida de primera comunión. -
Partida de bautizo. - Partida de matrimonio.
* Ministerio de educación: - Certificado de estudios. - Compra de
formatos de título.
* Colegios: - Certificado de estudios.
* SUNARP: -Títulos de propiedad. - Título vehicular. - Tarjetas de
propiedad. - Duplicado de tarjetas de propiedad
1.11. RECURSOS PARA LA AUDITORIA
Humanos:
Auditor principal.
Asesores.
UNIVERSIDAD NACIONAL DE MOQUEGUA17
AUDITORIA INFORMATICA – OLVA COURIER
Materiales:
Materiales de escritorio y oficina.
Fotocopias.
Pendrive (USB).
Computadora de escritorio.
Cartuchos de tinta.
Tecnológicos.
Paquete Office.
Internet Speedy 4MB
Telefonía
Impresora multifuncional.
Laptops.
1.12. METODOLOGIA
La metodología de investigación a utilizar en el proyecto se presenta a
continuación:
Para la evaluación del Área de Informática se llevarán a cabo las siguientes
actividades:
Solicitud de los estándares utilizados y programa de trabajo
Aplicación del cuestionario al personal
Análisis y evaluación del a información
Elaboración del informe
Para la evaluación de los sistemas tanto en operación como en desarrollo se
llevarán a cabo las siguientes actividades:
o Solicitud del análisis y diseño del os sistemas en desarrollo y en operación
UNIVERSIDAD NACIONAL DE MOQUEGUA18
AUDITORIA INFORMATICA – OLVA COURIER
o Solicitud de la documentación de los sistemas en operación (manuales
técnicos, de operación del usuario, diseño de archivos y programas)
o Recopilación y análisis de los procedimientos administrativos de cada
sistema (flujo de información, formatos, reportes y consultas)
o Análisis de llaves, redundancia, control, seguridad, confidencial y
respaldos
o Análisis del avance de los proyectos en desarrollo, prioridades y personal
asignado
o Entrevista con los usuarios de los sistemas
o Evaluación directa de la información obtenida contra las necesidades y
equerimientos del usuario
o Análisis objetivo de la estructuración y flujo de los programas
o Análisis y evaluación de la información recopilada
o Elaboración del informe
Para la evaluación de los equipos se llevarán a cabo las siguientes actividades:
o Solicitud de los estudios de viabilidad y características de los equipos
actuales, proyectos sobre ampliación de equipo, su actualización
o Solicitud de contratos de compra y mantenimientos de equipo y sistemas
o Solicitud de contratos y convenios de respaldo
o Solicitud de contratos de Seguros
o Elaboración de un cuestionario sobre la utilización de equipos, memoria,
archivos, unidades de entrada/salida, equipos periféricos y su seguridad
o Visita técnica de comprobación de seguridad física y lógica de la
instalaciones de la Dirección de Informática
o Evaluación técnica del sistema electrónico y ambiental de los equipos y del
local utilizado
o Evaluación de la información recopilada, obtención de gráficas, porcentaje
de utilización de los equipos y su justificación
Elaboración y presentación del informe final ( conclusiones y recomendaciones)
UNIVERSIDAD NACIONAL DE MOQUEGUA19
AUDITORIA INFORMATICA – OLVA COURIER
1.13. ANALISIS FODA
Fortalezas
o Disponibilidad de recursos económicos.
o Personal Directivo y técnico con experiencia(sistemas computacionales)
Oportunidades
o Buen servicio y trato.
Debilidades
o Falta de planes y Programas Informáticos.
o Escasa capacidad sobre conocimientos en informática
o No existe programas de capacitación y actualización al personal
o Personal técnico Calificado insuficiente en el área de computo
Amenazas
o sistemas obsoletos
o falta de mantenimiento a los equipos
o robo de material de trabajo de esta aula
ANÁLISIS INTERNOFORTALEZAS DEBILIDADES
Tratamiento personalizado a clientes, orientación yasesoramiento.
Integración de productos y servicios buscando sinergias entre ellos.
Innovación Constante. Personal debidamente Capacitado y
comprometido con la visión de la Organización.
Control de Almacén. Realizar grandes proyectos en el sector
privado y público. Dependencia de los servicios
subcontratados. Sistema de Información
Integrado (Compras, ventas, Almacén y Kárdex).
ANÁLISIS EXTERNOOPORTUNIDADES AMENAZAS
UNIVERSIDAD NACIONAL DE MOQUEGUA20
AUDITORIA INFORMATICA – OLVA COURIER
Valoración positiva de las TIC en la Organización.
Costos cada vez menores para lasOrganizaciones para la aplicación de las TIC.
Lealtad de los clientes hacia laOrganización.
Ubicación Céntrica del Local.
Oferta de productos a menor precio por parte de la competencia.
La inestabilidad económica de los pobladores de la cuidad deHuaraz.
Cambios repentinos de losSistemas Informáticos.
Incremento de la Competencia.
EJECUCION DE LA AUDITORIA INFORMATICA
UNIVERSIDAD NACIONAL DE MOQUEGUA21
AUDITORIA INFORMATICA – OLVA COURIER
N° TIPO DE HADWARE Modelo N° de Serie Marca Capaci
dad/
Tamañ
o
1 E-HDD MK3200GAH MK3200KHK Toshiba 300GB
2 E-HDD WD5000BEVT N82E1682213631
4
Western
Digital
80GB
3 E-HDD 6L080M0 72N6L080M0 IBM 80GB
4 E-HDD WD10EADS WD10EADS123HK
Z3
Western
Digital
160GB
5 Desktop/Registro Clone/
AMDTurion
AMD2VK8000-
M20
AMD 2.0ghz
6 Desktop/Estacion 1 Clone/Intel P I
V Intel
Intel Grand i865P
E
Intel 3.0Ghz
7 Desktop/Estacion 2 Clone/Intel P I
V Intel
Intel Grand i865P
E
Intel 2.8GHz
8 Desktop/Server 1 Clone/Intel P
IV
Intel dg41rq Intel 1.8GHz
9 Rack/Server 2 DellPowerEdge
R310
Intel dual core Intel 2.6GHz
10 KVM KVMDUAL2X7
54
200098X87UHDK HP 2PCs
11 LCD HPL19540 LKJNHLCD19KN HP 19
UNIVERSIDAD NACIONAL DE MOQUEGUA22
AUDITORIA INFORMATICA – OLVA COURIER
12 LCD DLAV17YH 009768BJHD DELL 17"
13 LCD KHLN791917KJ
B
23409087NHYLKJ
HN
DELL 17"
14 LCD HBJ15JJR BB15NJKB DELL 17"
15 LCD KHSD15JHK NDOUOAD1879 HP 19"
16 Mouse Laser 1 KHHKLOGMB JJBJJNLOG Logitech
17 MouseLaser2 KHHKLOGMB JJBJJNLOG Logitech
18 Mouse Laser 3 KHHKLOGMB JJBJJNLOG Logitech
19 MouseLaser4 KHHKLOGMB JJBJJNLOG Logitech
20 Mouse Laser 5 KHHKLOGMB JJBJJNLOG Logitech
21 TECLADOESPAÑOL
1
KKKJBGVAGVJ KKKJBGVAGVJ Micronics
22 TECLADOESPAÑOL
2
KKKJBGVAGVJ JVVUJKMM Micronics
23 TECLADOESPAÑOL
3
KKKJBGVAGVJ KKJBREVAGVB Micronics
24 TECLADOESPAÑOL
4
KKKJBGVAGVJ KKURREVHGJI Micronics
25 TECLADOESPAÑOL
5
KKKJBGVAGVJ JBFFUJIKMN Micronics
27 Regulador Voltaje RLV-1579001 RLVGFGFU Manhattan
28 Regulador Voltaje RLV-1579001 RLVGFGFU Manhattan
29 Modem
30 Router
Tipos de hardware
UNIVERSIDAD NACIONAL DE MOQUEGUA23
AUDITORIA INFORMATICA – OLVA COURIER
Aplicaciones de software
N°
Control
Aplicaciones Ubicación Cantidad Descripción
1 Open Office 3.3 CD case 1 3 Aplicación Ofimática Libre
2 Office2010 CD Case 1 3 Aplicación Ofimática Sin
licencia
3 Office2007 CD Case 1 3 Aplicación Ofimática Sin
licencia
4 Microsoft Office XP CD Case2 2 Aplicación Ofimática Sin
licencia
5 Iwork CD Case 1 2 Aplicación Ofimática Sin
licencia
6 Neo Office CD Case 2 2 Aplicación Ofimática Sin
licencia
7 Microsoft Office
MAC 2008
CD Case2 2 Aplicación Ofimática Sin
licencia
8 AVG Anti-Virus CD Case 3 2 Aplicación de seguridad
FreeWare
9 NOD32 CD Case 3 2 2Aplicación de seguridad Sin
Licencia
10 Avast Antivirus CD Case 3 2 Aplicación de seguridad Free
Ware
11 Kaspersky Anti-Virus CD Case 3 2 Aplicación de seguridad Sin
Licencia
12 Avira AntiVir CD Case 3 2 Aplicación de seguridad
UNIVERSIDAD NACIONAL DE MOQUEGUA24
AUDITORIA INFORMATICA – OLVA COURIER
FreeWare
13 Adobe CS5 FullSuite CD Case 3 1 Aplicación Diseño Sin licencia
14 Adobe CS4 FullSuite CD Case 3 1 Aplicación Diseño Sin licencia
15 Adobe CS3 FullSuite CD Case 3 2 Aplicación Diseño Sin licencia
16 SD Fix malware CD Case 3 3 Aplicacion antimalware
Freeware
17 Flash Disinfector CD Case 3 3 Aplicación anti
malwareFreeware
18 Malware bytes CD Case 3 2 aplicación
antimalwareFreeware
19 Windows Seven CD Case 3 5 aplicación sin licencia
20 Mac OS X CD Case 3 3 aplicación sin licencia
UNIVERSIDAD NACIONAL DE MOQUEGUA25
AUDITORIA INFORMATICA – OLVA COURIER
AUDITORÍA FÍSICA
ALCANCE
Esta auditoría fue aplicada en todas las áreas que se encuentran en ejecución
(Coordinación, Administración, recepción ) las mismas que operan en la oficina
principal (Oficina Administrativa), puesto que en ella se encuentran los equipos de
cómputo con los que dispone la empresa, y en donde se evaluará:
Organización y calificación del personal de Seguridad.
Planes y procedimientos de Seguridad y Protección
Sistemas técnicos de Seguridad y Protección.
Remodelar el ambiente de trabajo.
OBJETIVOS
Verificar la ubicación y seguridad de las instalaciones.
Determinar y evaluar la política de mantenimiento y distribución de los
equipos.
Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el
ambiente
Verificar la seguridad del personal, datos, hardware, software e instalaciones
Revisión de políticas y normas sobre seguridad Física de los medios, como son:
Edifico, Instalaciones, Equipamiento y Telecomunicaciones, Datos y Personas.
Verificar si la selección de equipos y Sistemas de computación es adecuada.
DESARROLLO DE LA AUDITORÍA
SEGURIDAD FÍSICA
Ubicación de la Oficina Central/Oficina administrativa
UNIVERSIDAD NACIONAL DE MOQUEGUA26
AUDITORIA INFORMATICA – OLVA COURIER
La oficina central se encuentra ubicada Ilo y no tienen previsto un local alternativo
para cuando termine el convenio de cesión en uso con la misma.
En dicho ambiente se llevan a cabo operaciones de Coordinación, Administración y
servicios.
Además, allí se encuentra almacenada toda la documentación concerniente a la
empresa, en grandes folios apilados en estanterías.
De igual forma, todos los equipos de cómputo con los que cuenta la empresa, se
encuentran en este ambiente.
Las ventanas superiores no poseen ninguna estructura metálica (Malla o enrejado)
que proteja el acceso a personas no autorizadas y malintencionadas.
Seguridad General
De acuerdo a las observaciones realizadas en la oficina informatica, la ubicación de los
equipos de computo no constituyen un inconveniente para los accesos y salidas de
UNIVERSIDAD NACIONAL DE MOQUEGUA27
AUDITORIA INFORMATICA – OLVA COURIER
la misma, sin embargo, cabe resaltar que el servidor se encuentra en un lugar
vulnerable.
En lo referente a la seguridad eléctrica, los auditores, pudo verificar que cables no
están debidamente colocados, pues están a la vista de todos de forma
desorganizada, además, en los toma corrientes, existen varios cables sueltos, los cuales
constituyen un riesgo y puede ocasionar desastres mayores.
Lo mismo ocurre con el cableado de red, para el cual no se ha previsto el uso de
canaletas ni de caja toma datos.
Los equipos no reciben el mantenimiento debido; lo cual incrementa el riesgo e
posible pérdida de información por averías serias en el equipo.
No disponen de un equipo contra incendios y mucho menos cuentan con la
capacitación adecuada para el manejo de estos.
Plan de Contingencia
De acuerdo con el Inventario de Documentos
realizado en la empresa; los Auditores pudo
verificar que muchos de los lineamientos del
plan de Contingencia que poseen, no han sido
ejecutados a la fecha.
Control de accesos
Puesto que se trata de un ambiente relativamente pequeño, no es imprescindible
contar con un sistema para ello; todos los accesos son verificados en la entrada
principal de la sede.
Selección de personal
UNIVERSIDAD NACIONAL DE MOQUEGUA28
AUDITORIA INFORMATICA – OLVA COURIER
El personal que labora en la empresa cuenta con los conocimientos indispensables
para su labor, los cuales han sido seleccionados de una manera adecuada, tanto
por concurso así como respectivas entrevistas
Seguridad de datos
Actualmente la duplicación y preservación de la información depende de la empresa
quien es responsable de proteger su información contra pérdidas, modificación de las
mismas y accesos a personal no autorizado.
DISTRIBUCIÓN Y MANTENIMIENTO DE EQUIPOS
Distribución de los equipos informáticos
No existen mayores dificultades, puesto que todos los equipos informáticos yacen
en un mismo ambiente, y por cuyas dimensiones no son representa gran
inconveniente.
Mantenimiento de los equipos informáticos
En cuanto a su mantenimiento no se cuenta con personal adecuado y capacitado para
solucionar problemas en el mal funcionamiento del hardware, lo cual retrasa el trabajo
del usuario del equipo afectado.
UNIVERSIDAD NACIONAL DE MOQUEGUA29
AUDITORIA INFORMATICA – OLVA COURIER
Según la información obtenida, no se tiene plan o cronograma para el
mantenimiento de equipos, por lo que el mismo se da esporádicamente para lo cual se
hace uso de servicios técnicos externos.
ENCUESTA:
1. ¿Se han adoptado medidas de seguridad en el departamento de sistemas de
información?
2. ¿Existeuna persona responsable de la seguridad?
3. ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad?
4. ¿Existepersonal de vigilancia en la institución?
5. ¿Existe una clara definición de funciones entre los puestos clave?
6. ¿Se controla el trabajofuera de horario?
7. ¿Se registran las acciones de los operadores para evitar que realicen algunas
pruebas que puedan dañar los sistemas?.
8. ¿Existe vigilancia en el departamento de cómputo las 24 horas?
9. ¿Se permite el acceso a los archivos y programa a los
programadores, analistas y operadores?
10. ¿Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien
pretenda entrar sin autorización?
UNIVERSIDAD NACIONAL DE MOQUEGUA30
AUDITORIA INFORMATICA – OLVA COURIER
11. ¿El centro de cómputo tiene salida al exterior?
12. ¿Son controladas las visitas y demostraciones en el centro de cómputo?
13. ¿Se registra el acceso al departamento de cómputo de personas ajenas a la
dirección de informática?
14. ¿Se vigilan la moral y comportamiento del personal de la dirección de informática
con el fin de mantener una buena imagen y evitar un posible fraude?
15. ¿Se ha adiestrado el personal en el manejo de los extintores?
16. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores?
17. ¿Si es que existen extintores automáticos son activador por detectores
automáticos de fuego?
18. ¿Los interruptores de energía están debidamente protegidos,
etiquetados y sin obstáculos para alcanzarlos?
19. ¿Saben que hacer los operadores del departamento de cómputo, en caso de que
ocurra una emergencia ocasionado por fuego?
20. ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia
(incendio)?
21. ¿Existe salida de emergencia?
22. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de
esta puerta y de las ventanas, si es que existen?
23. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las
instalaciones en caso de emergencia?
24. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el
interior del departamento de cómputo para evitar daños al equipo?
25. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe?
26. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora?
27. ¿Se tienen establecidos procedimientos de actualización a estas copias?
28. ¿Existe departamento de auditoria interna en la institución?
29. ¿Este departamento de auditoria interna conoce todos los aspectos de los
sistemas?
30. ¿Se cumplen?
UNIVERSIDAD NACIONAL DE MOQUEGUA31
AUDITORIA INFORMATICA – OLVA COURIER
31. ¿Se auditan los sistemas en operación?
32. Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los
interesados?
33. ¿Existe control estricto en las modificaciones?
34. ¿Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado?
35. ¿Si se tienen terminales conectadas, ¿se ha establecido procedimientos de
operación?
36. ¿Se ha establecido que información puede ser acezada y por qué persona?
AUDITORIA OFIMATICA
ALCANCE
La auditoria Ofimática fue aplicada en todas las áreas que se encuentran en aplicación
(coordinación, administración, unidad de investigación, unidad de semillas, y unidad
de capacitación), las mismas que operan en la oficina principal
Área de informática
Los puntos que se tomarán son, Revisión de: inventario, políticas de mantenimiento,
licencias, desempeño del software existente, seguridad de la data.
OBJETIVOS
UNIVERSIDAD NACIONAL DE MOQUEGUA32
AUDITORIA INFORMATICA – OLVA COURIER
Determinar si el inventario ofimático refleja con exactitud los equipos y
aplicaciones existentes en la organización
Determinar y evaluar la política de mantenimiento definida en la organización
Verificar el desempeño del software empleado en la institución
Verificar la legalización del software utilizado.
Verificar la seguridad en la data
DESARROLLO DE LA AUDITORÍA
Todas las opiniones profesionales vertidas en este documento están
respaldadas por las entrevistas, inventarios y observaciones realizadas durante las
visitas a la Institución.
INVENTARIO
De acuerdo a la investigación realizada por la consultora de Auditores, la empresa
OLVA COURIER., so cuenta con un inventario, la cual si saben con exactitud con
cuantos equipos de hardware/software cuentan.
MANTENIMIENTO
La empresa OLVA COURIER no cuenta con una política de mantenimiento
preventivo de sus equipos, se hace mantenimiento solo y cada vez que estos
empiezan a fallar.
SISTEMAS - NECESIDADES
Actualmente existen dos aplicaciones en red que son:
Sistema de envio , Sistema comercial pero dichas aplicaciones son utilizados
actualmente. Además cabe recalcar que algunos accesorios de cómputo no se
utilizan a cabalidad como por
UNIVERSIDAD NACIONAL DE MOQUEGUA33
AUDITORIA INFORMATICA – OLVA COURIER
ejemplo las quemadoras y lectoras, son 4 computadoras de escritorio y cada uno
de ellos posee una quemadora y lectora, pero estos accesorios se utilizan con
poca frecuencia.
LICENCIAMIENTO
Los Software que se utilizan en la empresa OLVA COURIER solo dos sistemas cuentan
con licencias, el resto ninguno de ellos cuentan con licencia, esto puede ser
perjudicable para la empresa ya que puede haber fuertes sanciones por el uso ilegal
APLICACIONES INSTALADAS
No existe un control del software que los trabajadores puedan descargar de
Internet y el uso que le den a los mismos, de igual forma de software no
licenciado que puedan instalar en los equipos.
COPIAS DE SEGURIDAD
La empresa OLVA COURIER no realizan copias deseguridad (backup) de sus datos,
ya que ante un desastre físico (robo, hurto) o lógico (virus) se pierde toda la data,
pero realizan un descargo a lima diariamente.
ENCUESTAS:
UNIVERSIDAD NACIONAL DE MOQUEGUA34
AUDITORIA INFORMATICA – OLVA COURIER
1. ¿Existe un informe técnico en el que se justifique la adquisición del equipo,
software y servicios de computación, incluyendo un estudio costo beneficio?
2. ¿Existe un comité que coordine y se responsabilice de todo el proceso de
adquisición e instalación?
3. ¿Han elaborado un instructivo con procedimientos a seguir para la selección y
adquisición de equipos, programas y servicios computacionales?
4. ¿se cuenta con software de oficina?
5. ¿Se han efectuado las acciones necesarias para una mayor participación de
proveedores?
6. ¿Se ha asegurado un respaldo de mantenimiento y asistencia técnica?
7. ¿El acceso al centro de cómputo cuenta con las seguridades necesarias para
reservar el ingreso al personal autorizado?
8. ¿Se han implantado claves o password para garantizar operación de consola y
equipo central (mainframe), a personal autorizado?
9. ¿Se han formulado políticas respecto a seguridad, privacidad y protección de
las facilidades de procesamiento ante eventos como: incendio, vandalismo,
robo y uso indebido, intentos de violación?
10. ¿Se mantiene un registro permanente (bitácora) de todos los procesos
realizados, dejando constancia de suspensiones o cancelaciones de procesos?
11. ¿Los operadores del equipo central están entrenados para recuperar o
restaurar información en caso de destrucción de archivos?
12. ¿Los backups son mayores de dos (padres e hijos) y se guardan en lugares
seguros y adecuados, preferentemente en bóvedas de bancos?
13. ¿Se han implantado calendarios de operación a fin de establecer prioridades de
proceso?
14. ¿Todas las actividades del Centro de Computo están normadas mediante
manuales, instructivos, normas, reglamentos, etc.?
15. ¿Las instalaciones cuentan con sistema de alarma por presencia de fuego,
humo, así como extintores de incendio, conexiones eléctricas seguras, entre
otras?
UNIVERSIDAD NACIONAL DE MOQUEGUA35
AUDITORIA INFORMATICA – OLVA COURIER
16. ¿Se han instalado equipos que protejan la información y los dispositivos en
caso de variación de voltaje como: reguladores de voltaje, supresores pico,
UPS, generadores de energía?
17. ¿Se han contratado pólizas de seguros para proteger la información, equipos,
personal y todo riesgo que se produzca por casos fortuitos o mala operación?
18. ¿Se han Adquirido equipos de protección como supresores de pico,
reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo?
19. ¿Si se vence la garantía de mantenimiento del proveedor se contrata
mantenimiento preventivo y correctivo?
20. ¿Se establecen procedimientos para obtención de backups de paquetes y de
archivos de datos?
21. ¿Se hacen revisiones periódicas y sorpresivas del contenido del disco para
verificar la instalación de aplicaciones no relacionadas a la gestión de la
empresa?
22. ¿Se mantiene programas y procedimientos de detección e inmunización de
virus en copias no autorizadas o datos procesados en otros equipos?
23. ¿Se propende a la estandarización del Sistema Operativo, software utilizado
como procesadores de palabras, hojas electrónicas, manejadores de base de
datos y se mantienen actualizadas las versiones y la capacitación sobre
modificaciones incluidas?
UNIVERSIDAD NACIONAL DE MOQUEGUA36
AUDITORIA INFORMATICA – OLVA COURIER
AUDITORIA DE REDES
ALCANCE
La auditoria de redes fue aplicada en
todas las áreas que se encuentran en
aplicación (coordinación, administración,
unidad de investigación, unidad de semillas,
y unidad de capacitación), las mismas que operan en la oficina principal (oficina
administrativa)
Los puntos a tomar en cuenta serán los siguientes:
Organización y calificación del tendido de red.
Planes y procedimientos.
Sistemas técnicos de Seguridad y Protección.
UNIVERSIDAD NACIONAL DE MOQUEGUA37
AUDITORIA INFORMATICA – OLVA COURIER
OBJETIVOS
Áreas controladas para los equipos de comunicaciones, previniendo así accesos
inadecuados
Protección y tendido adecuado de cables y líneas de comunicación, para evitar
accesos físicos
Revisar las políticas y normas sobre redes y el funcionamiento de la red y la
seguridad de los datos dentro de la Red Lan
REFERENCIA LEGAL
Manual de Autoprotección aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD 2177/96)
ENCUESTAS
1. La gerencia de redes tiene una política definida de planeamiento de tecnología de
red?
2. Esta política es acorde con el plan de calidad de la organización
3. La gerencia de redes tiene un plan que permite modificar en forma oportuna el
plan a largo plazo de tecnología de redes , teniendo en cuenta los posibles cambios
tecnológicos o en la organización?
4. ¿Existe un inventario de equipos y software asociados a las redes de datos?
5. ¿Existe un plan de infraestructura de redes?
6. El plan de compras de hardware y software para el sector redes está de acuerdo
con el plan de infraestructura de redes?
7. La responsabilidad operativa de las redes esta separada de las de operaciones del
computador?
8. Están establecidos controles especiales para salvaguardar la confidencialidad e
integridad del procesamiento de los datos que pasan a través de redes públicas, y
para proteger los sistemas conectados
9. Existen controles especiales para mantener la disponibilidad de los servicios de red
y computadoras conectadas?
UNIVERSIDAD NACIONAL DE MOQUEGUA38
AUDITORIA INFORMATICA – OLVA COURIER
10. Existen controles y procedimientos de gestión para proteger el acceso a las
conexiones y servicios de red.?
11. Existen protocolos de comunicaron establecida
12. Existe una topología estandarizada en toda la organización
13. Existen normas que detallan que estándares que deben cumplir el hardware y el
software de tecnología de redes?
14. ¿La transmisión de la información en las redes es segura?
15. ¿El acceso a la red tiene password?
DESARROLLO DE LA AUDITORIA
para el desarrollo de esta auditoría específica se empleará el modelo adoptado por
iso (internacional standarts organization), el cual se denomina modelo osi (open
systems interconection), el cual consta de 7 capas, las cuales se tomarán para
realizar la auditoría.
Areas controladas para los equipos de comunicaciones, previniendo así
accesos inadecuados
los equipos de comunicaciones ( switch, router ) no se mantienen en habitaciones
cerradas
la seguridad física de los equipos de comunicaciones (switch, router) es inadecuada.
cualquier persona tiene acceso ya que se encuentra cerca de un lugar transitable
UNIVERSIDAD NACIONAL DE MOQUEGUA39
AUDITORIA INFORMATICA – OLVA COURIER
Protección y tendido adecuado de cables y líneas de comunicación, para
evitar accesos físicos
los cables de comunicación de datos, eléctricos y de teléfono están juntos y
amarrados por otro cable, no existen procedimientos para la protección de cables y
bocas de conexión, esto dificulta que sean interceptados o conectados por personas
no autorizadas, no se realiza revisiones preventivas a la red de comunicaciones
Revisar las políticas y normas sobre redes y el funcionamiento de la red y la
seguridad de los datos dentro de la red lan
A. Mapa de redes
UNIVERSIDAD NACIONAL DE MOQUEGUA40
AUDITORIA INFORMATICA – OLVA COURIER
B.- Modelo OSI, capa Física.
Capa Física: Transforma la información en señales físicas adaptadas al medio
de comunicación.
El cableado utilizado para el tendido de red presenta las siguientes
características:
Tipo de Cable: Par trenzado sin apantallar (UTP Categoría 5)
Conectores: RJ-45
El tipo de cables y conectores utilizados para este tipo de red es adecuado, según
la norma EIA/TIA, el problema radica en el tendido del cableado ya que no cuenta
con ninguna protección (canaletas) y además los cables de comunicación de datos,
eléctricos y de teléfono se encuentran amarrados por otros cables.
C.- Modelo OSI, capa de Enlace
Capa de Enlace: Transforma los paquetes de información en tramas
adaptadas a los dispositivos físicos sobres los cuales se realiza la transmisión.
De acuerdo al inventario de hardware se resumen los siguientes
componentes:
Topología de la Red: Estrella
Especificaciones: Ethernet
Tarjeta de Red: D-Link DFE-530TX PCI Fast Ethernet Adapter
UNIVERSIDAD NACIONAL DE MOQUEGUA41
AUDITORIA INFORMATICA – OLVA COURIER
Hay que especificar que las tarjetas de redes utilizadas son del mismo tipo, la
cual es recomendable para la transferencia adecuada de los datos.
D.- Modelo OSI, capa de Red.
Capa de Red: Establece las rutas por las cuales se puede comunicar el emisor con
el receptor, lo que se realiza mediante el envío de paquetes de información.
En la institución si utilizan los siguientes componentes:
Velocidad de transmisión 10/100 MBps
Switch D-link de 8 puertos
Protocolo TCP/IP
De acuerdo a las necesidades de la empresa, el Switch empleado no presenta
problemas en la transmisión de datos ya que todos los documentos realizados
por los clientes se guardan en el servidor.
E.- Modelo OSI, capa de Transporte.
Capa de Transporte: Comprueba la integridad de los datos transmitidos (que no ha
habido pérdidas ni corrupciones).
En la Empresa se utiliza el Protocolo TCP/IP para la transmisión datos, lo cual es lo
óptimo debido a que es más seguro y utilizado en la actualidad que el protocolo
UDP.
F.- Modelo OSI, capa de Sesión.
Capa de Sesión: Establece los procedimientos de aperturas y cierres de sesión de
comunicaciones, así como información de la sesión en curso.
En la Empresa no existe un control de las sesiones más que la que propone
el sistema operativo que se posee en cada computadora, lo cual representa
UNIVERSIDAD NACIONAL DE MOQUEGUA42
AUDITORIA INFORMATICA – OLVA COURIER
un “hoyo” en la seguridad de la información.
G.- Modelo OSI, capa de Presentación.
Capa de Presentación: Define el formato de los datos que se van a presentar
a la aplicación.
Actualmente existen dos aplicaciones en red que son: Sistema de envió (vcourier)
y el otro sistema masivo
UNIVERSIDAD NACIONAL DE MOQUEGUA43
AUDITORIA INFORMATICA – OLVA COURIER
H.- Modelo OSI, capa de Aplicación.
Capa de Aplicación: Es donde la aplicación que necesita comunicaciones enlaza,
mediante API (Application Program Interface) con el sistema de
comunicaciones.
De acuerdo a las entrevistas en la institución se resume lo siguiente:
UNIVERSIDAD NACIONAL DE MOQUEGUA44
AUDITORIA INFORMATICA – OLVA COURIER
Se utiliza el Protocolo FTP para el intercambio de información, el cual se usa
para las impresoras.
Correo de la institución.
AUDITORIA DE BASE DE DATOS
ALCANCE DE LA AUDITORIA:
Esta auditoria comprende solamente al área informática de la empresa OLVA COURIER
con respecto al cumplimiento del proceso "De Gestión administración de la Base de
Datos " de la de manera que abarca la explotación, mantenimiento, diseño carga, post
UNIVERSIDAD NACIONAL DE MOQUEGUA45
AUDITORIA INFORMATICA – OLVA COURIER
implementación, Los sistemas de gestión de base de datos (SGBD), software de
auditoria , sistema operativo protocolos y sistemas distribuidos.
OBJETIVOS
”Verificar la responsabilidad para la planificación de planillas y control de los
activos de datos de la organización” (administrador de datos)
“Verificar la responsabilidad de la administración del entorno de la base de datos”
(administrador de la base de datos)
Proporcionar servicios de apoyo en aspectos de organización y métodos, mediante
la definición, implantación y actualización de Base de Datos y/o procedimientos
administrativos con la finalidad de contribuir a la eficiencia Existe equipos o
software de SGBD
ENCUESTA
1. Existe equipos o software de SGBD
2. La organización tiene un sistema de gestión de base dedatos (SGBD)
3. Los datos son cargados correctamente en la interfaz grafica
4. Se verificará que los controles y relaciones de datos se realizan de acuerdo a
Normalización libre de error
5. Existe personal restringido que tenga acceso a la BD
6. El SGBD es dependiente de los servicios que ofrece el Sistema Operativo
7. La interfaz que existe entre el SGBD y el SO es el adecuado
8. ¿Existen procedimientos formales para la operación del SGBD?
9. ¿Están actualizados los procedimientos de SGBD?
10. ¿La periodicidad de la actualización de los procedimientos es Anual ?
UNIVERSIDAD NACIONAL DE MOQUEGUA46
AUDITORIA INFORMATICA – OLVA COURIER
11. ¿Son suficientemente claras las operaciones que realiza la BD?
12. ¿Existe un control que asegure la justificación de los procesos en el computador?
(Que los procesos que están autorizados tengan una razón de ser procesados)
13. ¿Se procesa las operaciones dentro del departamento de cómputo?
14. ¿Se verifican con frecuencia la validez de los inventarios de los archivos
magnéticos?
15. ¿Existe un control estricto de las copias de estos archivos?
16. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se
desechan estos?
17. ¿Se registran como parte del inventario las nuevas cintas magnéticas que recibe el
centro de computo?
18. ¿Se tiene un responsable del SGBD?
19. ¿Se realizan auditorias periódicas a los medios de almacenamiento?
20. ¿Se tiene relación del personal autorizado para manipular la BD?
21. ¿Se lleva control sobre los archivos trasmitidos por el sistema?
22. ¿Existe un programa de mantenimiento preventivo para el dispositivo del SGBD?
23. ¿Existen integridad de los componentes y de seguridad de datos?
24. De acuerdo con los tiempos de utilización de cada dispositivo del sistema de
cómputo, ¿existe equipo capacesque soportar el trabajo?
25. ¿El SGBD tiene capacidad de teleproceso?
26. ¿Se ha investigado si ese tiempo de respuesta satisface a los usuarios?
UNIVERSIDAD NACIONAL DE MOQUEGUA47
AUDITORIA INFORMATICA – OLVA COURIER
27. ¿La capacidad de almacenamiento máximo de la BD es suficiente para atender el
proceso por lotes y el proceso remoto?
UNIVERSIDAD NACIONAL DE MOQUEGUA48
AUDITORIA INFORMATICA – OLVA COURIER
VERIFICAR LA AUDITORIA INFORMATICA
INFORME ESPECÍFICO
1. Título
Auditoria Física
2. Cliente
Área de informática
3. Entidad Auditada
Empresa “OLVA COURIER”
UNIVERSIDAD NACIONAL DE MOQUEGUA49
AUDITORIA INFORMATICA – OLVA COURIER
4. Objetivos
Verificar la ubicación y seguridad de las instalaciones.
Determinar y evaluar la política de mantenimiento y distribución de los
equipos.
Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el
ambiente
Verificar si la selección de equipos y Sistemas de computación es adecuada.
5. Normativa aplicada y excepciones
Para esta auditoría se ha tomado en cuenta la Normas de Auditorias
Gubernamentales: “Normas de Control Interno para sistemas computarizados” (NAGU
500).
6. Alcance
El presente trabajo de auditoria física, comprende el periodo 1013 y se ha realizado a
la Empresa “OLVA COURIER”, de acuerdo a las normas y demás disposiciones
aplicables.
7. Conclusiones
La seguridad física en la Institución, según las normativas
aplicadas, es favorable aunque con ciertas salvedades.
No se han tomado las previsiones necesarias en caso de futuros riesgos La empresa
“OLVA VOURIER”. Solo ha mostrado preocupación en lo referente a las operaciones
propias del negocio, olvidándose en cierta parte de la responsabilidad para con sus
usuarios y trabajadores.
8. Resultados
De acuerdo a los objetivos planteados previamente, los resultados serían los
siguientes:
Verificar la ubicación y seguridad de las instalaciones.
Ubicación de la institución, favorable con salvedades, debido a que no se trata
de un local propio
Seguridad de las instalaciones en cuanto a vigilancia,
favorable, puesto que se cuenta con la seguridad de la misma sede
UNIVERSIDAD NACIONAL DE MOQUEGUA50
AUDITORIA INFORMATICA – OLVA COURIER
Identificación de Salidas, favorable con algunas salvedades como el cuidado de
no colocar objetos que obstruyan el paso
Seguridad ante Sismos, desfavorable, debido a que la salida inmediata del
ambiente coincide un el paso de vehículos, que muchas veces es
tomado como estacionamiento de camionetas de la sede.
Seguridad ante Incendios, Desfavorable
Seguridad eléctrica, favorable con salvedades; falta organización
en el cableado.
Verificar la seguridad de información.
El ambiente principal se encuentra toda la documentación física de la empresa,
la misma que por tratarse de papeles, folios y aerosoles constituyen material
altamente inflamable, pese a ello no se cuenta con un sistema contra incendios
y por aun el personal no se encuentra capacitado para el uso de ellos.
La data, además de ser almacenada en el servidor, esta a disposiciónde los
trabajadores, quienes portan la documentación en disquete u otros
dispositivos de almacenamiento, como CD, memorias USB,
echo poco favorable debido posible plagio de información.
Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el
ambiente
Aspecto desfavorable, debido a que el ambiente es pequeño, y no se cuenta
con la seguridad debida.
Verificar si la selección de equipos y Sistemas de computación es adecuada.
Desfavorable, puesto que todas las computadoras, indistintamente
de las características particulares que pueda tener, son usadas para un mismo
propósito
9. Recomendaciones
Reubicación del local
Implantación de equipos de ultima generación
UNIVERSIDAD NACIONAL DE MOQUEGUA51
AUDITORIA INFORMATICA – OLVA COURIER
Implantar equipos de ventilación
Implantar salidas de emergencia.
Elaborar un calendario de mantenimiento de rutina periódico . Capacitar al
personal.
10. Fecha Del Informe
FECHA DE INICIO FECHA DE TERMINO
19-12-13 26-12-13
11. Identificación Y Firma Del Auditor
---------------------------------
ATT. José Luis Callacondo
JEFE DE AUDITORIA
INFORMÁTICA
---------------------------------
ATT. Isabel Vilca Quispe
AUDITORA INFORMATICA
---------------------------------
ATT. Shirley Mamani
Rodríguez
AUDITORA INFORMATICA
INFORME FINAL
1. Identificación del informe
Auditoria de la Ofimática
2. Identificación del Cliente
El área de Informática
3. Identificación de la Entidad Auditada
OLCA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA52
AUDITORIA INFORMATICA – OLVA COURIER
4. Objetivos
Verificar si el hardware y software se adquieren siempre y cuando tengan la
seguridad de que los sistemas computarizados proporcionaran mayores beneficios
que cualquier otra alternativa.
Verificar si la selección de equipos y sistemas de computación es adecuada
Verificar la existencia de un plan de actividades previo a la instalación
Verificar que los procesos de compra de Tecnología de Información, deben estar
sustentados en Políticas, Procedimientos, Reglamentos y Normatividad en General,
que aseguren que todo el proceso se realiza en un marco de legalidad y
cumpliendo con las verdaderas necesidades de la organización para hoy y el
futuro, sin caer en omisiones, excesos o incumplimientos.
Verificar si existen garantías para proteger la integridad de los recursos
informáticos.
Verificar la utilización adecuada de equipos acorde a planes y objetivos.
5. Normativa aplicada y excepciones
Para esta auditoría se toman en cuenta la norma ISO 17799 y Normas de Auditorias
Gubernamentales: “Normas de Control Interno para sistemas computarizados” (NAGU
500).
6. Hallazgos Potenciales
Falta de licencias de software.
Falta de software de aplicaciones actualizados
No existe un calendario de mantenimiento ofimatico.
Faltan material ofimática.
Carece de seguridad en Acceso restringido de los equipos ofimáticos y software.
7. Alcance de la auditoria
Nuestra auditoria, comprende el presente periodo 2013 y se ha realizado especialmente al
Departamento de centro de cómputo de acuerdo a las normas y demás disposiciones
aplicable al efecto.
UNIVERSIDAD NACIONAL DE MOQUEGUA53
AUDITORIA INFORMATICA – OLVA COURIER
El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la
auditoria Ofimática, se complementa con los objetivos de ésta.
8. Conclusiones
El aspecto ofimático de la Institución, en la opinión del auditor a base de las normativas
aplicadas, es favorable aunque con salvedades.
No todo el software propietario que se maneja en la institución está debidamente
licenciado, caso de los sistemas operativos y las herramientasde escritorio (Office).
El área de informatica presenta deficiencias sobre el debido cumplimiento de
Normas de seguridad.
La escasez de personal debidamente capacitado.
Cabe destacar que la sistema ofimatico pudiera servir de gran apoyo a la
organización, el cual no es explotado en su totalidad por falta de personal
capacitado.
9. Resultados
Revisión del inventario de los accesorios de cómputo
No cuentan con un inventario del parque informático
Revisión de las licencias del software.
No todo el software propietario que se maneja en la institución está
debidamente licenciado, caso de los sistemas operativos y las herramientas de
escritorio (Office)
Verificar el desempeño del software empleado en la institución
UNIVERSIDAD NACIONAL DE MOQUEGUA54
AUDITORIA INFORMATICA – OLVA COURIER
Actualmente existen dos aplicaciones en red que son:
Sistema contable financiero (suite contasis), Sistema comercial (Suite contasis)
pero dichas aplicaciones no son utilizados actualmente, por lo que no se le puede dar
un calificativo de desempeño.
Seguridad en la Data
La seguridad en los datos es baja porque no cuentan con medidas de seguridad,
como por ejemplo los backup.
10. Recomendaciones
Se recomienda contar con sellos y firmas digitales
Un de manual de funciones para cada puesto de trabajo dentro del área.
Reactualizacion de datos.
Implantación de equipos de ultima generación
Elaborar un calendario de mantenimiento de rutina periódico .
Capacitar al personal.
11. Fecha del Informe
FECHA DE INICIO FECHA DE TERMINO
19-12-13 29-12-13
12. Identificación y Firma del Auditor
----------------------------
ATT. José Luis
Callacondo
JEFE DE AUDITORIA
INFORMÁTICA
---------------------------
ATT. Isabel Vilca
Quispe
UNIVERSIDAD NACIONAL DE MOQUEGUA55
AUDITORIA INFORMATICA – OLVA COURIER
AUDITORA
INFORMATICA
----------------------------
ATT. Shirley Mamani
Rodríguez
AUDITORA
INFORMATICA
INFORME DE AUDITORIA
1. Identificación del informe
Auditoria del Sistema de Redes
2. Identificación del Cliente
El área de Informática
3. Identificación de la Entidad Auditada
OLVA COURIER
4. Objetivos
UNIVERSIDAD NACIONAL DE MOQUEGUA56
AUDITORIA INFORMATICA – OLVA COURIER
Áreas controladas para los equipos de comunicaciones, previniendo así accesos
inadecuados
Protección y tendido adecuado de cables y líneas de comunicación, para evitar
accesos físicos
Revisar las políticas y normas sobre redes y el funcionamiento de la red y la
seguridad de los datos dentro de la Red Lan
5.- Normativa aplicada y excepciones
La especificación utilizada en esta auditoría de redes es la Normativa actual IEEE
802.3 para redes LAN Ethernet 10/100MBps (utilizada por la empresa), además de
la norma ISO 17799 y Normas de Auditorias Gubernamentales: “Normas de Control
Interno para sistemas computarizados” (NAGU 500).
6. Alcance
El presente trabajo de auditoria de red, comprende el presente periodo 2013 y se ha
realizado en la empresa OLVA COURIER de acuerdo a las normas y demás disposiciones
aplicables.
7.- Conclusiones
El aspecto de redes en la Empresa, la opinión de los Auditores a base de las normativas
aplicadas, es desfavorable.
No existe un conocimiento actualizado del cableado de red; el cableado no se encuentra
protegido y su distribución e implementación no es la buena, aunque funcione la
red.
8. Resultados
Áreas controladas para los equipos de comunicaciones, previniendo así
accesos inadecuados
UNIVERSIDAD NACIONAL DE MOQUEGUA57
AUDITORIA INFORMATICA – OLVA COURIER
Los equipos de comunicaciones ( Switch, router ) no se mantienen en
habitaciones cerradas
La seguridad física de los equipos de comunicaciones (Switch, Router) es
inadecuada.
Cualquier persona tiene acceso ya que se encuentra cerca de un lugar
transitable
protección y tendido adecuado de cables y líneas de comunicación, para
evitar accesos físicos
Los cables de comunicación de datos, eléctrios y de teléfono están juntos y
amarrados por otro cable.
No existen procedimientos para la protección de cables y bocas de conexión,
esto dificulta que sean interceptados o conectados por personas no
autorizadas
No se realiza revisiones preventivas a la red de comunicaciones
Revisar las políticas y normas sobre redes y el funcionamiento de la red y la
seguridad de los datos dentro de la Red Lan
No existen políticas y/o normas para regular el uso de la red de dicha empresa
La red funciona correctamente de acuerdo al tamaño de la empresa; esta no
podrá soportar un desarrollo de la misma.
No existe una seguridad centralizada de los datos, sólo la seguridad brindada
por el sistema operativo instalado en cada equipo.
9. Fecha del Informe
FECHA DE INICIO FECHA DE TERMINO
19-12-13 26-12-13
10. Identificación y Firma del Auditor
UNIVERSIDAD NACIONAL DE MOQUEGUA58
AUDITORIA INFORMATICA – OLVA COURIER
---------------------------------
ATT. José Luis Callacondo
JEFE DE AUDITORIA
INFORMÁTICA
---------------------------------
ATT. Isabel Vilca Quispe
AUDITORA INFORMATICA
---------------------------------
ATT. Shirley Mamani
Rodríguez
AUDITORA INFORMATICA
INFORME DE AUDITORIA
1. Identificación del informe
Auditoria de Base de Datos.
2. Identificación del Cliente
El área de Informática
3. Identificación de la Entidad Auditada
OLVA COURIER
4. Objetivos
UNIVERSIDAD NACIONAL DE MOQUEGUA59
AUDITORIA INFORMATICA – OLVA COURIER
Evaluar el tipo de Base de Datos, relaciones, plataforma o sistema operativo que trabaja,
llaves, administración y demás aspectos que repercuten en su trabajo.
Revisar del software institucional para la administración de la Base de Datos.
Verificar la actualización de la Base de Datos.
Verificar la optimización de almacenes de los Base de Datos
Revisar que el equipo utilizado tiene suficiente poder de procesamiento y
velocidad en red para optimizar el desempeño de la base de datos.
5. Hallazgos Potenciales
No están definidos los parámetros o normas de calidad.
Falta de presupuesto
Falta de personal
La gerencia de Base de datos no tiene un plan que permite modificar en forma
oportuna el plan a largo plazo de tecnología, teniendo en cuenta los posibles
cambios tecnológicos y el incremento de la base de datos.
No existe un calendario de mantenimiento de rutina periódico del software
definido por la Base de datos.
6. Alcance de la auditoria
Nuestra auditoria, comprende el presente periodo 2013 y se ha realizado especialmente al
Departamento de centro de cómputo de acuerdo a las normas y demás disposiciones
aplicable al efecto.
7. Conclusiones:
• Como resultado de la Auditoria podemos manifestar que hemos cumplido con
evaluar cada uno de los objetivos contenidos en el programa de auditoria.
UNIVERSIDAD NACIONAL DE MOQUEGUA60
AUDITORIA INFORMATICA – OLVA COURIER
• El Departamento de centro de cómputo presenta deficiencias sobre todo en el
debido cumplimiento de Normas de seguridad de datos y administración de la Base
de Datos.
8. Recomendaciones
• Elaborar toda la documentación lógica correspondiente a los sistemas de
administración de la BD. Evaluar e implementar un software que permita mantener
el resguardo de acceso de los archivos de programas y aún de los programadores.
• Implementar la relaciones con las diferentes áreas en cuanto al compartimiento
dearchivos permitidos por las normas
• Elaborar un calendario de mantenimiento de rutina periódico.
• Capacitar al personal al manejo de la BD.
• Dar a conocer la importancia del SGBD al usuario
9. Fecha Del Informe
FECHA DE INICIO FECHA DE TERMINO
19-12-13 26-12-13
10. Identificación Y Firma Del Auditor
---------------------------------
ATT. José Luis Callacondo
JEFE DE AUDITORIA
INFORMÁTICA
---------------------------------
ATT. Isabel Vilca Quispe
AUDITORA INFORMATICA
---------------------------------
ATT. Shirley Mamani
Rodríguez
AUDITORA INFORMATICA
UNIVERSIDAD NACIONAL DE MOQUEGUA61
AUDITORIA INFORMATICA – OLVA COURIER
ACTUAR DE LA AUDITORIA INFORMATICA
UNIVERSIDAD NACIONAL DE MOQUEGUA62
AUDITORIA INFORMATICA – OLVA COURIER
1. INFORME DEL CIERRE DE AUDITORIA
ACLARACION DE LA SOLICITUD
OLVA COURIER S.A
Ilo, 28 de Diciembre del 2013
Señores
OLVA COURIER S.A
UNIVERSIDAD NACIONAL DE MOQUEGUA63
AUDITORIA INFORMATICA – OLVA COURIER
De nuestra consideración:
Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a vuestra consideración el
alcance del trabajo de Auditoría del Área de Informática practicada los días 16-28 del
corriente, sobre la base del análisis y procedimientos detallados de todas las
informaciones recopiladas y emitidos en el presente informe, que a nuestro criterio es
razonable.
Síntesis de la revisión realizada, clasificado en las siguientes secciones
Auditoria física
Auditoria ofimática
Auditoria de sistema de redes
Auditoria de base de datos
El contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su
análisis.
a. Situación. Describe brevemente las debilidades resultantes de nuestro análisis.
b. Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se encuentran
expuestos las operaciones realizadas por la Cooperativa.
c. Índice de importancia establecida. Indica con una calificación del 0 al 3 el grado crítico
del problema y la oportunidad en que se deben tomar las acciones correctivas del caso.
0 = Alto (acciones correctivas inmediatas)
1 = Alto (acciones preventivas inmediatas)
2 = Medio (acciones diferidas correctivas)
3 = Bajo (acciones diferidas preventivas)
UNIVERSIDAD NACIONAL DE MOQUEGUA64
AUDITORIA INFORMATICA – OLVA COURIER
d. Sugerencias. Indicamos a la Gerencia la adopción de las medidas correctivas tendientes
a subsanar las debilidades comentadas.
Según el análisis realizado hemos encontrado falencias en que no existe un Comité y plan
informático; falta de organización y administración del área; falencias en la seguridad
física y lógica; no existe auditoría de sistemas; falta de respaldo a las operaciones; accesos
de los usuarios; plan de contingencias; y entorno de desarrollo y mantenimiento de las
aplicaciones.
El detalle de las deficiencias encontradas, como así también las sugerencias de solución se
encuentran especificadas en el Anexo adjunto. La aprobación y puesta en práctica de estas
sugerencias ayudarán a la empresa a brindar un servicio más eficiente a todos sus clientes.
Agradecemos la colaboración prestada durante nuestra visita por todo el personal de su
empresa Olva Courier y quedamos a vuestra disposición para cualquier aclaración y/o
ampliación de la presente que estime necesaria.
Atentamente
EQUIPO AUDITORES S.R.L.
2 .OBSERVACIONES
FORMATO DE OSERVACIONES
Nombre de la empresa OLVA COURIER S.A
UNIVERSIDAD NACIONAL DE MOQUEGUA65
AUDITORIA INFORMATICA – OLVA COURIER
Observación Seguridad Física Lógica
N° SITUACION EFECTOS Y/0 IMPLICANCIA
SUGERENCIA INDICE DE IMPORTANCIAESTABLECIDA
1 • No existe una vigilancia estricta del Área de Informática por personal de seguridad dedicado a este sector.• No existe detectores, ni extintores automáticos.• Existe material altamente inflamable.• Carencia de un estudio de vulnerabilidad, frente a las riesgos físicos o nofísicos, incluyendo el riesgo Informático.• No existe un puesto o cargo específico para la función de seguridad Informática
• Probable difusión de datos confidenciales.• Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de controles internos.• Debido a la debilidad del servicio de mantenimiento del equipo central, la continuidad de las actividades informáticas podrían verse seriamente afectadas ante eventuales roturas y/o desperfectos de los sistemas.
A los efectos de minimizar los riesgos descriptos, se sugiere:• Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al Área deInformática.• Colocar detectores y extintores de incendios automáticos en los lugares necesarios.• Remover del Centro de Cómputos los materiales inflamables.• Determinar orgánicamente la función de seguridad.• Realizar periódicamente un estudio de vulnerabilidad, documentando efectivamente el mismo, alos efectos de implementar las acciones correctivas sobre los puntos débiles que se detecten.
0 ( cero )
FORMATO DE OSERVACIONES
Nombre de la empresa OLVA COURIER S.A
Observación Operación de respaldo
UNIVERSIDAD NACIONAL DE MOQUEGUA66
AUDITORIA INFORMATICA – OLVA COURIER
N°
SITUACION EFECTOS Y/0 IMPLICANCIA SUGERENCIA INDICE DE IMPORTANCIAESTABLECIDA
1 • Existe una rutina de trabajo de tomar una copia de respaldo de datos en cuadernos y UBS, que se encuentra en el recinto del centro de cómputos, en poder del auxiliar de informática.• Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que exijan la prueba sistemática de las mismas a efectos de establecer los mínimos niveles de confiabilidad.
• La Empresa Olva Courier está expuesta a la perdida de información por no poseer un chequeo sistemático periódico de los back-up's, y que los mismas se exponen a riesgo por encontrarse en poder del auxiliar de informática.
• Desarrollar normas y procedimientos generales que permitan la toma de respaldo necesarios, utilitario a utilizar.• Realizar 3 copias de respaldos de datos en Zip de las cuales, una se encuentre en el recinto del área de informática, otra en la sucursal más cercana y la última en poder del Jefe de área.• Implementar pruebas sistemáticas semanales de las copias y distribución de las mismas.
0 ( cero )
FORMATO DE OSERVACIONES
Nombre de la empresa OLVA COURIER S.A
Observación Acceso a Usuarios
UNIVERSIDAD NACIONAL DE MOQUEGUA67
AUDITORIA INFORMATICA – OLVA COURIER
N° SITUACION EFECTOS Y/0 IMPLICANCIA
SUGERENCIA INDICE DE IMPORTANCIAESTABLECIDA
1 De acuerdo a lo relevado hemos constatado que:• Existen niveles de acceso permitidos, los cuales son establecidos conforme a la función queCumple cada uno de los usuarios.• Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso.• Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema.• El sistema informático no solicita al usuario, el cambio del Password en forma mensual.
• Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra dividida entre el área de sistema y los usuarios finales.• La falta de seguridad en la utilización de los Password, podrían ocasionar fraudes por terceros.
• Implementar algún software de seguridad y auditoria existente en el mercado o desarrollar uno propio.• Establecer una metodología que permita ejercer un control efectivo sobre el uso o modificación de los programas o archivos por el personal autorizado.
2 ( dos )
FORMATO DE OSERVACIONES
Nombre de la empresa OLVA COURIER S.A
Observación Plan de contingencia
UNIVERSIDAD NACIONAL DE MOQUEGUA68
AUDITORIA INFORMATICA – OLVA COURIER
N°
SITUACION EFECTOS Y/0 IMPLICANCIA
SUGERENCIA INDICE DE IMPORTANCIAESTABLECIDA
1 • Ausencia de un Plan de Contingencia debidamente formalizado en el Área de Informática.• No existen normas y procedimientos que indiquen las tareas manuales e informáticas que son necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual contingencia ( desperfectos de equipos, incendios, cortes de energía con más de una hora ), y que determinen los niveles de participación y responsabilidades del área de sistemas y de losUsuarios.• No existen acuerdos formalizados de Centro de Cómputos paralelos con otras empresas o proveedores que permitan la restauración inmediata de los servicios informáticos de la empresa en tiempo oportuno, en caso de contingencia.
• Pérdida de información vital.• Pérdida de la capacidad de procesamiento.
• Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos manuales e informáticos para restablecer la operatoria normal de la Empresa y establecer los responsables de cada sistema.• Efectuar pruebas simuladas en forma periódica, a efectos de monitorear el desempeño de los Funcionarios responsables ante eventuales desastres.• Establecer convenios bilaterales con empresas o proveedores a los efectos de asegurar los equipos necesarios para sustentar la continuidad del procesamiento.
1 ( uno)
FORMATO DE OSERVACIONES
Nombre de la empresa OLVA COURIER S.A
UNIVERSIDAD NACIONAL DE MOQUEGUA69
AUDITORIA INFORMATICA – OLVA COURIER
Observación Mantenimiento de las aplicaciones de las PC
N°
SITUACION EFECTOS Y/0 IMPLICANCIA
SUGERENCIA INDICE DE IMPORTANCIAESTABLECIDA
1 • No existe documentaciones técnicas del sistema integrado de la Entidad y tampoco no existe un control o registro formal de las modificaciones efectuadas.• No se cuenta con un Software que permita la seguridad de las librerías de los programas y la restricción y/o control del acceso de los mismos.• Las modificaciones a los programas son solicitadas generalmente sin notas internas, en donde se describen los cambios o modificaciones que se requieren.
• La escasa documentación técnica de cada sistema dificulta la compresión de las normas, demandando tiempos considerables para su mantenimiento e imposibilitando la capacitación del personal nuevo en el área.• Se incrementa aún más la posibilidad de producir modificaciones erróneas y/o no autorizadas a los programas o archivos y que las mismas no sean detectadas en forma oportuna.
• Elaborar toda la documentación técnica correspondiente a los sistemas implementados y establecer normas y procedimientos para los desarrollos y su actualización.• Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y aún de los programadores.• Implementar y conservar todas las documentaciones de prueba de los sistemas, como así también las modificaciones y aprobaciones de programas realizadas por los usuarios
1 ( uno)
FORMATO DE OSERVACIONES
UNIVERSIDAD NACIONAL DE MOQUEGUA70
AUDITORIA INFORMATICA – OLVA COURIER
Nombre de la empresa OLVA COURIER S.A
Observación Área Informática
N° SITUACION EFECTOS Y/0
IMPLICANCIA
SUGERENCIA INDICE DE
IMPORTANCIA
ESTABLECIDA
1 • No existe una
validación de la cuenta a
donde debería
acreditarse el monto del
aporte social.
• El inventario de salidas
y entradas de cada
operación se hace en
forma manual, tanto en
la parte de recepción de
envíos, como de los
envíos en procesos
cuando se cae el sistema.
La Empresa Olva
Courier se encuentra
expuesta a serios
riesgos, entre ellos:
• Posibilidad de que
ocurran errores por la
falta de conocimiento
del tema contable en
el área operativa.
• Alto riesgo de que
el usuario final pueda
incurrir en cambios
no autorizados en los
sistemas, por cuanto
que el usuario final
tiene acceso
irrestricto al mismo.
• Implementar
debidamente los
controles internos
necesarios para el
adecuado manejo del
Usuario final.
• Implementar un
sistema de respaldo de
inventario de envíos
automático.
0 (cero )
FORMATO DE OSERVACIONES
Nombre de la empresa OLVA COURIER S.A
Observación Auditoria de sistema
UNIVERSIDAD NACIONAL DE MOQUEGUA71
AUDITORIA INFORMATICA – OLVA COURIER
N° SITUACION EFECTOS Y/0
IMPLICANCIA
SUGERENCIA INDICE DE
IMPORTANCIA
ESTABLECIDA
1 • Hemos observado que
en Olva Courier no cuenta
con auditoría Informática ,
ni con políticas
formales que establezcan
responsables, frecuencias
y metodología a seguir
para efectuar revisiones
de los archivos de
auditoría.
• Cabe destacar que el
sistema integrado posee
un archivo que pudiera
servir de auditoria
Informática, el cual no es
habilitado por falta de
espacio en el disco duro.
• Posibilidad de que
adulteraciones
voluntarias o
involuntarias sean
realizadas a los
elementos
componentes del
procesamiento de
datos (programas,
archivos de datos,
definiciones de
seguridad de acceso,
etc. ) o bien accesos a
datos confidenciales
por personas no
autorizadas
que no sean
detectadas
oportunamente.
• Establecer normas y
procedimientos en los
que se fijen
responsables,
periodicidad y
metodología de
control de todos los
archivos de auditoria
que pudieran existir
como asimismo, de
todos los elementos
componentes de los
sistemas de
aplicación.
0 ( cero )
3. RESULTADOS RECOMENDACIONES Y ACCIONES DE LA AUDITORIA
A. Seguridad Física Y Lógica
UNIVERSIDAD NACIONAL DE MOQUEGUA72
AUDITORIA INFORMATICA – OLVA COURIER
A1.Entorno General
-Situación
Durante nuestra revisión, hemos observado lo siguiente:
• No existe una vigilancia estricta del Área de Informática por personal de seguridad
dedicado a este sector.
• No existe detectores, ni extintores automáticos.
• Existe material altamente inflamable.
• Carencia de un estudio de vulnerabilidad de la Cooperativa, frente a los riesgos
físicos o no físicos, incluyendo el riesgo Informático.
• No existe un puesto o cargo especifico para la función de seguridad Informática.
-Efectos y/o implicancias probables
• Probable difusión de datos confidenciales.
• Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta
de controles
• internos.
• Debido a la debilidad del servicio de mantenimiento del equipo central, la
continuidad de las
• actividades informáticas podrían verse seriamente afectadas ante eventuales
roturas y/o
• desperfectos de los sistemas.
-Sugerencias
UNIVERSIDAD NACIONAL DE MOQUEGUA73
AUDITORIA INFORMATICA – OLVA COURIER
A los efectos de minimizar los riesgos descriptos, se sugiere:
• Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al
Área de Informática.
• Colocar detectores y extintores de incendios automáticos en los lugares
necesarios.
• Remover del Centro de Cómputos los materiales inflamables.
• Determinar orgánicamente la función de seguridad.
• Realizar periódicamente un estudio de vulnerabilidad, documentando
efectivamente el mismo, a los efectos de implementar las acciones correctivas
sobre los puntos débiles que se detecten.
A2.Auditoría de Sistema
-Situación
• Hemos observado que la Empresa Olva Courier no cuenta con auditoría
Informática, ni con políticas formales que establezcan responsables, frecuencias y
metodología a seguir para efectuar revisiones de los archivos de auditoría.
• Cabe destacar que el sistema integrado posee un archivo que pudiera servir de
auditoria Informática, el cual no es habilitado por falta de espacio en el disco duro.
-Efectos y/o implicancias probables
• Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas a los
elementos componentes del procesamiento de datos (programas, archivos de
datos, definiciones de seguridad de acceso, etc.) o bien accesos a datos
confidenciales por personas no autorizadas que no sean detectadas
oportunamente.
UNIVERSIDAD NACIONAL DE MOQUEGUA74
AUDITORIA INFORMATICA – OLVA COURIER
-Sugerencias
• Establecer normas y procedimientos en los que se fijen responsables, periodicidad
y metodología de control de todos los archivos de auditoria que pudieran existir
como asimismo, de todos los elementos componentes de los sistemas de
aplicación.
A.3. Operaciones de Respaldo
-Situación
Durante nuestra revisión hemos observado que:
• Existe una rutina de trabajo de tomar una copia de respaldo de datos en
Cuadernos y USB, que se encuentra en el recinto del centro de cómputos, en poder
del auxiliar de informática.
• Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que
exijan la prueba sistemática de las mismas a efectos de establecer los mínimos
niveles de confiabilidad.
- Efectos y/o implicancias probables
• La Empresa Olva Courier está expuesta a la perdida de información por no poseer
un chequeo sistemático periódico de los backup's, y que los mismas se exponen a
riesgo por encontrarse en poder del auxiliar de informática.
-Sugerencias
Minimizar los efectos, será posible a través de:
• Desarrollar normas y procedimientos generales que permitan la toma de respaldo
necesarios, utilitario a utilizar.
UNIVERSIDAD NACIONAL DE MOQUEGUA75
AUDITORIA INFORMATICA – OLVA COURIER
• Realizar 3 copias de respaldos de datos en Zip de las cuales, una se encuentre en el
recinto del área de informática, otra en la sucursal más cercana y la última en
poder del Jefe de área.
• Implementar pruebas sistemáticas semanales de las copias y distribución de las
mismas.
A.4. Acceso a usuarios
-Situación
De acuerdo a lo relevado hemos constatado que:
• Existen niveles de acceso permitidos, los cuales son establecidos conforme a la
función que cumple cada uno de los usuarios.
• Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles
de acceso.
• Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema.
• El sistema informático no solicita al usuario, el cambio del Password en forma
mensual.
-Efectos y/o implicancia probables
• Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra
dividida entre el área de sistema y los usuarios finales.
• La falta de seguridad en la utilización de los Password, podrían ocasionar fraudes
por terceros.
- Sugerencia
• Implementar algún software de seguridad y auditoria existente en el mercado o
desarrollar uno propio.
• Establecer una metodología que permita ejercer un control efectivo sobre el uso o
modificación de los programas o archivos por el personal autorizado.
UNIVERSIDAD NACIONAL DE MOQUEGUA76
AUDITORIA INFORMATICA – OLVA COURIER
A.5. Plan de Contingencias
-Situación
En el transcurso de nuestro trabajo hemos observado lo siguiente:
• Ausencia de un Plan de Contingencia debidamente formalizado en el Área de
Informática.
• No existen normas y procedimientos que indiquen las tareas manuales e
informáticas que son necesarias para realizar y recuperar la capacidad de
procesamiento ante una eventual contingencia (desperfectos de equipos,
incendios, cortes de energía con más de una hora ), y que determinen los niveles
de participación y responsabilidades del área de sistemas y de los usuarios.
• No existen acuerdos formalizados de Centro de Cómputos paralelos con otras
empresas o proveedores que permitan la restauración inmediata de los servicios
informáticos de la Empresa Olva Courier en tiempo oportuno, en caso de
contingencia.
-Efectos y/o implicancia probable
• Pérdida de información vital.
•
•
• Pérdida de la capacidad de procesamiento.
-Sugerencias
• Establecer un plan de contingencia escrito, en donde se establezcan los
procedimientos manuales e informáticos para restablecer la operatoria normal de
la Empresa Olva Courier y establecer los responsables de cada sistema.
UNIVERSIDAD NACIONAL DE MOQUEGUA77
AUDITORIA INFORMATICA – OLVA COURIER
• Efectuar pruebas simuladas en forma periódica, a efectos de monitorear el
desempeño de los funcionarios responsables ante eventuales desastres.
• Establecer convenios bilaterales con empresas o proveedores a los efectos de
asegurar los equipos necesarios para sustentar la continuidad del procesamiento.
B. Desarrollo y mantenimiento de los sistemas de aplicaciones
B.1. Entorno de Desarrollo y mantenimiento de las aplicaciones
-Situación
• No existe documentaciones técnicas del sistema integrado de la Cooperativa y
tampoco no existe un control o registro formal de las modificaciones efectuadas.
• No se cuenta con un Software que permita la seguridad de las librerías de los
programas y la restricción y/o control del acceso de los mismos.
• Las modificaciones a los programas son solicitadas generalmente sin notas
internas, en donde se describen los cambios o modificaciones que se requieren.
Efectos y/o implicancias probables
• La escasa documentación técnica de cada sistema dificulta la compresión de las
normas, demandando tiempos considerables para su mantenimiento e
imposibilitando la capacitación del personal nuevo en el área.
• Se incrementa aún más la posibilidad de producir modificaciones erróneas y/o no
autorizadas a los programas o archivos y que las mismas no sean detectadas en
forma oportuna.
-Sugerencias
Para reducir el impacto sobre los resultados de los efectos y consecuencias probables
sugerimos:
UNIVERSIDAD NACIONAL DE MOQUEGUA78
AUDITORIA INFORMATICA – OLVA COURIER
• Elaborar toda la documentación técnica correspondiente a los sistemas
implementados y establecer normas y procedimientos para los desarrollos y su
actualización.
• Evaluar e implementar un software que permita mantener el resguardo de acceso
de los archivos de programas y aún de los programadores.
• Implementar y conservar todas las documentaciones de prueba de los sistemas,
como así también las modificaciones y aprobaciones de programas realizadas por
los usuarios
C. Área de Informática
-Situación
• No existe una validación de la cuenta a donde debería acreditarse el monto del
aporte social.
• El inventario de salidas y entradas de cada operación se hace en forma manual,
tanto en la parte de recepción de envíos, como de los envíos en procesos cuando
se cae el sistema.
.
-Efectos y/o implicancias probables
La Empresa Olva Courier se encuentra expuesta a serios riesgos, entre ellos:
• Posibilidad de que ocurran errores por la falta de conocimiento del tema contable
en el área operativa.
• Alto riesgo de que el usuario final pueda incurrir en cambios no autorizados en los
sistemas, por cuanto que el usuario final tiene acceso irrestricto al mismo.
-Sugerencias
• Implementar debidamente los controles internos necesarios para el adecuado
manejo del usuario final.
UNIVERSIDAD NACIONAL DE MOQUEGUA79
AUDITORIA INFORMATICA – OLVA COURIER
• Implementar un sistema de respaldo de inventario de envíos automático.
4. AUTOMATIZACION DE PROCESOS
UNIVERSIDAD NACIONAL DE MOQUEGUA80
AUDITORIA INFORMATICA – OLVA COURIER
5. CONCLUSIONES
La empresa OLVA COURIER tanto materiales como humanos, con lo anterior, se puede dar
uno cuenta auditar una institución no es nada fácil, ya que si falla un elemento del que se
compone, trae consigo un efecto domino, que hace que los demás elementos bajen su
rendimiento, o en el peor de los casos sean causantes del fracaso de la institución.
El factor humano es lo más importante, ya que si se cuenta con tecnología de punta, pero
con personal no calificado o en desacuerdo con el desarrollo del Centro de Computo
optara por renunciar, o bien por seguir rezagando al mismo Asimismo la capacitación es
importantísima, ya que si no hay capacitación permanente, el personal técnico de la
empresa decide abandonarla para buscar nuevos horizontes y mayor oportunidad, aun
sacrificando el aspecto económico.
El aspecto organizativo también debe estar perfectamente estructurado, y las líneas de
mando deben estar bien definidas, evitando de esta manera la rotación innecesaria de
personal, la duplicidad de funciones, las líneas alternas demando, etc. y que conllevan al
desquiciamiento de la estructura organizacional.
Hablando de seguridad, es indispensable el aseguramiento del equipo y de las
instalaciones, así como de la información, el control de los accesos también es punto
fundamental para evitar las fugas de información o manipulación indebida de esta.
UNIVERSIDAD NACIONAL DE MOQUEGUA81
AUDITORIA INFORMATICA – OLVA COURIER
El Departamento de informática es la parte medular de la empresa, es en donde los datos
se convierten en información útil a las diferentes áreas, es donde se guarda esta
información y por consecuencia, donde en la mayoría de los casos se toman las decisiones
importantes para la empresa.
Además al realizar la presente auditoria nos damos cuenta que dentro del ambiente
empresarial es de vital importancia contar con la información lo más valiosa que sea, a
tiempo, de forma oportuna, clara, precisa y con cero errores para que se constituya en
una herramienta poderosa para la toma de decisiones, viéndose reflejada en la obtención
de resultados benéficos a los fines de la organización y justificar el existir de toda la
organización o empresa.
Como resultado de la Auditoria Informática realizada a la empresa “OLVA COURIER”, por
el período comprendido entre 19-28 de Diciembre del 2013 podemos manifestar que
hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de
auditoria.
El área de Informática presenta deficiencias en:
Y en el debido cumplimiento de sus funciones. Podremos estar tranquilos y seguros que
nuestra función de auditores está funcionando como se debe, y saber que cuando se
siguen estos lineamientos se obtendrán sistemas que no van a necesitar mantenimiento
excesivo, que el cómputo va a ser parte de la solución y no parte del problema, como lo es
hoy en día.
6. FIRMAS
Elaborado por Revisado por: Autorizado por:
UNIVERSIDAD NACIONAL DE MOQUEGUA82
AUDITORIA INFORMATICA – OLVA COURIER
José Luis Callacondo
Firma
Isabel Vilca Quispe
Firma
Shirley Mamani Rodríguez
Firma
RECOMENDACIONES
Realizar evaluaciones periódicas con el fin de medir el avance de cada uno de
los procesos estudiados en este trabajo.
Se debe utilizar software aplicativo con licenciamiento, así como adecuar las
instalaciones del área de informática, puesto que el espacio de trabajo de este
es muy limitado y sin las seguridades fiscas pertinentes.
Hacer el uso del presente trabajo, con el fin de tomarlo como guía para futuras
mejoras en TI.
UNIVERSIDAD NACIONAL DE MOQUEGUA83
AUDITORIA INFORMATICA – OLVA COURIER
CONSEJOS
1. Utiliza un buen antivirus y actualízalo frecuentemente.
2. Comprueba que tu antivirus incluye soporte técnico, resolución urgente de nuevos
virus y servicios de alerta.
3. Asegúrate de que tu antivirus esté siempre activo.
4. Verifica, antes de abrir, cada nuevo mensaje de correo electrónico recibido.
5. Evita la descarga de programas de lugares no seguros en Internet.
6. Rechaza archivos que no hayas solicitado cuando estés en chats o grupos de noticias
7. Analiza siempre con un buen antivirus los disquetes que vayas a usar en tu ordenador.
UNIVERSIDAD NACIONAL DE MOQUEGUA84
AUDITORIA INFORMATICA – OLVA COURIER
8. Retira los disquetes de las disqueteras al apagar o reiniciar tu ordenador.
9. Analiza el contenido de los archivos comprimidos.
10. Mantente alerta ante acciones sospechosas de posibles virus.
11. Añade las opciones de seguridad de las aplicaciones que usas normalmente a tu
política de protección antivirus.
12. Realiza periódicamente copias de seguridad.
13. Mantente informado.
14. Utiliza siempre software legal.
15. Exige a los fabricantes de software, proveedores de acceso a Internet y editores de
publicaciones, que se impliquen en la lucha contra los virus
BIBLIOGRAFIA
http://www.slideshare.net/AmdCdmas/informe-final-de-auditoria-informatica
http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html }
http://anaranjo.galeon.com/conceptos.htm
UNIVERSIDAD NACIONAL DE MOQUEGUA85
AUDITORIA INFORMATICA – OLVA COURIER
http://www.virtual.unal.edu.co/cursos/sedes/manizales/4060035/und_0/
http://auditoriainformaticafcat.blogspot.com/2012/02/ejemplo-de-propuesta-de-
auditoria.html
http://html.rincondelvago.com/auditoria-de-sistemas-informaticos.html
ANEXOS
UNIVERSIDAD NACIONAL DE MOQUEGUA86
AUDITORIA INFORMATICA – OLVA COURIER
A. Cuestionario de Auditoría correspondiente al funcionamiento del
Área de Informática:
¿Se tiene restringida la operación del sistema de cómputo a los usuarios?
SI ( ) NO ( )
¿Son funcionales los muebles asignados para los equipos de cómputo?
SI ( ) NO ( )
B. Cuestionario de Auditoría correspondiente a la seguridad física:
¿“OLVA COURIER” cuenta con extintores de fuego?
SI ( ) NO ( )
UNIVERSIDAD NACIONAL DE MOQUEGUA87
AUDITORIA INFORMATICA – OLVA COURIER
¿Existe salida de emergencia?
SI ( ) NO ( )
¿Existe alarma para detectar fuego (calor o humo) en forma automática?
SI ( ) NO ( )
¿Existen una persona responsable de la seguridad?
SI ( ) NO ( )
El lugar donde se encuentra “OLVA COURIER” está situado a salvo de:
a) ¿Inundación? ( ) b) ¿Terremoto? ( ) c) ¿Fuego? ( ) d) ¿Sabotaje? ( )
C. Cuestionario de Auditoria en Redes:
¿Están establecidos controles especiales para salvaguardar la confidencialidad e integridad
del procesamiento de los datos que pasan a través de redes públicas, y para proteger los
sistemas conectados?
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
¿Existen controles especiales para mantener la disponibilidad de los
servicios de red y computadoras conectadas?
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
UNIVERSIDAD NACIONAL DE MOQUEGUA88
AUDITORIA INFORMATICA – OLVA COURIER
¿Existen protocolos de comunicaron establecida?
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
¿Existe un plan de infraestructura de redes?
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
¿Existen controles y procedimientos de gestión para
proteger el acceso a las conexiones y servicios de red?
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
FOTOS
UNIVERSIDAD NACIONAL DE MOQUEGUA89
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA90
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA91
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA92
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA93
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA94
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA95
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA96
AUDITORIA INFORMATICA – OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA97
AUDITORIA INFORMATICA – OLVA COURIER
PREGUNTAS –A. FISICA SI NO N/A
1. ¿Se han adoptado medidas de seguridad en el departamento de XSistemas de información?
2. ¿Existe una persona responsable de la seguridad? X
3. ¿Se ha dividido la responsabilidad para tener un mejor control de la XSeguridad?
4. ¿Existe personal de vigilancia en la institución? X
5. ¿Existe una clara definición de funciones entre los puestos clave? X
6. ¿Se investiga a los vigilantes cuando son contratados directamente? X7. ¿Se controla el trabajo fuera de horario? X
8. ¿Se registran las acciones de los operadores para evitar que realicen XAlgunas pruebas que puedan dañar los sistemas?.
9. ¿Existe vigilancia en el departamento de cómputo las 24 horas? X
10. ¿Se permite el acceso a los archivos y programas a los XProgramadores, analistas y operadores?
11. ¿Se ha instruido a estas personas sobre que medidas tomar en caso Xde que alguien pretenda entrar sin autorización?
UNIVERSIDAD NACIONAL DE MOQUEGUA98
AUDITORIA INFORMATICA – OLVA COURIER
12. ¿El centro de cómputo tiene salida al exterior? X13. ¿Son controladas las visitas y demostraciones en el centro de X
Cómputo?14. ¿Se registra el acceso al departamento de cómputo de personas X
Ajenas a la dirección de informática?15. ¿Se vigilan la moral y comportamiento del personal de la dirección de X
Informática con el fin de mantener una buena imagen y evitar un posible fraude?
16. ¿Se ha adiestrado el personal en el manejo de los extintores? X17. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los X
Extintores?18. ¿Si es que existen extintores automáticos son activador por detectores X
Automáticos de fuego?19. ¿Los interruptores de energía están debidamente protegidos, X
Etiquetados y sin obstáculos para alcanzarlos?20. ¿Saben que hacer los operadores del departamento de cómputo, en X
Caso de que ocurra una emergencia ocasionado por fuego?21. ¿El personal ajeno a operación sabe que hacer en el caso de una X
Emergencia (incendio)?22. ¿Existe salida de emergencia? X23. ¿Se revisa frecuentemente que no esté abierta o descompuesta
la cerradura de esta puerta y de las ventanas, si es que existen?24. ¿Se ha adiestrado a todo el personal en la forma en que se deben X
Desalojar las instalaciones en caso de emergencia?
SI NO N/A25. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas
X en el interior del departamento de cómputo para evitar daños al equipo?
26. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si XExiste?
27. ¿Se cuenta con copias de los archivos en lugar distinto al de la XComputadora?
28. ¿Se tienen establecidos procedimientos de actualización a estas XCopias?
29. ¿Existe departamento de auditoria interna en la institución? X30. ¿Este departamento de auditoria interna conoce todos los aspectos de X
los sistemas?31. ¿Se cumplen? X
32. ¿Se auditan los sistemas en operación? X
33. Una vez efectuadas las modificaciones, ¿se presentan las pruebas a Xlos interesados?
34. ¿Existe control estricto en las modificaciones? X35. ¿Se revisa que tengan la fecha de las modificaciones cuando se X
Hayan efectuado?36. ¿Si se tienen terminales conectadas, ¿se ha establecido X
Procedimientos de operación?37. ¿Se ha establecido que información puede ser acezada y por qué X
Persona?
UNIVERSIDAD NACIONAL DE MOQUEGUA99
AUDITORIA INFORMATICA – OLVA COURIER
PREGUNTAS- A. OFIMATICA SI NO N/A
1. ¿Existe un informe técnico en el que se justifique
la adquisición del equipo, software y servicios de co
incluyendo un estudio costo-
beneficio?
2. ¿Existe un comité que coordine yse
responsabilice de todo el proceso de adquisición e instalación?
3. ¿Han elaborado un instructivo con procedimientos
a seguir para la selección y adquisición de
equipos, programas y servicios computacionales?
4. ¿se cuenta con software de oficina?
5. ¿Se han efectuado las acciones necesarias
para una mayor participación de proveedores?
UNIVERSIDAD NACIONAL DE MOQUEGUA100
AUDITORIA INFORMATICA – OLVA COURIER
SI
NO
N/A
6. ¿Se ha asegurado un respaldo de mantenimiento
y asistencia técnica?
7. ¿El acceso al centro de cómputo cuenta con las
seguridades necesarias para reservar el ingreso a
8. ¿Se han implantado claves o password para
garantizar operación de consola y equipo central
(mainframe), a personal autorizado?
9. ¿Se han formulado políticas respecto a seguridad,
privacidad y protección de las facilidades de
procesamiento ante eventos como: incendio,
vandalismo, robo y uso indebido, intentos de
violación?
10. ¿Se mantiene un registro permanente (bitácora)
de todos los procesos realizados, dejando
constancia de suspensiones o cancelaciones de p
11. ¿Los operadores del equipo central están
entrenados para recuperar o restaurar información
en caso de destrucción de archivos?
12. ¿Los backups son mayores de dos (padres e
hijos) y se guardan en lugaresseguros y
adecuados, preferentemente en bóvedas de
bancos?
13. ¿Se han implantado calendarios de operación a
fin de establecer prioridades de proceso?
14. ¿Todas las actividades del Centro de Computo
están normadas mediante manuales, instructivos, norm
15. ¿Las instalaciones cuentan con sistema de
alarma por presencia de fuego, humo, así como
extintores de incendio, conexiones eléctricas
AUDITORIA INFORMATICA – OLVA COURIER
seguras, entre otras?
SI NO N/A
16. ¿Se han instalado equipos que protejan la
información y los dispositivos en caso de variación
de voltaje como: reguladores de voltaje, supresores pico
17. ¿Se han contratado pólizas de seguros para
proteger la información, equipos, personal y todo
riesgo que se produzca por casos fortuitos o mala operación?
18. ¿Se han Adquirido equipos de protección como
supresores de pico, reguladores de voltaje y de
ser posible UPS previo a la adquisición del
equipo?
19. ¿Si se vence la garantía de mantenimiento del
proveedor se contrata mantenimiento preventivo y
correctivo?
20. ¿Se establecen procedimientos para obtención de
backups de paquetes y de archivos de datos?
21. ¿Se hacen revisiones periódicas y sorpresivas del
contenido del disco para verificar la instalación de
aplicaciones no relacionadas a la gestión de la
empresa?
22. ¿Se mantiene programas y procedimientos de
detección e inmunización de virus en copias no
autorizadas o datos procesados en otros
equipos?
23. ¿Se propende a la estandarización del Sistema
Operativo, software utilizado como procesadores
AUDITORIA INFORMATICA – OLVA COURIER
de palabras, hojas electrónicas, manejadores de
base de datos y se mantienen actualizadas las
versiones y la capacitación sobre modificaciones
incluidas?
AUDITORIA INFORMATICA – OLVA COURIER
PREGUNTAS - A. BASE DE DATOS
SI NO N/A
1. Existe equipos o software de SGBD
2. La organización tiene un sistema de gestión de base de datos (SGBD)
3. Los datos son cargados correctamente en la interfaz grafica
4. Se verificará que los controles y relaciones de datos se realizan de acuerdo a Normalización libre de error
5. Existe personal restringido que tenga acceso a la BD
6. El SGBD es dependiente de los servicios que ofrece elSistema Operativo
7. La interfaz que existe entre el SGBD y el SO es el adecuado
8. ¿Existen procedimientos formales para la operación delSGBD?
9. ¿Están actualizados los procedimientos de SGBD?
10. ¿La periodicidad de la actualización de los procedimientos es Anual ?
11. ¿Son suficientemente claras las operaciones que realiza laBD?
12. ¿Existe un control que asegure la justificación de los procesos en el computador? (Que los procesos que están autorizados tengan una razón de ser procesados)
13. ¿Se procesa las operaciones dentro del departamento de cómputo?
14. ¿Se verifican con frecuencia la validez de los inventarios de los archivos magnéticos?
15. ¿Existe un control estricto de las copias de estos archivos?
16. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos?
17. ¿Se registran como parte del inventario las nuevas cintas magnéticas que recibe el centro de computo?
18. ¿Se tiene un responsable del SGBD?
AUDITORIA INFORMATICA – OLVA COURIER
SI NO N/A19. ¿Se realizan auditorias periódicas a los medios de
almacenamiento?
20. ¿Se tiene relación del personal autorizado para manipular la BD?
21. ¿Se lleva control sobre los archivos trasmitidos por el sistema?
22. ¿Existe un programa de mantenimiento preventivo para el dispositivo del SGBD?
23. ¿Existen integridad de los componentes y de seguridad de datos?
24. De acuerdo con los tiempos de utilización de cada dispositivo del sistema de cómputo, ¿existe equipo capaces que soportar el trabajo?
25. ¿El SGBD tiene capacidad de teleproceso?
26. ¿Se ha investigado si ese tiempo de respuesta satisface a los usuarios?
27. ¿La capacidad de almacenamiento máximo de la BD es suficiente para atender el proceso por lotes y el proceso remoto?
PREGUNTAS – A. DE REDES SI NO N/A
1. La gerencia de redes tiene una política definida
de planeamiento de tecnología de red?
2. Esta política es acorde con el plan de calidad de la
organización
3. La gerencia de redes tiene un plan que permite modificar en
forma oportuna el plan a largo plazo de tecnología de
redes , teniendo en cuenta los posibles cambios
tecnológicos o en la organización?
4. Existe un inventario de equipos y software asociados a
las redes de datos?
AUDITORIA INFORMATICA – OLVA COURIER
SI NO N/A
6. Existe un plan de infraestructura de redes?
7. El plan de compras de hardware y software para el sector
redes está de acuerdo con el plan de infraestructura
de redes?
8. La responsabilidad operativa de las redes esta separada de las de operaciones del computador?
9. Están establecidos controles especiales para salvaguardar la
confidencialidad e integridad del procesamiento de los datos que
pasan a través de redes públicas, y para proteger los sistemas
conectados
10. Existen controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas?
11. Existen controles y procedimientos de gestión para proteger
el acceso a las conexiones y servicios de red.?
12. Existen protocolos de comunicaron establecida
13. Existe una topología estandarizada en toda la organización
14. Existen normas que detallan que estándares que
deben cumplir el hardware y el software de tecnología de
redes?
15. ¿La transmisión de la información en las redes es segura? 16. ¿El acceso a la red tiene password?
AUDITORIA INFORMATICA – OLVA COURIER