AUDITORIA INFORMATICA

PCUNIVERSIDAD NACIONAL DE MOQUEGUA

AUDITORIA INFORMATICA – OLVA COURIERUNIVERSIDAD NACIONAL DE MOQUEGUA

INTEGRANTES:

ISABEL VILCA QUISPE JOSE LUIS CALLACONDO SHIRLEY MAMANI RODRIGUEZ

DOCENTE:

ALEX ZUÑIGA INCALLA

INDICEDedicatoria.................................................................................................................................2

SOLICITUD DE AUDITORÍA INTERNA A LA EMPRESA OLVA CORIER...............................................3

PLANEACION DE LA AUDITORIA INFORMATICA...........................................................................5

1.1. ORIGEN DE LA AUDITORIA:................................................................................................6

1.2. OBJETIVO GENERAL...........................................................................................................6

1.3. OBJETIVOS ESPECIFICOS....................................................................................................6

1.4. ANTECEDENTES..................................................................................................................6

1.5. ENFOQUE A UTILIZAR........................................................................................................9

1.6. PERSONAL A CARGO DE AUDITAR.....................................................................................9

1.7. CRONOGRAMA DE TRABAJO...........................................................................................10

Diagrama de actividades....................................................................................................12

Auditoria del hardware......................................................................................................13

1.8. DOCUMENTOS A SOLICITAR............................................................................................14

1.9. AUTORIDADES DE LA EMPRESA OLVA CORIER................................................................14

1.10. PRINCIPALES ACTIVIDADES:....................................................................................14

1.11. RECURSOS PARA LA AUDITORIA..............................................................................15

Humanos:..............................................................................................................................15

Materiales:............................................................................................................................15

Tecnológicos..........................................................................................................................16

1.12. METODOLOGIA............................................................................................................16

1.13. ANALISIS FODA.............................................................................................................18

UNIVERSIDAD NACIONAL DE MOQUEGUA2

AUDITORIA INFORMATICA – OLVA COURIER

DedicatoriaPor este medio agradecemos a OLVA COURIER por permitir realizar nuestro trabajo dentro

de sus instalaciones, así permitirnos obtener experiencia como auditores en informática.

Apreciamos la confianza que nos brindaron, brindando todo lo que necesitábamos para la

elaboración del documento, tiempo, información, etc.



SOLICITUD DE AUDITORÍA INTERNA A LA EMPRESA OLVA CORIER

En Ilo, a 2 de Diciembre de 2013.

Yo, José Luis Callacondo, mayor de edad, con DNI 47014048, en condición de

alumno de la Universidad Nacional de Moquegua de la carrera profesional

ingeniería de sistemas e informática del VIII ciclo.

EXPONE:

1) Que según la Norma ISO (Organización Internacional de Normalización)

9001:2008, de Gestión y Aseguramiento de la Calidad, el centro se encuentra en

fase de implantación del Sistema General de Calidad.

2) Que de acuerdo en lo establecido en la Normas del Área de Informática,

sobre Seguimiento y medición, es preceptivo la realización de la Auditoría

Interna.

Es por ello que a la Empresa OLVA CORIER

SOLICITA:

Que para la realización de dicha Auditoría del año 2013 se envíe a los

pertinentes Auditores Internos de la empresa.

Que la realización de la Auditoría Interna en el centro al que representa se

realice en el mes de Diciembre y preferentemente en el día de la semana 16

al 28 .

Que no se realice la Auditoría Interna en su centro los días Sábados ni

Domingos



Asimismo, el centro asume el compromiso de cumplir con las pautas que se le

indiquen y a la colaboración con el Auditor para la realización de sus funciones.

Para que así conste, se solicita en forma y plazo

1 de Diciembre de 2013

----------------------------------

ATT. José Luis Callacondo

PRESIDENTE DE AUDITORIA INFORMÁTICA

----------------------------------

ATT. Isabel Vilca Quispe

AUDITORA INFORMATICA

----------------------------------

ATT. Shirley Mamani Rodriguez




INTRODUCCIÓN

En la Actualidad los Sistemas Informáticos constituyen una herramienta bastante

poderosa para la mejora de rendimiento de toda organización empresarial.

Del mismo modo, no solo se trata de adquirir tecnología, sino que también es

necesario saber darle el uso adecuado de acuerdo a los Requerimientos particulares

de un determinado usuario o grupos usuarios.

La Auditoría Informática, es un punto clave en este sentido, debido a que, si bien es

cierto, ayuda a detectar errores y señalar fallas en determinadas áreas o procesos,

su objetivo está orientado a brindar soluciones, planteando métodos y

procedimientos de control de los sistemas de información que son validos para

cualquier empresa u organización por pequeña que esta sea.

El auditor informático ha de velar por la correcta utilización de los amplios recursos

que la empresa pone en juego para disponer de un eficiente y eficaz sistema de

información.

Cabe resaltar que para la realización de una auditoria informática eficaz, es necesario

entender a la empresa en su más amplio sentido, El presente informe, realizado por la

empresa JC auditores, plantea un estudio profesional del los diversos factores que pueden

estar influyendo en las operaciones de la empresa auditada “OLVA COURIER” a fin de

brindar las soluciones y recomendaciones pertinentes.



PLANEACION DE LA AUDITORIA INFORMATICA

AUDITORIA INFORMATICA



AUDITORIA INFORMATICA A LA EMPRESA OLVA CORIER S.A.

1.1. ORIGEN DE LA AUDITORIA:

La presente Auditoria se realiza en el cumplimiento de las normas de seguridad en

dicha área de acuerdo al estándar ISO 9000

1.2. OBJETIVO GENERAL

Supervisar el área de informática de la empresa , de igual manera revisar su

utilización, eficiencia y seguridad para su previa participación en el procesamiento

de la información, para que logre una utilización mas eficiente y segura

información que servirá para una adecuada toma de decisiones.

1.3. OBJETIVOS ESPECIFICOS

Evaluar el diseño de los equipos de computo del área de informática

Determinar la veracidad de la información del área de Informática

A analizar su estandarización y evaluar el cumplimiento de los mismos.

Evaluar la forma como se administran los dispositivos de almacenamiento

básico del área de Informática

Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.

Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del

orden dentro del área de cómputo.

1.4. ANTECEDENTES

El 23 de marzo de 1987, dos jóvenes empresarios decidieron fundar Olva &

Asociados S.R.L., empresa de correo privado dirigida a especializarse

exclusivamente al correo nacional. Hoy, nos hemos convertido en el courier más

grande del Perú: OLVA COURIER.

Gracias al buen servicio, la conformidad y los mejores tiempos de entrega,

servicios complementarios a nivel nacional, y la confianza que se generó entre

nuestros clientes, es que entre los años 1990 y 1991, logramos una importante



cartera de más de 600 clientes corporativos, pertenecientes a diversos sectores

de negocio.

Ya para 1996 nos habíamos convertido en una organización con 68 oficinas en

todo el Perú, dedicadas al servicio de entregas, todas adecuadamente equipadas

y con la debida infraestructura.

Al nuevo milenio, ingresamos como una empresa sólida que cuenta con un

almacén central de 3.300 m2, 14 locales de atención al público ubicados en

distritos estratégicos de Lima, 270 oficinas en provincias y más de 200 unidades

móviles que recorren todo el país.

En el 2011, continuando con nuestro espíritu de crecimiento, en OLVA COURIER

iniciamos una nueva etapa al lanzar nuevas unidades de negocio: Olva Carga,

Olva Export-Import, Olva TI; y una nueva línea de servicio de gestiones con

cobertura nacional: verificaciones, cobranzas, trámites, firma de contratos,

outsoursing, control de colas y auditoría de envíos masivos.

Tras 25 años de experiencia, repotenciamos la marca y renovamos el logotipo e

identidad corporativa. Nuestra red de oficinas se consolida siendo la única que

permite brindar servicios de Lima a provincias, de provincias a Lima, entre

provincias y locales, soportando una cartera de clientes corporativos superior a

las 1,000 empresas y más de 2 millones de personas naturales, convirtiendo a

OLVA COURIER en la empresa líder en el servicio courier en el país.





1.5. ENFOQUE A UTILIZAR

La presente acción de control, se realiza de acuerdo con el organismo central y

rector de los Sistemas Nacionales de Estadística e Informática, responsable de

normar, supervisar y evaluar los métodos, procedimientos y técnicas estadísticas e

informáticas utilizados por los órganos del Sistema INEI (Instituto Nacional de

Estadística e Informática), Normas Internacionales de Auditoria (NIA); habiéndose

aplicado procedimientos de Auditoria que se consideraron necesarios de acuerdo a

las circunstancias.

Esta acción se realizara de acuerdo al objetivo de la auditoria informática tomando

en cuenta que cada uno de los integrantes del equipo participaremos como

responsables cumpliendo ciertas condiciones las cuales son supervisar y evaluar los

procedimientos y técnicas informáticas utilizadas en esta institución.

Habiendo así aplicado los procedimientos de auditoria que se consideren

necesarios de acuerdo a las circunstancias.

La presente Auditoria Informática se realizara en la empresa OLVA CORIER, ubicada

en el Distrito de Ilo, Departamento de Moquegua, siendo el área a examinarse la

de Informática.

1.6. PERSONAL A CARGO DE AUDITAR

1.7. CRONOGRAMA DE TRABAJO


ORGANIZACIÓN QUE LLEVA LA AUDITORIA

AUDITOR:ISABEL VILCA QUISPE


AUDITOR:SHIRLEY MAMANI ROGRIGUEZ

JEFE AUDITOR:JOSE LUIS CALLACONDO

PROGRAMA DE AUDITORIA

Empresa: Olva Courier S.A.

FASE ACTIVIDAD HORAS

ESTIMADA

S

ENCARGADOS

1 Planificar 16-19 de

diciembre

-Ing. Isabel Vilca

Quispe

- Ing. José Luis

Callacondo

- Ing. Shirley

Mamani Rodríguez

1.Solicitud de manuales y Documentación

2.Elaboracion de Cuestionarios

3.Recopilacion de la Información

4.Pistas de auditoria

5.Obtencion para evidencia de auditoria

6.Reconocimiento de factores internos de la

entidad a auditar

2 Ejecutar 20-27 de

diciembre

-Ing. Isabel Vilca

Quispe

- Ing. José Luis

Callacondo

- Ing. Shirley

Mamani Rodríguez

1.Aplicaciones del cuestionario al Personal

2.Analisis de las claves de acceso y control

seguridad, confiabilidad y respaldos

3.Evaluacion de los sistemas; relevamiento

de hardware y software, evaluación del

diseño lógico y del desarrollo del sistema

4. Evaluación de la estructura orgánica de la

empresa.

5. Evaluación del área informática y su flujo

de trabajo.

6. Evaluación de las normas de seguridad en

dicha entidad sobre posibles riesgos.

7.Evaluación del proceso de datos y de los

equipos de cómputo: seguridad de los datos,

control de operación seguridad física y

procedimientos de respaldos



3 verificar 27

diciembre

-Ing. Isabel Vilca

Quispe

- Ing. José Luis

Callacondo

- Ing. Shirley

Mamani Rodríguez

1.Revision de papeles de trabajo y solicitud

de requerimientos

2.Determinacion de diagnóstico

Implicaciones

3.Elaboracion de carta de Gerencia

4.Elaboracion de Borrador(Informe

Preliminar / Memorando)

4 Actuar 28-

diciembre

-Ing. Isabel Vilca

Quispe

- Ing. José Luis

Callacondo

- Ing. Shirley

Mamani Rodríguez

1.Elaboracion y presentación del Informe

2.Seguimiento



Diagrama de actividades



Auditoria del hardware



1.8. DOCUMENTOS A SOLICITAR

Políticas, estándares, normas y procedimientos.

Plan de sistemas.

Planes de seguridad y continuidad

Contratos, pólizas de seguros.

Organigrama y manual de funciones.

Manuales de sistemas.

Registros

Entrevistas

Archivos

Requerimientos de Usuarios

1.9. AUTORIDADES DE LA EMPRESA OLVA CORIER

DIRECTOR VASQUEZ LOPEZ GUSTAVO

DIRECTOR ADMINISTRATIVO VASQUEZ VELA ROSA MERCEDES

DIRECTOR GERENTE VASQUEZ VELA ANDERSON

1.10. PRINCIPALES ACTIVIDADES:

Olva Courier ofrece los siguientes servicios:

1) Soluciones courier: - Recojo y entrega a domicilio. - Retorno de cargos

adjuntos y guías de remisión. - Embalaje sin costo y embalaje especial. - Reporte



de entregas diarias, semanales o mensuales. - Sistema de comunicación en

tiempo real entre todas las oficinas.

2) Soluciones logísticas: - Servicio de carga. - Compras urgentes.

3) Transferencias de dinero.

4) Outsourcing:

* Municipalidad: - Partida de matrimonio. - Partida de nacimiento. *

Notarías: - Copia de minuta. - Carta notarial.

* Licitaciones: - Compra de bases. - Concursos públicos. - Adjudicaciones

directas.

* Essalud/Red asistencial: - Cobranzas de cheque. - Recojo de muestras. -

Recojo de comprobantes de retención. - Compra de bases.

* Iglesias: - Partida de confirmación. - Partida de primera comunión. -

Partida de bautizo. - Partida de matrimonio.

* Ministerio de educación: - Certificado de estudios. - Compra de

formatos de título.

* Colegios: - Certificado de estudios.

* SUNARP: -Títulos de propiedad. - Título vehicular. - Tarjetas de

propiedad. - Duplicado de tarjetas de propiedad

1.11. RECURSOS PARA LA AUDITORIA

Humanos:

Auditor principal.

Asesores.



Materiales:

Materiales de escritorio y oficina.

Fotocopias.

Pendrive (USB).

Computadora de escritorio.

Cartuchos de tinta.

Tecnológicos.

Paquete Office.

Internet Speedy 4MB

Telefonía

Impresora multifuncional.

Laptops.

1.12. METODOLOGIA

La metodología de investigación a utilizar en el proyecto se presenta a

continuación:

Para la evaluación del Área de Informática se llevarán a cabo las siguientes

actividades:

Solicitud de los estándares utilizados y programa de trabajo

Aplicación del cuestionario al personal

Análisis y evaluación del a información

Elaboración del informe

Para la evaluación de los sistemas tanto en operación como en desarrollo se

llevarán a cabo las siguientes actividades:

o Solicitud del análisis y diseño del os sistemas en desarrollo y en operación



o Solicitud de la documentación de los sistemas en operación (manuales

técnicos, de operación del usuario, diseño de archivos y programas)

o Recopilación y análisis de los procedimientos administrativos de cada

sistema (flujo de información, formatos, reportes y consultas)

o Análisis de llaves, redundancia, control, seguridad, confidencial y

respaldos

o Análisis del avance de los proyectos en desarrollo, prioridades y personal

asignado

o Entrevista con los usuarios de los sistemas

o Evaluación directa de la información obtenida contra las necesidades y

equerimientos del usuario

o Análisis objetivo de la estructuración y flujo de los programas

o Análisis y evaluación de la información recopilada

o Elaboración del informe

Para la evaluación de los equipos se llevarán a cabo las siguientes actividades:

o Solicitud de los estudios de viabilidad y características de los equipos

actuales, proyectos sobre ampliación de equipo, su actualización

o Solicitud de contratos de compra y mantenimientos de equipo y sistemas

o Solicitud de contratos y convenios de respaldo

o Solicitud de contratos de Seguros

o Elaboración de un cuestionario sobre la utilización de equipos, memoria,

archivos, unidades de entrada/salida, equipos periféricos y su seguridad

o Visita técnica de comprobación de seguridad física y lógica de la

instalaciones de la Dirección de Informática

o Evaluación técnica del sistema electrónico y ambiental de los equipos y del

local utilizado

o Evaluación de la información recopilada, obtención de gráficas, porcentaje

de utilización de los equipos y su justificación

Elaboración y presentación del informe final ( conclusiones y recomendaciones)



1.13. ANALISIS FODA

Fortalezas

o Disponibilidad de recursos económicos.

o Personal Directivo y técnico con experiencia(sistemas computacionales)

Oportunidades

o Buen servicio y trato.

Debilidades

o Falta de planes y Programas Informáticos.

o Escasa capacidad sobre conocimientos en informática

o No existe programas de capacitación y actualización al personal

o Personal técnico Calificado insuficiente en el área de computo

Amenazas

o sistemas obsoletos

o falta de mantenimiento a los equipos

o robo de material de trabajo de esta aula

ANÁLISIS INTERNOFORTALEZAS DEBILIDADES

Tratamiento personalizado a clientes, orientación yasesoramiento.

Integración de productos y servicios buscando sinergias entre ellos.

Innovación Constante. Personal debidamente Capacitado y

comprometido con la visión de la Organización.

Control de Almacén. Realizar grandes proyectos en el sector

privado y público. Dependencia de los servicios

subcontratados. Sistema de Información

Integrado (Compras, ventas, Almacén y Kárdex).

ANÁLISIS EXTERNOOPORTUNIDADES AMENAZAS



Valoración positiva de las TIC en la Organización.

Costos cada vez menores para lasOrganizaciones para la aplicación de las TIC.

Lealtad de los clientes hacia laOrganización.

Ubicación Céntrica del Local.

Oferta de productos a menor precio por parte de la competencia.

La inestabilidad económica de los pobladores de la cuidad deHuaraz.

Cambios repentinos de losSistemas Informáticos.

Incremento de la Competencia.

EJECUCION DE LA AUDITORIA INFORMATICA



N° TIPO DE HADWARE Modelo N° de Serie Marca Capaci

dad/

Tamañ

o

1 E-HDD MK3200GAH MK3200KHK Toshiba 300GB

2 E-HDD WD5000BEVT N82E1682213631

4

Western

Digital

80GB

3 E-HDD 6L080M0 72N6L080M0 IBM 80GB

4 E-HDD WD10EADS WD10EADS123HK

Z3

Western

Digital

160GB

5 Desktop/Registro Clone/

AMDTurion

AMD2VK8000-

M20

AMD 2.0ghz

6 Desktop/Estacion 1 Clone/Intel P I

V Intel

Intel Grand i865P

E

Intel 3.0Ghz

7 Desktop/Estacion 2 Clone/Intel P I

V Intel

Intel Grand i865P

E

Intel 2.8GHz

8 Desktop/Server 1 Clone/Intel P

IV

Intel dg41rq Intel 1.8GHz

9 Rack/Server 2 DellPowerEdge

R310

Intel dual core Intel 2.6GHz

10 KVM KVMDUAL2X7

54

200098X87UHDK HP 2PCs

11 LCD HPL19540 LKJNHLCD19KN HP 19



12 LCD DLAV17YH 009768BJHD DELL 17"

13 LCD KHLN791917KJ

B

23409087NHYLKJ

HN

DELL 17"

14 LCD HBJ15JJR BB15NJKB DELL 17"

15 LCD KHSD15JHK NDOUOAD1879 HP 19"

16 Mouse Laser 1 KHHKLOGMB JJBJJNLOG Logitech

17 MouseLaser2 KHHKLOGMB JJBJJNLOG Logitech


19 MouseLaser4 KHHKLOGMB JJBJJNLOG Logitech


21 TECLADOESPAÑOL

1

KKKJBGVAGVJ KKKJBGVAGVJ Micronics

22 TECLADOESPAÑOL

2

KKKJBGVAGVJ JVVUJKMM Micronics

23 TECLADOESPAÑOL

3

KKKJBGVAGVJ KKJBREVAGVB Micronics

24 TECLADOESPAÑOL

4

KKKJBGVAGVJ KKURREVHGJI Micronics

25 TECLADOESPAÑOL

5

KKKJBGVAGVJ JBFFUJIKMN Micronics

27 Regulador Voltaje RLV-1579001 RLVGFGFU Manhattan

28 Regulador Voltaje RLV-1579001 RLVGFGFU Manhattan

29 Modem

30 Router

Tipos de hardware



Aplicaciones de software

N°

Control

Aplicaciones Ubicación Cantidad Descripción

1 Open Office 3.3 CD case 1 3 Aplicación Ofimática Libre

2 Office2010 CD Case 1 3 Aplicación Ofimática Sin

licencia

3 Office2007 CD Case 1 3 Aplicación Ofimática Sin

licencia

4 Microsoft Office XP CD Case2 2 Aplicación Ofimática Sin

licencia

5 Iwork CD Case 1 2 Aplicación Ofimática Sin

licencia

6 Neo Office CD Case 2 2 Aplicación Ofimática Sin

licencia

7 Microsoft Office

MAC 2008

CD Case2 2 Aplicación Ofimática Sin

licencia

8 AVG Anti-Virus CD Case 3 2 Aplicación de seguridad

FreeWare

9 NOD32 CD Case 3 2 2Aplicación de seguridad Sin

Licencia

10 Avast Antivirus CD Case 3 2 Aplicación de seguridad Free

Ware

11 Kaspersky Anti-Virus CD Case 3 2 Aplicación de seguridad Sin

Licencia

12 Avira AntiVir CD Case 3 2 Aplicación de seguridad



FreeWare

13 Adobe CS5 FullSuite CD Case 3 1 Aplicación Diseño Sin licencia



16 SD Fix malware CD Case 3 3 Aplicacion antimalware

Freeware

17 Flash Disinfector CD Case 3 3 Aplicación anti

malwareFreeware

18 Malware bytes CD Case 3 2 aplicación

antimalwareFreeware

19 Windows Seven CD Case 3 5 aplicación sin licencia

20 Mac OS X CD Case 3 3 aplicación sin licencia



AUDITORÍA FÍSICA

ALCANCE

Esta auditoría fue aplicada en todas las áreas que se encuentran en ejecución

(Coordinación, Administración, recepción ) las mismas que operan en la oficina

principal (Oficina Administrativa), puesto que en ella se encuentran los equipos de

cómputo con los que dispone la empresa, y en donde se evaluará:

Organización y calificación del personal de Seguridad.

Planes y procedimientos de Seguridad y Protección

Sistemas técnicos de Seguridad y Protección.

Remodelar el ambiente de trabajo.

OBJETIVOS

Verificar la ubicación y seguridad de las instalaciones.

Determinar y evaluar la política de mantenimiento y distribución de los

equipos.

Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el

ambiente

Verificar la seguridad del personal, datos, hardware, software e instalaciones

Revisión de políticas y normas sobre seguridad Física de los medios, como son:

Edifico, Instalaciones, Equipamiento y Telecomunicaciones, Datos y Personas.

Verificar si la selección de equipos y Sistemas de computación es adecuada.

DESARROLLO DE LA AUDITORÍA

SEGURIDAD FÍSICA

Ubicación de la Oficina Central/Oficina administrativa



La oficina central se encuentra ubicada Ilo y no tienen previsto un local alternativo

para cuando termine el convenio de cesión en uso con la misma.

En dicho ambiente se llevan a cabo operaciones de Coordinación, Administración y

servicios.

Además, allí se encuentra almacenada toda la documentación concerniente a la

empresa, en grandes folios apilados en estanterías.

De igual forma, todos los equipos de cómputo con los que cuenta la empresa, se

encuentran en este ambiente.

Las ventanas superiores no poseen ninguna estructura metálica (Malla o enrejado)

que proteja el acceso a personas no autorizadas y malintencionadas.

Seguridad General

De acuerdo a las observaciones realizadas en la oficina informatica, la ubicación de los

equipos de computo no constituyen un inconveniente para los accesos y salidas de



la misma, sin embargo, cabe resaltar que el servidor se encuentra en un lugar

vulnerable.

En lo referente a la seguridad eléctrica, los auditores, pudo verificar que cables no

están debidamente colocados, pues están a la vista de todos de forma

desorganizada, además, en los toma corrientes, existen varios cables sueltos, los cuales

constituyen un riesgo y puede ocasionar desastres mayores.

Lo mismo ocurre con el cableado de red, para el cual no se ha previsto el uso de

canaletas ni de caja toma datos.

Los equipos no reciben el mantenimiento debido; lo cual incrementa el riesgo e

posible pérdida de información por averías serias en el equipo.

No disponen de un equipo contra incendios y mucho menos cuentan con la

capacitación adecuada para el manejo de estos.

Plan de Contingencia

De acuerdo con el Inventario de Documentos

realizado en la empresa; los Auditores pudo

verificar que muchos de los lineamientos del

plan de Contingencia que poseen, no han sido

ejecutados a la fecha.

Control de accesos

Puesto que se trata de un ambiente relativamente pequeño, no es imprescindible

contar con un sistema para ello; todos los accesos son verificados en la entrada

principal de la sede.

Selección de personal



El personal que labora en la empresa cuenta con los conocimientos indispensables

para su labor, los cuales han sido seleccionados de una manera adecuada, tanto

por concurso así como respectivas entrevistas

Seguridad de datos

Actualmente la duplicación y preservación de la información depende de la empresa

quien es responsable de proteger su información contra pérdidas, modificación de las

mismas y accesos a personal no autorizado.

DISTRIBUCIÓN Y MANTENIMIENTO DE EQUIPOS

Distribución de los equipos informáticos

No existen mayores dificultades, puesto que todos los equipos informáticos yacen

en un mismo ambiente, y por cuyas dimensiones no son representa gran

inconveniente.

Mantenimiento de los equipos informáticos

En cuanto a su mantenimiento no se cuenta con personal adecuado y capacitado para

solucionar problemas en el mal funcionamiento del hardware, lo cual retrasa el trabajo

del usuario del equipo afectado.



Según la información obtenida, no se tiene plan o cronograma para el

mantenimiento de equipos, por lo que el mismo se da esporádicamente para lo cual se

hace uso de servicios técnicos externos.

ENCUESTA:

1. ¿Se han adoptado medidas de seguridad en el departamento de sistemas de

información?

2. ¿Existeuna persona responsable de la seguridad?

3. ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad?

4. ¿Existepersonal de vigilancia en la institución?

5. ¿Existe una clara definición de funciones entre los puestos clave?

6. ¿Se controla el trabajofuera de horario?

7. ¿Se registran las acciones de los operadores para evitar que realicen algunas

pruebas que puedan dañar los sistemas?.

8. ¿Existe vigilancia en el departamento de cómputo las 24 horas?

9. ¿Se permite el acceso a los archivos y programa a los

programadores, analistas y operadores?

10. ¿Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien

pretenda entrar sin autorización?



11. ¿El centro de cómputo tiene salida al exterior?

12. ¿Son controladas las visitas y demostraciones en el centro de cómputo?

13. ¿Se registra el acceso al departamento de cómputo de personas ajenas a la

dirección de informática?

14. ¿Se vigilan la moral y comportamiento del personal de la dirección de informática

con el fin de mantener una buena imagen y evitar un posible fraude?

15. ¿Se ha adiestrado el personal en el manejo de los extintores?

16. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores?

17. ¿Si es que existen extintores automáticos son activador por detectores

automáticos de fuego?

18. ¿Los interruptores de energía están debidamente protegidos,

etiquetados y sin obstáculos para alcanzarlos?

19. ¿Saben que hacer los operadores del departamento de cómputo, en caso de que

ocurra una emergencia ocasionado por fuego?

20. ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia

(incendio)?

21. ¿Existe salida de emergencia?

22. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de

esta puerta y de las ventanas, si es que existen?

23. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las

instalaciones en caso de emergencia?

24. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el

interior del departamento de cómputo para evitar daños al equipo?

25. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe?

26. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora?

27. ¿Se tienen establecidos procedimientos de actualización a estas copias?

28. ¿Existe departamento de auditoria interna en la institución?

29. ¿Este departamento de auditoria interna conoce todos los aspectos de los

sistemas?

30. ¿Se cumplen?



31. ¿Se auditan los sistemas en operación?

32. Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los

interesados?

33. ¿Existe control estricto en las modificaciones?

34. ¿Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado?

35. ¿Si se tienen terminales conectadas, ¿se ha establecido procedimientos de

operación?

36. ¿Se ha establecido que información puede ser acezada y por qué persona?

AUDITORIA OFIMATICA

ALCANCE

La auditoria Ofimática fue aplicada en todas las áreas que se encuentran en aplicación

(coordinación, administración, unidad de investigación, unidad de semillas, y unidad

de capacitación), las mismas que operan en la oficina principal

Área de informática

Los puntos que se tomarán son, Revisión de: inventario, políticas de mantenimiento,

licencias, desempeño del software existente, seguridad de la data.

OBJETIVOS



Determinar si el inventario ofimático refleja con exactitud los equipos y

aplicaciones existentes en la organización

Determinar y evaluar la política de mantenimiento definida en la organización

Verificar el desempeño del software empleado en la institución

Verificar la legalización del software utilizado.

Verificar la seguridad en la data

DESARROLLO DE LA AUDITORÍA

Todas las opiniones profesionales vertidas en este documento están

respaldadas por las entrevistas, inventarios y observaciones realizadas durante las

visitas a la Institución.

INVENTARIO

De acuerdo a la investigación realizada por la consultora de Auditores, la empresa

OLVA COURIER., so cuenta con un inventario, la cual si saben con exactitud con

cuantos equipos de hardware/software cuentan.

MANTENIMIENTO

La empresa OLVA COURIER no cuenta con una política de mantenimiento

preventivo de sus equipos, se hace mantenimiento solo y cada vez que estos

empiezan a fallar.

SISTEMAS - NECESIDADES

Actualmente existen dos aplicaciones en red que son:

Sistema de envio , Sistema comercial pero dichas aplicaciones son utilizados

actualmente. Además cabe recalcar que algunos accesorios de cómputo no se

utilizan a cabalidad como por



ejemplo las quemadoras y lectoras, son 4 computadoras de escritorio y cada uno

de ellos posee una quemadora y lectora, pero estos accesorios se utilizan con

poca frecuencia.

LICENCIAMIENTO

Los Software que se utilizan en la empresa OLVA COURIER solo dos sistemas cuentan

con licencias, el resto ninguno de ellos cuentan con licencia, esto puede ser

perjudicable para la empresa ya que puede haber fuertes sanciones por el uso ilegal

APLICACIONES INSTALADAS

No existe un control del software que los trabajadores puedan descargar de

Internet y el uso que le den a los mismos, de igual forma de software no

licenciado que puedan instalar en los equipos.

COPIAS DE SEGURIDAD

La empresa OLVA COURIER no realizan copias deseguridad (backup) de sus datos,

ya que ante un desastre físico (robo, hurto) o lógico (virus) se pierde toda la data,

pero realizan un descargo a lima diariamente.

ENCUESTAS:



1. ¿Existe un informe técnico en el que se justifique la adquisición del equipo,

software y servicios de computación, incluyendo un estudio costo beneficio?

2. ¿Existe un comité que coordine y se responsabilice de todo el proceso de

adquisición e instalación?

3. ¿Han elaborado un instructivo con procedimientos a seguir para la selección y

adquisición de equipos, programas y servicios computacionales?

4. ¿se cuenta con software de oficina?

5. ¿Se han efectuado las acciones necesarias para una mayor participación de

proveedores?

6. ¿Se ha asegurado un respaldo de mantenimiento y asistencia técnica?

7. ¿El acceso al centro de cómputo cuenta con las seguridades necesarias para

reservar el ingreso al personal autorizado?

8. ¿Se han implantado claves o password para garantizar operación de consola y

equipo central (mainframe), a personal autorizado?

9. ¿Se han formulado políticas respecto a seguridad, privacidad y protección de

las facilidades de procesamiento ante eventos como: incendio, vandalismo,

robo y uso indebido, intentos de violación?

10. ¿Se mantiene un registro permanente (bitácora) de todos los procesos

realizados, dejando constancia de suspensiones o cancelaciones de procesos?

11. ¿Los operadores del equipo central están entrenados para recuperar o

restaurar información en caso de destrucción de archivos?

12. ¿Los backups son mayores de dos (padres e hijos) y se guardan en lugares

seguros y adecuados, preferentemente en bóvedas de bancos?

13. ¿Se han implantado calendarios de operación a fin de establecer prioridades de

proceso?

14. ¿Todas las actividades del Centro de Computo están normadas mediante

manuales, instructivos, normas, reglamentos, etc.?

15. ¿Las instalaciones cuentan con sistema de alarma por presencia de fuego,

humo, así como extintores de incendio, conexiones eléctricas seguras, entre

otras?



16. ¿Se han instalado equipos que protejan la información y los dispositivos en

caso de variación de voltaje como: reguladores de voltaje, supresores pico,

UPS, generadores de energía?

17. ¿Se han contratado pólizas de seguros para proteger la información, equipos,

personal y todo riesgo que se produzca por casos fortuitos o mala operación?

18. ¿Se han Adquirido equipos de protección como supresores de pico,

reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo?

19. ¿Si se vence la garantía de mantenimiento del proveedor se contrata

mantenimiento preventivo y correctivo?

20. ¿Se establecen procedimientos para obtención de backups de paquetes y de

archivos de datos?

21. ¿Se hacen revisiones periódicas y sorpresivas del contenido del disco para

verificar la instalación de aplicaciones no relacionadas a la gestión de la

empresa?

22. ¿Se mantiene programas y procedimientos de detección e inmunización de

virus en copias no autorizadas o datos procesados en otros equipos?

23. ¿Se propende a la estandarización del Sistema Operativo, software utilizado

como procesadores de palabras, hojas electrónicas, manejadores de base de

datos y se mantienen actualizadas las versiones y la capacitación sobre

modificaciones incluidas?



AUDITORIA DE REDES

ALCANCE

La auditoria de redes fue aplicada en

todas las áreas que se encuentran en

aplicación (coordinación, administración,

unidad de investigación, unidad de semillas,

y unidad de capacitación), las mismas que operan en la oficina principal (oficina

administrativa)

Los puntos a tomar en cuenta serán los siguientes:

Organización y calificación del tendido de red.

Planes y procedimientos.

Sistemas técnicos de Seguridad y Protección.



OBJETIVOS

Áreas controladas para los equipos de comunicaciones, previniendo así accesos

inadecuados

Protección y tendido adecuado de cables y líneas de comunicación, para evitar

accesos físicos

Revisar las políticas y normas sobre redes y el funcionamiento de la red y la

seguridad de los datos dentro de la Red Lan

REFERENCIA LEGAL

Manual de Autoprotección aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD 2177/96)

ENCUESTAS

1. La gerencia de redes tiene una política definida de planeamiento de tecnología de

red?

2. Esta política es acorde con el plan de calidad de la organización

3. La gerencia de redes tiene un plan que permite modificar en forma oportuna el

plan a largo plazo de tecnología de redes , teniendo en cuenta los posibles cambios

tecnológicos o en la organización?

4. ¿Existe un inventario de equipos y software asociados a las redes de datos?

5. ¿Existe un plan de infraestructura de redes?

6. El plan de compras de hardware y software para el sector redes está de acuerdo

con el plan de infraestructura de redes?

7. La responsabilidad operativa de las redes esta separada de las de operaciones del

computador?

8. Están establecidos controles especiales para salvaguardar la confidencialidad e

integridad del procesamiento de los datos que pasan a través de redes públicas, y

para proteger los sistemas conectados

9. Existen controles especiales para mantener la disponibilidad de los servicios de red

y computadoras conectadas?



10. Existen controles y procedimientos de gestión para proteger el acceso a las

conexiones y servicios de red.?

11. Existen protocolos de comunicaron establecida

12. Existe una topología estandarizada en toda la organización

13. Existen normas que detallan que estándares que deben cumplir el hardware y el

software de tecnología de redes?

14. ¿La transmisión de la información en las redes es segura?

15. ¿El acceso a la red tiene password?

DESARROLLO DE LA AUDITORIA

para el desarrollo de esta auditoría específica se empleará el modelo adoptado por

iso (internacional standarts organization), el cual se denomina modelo osi (open

systems interconection), el cual consta de 7 capas, las cuales se tomarán para

realizar la auditoría.

Areas controladas para los equipos de comunicaciones, previniendo así

accesos inadecuados

los equipos de comunicaciones ( switch, router ) no se mantienen en habitaciones

cerradas

la seguridad física de los equipos de comunicaciones (switch, router) es inadecuada.

cualquier persona tiene acceso ya que se encuentra cerca de un lugar transitable



Protección y tendido adecuado de cables y líneas de comunicación, para

evitar accesos físicos

los cables de comunicación de datos, eléctricos y de teléfono están juntos y

amarrados por otro cable, no existen procedimientos para la protección de cables y

bocas de conexión, esto dificulta que sean interceptados o conectados por personas

no autorizadas, no se realiza revisiones preventivas a la red de comunicaciones


seguridad de los datos dentro de la red lan

A. Mapa de redes



B.- Modelo OSI, capa Física.

Capa Física: Transforma la información en señales físicas adaptadas al medio

de comunicación.

El cableado utilizado para el tendido de red presenta las siguientes

características:

Tipo de Cable: Par trenzado sin apantallar (UTP Categoría 5)

Conectores: RJ-45

El tipo de cables y conectores utilizados para este tipo de red es adecuado, según

la norma EIA/TIA, el problema radica en el tendido del cableado ya que no cuenta

con ninguna protección (canaletas) y además los cables de comunicación de datos,

eléctricos y de teléfono se encuentran amarrados por otros cables.

C.- Modelo OSI, capa de Enlace

Capa de Enlace: Transforma los paquetes de información en tramas

adaptadas a los dispositivos físicos sobres los cuales se realiza la transmisión.

De acuerdo al inventario de hardware se resumen los siguientes

componentes:

Topología de la Red: Estrella

Especificaciones: Ethernet

Tarjeta de Red: D-Link DFE-530TX PCI Fast Ethernet Adapter



Hay que especificar que las tarjetas de redes utilizadas son del mismo tipo, la

cual es recomendable para la transferencia adecuada de los datos.

D.- Modelo OSI, capa de Red.

Capa de Red: Establece las rutas por las cuales se puede comunicar el emisor con

el receptor, lo que se realiza mediante el envío de paquetes de información.

En la institución si utilizan los siguientes componentes:

Velocidad de transmisión 10/100 MBps

Switch D-link de 8 puertos

Protocolo TCP/IP

De acuerdo a las necesidades de la empresa, el Switch empleado no presenta

problemas en la transmisión de datos ya que todos los documentos realizados

por los clientes se guardan en el servidor.

E.- Modelo OSI, capa de Transporte.

Capa de Transporte: Comprueba la integridad de los datos transmitidos (que no ha

habido pérdidas ni corrupciones).

En la Empresa se utiliza el Protocolo TCP/IP para la transmisión datos, lo cual es lo

óptimo debido a que es más seguro y utilizado en la actualidad que el protocolo

UDP.

F.- Modelo OSI, capa de Sesión.

Capa de Sesión: Establece los procedimientos de aperturas y cierres de sesión de

comunicaciones, así como información de la sesión en curso.

En la Empresa no existe un control de las sesiones más que la que propone

el sistema operativo que se posee en cada computadora, lo cual representa



un “hoyo” en la seguridad de la información.

G.- Modelo OSI, capa de Presentación.

Capa de Presentación: Define el formato de los datos que se van a presentar

a la aplicación.

Actualmente existen dos aplicaciones en red que son: Sistema de envió (vcourier)

y el otro sistema masivo



H.- Modelo OSI, capa de Aplicación.

Capa de Aplicación: Es donde la aplicación que necesita comunicaciones enlaza,

mediante API (Application Program Interface) con el sistema de

comunicaciones.

De acuerdo a las entrevistas en la institución se resume lo siguiente:



Se utiliza el Protocolo FTP para el intercambio de información, el cual se usa

para las impresoras.

Correo de la institución.

AUDITORIA DE BASE DE DATOS

ALCANCE DE LA AUDITORIA:

Esta auditoria comprende solamente al área informática de la empresa OLVA COURIER

con respecto al cumplimiento del proceso "De Gestión administración de la Base de

Datos " de la de manera que abarca la explotación, mantenimiento, diseño carga, post



implementación, Los sistemas de gestión de base de datos (SGBD), software de

auditoria , sistema operativo protocolos y sistemas distribuidos.

OBJETIVOS

”Verificar la responsabilidad para la planificación de planillas y control de los

activos de datos de la organización” (administrador de datos)

“Verificar la responsabilidad de la administración del entorno de la base de datos”

(administrador de la base de datos)

Proporcionar servicios de apoyo en aspectos de organización y métodos, mediante

la definición, implantación y actualización de Base de Datos y/o procedimientos

administrativos con la finalidad de contribuir a la eficiencia Existe equipos o

software de SGBD

ENCUESTA

1. Existe equipos o software de SGBD

2. La organización tiene un sistema de gestión de base dedatos (SGBD)

3. Los datos son cargados correctamente en la interfaz grafica

4. Se verificará que los controles y relaciones de datos se realizan de acuerdo a

Normalización libre de error

5. Existe personal restringido que tenga acceso a la BD

6. El SGBD es dependiente de los servicios que ofrece el Sistema Operativo

7. La interfaz que existe entre el SGBD y el SO es el adecuado

8. ¿Existen procedimientos formales para la operación del SGBD?

9. ¿Están actualizados los procedimientos de SGBD?

10. ¿La periodicidad de la actualización de los procedimientos es Anual ?



11. ¿Son suficientemente claras las operaciones que realiza la BD?

12. ¿Existe un control que asegure la justificación de los procesos en el computador?

(Que los procesos que están autorizados tengan una razón de ser procesados)

13. ¿Se procesa las operaciones dentro del departamento de cómputo?

14. ¿Se verifican con frecuencia la validez de los inventarios de los archivos

magnéticos?

15. ¿Existe un control estricto de las copias de estos archivos?

16. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se

desechan estos?

17. ¿Se registran como parte del inventario las nuevas cintas magnéticas que recibe el

centro de computo?

18. ¿Se tiene un responsable del SGBD?

19. ¿Se realizan auditorias periódicas a los medios de almacenamiento?

20. ¿Se tiene relación del personal autorizado para manipular la BD?

21. ¿Se lleva control sobre los archivos trasmitidos por el sistema?

22. ¿Existe un programa de mantenimiento preventivo para el dispositivo del SGBD?

23. ¿Existen integridad de los componentes y de seguridad de datos?

24. De acuerdo con los tiempos de utilización de cada dispositivo del sistema de

cómputo, ¿existe equipo capacesque soportar el trabajo?

25. ¿El SGBD tiene capacidad de teleproceso?

26. ¿Se ha investigado si ese tiempo de respuesta satisface a los usuarios?



27. ¿La capacidad de almacenamiento máximo de la BD es suficiente para atender el

proceso por lotes y el proceso remoto?



VERIFICAR LA AUDITORIA INFORMATICA

INFORME ESPECÍFICO

1. Título

Auditoria Física

2. Cliente

Área de informática

3. Entidad Auditada

Empresa “OLVA COURIER”



4. Objetivos


Determinar y evaluar la política de mantenimiento y distribución de los

equipos.


ambiente


5. Normativa aplicada y excepciones

Para esta auditoría se ha tomado en cuenta la Normas de Auditorias

Gubernamentales: “Normas de Control Interno para sistemas computarizados” (NAGU

500).

6. Alcance

El presente trabajo de auditoria física, comprende el periodo 1013 y se ha realizado a

la Empresa “OLVA COURIER”, de acuerdo a las normas y demás disposiciones

aplicables.

7. Conclusiones

La seguridad física en la Institución, según las normativas

aplicadas, es favorable aunque con ciertas salvedades.

No se han tomado las previsiones necesarias en caso de futuros riesgos La empresa

“OLVA VOURIER”. Solo ha mostrado preocupación en lo referente a las operaciones

propias del negocio, olvidándose en cierta parte de la responsabilidad para con sus

usuarios y trabajadores.

8. Resultados

De acuerdo a los objetivos planteados previamente, los resultados serían los

siguientes:


Ubicación de la institución, favorable con salvedades, debido a que no se trata

de un local propio

Seguridad de las instalaciones en cuanto a vigilancia,

favorable, puesto que se cuenta con la seguridad de la misma sede



Identificación de Salidas, favorable con algunas salvedades como el cuidado de

no colocar objetos que obstruyan el paso

Seguridad ante Sismos, desfavorable, debido a que la salida inmediata del

ambiente coincide un el paso de vehículos, que muchas veces es

tomado como estacionamiento de camionetas de la sede.

Seguridad ante Incendios, Desfavorable

Seguridad eléctrica, favorable con salvedades; falta organización

en el cableado.

Verificar la seguridad de información.

El ambiente principal se encuentra toda la documentación física de la empresa,

la misma que por tratarse de papeles, folios y aerosoles constituyen material

altamente inflamable, pese a ello no se cuenta con un sistema contra incendios

y por aun el personal no se encuentra capacitado para el uso de ellos.

La data, además de ser almacenada en el servidor, esta a disposiciónde los

trabajadores, quienes portan la documentación en disquete u otros

dispositivos de almacenamiento, como CD, memorias USB,

echo poco favorable debido posible plagio de información.


ambiente

Aspecto desfavorable, debido a que el ambiente es pequeño, y no se cuenta

con la seguridad debida.


Desfavorable, puesto que todas las computadoras, indistintamente

de las características particulares que pueda tener, son usadas para un mismo

propósito

9. Recomendaciones

Reubicación del local

Implantación de equipos de ultima generación



Implantar equipos de ventilación

Implantar salidas de emergencia.

Elaborar un calendario de mantenimiento de rutina periódico . Capacitar al

personal.

10. Fecha Del Informe

FECHA DE INICIO FECHA DE TERMINO

19-12-13 26-12-13

11. Identificación Y Firma Del Auditor

---------------------------------


JEFE DE AUDITORIA

INFORMÁTICA

---------------------------------



---------------------------------

ATT. Shirley Mamani

Rodríguez


INFORME FINAL

1. Identificación del informe

Auditoria de la Ofimática

2. Identificación del Cliente

El área de Informática

3. Identificación de la Entidad Auditada

OLCA COURIER



4. Objetivos

Verificar si el hardware y software se adquieren siempre y cuando tengan la

seguridad de que los sistemas computarizados proporcionaran mayores beneficios

que cualquier otra alternativa.

Verificar si la selección de equipos y sistemas de computación es adecuada

Verificar la existencia de un plan de actividades previo a la instalación

Verificar que los procesos de compra de Tecnología de Información, deben estar

sustentados en Políticas, Procedimientos, Reglamentos y Normatividad en General,

que aseguren que todo el proceso se realiza en un marco de legalidad y

cumpliendo con las verdaderas necesidades de la organización para hoy y el

futuro, sin caer en omisiones, excesos o incumplimientos.

Verificar si existen garantías para proteger la integridad de los recursos

informáticos.

Verificar la utilización adecuada de equipos acorde a planes y objetivos.

5. Normativa aplicada y excepciones

Para esta auditoría se toman en cuenta la norma ISO 17799 y Normas de Auditorias

Gubernamentales: “Normas de Control Interno para sistemas computarizados” (NAGU

500).

6. Hallazgos Potenciales

Falta de licencias de software.

Falta de software de aplicaciones actualizados

No existe un calendario de mantenimiento ofimatico.

Faltan material ofimática.

Carece de seguridad en Acceso restringido de los equipos ofimáticos y software.

7. Alcance de la auditoria

Nuestra auditoria, comprende el presente periodo 2013 y se ha realizado especialmente al

Departamento de centro de cómputo de acuerdo a las normas y demás disposiciones

aplicable al efecto.



El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la

auditoria Ofimática, se complementa con los objetivos de ésta.

8. Conclusiones

El aspecto ofimático de la Institución, en la opinión del auditor a base de las normativas

aplicadas, es favorable aunque con salvedades.

No todo el software propietario que se maneja en la institución está debidamente

licenciado, caso de los sistemas operativos y las herramientasde escritorio (Office).

El área de informatica presenta deficiencias sobre el debido cumplimiento de

Normas de seguridad.

La escasez de personal debidamente capacitado.

Cabe destacar que la sistema ofimatico pudiera servir de gran apoyo a la

organización, el cual no es explotado en su totalidad por falta de personal

capacitado.

9. Resultados

Revisión del inventario de los accesorios de cómputo

No cuentan con un inventario del parque informático

Revisión de las licencias del software.

No todo el software propietario que se maneja en la institución está

debidamente licenciado, caso de los sistemas operativos y las herramientas de

escritorio (Office)

Verificar el desempeño del software empleado en la institución



Actualmente existen dos aplicaciones en red que son:

Sistema contable financiero (suite contasis), Sistema comercial (Suite contasis)

pero dichas aplicaciones no son utilizados actualmente, por lo que no se le puede dar

un calificativo de desempeño.

Seguridad en la Data

La seguridad en los datos es baja porque no cuentan con medidas de seguridad,

como por ejemplo los backup.

10. Recomendaciones

Se recomienda contar con sellos y firmas digitales

Un de manual de funciones para cada puesto de trabajo dentro del área.

Reactualizacion de datos.

Implantación de equipos de ultima generación

Elaborar un calendario de mantenimiento de rutina periódico .

Capacitar al personal.

11. Fecha del Informe


19-12-13 29-12-13

12. Identificación y Firma del Auditor

----------------------------

ATT. José Luis

Callacondo

JEFE DE AUDITORIA

INFORMÁTICA

---------------------------

ATT. Isabel Vilca

Quispe



AUDITORA

INFORMATICA

----------------------------

ATT. Shirley Mamani

Rodríguez

AUDITORA

INFORMATICA

INFORME DE AUDITORIA


Auditoria del Sistema de Redes




OLVA COURIER

4. Objetivos



Áreas controladas para los equipos de comunicaciones, previniendo así accesos

inadecuados

Protección y tendido adecuado de cables y líneas de comunicación, para evitar

accesos físicos



5.- Normativa aplicada y excepciones

La especificación utilizada en esta auditoría de redes es la Normativa actual IEEE

802.3 para redes LAN Ethernet 10/100MBps (utilizada por la empresa), además de

la norma ISO 17799 y Normas de Auditorias Gubernamentales: “Normas de Control

Interno para sistemas computarizados” (NAGU 500).

6. Alcance

El presente trabajo de auditoria de red, comprende el presente periodo 2013 y se ha

realizado en la empresa OLVA COURIER de acuerdo a las normas y demás disposiciones

aplicables.

7.- Conclusiones

El aspecto de redes en la Empresa, la opinión de los Auditores a base de las normativas

aplicadas, es desfavorable.

No existe un conocimiento actualizado del cableado de red; el cableado no se encuentra

protegido y su distribución e implementación no es la buena, aunque funcione la

red.

8. Resultados

Áreas controladas para los equipos de comunicaciones, previniendo así

accesos inadecuados



Los equipos de comunicaciones ( Switch, router ) no se mantienen en

habitaciones cerradas

La seguridad física de los equipos de comunicaciones (Switch, Router) es

inadecuada.

Cualquier persona tiene acceso ya que se encuentra cerca de un lugar

transitable

protección y tendido adecuado de cables y líneas de comunicación, para

evitar accesos físicos

Los cables de comunicación de datos, eléctrios y de teléfono están juntos y

amarrados por otro cable.

No existen procedimientos para la protección de cables y bocas de conexión,

esto dificulta que sean interceptados o conectados por personas no

autorizadas

No se realiza revisiones preventivas a la red de comunicaciones



No existen políticas y/o normas para regular el uso de la red de dicha empresa

La red funciona correctamente de acuerdo al tamaño de la empresa; esta no

podrá soportar un desarrollo de la misma.

No existe una seguridad centralizada de los datos, sólo la seguridad brindada

por el sistema operativo instalado en cada equipo.

9. Fecha del Informe


19-12-13 26-12-13

10. Identificación y Firma del Auditor



---------------------------------


JEFE DE AUDITORIA

INFORMÁTICA

---------------------------------



---------------------------------

ATT. Shirley Mamani

Rodríguez


INFORME DE AUDITORIA


Auditoria de Base de Datos.




OLVA COURIER

4. Objetivos



Evaluar el tipo de Base de Datos, relaciones, plataforma o sistema operativo que trabaja,

llaves, administración y demás aspectos que repercuten en su trabajo.

Revisar del software institucional para la administración de la Base de Datos.

Verificar la actualización de la Base de Datos.

Verificar la optimización de almacenes de los Base de Datos

Revisar que el equipo utilizado tiene suficiente poder de procesamiento y

velocidad en red para optimizar el desempeño de la base de datos.

5. Hallazgos Potenciales

No están definidos los parámetros o normas de calidad.

Falta de presupuesto

Falta de personal

La gerencia de Base de datos no tiene un plan que permite modificar en forma

oportuna el plan a largo plazo de tecnología, teniendo en cuenta los posibles

cambios tecnológicos y el incremento de la base de datos.

No existe un calendario de mantenimiento de rutina periódico del software

definido por la Base de datos.

6. Alcance de la auditoria

Nuestra auditoria, comprende el presente periodo 2013 y se ha realizado especialmente al

Departamento de centro de cómputo de acuerdo a las normas y demás disposiciones

aplicable al efecto.

7. Conclusiones:

• Como resultado de la Auditoria podemos manifestar que hemos cumplido con

evaluar cada uno de los objetivos contenidos en el programa de auditoria.



• El Departamento de centro de cómputo presenta deficiencias sobre todo en el

debido cumplimiento de Normas de seguridad de datos y administración de la Base

de Datos.

8. Recomendaciones

• Elaborar toda la documentación lógica correspondiente a los sistemas de

administración de la BD. Evaluar e implementar un software que permita mantener

el resguardo de acceso de los archivos de programas y aún de los programadores.

• Implementar la relaciones con las diferentes áreas en cuanto al compartimiento

dearchivos permitidos por las normas

• Elaborar un calendario de mantenimiento de rutina periódico.

• Capacitar al personal al manejo de la BD.

• Dar a conocer la importancia del SGBD al usuario

9. Fecha Del Informe


19-12-13 26-12-13

10. Identificación Y Firma Del Auditor

---------------------------------


JEFE DE AUDITORIA

INFORMÁTICA

---------------------------------



---------------------------------

ATT. Shirley Mamani

Rodríguez




ACTUAR DE LA AUDITORIA INFORMATICA



1. INFORME DEL CIERRE DE AUDITORIA

ACLARACION DE LA SOLICITUD

OLVA COURIER S.A

Ilo, 28 de Diciembre del 2013

Señores

OLVA COURIER S.A



De nuestra consideración:

Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a vuestra consideración el

alcance del trabajo de Auditoría del Área de Informática practicada los días 16-28 del

corriente, sobre la base del análisis y procedimientos detallados de todas las

informaciones recopiladas y emitidos en el presente informe, que a nuestro criterio es

razonable.

Síntesis de la revisión realizada, clasificado en las siguientes secciones

Auditoria física

Auditoria ofimática

Auditoria de sistema de redes

Auditoria de base de datos

El contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su

análisis.

a. Situación. Describe brevemente las debilidades resultantes de nuestro análisis.

b. Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se encuentran

expuestos las operaciones realizadas por la Cooperativa.

c. Índice de importancia establecida. Indica con una calificación del 0 al 3 el grado crítico

del problema y la oportunidad en que se deben tomar las acciones correctivas del caso.

0 = Alto (acciones correctivas inmediatas)

1 = Alto (acciones preventivas inmediatas)

2 = Medio (acciones diferidas correctivas)

3 = Bajo (acciones diferidas preventivas)



d. Sugerencias. Indicamos a la Gerencia la adopción de las medidas correctivas tendientes

a subsanar las debilidades comentadas.

Según el análisis realizado hemos encontrado falencias en que no existe un Comité y plan

informático; falta de organización y administración del área; falencias en la seguridad

física y lógica; no existe auditoría de sistemas; falta de respaldo a las operaciones; accesos

de los usuarios; plan de contingencias; y entorno de desarrollo y mantenimiento de las

aplicaciones.

El detalle de las deficiencias encontradas, como así también las sugerencias de solución se

encuentran especificadas en el Anexo adjunto. La aprobación y puesta en práctica de estas

sugerencias ayudarán a la empresa a brindar un servicio más eficiente a todos sus clientes.

Agradecemos la colaboración prestada durante nuestra visita por todo el personal de su

empresa Olva Courier y quedamos a vuestra disposición para cualquier aclaración y/o

ampliación de la presente que estime necesaria.

Atentamente

EQUIPO AUDITORES S.R.L.

2 .OBSERVACIONES

FORMATO DE OSERVACIONES

Nombre de la empresa OLVA COURIER S.A



Observación Seguridad Física Lógica

N° SITUACION EFECTOS Y/0 IMPLICANCIA

SUGERENCIA INDICE DE IMPORTANCIAESTABLECIDA

1 • No existe una vigilancia estricta del Área de Informática por personal de seguridad dedicado a este sector.• No existe detectores, ni extintores automáticos.• Existe material altamente inflamable.• Carencia de un estudio de vulnerabilidad, frente a las riesgos físicos o nofísicos, incluyendo el riesgo Informático.• No existe un puesto o cargo específico para la función de seguridad Informática

• Probable difusión de datos confidenciales.• Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de controles internos.• Debido a la debilidad del servicio de mantenimiento del equipo central, la continuidad de las actividades informáticas podrían verse seriamente afectadas ante eventuales roturas y/o desperfectos de los sistemas.

A los efectos de minimizar los riesgos descriptos, se sugiere:• Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al Área deInformática.• Colocar detectores y extintores de incendios automáticos en los lugares necesarios.• Remover del Centro de Cómputos los materiales inflamables.• Determinar orgánicamente la función de seguridad.• Realizar periódicamente un estudio de vulnerabilidad, documentando efectivamente el mismo, alos efectos de implementar las acciones correctivas sobre los puntos débiles que se detecten.

0 ( cero )



Observación Operación de respaldo



N°

SITUACION EFECTOS Y/0 IMPLICANCIA SUGERENCIA INDICE DE IMPORTANCIAESTABLECIDA

1 • Existe una rutina de trabajo de tomar una copia de respaldo de datos en cuadernos y UBS, que se encuentra en el recinto del centro de cómputos, en poder del auxiliar de informática.• Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que exijan la prueba sistemática de las mismas a efectos de establecer los mínimos niveles de confiabilidad.

• La Empresa Olva Courier está expuesta a la perdida de información por no poseer un chequeo sistemático periódico de los back-up's, y que los mismas se exponen a riesgo por encontrarse en poder del auxiliar de informática.

• Desarrollar normas y procedimientos generales que permitan la toma de respaldo necesarios, utilitario a utilizar.• Realizar 3 copias de respaldos de datos en Zip de las cuales, una se encuentre en el recinto del área de informática, otra en la sucursal más cercana y la última en poder del Jefe de área.• Implementar pruebas sistemáticas semanales de las copias y distribución de las mismas.

0 ( cero )



Observación Acceso a Usuarios



N° SITUACION EFECTOS Y/0 IMPLICANCIA


1 De acuerdo a lo relevado hemos constatado que:• Existen niveles de acceso permitidos, los cuales son establecidos conforme a la función queCumple cada uno de los usuarios.• Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso.• Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema.• El sistema informático no solicita al usuario, el cambio del Password en forma mensual.

• Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra dividida entre el área de sistema y los usuarios finales.• La falta de seguridad en la utilización de los Password, podrían ocasionar fraudes por terceros.

• Implementar algún software de seguridad y auditoria existente en el mercado o desarrollar uno propio.• Establecer una metodología que permita ejercer un control efectivo sobre el uso o modificación de los programas o archivos por el personal autorizado.

2 ( dos )



Observación Plan de contingencia



N°

SITUACION EFECTOS Y/0 IMPLICANCIA


1 • Ausencia de un Plan de Contingencia debidamente formalizado en el Área de Informática.• No existen normas y procedimientos que indiquen las tareas manuales e informáticas que son necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual contingencia ( desperfectos de equipos, incendios, cortes de energía con más de una hora ), y que determinen los niveles de participación y responsabilidades del área de sistemas y de losUsuarios.• No existen acuerdos formalizados de Centro de Cómputos paralelos con otras empresas o proveedores que permitan la restauración inmediata de los servicios informáticos de la empresa en tiempo oportuno, en caso de contingencia.

• Pérdida de información vital.• Pérdida de la capacidad de procesamiento.

• Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos manuales e informáticos para restablecer la operatoria normal de la Empresa y establecer los responsables de cada sistema.• Efectuar pruebas simuladas en forma periódica, a efectos de monitorear el desempeño de los Funcionarios responsables ante eventuales desastres.• Establecer convenios bilaterales con empresas o proveedores a los efectos de asegurar los equipos necesarios para sustentar la continuidad del procesamiento.

1 ( uno)





Observación Mantenimiento de las aplicaciones de las PC

N°

SITUACION EFECTOS Y/0 IMPLICANCIA


1 • No existe documentaciones técnicas del sistema integrado de la Entidad y tampoco no existe un control o registro formal de las modificaciones efectuadas.• No se cuenta con un Software que permita la seguridad de las librerías de los programas y la restricción y/o control del acceso de los mismos.• Las modificaciones a los programas son solicitadas generalmente sin notas internas, en donde se describen los cambios o modificaciones que se requieren.

• La escasa documentación técnica de cada sistema dificulta la compresión de las normas, demandando tiempos considerables para su mantenimiento e imposibilitando la capacitación del personal nuevo en el área.• Se incrementa aún más la posibilidad de producir modificaciones erróneas y/o no autorizadas a los programas o archivos y que las mismas no sean detectadas en forma oportuna.

• Elaborar toda la documentación técnica correspondiente a los sistemas implementados y establecer normas y procedimientos para los desarrollos y su actualización.• Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y aún de los programadores.• Implementar y conservar todas las documentaciones de prueba de los sistemas, como así también las modificaciones y aprobaciones de programas realizadas por los usuarios

1 ( uno)





Observación Área Informática

N° SITUACION EFECTOS Y/0

IMPLICANCIA

SUGERENCIA INDICE DE

IMPORTANCIA

ESTABLECIDA

1 • No existe una

validación de la cuenta a

donde debería

acreditarse el monto del

aporte social.

• El inventario de salidas

y entradas de cada

operación se hace en

forma manual, tanto en

la parte de recepción de

envíos, como de los

envíos en procesos

cuando se cae el sistema.

La Empresa Olva

Courier se encuentra

expuesta a serios

riesgos, entre ellos:

• Posibilidad de que

ocurran errores por la

falta de conocimiento

del tema contable en

el área operativa.

• Alto riesgo de que

el usuario final pueda

incurrir en cambios

no autorizados en los

sistemas, por cuanto

que el usuario final

tiene acceso

irrestricto al mismo.

• Implementar

debidamente los

controles internos

necesarios para el

adecuado manejo del

Usuario final.

• Implementar un

sistema de respaldo de

inventario de envíos

automático.

0 (cero )



Observación Auditoria de sistema



N° SITUACION EFECTOS Y/0

IMPLICANCIA

SUGERENCIA INDICE DE

IMPORTANCIA

ESTABLECIDA

1 • Hemos observado que

en Olva Courier no cuenta

con auditoría Informática ,

ni con políticas

formales que establezcan

responsables, frecuencias

y metodología a seguir

para efectuar revisiones

de los archivos de

auditoría.

• Cabe destacar que el

sistema integrado posee

un archivo que pudiera

servir de auditoria

Informática, el cual no es

habilitado por falta de

espacio en el disco duro.

• Posibilidad de que

adulteraciones

voluntarias o

involuntarias sean

realizadas a los

elementos

componentes del

procesamiento de

datos (programas,

archivos de datos,

definiciones de

seguridad de acceso,

etc. ) o bien accesos a

datos confidenciales

por personas no

autorizadas

que no sean

detectadas

oportunamente.

• Establecer normas y

procedimientos en los

que se fijen

responsables,

periodicidad y

metodología de

control de todos los

archivos de auditoria

que pudieran existir

como asimismo, de

todos los elementos

componentes de los

sistemas de

aplicación.

0 ( cero )

3. RESULTADOS RECOMENDACIONES Y ACCIONES DE LA AUDITORIA

A. Seguridad Física Y Lógica



A1.Entorno General

-Situación

Durante nuestra revisión, hemos observado lo siguiente:

• No existe una vigilancia estricta del Área de Informática por personal de seguridad

dedicado a este sector.

• No existe detectores, ni extintores automáticos.

• Existe material altamente inflamable.

• Carencia de un estudio de vulnerabilidad de la Cooperativa, frente a los riesgos

físicos o no físicos, incluyendo el riesgo Informático.

• No existe un puesto o cargo especifico para la función de seguridad Informática.

-Efectos y/o implicancias probables

• Probable difusión de datos confidenciales.

• Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta

de controles

• internos.

• Debido a la debilidad del servicio de mantenimiento del equipo central, la

continuidad de las

• actividades informáticas podrían verse seriamente afectadas ante eventuales

roturas y/o

• desperfectos de los sistemas.

-Sugerencias



A los efectos de minimizar los riesgos descriptos, se sugiere:

• Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al

Área de Informática.

• Colocar detectores y extintores de incendios automáticos en los lugares

necesarios.

• Remover del Centro de Cómputos los materiales inflamables.

• Determinar orgánicamente la función de seguridad.

• Realizar periódicamente un estudio de vulnerabilidad, documentando

efectivamente el mismo, a los efectos de implementar las acciones correctivas

sobre los puntos débiles que se detecten.

A2.Auditoría de Sistema

-Situación

• Hemos observado que la Empresa Olva Courier no cuenta con auditoría

Informática, ni con políticas formales que establezcan responsables, frecuencias y

metodología a seguir para efectuar revisiones de los archivos de auditoría.

• Cabe destacar que el sistema integrado posee un archivo que pudiera servir de

auditoria Informática, el cual no es habilitado por falta de espacio en el disco duro.


• Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas a los

elementos componentes del procesamiento de datos (programas, archivos de

datos, definiciones de seguridad de acceso, etc.) o bien accesos a datos

confidenciales por personas no autorizadas que no sean detectadas

oportunamente.



-Sugerencias

• Establecer normas y procedimientos en los que se fijen responsables, periodicidad

y metodología de control de todos los archivos de auditoria que pudieran existir

como asimismo, de todos los elementos componentes de los sistemas de

aplicación.

A.3. Operaciones de Respaldo

-Situación

Durante nuestra revisión hemos observado que:

• Existe una rutina de trabajo de tomar una copia de respaldo de datos en

Cuadernos y USB, que se encuentra en el recinto del centro de cómputos, en poder

del auxiliar de informática.

• Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que

exijan la prueba sistemática de las mismas a efectos de establecer los mínimos

niveles de confiabilidad.

- Efectos y/o implicancias probables

• La Empresa Olva Courier está expuesta a la perdida de información por no poseer

un chequeo sistemático periódico de los backup's, y que los mismas se exponen a

riesgo por encontrarse en poder del auxiliar de informática.

-Sugerencias

Minimizar los efectos, será posible a través de:

• Desarrollar normas y procedimientos generales que permitan la toma de respaldo

necesarios, utilitario a utilizar.



• Realizar 3 copias de respaldos de datos en Zip de las cuales, una se encuentre en el

recinto del área de informática, otra en la sucursal más cercana y la última en

poder del Jefe de área.

• Implementar pruebas sistemáticas semanales de las copias y distribución de las

mismas.

A.4. Acceso a usuarios

-Situación

De acuerdo a lo relevado hemos constatado que:

• Existen niveles de acceso permitidos, los cuales son establecidos conforme a la

función que cumple cada uno de los usuarios.

• Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles

de acceso.

• Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema.

• El sistema informático no solicita al usuario, el cambio del Password en forma

mensual.

-Efectos y/o implicancia probables

• Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra

dividida entre el área de sistema y los usuarios finales.

• La falta de seguridad en la utilización de los Password, podrían ocasionar fraudes

por terceros.

- Sugerencia

• Implementar algún software de seguridad y auditoria existente en el mercado o

desarrollar uno propio.

• Establecer una metodología que permita ejercer un control efectivo sobre el uso o

modificación de los programas o archivos por el personal autorizado.



A.5. Plan de Contingencias

-Situación

En el transcurso de nuestro trabajo hemos observado lo siguiente:

• Ausencia de un Plan de Contingencia debidamente formalizado en el Área de

Informática.

• No existen normas y procedimientos que indiquen las tareas manuales e

informáticas que son necesarias para realizar y recuperar la capacidad de

procesamiento ante una eventual contingencia (desperfectos de equipos,

incendios, cortes de energía con más de una hora ), y que determinen los niveles

de participación y responsabilidades del área de sistemas y de los usuarios.

• No existen acuerdos formalizados de Centro de Cómputos paralelos con otras

empresas o proveedores que permitan la restauración inmediata de los servicios

informáticos de la Empresa Olva Courier en tiempo oportuno, en caso de

contingencia.

-Efectos y/o implicancia probable

• Pérdida de información vital.

•

•

• Pérdida de la capacidad de procesamiento.

-Sugerencias

• Establecer un plan de contingencia escrito, en donde se establezcan los

procedimientos manuales e informáticos para restablecer la operatoria normal de

la Empresa Olva Courier y establecer los responsables de cada sistema.



• Efectuar pruebas simuladas en forma periódica, a efectos de monitorear el

desempeño de los funcionarios responsables ante eventuales desastres.

• Establecer convenios bilaterales con empresas o proveedores a los efectos de

asegurar los equipos necesarios para sustentar la continuidad del procesamiento.

B. Desarrollo y mantenimiento de los sistemas de aplicaciones

B.1. Entorno de Desarrollo y mantenimiento de las aplicaciones

-Situación

• No existe documentaciones técnicas del sistema integrado de la Cooperativa y

tampoco no existe un control o registro formal de las modificaciones efectuadas.

• No se cuenta con un Software que permita la seguridad de las librerías de los

programas y la restricción y/o control del acceso de los mismos.

• Las modificaciones a los programas son solicitadas generalmente sin notas

internas, en donde se describen los cambios o modificaciones que se requieren.

Efectos y/o implicancias probables

• La escasa documentación técnica de cada sistema dificulta la compresión de las

normas, demandando tiempos considerables para su mantenimiento e

imposibilitando la capacitación del personal nuevo en el área.

• Se incrementa aún más la posibilidad de producir modificaciones erróneas y/o no

autorizadas a los programas o archivos y que las mismas no sean detectadas en

forma oportuna.

-Sugerencias

Para reducir el impacto sobre los resultados de los efectos y consecuencias probables

sugerimos:



• Elaborar toda la documentación técnica correspondiente a los sistemas

implementados y establecer normas y procedimientos para los desarrollos y su

actualización.

• Evaluar e implementar un software que permita mantener el resguardo de acceso

de los archivos de programas y aún de los programadores.

• Implementar y conservar todas las documentaciones de prueba de los sistemas,

como así también las modificaciones y aprobaciones de programas realizadas por

los usuarios

C. Área de Informática

-Situación

• No existe una validación de la cuenta a donde debería acreditarse el monto del

aporte social.

• El inventario de salidas y entradas de cada operación se hace en forma manual,

tanto en la parte de recepción de envíos, como de los envíos en procesos cuando

se cae el sistema.

.


La Empresa Olva Courier se encuentra expuesta a serios riesgos, entre ellos:

• Posibilidad de que ocurran errores por la falta de conocimiento del tema contable

en el área operativa.

• Alto riesgo de que el usuario final pueda incurrir en cambios no autorizados en los

sistemas, por cuanto que el usuario final tiene acceso irrestricto al mismo.

-Sugerencias

• Implementar debidamente los controles internos necesarios para el adecuado

manejo del usuario final.



• Implementar un sistema de respaldo de inventario de envíos automático.

4. AUTOMATIZACION DE PROCESOS



5. CONCLUSIONES

La empresa OLVA COURIER tanto materiales como humanos, con lo anterior, se puede dar

uno cuenta auditar una institución no es nada fácil, ya que si falla un elemento del que se

compone, trae consigo un efecto domino, que hace que los demás elementos bajen su

rendimiento, o en el peor de los casos sean causantes del fracaso de la institución.

El factor humano es lo más importante, ya que si se cuenta con tecnología de punta, pero

con personal no calificado o en desacuerdo con el desarrollo del Centro de Computo

optara por renunciar, o bien por seguir rezagando al mismo Asimismo la capacitación es

importantísima, ya que si no hay capacitación permanente, el personal técnico de la

empresa decide abandonarla para buscar nuevos horizontes y mayor oportunidad, aun

sacrificando el aspecto económico.

El aspecto organizativo también debe estar perfectamente estructurado, y las líneas de

mando deben estar bien definidas, evitando de esta manera la rotación innecesaria de

personal, la duplicidad de funciones, las líneas alternas demando, etc. y que conllevan al

desquiciamiento de la estructura organizacional.

Hablando de seguridad, es indispensable el aseguramiento del equipo y de las

instalaciones, así como de la información, el control de los accesos también es punto

fundamental para evitar las fugas de información o manipulación indebida de esta.



El Departamento de informática es la parte medular de la empresa, es en donde los datos

se convierten en información útil a las diferentes áreas, es donde se guarda esta

información y por consecuencia, donde en la mayoría de los casos se toman las decisiones

importantes para la empresa.

Además al realizar la presente auditoria nos damos cuenta que dentro del ambiente

empresarial es de vital importancia contar con la información lo más valiosa que sea, a

tiempo, de forma oportuna, clara, precisa y con cero errores para que se constituya en

una herramienta poderosa para la toma de decisiones, viéndose reflejada en la obtención

de resultados benéficos a los fines de la organización y justificar el existir de toda la

organización o empresa.

Como resultado de la Auditoria Informática realizada a la empresa “OLVA COURIER”, por

el período comprendido entre 19-28 de Diciembre del 2013 podemos manifestar que

hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de

auditoria.

El área de Informática presenta deficiencias en:

Y en el debido cumplimiento de sus funciones. Podremos estar tranquilos y seguros que

nuestra función de auditores está funcionando como se debe, y saber que cuando se

siguen estos lineamientos se obtendrán sistemas que no van a necesitar mantenimiento

excesivo, que el cómputo va a ser parte de la solución y no parte del problema, como lo es

hoy en día.

6. FIRMAS

Elaborado por Revisado por: Autorizado por:



José Luis Callacondo

Firma

Isabel Vilca Quispe

Firma

Shirley Mamani Rodríguez

Firma

RECOMENDACIONES

Realizar evaluaciones periódicas con el fin de medir el avance de cada uno de

los procesos estudiados en este trabajo.

Se debe utilizar software aplicativo con licenciamiento, así como adecuar las

instalaciones del área de informática, puesto que el espacio de trabajo de este

es muy limitado y sin las seguridades fiscas pertinentes.

Hacer el uso del presente trabajo, con el fin de tomarlo como guía para futuras

mejoras en TI.



CONSEJOS

1. Utiliza un buen antivirus y actualízalo frecuentemente.

2. Comprueba que tu antivirus incluye soporte técnico, resolución urgente de nuevos

virus y servicios de alerta.

3. Asegúrate de que tu antivirus esté siempre activo.

4. Verifica, antes de abrir, cada nuevo mensaje de correo electrónico recibido.

5. Evita la descarga de programas de lugares no seguros en Internet.

6. Rechaza archivos que no hayas solicitado cuando estés en chats o grupos de noticias

7. Analiza siempre con un buen antivirus los disquetes que vayas a usar en tu ordenador.



8. Retira los disquetes de las disqueteras al apagar o reiniciar tu ordenador.

9. Analiza el contenido de los archivos comprimidos.

10. Mantente alerta ante acciones sospechosas de posibles virus.

11. Añade las opciones de seguridad de las aplicaciones que usas normalmente a tu

política de protección antivirus.

12. Realiza periódicamente copias de seguridad.

13. Mantente informado.

14. Utiliza siempre software legal.

15. Exige a los fabricantes de software, proveedores de acceso a Internet y editores de

publicaciones, que se impliquen en la lucha contra los virus

BIBLIOGRAFIA

http://www.slideshare.net/AmdCdmas/informe-final-de-auditoria-informatica

http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html }

http://anaranjo.galeon.com/conceptos.htm



http://anaranjo.galeon.com/conceptos.htm

http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html

http://www.slideshare.net/AmdCdmas/informe-final-de-auditoria-informatica

http://www.virtual.unal.edu.co/cursos/sedes/manizales/4060035/und_0/

http://auditoriainformaticafcat.blogspot.com/2012/02/ejemplo-de-propuesta-de-

auditoria.html

http://html.rincondelvago.com/auditoria-de-sistemas-informaticos.html

ANEXOS



http://html.rincondelvago.com/auditoria-de-sistemas-informaticos.html

http://auditoriainformaticafcat.blogspot.com/2012/02/ejemplo-de-propuesta-de-auditoria.html

http://auditoriainformaticafcat.blogspot.com/2012/02/ejemplo-de-propuesta-de-auditoria.html

http://www.virtual.unal.edu.co/cursos/sedes/manizales/4060035/und_0/

A. Cuestionario de Auditoría correspondiente al funcionamiento del

Área de Informática:

¿Se tiene restringida la operación del sistema de cómputo a los usuarios?

SI ( ) NO ( )

¿Son funcionales los muebles asignados para los equipos de cómputo?

SI ( ) NO ( )

B. Cuestionario de Auditoría correspondiente a la seguridad física:

¿“OLVA COURIER” cuenta con extintores de fuego?

SI ( ) NO ( )



¿Existe salida de emergencia?

SI ( ) NO ( )

¿Existe alarma para detectar fuego (calor o humo) en forma automática?

SI ( ) NO ( )

¿Existen una persona responsable de la seguridad?

SI ( ) NO ( )

El lugar donde se encuentra “OLVA COURIER” está situado a salvo de:

a) ¿Inundación? ( ) b) ¿Terremoto? ( ) c) ¿Fuego? ( ) d) ¿Sabotaje? ( )

C. Cuestionario de Auditoria en Redes:

¿Están establecidos controles especiales para salvaguardar la confidencialidad e integridad

del procesamiento de los datos que pasan a través de redes públicas, y para proteger los

sistemas conectados?

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

¿Existen controles especiales para mantener la disponibilidad de los

servicios de red y computadoras conectadas?

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________



¿Existen protocolos de comunicaron establecida?

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

¿Existe un plan de infraestructura de redes?

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

¿Existen controles y procedimientos de gestión para

proteger el acceso a las conexiones y servicios de red?

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

FOTOS



















PREGUNTAS –A. FISICA SI NO N/A

1. ¿Se han adoptado medidas de seguridad en el departamento de XSistemas de información?

2. ¿Existe una persona responsable de la seguridad? X

3. ¿Se ha dividido la responsabilidad para tener un mejor control de la XSeguridad?

4. ¿Existe personal de vigilancia en la institución? X

5. ¿Existe una clara definición de funciones entre los puestos clave? X

6. ¿Se investiga a los vigilantes cuando son contratados directamente? X7. ¿Se controla el trabajo fuera de horario? X

8. ¿Se registran las acciones de los operadores para evitar que realicen XAlgunas pruebas que puedan dañar los sistemas?.

9. ¿Existe vigilancia en el departamento de cómputo las 24 horas? X

10. ¿Se permite el acceso a los archivos y programas a los XProgramadores, analistas y operadores?

11. ¿Se ha instruido a estas personas sobre que medidas tomar en caso Xde que alguien pretenda entrar sin autorización?



12. ¿El centro de cómputo tiene salida al exterior? X13. ¿Son controladas las visitas y demostraciones en el centro de X

Cómputo?14. ¿Se registra el acceso al departamento de cómputo de personas X

Ajenas a la dirección de informática?15. ¿Se vigilan la moral y comportamiento del personal de la dirección de X

Informática con el fin de mantener una buena imagen y evitar un posible fraude?

16. ¿Se ha adiestrado el personal en el manejo de los extintores? X17. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los X

Extintores?18. ¿Si es que existen extintores automáticos son activador por detectores X

Automáticos de fuego?19. ¿Los interruptores de energía están debidamente protegidos, X

Etiquetados y sin obstáculos para alcanzarlos?20. ¿Saben que hacer los operadores del departamento de cómputo, en X

Caso de que ocurra una emergencia ocasionado por fuego?21. ¿El personal ajeno a operación sabe que hacer en el caso de una X

Emergencia (incendio)?22. ¿Existe salida de emergencia? X23. ¿Se revisa frecuentemente que no esté abierta o descompuesta

la cerradura de esta puerta y de las ventanas, si es que existen?24. ¿Se ha adiestrado a todo el personal en la forma en que se deben X

Desalojar las instalaciones en caso de emergencia?

SI NO N/A25. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas

X en el interior del departamento de cómputo para evitar daños al equipo?

26. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si XExiste?

27. ¿Se cuenta con copias de los archivos en lugar distinto al de la XComputadora?

28. ¿Se tienen establecidos procedimientos de actualización a estas XCopias?

29. ¿Existe departamento de auditoria interna en la institución? X30. ¿Este departamento de auditoria interna conoce todos los aspectos de X

los sistemas?31. ¿Se cumplen? X

32. ¿Se auditan los sistemas en operación? X

33. Una vez efectuadas las modificaciones, ¿se presentan las pruebas a Xlos interesados?

34. ¿Existe control estricto en las modificaciones? X35. ¿Se revisa que tengan la fecha de las modificaciones cuando se X

Hayan efectuado?36. ¿Si se tienen terminales conectadas, ¿se ha establecido X

Procedimientos de operación?37. ¿Se ha establecido que información puede ser acezada y por qué X

Persona?



PREGUNTAS- A. OFIMATICA SI NO N/A

1. ¿Existe un informe técnico en el que se justifique

la adquisición del equipo, software y servicios de co

incluyendo un estudio costo-

beneficio?

2. ¿Existe un comité que coordine yse

responsabilice de todo el proceso de adquisición e instalación?

3. ¿Han elaborado un instructivo con procedimientos

a seguir para la selección y adquisición de

equipos, programas y servicios computacionales?

4. ¿se cuenta con software de oficina?

5. ¿Se han efectuado las acciones necesarias

para una mayor participación de proveedores?



SI

NO

N/A

6. ¿Se ha asegurado un respaldo de mantenimiento

y asistencia técnica?

7. ¿El acceso al centro de cómputo cuenta con las

seguridades necesarias para reservar el ingreso a

8. ¿Se han implantado claves o password para

garantizar operación de consola y equipo central

(mainframe), a personal autorizado?

9. ¿Se han formulado políticas respecto a seguridad,

privacidad y protección de las facilidades de

procesamiento ante eventos como: incendio,

vandalismo, robo y uso indebido, intentos de

violación?

10. ¿Se mantiene un registro permanente (bitácora)

de todos los procesos realizados, dejando

constancia de suspensiones o cancelaciones de p

11. ¿Los operadores del equipo central están

entrenados para recuperar o restaurar información

en caso de destrucción de archivos?

12. ¿Los backups son mayores de dos (padres e

hijos) y se guardan en lugaresseguros y

adecuados, preferentemente en bóvedas de

bancos?

13. ¿Se han implantado calendarios de operación a

fin de establecer prioridades de proceso?

14. ¿Todas las actividades del Centro de Computo

están normadas mediante manuales, instructivos, norm

15. ¿Las instalaciones cuentan con sistema de

alarma por presencia de fuego, humo, así como

extintores de incendio, conexiones eléctricas


seguras, entre otras?

SI NO N/A

16. ¿Se han instalado equipos que protejan la

información y los dispositivos en caso de variación

de voltaje como: reguladores de voltaje, supresores pico

17. ¿Se han contratado pólizas de seguros para

proteger la información, equipos, personal y todo

riesgo que se produzca por casos fortuitos o mala operación?

18. ¿Se han Adquirido equipos de protección como

supresores de pico, reguladores de voltaje y de

ser posible UPS previo a la adquisición del

equipo?

19. ¿Si se vence la garantía de mantenimiento del

proveedor se contrata mantenimiento preventivo y

correctivo?

20. ¿Se establecen procedimientos para obtención de

backups de paquetes y de archivos de datos?

21. ¿Se hacen revisiones periódicas y sorpresivas del

contenido del disco para verificar la instalación de

aplicaciones no relacionadas a la gestión de la

empresa?

22. ¿Se mantiene programas y procedimientos de

detección e inmunización de virus en copias no

autorizadas o datos procesados en otros

equipos?

23. ¿Se propende a la estandarización del Sistema

Operativo, software utilizado como procesadores


de palabras, hojas electrónicas, manejadores de

base de datos y se mantienen actualizadas las

versiones y la capacitación sobre modificaciones

incluidas?


PREGUNTAS - A. BASE DE DATOS

SI NO N/A

1. Existe equipos o software de SGBD

2. La organización tiene un sistema de gestión de base de datos (SGBD)

3. Los datos son cargados correctamente en la interfaz grafica

4. Se verificará que los controles y relaciones de datos se realizan de acuerdo a Normalización libre de error

5. Existe personal restringido que tenga acceso a la BD

6. El SGBD es dependiente de los servicios que ofrece elSistema Operativo

7. La interfaz que existe entre el SGBD y el SO es el adecuado

8. ¿Existen procedimientos formales para la operación delSGBD?

9. ¿Están actualizados los procedimientos de SGBD?

10. ¿La periodicidad de la actualización de los procedimientos es Anual ?

11. ¿Son suficientemente claras las operaciones que realiza laBD?

12. ¿Existe un control que asegure la justificación de los procesos en el computador? (Que los procesos que están autorizados tengan una razón de ser procesados)

13. ¿Se procesa las operaciones dentro del departamento de cómputo?

14. ¿Se verifican con frecuencia la validez de los inventarios de los archivos magnéticos?

15. ¿Existe un control estricto de las copias de estos archivos?

16. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos?

17. ¿Se registran como parte del inventario las nuevas cintas magnéticas que recibe el centro de computo?

18. ¿Se tiene un responsable del SGBD?


SI NO N/A19. ¿Se realizan auditorias periódicas a los medios de

almacenamiento?

20. ¿Se tiene relación del personal autorizado para manipular la BD?

21. ¿Se lleva control sobre los archivos trasmitidos por el sistema?

22. ¿Existe un programa de mantenimiento preventivo para el dispositivo del SGBD?

23. ¿Existen integridad de los componentes y de seguridad de datos?

24. De acuerdo con los tiempos de utilización de cada dispositivo del sistema de cómputo, ¿existe equipo capaces que soportar el trabajo?

25. ¿El SGBD tiene capacidad de teleproceso?

26. ¿Se ha investigado si ese tiempo de respuesta satisface a los usuarios?

27. ¿La capacidad de almacenamiento máximo de la BD es suficiente para atender el proceso por lotes y el proceso remoto?

PREGUNTAS – A. DE REDES SI NO N/A

1. La gerencia de redes tiene una política definida

de planeamiento de tecnología de red?

2. Esta política es acorde con el plan de calidad de la

organización

3. La gerencia de redes tiene un plan que permite modificar en

forma oportuna el plan a largo plazo de tecnología de

redes , teniendo en cuenta los posibles cambios

tecnológicos o en la organización?

4. Existe un inventario de equipos y software asociados a

las redes de datos?


SI NO N/A

6. Existe un plan de infraestructura de redes?

7. El plan de compras de hardware y software para el sector

redes está de acuerdo con el plan de infraestructura

de redes?

8. La responsabilidad operativa de las redes esta separada de las de operaciones del computador?

9. Están establecidos controles especiales para salvaguardar la

confidencialidad e integridad del procesamiento de los datos que

pasan a través de redes públicas, y para proteger los sistemas

conectados

10. Existen controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas?

11. Existen controles y procedimientos de gestión para proteger

el acceso a las conexiones y servicios de red.?

12. Existen protocolos de comunicaron establecida

13. Existe una topología estandarizada en toda la organización

14. Existen normas que detallan que estándares que

deben cumplir el hardware y el software de tecnología de

redes?

15. ¿La transmisión de la información en las redes es segura? 16. ¿El acceso a la red tiene password?


Documents

AUDITORIA INFORMATICA