Вы находитесь на странице: 1из 26

REPRESENTANTES:

Julio Arvalo Chacon


Johnny Manolito Ruiz Pinedo

INFORME DE AUDITORIA

MUNICIPALIDAD PROVINCIAL DE
LAMAS



Tarapoto - Per
2013
INFORME N 001-2013/Auditors Solutions
INFORME DE AUDITORA INFORMTICA

NOMBRE DE LA AUDITORIA:
AUDITORIA DE GESTION DE RECURSOS Y
SERVICIOS INFORMATICOS
EMPRESA AUDITADA :
MUNICIPALIDAD PROVINCIAL DE LAMAS
NOMBRE DEL CLIENTE :
ING. FERNANDO DEL CASTILLO TANG

FECHA DE CORTE :
02 DE SEPTIEMBRE DEL 2013

FECHA DE PRESENTACIN DEL INFORME:
12 DE DICIEMBRE DEL 2013

FIRMA AUDITORA :
AUDITORS SOLUTIONS




1. INTRODUCCION
Hoy en da las organizaciones van cambiando fuertemente de manera
impredecible, para guiarse de su historial se basan en la informacin, activo
imprescindible, por ello las bases de datos y la gestin de la informacin se
ha vuelto una necesidad completamente ineludible. La Municipalidad
Provincial de Lamas, maneja informacin en gran cantidad y esto va
creciendo gracias a su escalabilidad y el incremento de sus operaciones
como sus pobladores, lo que es acumulado en una base de datos. El uso de
los sistemas de informacin es lo ms usual y, por ende, es necesario la
exigencia del cumplimiento de las reglas, normas y protocolos para la buena
gestin de la informacin de la organizacin.

Todo (en general) est expuesto a distintos riesgos ya sea informticos o
naturales, motivo por el cual, argumenta el requisito indispensable de
plantear medidas de mitigacin para cualquier suceso. La siguiente auditoria
permitir ver las vulnerabilidades de la seguridad de los sistemas de la
organizacin.

2. DATOS GENERALES DE LA EMPRESA.
La Municipalidad Provincial de Lamas es una entidad administrativa que
agrupa las localidades que conforman su jurisdiccin, sta regula y ejerce
funciones de gobierno y control para todos los que se encuentran en dicha
zona.
2.1. MISION
Somos una Institucin que lidera el cambio de la gestin local,
prestamos con excelencia y dentro del marco legal, los servicios
municipales, impulsamos su desarrollo integral, la conservacin del
ambiente y fomentamos el bienestar y seguridad de los vecinos de
nuestra Provincia de Lamas.
2.2. VISION
Ser una Municipalidad moderna que brinde servicios eficientes y de
calidad, con un gobierno transparente y concertador, que promueve el
desarrollo Integral sustentable para mejorar las condiciones de vida
en armona con su medio ambiente.

2.3. BIENES INFORMATICOS
2.3.1. Hardware.
Hemos obtenido los siguientes recursos informticos vigentes
al presente ao (2013).
Cuadro N 01: Cuadro Resumen de los Equipos de
Cmputo de la Municipalidad Provincial de Lamas
RECURSOS TECNOLGICOS E INFORMTICOS EXISTENTES
N HARDWARE CANT
1 Servidor 1
Computadoras personales
2 Intel Celeron (escritorio) 5
3 Core Dual Core (escritorio) 7
4 Core 2 duo (escritorio) 3
5 Centrino (Laptops) 2
Impresoras
6 Inyeccin de tinta 1
7 Lser 1
8 Matricial chica 1




2.3.2. SOTFWARE
SISTEMAS CON LOS QUE CUENTA LA MUNICIPALIDAD PROVINCIAL DE
LAMAS
N SOFTWARE CANT.
Sistemas Operativos
1 Windows XP 5
2 Windows 7 10
3 Windows server 2003 1
De Oficina
4 Office 2007 6
5 Office 2010 10
Antivirus
6 Antivirus Nod 32 15
Otros
7 SIAF - Sistema de Administracin Financiera 1
8 Sistema de Monitoreo 1
9 Sistema de Control de Prestamos 1
10 Sistema de Planillas 1









2.3.3. Redes.
Los equipos de red que son patrimonio de La Municipalidad
Provincial De Lamas
N CONECTIVIDAD CANT.
Switch
1 Switch 8 puertos 3
Router
2 Router/Modem 4 puertos 1
3 Modem USB 1
4 Router/Modem 4 puertos entrada USB 1
Descripcin
15 computadoras conectadas a la red con tarjeta inalmbrica.
2 computadoras conectadas a la red con cable
0 sin red, sin inalmbrico.

3. OBJETIVO DE LA ACTIVIDAD DE CONTROL.
3.1. Objetivo General.
Comprender y demostrar cuales son los elementos de mayor
relevancia de juicio para La Municipalidad Provincial De Lamas,
respaldando al mismo tiempo el uso de la toma de decisiones
para la buena gestin y correccin de errores e incoherencias, y
as, de ste modo, proceder con el cumplimiento de las normas
de la organizacin.
3.2. Objetivos Especficos.
Asegurar los activos de la institucin ante cualquier
amenaza. (prdidas, daos, intrusin, fraudes y errores)



Proponer medidas de mitigacin para dar soluciones a
algunas a algunos de los problemas que posteriormente se
presentaran.

4. ALCANCE.
Este informe est basado en el anlisis de las necesidades,
limitaciones, amenazas y fortalezas de La Municipalidad Provincial De
Lamas. Se constituye el alcance a ser aplicado al rea de informtica y
oficinas de la Municipalidad Provincial De Lamas, previamente a la
realizacin del levantamiento de informacin respectivo para nuestra
comprensin de los procedimientos y actividades inmersos dentro de la
Municipalidad.
En la siguiente auditora informtica se propone la evaluacin de los
siguientes principios.
4.1. Redes:
- Networking.
- Equipos de red.
- Cortafuegos.
- Filtros.
4.2 Seguridad Lgica.
- Identificacin de usuarios.
- Cambios de contraseas.
4.3 Seguridad fsica.
- Computadoras.
- Accesos y control de equipos.
4.4 Evaluacin de la administracin de las computadoras.
- Capacitacin de usuarios.
- Documentos de usos de computadoras.
4.5 Evaluacin de las auditoras realizadas.



MARCO NORMATIVO
En la Auditora Informtica siguiente se usaron los siguientes estndares y
guas:
4.2. Estndares
4.2.1. Metodologa Australiana as/nzs 4360: Metodologa de Anlisis
y Gestin de Riesgos de los sistemas de Informacin de las
Administraciones pblicas, Australiana as/nzs 4360, es un
mtodo formal para investigar los riesgos que soportan los
Sistemas de Informacin, y para recomendar las medidas
apropiadas que deberan adoptarse para controlar estos riesgos.
5. CUESTIONARIO DE EVALUACION.
5.1. Evaluacin de la Red.
5.1.1. Networking.
Debilidad Impacto Sugerencia
Los equipos
constituyentes de
la red de la
Municipalidad
Provincial de
Lamas Se
encuentran
hechos con
conexiones
defectuosas.
Fallos de red entre
todos los equipos y
demoras con las
transacciones.
Realizar
mantenimientos a
las redes cada 3
meses para su
funcionamiento
optimo y excelente
comunicacin entre
las computadoras.
.




5.1.2. Equipos de Red.

Debilidad Impacto Sugerencia
Los equipos de la
intranet de la
Municipalidad
Provincial de
Lamas No tienen
UPS para el
funcionamiento en
caso de un
posible corte de
luz.
Se suspenden las
transacciones y la
prdida de
informacin de las
transacciones que
realiza la
Municipalidad
Provincial De
Lamas.
Adquirir e
implementar
equipos UPS para
evitar la suspensin
de las actividades
que se realizan en
La Municipalidad
Provincial de
Lamas.

5.1.3. Cortafuegos.
Debilidad Impacto Sugerencia
Control de
permiso
inexistente para
el acceso a la
red. Se Permiten
ingresar sin
ninguna
seguridad a
cualquier pgina
de internet.
Los equipo tienen
mayor
vulnerabilidad, y
son ms propensos
a ataques e
intrusiones por
usuarios
malintencionados o
personas sin
autorizacin.
Instalar y configurar
Firewall.





5.1.4. Filtros
Debilidad Impacto Sugerencia
No hay filtros
para redes
sociales o
pginas web
innecesarias
para ejercer las
labores del
Municipio. Como
Facebook,
YouTube, etc.
Impide fluidez y
promueve lentitud
en operaciones
adems de
ralentizar el ancho
de banda.
Implementar filtros
para restringir los
accesos a pginas
no necesarias para
las Actividades de
la Municipalidad
Provincial de
Lamas.
5.2. Seguridad lgica.
5.2.1.1. Identificacin de usuarios.
Debilidad Impacto Sugerencia
Los sistemas de
informacin de la
Municipalidad
Provincial de
Lamas no tienen
una restriccin en
horas de
descanso.
Los sistemas se
encuentran
configurados para
que ejercer sus
operaciones a partir
de las 8:00 am a
1:00 pm y de 3:00
pm a 5:00 pm, y los
sbados de 9 am a
1 pm sin
comprender
restricciones en la
hora del break para
Restringir accesos
a horas de
descanso.



el personal.

5.2.2. Cambios de Contraseas.
Debilidad Impacto Sugerencia
No existen
controles de
cambio de
contraseas para la
seguridad
correspondiente.
Los accesos a los
sistemas de
informacin de la
Municipalidad
Se realizarn
cambios de
contrasea cada 4
meses para su
seguridad.

5.3. Seguridad fsica.
5.3.1. Computadoras.
Debilidad Impacto Sugerencia
Las computadoras
de algunos
departamentos no
cumplen con los
requerimientos y
necesidades de
los usuarios.
Actividades
ineficientes que se
desarrollan por los
usuarios. O puede
pasar una mala
performance para
el manejo de la
info.
Adquirir nuevas
computadoras para
departamentos que
realicen procesos
ms sofisticados.
5.3.2. Acceso y control de equipos.
Debilidad Impacto Sugerencia
Los accesos a la
oficina del rea
de informtica no
Cualquiera podra
ingresar a la oficina y
hurtar un equipo,
Mejorar el acceso
y dar permisos a
personas



cuentan con
restricciones de
acceso a personal
no autorizado.
robar informacin e
ingresar a los
sistemas as como
realizar cualquier
acto delictivo
autorizadas o
siempre y cuando
lo requieran y lo
soliciten
fundamentada
mente

5.3.3. Control de acceso a equipos.
Debilidad Impacto Sugerencia
Inexistencia de
cuentas de
usuario para
accesos del
sistema
Cualquier persona
podra ingresar sin
previa autorizacin
y realizar
modificaciones al
sistema operativo,
aplicaciones e
informacin.
Crear cuentas de
usuarios dando
privilegios para
restringir el acceso
al sistema de
informacin.

Unidades y
Dispositivos USB,
grabador de DVD
y tarjetas SD sin
restriccin de uso.
Robo de
informacin
mediante
dispositivos
externos o
infeccin de virus o
spyware.
Restringir accesos
dando permisos de
copia de archivos,
siempre y cuando
con previa
autorizacin.










5.4. Evaluacin de la administracin de los ordenadores.
5.4.1. Capacitacin de usuarios.
Debilidad Impacto Sugerencia
Desconocimiento
por parte del
personal acerca
de temas en
relacin a
informtica.
Errores sobre el
manejo del sistema
y desconocimiento
sobre normas,
manuales que
permiten el buen uso
del sistema.
Realizar
capacitaciones
constantes al
personal acerca del
uso y prevencin
de los sistemas y
ordenadores.
El consumo de
alimentos por
parte del
personal cerca
de los equipos de
cmputo.
Deterioro de las
partes de los
equipos de cmputo
donde se puede
dejar de utilizar
algunas mquinas.
Establecer normas
estrictas donde se
prohbe el consumo
de alimentos cerca
a los equipos de
cmputo.

5.4.2. Documentos de uso de computadoras.
Debilidad Impacto Sugerencia
No existen
manuales,
documentos,
polticas de
seguridad, ni
planes de
contingencia.
Mala toma de
decisiones y la
realizacin de
procesos no
establecidos
Elaborar planes de
contingencia,
polticas de
seguridad donde
se establecen las
normas a hacer
cumplir al
personal.




5.5. Evaluaciones de auditoras realizadas.
Debilidad Impacto Sugerencia
No se han
realizado
auditoras con
anterioridad
Desconocimiento de los
procesos deficientes,
recursos y los riesgos
asociados a stas.
Crear un plan
auditoras de
sistemas de forma
peridica, para todos
los procesos de la
Municipalidad
Provincial de Lamas.




SOLUCIN DEL CUESTIONARIO DE EVALUACIN
A) Observaciones clasificadas por rea funcional.
A.3. rea de soporte Tcnico.
No existen procesos de evaluacin a nuevos paquetes de
software y nuevas versiones y productos de hardware.
No cuentan con plan de normas de instalacin para las
aplicaciones, sistemas operativos, herramientas de ofimtica,
etc.
No existen con estndares de seguridad para las redes.
No se cuentan con ambientes adecuados para los equipos.
No existe un plan de monitoreo del estado y accesos de la red.
A.4. rea de Sistemas.
No se crean back-ups.
No existe plan de mejora en la productividad.
No mantiene estabilizados, actualizados y en correcto
funcionamiento los sistemas de informacin en produccin, que
permitan el desarrollo de las actividades con eficiencia.
No se crean de manuales de gua de usuarios, tcnicos y
protocolares para los sistemas.

B) Identificacin, descripcin, recomendacin de riesgos y sustento tcnico
de cada recomendacin para superar estos riesgos.
B.1. Riesgo de Tecnologa de Informacin
ACTIVO RIESGOS RECOMENDACIONES
Servidor Incendio
Solicitar alarma contra
incendios, adquirir
servidores espejo,
extintores.



Corte del fluido
elctrico
Adquirir equipos UPS,
contar con grupo
electrgeno.

Error y/o prdida
de sistemas
operativos y
aplicativos.
Contar con Servidor
espejo.
Mal
funcionamiento de
computadoras.
Realizar el mantenimiento
para computadoras cada 3
meses.
Robo
Implementar sistema de
cmaras de vigilancia.
Virus
Controlar el acceso al
servidor, Instalacin de
Filtros y antivirus.
Terminales
Incendio
Contar con un sistema de
alarma contra incendios.
Corte del fluido
elctrico
Contar con UPSs Grupos
electrgenos.
Fallo y/o perdida
de sistema
operativo y
aplicativos base
Realizar mantenimiento de
ordenadores cada 3
meses.
Robo
Instalacin de Alarmas de
seguridad; Personal
calificado de vigilancia.
Virus
Constante actualizacin de
los antivirus; Instalacin de
Filtros.
Fallas o desuso de
hardware y/o
Contar con personal que
realice mantenimiento de



software los equipos cuando estos
fallen.
Calentamiento del
hardware
ventilacin adecuada para
los equipos (Cooler)
Consumo de
alimentos cerca de
los equipos
informticos
Dar a conocer al personal
sobre reglamento de
normas de uso de
computadoras, perifricos y
servicio de Red mediante
capacitacin
Interfaces In-
Out
Incendio
Contar con sistema de
alarma contra incendios
Corte del fluido
elctrico
Contar con UPS
acumulador de energa.
Mal
funcionamiento del
perifrico
Realizar mantenimiento de
perifricos cada 3 meses.
Robo
Instalacin de Alarmas de
seguridad; contratar
Wachiman.
Avera del
perifrico
Contar con perifricos de
respaldo.
Calentamiento del
perifrico.
Contar con ventilacin
adecuada para los equipos
(Cooler).
Consumo de
alimentos cerca
del perifrico.
Dar a conocer al personal
sobre reglamento de
normas de uso de
computadoras, perifricos y
servicio de Red mediante
capacitacin.



Redes
Robo
Contar con cmaras de
vigilancia y personal de
seguridad alta mente
capacitado.
Virus
Instalacin de filtros y
actualizacin de los
firewall.
Calentamiento de
los equipos de red
y deterioro.
Instalaciones de aire
acondicionado.
Mala configuracin
de equipo para la
red
Capacitacin al personal
de informtica para la
configuracin.
Avera en el
cableado
Capacitacin al personal
de informtica para la
configuracin.






Personal




Robo de
informacin por
personas ajenas a
la municipalidad


Actualizacion de Firewall
para la proteccion de
datos.
Robo de
informacin por
parte del personal
Capacitacin y Motivacin
al personal sobre la
importancia de la
informacin y la tica


Resentimiento y
rivalidad del
personal

Capacitar a todo el
personal sobre temas de
clima y cultura
organizacional



Robo de equipos o
insumos,
divulgacinde
datos.



Capacitacion al personal
de las politicas de
seguridad de la empresa.
Falta de
instruciones del
uso de hardware y
software.




Capacitaciones para uso
del software y hardware

Mala utilizacin de
los equipos y
sistemas
informticos

capacitacion del personal
del uso de los
computadores y de los
sistemas de la
organizacin
B.2. Riesgo de Privacidad
IDENTIFICACION DESCRIPCION RECOMENDACION
Documentacin
Hurto de
informacin y
alteracin de la
documentacin
Implementar
permisos y control
de accesos
Prdida de la
credibilidad
Contar con personal
capacitado y
comprometido
Datos de Usuarios
Prdida de la
credibilidad
Contar con personal
capacitado y



comprometido
Robo y alteracin
de los datos de
usuarios
Contar con
permisos y control
de accesos

B.3. Riesgo de Disponibilidad
IDENTIFICACION DESCRIPCION RECOMENDACION
Documentacin
Documentacin
incompleta
Contar con personal
capacitado y tener
manuales de
documentacin
Documentacin
inconsistente
Contratar un
especialista para la
configuracin de los
sistemas
Sistemas de la
Empresa
Fallos de los
sistemas
Contar con un sistema
de monitoreo para el
mantenimiento y
actualizacin de los
sistemas
Prdida de la
configuracin
Realizar capacitaciones
a los usuarios
Servidor Fallos del servidor
Contar con especialistas
para el mantenimiento
del servidor.
Computadoras
Fallos de las
computadoras
Contar con especialistas
para el mantenimiento
de las computadoras.
Equipos de Red
Fallos de los
equipos de red
Contar con ambientes
adecuados.





B.4. Riesgo de Integridad
IDENTIFICACION DESCRIPCION RECOMENDACION
Documentacin
Ingreso de datos
con caracteres no
vlidos.
Los datos ingresados
son validados con el
usuario y contrasea.
Datos de Usuarios
Ingreso de datos
con caracteres no
vlidos.
Los datos ingresados
son validados con el
usuario y contrasea.

Datos de usuarios
incorrectos
Contar con personal
capacitado
Sistemas de la
Empresa
Dao en la
integridad de los
sistemas
Contar con software
especializado para
controlar malware,
spyware, virus, etc.
Servidor
Dao de la
integridad del
Servidor
Contar con un servidor
espejo fuera del edificio
Computadoras
Dao de la
integridad de las
computadoras
Contar con
computadoras de
respaldo.












B.5. Riesgo de Sistemas de Informacin
IDENTIFICACION DESCRIPCION RECOMENDACION
Software Utilizados
Mala
administracin de
control de acceso
Actualizacin usuarios y
contraseas cada 3
meses.
Falta de
confidencialidad
Implementar
restricciones a usuarios
segn el perfil.
Multas y
problemas con
Software Legal.
Comprar de software
original
Mal
funcionamiento de
los sistemas.
Capacitacin al
personal de informtica
para la configuracin.
Ingreso de datos
con caracteres no
vlidos
Los datos ingresados
son validados con el
usuario y contrasea.
Datos de Usuarios
incorrectos.
Contar con personal
capacitado
Dao en la
integridad de los
sistemas
Contar con software
especializado para
controlar malware,
spyware, virus, etc.
Fallos de los
sistemas
Contar con un sistema
de monitoreo para el
mantenimiento y
actualizacin de los
sistemas
Divulgacin o robo
de informacin.
Cmaras de vigilancia.
Prdida de la
confidencialidad
de los sistemas
Cmaras de vigilancia.




Tarapoto, 12 de diciembre del 2013
Seor: Ing. Fernando Del Castillo Tang
Representante de la Municipalidad Provincial de Lamas
Consideradamente:
Nos dirigimos a Ud. cordialmente a efectos de darle a conocer sobre el
alcance del trabajo de Auditora realizado los das 02 de septiembre del
2013 al 12 de diciembre del 2013, conforme al anlisis y procedimientos
detallados de todas las informaciones recopiladas y emitidos en el presente
informe, que es razonable a nuestro juicio.
Conforme el siguiente informe de auditora desarrollado en su totalidad y
detallado, los auditores estn dispuestos a informar al cliente los errores,
incoherencias e imperfecciones que se encontraron al momento de la
auditora.
Agradeciendo su colaboracin durante nuestra visita a todo el personal de
La Municipalidad Provincial de Lamas. Quedamos a su disposicin para
cualquier aclaracin y/o ampliacin de la presente que estime necesaria.
Atentamente.

Auditors Solutions




Ing. Julio Arvalo Chacn Ing. Johnny Manolito Ruiz Pinedo
Auditor General Auditor de Apoyo





CONCLUSIONES
El siguiente informe se ha desarrollado tomando en consideracin
identificar los riesgos a los que est expuesta La Municipalidad
Provincial de Lamas, y las soluciones respectivas, tales como la
planeacin de: Planes de contingencias, polticas de seguridad para la
proteccin de la informacin y los activos de la institucin, tratando de
conseguir confidencialidad y las responsabilidades que debe asumir
cada uno de los trabajadores.
Por otro lado, al realizar la auditoria tuvimos la consideracin de
imprescindible importancia para contar con la informacin ms exacta,
en el mas actual tiempo posible, de manera ms oportuna y
transparente, para constituir aquella la mas acertada toma de
decisiones, reflejando lo ms asertivos resultados para con la
Municipalidad Provincial de Lamas, y as generar su escalabilidad en un
periodo ms prolongado y evitar dirigirse a la deriva en un mundo
donde todo va cambiando de manera impredecible y que los cambios
requieres nuevos paradigmas y el uso del conocimiento.













RECOMENDACIONES
Conservar stos documentos, para futuras referencias.
Historiar aquellas modificaciones realizadas en base a ste informe.
Realizar un plan de todos los procedimientos de la Municipalidad
Provincial de Lamas.
Planear las actividades de control e implantar las aplicaciones
propuestas en ste documento