Академический Документы
Профессиональный Документы
Культура Документы
AUDITORIA DE SISTEMAS
CAPITULO
I AUDITORIA
INFORMATICA
AUDITORIA DE SISTEMAS
1. TOMA DE CONTACTO
2. DEFINICIN DEL ALCANCE.
3. RECURSOS Y TIEMPO.
4. PROGRAMA DE TRABAJO: RECOPILACIN DE INFORMACIN.
5. IDENTIFICACIN DE RIESGOS POTENCIALES.
6. DEFINICIN DE PRUEBAS.
7. OBTENCIN DE RESULTADOS.
8. CONCLUSIONES Y COMENTARIOS.
9. REVISIN Y CIERRE DE PAPELES DE TRABAJO.
10. PREPARACIN DEL BORRADOR DEL INFORME.
11. DISCUSIN DEL INFORME.
12. EMISIN Y DISTRIBUCIN.
13. PLAN DE MEJORAS.
AUDITORIA DE SISTEMAS
AUDITORIA INFORMATICA
1.1.ORIGEN DE LA AUDITORIA:
La presente Auditoria se realiza en cumplimiento del Plan Anual de Control 2003,
aprobada mediante Resolucin de Contralora N 235- 2002-CG del 15 de Diciembre
del 2002.
1.2.OBJETIVOS Y ALCANCE
1.2.1. OBJETIVO GENERAL
Revisar y Evaluar los controles, sistemas, procedimientos de informtica; de los
equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que
participan en el procesamiento de la informacin, a fin de que por medio del
sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura
de la informacin que servir para una adecuada toma de decisiones.
1.2.2. OBJETIVOS ESPECIFICOS
Evaluar el diseo y prueba de los sistemas del rea de Informtica
Determinar la veracidad de la informacin del rea de Informtica
Evaluar
los
procedimientos
de
control
de
operacin,
analizar
su
AUDITORIA DE SISTEMAS
1.3.ANTECEDENTES
La convencin Nacional el 29 de Diciembre de 1857 aprueba la ley que es
promulgada por el libertador Ramn Castilla disponiendo q el Dpto. de Moquegua,
conformando por 04 provincias: Tacna, Arica, Tarapac y Moquegua, entre otros
Dptos., procedan a constituir juntas electorales en las capitales de Dptos.,
provincias y distritos, para q se elijan las primeras Municipalidades establecidas
por la constitucin.
En la Capital de la Provincia de Moquegua, deban elegirse 11 Municipalidades, en
el resto de la Provincia (Torata, Omate, Ubinas, Carumas, Puquina, Iloe Ichua)el
numero de Municipalidades variaban de 3 a 5 miembros.
Exactamente no se conoce la fecha cuando comenzaron las funciones
municipalidades en Moquegua, trabajo de investigacin histrica que es necesario
abocarse para que bajo su conocimiento se de luces y perspectivas en el
desenvolvimiento participatorio de la comunidad en el desarrollo de la
municipalidad.
Anteriormente, el gobierno local de la provincia de Mariscal Nieto-Moquegua
ocupaba una casona ubicada en la calle Moquegua N 851, inmueble cuya
construccin data de 1799 y que fue donada a la Municipalidad de Moquegua el 05
de Setiembre de 1945.
Actualmente la Municipalidad Provincial de Mariscal Nieto cuenta con una
infraestructura moderna ubicada en la calle Ancash N 275
1.4.ENFOQUE A UTILIZAR
La presente accin de control, se realiza de acuerdo con el organismo central y
rector de los Sistemas Nacionales de Estadstica e Informtica, responsable de
normar, supervisar y evaluar los mtodos, procedimientos y tcnicas estadsticas e
informticas utilizados por los rganos del Sistema INEI (Instituto Nacional de
Estadstica e Informtica), Normas Internacionales de Auditoria (NIA); habindose
aplicado procedimientos de Auditoria que se consideraron necesarios de acuerdo
a las circunstancias.
AUDITORIA DE SISTEMAS
Periodo de Gestin
Apellidos
Nombres
Cervantes Games,
Ivan
Manchiria Zeballos,
Victoria
Velasquez Zapata,
Sonia
Gamez Villa, Celia
Cargo
Jefe
Planillas
Del
Domicilio
Al
01.01.03 30.12.03
Secretaria
01.01.03 30.12.03
Secretaria
N145
1.6.CRONOGRAMA DE TRABAJO
PROGRAMA DE AUDITORIA
EMPRESA: Municipalidad Provincial Mariscal Nieto
FASE
ACTIVIDAD
FECHA: HOJA N
HORAS
ENCARGADOS
ESTIMADAS
I
VISITA PRELIMINAR
8 HS.
AUDITORIA DE SISTEMAS
II
DESARROLLO DE LA AUDITORIA
32 HS.
REVISION Y PRE-INFORME
16 HS.
INFORME
4 HS.
AUDITORIA DE SISTEMAS
DIAGRAMA DE GANTT
1.7.DOCUMENTOS A SOLICITAR
Polticas, estndares, normas y procedimientos.
Plan de sistemas.
Planes de seguridad y continuidad
Contratos, plizas de seguros.
Organigrama y manual de funciones.
Manuales de sistemas.
Registros
Entrevistas
Archivos
Requerimientos de Usuarios
1.8.EJECUCION DE LA REVISION ESTRATEGICA
1.8.1. CONOCIMIENTO INICIAL DE LA ENTIDAD
AUDITORIA DE SISTEMAS
NOMBRE
CARGO
Alcalde
Zeballos Salinas
Dr. Javier Flores Arocutipa
Mag. Hilda Guevara Gomez
Ing. Oscar Paredes Vargas
Mag. Victor Cornejo
Vicerrector
Decana de la Facultad de
Ciencias de la Salud
Decano de la Facultad de
Ingeniera
Decano de Cs.Jurdicas,
Rodriguez
Empresariales y
Pedaggicas.
AUDITORIA DE SISTEMAS
10
AUDITORIA DE SISTEMAS
11
COMISIONES ORDINARIAS
1.9.ORGANIGRAMA
ALCALDIA
PROCURADURIA
MUNICIPAL
SUB GERENCIA
SECRETARIA GENERAL
GERENCIA MUNICIPAL
GERENCIA DE
ADMINISTRACION
GERENCIA DE FISCALIZACION Y
PRESUPUESTO
GERENCIA DE ADMINISTRACION
TRIBUTARIA
SUB GERENCIA DE
INVESTIGACION Y C.T.I.
SUB GERENCIA DE
CONTABILIDAD Y TESORERIA
SUB GERENCIA DE
PLANIFICACION Y PRESIPUESTO
GERENCIA DE RECURSOS
HUMANOS
GERENCIA DE SERVICIOS A LA
CIUDAD
GERENCIA DE DESARROLLO
ECONOMICO SOCIAL
GERENCIA DE INVERSION
SUB GERENCIA DE
DESARROLLO AMBIENTAL
SUB GERENCIA DE
ABASTECIMIENTO Y
COMERCIALIZACION
ENTIDAD PRESTADORA DE
SERVICIOS DE SANEAMIENTO
AUDITORIA DE SISTEMAS
MUNICIPALIDADES DE
CENTROS POBLADOS
12
COMIT ADMINISTRACION
PROGRAMA VASO DE LECHE
MISION
El rea de Computo e informtica de la municipalidad Provincial de Mariscal Nieto
Moquegua, tiene por misin normar el adecuado uso y aprovechamiento de los
recursos informticos; la optimizacin de las actividades, servicios procesos y
acceso inmediato a informacin para la toma de decisiones, mediante el
desarrollo, implantacin y supervisin del correcto funcionamiento de los sistemas
AUDITORIA DE SISTEMAS
13
SITUACION ACTUAL
Ubicacin:
El rea de cmputo e informtica orgnicamente depende de la oficina de
planificacin y presupuesto, asumiendo la responsabilidad de dirigir los procesos
tcnicos de informtica
Recursos Humanos:
Actualmente en el rea de cmputo e informtica labora una sola persona quien
cumple las funciones de administracin, capacitacin, soporte y procesamiento de
datos.
Recursos informticos existentes:
Computadoras Personales
Impresoras
1.12.3. OBJETIVOS:
El rea de Cmputo e informtica tiene los siguientes objetivos Sectoriales:
AUDITORIA DE SISTEMAS
14
ANALISIS FODA
Fortalezas
o
Capacidad de Convocatoria(Difusin)
Oportunidades
o
AUDITORIA DE SISTEMAS
15
Debilidades
AUDITORIA DE SISTEMAS
16
PLAN
DE AUDITORIA
2.1.METODOLOGIA
La metodologa de investigacin a utilizar en el proyecto se presenta a continuacin:
Para la evaluacin del rea de Informtica se llevarn a cabo las siguientes
actividades:
Solicitud de los estndares utilizados y programa de trabajo
Aplicacin del cuestionario al personal
Anlisis y evaluacin del a informacin
formatos, reportes y consultas)
Anlisis de llaves, redundancia, control, seguridad, confidencial y respaldos
Anlisis del avance de los proyectos en desarrollo, prioridades y personal
asignado
Entrevista con los usuarios de los sistemas
Evaluacin directa de la informacin obtenida contra las necesidades y
requerimientos del usuario
Anlisis objetivo de la estructuracin y flujo de los programas
Anlisis y evaluacin de la informacin recopilada
Elaboracin del informe
Para la evaluacin de los equipos se llevarn a cabo las siguientes actividades:
Solicitud de los estudios de viabilidad y caractersticas de los equipos
actuales, proyectos sobre ampliacin de equipo, su actualizacin
AUDITORIA DE SISTEMAS
17
AUDITORIA DE SISTEMAS
18
AUDITORIA DE SISTEMAS
19
Confidencialidad
Los datos son propiedad inicialmente de la organizacin que los genera. Los
datos de personal son especialmente confidenciales
AUDITORIA DE SISTEMAS
20
CAPITULO
II
AUDITORIAS
AUDITORIA DE SISTEMAS
21
AUDITORIA FISICA
1. Alcance de la Auditoria
Organizacin y cualificacin del personal de Seguridad.
Remodelar el ambiente de trabajo.
Planes y procedimientos.
Sistemas tcnicos de Seguridad y Proteccin.
2. Objetivos
Revisin de las polticas y Normas sobre seguridad Fsica.
Verificar la seguridad de personal, datos, hardware, software e instalaciones
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informtico
PREGUNTAS
SI
NO
X
X
AUDITORIA DE SISTEMAS
N/A
X
X
X
X
22
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
AUDITORIA DE SISTEMAS
X
X
X
X
X
23
Auditoria fsica:
Para hallar el SI
37
13
100%
X
X = 31.1
Para hallar el NO
37
24
100%
X
X = 64.86
LISTADO DE VERIFICACIN DE AUDITORIA FISICA
Gestin fsica de seguridad.
100%
Excelente
80%
Buena
60%
Regular
40%
Mnimo
20%
No cumple
Los objetivos de la
instalacin fsica
De computo
Las caractersticas
fsicas de son
seguras de centro
Los componentes
fsicos de computo
La conexiones de
los equipos de las
comunicaciones e
instalaciones
fsicas
La infraestructura
es
El equipos es
La distribucin de
los quipos de
computo es
Evaluacin de anlisis fsica de cmputo
100%
AUDITORIA DE SISTEMAS
80%
60%
40%
20%
24
Bueno
Regular
Mnimo
No cumple
80%
Bueno
60%
Regular
40%
Mnimo
20%
No cumple
80%
Bueno
60%
Regular
40%
Mnimo
20%
No cumple
80%
Bueno
60%
Regular
40%
Mnimo
20%
No cumple
Anlisis de la
transparencia del
trabajo para los
usuarios.
La ubicacin del
centro de computo
Los
requerimientos de
seguridad del
centro de computo
Evaluacin del diseo segn el mbito
100%
Excelente
Anlisis del
ambiente de
trabajo
Evaluar el
funcionamiento de
los equipos
El local para el
trabajo es
Los equipos
cuentan con
ventilacin
AUDITORIA DE SISTEMAS
25
80%
Bueno
60%
Regular
40%
Mnimo
20%
No cumple
El estado centro
de computo esta
en
Los accesos de
salida son
AUDITORIA DE SISTEMAS
26
INFORME DE AUDITORIA
1. Identificacin del informe
Auditoria fsica.
2. Identificacin del Cliente
El rea de Informtica
5. Hallazgos Potenciales
Falta de presupuesto y personal.
Falta de un local mas amplio
No existe un calendario de mantenimiento
Falta de ventilacin.
.faltan salida al exterior
Existe salidas de emergencia.
6. Alcance de la auditoria
Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado
especialmente al Departamento de centro de cmputo de acuerdo a las normas y
dems disposiciones aplicable al efecto.
AUDITORIA DE SISTEMAS
27
7. Conclusiones:
Como resultado de la Auditoria podemos manifestar que hemos cumplido con
evaluar cada uno de los objetivos contenidos en el programa de auditoria.
El Departamento de centro de cmputo presenta deficiencias sobre todo en el
debido cumplimiento de Normas de seguridad.
8. Recomendaciones
Reubicacin del local
Implantacin de equipos de ultima generacin
Implantar equipos de ventilacin
Implantar salidas de emergencia.
Elaborar un calendario de mantenimiento de rutina peridico .
Capacitar al personal.
9. Fecha Del Informe
FECHAS
PLANEAMIENTO
EJECUCION
INFORME
011004 al 1510-04
16-1004 al 2011-04
231104 al 2811-04
CARGO
AUDITOR SUPERIOR
AUDITORIA DE SISTEMAS
28
AUDITORIA DE LA OFIMATICA
1. Alcance de la Auditoria.Planes y procedimientos
Polticas de Mantenimiento
Inventarios Ofimaticos
Capacitacin del Personal
2. Objetivos de la Auditoria.Realizar un informe de Auditoria con el objeto de verificar la existencia de controles
preventivos, detectivos y correctivos, as como el cumplimiento de los mismos por los
usuarios.
PREGUNTAS
SI
NO
N/A
incluyendo
un
estudio
costo-
beneficio?
2. Existe
un
comit
que
coordine
se
AUDITORIA DE SISTEMAS
29
todos
los
procesos
realizados,
dejando
operadores
del
equipo
central estn
preferentemente en
bvedas
de
bancos?
13. Se han implantado calendarios de operacin a
fin de establecer prioridades de proceso?
14. Todas las actividades del Centro de Computo
estn normadas mediante manuales, instructivos,
normas, reglamentos, etc.?
15. Las instalaciones cuentan con sistema de
alarma por presencia de fuego, humo, as como
extintores de incendio, conexiones elctricas
AUDITORIA DE SISTEMAS
30
voltaje
como:
reguladores
de
voltaje,
AUDITORIA DE SISTEMAS
31
100%
X
X = 62.5
Para hallar el NO
24
7
100%
X
X = 18.91
AUDITORIA DE SISTEMAS
32
INFORME DE AUDITORIA
1. Identificacin del informe
Auditoria de la Ofimtica
2. Identificacin del Cliente
El rea de Informtica
3. Identificacin de la Entidad Auditada
Municipalidad Provincial Mariscal Nieto
4. Objetivos
Verificar si el hardware y software se adquieren siempre y cuando tengan la
seguridad de que los sistemas computarizados proporcionaran mayores beneficios
que cualquier otra alternativa.
Verificar si la seleccin de equipos y sistemas de computacin es adecuada
Verificar la existencia de un plan de actividades previo a la instalacin
Verificar que los procesos de compra de Tecnologa de Informacin, deben estar
sustentados en Polticas, Procedimientos, Reglamentos y Normatividad en
General, que aseguren que todo el proceso se realiza en un marco de legalidad y
cumpliendo con las verdaderas necesidades de la organizacin para hoy y el
futuro, sin caer en omisiones, excesos o incumplimientos.
Verificar si existen garantas para proteger la integridad de los recursos
informticos.
Verificar la utilizacin adecuada de equipos acorde a planes y objetivos.
5. Hallazgos Potenciales
Falta de licencias de software.
Falta de software de aplicaciones actualizados
No existe un calendario de mantenimiento ofimatico.
Faltan material ofimtica.
AUDITORIA DE SISTEMAS
33
AUDITORIA DE SISTEMAS
34
PLANEAMIENTO
FECHAS 011004 al 1510-04
EJECUCION
INFORME
16-1004 al 2011-04
231104 al 2811-04
CARGO
AUDITOR SUPERIOR
AUDITORIA DE SISTEMAS
35
AUDITORIA DE LA DIRECCION
1. Alcance de la Auditoria.Organizacin y calificacin de la direccin de Informtica
Plan Estratgico de Sistemas de Informacin.
Anlisis de puestos
Planes y Procedimientos
Normativa
Gestin Econmica.
2. Objetivos de la Auditoria.Realizar un informe de Auditoria con el objeto de verificar la adecuacin de las
medidas aplicadas a las amenazas definidas, as como el cumplimiento de los
requisitos exigidos.
3. Resultados: Se obtendr:
Informe de Auditoria detectando riesgos y deficiencias en la Direccin de
Informtica.
Plan de recomendaciones a aplicar en funcin de:
o
Normativa a cumplir
PREGUNTAS
SI
NO
N/A
AUDITORIA DE SISTEMAS
36
6. Existen
estndares
de
funcionamiento
estndares
de
funcionamiento
estndares
procedimientos
existentes
AUDITORIA DE SISTEMAS
37
OBJETIVOS
Determinacin de la utilidad de polticas, planes y procedimientos, as como su
nivel de cumplimiento
Examinar el proceso de planificacin de sistemas de informacin y evaluar si
cumplen los objetivos de los mismos.
Verificar si el comit de Informtica existe y cumple su papel adecuadamente.
Revisar el emplazamiento del departamento de Informtica y evaluar su
dependencia frente a otros.
Evaluar la existencia de estndares de funcionamiento, procedimientos y
descripciones de puestos de trabajo adecuados y actualizados.
Evaluar las caractersticas de la comunicacin entre la Direccin de Informtica y
el personal del Departamento.
Verificar la existencia de un sistema de reparto de costes informticos y que este
sea justo.
AUDITORIA DE SISTEMAS
38
100%
X
X = 70.58
Para hallar el NO
17
5
100%
X
X = 29.41
AUDITORIA DE SISTEMAS
39
AUDITORIA DE LA EXPLOTACION
1. Alcance de la Auditoria
Evaluacin del personal y coherencia de cargos de la propia institucin.
Normas y Procedimientos del rea de informtica
2. Objetivos
Realizar un informe de Auditoria con el objeto de verificar la adecuacin de las
funciones que sirven de apoyo a las tecnologas de la informacin.
PREGUNTAS
SI
NO
N/A
procedimientos
adecuados
para
mantener
la
documentacin al da ?
6. tienen manuales todas las aplicaciones ?
procedimientos
adecuados
para
conectarce
AUDITORIA DE SISTEMAS
40
AUDITORIA DE SISTEMAS
41
documento
de
entrada
se
tienen?
AUDITORIA DE SISTEMAS
42
Auditoria Explotacin:
Para hallar el SI
40
26
100%
X
X = 65
Para hallar el NO
40
14
100%
X
X = 35
INFORME DE AUDITORIA
AUDITORIA DE SISTEMAS
43
AUDITORIA DE SISTEMAS
44
AUDITORIA DE SISTEMAS
45
PLANEAMIENTO
FECHAS
EJECUCION
INFORME
04
11-04
APELLIDOS Y NOMBRES
AROHUANCA ANTAHUANACO
MICHELLA
AUDITORIA DE SISTEMAS
CARGO
AUDITOR SUPERIOR
46
PREGUNTAS
SI
NO
N/A
AUDITORIA DE SISTEMAS
47
entre puestos?
5. Existe la relacin de personal adscrito al rea, incluyendo el
puesto ocupado por cada persona?
6. El plan existe, es claro y realista?
7. Estn establecidos los procedimientos de promocin de
personal a puestos superiores, teniendo en cuenta la experiencia
y formacin?
8. El rea de desarrollo lleva su propio control presupuestario?
9. Se hace un presupuesto por ejercicio y se cumple?
10. El presupuesto esta en concordancia con los objetivos a
cumplir?
11. El personal de rea de desarrollo cuenta con la formacin
adecuada y son motivados para la realizacin de su trabajo?
12. Existen procedimientos de contratacin?
13. Las personas seleccionadas cumplen los requisitos del puesto
al que acceden?
14. Las ofertas de puestos del rea se difunden de forma suficiente
fuera de la organizacin y las selecciones se hacen de forma
objetiva?
15. Existe un plan de formacin que este en consonancia con los
objetivos tecnolgicos que se tenga en el rea?
16. El plan de trabajo del rea tiene en cuenta los tiempos de
formacin?
17. Existe un protocolo de recepcin / abandono para las personas
que se incorporan o dejan el rea?
18. Existe un protocolo y se respeta para cada incorporacin /
abandono?
19. En los abandonos del personal se garantiza la proteccin del
AUDITORIA DE SISTEMAS
48
rea?
20. Existe una biblioteca y una hemeroteca accesibles por el
personal del rea?
21. Esta disponible un numero suficiente de libros, publicaciones
peridicas, monografas, de reconocido prestigio y el personal
tiene acceso a ellos?
22. El personal esta motivado en la realizacin de su trabajo?
23. Existe algn mecanismo que permita a los empleados hacer
sugerencias sobre mejoras en la organizacin del rea?
24. Existe rotacin de personal y existe un buen ambiente de
trabajo?
25. La realizacin de nuevos proyectos se basa en el plan de
sistemas en cuanto a objetivos?
26. Las fechas de realizacin coinciden con los del plan de
sistemas?
27. El plan de sistemas se actualiza con la informacin que se
genera a lo largo de un proceso?
28. Los cambios en los planes de los proyectos se comunican al
responsable de mantenimiento del plan de sistemas?
29. Existe un procedimiento para la propuesta de realizacin de
nuevos proyectos?
30. Existe un mecanismo para registrar necesidades de desarrollo
de nuevos sistemas?
31. Se respeta este mecanismo en todas las propuestas?
32. Existe un procedimiento de aprobacin de nuevos proyectos?
33. Existe un procedimiento para asignar director y equipo de
desarrollo a cada nuevo proyecto?
34. Se tiene en cuenta a todas las personas disponibles cuyo perfil
sea adecuado a los riesgos de cada proyecto y que tenga
AUDITORIA DE SISTEMAS
49
Auditoria Desarrollo:
Para hallar el SI
37
27
100%
X
X = 72.97
AUDITORIA DE SISTEMAS
50
Para hallar el NO
37
10
100%
X
X = 27.02
INFORME DE AUDITORIA
1. Identificacin del informe
Auditoria de Desarrollo
2. Identificacin del Cliente
El rea de Informtica
3. Identificacin de la Entidad Auditada
Municipalidad Provincial Mariscal Nieto
4. Objetivos
Verificar el cumplimiento de los proyectos en proceso.
Revisar el cumplimiento de la normas generales
Revisar los recursos de la organizacin
Verificar los avances tecnolgicos.
5. Hallazgos Potenciales
Incumplimiento de plazos y calendarios de tratamientos y entrega de datos
Inexistencia y falta de uso de los Manuales de Operacin
Falta de planes de formacin
No existe programas de capacitacin y actualizacin al personal
6. Alcance de la auditoria
AUDITORIA DE SISTEMAS
51
7. Conclusiones:
La municipalidad no desarrolla software de paliacin si no la adquiere.
.se calificado el ciclo de desarrollo de los procesos de la entidad en su mbito
de trabajo
8. Recomendaciones
Asignar un responsable un responsable para todos los procesos del Centro de
Cmputos.
Se debe asignar un grupo para el desarrollo de sofware.
Crear y hacer uso de manuales de operacin.
Realizar funciones de operacin, diseo de sistemas.
PLANEAMIENTO
FECHAS
EJECUCION
INFORME
04
11-04
APELLIDOS Y NOMBRES
AUDITORIA DE SISTEMAS
CARGO
52
AUDITOR SUPERIOR
SI
NO
N/A
tiempos
de
respuesta
de
compostura
AUDITORIA DE SISTEMAS
53
para
establecer
su
impacto
sobre
la
mantenibilidad?
13. Se realizan varios tipos de medidas para poder estimar la
calidad del software?
14. La mantenibilidad se tiene en cuenta antes de empezar a
desarrollar?
15. El desarrollador prepara un Plan de Mantenibilidad que
establece prcticas especficas de mantenibilidad, as
como recursos y secuencias relevantes de actividades?
16. Durante el anlisis de requerimientos, los siguientes
aspectos que afectan a la mantenibilidad, son tomados en
cuenta?
Identificacin y definicin de funciones, especialmente
las opcionales.
Exactitud y organizacin lgica de los datos.
Los Interfaces (de mquina y de usuario).
Requerimientos de rendimiento.
AUDITORIA DE SISTEMAS
54
Requerimientos
impuestos
por
el
entorno
(presupuesto).
Granularidad (detalle) de los requerimientos y su
impacto sobre la trazabilidad.
nfasis del Plan de Aseguramiento de Calidad del
Software (SQAP) en el cumplimiento de las normas de
documentacin
17. La transicin del software consiste en una secuencia
controlada y coordinada de acciones para trasladar un
producto software desde la organizacin que inicialmente
ha
realizado
el
desarrollo
la
encargada
del
mantenimiento?
18. La responsabilidad del mantenimiento se transfiere a una
organizacin distinta, se elabora un Plan de Transicin?
que es lo que incluye este plan?
La transferencia de hardware, software, datos y
experiencia desde el desarrollador al mantenedor.
Las tareas necesarias para que el mantenedor pueda
implementar una estrategia de mantenimiento del
software.
19. El mantenedor a menudo se encuentra con un producto
software con documentacin?
20. Si no hay documentacin, el mantenedor deber crearla?
Realiza lo siguiente?
a. Comprender el dominio del problema y operar con el
producto software.
b. Aprender la estructura y organizacin del producto
software.
c. Determinar qu hace el producto software. Revisar las
especificaciones (si las hubiera)
21. Documentos
como
especificaciones,
manuales
de
AUDITORIA DE SISTEMAS
55
si fuese necesario?
22. El Plan de Mantenimiento es preparado por el mantenedor
durante el desarrollo del software.
23. Los elementos software reflejan la documentacin de
diseo?
24. Los productos software fueron suficientemente probados
y sus especificaciones cumplidas?
25. Los
informes
de
pruebas
son
correctos
las
Auditoria Mantenimiento:
Para hallar el SI
25
18
100%
X
X = 72
Para hallar el NO
25
7
100%
X
X = 28
AUDITORIA DE SISTEMAS
56
INFORME DE AUDITORIA
1. Identificacin del informe
Auditoria del Mantenimiento
2. Identificacin del Cliente
El rea de Informtica
3. Identificacin de la Entidad Auditada
Municipalidad Provincial Mariscal Nieto
4. Objetivos
Revisar los contratos y las clusulas que estn perfectamente definidas en
las cuales se elimine toda la subjetividad y con penalizacin en caso de
incumplimiento, para evitar contratos que sean parciales.
Verificar el cumplimiento del contrato sobre el control de fallas, frecuencia,
y el tiempo de reparacin.
Diagnstico del sistema actual de mantenimiento.
Verificar el montaje de mtodos de recopilacin de informacin en reas
especficas.
Verificar la existencia de de planes estratgicos de desarrollo.
Verificacin de la efectividad del mantenimiento actual y los desarrollos y
programas proyectados.
Verificar la optimizacin de almacenes y repuestos.
5. Hallazgos Potenciales
Prdida de control
Prdida de una fuente de aprendizaje, porque una actividad interna pasa a
ser externa.
Dependencias del suministrador.
AUDITORIA DE SISTEMAS
57
AUDITORIA DE SISTEMAS
58
Categorizar los tipos de mantenimiento del software y para cada tipo planificar
las actividades y tareas a realizar.
Elaborar un procedimiento organizado para realizar la migracin de un
producto software desde un entorno operativo antiguo a otro nuevo.
Establecer un acuerdo o contrato de mantenimiento entre el mantenedor y el
cliente y las obligaciones de cada uno estos.
Elaborar un plan de mantenimiento que incluya el alcance del mantenimiento,
quin lo realizar, una estimacin de los costes y un anlisis de los recursos
necesarios.
9. Fecha Del Informe
PLANEAMIENTO
FECHAS
EJECUCION
INFORME
04
12-04
APELLIDOS Y NOMBRES
CARGO
AUDITOR SUPERIOR
AUDITORIA DE SISTEMAS
59
PREGUNTAS
1. Existe equipos o software de SGBD
SI
NO
N/A
AUDITORIA DE SISTEMAS
60
de
AUDITORIA DE SISTEMAS
61
Auditoria Explotacin:
Para hallar el SI
24
19
100%
X
X = 79.16
Para hallar el NO
24
100%
5
X
X = 20.83
AUDITORIA DE SISTEMAS
62
INFORME DE AUDITORIA
1. Identificacin del informe
Auditoria de Base de Datos.
2. Identificacin del Cliente
El rea de Informtica
3. Identificacin de la Entidad Auditada
Municipalidad Provincial de Moquegua.
4. Objetivos
Evaluar el tipo de Base de Datos, relaciones,
plataforma o sistema
AUDITORIA DE SISTEMAS
63
AUDITORIA DE SISTEMAS
64
FECHAS
PLANEAMIENTO
EJECUCION
INFORME
011004 al 1510-04
16-1004 al 2011-04
231104 al 2811-04
CARGO
AUDITOR SUPERIOR
AUDITORIA DE SISTEMAS
65
AUDITORIA DE CALIDAD
Objetivos:
Verificar los procesos aplicables del programa de la calidad han sido desarrollados
y documentados.
Evaluar la capacidad de realizar un trabajo especifico.
SI
Se reflejan el software codificado tal como en el diseo en la
documentacin?
Fueron probados con xito los productos de software usados en
el centro de computo?
Se cumplen las especificaciones de la documentacin del
usuario del software?
Los procesos de gestin administrativa aplicados en el rea de
informtica de la institucin son lo suficientemente ptimos?
El funcionamiento del software dentro del rea de trabajo estn
de acuerdo con los requerimientos especficos?
Los documentos de gestin administrativa se cumplen
satisfactoriamente en el rea de computo?
Los productos de software que utilizan en el rea de informtica
esta de acuerdo con los estndares establecidos?
Los dispositivos de trabajo en el rea de informtica se les
AUDITORIA DE SISTEMAS
NO
N/A
X
X
X
X
X
X
X
X
66
Auditoria Calidad:
Para hallar el SI
9
100%
5
X
X = 55.5
Para hallar el NO
9
100%
4
X
X = 44.4
INFORME DE AUDITORIA
11. Identificacin del informe
Auditoria de Calidad
12. Identificacin del Cliente
El rea de Informtica
13. Identificacin de la Entidad Auditada
Municipalidad Provincial de Moquegua.
14. Objetivos
Verificar la calidad de servicio que ofrece el Software.
Evaluar el software institucional para la administracin.
Revisar que el equipo utilizado tiene suficiente poder de procesamiento y
velocidad en red para optimizar el desempeo de la organizacin.
AUDITORIA DE SISTEMAS
67
16. Conclusiones:
El Departamento de centro de cmputo presenta deficiencias sobre todo en el
debido cumplimiento de Normas de seguridad de datos y administracin de la
Base de Datos con respecto a calidad.
17. Fecha Del Informe
FECHAS
PLANEAMIENTO
EJECUCION
INFORME
011004 al 1510-04
16-1004 al 2011-04
231104 al 2811-04
CARGO
AUDITOR SUPERIOR
AUDITORIA DE SISTEMAS
68
AUDITORIA DE LA SEGURIDAD
1. Alcance de la Auditoria.Organizacin y calificacin del personal
Planes y procedimientos
Sistemas tcnicos de deteccin y comunicacin
Anlisis de puestos
Mantenimiento
Normativa
2. Objetivos de la Auditoria.Realizar un informe de Auditoria con el objeto de verificar la adecuacin de las
medidas aplicadas a las amenazas definidas, as como el cumplimiento de los
requisitos exigidos.
3. Referencia Legal:
Manual de Autoproteccin aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD
2177/96),
Normativa de
Ordenanzas Municipales,
CEPREVEN.
4. Resultados: Se obtendr:
Informe de Auditoria detectando riesgos y deficiencias en el Sistema de Seguridad.
Plan de recomendaciones a aplicar en funcin de:
o
Riesgos
Normativa a cumplir
AUDITORIA DE SISTEMAS
69
AUDITORIA LOGICA
PREGUNTAS
1. Existen
medidas,
controles,
SI
procedimientos,
normas
NO
N/A
estndares de seguridad?
2. Existe un documento donde este especificado la relacin de las
funciones y obligaciones del personal?
3. Existen
procedimientos
de
notificacin
gestin
de
incidencias?
4. Existen procedimientos de realizacin de copias de seguridad y
de recuperacin de datos?
5. Existe una relacin del personal autorizado a conceder, alterar
o anular el acceso sobre datos y recursos?
6. Existe una relacin de controles peridicos a realizar para
verificar el cumplimiento del documento?
7. Existen medidas a adoptar cuando un soporte vaya a ser
desechado o reutilizado?
8. Existe una relacin del personal autorizado a acceder a los
locales donde se encuentren ubicados los sistemas que tratan
datos personales?
9. Existe una relacin de personal autorizado a acceder a los
soportes de datos?
10. Existe un perodo mximo de vida de las contraseas?
11. Existe una relacin de usuarios autorizados a acceder a los
sistemas y que incluye los tipos de acceso permitidos?
12. Los derechos de acceso concedidos a los usuarios son los
necesarios y suficientes para el ejercicio de las funciones que
tienen encomendadas, las cuales a su vez se encuentran o
deben estar- documentadas en el Documento de Seguridad?
13. Hay dadas de alta en el sistema cuentas de usuario genricas,
es decir, utilizadas por ms de una persona, no permitiendo por
AUDITORIA DE SISTEMAS
70
AUDITORIA FISICA
PREGUNTAS
SI
NO
N/A
AUDITORIA DE SISTEMAS
70
AUDITORIA DE SISTEMAS
71
AUDITORIA DE SISTEMAS
72
la
asignacin de
Auditoria Calidad:
Para hallar el SI
39
100%
15
X
X = 38.46
Para hallar el NO
39
100%
24
X
X = 61.53
AUDITORIA DE SISTEMAS
73
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
la
administracin
de
contraseas al sistema
Evaluar el monitoreo en el acceso
al sistema.
Evaluar
las
administrador
funciones
del
acceso
del
al
sistema.
Evaluar las medidas preventivas o
correctivas en caso de siniestros n
el acceso.
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
AUDITORIA DE SISTEMAS
74
las
polticas
de
la
la
aplicacin
existencia,
y
uso
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
difusin,
de
contra
contingencias de sistemas.
Evaluar
la
aplicacin
de
la
veracidad
confidencialidad,
oportunidad
en
la
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
bases
de
datos,
informacin
software
importante
de
e
la
organizacin.
Evaluar
la
instalaciones
configuracin,
y
seguridad
del
la
seguridad
en
el
procesamiento de informacin.
Evaluar
los
procedimientos
de
de
resultados
de
los
sistemas computacionales.
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
de
inventarios
de
computacional
sus
perifricos asociados.
Evaluar
el
estado
fsico
del
de
inventarios
de
de
los
sistemas
computacionales.
Evaluar el rendimiento y uso del
software
de
los
sistemas
computacionales.
Verificar que la instalacin del
software, paqueteras y sistemas
desarrollados en la empresa sea la
adecuada
para
cubrir
las
INFORME DE AUDITORIA
1. Identificacin del informe
Auditoria de la Seguridad
2. Identificacin del Cliente
El rea de Informtica
3. Identificacin de la Entidad Auditada
Municipalidad Provincial
4. Objetivos
Hacer un estudio cuidadoso de los riesgos potenciales a los que est sometida el
rea de informtica.
Revisar tanto la seguridad fsica del Centro de Proceso de Datos en su sentido
ms amplio, como la seguridad lgica de datos, procesos y funciones informticas
ms Importantes de aqul.
5. Hallazgos Potenciales
No existe documentaciones tcnicas del sistema integrado de la Cooperativa y
tampoco no existe un control o registro formal de las modificaciones efectuadas.
No se cuenta con un Software que permita la seguridad de las libreras de los
programas y la restriccin y/o control del acceso de los mismos.
Las modificaciones a los programas son solicitadas generalmente sin notas
internas, en donde se describen los cambios o modificaciones que se requieren.
Falta de planes y Programas Informticos.
Poca identificacin del personal con la institucin
Inestabilidad laboral del personal
No existe programas de capacitacin y actualizacin al personal
6. Alcance de la auditoria
Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado
especialmente al rea de Informtica de acuerdo a las normas y dems
disposiciones aplicable al efecto.
7. Conclusiones:
Como resultado de la Auditoria de la Seguridad realizada al Municipio, por el
perodo comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004,
podemos manifestar que hemos cumplido con evaluar cada uno de los
objetivos contenidos en el programa de auditoria.
El rea de Informtica presenta deficiencias sobre todo en el debido
cumplimiento de sus funciones y por la falta de ellos.
8. Recomendaciones
Elaborar toda la documentacin tcnica correspondiente a los sistemas
implementados y establecer normas y procedimientos para los desarrollos y su
actualizacin.
Evaluar e implementar un software que permita mantener el resguardo de
acceso de los archivos de programas y an de los programadores.
Implementar y conservar todas las documentaciones de prueba de los
sistemas, como as tambin las modificaciones y aprobaciones de programas
realizadas por los usuarios
El coste de la seguridad debe considerarse como un coste ms entre todos los
que son necesarios para desempear la actividad que es el objeto de la
existencia de la entidad, sea sta la obtencin de un beneficio o la prestacin
de un servicio pblico.
El coste de la seguridad, como el coste de la calidad, son los costes de
funciones imprescindibles para desarrollar la actividad adecuadamente. Y por
"adecuadamente" debe entenderse no slo un nivel de calidad y precio que
haga competitivo el servicio o producto suministrado, sino tambin un grado de
garanta de que dichos productos o servicios van a seguir llegando a los
usuarios en cualquier circunstancia.
AUDITORIA DE SISTEMAS
80
PLANEAMIENTO
FECHAS
EJECUCION
INFORME
04
12-04
APELLIDOS Y NOMBRES
CARGO
AUDITOR SUPERIOR
AUDITORIA DE SISTEMAS
81
Normativa a cumplir
Recomendaciones
PREGUNTAS
SI
NO
N/A
organizacin
3. La gerencia de redes tiene un plan que permite modificar en
AUDITORIA DE SISTEMAS
82
5.
redes de datos?
Auditoria de Redes:
Para hallar el SI
14
100%
6
X
X = 42.85
AUDITORIA DE SISTEMAS
83
Para hallar el NO
14
100%
8
X
X = 57.14
80%
Buena
60%
Regular
40%
Mnimo
20%
No cumple
Las caractersticas
de la
Red de computo
Los componentes
fsicos
de la red de
computo
La conectividad y
las
comunicaciones
de la red de
computo
Los servicios que
proporcionan
La red de computo
Las
configuraciones ,
topologas , tipos
Y cobertura de las
redes de computo.
Los protocolos de
comunicacin
interna
de la red.
La administracin
de la red de
Computo.
AUDITORIA DE SISTEMAS
84
La seguridad de las
redes de computo .
Excelente
Bueno
Regular
Mnimo
No cumple
AUDITORIA DE SISTEMAS
85
/servidor o mainframe
La solucin a los problemas de
comunicacin de informacin y datos
en las reas de la organizacin.
Anlisis de los estudios de viabilidad y factibilidad en el diseo e instalacin de la red de cmputo en la empresa:
Evaluar y calificar el cumplimiento
de los siguientes aspectos
Excelente
Bueno
Regular
Mnimo
No cumple
Bueno
Regular
Mnimo
No cumple
Bueno
Regular
Mnimo
No cumple
Anlisis de las
redes de
multicomputadoras
Evaluar el
funcionamiento de
la cobertura de
punto a punto
Evaluar el
funcionamiento de
la tecnologa que se
usa con un solo
cable entre las
mquinas
conectadas
Evaluar el
funcionamiento de
las aplicaciones,
usos y explotacin
de las redes
Anlisis de la red de rea local (L A N)
Excelente
Evaluar el uso
adecuado y
confiable de la
tecnologa
AUDITORIA DE SISTEMAS
86
utilizada
internamente para
la transmisin de
datos.
Evaluar la
restriccin
adoptada para
establecer el
tamao de la red
Evaluar la
velocidad.
INFORME DE AUDITORIA
1. Identificacin del informe
Auditoria del Sistema de Redes
2. Identificacin del Cliente
El rea de Informtica
3. Identificacin de la Entidad Auditada
Municipalidad Provincial de Moquegua.
4. Objetivos
Evaluar el tipo de red, arquitectura topologa, protocolos de comunicacin, las
conexiones, accesos privilegios, administracin y dems aspectos que repercuten
en su instalacin.
Revisin del software institucional para la administracin de la red.
5. Hallazgos Potenciales
No se cuenta con un Software que permita la seguridad de restriccin y/o control a
la Red.
FECHAS
PLANEAMIENTO
EJECUCION
INFORME
011004 al 1510-04
16-1004 al 2011-04
231104 al 2811-04
CARGO
AUDITOR SUPERIOR
AUDITORIA DE APLICACIONES
1. Alcance de la Auditoria
Seleccin y evaluacin del personal de le propia institucin.
Estndares de Funcionamiento y Procedimientos del rea de informtica
Gestin Econmica del rea de Informtica
Estndares de funcionamiento y procedimiento del rea de informtica.
2. Objetivos
Realizar un informe de Auditoria con el objeto de verificar la adecuacin de los
estndares de funcionamiento y procedimiento del rea de informtica.
PREGUNTAS
SI
NO
N/A
desarrollo de la dependencia?
3. Ofrece el plan maestro la atencin de solicitudes urgentes de
los usuarios?
4. Asigna el plan maestro un porcentaje del tiempo total de
X
X
X
X
X
X
X
Auditoria de Aplicaciones:
AUDITORIA DE SISTEMAS
90
Para hallar el SI
11
100%
6
X
X = 54.54
Para hallar el NO
11
100%
5
X
X = 45.45
INFORME DE AUDITORIA
1. Identificacin del informe
Auditoria de Aplicaciones
2. Identificacin del Cliente
El rea de Informtica
3. Identificacin de la Entidad Auditada
Municipalidad Provincial Mariscal Nieto
4. Objetivos
Evaluar el papel del rea de informtica en la Institucin
Evaluar el plan estratgico del rea de Informtica.
Evaluar la seguridad de los programas en el sentido de garantizar que los
ejecutados por la maquina sean exactamente los previstos y no otros.
Evaluar la existencia del plan operativo anual del rea de Informtica
Verificar el cumplimiento de los objetivos, planes y presupuestos contenidos en
el plan de sistemas de informacin.
AUDITORIA DE SISTEMAS
91
AUDITORIA DE SISTEMAS
92
PLANEAMIENTO
FECHAS
EJECUCION
INFORME
04
11-04
APELLIDOS Y NOMBRES
CARGO
AUDITOR SUPERIOR
AUDITORIA DE SISTEMAS
93
SI
NO
Fisica
31.1
68.86
Ofimatica
67.5
18.91
Direccion
70.58
29.41
Explotacin
65
35
Desarrollo
72.97
22.02
Mantenimiento
72
28
Base de Datos
79.16
20.83
Calidad
55.5
44.4
Seguridad
38.46
61.53
Redes
42.85
57.14
Aplicacion
54.54
45.45
Auditoria
AUDITORIA DE SISTEMAS
94
CONCLUSIN
Al realizar el anterior trabajo se investigo acerca de todos los elementos que componen
La Municipalidad Provincial de Mariscal Nieto, tanto materiales como humanos, con lo
anterior, se puede dar uno cuenta auditar una institucin no es nada fcil, ya que si falla
un elemento del que se compone, trae consigo un efecto domino, que hace que los
dems elementos bajen su rendimiento, o en el peor de los casos sean causantes del
fracaso de la institucin.
Es mentira que lo ms importante para una empresa sea el equipo informtico con el que
se trabaja. El factor humano es lo mas importante, ya que si se cuenta con tecnologa de
punta, pero con personal no calificado o en desacuerdo con el desarrollo del Centro de
Computo optara por renunciar, o bien por seguir rezagando al mismo Asimismo la
capacitacin es importantsima, ya que si no hay capacitacin permanente, el personal
tcnico de la empresa decide abandonarla para buscar nuevos horizontes y mayor
oportunidad, aun sacrificando el aspecto econmico.
El aspecto organizativo tambin debe estar perfectamente estructurado, y las lneas de
mando deben estar bien definidas, evitando de esta manera la rotacin innecesaria de
personal, la duplicidad de funciones, las lneas alternas demando, etc. y que conllevan al
desquiciamiento de la estructura organizacional.
Hablando de seguridad, es indispensable el aseguramiento del equipo y de las
instalaciones, as como de la informacin, el control de los accesos tambin es punto
fundamental para evitar las fugas de informacin o manipulacin indebida de esta.
El Departamento de informtica es la parte medular de la empresa, es en donde los datos
se convierten en informacin til a las diferentes reas, es donde se guarda esta
informacin y por consecuencia, donde en la mayora de los casos se toman las
decisiones importantes para la empresa.
Adems al realizar la presente auditoria nos damos cuenta que dentro del ambiente
empresarial es de vital importancia contar con la informacin lo ms valiosa que sea, a
tiempo, de forma oportuna, clara, precisa y con cero errores para que se constituya en
una herramienta poderosa para la toma de decisiones, vindose reflejada en la obtencin
de resultados benficos a los fines de la organizacin y justificar el existir de toda la
organizacin o empresa.
Como resultado de la Auditoria Informtica realizada a la Municipalidad Provincial de
Mariscal Nieto, por el perodo comprendido entre el 01 de Setiembre al 29 de Diciembre
del 2004, podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos
contenidos en el programa de auditoria.
El rea de Informtica presenta deficiencias en:
En su Seguridad
En el rea Fsica
AUDITORIA DE SISTEMAS
95
En de Redes
Y en el debido cumplimiento de sus funciones.
Podremos estar tranquilos y seguros que nuestra funcin de auditores est funcionando
como se debe, y saber que cuando se siguen estos lineamientos se obtendrn sistemas
que no van a necesitar mantenimiento excesivo, que el cmputo va a ser parte de la
solucin y no parte del problema, como lo es hoy en da.
AUDITORIA DE SISTEMAS
96
AUDITORIA DE SISTEMAS
97
Atentamente.
AUDITORIA DE SISTEMAS
98
AUDITORIA DE SISTEMAS
99
AUDITORIA DE SISTEMAS
100
Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso.
Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema.
El sistema informtico no solicita al usuario, el cambio del Password en forma mensual.
b. Efectos y/o implicancia probables
Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra dividida
entre el rea de sistema y los usuarios finales.
La falta de seguridad en la utilizacin de los Password, podran ocasionar fraudes por
terceros.
c. ndice de importancia establecida
2 ( dos )
d. Sugerencia
Implementar algn software de seguridad y auditoria existente en el mercado o desarrollar
uno
propio.
Establecer una metodologa que permita ejercer un control efectivo sobre el uso o
modificacin
de los programas o archivos por el personal autorizado.
AUDITORIA DE SISTEMAS
101
AUDITORIA DE SISTEMAS
102
Almacenamiento: 35 GB de 10 K RPM
Conexin: Ethernet 10/100
Es un equipamiento ideal para las funciones que cumple y su configuracin es aceptable.
Tiene
posibilidades de crecimiento y el fabricante cuenta con repuestos y mantenimientos que
garantizan la
buena utilizacin del mismo.
Equipamiento Perifrico
La cooperativa cuenta en su casa central con 30 PCs de las cuales el 50%(cincuenta por
ciento)
aproximadamente son Pentium III de 550Mhs con 64 MB de memoria y discos de 5 GB. El
resto son de
menor porte, pero el parque de computadoras personales es suficientemente apto para los
requerimientos actuales.
Las impresoras: de sistema (conectadas al equipo central) son de marca Epson 1170 y Epson
1200.
Adems cuentan con equipos de HP 560 de chorro de tintas conectadas a algunos equipos.
Equipamiento en Sucursales
Las sucursales cuentan con PCs AMD Athlon de 750 Mhz, 64 de memoria y discos de 5 GB.
Equipamiento holgadamente apto para las funciones que cumple.
Las sucursales tienen una impresora matricial del sistema y algunos usuarios cuentan con
impresoras a
chorro de tinta.
Cableado
El cableado es estructurado y con cables del tipo UTP categora 5, tanto en sucursales como
rea Informtica
Software
Software de Base
El sistema operativo con el que cuenta la Pentium IV es el de Windows Server 2000 que posee
una
importante estructura de seguridad.
Con sistema de red Windows 2000. Base de datos FOX .
AUDITORIA DE SISTEMAS
103
ANEXOS
AUDITORIA DE SISTEMAS
104
Encuesta
1. El rea cumple con las funciones asignadas en el MOF de la Institucin?
2. Cuntas personas laboran en el centro de cmputo?
Laboran 4 Personas.
3. Considera que el rea de trabajo es la adecuada o apropiada para el desempeo de
sus labores?
4. Considera que es adecuado el nmero de personas que laboran en el rea?
5. Se deja de realizar alguna actividad por falta de personal?
6. Esta el personal que utiliza el computador educado en las necesidades de
seguridad?
7. Con respecto a la parte fsica de la OCI; se cumple con las normas de seguridad
establecidas para los equipos de cmputo?
8. Esta el rea del computador libre de material combustible, como suministro de papel
en exceso de las necesidades inmediatas?
9. Existe en la OCI extinguidores de incendio claramente identificados para lo que uso
se refiere?
10. Sobre el mantenimiento del equipo; cuenta con las herramientas necesarias para
brindar un buen servicio en el momento requerido?
11. El rea cuenta con un respectivo plan de contingencias?
12. Si cuenta con un plan de contingencias Se han identificado las aplicaciones vitales
para operacin del rea?
AUDITORIA DE SISTEMAS
105
AUDITORIA DE SISTEMAS
106
CONSEJOS
1. Utiliza un buen antivirus y actualzalo frecuentemente.
2. Comprueba que tu antivirus incluye soporte tcnico, resolucin urgente de nuevos
virus y servicios de alerta.
3. Asegrate de que tu antivirus est siempre activo.
4. Verifica, antes de abrir, cada nuevo mensaje de correo electrnico recibido.
5. Evita la descarga de programas de lugares no seguros en Internet.
6. Rechaza archivos que no hayas solicitado cuando ests en chats o grupos de noticias
(news)
7. Analiza siempre con un buen antivirus los disquetes que vayas a usar en tu ordenador.
8. Retira los disquetes de las disqueteras al apagar o reiniciar tu ordenador.
9. Analiza el contenido de los archivos comprimidos.
10. Mantente alerta ante acciones sospechosas de posibles virus.
11. Aade las opciones de seguridad de las aplicaciones que usas normalmente a tu
poltica de proteccin antivirus.
12. Realiza peridicamente copias de seguridad.
13. Mantente informado.
14. Utiliza siempre software legal.
15. Exige a los fabricantes de software, proveedores de acceso a Internet y editores de
publicaciones, que se impliquen en la lucha contra los virus.
AUDITORIA DE SISTEMAS
107
TITULO I
DISPOSICIONES GENERALES
ARTICULO 1.- El presente ordenamiento tiene por ob jeto estandarizar y contribuir al
desarrollo informtico de las diferentes unidades administrativas de la Empresa NN.
ARTICULO 2.- Para los efectos de este instrumento se entender por:
Comit: Al equipo integrado por la Direccin , Subdireccin, los Jefes departamentales y
el personal administrativo de las diferentes unidades administrativas (Ocasionalmente)
convocado para fines especficos como:
Adquisiciones de Hardware y software
Establecimiento de estndares de la Empresa NN tanto de hardware como de
software
Establecimiento de la Arquitectura tecnolgica de grupo.
Establecimiento de lineamientos para concursos de ofertas
Administracin de Informtica: Est integrada por la Direccin, Subdireccin y Jefes
Departamentales, las cuales son responsables de:
Velar por el funcionamiento de la tecnologa informtica que se utilice en las
diferentes unidades administrativas
Elaborar y efectuar seguimiento del Plan Maestro de Informtica
Definir estrategias y objetivos a corto, mediano y largo plazo
Mantener la Arquitectura tecnolgica
Controlar la calidad del servicio brindado
Mantener el Inventario actualizado de los recursos informticos
Velar por el cumplimiento de las Polticas y Procedimientos establecidos.
ARTICULO 3.- Para los efectos de este documento, s e entiende por Polticas en
Informtica, al conjunto de reglas obligatorias, que deben observar los Jefes de Sistemas
AUDITORIA DE SISTEMAS
108
responsables del
hardware y
software existente en
la
Empresa NN,
siendo
AUDITORIA DE SISTEMAS
109
AUDITORIA DE SISTEMAS
110
AUDITORIA DE SISTEMAS
111
e. Hojas de clculo:
Excel
f.
Procesadores de palabras:
Word
g. Diseo Grfico:
Page Maker, Corel Draw
h. Programas antivirus.
F-prot, Command Antivirus, Norton Antivirus
i.
Correo electrnico
Notes Mail
j.
Browser de Internet
Netscape
AUDITORIA DE SISTEMAS
112
En la generalidad de los casos, slo se adquirirn las ltimas versiones liberadas de los
productos seleccionados, salvo situaciones especficas que se debern justificar ante el
Comit. Todos los productos de Software que se adquieran debern contar con su
licencia de uso, documentacin y garanta respectivas.
ARTICULO 14.- Todos los productos de Software que se utilicen a partir de la fecha en
que entre en vigor el presente ordenamiento, debern contar con su licencia de uso
respectiva; por lo que se promover la regularizacin o eliminacin de los productos ya
instalados que no cuenten con la licencia respectiva.
ARTICULO 15.- Para la operacin del software de re d se debe tener en consideracin lo
siguiente:
a) Toda la informacin institucional debe invariablemente ser operada a travs de un
mismo tipo de sistema manejador de base de datos para beneficiarse de los mecanismos
de integridad, seguridad y recuperacin de informacin en caso de falla del sistema de
cmputo.
b) El acceso a los sistemas de informacin, debe contar con los privilegios niveles de
seguridad de acceso suficientes para garantizar la seguridad total de la informacin
institucional. Los niveles de seguridad de acceso debern controlarse por un
administrador nico y poder ser manipulado por software. Se deben delimitar las
responsabilidades en cuanto a quin est autorizado a consultar y/o modificar en cada
caso la informacin, tomando las medidas de seguridad pertinentes para cada caso.
c) El titular de la unidad administrativa responsable del sistema de informacin debe
autorizar y solicitar la asignacin de clave de acceso al titular de la Unidad de Informtica.
d) Los datos de los sistemas de informacin, deben ser respaldados de acuerdo a la
frecuencia de actualizacin de sus datos, rotando los dispositivos de respaldo y
guardando respaldos histricos peridicamente. Es indispensable llevar una bitcora
oficial de los respaldos realizados, asimismo, las cintas de respaldo debern guardarse en
un lugar de acceso restringido con condiciones ambientales suficientes para garantizar su
conservacin. Detalle explicativo se aprecia en la Poltica de respaldos en vigencia.
e) En cuanto a la informacin de los equipos de cmputo personales, la Unidad de
Informtica recomienda a los usuarios que realicen sus propios respaldos en la red o en
medios de almacenamiento alternos.
AUDITORIA DE SISTEMAS
113
f) Todos los sistemas de informacin que se tengan en operacin, deben contar con sus
respectivos manuales actualizados. Uno tcnico que describa la estructura interna del
sistema as como los programas,
catlogos y archivos que lo conforman y otro que describa a los usuarios del sistema, los
procedimientos para su utilizacin.
h) Los sistemas de informacin, deben contemplar el registro histrico de las
transacciones sobre datos relevantes, as como la clave del usuario y fecha en que se
realiz (Normas Bsicas de Auditora y Control).
i )Se deben implantar rutinas peridicas de auditora a la integridad de los datos y de los
programas de cmputo, para garantizar su confiabilidad.
ARTICULO 16.- Para la contratacin del servicio de desarrollo o construccin de
Software aplicativo se observar lo siguiente:
Todo proyecto de contratacin de desarrollo o construccin de software requiere de un
estudio de factibilidad que permita establecer la rentabilidad del proyecto as como los
beneficios que se obtendrn del mismo.
Todo proyecto deber ser aprobado por el Comit en base a un informe tcnico que
contenga lo siguiente:
Bases del concurso (Requerimientos claramente especificados)
Anlisis de ofertas (Tres oferentes como mnimo) y Seleccin de oferta ganadora
Bases del Concurso
Las bases del concurso especifican claramente los objetivos del trabajo, delimita las
responsabilidades de la empresa oferente y la contratante.
De las empresas oferentes:
Los requisitos que se deben solicitar a las empresas oferentes son:
a. Copia de la Cdula de Identidad del o los representantes de la compaa
b.
AUDITORIA DE SISTEMAS
114
La carta con la oferta definitiva del contratista debe estar firmada por el
representante legal de la compaa oferente.
De la contratante
Las responsabilidades de la contratante son:
a. Delinear adecuadamente los objetivos y alcance del aplicativo.
b. Establecer los requerimientos del aplicativo
c. Definir responsabilidades de la contratista y contratante
d. Establecer campos de accin
Anlisis de ofertas y Seleccin de oferta ganadora:
Para definir la empresa oferente ganadora del concurso, el Comit establecer una
reunin en la que se debe considerar los siguientes factores:
a. Costo
b. Calidad
c. Tiempo de permanencia en el mercado de la empresa oferente
d. Experiencia en el desarrollo de aplicativos
e. Referencias comprobadas de Clientes
f.
AUDITORIA DE SISTEMAS
115
AUDITORIA DE SISTEMAS
116
AUDITORIA DE SISTEMAS
117
AUDITORIA DE SISTEMAS
118
Sistema Operativo
Software
Comunicaciones
Base de Datos
Proceso
Aplicaciones
Por ello se establecen los siguientes lineamientos:
Mantener claves de acceso que permitan el uso solamente al personal autorizado
para ello.
Verificar la informacin que provenga de fuentes externas a fin de corroborar que
estn libres de cualquier agente externo que pueda contaminarla o perjudique el
funcionamiento de los equipos.
Mantener plizas de seguros de los recursos informticos en funcionamiento
ARTICULO 30.- En ningn caso se autorizar la util izacin de dispositivos ajenos a los
procesos informticos de la unidad administrativa.
Por consiguiente, se prohibe el ingreso y/o instalacin de hardware y software particular,
es decir que no sea propiedad de una unidad administrativa de la Empresa NN, excepto
en casos emergentes que la Direccin autorice.
CAPITULO III
PLAN DE CONTINGENCIAS
ARTICULO 31.- La Administracin de Informtica cre ar para las empresas y
departamentos un plan de contingencias informticas que incluya al menos los siguientes
puntos:
a) Continuar con la operacin de la unidad administrativa con procedimientos informticos
alternos;
b) Tener los respaldos de informacin en un lugar seguro, fuera del lugar en el que se
encuentran los equipos.
c) Tener el apoyo por medios magnticos o en forma documental, de las operaciones
necesarias para reconstruir los archivos daados;
AUDITORIA DE SISTEMAS
119
d) Contar con un instructivo de operacin para la deteccin de posibles fallas, para que
toda accin correctiva se efecte con la mnima degradacin posible de los datos;
e) Contar con un directorio del personal interno y del personal externo de soporte, al cual
se pueda recurrir en el momento en que se detecte cualquier anomala;
f) Ejecutar pruebas de la funcionalidad del plan
f) Mantener revisiones del plan a fin de efectuar las actualizantes respectivas
CAPITULO IV
ESTRATEGIAS
ARTICULO 32.- La estrategia informtica de la DDT se consolida en el Plan Maestro de
Informtica y est orientada hacia los siguientes puntos:
a) Plataforma de Sistemas Abiertos;
b) Descentralizacin del proceso de informacin
c) Esquemas de operacin bajo el concepto cliente/servidor
d) Estandarizacin de hardware, software base, utilitarios y estructuras de datos
e) Intercomunicacin entre unidades y equipos mediante protocolos estndares
f) Intercambio de experiencias entre Departamentos de Informtica.
g) Manejo de proyectos conjuntos con las diferentes unidades administrativas.
h) Programa de capacitacin permanente para los colaboradores de la empresa del rea
de informtica
i) Integracin de sistemas y bases de datos de la Empresa NN, para tener como meta final
un Sistema Integral de Informacin Corporativo.
j) Programacin con ayudas visuales e interactivas. Facilitando interfases amigables al
usuario final.
k) Integracin de sistemas teleinformticos (Intranet De grupo empresarial).
ARTICULO 33.- Para la elaboracin de los proyectos
informticos y para la
AUDITORIA DE SISTEMAS
120
DISPOSICIONES TRANSITORIAS
ARTICULO PRIMERO.- Las disposiciones aqu enmarcadas, entrarn en vigor a partir del
da siguiente de su difusin.
ARTICULO SEGUNDO.- Las normas y polticas objeto de este documento, podrn ser
modificadas o adecuadas conforme a las necesidades que se vayan presentando,
mediante acuerdo del Comit Tcnico de Informtica de la Empresa NN (CTI); una vez
aprobadas dichas modificaciones o adecuaciones, se establecer su vigencia.
ARTICULO TERCERO.- Las disposiciones aqu descritas constan de forma detallada en
los manuales de polticas y procedimientos especficos existentes.
ARTICULO CUARTO.- La falta de desconocimiento de las normas aqu descritas por
parte de los colaboradores no los libera de la aplicacin de sanciones y/o penalidades por
el incumplimiento de las mismas.
AUDITORIA DE SISTEMAS
121
Bibliografa
Audinet : http://www.audinet.org
Sans Institute : http://www.sans.org
AUDITORIA INFORMATICA. Un enfoque prctico
Mario Piatini Emilio del Peso Ed. Rama
AUDITORIA DE LOS SISTEMAS DE INFORMACIN
Rafael Bernal y scar Coltell Univ. Politcnica de Valencia
AUDITORIA DE SISTEMAS
122