Академический Документы
Профессиональный Документы
Культура Документы
Universidad
Nacional de
Ingeniera
UNI-RUACS
Auditora Informtica
en Laboratorios
ISNAYA
Contenido
Introduccin................................................................................................... 2
Objetivos........................................................................................................ 3
Objetivo General del Trabajo.......................................................................3
Objetivos especficos................................................................................... 3
Justificacin.................................................................................................... 4
Objetivos de la Auditora................................................................................ 5
Objetivo General......................................................................................... 5
Alcance de la Auditora............................................................................... 5
Objetivo Especifico...................................................................................... 5
Hallazgos y recomendaciones........................................................................6
Metodologa de Trabajo................................................................................ 10
Conclusiones:............................................................................................... 11
Recomendaciones:....................................................................................... 12
Anexos.......................................................................................................... 13
Levantamiento de activos.........................................................................13
Matriz de Riesgo.................................................................................... 13
Plan de contingencia................................................................................. 15
Cuestionarios............................................................................................ 19
Revisin de Control Interno General.......................................................19
Cuestionario sobre Planes generales.....................................................20
Cuestionario para la evaluacin del diseo y prueba de los sistemas. . .21
Cuestionario sobre controles de salida..................................................26
Cuestionario de control de medios de almacenamiento masivo............27
SEMESTRAL ( ) OTRA ( )..........................................................................29
Cuestionario de Control de mantenimiento............................................30
Cuestionario Sobre el orden y cuidado del centro de cmputo..............30
Cuestionario para la Evaluacin de la configuracin del sistema de
cmputo................................................................................................. 31
Cuestionario de Evaluacin de la Seguridad fsica.................................31
Seguridad de la Informacin..................................................................37
Polticas y Procedimientos de Seguridad................................................37
Seguridad Lgica................................................................................... 37
Entrevista al Gerente............................................................................. 40
Introduccin.
Objetivos.
Objetivo General del Trabajo.
Objetivos especficos.
Realizar un estudio preliminar del funcionamiento informtico
de la empresa a estudiar.
Obtener informacin por medio de la observacin y toma de
notas, para identificar las debilidades al nivel institucional.
Presentar un informe que proponga el planteamiento de mejoras al uso
y rendimiento de los activos informticos.
Justificacin.
Objetivos de la Auditora
Objetivo General.
Efectuar una Evaluacin de las medidas y revisiones para
caracterizar los riesgos y prdidas que se podran ocasionar, a
efecto de ayudar en la toma de decisiones y mejora de los
procesos en la Laboratorio ISNAYA, Estel
Alcance de la Auditora.
Se evaluara las reas de la empresa en las que se cuenta con
activo informtico.
Gerencia
Control de calidad (Laboratorio Fsico qumico /
microbiolgico.
Farmacia / Contabilidad.
Produccin (abarcamos esta rea porque la
responsable de produccin manipula activos
informticos).
Objetivo Especifico.
Evaluar la integridad y confidencialidad del software SIC-PROD
Hallazgos y recomendaciones.
Condicin 1
Uso de antivirus pirata y sin licencia.
Criterio
SIBOIF Capitulo #5 Administracin de tecnologa de informacin
Artculo 15.
Causa
La empresa dispone de un antivirus crackeado.
Efecto
1-Mala imagen de la empresa
2-Poco soporte en lnea
Recomendacin
Adquirir un antivirus con licencia.
Condicin 2
El cableado de datos no se encuentra bien distribuido.
Criterio
SIBOIF Capitulo# 5 Artculo 18 administraciones de hardware y
comunicaciones Inciso C.
Causa
La empresa no cuenta con una buena distribucin de red de datos.
Efecto
Cada de la red.
Cables daados y posibles enredos entre los cables.
Mala presentacin de la empresa
Recomendacin
7
Condicin 3
Manejo del software no oficial para uso ajenos de la empresa.
Criterio
SIBOIF Capitulo# 5 articulo 16 Administracin de software
Inciso A
Causa
Las computadoras estn propensas a cualquier instalacin y
manipulacin de la informacin.
Efecto
Tiempos ociosos de los trabajadores.
Desperdicio del los recursos de la Empresa.
Posibles infecciones de virus.
Recomendacin
Restringir permisos de instalacin
Restriccin contra lectura
Prohibicin de aplicaciones de seos
Condicin 4
La empresa no cuenta con un plan de contingencia.
Criterio
SIBOIF Capitulo #8 artos 36 Participacin de tecnologa de la
informacin en la continuidad de negocio. Inciso B
Causa
La empresa no cuenta con la informacin necesaria a la hora de que
ocurra un siniestro.
8
Efecto
El personal no cuenta con la capacitacin necesaria a la hora que
ocurra un siniestro.
Despus de que ocurra un desastre en la empresa los trabajadores
no van a saber cmo actuar.
Recomendacin.
Elaborar un plan de contingencia
Realizar Simulacros para estar preparados en caso de cualquier
desastre natural
Condicin 5
La empresa no realiza una evaluacin de riesgos.
Criterio
Capitulo #9 Arto 38. Evaluacin de Riesgo tecnolgico.
Causa
La empresa no realiza una autoevaluacin en cuanto a la informtica.
Efecto
Mala actualizacin de los Riesgos y plan de contingencia de la
empresa.
Recomendaciones
Evaluacin de riesgos al menos una vez al ao.
Condicin 6
En la Empresa no tiene un horario de respaldo o back up de la
informacin. Se realiza pero de manera desordenada y en un disco
externo que est dentro de la empresa y todos los trabajadores lo
manipulan
Criterio
9
Recomendacin
Implantar polticas y controles de realizacin de respaldo
peridicamente.
10
Metodologa de Trabajo.
ESTIMADAS
2 Horas
empresa
(Misin,
organizacin;
Plano
Visin,
Objetivos,
de
Empresa,
la
Recopilacin
ENCARGADOS
Janacely
Gonzlez
Meybell
Zeledn
Alicia A.
Tania
Morales
de
la
informacin
11
Conclusiones:
Se pudo desarrollar la auditoria informtica, con algunas limitantes pero no
fueron un grave problema. Se realizo un estudio preliminar del
funcionamiento informtico de la empresas se encontraron lo que amenaza
a los activos. Se obtuvo la informacin por medio de encuestas formales e
informales, con la observacin de las actividades cotidianas y se presenta
este informe como una gua bsica para la Laboratorios ISNAYA.
Se cumpli con el alcance de la auditoria y en cada una de las reas se
evalu la integridad y confidencialidad del software, se valoro la seguridad
de los activos informticos tanto PCs, como Servidor y se realizo la matriz
de riesgos para estos y un plan de contingencia de acuerdo a las amenazas
que se definieron estn presentes en la institucin.
12
Recomendaciones:
Se recomienda la compra de software original para evitar las fallas de
estos software, distribuir el cableado para evitar accidentes y seal
dbil del servidor a las PCs, administrar las pginas web y los
recursos de software SIC-PROD LAB que tiene acceso los usuarios
para evitar los accidentes de prdida de informacin.
Contratar a un ingeniero de sistemas que este fijo en la empresa y
este se encargue de dale el adecuado mantenimiento a los activos y
que no sea un mantenimiento porque se presento una falla o error en
las aplicaciones, realizar horarios, polticas de respaldo de seguridad
de la base de datos e informacin de inters para la empresa.
Hacer un documento en el que se definan todas las operaciones de
cada trabajador y el acceso que estos deben de tener en las
computadoras y los permisos de manipulacin de estas.
13
Anexos.
Levantamiento de activos.
Tipo
Tecnologa
Tecnologa
Tecnologa
Descripcin
PC (servidor)
PC Porttil
PC
Propietario
Marvin Palma
Marvin Palma
Karla Salcedo
Tecnologa
PC (contabilidad)
Vernica Algaba
Tecnologa
Tecnologa
PC (produccin)
PC
Jamileth Serrato
Augusto
Fernndez
Ubicacin
Gerencia
Gerencia
Farmacia /
recepcin
Farmacia /
contabilidad
Produccin
Laboratorio Fsico
Qumico /
Microbiolgico.
Disponibilidad
5 (debe estar
disponible al
100%)
2 (Media baja)
PCs
Software SICPROD LAB
5 (debe estar
disponible el
99%)
Integridad
5 (completo y al
correcto al
menos 99%)
1 (No es
relevante)
5 (tiene que
estar correcto y
completo al
menos 99%)
Confidencialidad
4 (Daos muy
altos)
2 (Media baja)
4 (daos muy
altos)
Matriz de Riesgo
Pcs
Amenazas
Incendios
Virus
Robo
Perdida de
informacin
Impactos
9
7
9
7
probabilidad
Alta
Baja
Baja
Baja
vulnerabilidad
Media
Alta
Media
Alta
Total
riesgo
9
8
7
8
32
PC Servidor
Amenazas
Incendios
Virus
Robo
Impactos
9
9
9
probabilidad
Meida
Alta
Baja
vulnerabilidad
Alta
Media
Media
riesgo
8
9
7
14
Alta
Media
Total
9
33
Segn el anlisis de riesgo que se realizo se determin que los activos que
presenta mayor riesgo es la PC Servidor, debido a la importancia de este. A
los software que contiene y aplicaciones fundamentales para el
funcionamiento diario. El acceso fsico tiene poca seguridad dado que est
en la oficina del gerente y no se mantiene asegurada la perta de entrada.
No cuenta con las condiciones ambientales para la seguridad trmica de
este.
Las PCs cuenta con una seguridad dbil, pero la informacin que se contiene
en ellas no es tan relevante. Es de importancia mencionar que el software
es pirata, no tienen una proteccin antivirus buena.
Plan de contingencia
Contramedida
Sub-plan
Tcnica
organizativa
Humana
Recursos
15
Respon
le
Respaldo
Emergencia
Recuperacin
Aqu la
empresa
tendra
Extintores
contra
incendios.
Detectores
de humo.
Salidas de
emergenci
a.
Equipos
informtic
os de
respaldo
Al
presentars
e el
desastre
se debe
asegurar
en primer
lugar la
seguridad
de los
trabajador
es
si ha
ocurrido
un
desastre lo
que se
tiene que
hacer es
verificar
los daos
La empresa
contara con
un seguro
contra
incendios
tambin se le
darn una
charla a los
trabajadores
en caso de
que esto
sucediera.
Formacin para
actuar en caso de
incendio.
Designacin de un
responsable de
sala.
Asignacin de roles
y responsabilidades
para la copia de
respaldo.
1.
Viabilidad
tcnica.
Se deben
seguir las
medidas de
emergencia
ante
cualquier
desastre que
se d en las
instalaciones
de la
empresa
El encargado
Analizara el
desarrollo y el
cumplimiento de las
prevenciones del
plan.
Hacer en
determinado
tiempo
simulacros
para que a la
hora de un
incendio el
personal este
prevenido
gerente
Se deber
documentar
todos los
daos de
hardware, del
local y de
informacin
perdida en el
incendio.
Cada trabajador de
la empresa deber
de realizar una
evaluacin de las
prdidas que
hubieron durante el
incendio
Impresora
Papel,
Computadora
gerente
2. Especificac
in de
Requerimie
ntos.
16
Marvin
palma
Gerente
laborato
ISNAYA
Cuestionarios
Revisin de Control Interno General
REF
PREGUNTAS
1. Actualmente se cuenta
con una grfica de la
organizacin?
2. Tiene la compaa
auditor interno? De quin
depende? Describir
Brevemente el trabajo del
auditor interno.
3. Se usa un catlogo de
equipo, software y funciones
del personal?
4. Actualmente hay algn
manual o instructivo de
asignacin de equipo, de
software, de mantenimiento,
de operacin?
5. Se preparan y entregan a
la alta gerencia
mensualmente reportes de
los activos tangibles o
intangibles tecnolgicos de
la empresa?
6. Se tiene control
presupuestal de los costos y
gastos?
7. Quin autoriza las
compras de nuevos
Equipos?
8.Se hacen estudios y se
documenta todo aquello que
sirve para la determinacin
SI
NO
N/A
OBSERVACIO
NES
GERENTE
17
REF
PREGUNT A S
1. Existe una lista de proyectos de
sistema de procedimiento de
informacin y fechas programadas
de implantacin que puedan ser
considerados como plan maestro?
2. Escribir la lista de proyectos a
corto plazo y largo plazo
SI
N
O
N/ A
Gerente
OBSERV A
CIONES
El gerente y
la junta
directiva de
la
fundacin
se
encargan
de evaluar
este
aspecto
junta
directiva de
la
fundacin
junta
directiva de
18
la
fundacin
junta
directiva de
la
fundacin
junta
directiva de
la
fundacin
*
*
Analista.
*
Programadores.
Gerente de departamento.
Auditores internos.
*
*
19
Asesores.
Otros.
Son libres
de
hacerlo a
su modo.
20
Estudio de la definicin
Diagrama de bloques
Tabla de decisiones
Codificacin
*
11.Es enviado a captura o los
programadores capturan?
*
*
*
*
*
*
Revisin de resultados
*
*
*
Documentar el programa
21
9. Qu documentacin
acompaa al programa cuando se
entrega?
Manual de
uso
SEMESTRAL ( ) OTRA ( )
26. Existe un responsable en caso de falla? SI ( ) NO (* )
27. Explique que polticas se siguen para la obtencin de archivos de
respaldo?
28. Existe un procedimiento para el manejo de la informacin? SI ( ) NO (* )
26
31
32
Seguridad Lgica
En la tabla siguiente, relacione los mtodos que usa el cliente para restringir
el acceso lgico a los siste mas de aplicacin y a la informacin:
Mtodo de Restriccin de Acceso
Tcnicas de Autentificacin
Cuenta de acceso (nombre de usuario y contrasea) nica,
con permisos pre-establecidos.
36
Entrevista al Gerente
Cul es su nombre y cargo en la empresa?
Cules son sus funciones
CONTRATO
Contrato de presentacin de servicios profesionales de auditora en
informtica que celebran por una parte LAVORATORIOS ISNAYA.
Representado por Marvin Palma. En su carcter de Gerente General y
que en lo sucesivo se denomina al cliente, por otra parte representada por
Janacely Gonzlez Dvila quien se denominara el auditor, de conformidad
con las declaraciones y clusulas siguientes:
Declaraciones
1. El cliente declara:
2. Declara el auditor:
38
CLAUSULAS
Primera. Objetivo
El auditor se obliga a prestar al cliente los servicios de auditora en
informtica para llevarla a cabo la evaluacin de la direccin de informtica
del cliente, que se detalla en la propuesta de servicios anexa que, firmada
por las partes, forma parte integrante del contrato.
Segunda. Alcance del trabajo
El alcance de los trabajos que llevara a cabo el auditor dentro de este
contrato son:
a) evaluaciones de la direccin de informtica en lo que corresponde a:
-su organizacin -capacitacin
-estructura -planes de trabajo
-Recursos humanos -controles
-Normas y polticas -estndares
b) Evaluacin de los sistemas
-evaluacin de los diferentes sistemas en operacin, (flujo de informacin,
procedimientos, documentacin, redundancia, organizacin de archivos,
estndares de programacin, controles, utilizacin de los sistemas).
-opinin de los usuarios de los diferentes sistemas
-evaluacin de avance de los sistemas en desarrollo y congruencia con el
diseo general
-evaluacin de prioridades y recursos asignados (humanos y equipo de
cmputo).
39
41
_______________________ ____
__________________________
EL CLIENTE
EL AUDITOR
42