EMPRESA:Centro Cuesta Nacional (CCN)

AUDITOR:

PERIODO: 13 de octubre. Al 4 Dic. Del 2009.

REA AUDITADA: Departamento de IT.

PLAN DE AUDITORIA DE BASE DE DATOS

Objetivos De La Auditoria:
Objetivo General:
Realizar una evaluacin del sistema gestor de base de datos (SGBD) actual usado por la empresa, su administracin,
seguridad, confidencialidad, acceso, uso de los datos.
Objetivos Especficos:

Determinar la capacidad del personal que administra el SGBD.

Evaluar la delimitacin de roles del personal informtico.

Evaluar la seguridad lgica y fsica de los datos.

Evaluar el diseo y estructura de los datos.

Evaluar los niveles de acceso.

Evaluar los procedimientos de respaldo de informacin.

Evaluar los planes de contingencia,

Evaluar la integridad de los datos.

Evaluar la confiabilidad de los datos.

Evaluar la confidencialidad de los datos.

Analizar la carga de datos.

Determinar la veracidad de la informacin contenida en el SGBD.

Alcances:
Empresa: CCN
Departamento: IT.
El alcance del proyecto comprende la evaluacin de los siguientes puntos:
Evaluacin del Departamento de Tecnologa de Informacin en lo que corresponde a:

Organizacin.
Funciones.
Normas y Polticas.
Capacitacin.
Planes de Trabajo.
Controles.
Condiciones de Trabajo.
Niveles Jerrquicos.
Supervisin.

Evaluacin del SGBD y de las Bases de Datos en cuanto a su:

Operatividad.
Diseo y Estructura de Datos.
Seguridad Lgica.
Niveles de Concurrencia.
Entrada, Salida y Modificacin de Datos.
Integridad y Consistencia de Datos.
Tolerancia y Tratamiento de Fallos.
Procedimientos de Respaldo.
Documentacin y Manuales de Uso.
Licencias Y/O Cumplimientos De Derechos De Autor.

Evaluacin del Hardware.

Adquisicin.

Garanta y Accesoria.
Normas y Polticas de Uso Interno.
Documentacin y Manuales de Usuario.
Capacidad de Proceso y Almacenamiento.
Mantenimiento.

Evaluacin de la Seguridad.

Seguridad Lgica y Confidencialidad.

Seguridad Fsica.
Seguridad Contra Virus e Intrusos.
Normas y Polticas de Seguridad.
Controles de Acceso.
Plan de Contingencias.
Plan de Continuidad Operacional.

Metodologa Utilizada.
A continuacin se presenta la metodologa de investigacin utilizada en el proyecto, para la evaluacin de la empresa
con relacin a sus bases de datos.
1. Para la evaluacin del departamento de tecnologa de informacin se llevaran a cabo las siguientes actividades:

Solicitud del organigrama del departamento.

Solicitud del manual de organizacin funcional (MOF).
Solicitud de plan de trabajo.
Elaboracin de una entrevista para el personal.
Aplicacin de la entrevistas al personal.
Anlisis y evaluacin de la informacin.
Identificacin de desviaciones.
Elaboracin del informe.

2. Para la evaluacin del SGBD y de las bases de datos se llevaran a cabo las siguientes actividades:

Elaboracin de entrevista al DBA.

Aplicacin de la entrevista al DBA.
Elaboracin de pruebas manuales.
Aplicacin de las pruebas manuales.
Anlisis y evaluacin de la informacin.
Identificaron de las desviaciones.
Elaboracin del informe.

3. Para la Evaluacin del Hardware se llevaran a cabo las siguientes actividades:

Solicitud de contratos de compra y garantas del equipo.

Solicitud de documentacin y manuales de usuarios.
Solicitud de programas de mantenimiento.
Elaboracin de entrevistas y pruebas manuales
Aplicacin de entrevistas y pruebas manuales.
Anlisis y evaluacin de la informacin.
Identificacin de desviaciones.
Elaboracin del informe.

4. Para la Evaluacin de la Seguridad llevaran a cabo las siguientes actividades:

Solicitud de normas y polticas de seguridad.

Solicitud de planes de contingencia.
Elaboracin de entrevista para evaluar la seguridad.

Aplicacin de la entrevista.
Anlisis y evaluacin de la informacin.
Identificacin de desviaciones.
Elaboracin del informe.

Cronograma de Actividades.
Fase

Actividad

Das Estimados

Visita Preliminar A La Empresa.

Recopilar Informacin Organizacional.
Visitar Departamento De Informtica.
Solicitud Del Organigrama Del Departamento.
Solicitud Del Manual De Organizacin Funcional (MOF).
Solicitud De Plan De Trabajo.
Elaborar Pruebas Y Entrevistas.
10 octubre - 13 Nov. 2009

II

Desarrollo de la Auditoria.
Evaluacin Del Departamento De Tecnologa De Informacin.
Evaluacin Del SGBD Y De Las Bases De Datos.
Evaluacin Del Hardware.
Evaluacin De La Seguridad.
14 - 22 /Nov. 2009

III

Revisin Y Pre-Informe.
Discutir Resultados De Entrevistas Y Pruebas Manuales.
Identificar Desviaciones.
Elaborar Borrador De Desviaciones.
Discutir Con Los Auditados Las Desviaciones Encontradas.
26 Nov. - 30 Dic 2009

IV

Informe.
Elaboracin y Presentacin Del Informe.
3 4 Dic. 2009 Auditor Sup.

Santo Domingo, R.D. a 2 de Diciembre del 2009.

Lic. Belkis Mendoza
Gerente Administrativo.
Distinguida Seora:
Me permito remitir a usted el informe de resultados de la auditora practicada a las Bases de Datos del Departamento
de IT, que se realizo del 10 de Octubre al 4 de Diciembre del ao en curso.
La revisin realizada fue de carcter integral y comprendi la evaluacin de la capacitacin del personal, la operacin
del SGBD y las Bases de Datos, la plataforma de hardware utilizada y los niveles de seguridad lgicos y fsicos.
En el citado informe encontrara el dictamen y las conclusiones a las cuales se llegaron, despus de la aplicacin de
las tcnicas y procedimientos de auditora utilizados.
Quedo de usted para cualquier aclaracin al respecto.
______________
Lic. Manuel Cuevas.
Auditor Supervisor.

Introduccin
El presente informe contempla las conclusiones a las que ha llegado nuestra firma de auditores despus de realizar
una evaluacin del Sistema Gestor de Base de Datos (SGBD) actual, usado por la empresa CCN., su administracin,
seguridad, confidencialidad, acceso y uso de los datos a fin de identificar posibles desviaciones que pudieran estarse
presentado y proponer soluciones a las misma para su pronta solucin.
La evaluacin se realiza en cumplimiento del programa de estudios, de la materia de Auditoria Informtica de la
Universidad Dominicana O&M y a peticin del Ing. Jos Natera en fecha del 04 de Diciembre del 2009, como forma
de reforzamiento practico a los conocimientos tericos expuestos en dicha materia. Y previa autorizacin de la
empresa auditada, siguiendo las normas y polticas establecidas por la empresa y las metodologas y tcnicas de
evaluacin internacionales para la realizacin de estos procesos.

Dictamen de Auditoria
Santo Domingo, D.N. a 2 de diciembre del 2009.
Lic. Bekis Mendoza
Gerente Administrativo.
Distinguida Seora:
De acuerdo con la peticin realizada por el Ing. Rafael Encarnacion, de la Universidad Dominicana O&M en la
materia de Auditoria Informtica, de conformidad con el cumplimiento del programa de estudios de dicha universidad
y as mismo, me permito remitir a usted el dictamen de la auditoria practicada al Departamento de IT, enfocada a la
administracin, seguridad, confidencialidad, acceso, y uso de los datos del Sistema Gestor de Base de Datos (SGBD)
y de las Bases de Datos de dicha empresa, misma que se llevo a cabo del 10 de Noviembre al 4 de Diciembre del
ao en curso.
De los resultados obtenidos durante la evaluacin me permito informarle de las siguientes observaciones:
Evaluacin del Departamento de IT: Pudimos comprobar que la capacidad del personal y las funciones que realizan
son llevadas a cabo de una manera eficiente, si bien no se cuentan con normas escritas, el personal demostr
conocer sus funciones.
Evaluacin del SGBD y de las Bases de Datos: Durante esta etapa de evaluacin comprobamos que existan
deficiencias, en la administracin del SGBD y las Bases de Datos, no se haban implementado normas y polticas que
rijan su correcto funcionamiento y operabilidad, provocando que peligren datos de suma importancia para la empresa
y que en algunos casos se pudiera producir la paralizacin parcial o total de ciertas operaciones, pero de igual forma
evidenciamos la disposicin del personal a resolver dichas deficiencias en el mas corto plazo posible.
Evaluacin del Hardware: El hardware utilizado es el correcto para las operaciones que se realizan en la empresa, la
periodicidad de mantenimiento son adecuadas, al igual que la documentacin existente para el mismo.
Evaluacin de la Seguridad: La seguridad presentada en la institucin es de nivel medio tanto fsica como lgica, los
controles de acceso, las polticas y normas de seguridad deben ser revaluadas y en algunos casos implementados,
para asegurar la mxima integridad y confiabilidad de los datos.
De acuerdo con las pruebas realizadas a la administracin, seguridad, confidencialidad, acceso, y uso de los datos
del Sistema Gestor de Base de Datos (SGBD) y de las Bases de Datos y de acuerdo con los estatutos
internacionales establecidos para dicho fin, me permito dictaminar que las desviaciones encontradas en cada una de
las evaluaciones realizadas, deben ser corregidas lo mas pronto posible de acuerdo a los trminos convenidos por
los encargados de su correccin y nuestros auditores durante la identificacin de las mismas,
Enfatizamos que su no solucin a tiempo puede resultar en serios percances al correcto avance presente y futuro de
la empresa.
Att:_______________
Lic.Manuel Cuevas.

Auditor Supervisor.
Situaciones Relevantes
Situaciones

Causas

Solucin

Manejo inadecuado de los datos de

la nomina.

Los datos de nomina son manejados

por el encargado de nmina y su
asistente, pero ambos utilizan la
misma PC para acceder a ellos.

No se cuenta con un equipo de

respaldo para el SGBD en caso de
que ocurra un inconveniente.

No lo haban tomado en cuenta, ya

que no se han presentado
irregularidades en las revisiones
mensuales que se realizan al mismo.

Periodo de cambio de contraseas

demasiado extenso.

Las contraseas son cambiadas

cada dos meses.

El lugar de almacenamiento de los

archivos confidenciales y los
backups, se encuentran dentro de la
misma empresa.

La empresa no dispone de una

sucursal o espacio fsico fuera de la
institucin para almacenar dichos
documentos y copias.

Inoperabilidad de un Manual de
Organizacin Funcional.

No ha sido desarrollado por el

departamento, ya que consideran
que cada quien conoce su funcin.

No existe un plan de operativo anual.

No lo han creado porque las

actividades bsicas son
consideradas rutinarias y las
especiales las desarrollan conforme
surgen.

Se recomienda la instalacin de este

software en otra PC, porque en caso
de que la PC que contiene el
software actualmente tenga algn
problema, atrasara las actividades
relacionadas con esta an teniendo
un respaldo de la informacin que
contiene dicha PC.
Es recomendable tener un equipo de
respaldo aunque sea con los
mnimos requerimientos, ya que si
algo le ocurre al equipo que posee el
SGBD se paralizaran las actividades
de la empresa.
Nos parece que el tiempo estimado
para el cambio de contraseas es
muy extenso y no cumple con los
estndares internacionales para el
cambio de las mismas, que es como
mnimo de 30 das, recomendamos
su cambio por lo menos cada 30
das no solo para cumplir con los
estndares, sino tambin para
asegurar la confidencialidad e
integridad de los datos.
Recomendamos a la empresa, que
dentro de su presupuesto incluya la
adquisicion o arrendamiento de un
espacio fsico que le permita guardar
dichos archivos y backups a parte
del espacio destinado actualmente
para dicha operacin, y que de este
modo asegure la disponibilidad de
dicha informacin en caso de un
desastre o percance ajeno a la
empresa.
Se debe crear el Manual de
Organizacin Funcional va escrita,
aunque cada quien parezca conocer
sus asignaciones, para evita la
usurpacin de funciones, adems
servir de referencia para futuros
empleados.
Se debe crear un plan de operativo
anual para as poder establecer con
anticipacin las actividades que
sern realizadas en el periodo de un
ao y as poder mantener la
organizacin de la empresa.

Tiempos de respuestas extensos a la

hora de realizar consultas.

Entienden que es por la gran

cantidad de informacin que poseen.

Antes que nada, deben de verificar

que la red est en ptimas
condiciones para que la informacin
pueda fluir de manera adecuada y

Procedimientos de control que

regulen la redundancia de datos no
implementados.

Tales procedimientos de control no

han sido definidos.

alta de verificacin de los controles y

las relaciones que se realizan.

Todos estos controles y las

relaciones quedan establecidos en el
diseo de la Base de Datos.

Procedimientos formales para la

operacin del SGBD no estipulados.

El administrador del SGBD no los ha

creado.

Tiempos de verificacin de archivos

validos muy extenso, alrededor de
cada 2 semanas.

Se considera que el volumen de

transacciones no es tan alto como
realizar dicha verificacin ms a
menudo.

No se cuenta con un equipo de

respaldo para el SGBD en caso de
que ocurra un inconveniente.

No lo haban tomado en cuenta, ya

que no se han presentado
irregularidades en las revisiones
mensuales que se realizan al mismo.

Incidencias encontradas no
registradas.

No existen normas que requieran su

registro.

No existen medidas que regulen los

procedimientos ha realizar cuando
un soporte es desechado y como
consecuencia, no se borran los
archivos de los dispositivos de
almacenamientos al ser desechados.

No se han creado dichas medidas

No se mantiene un registro de las

personas autorizadas a manejar los
soportes (Backups).

Como solo los administradores

tienen acceso a los mismos no han
visto necesario que se cree un
registro.

Destruccin de los archivos

No se han establecido dichos

realizar una revisin profunda de las

sentencias de consultas a fin de
optimizarlas al mximo.
Recomendamos definir y poner en
prctica un conjunto de normas y
procedimientos de control que
garanticen la reduccin de
redundancia de datos
Estos controles y las relaciones
deben ser verificados cada cierto
tiempo aunque en el diseo se haya
establecido, para saber y darse
cuenta si se estn realizando de una
manera ptima y si satisface a los
usuarios de la mejor manera.
Se debe realizar un documento que
le sirva como parmetro a los
usuarios, ya que sin en algn
momento se sienten confundidos o
bien tienen alguna duda, puedan
tener un apoyo.
Creemos que el tiempo dedicado a
esta tarea debe de ser mayor,
alrededor de la mitad del tiempo en
que se realiza actualmente, es decir,
debe ser por lo menos
semanalmente para garantizar la
mnima perdida de datos y aumentar
la confiabilidad de los mismos frente
a fallos inesperados del sistema.
Es recomendable tener un equipo de
respaldo aunque sea con los
mnimos requerimientos, ya que si
algo le ocurre al equipo que posee el
SGBD se paralizaran las actividades
de la empresa.
Recomendamos el registro de las
incidencias encontradas, en un
documento ya sea escrito o digital, a
fin de tener un control de las mismas
y sirvan para referencias futuras y
mejoras en el mantenimiento y
optimizacin de los procesos. As
como la creacin de normas y
polticas que velen por su correcto
cumplimiento.
Es recomendable que se creen
medidas que regulen tales
procedimientos para desechar los
soportes debido a que su incorrecto
desecho puede provocar que
informacin privada llegue a donde
no tiene que llegar.
Aunque solo los administradores
tengan acceso a los soportes, es
importante que se cree dicho registro
a fin que sirva de control sobre el
uso que se da a los mismos.
Recomendamos que se certifiquen

defectuosos no verificada.

procedimientos.

dichos procedimiento, para asegurar

que los archivos estn realmente
defectuosos, y que no por el
contrario se trate de una fuga de
informacin por parte de personal
mal intencionado.

ANEXOS
Entrevista al Personal
Existe un manual de organizacin funcional (MOF)?
No las funciones son asignadas verbalmente.
Es aplicado este manual?
--Los estndares y procedimientos existentes promueven una filosofa adecuada de control?
Por una parte si porque cada quien tiene definida sus tareas pero eso no evita que otros puedan efectuar dado el
caso la tarea de otra persona.
El rendimiento de cada empleado se evala regularmente de acuerdo a estndares establecidos?
Si es medido por medio de la evaluacin del desempeo del personal de la ONAP en conjunto con todo el personal
de la institucin semestralmente.
Existe un plan operativo anual?
No se establecen cada cierto tiempo segn necesidades surgidas.
Existe un plan de entrenamiento y capacitacin continua al personal?
Si, existen capacitaciones en diferentes reas, segn surja la necesidad.
Mediante que interfaz se accede a los datos de la empresa?
Mediante la interfaz propia de las aplicaciones.
Los datos son cargados correctamente en la interfaz grafica?
Si, aunque a veces las consultas de datos tardan un poco.
Tiene cada personal una terminal asignada?
Si, a excepcin del encargado de nomina cuya terminal es compartida por el y su asistente.
Se puede utilizar el Terminal de un compaero para retirar o introducir informacin al sistema?
Solo en el caso de la terminal donde se maneja la nomina, pero solo teniendo el usuario y contrasea necesario.
Tiene el personal de otros departamentos libre acceso a este?
No est prohibido por los encargados el acceso de personal de otros departamentos a este.
Puede el personal de otro departamento retirar informacin de este?
No est prohibido por los encargados.
Existe un sistema de seguridad que regule los accesos al sistema?
Solo contraseas y usuarios.
Se utilizan contraseas de usuario?

-------Quin asigna las contraseas al personal?

Todas son asignadas por el administrador de la Base de Datos.
Con que regularidad se cambian las contraseas?
Cada dos meses.
Quin es el responsable de signar las nuevas contraseas?
El administrador.
Tiene el personal acceso a toda la informacin contenida en las base de datos?
No segn sus permisos y privilegios.
Le es permitido al personal retirar datos del sistema fuera de la empresa?
No esta terminantemente prohibido por la Institucin.
Al realizar consultas de datos, estos siempre cargan correctamente en la aplicacin?
Si.
En caso de fallos con las aplicaciones que procedimientos se realizan?
Se llama a soporte y en caso de que estos no puedan resolver el problema se contacta con el administrador.
Puede el personal modificar la informacin introducida al sistema?
Segn sus permisos y privilegios.
Cmo calificara el desempeo del sistema?
Aceptable, pero podra mejorarse con sistemas mas avanzados.
Se restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento, al personal
autorizado?
Si, solo el personal autorizado puede tener acceso a los mismos.
Considera adecuado el ambiente de trabajo?
Si, son buenas las instalaciones.
Cree que el personal que labora en este departamento es suficiente?
Si, es suficiente.
Entrevista de Evaluacin del SGBD y de las Bases de Datos
Qu Gestor de Base de Datos utilizan?
Microsoft Access 2003.
Posee La Empresa La Licencia De Dicho Sistema Gestor?
Si.
En qu fecha fue adquirida la licencia de dicho sistema gestor?
En agosto del 2007.
Cubre la licencia el costo de actualizacin del sistema gestor?
No.
Ha usado la empresa un sistema gestor diferente al actual anteriormente?
No.
En caso de ser si: Porque se emigro de dicho gestor?
--------

Donde se encuentra instalado el sistema gestor?

En un servidor dedicado al manejo del mismo.
Quin disea las bases de datos?
El administrador de la misma.
Qu modelo de datos se utiliza?
Modelo Relacional.
Cules son los conocimientos del DBA en el manejo y administracin de SGBDs?
Ingeniero en Sistemas, con vasto conocimiento en el manejo de base de datos.
Cules son sus funciones dentro del departamento?
Dar soluciones al manejo de los datos de la institucin, monitorear el uso de las aplicaciones de los datos, crear
usuarios, crear contraseas, restricciones etc.
Existe un auxiliar del DBA?
No.
Se verifica que los controles y relaciones de datos se realizan de acuerdo a normalizacin libre de error?
No, no se verifican.
En caso de ser no, por qu no se verifican?
Bueno estos no se verifican porque en el diseo de la Base de Datos se establecen los controles y las relaciones de
los datos que son realizadas en base a dicha normalizacin.
Existe personal restringido que tenga acceso a la BD?
No.
El SGBD es dependiente de los servicios que ofrece el sistema operativo?
No, no es dependiente.
La interfaz que existe entre el SGBD y el SO es el adecuado?
Si es adecuada.
Existen procedimientos formales para la operacin del SGBD?
No, no hay nada formal.
En caso de existir procedimientos formales, estn actualizados?
------En caso de existir procedimientos formales, cual es la periodicidad de actualizacin de los procedimientos?
------Son suficientemente claras las operaciones que realiza la BD?
Si estn adecuadas para el entendimiento del usuario
Existe un control que asegure la justificacin de los procesos en el computador? (que los procesos que estn
autorizados tengan una razn de ser?)
En realidad no hay nada estipulado, los controles de los procesos son manejados por el Administrador de la Base de
Datos, los cuales son establecidos de acuerdo a la funcin que desempea el personal.
Se procesan las operaciones dentro del departamento de computo?
Solo algunas, las dems en sus respectivos puestos de trabajo.
Se verifica con frecuencia la validez de los inventarios de los archivos magnticos?
Si es verificado cada dos semanas.

En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y explican satisfactoriamente
las discrepancias?
Si.
Qu tan frecuentes son estas discrepancias?
Muy raras.
Cuentan los operadores con alguna documentacin en donde se guarden las instrucciones actualizadas para el
manejo de restauraciones?
No, ya quien maneja las restauraciones es el administrador, quien est bien capacitado en la realizacin de este
proceso y con su experiencia no requieren documentarlo.
Existe un control estricto de copias de estos archivos?
Si estos son manejados solo por el administrador.
Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos?
No, no son borrados.
Se registra como parte del inventario las nuevas cintas magnticas que recibe el departamento de cmputo?
Si, se registran.
Se realizan auditorias peridicas a los medios de almacenamiento?
Revisiones cada dos semanas.
Se tiene relacin del personal autorizado para manipular la BD?
No est en una relacin fsicamente, pero est claro que solo el administrador puede manipularla.
Existe un programa de mantenimiento preventivo para el dispositivo del SGBD?
Si, mensualmente.
Qu tipo de mantenimiento?
Se le hace una revisin, se analiza con antivirus, se verifica que todo est trabajando de manera ptima.
Poseen un dispositivo de respaldo en caso de algn problema o inconveniente?
No, no existe.
De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema de cmputo, existen equipos capaces de
soportar el trabajo?
Si los equipos son modernos y capaces de soportarlo.
El SGBD tiene capacidad de teleproceso?
Si.
Se ha investigado si los tiempos de repuesta satisfacen a los usuarios?
Si segn los usuarios las respuestas son buenas a excepcin por las consultas realizadas a la nomina que tardan un
poco.
Qu sucedera si no se puede usar el sistema gestor de base de datos?
Se paralizaran ciertas operaciones.
Qu implicaciones tiene el que no se obtenga el sistema gestor y cuanto tiempo podramos estar sin utilizarlo?
Implica el retraso o paralizacin de ciertas operaciones, y el tiempo que tardara en reponerse depende de la
gravedad del problema.
Existe un procedimiento alterno a los problemas que ocasionara?
No, no existe, por lo menos no documentado.

Que se ha hecho para un caso de emergencia?

No se presentado un caso como este aun, pero en caso de presentarse se restaurara el sistema lo mas pronto
posible con la copia de respaldo mas reciente.
Entrevista de Evaluacin del Hardware.
En qu fecha fue adquirido el equipo que sirve de plataforma al sistema gestor?
En agosto del 2004.
Con que compaa fue adquirido el equipo?
Fue adquirido de la compaa DELL va online.
Qu condiciones de garanta y asesoramiento fueron ofrecidas por la empresa?
Tres aos en servicios y un ao en piezas.
Cules son las caractersticas del equipo?
Servidor PowerEdge para pequeas empresas.
Procesador: Intel Pentium 4 a 3.0 Ghz con tecnologa HT.
Memoria: 2 GB, expansible a 4 GB
Almacenamiento: 80 GB
S.O.: Windows XP SP2
Quin verifico que dichas caractersticas fueran suficientes?
El encargado del departamento de informtica con accesoria del administrador de la Base de Datos.
Cumplen estas caractersticas los requerimientos mnimos del sistema gestor?
Si, perfectamente
Qu cantidad de terminales soporta este equipo?
50.
Es suficiente esta cantidad en relacin a las terminales a las que da servicio?
Si, si lo es.
Existen normas y polticas que regulen el uso de estos equipos?
Si solamente puede ser utilizada por el administrador de la Base de Datos.
Existen y estn disponibles los manuales de usuarios?
Si, vinieron con el equipo.
Entrevista de Evaluacin de la Seguridad.
Aspectos Lgicos
Existen medidas, controles, procedimientos, normas y estndares de seguridad?
Si como, los privilegios de los usuarios, acceso por usuario y contrasea, backup de los datos. Etc.
Existe un documento donde este especificado la relacin de las funciones y obligaciones del personal?
No, no estn escritas.
Existen procedimientos de notificacin y gestin de incidencias?
No, no existe.
Existen procedimientos de realizacin de copias de seguridad y de recuperacin de datos?
Si, aunque no escritos.
Existe una relacin del personal autorizado a conceder, alterar o anular el acceso sobre datos y recursos?
No, no existe pero el personal conoce quien est autorizado para hacerlo, adems de que los permisos otorgados a
los usuarios los limitan de hacer dichas alteraciones.

Existe una relacin de controles peridicos a realizar para verificar el cumplimiento del documento?
------Existen medidas a adoptar cuando un soporte vaya a ser desechado o reutilizado?
No.
Existe una relacin del personal autorizado a acceder a los locales donde se encuentren ubicados los sistemas que
tratan datos personales?
No, no existe una relacin fsica pero como he dicho antes se conoce quienes tienen acceso.
Existe una relacin de personal autorizado a acceder a los soportes de datos?
No, no existe, ya que no lo hemos credo necesario.
Existe un perodo mximo de vida de las contraseas?
Si dos meses.
Existe una relacin de usuarios autorizados a acceder a los sistemas y que incluye los tipos de acceso permitidos?
No, no existe.
Los derechos de acceso concedidos a los usuarios son los necesarios y suficientes para el
ejercicio de las funciones que tienen encomendadas, las cuales a su vez se encuentran o deben estar documentadas
en el Documento de Seguridad.?
Si sus derechos son los fundamentales para llevar acabo sus tareas, y si estn documentados.
Hay dadas de alta en el sistema cuentas de usuario genricas, es decir, utilizadas por ms de una persona, no
permitiendo por tanto la identificacin de la persona fsica que las ha utilizado?
No cada persona que se loguea al sistema introduce su propio usuario y contrasea.
En la prctica las personas que tienen atribuciones y privilegios dentro del sistema para conceder derechos de
acceso son las autorizadas e incluidas en el Documento de Seguridad?
Si.
El sistema de autenticacin de usuarios guarda las contraseas encriptadas?
Si, cada sistema trae su proteccin de las contraseas.
En el sistema estn habilitadas para todas las cuentas de usuario las opciones que permiten establecer:
Un nmero mximo de intentos de conexin
Todos los sistemas permite un mximo de tres intentos fallidos despus deber ser intentando el acceso con otro
usuario.
Un perodo mximo de vigencia para la contrasea, coincidente con el establecido en el Documento de Seguridad.
El sistema no establece la necesidad de cambio de contrasea, las mismas son cambiadas manualmente.
Existen procedimientos de asignacin y distribucin de contraseas?
Si, es asignada por el administrador a los usuarios personalmente.
Cmo se crean las contraseas asignadas a los usuarios?
Las contraseas se crean mediante un programa que crea contraseas automticamente de contenido alfanumrico
y de una longitud de 7 cifras.
Aspectos Fsicos
Existen procedimientos para la realizacin de las copias de seguridad?
No.
Se tienen procedimientos que permitan la reconstruccin de un archivo en cinta o disco, el cual fue
inadvertidamente destruido?

No.
Se tienen identificados los archivos con informacin confidencial y se cuenta con claves de acceso?
Si.
Qu medio se utiliza para almacenarlos?
- Mueble con cerradura
- Bveda
- Otro(especifique)
Se encuentran en un cuarto resguardado bajo llaves, al cual solo tienen acceso el administrador y los dueos de la
compaa.
Este almacn est situado: En el mismo edificio del departamento o en otro lugar Cual?
En el mismo edificio.
Se certifica la destruccin o baja de los archivos defectuosos?
No.
Explique la forma en que estn protegidas fsicamente las copias de seguridad (bveda, cajas de seguridad etc.) que
garantice su integridad en caso de incendio, inundacin, terremotos, etc.
Las copias de seguridad estn almacenadas en un cuarto bajo llave, que cuenta con sistemas detectores de humo y
extinguidores, fuera de estos no existen ms proteccin para las mismas
Existen procedimientos que aseguran que, de todos los ficheros con datos de carcter personal, se realiza copia al
menos una vez cada semana?
No.
Hay procedimientos que aseguran la realizacin de copias de todos aquellos ficheros que han experimentado algn
cambio en su contenido?
Si, los Backups realizados cada dos semanas.
Existen controles sobre el acceso fsico a las copias de seguridad?
Si, estas solo son verificadas por el administrador encargado de las misma y su superior.
Slo las personas con acceso autorizado en el documento de seguridad tienen acceso a los soportes que contienen
las copias de seguridad?
Si.
Las copias de seguridad de ficheros de nivel alto incluyen los ficheros cifrados, si estas copias se transportan fuera
de las instalaciones?
No, no son transportadas fuera de la institucin.
Las copias de seguridad de los ficheros de nivel alto se almacenan en lugar diferente al de los equipos que las
procesan?
Si, en discos duros extrables.
Existe un inventario de los soportes existentes?
Si.
Dicho inventario incluye las copias de seguridad?
Si.
Existen procedimientos de actualizacin de dicho inventario?
Si, El inventario esta automatizado y se actualiza cada vez que se ingresa un nuevo soporte.
Existen procedimientos de etiquetado e identificacin del contenido de los soportes?
Si.

Existen procedimientos en relacin con la salida de soportes fuera de su almacenamiento habitual?

Si, se registra su salida en la aplicacin destinada para estos fines.
Se evalan los estndares de distribucin y envo de estos soportes?
No, porque no salen de la empresa.
Se Obtiene una relacin de los ficheros que se envan fuera de la empresa, en la que se especifique el tipo de
soporte, la forma de envo, el estamento que realiza el envo y el destinatario?
----------Se Comprueba que todos los soportes incluidos en esa relacin se encuentran tambin en el inventario de soportes
mencionado anteriormente?
----------Se Obtiene una copia del Registro de Entrada y Salida de Soportes y se comprueba que en l se incluyen:
Los soportes incluidos en la relacin del punto anterior (y viceversa)
Los desplazamientos de soportes al almacenamiento exterior (si existiera)
----------Se Analiza los procedimientos de actualizacin del Registro de Entrada y Salida en relacin con el movimiento de
soportes?
Si.
Existen controles para detectar la existencia de soportes recibidos/enviados que no se inscriben en el Registro de
Entrada/Salida?
No.
Se Comprueba, en el caso de que el Inventario de Soportes y/o el Registro de Entrada/Salida estn informatizados,
que se realizan copias de seguridad de ellos, al menos, una vez a la semana?
Si, se realizan, pero cada dos semanas, junto con el Backup general.
Qu medidas se toman en el caso de extravo de algn dispositivo de almacenamiento?
Se verifica el registro para saber si fue retirado o desechado por algn motivo, de lo contrario se realiza una
bsqueda del mismo.
Existe, como parte del Documento de Seguridad, de una relacin de usuarios con acceso autorizado a la sala donde
se almacenan los soportes?
No.
Se Verifica que la inclusin del personal en la relacin anterior es coherente con las funciones que tienen
encomendadas?
---------Se Determina que personas tienen llaves de acceso, tarjetas,etc. de acceso a la sala?
Si.
Se Analizan los procedimientos de descarga a cinta de este registro de accesos y el perodo de retencin de este
soporte?
No.
Existen procedimientos de realizacin de copias de seguridad del registro de accesos y el perodo de retencin de
las copias?
Si.
Se verifica la asignacin de privilegios que permitan activar/desactivar el registro de accesos para uno o ms
ficheros?
No, no se verifica, por que los registros son realizados por el administrador.

Se comprueba que el registro de accesos se encuentra bajo el control directo del responsable de seguridad
pertinente?
No, se comprueba porque esta a cargo de los mismos administradores.