Municipalidad Provincial de Huaraz Examen especial de Auditoria de Sistemas Del 01de enero al 1 de diciem#re del !

01 Papeles de 'ra#a(o

PT PREPAR REV$S

INICIALES VDE A%&

FECHA 10/0 /!01" !"/0 /!01"

PAPELES DE TRABAJO

EXAMEN ESPECIAL A LA UNIDAD DE INFORMTICA DE LA MUNICIPALIDAD PROVINCIAL DE HUARAZ

INCIANDO LOS PROCEDIMIENTOS:

)1)

Municipalidad Provincial de Huaraz Examen especial de Auditoria de Sistemas Del 01de enero al 1 de diciem#re del !01 Papeles de 'ra#a(o

PT PREPAR REV$S

INICIALES VDE A%&

FECHA 10/0 /!01" !"/0 /!01"

A. Recop !"c o# $e #%o&'"c o# ()* c" Unos dias antes del comienzo de la auditoria se envio solicitudes al encargado de la unidad de informatica el Sr. Robert Bueno. El objetivo era que el encargado nos proporcione informacion acerca de como se encientran sus equipos que usan y los procesos que realizan en ellos, el estado de los mismos asi mismo para conocer con mayor profundidad el hard are y el soft are que se utiliza en la !unicipalidad "rovincial de #uaraz. $si mismo se procedio a realizar una entrevista personal con el %ng. Bueno, para conocer mas detalles sobre el trabajo a realizar.

B. I$e#+ % c"c ,# $e & e*-o* po+e#c "!e* Se evaluara la forma de adquisicion de nuevos equipos o aplicativos de soft are. &os procedimientos para adquirirlos deben estar regulados y aprobados en base a los estandares establecidos por la !unicipalidad "rovincial de #uaraz y los requerimientos minimos para ejecutar los programas base. 'entro de los riesgos posibles, tambien se contemplaran los riesgos de seguridad del propio soft are y la correcta configuracion y(o actualizacion.

PROCEDIMIENTO ESPEC.FICO N/01: (Relacionado al objetivo N 01) 1. OBJETIVOS DE LAS POLITICAS DE SE2URIDAD.
Se evaluaran la e)istencia y la aplicaci*n correcta de las politicas de seguridad de la !unicipalidad "rovincial de #uaraz. Se hara una revicion de los manuales de politicas de la !unicicpalidad "rovincial de #uaraz, que los procedimientos de los mismos se encuentren actualizados y que sean claros y que el personal los comprenda. +orroborar si el personal de la entidad que labora en las ,reas de recursos para el tratamiento de informaci*n sensible a da-os e interferencias.

3. DETERMINACION DE LOS PROCEDIMIENTOS DE LAS POLITICAS DE SE2URIDAD.

)!)

Municipalidad Provincial de Huaraz Examen especial de Auditoria de Sistemas Del 01de enero al 1 de diciem#re del !01 Papeles de 'ra#a(o

PT PREPAR REV$S

INICIALES VDE A%&

FECHA 10/0 /!01" !"/0 /!01"

O(4e+ 5o*.
'escribir las pol/ticas de seguridad y el uso de los Soft are0s en la unidad de %nform,tica. Si las pol/ticas de seguridad y buen uso han sido establecidas en base a un an,lisis de riesgo. 1ivel de seguridad de las a2reas de recursos para el tratamiento de informaci*n sensible a da-os e interferencias para la entidad 3 45reas Seguras6 Describir las polticas de seguridad y el uso de los Software`s en la unidad de Informtica. DESCRIPCION 7Seg8n 19"3%S:(%E+;<<==.> &os archivos del sistema deber/a ser controlado y los proyectos de 9ecnolog/a de la %nformaci*n 79%> y las actividades complementarias deben ser llevadas a cabo de una forma segura. Se deber/a tener cuidado de evitar la e)posici*n de datos sensibles en ambientes de prueba. !antener la seguridad del soft are de aplicaci*n y la informaci*n. $dem,s controlar estrictamente los entornos del proyecto y de soporte. Evitar los incumplimientos de cualquier ley civil o penal, requisito reglamentario, regulaci*n u obligaci*n contractual, y de todo requisito de seguridad. 'ebe se-alar una breve e)plicaci*n de las pol/ticas, principios, normas y requisitos de conformidad m,s importantes para la organizaci*n. VERIFICACION.

1o se ha verificado si e)iste una definici*n de las "ol/ticas de Seguridad, as/ como del uso que se le d2 a los soft are?s 1o se ha verificado si e)iste dentro de las pol/ticas alg8n /tem que establezca el control de entorno y soporte. 1o se ha verificado si e)iste la definici*n de las responsabilidades en las incidencias de seguridad. 1o, se ha realizado la verificaci*n de las de las pol/ticas, principios y normas que avalen la e)istencia de ellas.

Si las polticas de seguridad y buen uso han sido establecidas en base a un anlisis de riesgo.

Municipalidad Provincial de Huaraz Examen especial de Auditoria de Sistemas Del 01de enero al 1 de diciem#re del !01 Papeles de 'ra#a(o DESCRIPCION 6Seg8n numeral @ de la 19"3 %S:(%E+;<<==.> &os controles descritos, como el registro de eventos, pueden entrar en conflicto con la legislaci*n actual, en lo que se refiere a la protecci*n de la privacidad para clientes o en el establecimiento de trabajo. &os controles pueden ser seleccionados de este est,ndar o de otro conjunto de controles o de nuevos controles que pueden ser designados para conocer las necesidades espec/ficas de la organizaci*n. &a evaluaci*n de riesgos debe identificar, cuantificar y priorizar riesgos. &os resultados deben guiar y determinar la apropiada acci*n de gesti*n y las prioridades para manejar la informaci*n de los riesgos de seguridad y para implementar controles seleccionados para proteger estos riesgos.

PT PREPAR REV$S

INICIALES VDE A%&

FECHA 10/0 /!01" !"/0 /!01"

VERIFICACION.

1o se muestra la documentaci*n para verificar si e)iste la protecci*n en la privacidad.

1o se muestra dichos controlesA por lo tanto no hay ine)istencia de controles apropiados.

1o se muestra la e)istencia de evaluaci*n oportuna de riesgos ya que este se encuentra en el proceso de Elaboraci*n.

Ni el de seguridad de las a!reas de recursos para el tratamiento de informaci"n sensible a da#os e interferencias para la entidad $ %reas Seguras

DESCRIPCI7N 7SEBC1 E& 1U!ER$& =.;.D 'E &$ 19"3%S:(%E+;<<==> Solo el personal conoce la e)istencia de un ,rea segura, o de sus actividades, si lo necesitara para su trabajo se evita el trabajo no supervisado en ,reas seguras tanto por motivos de salud como para evitar oportunidades de actividades maliciosas las ,reas seguras se encuentran cerradas y controladas peri*dicamente cuando estas se encuentran vac/as

VERIFICACION

S%

S%

S%

)")

Municipalidad Provincial de Huaraz Examen especial de Auditoria de Sistemas Del 01de enero al 1 de diciem#re del !01 Papeles de 'ra#a(o 1o se permitir el ingreso de equipos de fotograf/a, v/deo, audio u otras formas de registro salvo autorizaci*n especialA

PT PREPAR REV$S

INICIALES VDE A%&

FECHA 10/0 /!01" !"/0 /!01"

1:

8. OBTENCION DE HALLAZ2OS:
Se redaca los hallazgos en torno a las deficiencias significativas que se hayan encontrado en la Unidad de %nform,tica. ;.;. +omunique mediante oficios estos #allazgos a las oficinas correspondientes.

Ealta de pol/ticas de seguridad en la unidad de inform,tica. o Ealta de aplicaciones actualizadas de los soft ar?s porque a8n se sigue trabajando con las aplicaciones de los a-os pasados. o +arece de seguridad en $cceso restringido de los equipos computarizados y soft ar?s, sin embargo est, restringido el acceso a c,maras fotogr,ficas, o c,maras filmadoras.

DETALLE DEL HALLAZ2O: Ve& % c"c ,# $e !" #e9 *+e#c " $e po!:+ c"* $e *e-;& $"$ e# !" ;# $"$ $e #%o&')+ c". 'e acuerdo a los :E%+%: 1F GGD 3HG;@3!"# (:+%3E'I J :E%+%: 1F GGK 3HG;@3!"# (:+%3 E'I, :E%+%: 1F GG< 3HG;@3!"# (:+%3E'I remitidos a la :ficina, se pudo evidenciar que los documentos de las "ol/ticas de Seguridad, "revio de Riesgo y medidas de contingencia no est,n elaborados a la fecha. 'icha informaci*n, se corrobora mediante el :E%+%: 1F G=LD M HG;@3 U%(!"# y :E%+%: 1F G=LN M HG;@3 !#"(EI' e)plicando que dichos documentos est,n siendo elaborados a la fecha, por lo tanto se han deslindado la ine)istencia tambi2n de las siguientes normas, reglamentos y pol/ticas. Reglamento de organizaci*n y funciones 7R:E>, aprobado mediante ordenanza municipal31FGG=3 HGG=3B"#, donde se se-ala en el art/culo 1F ;;L numeral K, que funci*n de la unidad de inform,tica es la de establecer pol/ticas en derechos de usuario, accesos y seguridad de riesgos a la informaci*n institucional procesada en las disposiciones de almacenamiento inform,tico. &os hechos antes e)puestos posiblemente se han generado por falta de mecanismos de control y coordinaci*n entre la unidad de inform,tica con la gerencia de $dministraci*n y finanzas,

)*)

Municipalidad Provincial de Huaraz Examen especial de Auditoria de Sistemas Del 01de enero al 1 de diciem#re del !01 Papeles de 'ra#a(o

PT PREPAR REV$S

INICIALES VDE A%&

FECHA 10/0 /!01" !"/0 /!01"

"resupuesto, 9esorer/a, $bastecimiento y otros. 'ebido a la falta de responsabilidad y cautela de los encargados de la unidad de inform,tica de la municipalidad provincial de #uaraz. "or lo tanto, se comunica al Oefe de la unidad de %nform,tica %ng. Robet Bueno, que tome en cuenta nuestra auditoria para realizar las pol/ticas de seguridad en la unidad de inform,tica. EXAMEN ESPECIAL A LA UNIDAD DE INFORMATICA DE LA MUNICIPALIDAD PROVINCIAL DE HUARAZ PERIODO ENERO A DICIEMBRE DEL 3018 EVALUACION DE COMENTARIOS <=O DESCAR2OS HALLAZ2O N>
TIPO DE HALLAZ2OS ;. +ontrol %nterno H. 'ictamen "resupuestal L. %ncumplimiento u omisi*n de normativa @. "resuntas irregularidades

001

NOMBRE DE LA PERSONA ?UE PRESENTO DESCAR2O <=O COMENTARIOS BUENO Ro(e&+ CAR2O DESEMPE@ADO OEEE 'E &$ U1%'$' 'E %1E:R!$9%+$ 'E &$ !U1%+%$"&%'$' "R:I%!+%$& 'E #U$R$P DATOS DE DOCUMENTO < FECHA ?UE PRESENTA DESCAR2O <=O COMENTARIOS
a. 9ipo de documento y fecha de presentaci*n. b. "resento comentario y(o descargo dentro del "lazo otorgado. c. Solicito ampliaci*n y(o prorroga de plazo. :E%+%: 1F G;3HG;@3(!"#(U%(:+%3$+& Si 1o

COMENTARIOS <=O ACLARACIONES PRESENTADAS POR EL AUDITADO El se-or BUENOA Ro(e&+ B Je%e $e !" U# $"$ $e I#%o&')+ c"A presenta sus comentarios y aclaraciones mediante %nforme :E%+%: 1F ;HL3HG;@(!"#(U%3 que se remiti* el HH de !arzo, respecto a su participaci*n en los hechos observados, precisando lo siguiente. +on respecto al Reglamento de :rganizaci*n y funciones Reglamento de organizaci*n y funciones 7R:E>, aprobado mediante ordenanza municipal31FGG=3HGG=3B"#. claramente menciona 4Establecer derechos de usuario, accesos y seguridad a la informaci*n institucional procesada en las disposiciones de almacenamiento inform,tico6. En la referida funci*n no se menciona la palabra 4pol/ticas6. &o cual me permite decir que en cumplimiento de dicha funci*n debo mantener la seguridad de la informaci*n que almacena cada usuario as/ como su acceso al sistema. "or otro lado fundamenta que en reiteradas oportunidades se comunic* a la Berencia de $dministraci*n y Einanzas la realizaci*n de un an,lisis previo para la elaboraci*n de las pol/ticas de seguridad que han estado pendientes desde la gesti*n anterior. &os mismos que no ser,n finalizados sin la coordinaci*n de la gerencia. EVALUACION DE LOS DESCAR2OS PRESENTADOS

)+)

Municipalidad Provincial de Huaraz Examen especial de Auditoria de Sistemas Del 01de enero al 1 de diciem#re del !01 Papeles de 'ra#a(o

PT PREPAR REV$S

INICIALES VDE A%&

FECHA 10/0 /!01" !"/0 /!01"

Sobre el :E%+%: 1F GGN3HG;@3(!"#(U%(:+%3EI', remitido al se-or BUENOA Ro(e&+B Je%e $e !" U# $"$ $e I#%o&')+ c"A en el que se tom* como la 19"3%S:(%E+H<GGH, en el numeral @, se-ala que. La evaluacin de riesgos debe identificar, cuantificar y priori ar riesgos! Los resultados deben guiar y deter"inar la apropiada accin de gestin y las prioridades para "anejar la infor"acin de los riesgos de seguridad y para i"ple"entar controles seleccionados para proteger estos riesgos!#$! $dem,s se-alar que la ley hace referencia en el numeral ;H.; que. 4 %e debe &antener la seguridad del soft'are de aplicacin y la infor"acin! (de")s controlar estricta"ente los entornos del proyecto y de soporte! #$! En suma, los comentarios y aclaraciones brindado por el jefe de la Unidad de %nform,tica, en la evaluaci*n de comentarios y aclaraciones no se desvirt8a t2cnica y legalmente. Sin embargo, no se sustenta documentadamente a los hechos observados que deber/an haber sido realizados en su momento para ser comunicado al personal en conocimiento de las normas de seguridad e)istentes, todas ellas e)presadas en las pol/ticas de seguridad y planes de contingencia. OPINION DEL AUDITOR Se desvirt8a el hallazgo Subsiste el hallazgo NOMBRE < FIRMA DEL EVALUADOR &eslie $mes +ordova NOMBRE < FIRMA DEL JEFE AUDITOR Enma Iillacorta 'iaz 1: S%

PROCEDIMIENTO ESPEC.FICO N/03: (Relacionado al objetivo N 0*) 1. O(4e+ 5o* $e! co#+&o! $e ope&"c o#e*.

),)

Municipalidad Provincial de Huaraz Examen especial de Auditoria de Sistemas Del 01de enero al 1 de diciem#re del !01 Papeles de 'ra#a(o

PT PREPAR REV$S

INICIALES VDE A%&

FECHA 10/0 /!01" !"/0 /!01"

&a e)istencia de un programa de seguridad, para la evaluaci*n de los riesgos que puedan e)istir, respecto a la seguridad del mantenimiento de los equipos, programas y datos.

3. De+e&' #"c o# $e !o* p&oce$ ' e#+o* $e co#+&o!. O(4e+ 5o*:

Evaluar la Seguridad de las $plicaciones del Sistema, respecto al an,lisis y especificaciones, del uso y adquisici*n de Soft areQs. Ierificar la protecci*n de informaci*n de los soft are?s, asimismo el control de accesos a la informaci*n en la unidad de inform,tica. & aluar la Seguridad de las 'plicaciones del Sistema( respecto al anlisis y especificaciones( del uso y ad)uisici"n de Software*s. NORMA TCCNICA PERUANA NTPDISO=IEC ;<<== ;H.H. Seguridad de las aplicaciones del sistema+ Evitar p2rdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones. Se deber/an dise-ar dentro de las aplicaciones las medidas de control. Rstos deber/an incluir la validaci*n de los datos de entrada, el tratamiento interno y los datos de salida... 13.3.1. V"! $"c ,# $e !o* $"+o* $e e#+&"$": Se deber/an validar los datos de entrada a las aplicaciones del sistema para garantizar que son correctas y apropiadas. a. entrada duplicada u otras verificaciones... b. revisi*n peri*dica del contenido de los campos clave o archivos de datosS c. inspecci*n de documentos f/sicos de entrada. d. procedimientos para comprobar la integridad de los datos de entradaA e. definici*n de las responsabilidades de todos los implicados en el procesoS f. creaci*n de un registro de actividades envueltas en el procesamiento de los datos Ve& % c"c ,# " !" U# $"$ $e I#%o&')+ c" $e !" MPH 'e la observaci*n y an,lisis de la oficina, se toman los controles debidos, se revisan peri*dicamente, y apenas se encuentre alguna falla los encargados de esta ofician buscan solucionar la deficiencia o problema, aplicando controles nuevos y actualizados. 'e lo verificado la oficina realiza pruebas para detectar errores, o posibles deficiencias peri*dicamente. +uenta con documentaci*n pertinente y completa, la cual es revisada por el Oefe de la unidad y almacenada por los trabajadores. Sobre la definici*n de las responsabilidades, son precisadas en el R:E y el !:E de la %nstituci*n. +uentan con registro de actividades anteriores de detecci*n de errores 7el cual no se nos fue mostrado>.

)-)

Municipalidad Provincial de Huaraz Examen especial de Auditoria de Sistemas Del 01de enero al 1 de diciem#re del !01 Papeles de 'ra#a(o de entrada. 13.3. 3. Co#+&o! $e! p&oce*o #+e&#o: Se deber/an incorporar a los sistemas comprobaciones de validaci*n para detectar cualquier tipo de corrupci*n de informaci*n a trav2s de errores del proceso o por actos deliberadosS Se deber/a tener preparado una lista de verificaci*n apropiada, tener las actividades documentadas y los resultados deben mantenerse seguros. a> controles de sesi*n o de lotes. b> controles para comprobar los cuadres de apertura contra los cuadres previos del cierreA c> validaci*n de los datos generados por el sistemaA d> comprobaciones de la integridad, autenticidad u otro aspecto de seguridad de datos o del soft are transferidos entre el computador central y las computadoras remotas.

PT PREPAR REV$S

INICIALES VDE A%&

FECHA 10/0 /!01" !"/0 /!01"

&a Unidad de %nform,tica tiene normas espec/ficas para la seguridad de los programas que usan. 9oman controles apropiados y eficaces para los programas utilizados por los ordenadores que se encuentran en su ,rea, realizando tambi2n las comprobaciones a los sistemas. 1otamos que respecto a la integridad de datos, autenticidad y aspectos de seguridad, e)isten en la mayor/a de programas usados por estas oficinas, por los controles que realiza %1'E+:"%, pero notamos la presencia del soft are propietario T%1':TS < sin licencia, en L de las maquinas utilizadas por esta unidad. &os requerimientos y dem,s mensajes transmitidos pasan por la revisi*n o verificaci*n de la Unidad de %nform,tica, por lo que se comprob* que esta se realiza de manera efectiva. &a validaci*n de datos se realiza peri*dicamente, para que el sistema en su conjunto funcione de manera apropiada, al realizarse por la misma unidad en cuesti*n, podemos notar que el desempe-o de esta ,rea respecto al /tem en menci*n se realiza de manera apropiada y cumpliendo con los objetivos de la misma unidad. Realizan procedimientos de seguridad, preventivos y de comprobaci*n para los programas, aunque no se responsabilizan si e)isten fallas en determinadas unidades provocando fallas a todo sistema utilizados por la !unicipalidad "rovincial de #uaraz.

13.3.8. I#+e-& $"$ $e Me#*"4e*: Se deber/a identificar los requerimientos para asegurar la autenticaci*n y protecci*n de la integridad de los mensajes en aplicaciones y se deber/an de identificar e implementar controles apropiados. 13.3.E. V"! $"c ,# $e !o* D"+o* $e S"! $": Se deber/an validar los datos de salida de un sistema de aplicaci*n para garantizar que el proceso de la informaci*n ha sido correcto y apropiado a las circunstancias. a> validaciones de verosimilitud. b> cuentas de control de conciliaci*n para asegurar el proceso de todos los datosA c> suministro de suficiente informaci*n. "ara poder determinar la e)actitud, completitud, precisi*n y clasificaci*n de la informaci*nA d> procedimientos para contestar los cuestionarios de validaci*n de salidasA e> definici*n de las responsabilidades de todos los implicados en el proceso de salida de datosA f> creaci*n de un registro de actividades en el

).)

Municipalidad Provincial de Huaraz Examen especial de Auditoria de Sistemas Del 01de enero al 1 de diciem#re del !01 Papeles de 'ra#a(o proceso de validaci*n de los datos de salida.

PT PREPAR REV$S

INICIALES VDE A%&

FECHA 10/0 /!01" !"/0 /!01"

+:1+&US%U1. Se toman las medidas de control y seguridad de manera apropiada para el procesamiento de datos, as/ como las dem,s medidas preventivas para el uso de programas y verificaciones a los sistemas.

,erificar la protecci"n de informaci"n de los software-s( asimismo el control de accesos a la informaci"n en la unidad de informtica.

DESCRIPCION 6Seg8n el numeral ;;.;.;de la 19"3%S:(%E+ ;<<==.> Se identifican los riesgos relativos a la informaci*n de aplicaciones "ara cada usuario e)isten perfiles de acceso estandarizados seg8n las categor/as comunes de trabajos. E)iste coherencia entre las pol/ticas de control de accesos y las pol/ticas de clasificaci*n de la informaci*n en los distintos sistemas y redes. Se realizan requerimientos para la autorizaci*n formal de los pedidos de acceso. Se segregan los roles de control de acceso. Se comunica por un medio de informaci*n sobre las pol/ticas de acceso a p,ginas no autorizadas

VERIFICACION 1o e)isten procedimientos sobre ese aspecto. 1o e)isten procedimientos sobre ese aspecto

1o e)isten procedimientos.

1o e)isten procedimientos. 1o e)isten procedimientos. 1o e)isten procedimientos.

8. OBTENCION DE HALLAZ2OS:
Se redaca los hallazgos en torno a las deficiencias significativas que se hayan encontrado en la Unidad de %nform,tica. ;.H. +omunique mediante oficios estos #allazgos a las oficinas correspondientes.

) 10 )

Municipalidad Provincial de Huaraz Examen especial de Auditoria de Sistemas Del 01de enero al 1 de diciem#re del !01 Papeles de 'ra#a(o

PT PREPAR REV$S

INICIALES VDE A%&

FECHA 10/0 /!01" !"/0 /!01"

Ealta de programas de seguridad en la unidad de inform,tica. o Ealta seguridad en el control de las personas que acceden al ,rea de inform,tica. o 1o e)iste un calendario de mantenimiento a las computadoras de la !unicipalidad "rovincial de #uaraz, y solo se les realiza un mantenimiento cuando estas presentan algunas fallas. DETALLE DEL HALLAZ2O: Ve& % c"c ,# $e !" #e9 *+e#c " $e p&o-&"'"* $e *e-;& $"$ e# !" ;# $"$ $e #%o&')+ c". 'e acuerdo a los :E%+%: 1F GGK 3HG;@3!"# (:+%3E'I J :E%+%: 1F GG< 3HG;@3!"# (:+%3 E'I, :E%+%: 1F GGN 3HG;@3!"# (:+%3E'I remitidos a la :ficina, se pudo evidenciar que los documentos de "rogramas de Seguridad, para la evaluaci*n de los riesgos que puedan e)istir, respecto a la seguridad del mantenimiento de los equipos, programas y datos no est,n elaborados a la fecha. 'icha informaci*n, se corrobora mediante el :E%+%: 1F G=L= M HG;@3 U%(!"# y :E%+%: 1F G=@G M HG;@3 !#"(EI' e)plicando que dichos documentos est,n siendo elaborados a la fecha, por lo tanto se han deslindado la ine)istencia tambi2n de las siguientes normas, reglamentos y pol/ticas. 19"3%S:(%E+;<<==. 1orma 92cnica "eruana. &a evaluaci*n de la informaci*n del riesgo de seguridad debe tener un alcance claro y definido para que este sea efectivo y debe incluir relaciones con las evaluaciones del riesgo en otras ,reas, si es apropiado. Se debe tener en cuenta que ning8n conjunto de controles puede alcanzar completa seguridad y que una gesti*n adicional deber, implementarse para monitorear, evaluar y mejorar la eficiencia y efectividad de los controles de seguridad para apoyar las necesidades de la organizaci*n. &os hechos antes e)puestos posiblemente se han generado por falta de control y coordinaci*n entre los miembros de la unidad de inform,tica y otros. 'ebido a la falta de responsabilidad por parte del personal encargado de la unidad de inform,tica de la !unicipalidad "rovincial de #uaraz. "or lo tanto, se comunica al Oefe de la unidad de %nform,tica %ng. Robet Bueno, que tome en cuenta nuestra observaci*n para que se realice posteriormente los programas de seguridad en la unidad de inform,tica.

CONCLUSIONES
+omo resultado de la $uditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria. PRIMERA: &legamos a la conclusi*n que la !unicipalidad "rovincial de #uaraz, no cuenta con las pol/ticas de seguridad y medidas de contingencia de los soft are?s, y

) 11 )

Municipalidad Provincial de Huaraz Examen especial de Auditoria de Sistemas Del 01de enero al 1 de diciem#re del !01 Papeles de 'ra#a(o

PT PREPAR REV$S

INICIALES VDE A%&

FECHA 10/0 /!01" !"/0 /!01"

presenta deficiencias sobre el debido cumplimiento de las normas de seguridad, por ello se est, generando una gran cantidad de riesgos dentro de esta unidad, que posteriormente puede afectar a las dem,s unidades y ,reas que hagan uso de los soft are?s, al no contar con medidas de seguridad se puede deducir que esto ocasionar, da-os y p2rdida de inform,ticos en la !unicipalidad "rovincial de #uaraz. 7IR$SE :BOE9%I: 1V G;> SE2UNDA: +oncluimos que la !unicipalidad "rovincial de #uaraz carece de programas de seguridad en la unidad de inform,tica, a su vez que las aplicaciones de los soft ar?s no est,n actualizada hasta el momento, pese a que anteriormente se inform* de esta situaci*n, tambi2n se da de conocimiento que no e)iste un calendario para el mantenimiento de los equipos inform,ticos, carece de seguridad en el acceso de los equipos computarizados y soft ar?s, sin embargo est, restringido ciertos objetos con el cual se pueda obtener informaci*n de los equipos de c*mputo de la !unicipalidad "rovincial de #uaraz. 7IR$SE :BOE9%I: 1V GH>

RECOMENDACIONES
PRIMERA: %nformar pertinentemente al Oefe de la unidad de %nform,tica, para que est2 al tanto de los hallazgos, y que al no tener las adecuadas pol/ticas de seguridad medidas de contingencia de los soft are?s, dicha unidad esta en alto riesgo, es por ello se debe implementar una adecuada pol/tica de seguridad teniendo en cuenta los %S:S pertinentes y necesarios. SE2UNDA: Se recomienda a la unidad de informatica realizar un programa de seguridad donde se encuentre establecido los reglamentos cor respecto al personal que acceda al area de informatica, de la misma manera plasmar un calendario de mantenimiento de los sistemas informaticos con el fin de asegurar un mejor funcionamiento de los equipos, y evitar posibles riesgos de perdida de informacion o que estos se malogren.

) 1! )