Auditoria de La Empresa XYZ

UNIVERSIDAD LUTERANA SALVADOREA
FACULTAD DE CIENCIAS DEL HOMBRE Y LA NATURALEZA

LICENCIATURA EN CIENCIAS DE LA COMPUTACIN
CTEDRA:
AUDITORIA DE SISTEMAS
AUDITORIA DE INFRAESTRUCTURA DEL AULA DE CAPACITACIONES DEL CENTRO DE CMPUTO,
PARA PERSONAL DISCAPACITADO, FAMILIARES Y EMPLEADOS DE LA EMPRESA XYZ
AUTORES:
CARNET
NOMBRE
Jose Nicolas Perez Arevalo
DP02110390
Rafael Antonio Diaz Palacios

CATEDRTICA:
LICDA. ANA LISSETTE GIRON DE BERMUDEZ
SAN SALVADOR, 3 de Junio del 2016.
INDICE
INTRODUCCIN.....................................................................................................................................3
OBJETIVOS DE LA AUDITORIA:..........................................................................................................4
OBJETIVO GENERAL:.......................................................................................................................4
OBJETIVOS ESPECFICOS:...............................................................................................................4
MISIN Y VISIN DE LA EMPRESA XYZ......................................................................................5
ORGANIGRAMA INSTITUCIONAL DE LA EMPRESA XYZ........................................................5
DESCRIPCIN DE LAS APLICACIONES UTILIZADAS POR EL CENTRO DE
CAPACITACIONES DE LA EMPRESA XYZ....................................................................................6
INVENTARIO DE EQUIPO QUE EST EN USO EN EL CENTRO DE CMPUTO:....................6
RELACIN DE FUNCIONARIOS O PERSONAL A CARGO DEL REA A EXAMINAR............7
ALCANCE DE LA AUDITORA.............................................................................................................9
DETERMINACIN DEL REA A ESTUDIAR:................................................................................9
rea de sistemas y procedimientos.......................................................................................................9
Evaluacin de los equipos de cmputo de la empresa XYZ:..............................................................10
RECURSOS NECESARIOS PARA REALIZAR LA AUDITORIA......................................................10
PRESUPUESTO FINANCIERO PARA LA EJECUCION DE LA AUDITORIA..................................11
CRONOGRAMA DE ACTIVIDADES...................................................................................................12
PAPELES DE AUDITORIA...............................................................................................................12
IDENTIFICACIN DE REAS CRITICAS.....................................................................................12
SOFTWARE NECESARIO PARA REALIZAR LA AUDITORIA....................................................13
Programa de auditora.........................................................................................................................14
Dictamen de la auditora......................................................................................................................18
Importancia del anlisis FODA para la toma de decisiones................................................................21
Anexos.....................................................................................................................................................23
Bibliografa..............................................................................................................................................32
INTRODUCCIN
La tecnologa informtica (hardware, software, redes, bases de datos, etc.) es una herramienta
estratgica que brinda rentabilidad y ventajas competitivas a los negocios frente a otros negocios
similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el
personal encargado.
La solucin ante esta problemtica es entonces realizar evaluaciones oportunas y completas de la
funcin informtica, a cargo de personal calificado, consultores externos, auditores en informtica o
evaluaciones peridicas realizadas por el mismo personal de informtica.
Se pretende hacer una auditora de una forma sencilla en una institucin X y de est formar poder
contribuir con el desempeo del rea informtica del aula de capacitaciones del centro de
cmputo, para personal discapacitado, familiares y empleados de la empresa XYZ.
El propsito llevar a cabo dicho proyecto es entregar una auditora completa, sealar los puntos
crticos y ayudar a la institucin a mejorar cada uno de sus procesos, para que as puedan cumplir
sus objetivos.
OBJETIVOS DE LA AUDITORIA:
OBJETIVO GENERAL:
Presentar el desarrollo de la auditora de sistemas informticos para el centro de computo de
la empresa XYZ. Realizado en el periodo de febrero a mayo del ao 2016.
OBJETIVOS ESPECFICOS:
Elaborar la planificacin de las actividades previas a la auditora.
Ejecutar el proceso de auditora.
Presentar el informe y el dictamen de la auditora.
MISIN Y VISIN DE LA EMPRESA XYZ
MISIN
Ser una excelente Divisin que se esfuerza constantemente para lograr calidad educativa en los
distintos cursos tecnolgicos que se ofrecen, con personal docente profesional que fomenta valores
ticos y morales , para transformar su entorno, segn las exigencias para realizar trabajos de
investigacin, con el apoyo de la institucin.
VISIN
Somos una Divisin que se esfuerza en la formacin de estudiantes con conocimientos y valores
necesarios para ejercer sus competencias, capaz de adaptarse al medio laboral, social y profesional.
ORGANIGRAMA INSTITUCIONAL DE LA EMPRESA XYZ
XYZ
C.D.E
Direccin
Subdireccin
Docente
Centro de
Computo
Personal
administrativo
Tabla 1: Organigrama de la institucin
DESCRIPCIN DE LAS APLICACIONES UTILIZADAS POR EL CENTRO DE CAPACITACIONES DE LA

EMPRESA XYZ
El sistema operativo utilizado en las computadoras clientes es Windows7 pro.
Los roles de usuarios que existen son: Los alumnos y el Administrador, en cuanto a la
conexin sobre redes se tiene un Modem, un switch de 20 puertos y un servidor.
El mantenimiento se le da a cada computadora cada vez que termina un periodo en la

institucin y solo hay tres periodos en cada ao y el mantenimiento es dado por la
administradora ya que a si esta estipulado en su planificacin del trabajo que realiza
INVENTARIO DE EQUIPO QUE EST EN USO EN EL CENTRO DE CMPUTO:

CANTIDAD
DESCRIPCIN
20
Computadoras de escritorio modelos Genricos (Clones).
WorkStation Dell Precistions 7600 (Como servidor).
25
Teclados Genius k8600
25
Mouses Genius M100
25
Mouse pad.
20
Monitores Dell de 15
Tabla 2: Inventario de las computadoras.
ELEMENTO
MARCA
MODELO
PUERTOS
ALAMBRICO
SERIE
Swish
Nexxt
Solutions
Flex 7900
40
Si
2FCA000DB9
Router
Cisco
DPQ3925
Si
14E5A000BC0
010
Puntos de red
RJ45 Hembra
Nexxt
Solutions
Rj45-Hembra
20
Si
Cat 5e
Cables UTP
Etouch
Cat 5E
Si
N/A
Canaleta
Plstica
Nexxt
Solutions
C4016
Aire
Acondicionad
o
LG
Invert Libero
9000
Tabla 3: Inventario del equipo de red
RELACIN DE FUNCIONARIOS O PERSONAL A CARGO DEL REA A EXAMINAR
Nombre y Apellido
Licenciado. X
Departamento
Rol
Informtica
Encargado del centro de
computo.
Periodo de gestin
Desde 2007 hasta la
fecha
PLANEACIN DE LA AUDITORIA
Nombre de la Entidad a auditar
Direccin
Telefono
Sitio Web o correo electrnico
Fecha de inicio de operaciones
Giro
Aula de capacitaciones de la empresa XYZ

--------------------------------------------------------Hace 10 aos.
Institucin Educativa
La metodologa de investigacin a utilizar en el
proyecto se presenta a continuacin:
Metodologa
Referencia Legal
Para la evaluacin del centro de computo se llevarn a

cabo las siguientes actividades:
Solicitud de los estndares utilizados y programa de
trabajo.
Aplicacin del cuestionario al personal.
Anlisis y evaluacin del a informacin.
RD0001, SO 270331:2009 ,AI0001
Entrevistas previas:
Las entrevistas estarn dirigidas al personal responsable del rea informtica o a quien este de
responsable de la administracin y/o operacin de los sistemas y equipos de la entidad a auditar.
reas a entrevistar:
1. Encargado del rea de informtica.
2. Profesores que imparten informtica.
3. Personal administrativo.
ALCANCE DE LA AUDITORA
La auditora que se llevara acabo sera de tipo parcial, y tendr como limite el departamento de
Informtica y las reas que puedan tener nexo a dicho departamento.
Dentro de las reas en la que se centra la auditora sern:
rea de centro de computo eh infraestructura.
rea de sistemas y procedimientos.
Personal tcnico.
Direccin del departamento de informtica.
DETERMINACIN DEL REA A ESTUDIAR:

rea de sistemas y procedimientos.
Razones:
1) Poder observar la descripcin general de los sistemas instalados y de los que estn por
instalarse que contengan volmenes de informacin.
2) Revisar el manual de procedimientos de los sistemas.
3) Evaluar los sistemas de informacin en general desde sus entradas, procedimientos,
controles, archivos, seguridad y obtencin de informacin.
4) Verificar la adecuacin del sistema operativo, versin del software utilizado, como en los
aspectos relativos a la programacin de las distintas aplicaciones, prioridades de ejecucin,
lenguaje utilizado.
5)
verificar que la documentacin relativa al sistema de informacin sea clara, precisa,

actualizada y completa.
Evaluacin de los equipos de cmputo de la empresa XYZ:

Razones:
1. Revisar nmero de equipos, localizacin y las caractersticas (de los equipos instalados, por
instalar y programados).
2. Conocer las fechas de instalacin de los equipos y planes de instalacin.
3. Revisar la configuracin de los equipos y sus capacidades actuales.
4. Revisar las polticas de uso de los equipos.
5. Revisar el manual en el que se encuentra estructurada la forma en que se da el
mantenimiento al equipo informtico.
RECURSOS NECESARIOS PARA REALIZAR LA AUDITORIA
RECURSOS
REQUERIDOS
DISPONIBLES
Cantidad
MATERIALES
Material didctico:
5 lapiceros, 5 l piz, 100 hojas
papel bond, 5 borradores de
lpiz, 5 folders.
Mini laptop con programa de
ofimtica.
Ya especificada
Can para presentacin de

informe final
Transporte de personal
auditores, para dirigirse a la
institucin y regresar a la
universidad.
2 personas a
transportar
DOCUMENTACIN
Documentacin: Normativa
para alumnos sobre uso del
centro de computo.
10
Documentacin: Ultimo
Inventario realizado de
equipos en centro de
computo.
Organigrama de la institucin.
RECURSOS
REQUERIDOS
DISPONIBLES
CANTIDAD
HUMANOS
Personal encargado de
realizar inventario de equipo
(conocimientos bsicos
contables).
Personal que har inspeccin
fsica del centro de computo
(especialistas informticos)
Persona que elaborar la
documentacin del reporte
preliminar y por ende reporte
final . (especialistas
informticos).
4 (conformado por las

personas que
realizaran la
inspeccin y el
inventario)
Tabla 4: Tabla de recursos para la ejecucin de la auditora
PRESUPUESTO FINANCIERO PARA LA EJECUCION DE LA AUDITORIA.
CONCEPTO
Papelera
Copias
Impresiones
Lapices
Borradores
Lapiceros
Almuerzo
Refrigerios
Saldo para celular
Pasajes
Totales
FEBRERO
MARZO
ABRIL
MAYO
$0.25
$25.00
$1.00
$0.00
$1.00
$1.00
$1.00
$1.00
$1.20
$2.25
$3.00
$5.00
$1.00
$0.00
$0.00
$0.00
$1.00
$0.00
$0.00
$0.00
$1.00
$0.00
$0.00
$0.00
$8.00
$24.00
$24.00
$16.00
$5.00
$10.00
$10.00
$5.00
$1.00
$1.00
$1.00
$1.00
$2.00
$6.00
$6.00
$2.00
$21.45
$69.25
$46.00
$30.00
Ilustracin 1: Presupuesto necesario para realizar la auditora

11
CRONOGRAMA DE ACTIVIDADES
1 Primera Fase De La Auditoria

1.1 Obtener Informacin General De La Institucin
1.2 Primera Fase De La Auditoria
1.3 Evaluar Los Recursos Para La Ejecucin Del Trabajo
1.4 Establecer El Programa De La Auditora
2 Revisin Preliminar
2.1 Realizar Entrevista A Personal A Cargo
2.2 Evaluar Informacin Recopilada
3 Investigacin
3.1 Realizar Auditora
3.2 Analizar Informacin Recopilada
3.3 Elaborar Informe Preliminar Final (borrador)
3.4 Diagnostico De Informe Preliminar
4 Informe
4.1 Elaborar Informe Final
4.2 Entrega De Informe Final
Ilustracin 2: Periodo de febrero a mayo del 2016
PAPELES DE AUDITORIA.
IDENTIFICACIN DE REAS CRITICAS
Los cables de red se encuentran desordenados, a la vista y algn usuario podra pasar
halando los cables por error y daar fsicamente un equipo o el punto de red.
El centro de computo no tiene mucha ventilacin, y esto podra forzar el trabajo de los
equipos.
El servidor se encuentra igualmente accesible a cualquier usuario, no cuenta con ninguna

seguridad adicional.
12
SOFTWARE NECESARIO PARA REALIZAR LA AUDITORIA.
WinAudit
WinAudit es un programa totalmente gratuito que analiza las PC y muestra toda la informacin
referente a programas instalados, al sistema operativo, procesador, memoria y discos rgidos que se
utilizan. Con este software pretendemos realizar una auditora rpida y exhaustiva de dicha
informacin, configuracin de seguridad, inventario de hardware, configuracin de red.
El programa informa sobre prcticamente todos los aspectos del inventario de equipos y
configuracin. Los resultados se muestran en formato de pgina web, categorizados para facilitar la
visualizacin y bsqueda de texto. El programa cuenta con funciones avanzadas como deteccin de
etiqueta de servicio, diagnstico de falla de disco rgido, puerto de red para procesar la cartografa,
la velocidad de conexin de red, estadsticas de disponibilidad del sistema, as como la configuracin
de Windows Update y firewall.
Wireshark
Wireshark, es un software de anlisis de protocolos que se basa en las libreras Pcap. Se utiliza
comnmente como herramienta para realizar un anlisis de redes y aplicaciones en red. Wireshark
soporta una gran cantidad de protocolos (ms de 450), como ICMP, HTTP, TCP, DNS.
Funciona en varias plataformas, como Windows, OS X, Linux y UNIX. Es usado regularmente por
desarrolladores, profesionales de la seguridad y en muchos casos para la educacin. Es totalmente
gratis y de cdigo libre. Adems, est publicado bajo licencia GNU GPL versin 2.
Una de las ventajas que tiene Wireshark es que en un momento dado, podemos dejar capturando
datos en una red el tiempo que queramos y, posteriormente almacenarlos, con el fin de poder
realizar el anlisis ms adelante.
13
Programa de auditora
Actividad que
sera evaluada
Procedimiento
de auditora
Ref.P/t
Evaluar los
planes de
contingencias
que se estn
desarrollando
Evaluar los
planes de
contingencia
que se estn
desarrollando
actualmente,
mediante la
observacin de
los diferentes
planes.
ISO 27033
1:2009
26-abril
ISO 27033
1:2009
26-abril
Evaluar si
Pedir manuales
existen
donde se
polticas por
encuentren
escrito sobre
reflejadas las
los planes que polticas sobre
ellos realizan
los planes de
en las
contingencias
diferentes
ya que deben
reas que
tener los
existen
documentos
respectivos
ISO 27033
1:2009
27-abril
Evaluar las
Realizar una
aplicaciones de
serie de
simulacros as
simulacros
como los
para verificar si
planes de
los planes de
contingencias contingencia
responden
satisfactoriame
nte,
ISO 27033
1:2009
27-abril
Evaluar si los
Preguntar a
empleados
empleados si
conocen sobre
conocen los
sus planes de
planes de
contingencias contingencia. Y
si alguna vez a
realizado
simulacros.
Revisar la
Examinar si el
estructura de la cableado de la
red
empresa
AI0001
28-abril
Hecho por
Fecha
14
cumple con los

estndares de
la industria y si
se encuentra
debidamente
protegido
Configuracin
del firewall
Revisar si
existe un
firewall
implementado,
y detecta y
protege contra
ataques de
direcciones
ataques de
denegacin de
servicios
AI0001
28-abril
Revisin de
polticas
AI0001
30-abril
Verificar que
existen
polticas y
procedimiento
s establecidos
que describen
la
configuracin y
criterios de
mantenimiento
asociados con
los dispositivos
de red
AI0001
30-abril
Revisar el
Identificar que
bloqueo de
maquinas de
algunas
los diferentes
computadoras departamentos
para salir a
tienen acceso a
internet
internet
AI0001
30-abril
Verificar que
Observar la
los empleados configuracin
cambien las
del correo
contraseas de electrnico de
sus correo
cada cuenta
ISO 27033
1:2009
31-abril
10
Observar la
Monitorizar las
actividades de actividades de
los usuarios
los empleados
en tiempo real,
el cual sera
15
realizado con
un software
11
12
Evaluar la
rapidez del
envo de
informacin
Chequeo de
Verificar y
elementos que
realizar
sirvan para la pruebas sobre
comunicacin
conexiones
seguras
establecidas
ISO 27033
1:2009
31-abril
RD0001
31-abril
Seguridad de
servidores
Verificar si las
polticas,
procedimiento
s y practicas
establecidas
describen
como los
componentes
de la red, estn
configurados
para asegurar
una seguridad
apropiada
RD0001
1-mayo
Inventario de
servidores
Por cada
componente
de red,
verificar que se
mantiene un
inventarios
actual de las
especificacione
s de los
componentes
RD0001
1-mayo
Medir la
velocidad del
internet
Realizar una
medicin del
ancho de
banda del
internet por
medio de un
tester virtual
13
14
15
Realizar
pruebas para
verificar la
rapidez del
envo de
informacin
mediante los
FTP
1-mayo
16
Bloqueo
aplicaciones
Verificar que
personas
poseen
privilegios en
sus
computadoras
y quienes se les
restringen
accesos a
diferentes
aplicaciones
1-mayo
Servicio de
nombres de
dominio DNS
2-mayo
17
Identificar
todos los
servidores DNS
en la red
interna y
determinar si
la organizacin
administra sus
proas bases de
datos de DNS o
usa un
proveedor
externo.
2-mayo
18
Continuidad en Se conecta un
los cables de
tester de
red
extremo a
extremo en
cada cable de
red con el fin
de identificar si
el punto de red
esta bueno y
comprobar que
pertenece al
equipo que
dice la vieta.
16
17
Dictamen de la auditora.
El trabajo tuvo por objetivo revisar y evaluar las polticas, practicas y procedimientos utilizadas en el
centro de capacitaciones de la empresa XYZ, adems se evalu el cableado y la infraestructura de
red del centro de computacin.
Alcance
Verificar la infraestructura de red del centro de computo
verificar la seguridad de la informacin en el centro de computo
verificar el licenciamiento de software de los equipos
Los resultados obtenidos son los siguientes:.

1 Infraestructura de red.
1.1 cableado
Los cables de red no cuentan con la proteccin adecuada, estn tendidos sin ninguna sujecin, lo
ideal es montar una estructura de canaleta plstica superficial para guiar los cables de una manera
segura y proteger los puntos de red y las tarjetas de red de los equipos ya que un tirn en un cable
puede daar el punto de red y la tarjeta de red de la computadora.
1.2 Identificacin de los puntos de red.
Los puntos de red tienen vietas para identificar el punto del swich y la pc que se comunica con
dicho punto.
Sin embargo realizamos pruebas de continuidad en los puntos de red y muchos puntos se han
movido de lugar, y no apuntan a la computadora sealada. Esto puede dar problemas para dar
mantenimiento a un punto de red daado, ya que sera muy difcil identificar el punto.
Es necesario actualizar peridicamente el vietado de los cables.
1.3 Tipo de cable utilizado.
El cable utilizado es un cable certificado CAT 5e Next. No se encontr problemas de resistencia con
el cableado de red, el cable esta en perfecto estado y cumple con los estndares del mercado.
2. Seguridad del servidor.
El servidor de centro de computo, tiene los siguientes servicios
Servidor de bases de datos SQLServer 2014
18
Servidor FTP con ISS Net 4.5.
Servidor web con ISS Net4.5.
Servidor LDAP con PeopleSoft.
Servidor Firewall.
2.1 Sesiones de usuarios y privilegios de usuarios.

El servidor del centro de computo efectivamente cuenta con polticas de seguridad, tiene un firewall
virtual, manejo de sesiones con peoplesoft , las cuales dan privilegios a una computadora segn el
nombre del usuario y el nombre del hosts.
El administrador del servidor es el Ingeniero X es la nica persona que tiene acceso al mismo. El
servidor tienen contrasea aunque no se cambian de forma peridica.
No ay polticas de cambios de contraseas las cual recomendamos para evitar vulnerabilidades en el
sistema.
2.2 Jerarqua de usuarios y permisos del FTP
El servidor cuenta con un FTP que toma en cuenta los privilegios del usuarios de la maquina por
autenticacin Windows. Y efectivamente maneja una jerarqua de carpetas y permisos por usuarios,
por lo cual e FTP es bastante seguro.
2.3 Firewall para evitar intrusiones en el servidor.
El Firewall del servidor al exterior cuenta con un manual de configuraciones, el cual indica el
bloqueo de todos los puertos excepto el puerto 80 para internet y el 21 del servidor FTP, adems
tiene habilitado el puerto de conexin segura 22 SSH.
2.4 Puertos de firewall internos abiertos.
Internamente estn abiertos los puertos de 636 de LDAP seguro y el 443 para navegacin segura con
certificados SSL, lo que indica que no se puede navegar en paginas que no cuentan con un tipo de
certificado similar.
2.5 Licenciamiento de software en el servidor.
En cuanto a las licencias de los programas en el servidor todo el software es legitimo y el encargado
del centro de computo tiene los certificados de instalacin de cada una de sus licencias.
2.6 Seguridad fisica del servidor.
El servidor tiene un gabinete protegido con cerradura lo que impide el acceso a las partes internas
del servidor, adems a nivel de bios cuenta con un log warning de infiltracin de gabinete, cada vez
que este se abre deja un registro y lo envo al administrador, probamos esta configuracin y
efectivamente las pruebas fueron exitosas.
19
2.7 rea fsica dedicada al servidor.

El servidor no tiene un rea protegida dedicada para el, cualquiera con acceso al centro de computo
puede tratar de acceder al servidor y daarlo, o desconectarlo fsicamente.
2.8 Alta disponibilidad en el servidor.
Realizamos las pruebas de apagn de luz y los bancos de batera del servidor son de vanguardia,
estn en perfecto estado y el servidor no sufri ningn tipo de apagn, el UPS del servidor es un
Powerware EATON 9000. que notifica tambin al administrador cuando ay un apagn de luz despus
de 5 minutos.
3 Computadoras Clientes.
3.1 Dominios en las computadoras.
Las computadoras cliente estn bajo dominio del servidor y no tienen privilegios de administrador
para hacer cambios de dominios, pertenecen a una misma jerarqua de red.
3.2 Acceso a internet en las computadoras cliente.
Todas las computadoras tienen salida a internet por un tiempo limitado, cada vez que se imparte
una clase, el administrador del centro de computo hace una peticin al servidor el cual da un
certificado por hora y media para navegar por internet, solamente a sitios seguros.
3.3 Licenciamiento del software en las computadoras cliente.
Las licencias de Windows son originales y se cuentan con los certificados de cada equipo, el
encargado del centro de computo es el nico que tiene acceso a estos certificados.
3.4 Licenciamiento del software de terceros.
El software instalado en las computadoras es original y tambin cuenta con certificados,
encontramos software que funciona con licencia trial, que aun no se an adquirido pero que tampoco
estn parchados de alguna forma, as que son programas legtimos.
3.5 Antivirus de las computadoras cliente.
Las computadoras clientes tienen la versin de Eset Nod32 instalado y actualizado a la fecha.
20
4 El router
El router cisco,cuenta con contrasea y polticas de acceso, tiene activado el firewall a internet, y
maneja direccionamiento DHCP.
El nico problema que encontramos es que el router tiene un tiempo de alquiler de direcciones muy
alto y por eso aveces el pool de direcciones no abastece al todas las computadoras, dando
problemas de navegacin en algunas computadoras, porque el router no les puede servir una
direccin ip, nueva.
5 Planes de contingencias
No se cuentan con planes de contingencia especficamente para el centro de computo. Ay un plan de
contingencia general de toda la institucin, donde se mencionan rutas de evacuacin, localizacin de
extintores, puntos de reunin. Podramos decir que el plan es muy general y que recomendamos
existen un plan especifico por cada rea, pues el plan de contingencia para el centro de computo
tendra que incluir polticas de respaldo de las licencias, los datos entre otras cosas.
En el centro de computo los usuarios no tienen idea de los planes de contingencia, mas que las
instrucciones generales que conocen por los rtulos que hay de que hacer en caso de.. ubicados
en las paredes de la institucin.
No existen un servidor de respaldo en caso de un dao en el disco duro del servidor, ni un plan que
contemple ese procedimiento
Pase lo que pase se llama al ingeniero X quien determina el tipo de problema y si es problema de
configuracin o permisos lo resuelve el mismo y si es problema fsico del equipo manda a un
personal de soporte tcnico, para realice los ajustes necesarios.
Importancia del anlisis FODA para la toma de decisiones.

Fortalezas
Pro actividad en la gestin
Conocimiento del mercado
Grandes recursos financieros
Buena calidad del servicio.
Equipamiento de ltima generacin
Experiencia de los recursos humanos
21
Debilidades
Falta de capacitacin.
Falta de uso de normativas.
Oportunidades
1. Regulacin a favor
2. Competencia dbil
3. Mercado mal atendido
4. Necesidad del producto
Amenazas
Conflictos gremiales
Regulacin desfavorable
Cambios en la legislacin
Competencia consolidada en el mercado
22
Anexos.
CUESTIONARIO DE SEGURIDAD FISICA:
PREGUNTA
SI
NO
1. Se han adoptado medidas de seguridad en el departamento de sistemas

de informacin?
2. Se ha dividido la responsabilidad para tener un mejor control de la
seguridad?
3. Existe personal de vigilancia en la institucin?
4. Se investiga a los vigilantes cuando son contratados directamente?
5. Existe una persona encargada de velar el equipo y accesorios en el
centro de cmputo de cmputo las 24 horas?
6. Se registra el acceso al centro de cmputo de personas ajenas a la
direccin de informtica?
7. Los interruptores de energa y cables de red estn debidamente
protegidos, etiquetados y sin obstculos para alcanzarlos?
8. Se revisa frecuentemente que no est abierta o descompuesta la
cerradura de esta puerta y de las ventanas, si es que existen?
9. Se ha prohibido a los operadores el consumo de alimentos y bebidas en
el interior del departamento de cmputo para evitar daos al equipo?
10. Se limpia con frecuencia el polvo acumulado en el piso y los equipos?
11. Se tiene una calendarizacin de mantenimiento preventivo para el
equipo?
12. Las caractersticas fsicas del centro de cmputo son seguras ?
13. La distribucin de los equipos de cmputo es adecuada?
14. Existen polticas de seguridad para el centro de cmputo?
23
CUESTIONARIO SEGURIDAD DEL PERSONAL:

N
PREGUNTA
SI
NO
Se han adoptado medidas de seguridad para el personal y usuarios del centro

1
de cmputo?
Se ha instruido a estas personas sobre qu medidas tomar en caso de que
2
alguien pretenda entrar sin autorizacin?
3
El centro de cmputo tiene salida de emergencia?
Se ha adiestrado el personal en el manejo de los extintores?

Saben que hacer los operadores del departamento de cmputo, en caso de
5
que ocurra una emergencia ocasionado por fuego?
Se ha adiestrado a todo el personal en la forma en que se deben desalojar las
6
instalaciones en caso de emergencia?
Tienen manuales que contengan normas y polticas de seguridad del
7
personal?
8
Existen manuales y polticas de mitigacin de riesgos?
SEGURIDAD DE SOFTWARE Y HARDWARE:
N
1
PREGUNTA
SI
NO
Se han instalado equipos que protejan la informacin y los dispositivos

en caso de variacin de voltaje como: reguladores de voltaje,
supresores pico, UPS, generadores de energa?
Se hacen revisiones peridicas y sorpresivas del contenido del disco

para verificar la instalacin de aplicaciones no relacionadas a la gestin
24
de La institucin?
3
Se mantiene programas y procedimientos de deteccin e inmunizacin

de virus en copias no autorizadas o datos procesados en otros equipos?
Existen controles que garanticen el uso adecuado de discos y

accesorios de almacenamiento masivo?
Se aprueban los programas nuevos y se revisan antes de ponerlos en

funcionamiento?
Existe un programa de mantenimiento preventivo para cada dispositivo

del sistema de cmputo?
Existe legalidad de cada sistema operativo o programa.
Existe un plan de actividades previo a la instalacin?
Existe documentacin que garantice la proteccin e integridad de los

recursos informticos.
10
Existen normas o procesos que no permitan hacer Modificaciones en la

configuracin del equipo o intentarlo?
11
Existe un control que prohba Mover, desconectar y/o conectar equipo

de cmputo sin autorizacin.
12
Existen inventarios de hardware, equipos y perifricos asociados y del

software instalado.
13
Los sistemas de hardware se acoplan adecuadamente con la funcin

del software?
14
Existen revisiones peridicas del hardware y software
25
CUESTINARIO DE SEGURIDAD EN LOS DATOS:

N
PREGUNTA
La organizacin tiene un sistema de gestin de base de datos (SGBD)?
La interfaz que existe entre el SGBD y el SO es el adecuado?
Existe un control estricto de las copias de estos archivos?
Las bases de datos guardan la informacin necesaria y adecuada para
SI
N
O
la institucin educativa?
5
Existe una persona responsable de la base de datos de la institucin?
Se mantiene un registro permanente (bitcora) de todos los procesos

realizados, dejando constancia de suspensiones o cancelaciones de
procesos?
Se han implantado claves o password para garantizar operacin de

consola y equipo central (mainframe), a personal autorizado.
Existen backups y se guardan en lugares seguros y adecuados?
Se realizan auditorias peridicas a los medios de almacenamiento?
10
Existe un programa de mantenimiento preventivo para el dispositivo

del SGBD?
11
Existen integridad de los componentes de seguridad de datos?
12
Existen procedimientos de realizacin de copias de seguridad y de

recuperacin de datos?
13
Existe un perodo mximo de vida de las contraseas?
14
En la prctica las personas que tienen atribuciones y privilegios dentro

del sistema para conceder derechos de acceso son las autorizadas e
incluidas en el Documento de Seguridad?
15
Existen procedimientos de asignacin y distribucin de contraseas?
16
Existen procedimientos para la realizacin de las copias de seguridad?
26
17
Existen controles sobre el acceso fsico a las copias de seguridad?
18
Existen diferentes niveles de acceso al sistema de gestin de

contenidos?
Resultados de respuestas ARP

PING lapagina.com.sv (158.69.199.25) 56(84) bytes of data.
64 bytes from 25.ip-158-69-199.net (158.69.199.25): icmp_seq=1 ttl=41 time=153 ms
27

28

PING lapagina.com.sv (158.69.199.25) 56(84) bytes of data.
29

30

31
Bibliografa.
Libros consultados.
1. Jos Antonio Echenique Garcia , Auditoria en informtica. Editorial McGraw Hill. Segunda
edicin,
2. Licda Ana Lissette Giron de Bermudez, Diapositivas de Auditora de sistemas, clases y material de
apoyo impartida en la ctedra de auditora de la Universidad Luterana Salvadorea ciclo I -2016.
paginas en internet
1. http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml#
ixzz2rvmlumwg
2. http://www.monografias.com/trabajos3/concepaudit/concepaudit
.shtml#ixzz2rvn6g5FS
3. https://www.silabs.com/Support%20Documents/TechnicalDocs/UG131.pdf
4. http://www.mouser.com/ProductDetail/Silicon-Labs/RD-0001-0201/?qs=BA62vJVifGq%2FB
%252bDj677ILg%3D%3D
32

Auditoria de La Empresa XYZ

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria de La Empresa XYZ

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD LUTERANA SALVADOREA

FACULTAD DE CIENCIAS DEL HOMBRE Y LA NATURALEZA

Rafael Antonio Diaz Palacios

MISIN Y VISIN DE LA EMPRESA XYZ

ORGANIGRAMA INSTITUCIONAL DE LA EMPRESA XYZ

Tabla 1: Organigrama de la institucin

DESCRIPCIN DE LAS APLICACIONES UTILIZADAS POR EL CENTRO DE CAPACITACIONES DE LA

El sistema operativo utilizado en las computadoras clientes es Windows7 pro.

El mantenimiento se le da a cada computadora cada vez que termina un periodo en la

INVENTARIO DE EQUIPO QUE EST EN USO EN EL CENTRO DE CMPUTO:

Computadoras de escritorio modelos Genricos (Clones).

WorkStation Dell Precistions 7600 (Como servidor).

Teclados Genius k8600

Mouses Genius M100

Tabla 2: Inventario de las computadoras.

Tabla 3: Inventario del equipo de red

RELACIN DE FUNCIONARIOS O PERSONAL A CARGO DEL REA A EXAMINAR

Aula de capacitaciones de la empresa XYZ

Para la evaluacin del centro de computo se llevarn a

rea de centro de computo eh infraestructura.

rea de sistemas y procedimientos.

Direccin del departamento de informtica.

DETERMINACIN DEL REA A ESTUDIAR:

verificar que la documentacin relativa al sistema de informacin sea clara, precisa,

Evaluacin de los equipos de cmputo de la empresa XYZ:

Can para presentacin de

4 (conformado por las

Tabla 4: Tabla de recursos para la ejecucin de la auditora

PRESUPUESTO FINANCIERO PARA LA EJECUCION DE LA AUDITORIA.

Ilustracin 1: Presupuesto necesario para realizar la auditora

1 Primera Fase De La Auditoria

Ilustracin 2: Periodo de febrero a mayo del 2016

El servidor se encuentra igualmente accesible a cualquier usuario, no cuenta con ninguna

SOFTWARE NECESARIO PARA REALIZAR LA AUDITORIA.

cumple con los

Verificar la infraestructura de red del centro de computo

verificar la seguridad de la informacin en el centro de computo

verificar el licenciamiento de software de los equipos

Los resultados obtenidos son los siguientes:.

Servidor de bases de datos SQLServer 2014

Servidor FTP con ISS Net 4.5.

Servidor web con ISS Net4.5.

Servidor LDAP con PeopleSoft.

2.1 Sesiones de usuarios y privilegios de usuarios.

2.7 rea fsica dedicada al servidor.

Importancia del anlisis FODA para la toma de decisiones.

Pro actividad en la gestin

Conocimiento del mercado

Grandes recursos financieros

Buena calidad del servicio.

Equipamiento de ltima generacin

Experiencia de los recursos humanos

Falta de uso de normativas.

Competencia consolidada en el mercado

1. Se han adoptado medidas de seguridad en el departamento de sistemas

CUESTIONARIO SEGURIDAD DEL PERSONAL:

Se han adoptado medidas de seguridad para el personal y usuarios del centro

El centro de cmputo tiene salida de emergencia?

Se ha adiestrado el personal en el manejo de los extintores?

Existen manuales y polticas de mitigacin de riesgos?

SEGURIDAD DE SOFTWARE Y HARDWARE:

Se han instalado equipos que protejan la informacin y los dispositivos