Está en la página 1de 121

INTEGRANTES:

ISABEL VILCA QUISPE


JOSE LUIS CALLACONDO
SHIRLEY MAMANI RODRIGUEZ
DOCENTE:
ALEX ZUIGA INCALLA

INDICE
Dedicatoria......................................................................................2
SOLICITUD DE AUDITORA INTERNA A LA EMPRESA OLVA CORIER........3
PLANEACION DE LA AUDITORIA INFORMATICA....................................5
1.1. ORIGEN DE LA AUDITORIA:................................................................6
1.2. OBJETIVO GENERAL............................................................................. 6
1.3. OBJETIVOS ESPECIFICOS....................................................................6
1.4. ANTECEDENTES................................................................................... 6
1.5. ENFOQUE A UTILIZAR.........................................................................9
1.6. PERSONAL A CARGO DE AUDITAR.....................................................9
1.7. CRONOGRAMA DE TRABAJO.............................................................10
Diagrama de actividades...........................................................12
Auditoria del hardware..............................................................13
1.8. DOCUMENTOS A SOLICITAR.............................................................14
1.9. AUTORIDADES DE LA EMPRESA OLVA CORIER..............................14
1.10.

PRINCIPALES ACTIVIDADES:...............................................14

1.11.

RECURSOS PARA LA AUDITORIA..........................................15

Humanos:....................................................................................15
Materiales:..................................................................................15
Tecnolgicos................................................................................16
1.12.

METODOLOGIA................................................................................ 16

1.13.

ANALISIS FODA...............................................................................18

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

Dedicatoria
Por este medio agradecemos a OLVA COURIER por permitir realizar nuestro trabajo
dentro de sus instalaciones, as permitirnos obtener experiencia como auditores
en informtica. Apreciamos la confianza que nos brindaron, brindando todo lo que
necesitbamos para la elaboracin del documento, tiempo, informacin, etc.

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

SOLICITUD DE AUDITORA INTERNA A LA EMPRESA OLVA CORIER


En Ilo, a 2 de Diciembre de 2013.
Yo, Jos Luis Callacondo, mayor de edad, con DNI 47014048, en condicin
de alumno de la Universidad Nacional de Moquegua de la carrera
profesional ingeniera de sistemas e informtica del VIII ciclo.
EXPONE:
1) Que segn la Norma ISO (Organizacin Internacional de Normalizacin)
9001:2008, de Gestin y Aseguramiento de la Calidad, el centro se
encuentra en fase de implantacin del Sistema General de Calidad.
2) Que de acuerdo en lo establecido en la Normas del rea de
Informtica, sobre Seguimiento y medicin, es preceptivo la realizacin
de la Auditora Interna.
Es por ello que a la Empresa OLVA CORIER
SOLICITA:

Que para la realizacin de dicha Auditora del ao 2013 se enve a los


pertinentes Auditores Internos de la empresa.

Que la realizacin de la Auditora Interna en el centro al que representa


se realice en el mes de Diciembre y preferentemente en el da de la
semana 16 al 28 .
UNIVERSIDAD NACIONAL DE MOQUEGUA

49

Que no se realice la Auditora Interna en su centro los das Sbados ni


Domingos

Asimismo, el centro asume el compromiso de cumplir con las pautas que se le


indiquen y a la colaboracin con el Auditor para la realizacin de sus funciones.
Para que as conste, se solicita en forma y plazo
1 de Diciembre de 2013

---------------------------------ATT. Jos Luis Callacondo


PRESIDENTE DE AUDITORIA INFORMTICA

---------------------------------ATT. Isabel Vilca Quispe


AUDITORA INFORMATICA

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

---------------------------------ATT. Shirley Mamani Rodriguez


AUDITORA INFORMATICA

INTRODUCCIN

En la Actualidad los Sistemas Informticos constituyen una herramienta bastante


poderosa para la mejora de rendimiento de toda organizacin empresarial.
Del mismo modo, no solo se trata de adquirir tecnologa, sino que tambin
es necesario saber darle el uso adecuado de acuerdo a los Requerimientos
particulares de un determinado usuario o grupos usuarios.
La Auditora Informtica, es un punto clave en este sentido, debido a que, si
bien es cierto,
reas

ayuda a detectar errores y sealar fallas en determinadas

procesos,

planteando

mtodos

informacin

que

son

su
y

objetivo

est

procedimientos

validos

para

orientado
de

cualquier

control

a
de

empresa

brindar soluciones,
los sistemas

de

u organizacin por

pequea que esta sea.


El auditor informtico ha de velar por la correcta utilizacin de los amplios
recursos que la empresa pone en juego para disponer de un eficiente y eficaz
sistema de informacin.

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

Cabe resaltar que para la realizacin de una auditoria informtica eficaz, es


necesario entender a la empresa en su ms amplio sentido, El presente informe,
realizado por la empresa JC auditores, plantea un estudio profesional del los
diversos factores que pueden estar influyendo en las operaciones de la empresa
auditada OLVA COURIER a fin de brindar las soluciones y recomendaciones
pertinentes.

PLANEACION DE LA AUDITORIA
INFORMATICA

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

AUDITORIA INFORMATICA
AUDITORIA INFORMATICA A LA EMPRESA OLVA CORIER S.A.

1.1. ORIGEN DE LA AUDITORIA:


La presente Auditoria se realiza en el cumplimiento de las normas de
seguridad en dicha rea de acuerdo al estndar ISO 9000
1.2. OBJETIVO GENERAL
Supervisar el rea de informtica de la empresa , de igual manera revisar su
utilizacin, eficiencia y seguridad para su previa participacin en el
procesamiento de la informacin, para que logre una utilizacin mas
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

eficiente y segura informacin que servir para una adecuada toma de


decisiones.
1.3. OBJETIVOS ESPECIFICOS
Evaluar el diseo de los equipos de computo del rea de informtica
Determinar la veracidad de la informacin del rea de Informtica
A analizar su estandarizacin y evaluar el cumplimiento de los mismos.
Evaluar la forma como se administran los dispositivos de

almacenamiento bsico del rea de Informtica


Evaluar el control que se tiene sobre el mantenimiento y las fallas de las

Pcs.
Verificar

las

disposiciones

reglamentos

que

coadyuven

al

mantenimiento del orden dentro del rea de cmputo.


1.4. ANTECEDENTES
El 23 de marzo de 1987, dos jvenes empresarios decidieron fundar Olva &
Asociados S.R.L., empresa de correo privado dirigida a especializarse
exclusivamente al correo nacional. Hoy, nos hemos convertido en el
courier ms grande del Per: OLVA COURIER.
Gracias al buen servicio, la conformidad y los mejores tiempos de entrega,
servicios complementarios a nivel nacional, y la confianza que se gener
entre nuestros clientes, es que entre los aos 1990 y 1991, logramos una
importante cartera de ms de 600 clientes corporativos, pertenecientes a
diversos sectores de negocio.
Ya para 1996 nos habamos convertido en una organizacin con 68 oficinas
en todo el Per, dedicadas al servicio de entregas, todas adecuadamente
equipadas y con la debida infraestructura.
Al nuevo milenio, ingresamos como una empresa slida que cuenta con un
almacn central de 3.300 m2, 14 locales de atencin al pblico ubicados
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

en distritos estratgicos de Lima, 270 oficinas en provincias y ms de 200


unidades mviles que recorren todo el pas.
En el 2011, continuando con nuestro espritu de crecimiento, en OLVA
COURIER iniciamos una nueva etapa al lanzar nuevas unidades de negocio:
Olva Carga, Olva Export-Import, Olva TI; y una nueva lnea de servicio de
gestiones con cobertura nacional: verificaciones, cobranzas, trmites,
firma de contratos, outsoursing, control de colas y auditora de envos
masivos.
Tras 25 aos de experiencia, repotenciamos la marca y renovamos el
logotipo e identidad corporativa. Nuestra red de oficinas se consolida
siendo la nica que permite brindar servicios de Lima a provincias, de
provincias a Lima, entre provincias y locales, soportando una cartera de
clientes corporativos superior a las 1,000 empresas y ms de 2 millones de
personas naturales, convirtiendo a OLVA COURIER en la empresa lder en el
servicio courier en el pas.

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

1.5. ENFOQUE A UTILIZAR


La presente accin de control, se realiza de acuerdo con el organismo
central y rector de los Sistemas Nacionales de Estadstica e Informtica,
responsable de normar, supervisar y evaluar los mtodos, procedimientos y
tcnicas estadsticas e informticas utilizados por los rganos del Sistema
INEI

(Instituto

Nacional

de

Estadstica

Informtica),

Normas

Internacionales de Auditoria (NIA); habindose aplicado procedimientos de


Auditoria que se consideraron necesarios de acuerdo a las circunstancias.
Esta accin se realizara de acuerdo al objetivo de la auditoria informtica
tomando en cuenta que cada uno de los integrantes del equipo
participaremos como responsables cumpliendo ciertas condiciones las
cuales son supervisar y evaluar los procedimientos y tcnicas informticas
utilizadas en esta institucin.
Habiendo as aplicado los procedimientos de auditoria que se consideren
necesarios de acuerdo a las circunstancias.
La presente Auditoria Informtica se realizara en la empresa OLVA CORIER,
ubicada en el Distrito de Ilo, Departamento de Moquegua, siendo el rea a
examinarse la de Informtica.
1.6. PERSONAL A CARGO DE AUDITAR

ORGANIZACIN QUE LLEVA


LA AUDITORIA

JEFE AUDITOR:
JOSE LUIS
UNIVERSIDAD NACIONAL DE MOQUEGUA
CALLACONDO
49

AUDITOR:
ISABEL VILCA QUISPE

AUDITOR:
SHIRLEY MAMANI
ROGRIGUEZ

1.7. CRONOGRAMA DE TRABAJO


PROGRAMA DE AUDITORIA
Empresa: Olva Courier S.A.
ACTIVIDAD
HORAS

FASE

ENCARGADOS

ESTIMA
1

Planificar
1.Solicitud

de

manuales

Documentacin

DAS
16-19 de

-Ing. Isabel

diciembr

Vilca Quispe

- Ing. Jos Luis

2.Elaboracion de Cuestionarios

Callacondo

3.Recopilacion de la Informacin

- Ing. Shirley

4.Pistas de auditoria

Mamani

5.Obtencion

para

evidencia

de

Rodrguez

auditoria
6.Reconocimiento

de

factores

internos de la entidad a auditar


2

Ejecutar
1.Aplicaciones del cuestionario al
Personal

20-27 de

-Ing. Isabel

diciembr

Vilca Quispe

- Ing. Jos Luis

2.Analisis de las claves de acceso y

Callacondo

control seguridad, confiabilidad y

- Ing. Shirley

respaldos

Mamani

3.Evaluacion
relevamiento
software,

de
de

los

sistemas;

hardware

evaluacin

del

Rodrguez

diseo

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

lgico y del desarrollo del sistema


4.

Evaluacin

de

la

estructura

orgnica de la empresa.
5. Evaluacin del rea informtica
y su flujo de trabajo.
6. Evaluacin de las normas de
seguridad en dicha entidad sobre
posibles riesgos.
7.Evaluacin del proceso de datos
y de los equipos de cmputo:
seguridad de los datos, control de
operacin

seguridad

fsica

procedimientos de respaldos
3

verificar
1.Revision de papeles de trabajo y
solicitud de requerimientos
2.Determinacion

de

27
diciembr
e

diagnstico

-Ing. Isabel
Vilca Quispe
- Ing. Jos Luis
Callacondo

Implicaciones

- Ing. Shirley

3.Elaboracion de carta de Gerencia

Mamani

4.Elaboracion de Borrador(Informe

Rodrguez

Preliminar / Memorando)
Actuar
1.Elaboracion y presentacin del
Informe
2.Seguimiento

28diciembr
e

-Ing. Isabel
Vilca Quispe
- Ing. Jos Luis
Callacondo
- Ing. Shirley
Mamani
Rodrguez

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

Diagrama de actividades

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

Auditoria del hardware

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

1.8.

DOCUMENTOS A SOLICITAR
Polticas, estndares, normas y procedimientos.
Plan de sistemas.
Planes de seguridad y continuidad
Contratos, plizas de seguros.
Organigrama y manual de funciones.
Manuales de sistemas.
Registros
Entrevistas
Archivos
Requerimientos de Usuarios
1.9. AUTORIDADES DE LA EMPRESA OLVA CORIER
DIRECTOR

VASQUEZ LOPEZ GUSTAVO

DIRECTOR ADMINISTRATIVO

VASQUEZ VELA ROSA MERCEDES

DIRECTOR GERENTE

VASQUEZ VELA ANDERSON

1.10. PRINCIPALES ACTIVIDADES:


Olva Courier ofrece los siguientes servicios:
1) Soluciones courier: - Recojo y entrega a domicilio. - Retorno de
cargos adjuntos y guas de remisin. - Embalaje sin costo y embalaje

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

especial. - Reporte de entregas diarias, semanales o mensuales. - Sistema


de comunicacin en tiempo real entre todas las oficinas.
2) Soluciones logsticas: - Servicio de carga. - Compras urgentes.
3) Transferencias de dinero.
4) Outsourcing:
* Municipalidad: - Partida de matrimonio. - Partida de nacimiento.
* Notaras: - Copia de minuta. - Carta notarial.
* Licitaciones: - Compra de bases. - Concursos pblicos. Adjudicaciones directas.
* Essalud/Red asistencial: - Cobranzas de cheque. - Recojo de
muestras. - Recojo de comprobantes de retencin.

- Compra de

bases.
* Iglesias:
comunin.

- Partida de confirmacin. - Partida de primera


- Partida de bautizo. - Partida de matrimonio.

* Ministerio de educacin:

- Certificado de estudios.

- Compra

de formatos de ttulo.
* Colegios: - Certificado de estudios.
* SUNARP: -Ttulos de propiedad.
propiedad.

- Ttulo vehicular.

- Tarjetas de

- Duplicado de tarjetas de propiedad

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

1.11. RECURSOS PARA LA AUDITORIA


Humanos:

Auditor principal.
Asesores.
Materiales:

Materiales de escritorio y oficina.


Fotocopias.
Pendrive (USB).
Computadora de escritorio.
Cartuchos de tinta.

Tecnolgicos.

Paquete Office.
Internet Speedy 4MB
Telefona
Impresora multifuncional.
Laptops.

1.12. METODOLOGIA
La metodologa de investigacin a utilizar en el proyecto se presenta a
continuacin:
Para la evaluacin del rea de Informtica se llevarn a cabo las siguientes
actividades:

Solicitud de los estndares utilizados y programa de trabajo


Aplicacin del cuestionario al personal
Anlisis y evaluacin del a informacin
Elaboracin del informe
Para la evaluacin de los sistemas tanto en operacin como en
desarrollo se llevarn a cabo las siguientes actividades:
UNIVERSIDAD NACIONAL DE MOQUEGUA

49

o Solicitud del anlisis y diseo del os sistemas en desarrollo y en


operacin
o Solicitud de la documentacin de los sistemas en operacin
(manuales tcnicos, de operacin del usuario, diseo de archivos y
programas)
Recopilacin y anlisis de los procedimientos administrativos de

cada sistema (flujo de informacin, formatos, reportes y consultas)


o Anlisis de llaves, redundancia, control, seguridad, confidencial y
respaldos
o Anlisis del avance de los proyectos en desarrollo, prioridades y
personal asignado
o Entrevista con los usuarios de los sistemas
o Evaluacin directa de la informacin obtenida contra las
o
o
o
Para

necesidades y equerimientos del usuario


Anlisis objetivo de la estructuracin y flujo de los programas
Anlisis y evaluacin de la informacin recopilada
Elaboracin del informe
la evaluacin de los equipos se llevarn a cabo las siguientes

actividades:
o Solicitud de los estudios de viabilidad y caractersticas de los equipos
o

actuales, proyectos sobre ampliacin de equipo, su actualizacin


Solicitud de contratos de compra y mantenimientos de equipo y

o
o
o

sistemas
Solicitud de contratos y convenios de respaldo
Solicitud de contratos de Seguros
Elaboracin de un cuestionario sobre la utilizacin de equipos,
memoria, archivos, unidades de entrada/salida, equipos perifricos y

su seguridad
o Visita tcnica de comprobacin de seguridad fsica y lgica de la
instalaciones de la Direccin de Informtica
o Evaluacin tcnica del sistema electrnico y ambiental de los equipos
y del local utilizado
o Evaluacin de la informacin recopilada, obtencin de grficas,
porcentaje de utilizacin de los equipos y su justificacin
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

Elaboracin y presentacin del informe final ( conclusiones y


recomendaciones)
1.13. ANALISIS FODA
Fortalezas
o Disponibilidad de recursos econmicos.
o Personal Directivo y tcnico con experiencia(sistemas computacionales)
Oportunidades
o Buen servicio y trato.
Debilidades
o
o
o
o

Falta de planes y Programas Informticos.


Escasa capacidad sobre conocimientos en informtica
No existe programas de capacitacin y actualizacin al personal
Personal tcnico Calificado insuficiente en el rea de computo

Amenazas
o sistemas obsoletos
o falta de mantenimiento a los equipos
o robo de material de trabajo de esta aula
ANLISIS INTERNO

FORTALEZAS
DEBILIDADES
Control de Almacn.
Tratamiento personalizado a
clientes,
orientacin
y
Realizar grandes proyectos en el
asesoramiento.
sector privado y pblico.
Integracin de productos y
Dependencia de los servicios
servicios
buscando
sinergias
subcontratados.
entre ellos.
Sistema
de
Informacin
Innovacin Constante.
Integrado (Compras, ventas,
Almacn y Krdex).
Personal
debidamente
Capacitado y comprometido con
la visin de la Organizacin.
ANLISIS EXTERNO
OPORTUNIDADES
AMENAZAS

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

Valoracin positiva de las TIC


en la Organizacin.
Costos cada vez menores para
las
Organizaciones para la
aplicacin de las TIC.
Lealtad de los clientes hacia
la
Organizacin.
Ubicacin Cntrica del Local.

Oferta de productos a menor


precio por parte de la
competencia.
La inestabilidad econmica de
los pobladores de la cuidad
de
Huaraz.
Cambios repentinos de los
Sistemas Informticos.
Incremento de la Competencia.

EJECUCION DE LA AUDITORIA
INFORMATICA

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

N TIPO DE

Modelo

N de Serie

Marca

HADWARE

Capa
cidad/
Tama

1
2

3
4

Toshiba

o
300G

N82E1682213

Western

B
80GB

VT

6314

Digital

6L080M0
WD10EADS

72N6L080M0
WD10EADS12

IBM
Western

80GB
160G

3HKZ3

Digital

AMD

2.0gh

Intel

z
3.0Gh

E-HDD

MK3200GA

E-HDD

H
WD5000BE

E-HDD
E-HDD

MK3200KHK

Desktop/Registr Clone/AMDT AMD2VK8000-

o
Desktop/Estaci

urion
Clone/Intel

M20
Intel Grand i8

on 1

P IV Intel

65PE

Desktop/Estaci

Clone/Intel

Intel Grand i8

on 2

P IV Intel

65PE

Desktop/Server

Clone/Intel

Intel dg41rq

P IV

Rack/Server 2

DellPowerE

z
Intel

0
1

2.8G
Hz

Intel

1.8G
Hz

Intel dual core

Intel

dgeR310
1

Tipos de
hardware

2.6G
Hz

KVM

KVMDUAL2

200098X87UH

HP

2PCs

LCD

X754
HPL19540

DK
LKJNHLCD19K

HP

19

DELL

17"

1
1

LCD

DLAV17YH

N
009768BJHD

2
1

LCD

KHLN79191

23409087NHY

DELL

17"

3
1

LCD

7KJB
HBJ15JJR

LKJHN
BB15NJKB

DELL

17"

4
1

LCD

KHSD15JHK

UNIVERSIDAD
NDOUOAD187
HP NACIONAL
19"DE MOQUEGUA

5 49
1
Mouse Laser 1

KHHKLOGM

9
JJBJJNLOG

6
1

B
KHHKLOGM

JJBJJNLOG

MouseLaser2

Logitech
Logitech

Aplicaciones de software
N

Aplicaciones

Ubicacin

Contr
ol
1

Office2010

Office2007

Microsoft Office

XP
Iwork

Neo Office

Microsoft Office

MAC 2008
AVG Anti-Virus

NOD32

10

Descripcin

ad
Open Office 3.3

Cantid

Avast Antivirus

11

Kaspersky Anti-

12

Virus
Avira AntiVir

13

Adobe CS5

14

FullSuite
Adobe CS4
FullSuite

CD case 1
CD Case 1
CD Case 1
CD Case2
CD Case 1
CD Case 2
CD Case2
CD Case 3
CD Case 3
CD Case 3
CD Case 3
CD Case 3
CD Case 3
CD Case 3

Aplicacin Ofimtica

Libre
Aplicacin Ofimtica

Sin licencia
Aplicacin Ofimtica

Sin licencia
Aplicacin Ofimtica

Sin licencia
Aplicacin Ofimtica

Sin licencia
Aplicacin Ofimtica

Sin licencia
Aplicacin Ofimtica

Sin licencia
Aplicacin de

seguridad FreeWare
2Aplicacin de

seguridad Sin Licencia


Aplicacin de

seguridad Free Ware


Aplicacin de

seguridad Sin Licencia


Aplicacin de

seguridad FreeWare
Aplicacin Diseo Sin l

icencia
Aplicacin Diseo Sin l
icencia
UNIVERSIDAD NACIONAL DE MOQUEGUA

49

15

Adobe CS3

16

FullSuite
SD Fix malware

CD Case 3
CD Case 3

Aplicacin Diseo Sin l

icencia
Aplicacion
antimalware Freeware

17

Flash

18

Disinfector
Malware bytes

19

Windows Seven

20

Mac OS X

CD Case 3

Aplicacin anti

malwareFreeware
aplicacin

CD Case 3

antimalwareFreeware
aplicacin sin licencia

CD Case 3

aplicacin sin licencia

CD Case 3

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

AUDITORA FSICA
ALCANCE
Esta auditora fue aplicada en todas las reas que se encuentran en
ejecucin (Coordinacin, Administracin, recepcin ) las mismas que operan
en la oficina principal (Oficina Administrativa), puesto que en ella se encuentran
los equipos de cmputo con los que dispone la empresa, y en donde se
evaluar:

Organizacin y calificacin del personal de Seguridad.


Planes y procedimientos de Seguridad y Proteccin
Sistemas tcnicos de Seguridad y Proteccin.
Remodelar el ambiente de trabajo.

OBJETIVOS

Verificar la ubicacin y seguridad de las instalaciones.


Determinar y evaluar la poltica de mantenimiento y distribucin de

los equipos.
Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en

el ambiente
Verificar la

instalaciones
Revisin de polticas y normas sobre seguridad Fsica de los medios, como
son:

Edifico,

seguridad

del

personal,

datos,

hardware, software e

Instalaciones, Equipamiento y Telecomunicaciones, Datos y

Personas.
Verificar si la seleccin de equipos y Sistemas de computacin es
adecuada.

DESARROLLO DE LA AUDITORA
SEGURIDAD FSICA
Ubicacin de la Oficina Central/Oficina administrativa
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

La oficina central se encuentra ubicada Ilo

alternativo para cuando termine el convenio de cesin en uso con la misma.


En dicho ambiente se llevan a cabo operaciones de Coordinacin,

Administracin y servicios.
Adems, all se encuentra almacenada toda la documentacin concerniente

a la empresa, en grandes folios apilados en estanteras.


De igual forma, todos los equipos de cmputo con los que cuenta la empresa,

se encuentran en este ambiente.


Las ventanas superiores no poseen ninguna estructura metlica
enrejado)

que

proteja

el

acceso

y no tienen previsto un local

(Malla

a personas no autorizadas y

malintencionadas.

Seguridad General

De acuerdo a las observaciones realizadas en la oficina informatica, la


ubicacin de los equipos de computo no constituyen un inconveniente para
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

los accesos

y salidas de la misma, sin embargo, cabe resaltar que el servidor

se encuentra en un lugar vulnerable.


En lo referente a la seguridad elctrica, los auditores, pudo

verificar

que

cables no estn debidamente colocados, pues estn a la vista de todos


de forma desorganizada, adems, en los toma corrientes, existen varios cables

sueltos, los cuales constituyen un riesgo y puede ocasionar desastres mayores.


Lo mismo ocurre con el cableado de red, para el cual no se ha previsto el uso de

canaletas ni de caja toma datos.


Los equipos no reciben el mantenimiento debido; lo cual incrementa el riesgo

e posible prdida de informacin por averas serias en el equipo.


No disponen de un equipo contra incendios y mucho menos cuentan con
la capacitacin adecuada para el manejo de estos.

Plan de Contingencia
De acuerdo con el Inventario de Documentos realizado en la empresa;

los

Auditores pudo verificar que muchos de los lineamientos del plan de


Contingencia que poseen, no han sido ejecutados a la fecha.
Control de accesos

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

Puesto

que

se

trata

de

un

ambiente

relativamente

pequeo,

imprescindible contar con un sistema para ello; todos los

no

accesos

es
son

verificados en la entrada principal de la sede.


Seleccin de personal
El

personal

que

labora

en

la

empresa

indispensables para su labor, los cuales han

cuenta
sido

con

los conocimientos

seleccionados

de

una

manera adecuada, tanto por concurso as como respectivas entrevistas


Seguridad de datos
Actualmente la duplicacin y preservacin de la informacin depende de la
empresa

quien es responsable de proteger su informacin contra prdidas,

modificacin de las mismas y accesos a personal no autorizado.

DISTRIBUCIN Y MANTENIMIENTO DE EQUIPOS


Distribucin de los equipos informticos

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

No existen mayores dificultades, puesto que todos los equipos informticos


yacen en un mismo ambiente, y por cuyas dimensiones no son representa gran
inconveniente.
Mantenimiento de los equipos informticos
En cuanto a su mantenimiento no se cuenta con personal adecuado y
capacitado para solucionar problemas en el mal funcionamiento del hardware,
lo cual retrasa el trabajo del usuario del equipo afectado.
Segn la informacin obtenida, no se tiene plan o cronograma para el
mantenimiento de equipos, por lo que el mismo se da espordicamente para lo
cual se hace uso de servicios tcnicos externos.

ENCUESTA:
1. Se

han

adoptado medidas

de

seguridad en

el

departamento de

sistemas de informacin?
2. Existe
una persona
responsable
de
la
seguridad?
3. Se ha dividido la responsabilidad para tener un mejor control de la
seguridad?
4. Existe
personal

de

vigilancia

en

la

institucin?

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

5. Existe una clara definicin de funciones entre los puestos clave?


6. Se controla
el
trabajo
fuera de
horario?
7. Se registran las acciones de los operadores para evitar que realicen
algunas pruebas que puedan daar los sistemas?.
8. Existe vigilancia en el departamento de cmputo las 24 horas?
9. Se permite
el
acceso
a
los
archivos
y
programa a
10.

los programadores, analistas y operadores?


Se ha instruido a estas personas sobre que medidas tomar en caso

de que alguien pretenda entrar sin autorizacin?


11.
El centro de cmputo tiene salida al exterior?
12.
Son controladas las visitas y demostraciones en el centro de
cmputo?
13.
Se registra el acceso al departamento de cmputo de personas
ajenas a la direccin de informtica?
14.
Se vigilan la moral y comportamiento del personal de la direccin de
informtica con el fin de mantener una buena imagen y evitar un posible
fraude?
15.
Se ha adiestrado el personal en el manejo de los extintores?
16.
Se revisa de acuerdo con el proveedor el funcionamiento de los
extintores?
17.
Si es que existen extintores automticos son activador por detectores
automticos de fuego?
18.
Los interruptores
19.

de

energa

estn debidamente

protegidos, etiquetados y sin obstculos para alcanzarlos?


Saben que hacer los operadores del departamento de cmputo, en

caso de que ocurra una emergencia ocasionado por fuego?


20.
El personal ajeno a operacin sabe que hacer en el caso de una
emergencia (incendio)?
21.
Existe salida de emergencia?
22.
Se revisa frecuentemente que no est abierta o descompuesta la
cerradura de esta puerta y de las ventanas, si es que existen?
23.
Se ha adiestrado a todo el personal en la forma en que se deben
desalojar las instalaciones en caso de emergencia?

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

24.

Se ha prohibido a los operadores el consumo de alimentos y bebidas

en el interior del departamento de cmputo para evitar daos al


equipo?
25.
Se limpia con frecuencia el polvo acumulado debajo del piso falso si
existe?
26.
Se cuenta con copias de los archivos en lugar distinto al de la
computadora?
27.
Se tienen establecidos procedimientos de actualizacin a estas
copias?
28.
Existe departamento de auditoria interna en la institucin?
29.
Este departamento de auditoria interna conoce todos los aspectos de
los sistemas?
30.
Se cumplen?
31.
Se auditan los sistemas en operacin?
32.
Una vez efectuadas las modificaciones, se presentan las pruebas a
los interesados?
33.
Existe control estricto en las modificaciones?
34.
Se revisa que tengan la fecha de las modificaciones cuando se
hayan efectuado?
35.
Si se tienen

terminales

conectadas,

se

ha

establecido

procedimientos de operacin?
36.
Se ha establecido que informacin puede ser acezada y por qu
persona?

AUDITORIA OFIMATICA
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

ALCANCE
La auditoria Ofimtica fue aplicada en todas las reas que se encuentran en
aplicacin (coordinacin, administracin, unidad de investigacin, unidad de
semillas, y unidad de capacitacin), las mismas que operan en la oficina
principal
rea de informtica
Los puntos que se tomarn son, Revisin de: inventario, polticas de
mantenimiento, licencias, desempeo del software existente, seguridad de la
data.
OBJETIVOS

Determinar si el inventario ofimtico refleja con exactitud los equipos

y aplicaciones existentes en la organizacin


Determinar y evaluar la poltica de mantenimiento definida en la

organizacin
Verificar el desempeo del software empleado en la institucin
Verificar la legalizacin del software utilizado.
Verificar la seguridad en la data

DESARROLLO DE LA AUDITORA
Todas las opiniones profesionales vertidas en este documento estn
respaldadas por las entrevistas, inventarios y observaciones realizadas
durante las visitas a la Institucin.
INVENTARIO
De acuerdo a la investigacin realizada por la consultora de Auditores, la
empresa OLVA COURIER., so cuenta con un inventario, la cual si saben con
exactitud con cuantos equipos de hardware/software cuentan.
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

MANTENIMIENTO
La empresa OLVA COURIER no cuenta con una poltica de mantenimiento
preventivo de sus equipos, se hace mantenimiento solo y cada vez que
estos empiezan a fallar.
SISTEMAS - NECESIDADES
Actualmente existen dos aplicaciones en red que son:
Sistema de envio , Sistema comercial pero dichas aplicaciones son
utilizados actualmente. Adems cabe recalcar que algunos accesorios de
cmputo no se utilizan a cabalidad como por
ejemplo las quemadoras y lectoras, son 4 computadoras de escritorio y
cada uno de ellos posee una quemadora y lectora, pero estos
accesorios se utilizan con poca frecuencia.
LICENCIAMIENTO
Los Software que se utilizan en la empresa OLVA COURIER solo dos sistemas
cuentan con licencias, el resto ninguno de ellos cuentan con licencia, esto
puede ser perjudicable para la empresa ya que puede haber fuertes
sanciones por el uso ilegal

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

APLICACIONES INSTALADAS
No existe un control del software que los trabajadores puedan descargar
de Internet y el uso que le den a los mismos, de igual forma de software
no licenciado que puedan instalar en los equipos.
COPIAS DE SEGURIDAD
La empresa OLVA COURIER no realizan copias deseguridad (backup) de
sus datos, ya que ante un desastre fsico (robo, hurto) o lgico (virus) se
pierde toda la data, pero realizan un descargo a lima diariamente.
ENCUESTAS:
1. Existe un informe tcnico en el que se justifique la adquisicin del
equipo, software y servicios de computacin, incluyendo un estudio costo
beneficio?
2. Existe un comit que coordine y se responsabilice de todo el proceso de
adquisicin e instalacin?

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

3. Han elaborado un instructivo con procedimientos a seguir para la


seleccin y adquisicin de equipos, programas y servicios
computacionales?
4. se cuenta con software de oficina?
5. Se han efectuado las acciones necesarias para una mayor participacin
de proveedores?
6. Se ha asegurado un respaldo de mantenimiento y asistencia tcnica?
7. El acceso al centro de cmputo cuenta con las seguridades necesarias
para reservar el ingreso al personal autorizado?
8. Se han implantado claves o password para garantizar operacin de
consola y equipo central (mainframe), a personal autorizado?
9. Se han formulado polticas respecto a seguridad, privacidad y
proteccin de las facilidades de procesamiento ante eventos como:
incendio, vandalismo, robo y uso indebido, intentos de violacin?
10. Se mantiene un registro permanente (bitcora) de todos los procesos
realizados, dejando constancia de suspensiones o cancelaciones de
procesos?
11. Los operadores del equipo central estn entrenados para recuperar o
restaurar informacin en caso de destruccin de archivos?
12. Los backups son mayores de dos (padres e hijos) y se guardan en
lugares seguros y adecuados, preferentemente en bvedas de bancos?
13. Se han implantado calendarios de operacin a fin de establecer
prioridades de proceso?
14. Todas las actividades del Centro de Computo estn normadas
mediante manuales, instructivos, normas, reglamentos, etc.?
15. Las instalaciones cuentan con sistema de alarma por presencia de
fuego, humo, as como extintores de incendio, conexiones elctricas
seguras, entre otras?
16. Se han instalado equipos que protejan la informacin y los
dispositivos en caso de variacin de voltaje como: reguladores de voltaje,
supresores pico, UPS, generadores de energa?

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

17.

Se han contratado plizas de seguros para proteger la informacin,

equipos, personal y todo riesgo que se produzca por casos fortuitos o


mala operacin?
18. Se han Adquirido equipos de proteccin como supresores de pico,
reguladores de voltaje y de ser posible UPS previo a la adquisicin del
equipo?
19. Si se vence la garanta de mantenimiento del proveedor se contrata
mantenimiento preventivo y correctivo?
20. Se establecen procedimientos para obtencin de backups de
paquetes y de archivos de datos?
21. Se hacen revisiones peridicas y sorpresivas del contenido del disco
para verificar la instalacin de aplicaciones no relacionadas a la gestin
de la empresa?
22. Se mantiene programas y procedimientos de deteccin e
inmunizacin de virus en copias no autorizadas o datos procesados en
otros equipos?
23. Se propende a la estandarizacin del Sistema Operativo, software
utilizado como procesadores de palabras, hojas electrnicas,
manejadores de base de datos y se mantienen actualizadas las versiones
y la capacitacin sobre modificaciones incluidas?

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

AUDITORIA DE REDES
ALCANCE
La auditoria de redes fue
aplicada en todas las reas que

se

encuentran en aplicacin
(coordinacin, administracin,
unidad de investigacin, unidad de semillas, y unidad de capacitacin), las
mismas que operan en la oficina principal (oficina administrativa)
Los puntos a tomar en cuenta sern los siguientes:
Organizacin y calificacin del tendido de red.
Planes y procedimientos.
Sistemas tcnicos de Seguridad y Proteccin.
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

OBJETIVOS

reas controladas para los equipos de comunicaciones, previniendo as

accesos inadecuados
Proteccin y tendido adecuado de cables y lneas de comunicacin, para

evitar accesos fsicos


Revisar las polticas y normas sobre redes y el funcionamiento de la red y la
seguridad de los datos dentro de la Red Lan

REFERENCIA LEGAL
Manual de Autoproteccin aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD
2177/96)
ENCUESTAS
1. La gerencia de redes tiene una poltica definida de planeamiento de
tecnologa de red?
2. Esta poltica es acorde con el plan de calidad de la organizacin
3. La gerencia de redes tiene un plan que permite modificar en forma oportuna
el plan a largo plazo de tecnologa de redes , teniendo en cuenta los
posibles cambios tecnolgicos o en la organizacin?
4. Existe un inventario de equipos y software asociados a las redes de datos?
5. Existe un plan de infraestructura de redes?
6. El plan de compras de hardware y software para el sector redes est de
acuerdo con el plan de infraestructura de redes?
7. La responsabilidad operativa de las redes esta separada de las de
operaciones del computador?
8. Estn establecidos controles especiales para salvaguardar la
confidencialidad e integridad del procesamiento de los datos que pasan a
travs de redes pblicas, y para proteger los sistemas conectados
9. Existen controles especiales para mantener la disponibilidad de los servicios
de red y computadoras conectadas?
10.
Existen controles y procedimientos de gestin para proteger el acceso
a las conexiones y servicios de red.?
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

11.
12.
13.

Existen protocolos de comunicaron establecida


Existe una topologa estandarizada en toda la organizacin
Existen normas que detallan que estndares que deben cumplir el

hardware y el software de tecnologa de redes?


14.
La transmisin de la informacin en las redes es segura?
15.
El acceso a la red tiene password?
DESARROLLO DE LA AUDITORIA
para el desarrollo de esta auditora especfica se emplear el modelo
adoptado por iso (internacional standarts organization), el cual se
denomina modelo osi (open systems interconection), el cual consta de 7
capas, las cuales se tomarn para realizar la auditora.
Areas controladas para los equipos de comunicaciones,
previniendo as accesos inadecuados
los equipos de comunicaciones ( switch, router ) no se mantienen en
habitaciones cerradas
la seguridad fsica de los equipos de comunicaciones (switch, router) es
inadecuada.
cualquier persona tiene acceso ya que se encuentra cerca de un lugar
transitable

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

Proteccin y tendido adecuado de cables y lneas de


comunicacin, para evitar accesos fsicos
los cables de comunicacin de datos, elctricos y de telfono estn juntos y
amarrados por otro cable, no existen procedimientos para la proteccin de
cables y bocas de conexin, esto dificulta que sean interceptados o
conectados por personas no autorizadas, no se realiza revisiones preventivas
a la red de comunicaciones
Revisar las polticas y normas sobre redes y el funcionamiento de la
red y la seguridad de los datos dentro de la red lan
A. Mapa de redes

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

B.- Modelo OSI, capa Fsica.


Capa Fsica: Transforma la informacin en seales fsicas adaptadas al
medio de comunicacin.
El cableado utilizado para el tendido de red presenta las siguientes
caractersticas:

Tipo de Cable: Par trenzado sin apantallar (UTP Categora 5)


Conectores: RJ-45
El tipo de cables y conectores utilizados para este tipo de red es adecuado,
segn la norma EIA/TIA, el problema radica en el tendido del cableado ya
que no cuenta con ninguna proteccin (canaletas) y adems los cables de
comunicacin de datos, elctricos y de telfono se encuentran amarrados
por otros cables.

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

C.- Modelo OSI, capa de Enlace


Capa de Enlace: Transforma los paquetes de informacin en tramas
adaptadas a los dispositivos fsicos sobres los cuales se realiza la
transmisin.
De acuerdo al inventario de hardware se resumen los siguientes
componentes:

Topologa de la Red: Estrella


Especificaciones: Ethernet
Tarjeta de Red: D-Link DFE-530TX PCI Fast Ethernet Adapter

Hay que especificar que las tarjetas de redes utilizadas son del mismo tipo,
la cual es recomendable para la transferencia adecuada de los datos.
D.- Modelo OSI, capa de Red.
Capa de Red: Establece las rutas por las cuales se puede comunicar el
emisor con el receptor, lo que se realiza mediante el envo de
paquetes de informacin.
En la institucin si utilizan los siguientes componentes:

Velocidad de transmisin 10/100 MBps


Switch D-link de 8 puertos
Protocolo TCP/IP
UNIVERSIDAD NACIONAL DE MOQUEGUA

49

De acuerdo a las necesidades de la empresa, el Switch empleado no


presenta problemas en la transmisin de datos ya que todos los
documentos realizados por los clientes se guardan en el servidor.
E.- Modelo OSI, capa de Transporte.
Capa de Transporte: Comprueba la integridad de los datos transmitidos
(que no ha habido prdidas ni corrupciones).
En la Empresa se utiliza el Protocolo TCP/IP para la transmisin datos, lo cual
es lo ptimo debido a que es ms seguro y utilizado en la actualidad que el
protocolo UDP.
F.- Modelo OSI, capa de Sesin.
Capa de Sesin: Establece los procedimientos de aperturas y cierres de
sesin de comunicaciones, as como informacin de la sesin en curso.
En la Empresa no existe un control de las sesiones ms que la que
propone el sistema operativo que se posee en cada computadora, lo

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

cual representa un hoyo en la seguridad de la informacin.

G.- Modelo OSI, capa de Presentacin.


UNIVERSIDAD NACIONAL DE MOQUEGUA
49

Capa de Presentacin: Define el formato de los datos que se van a


presentar a la aplicacin.
Actualmente existen dos aplicaciones en red que son: Sistema de envi
(vcourier) y el otro sistema masivo

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

H.- Modelo OSI, capa de Aplicacin.


Capa de Aplicacin: Es donde la aplicacin que necesita comunicaciones
enlaza, mediante API (Application Program Interface) con el sistema
de comunicaciones.
De acuerdo a las entrevistas en la institucin se resume lo siguiente:

Se utiliza el Protocolo FTP para el intercambio de informacin, el cual

se usa para las impresoras.


Correo de la institucin.

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

AUDITORIA DE BASE DE DATOS


ALCANCE DE LA AUDITORIA:
Esta auditoria comprende solamente al rea informtica de la empresa OLVA
COURIER con respecto al cumplimiento del proceso "De Gestin administracin
de la Base de Datos " de la de manera que abarca la explotacin,
mantenimiento, diseo carga, post implementacin, Los sistemas de gestin
de base de datos (SGBD), software de auditoria , sistema operativo protocolos y
sistemas distribuidos.
OBJETIVOS

Verificar la responsabilidad para la planificacin de planillas y control de

los activos de datos de la organizacin (administrador de datos)


Verificar la responsabilidad de la administracin del entorno de la base de

datos (administrador de la base de datos)


Proporcionar servicios de apoyo en aspectos de organizacin y mtodos,
mediante la definicin, implantacin y actualizacin de Base de Datos y/o
procedimientos administrativos con la finalidad de contribuir a la eficiencia
Existe equipos o software de SGBD

ENCUESTA
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

1. Existe equipos o software de SGBD


2. La organizacin tiene un sistema de gestin de base dedatos (SGBD)
3. Los datos son cargados correctamente en la interfaz grafica
4. Se verificar que los controles y relaciones de datos se realizan de acuerdo
a Normalizacin libre de error
5. Existe personal restringido que tenga acceso a la BD
6. El SGBD es dependiente de los servicios que ofrece el Sistema Operativo
7. La interfaz que existe entre el SGBD y el SO es el adecuado
8. Existen procedimientos formales para la operacin del SGBD?
9. Estn actualizados los procedimientos de SGBD?
10. La periodicidad de la actualizacin de los procedimientos es Anual ?
11. Son suficientemente claras las operaciones que realiza la BD?
12. Existe un control que asegure la justificacin de los procesos en el
computador? (Que los procesos que estn autorizados tengan una razn de ser
procesados)
13. Se procesa las operaciones dentro del departamento de cmputo?
14. Se verifican con frecuencia la validez de los inventarios de los archivos
magnticos?
15. Existe un control estricto de las copias de estos archivos?
16. Se borran los archivos de los dispositivos de almacenamiento, cuando se
desechan estos?
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

17. Se registran como parte del inventario las nuevas cintas magnticas que
recibe el centro de computo?
18. Se tiene un responsable del SGBD?
19. Se realizan auditorias peridicas a los medios de almacenamiento?
20. Se tiene relacin del personal autorizado para manipular la BD?
21. Se lleva control sobre los archivos trasmitidos por el sistema?
22. Existe un programa de mantenimiento preventivo para el dispositivo del
SGBD?
23. Existen integridad de los componentes y de seguridad de datos?
24. De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema
de cmputo, existe equipo capacesque soportar el trabajo?
25. El SGBD tiene capacidad de teleproceso?
26. Se ha investigado si ese tiempo de respuesta satisface a los usuarios?
27. La capacidad de almacenamiento mximo de la BD es suficiente para
atender el proceso por lotes y el proceso remoto?

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

VERIFICAR LA AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

INFORME ESPECFICO
1. Ttulo
Auditoria Fsica
2. Cliente
rea de informtica
3. Entidad Auditada
Empresa OLVA COURIER
4. Objetivos

Verificar la ubicacin y seguridad de las instalaciones.


UNIVERSIDAD NACIONAL DE MOQUEGUA

49

Determinar y evaluar la poltica de mantenimiento y distribucin de los

equipos.
Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el

ambiente
Verificar si la seleccin de equipos y Sistemas de computacin es
adecuada.

5. Normativa aplicada y excepciones


Para esta auditora se ha tomado en cuenta la Normas de Auditorias
Gubernamentales: Normas de Control

Interno para sistemas

computarizados (NAGU 500).


6. Alcance
El presente trabajo de auditoria fsica, comprende el periodo 1013 y se ha
realizado a la Empresa OLVA COURIER, de acuerdo a las normas y dems
disposiciones aplicables.
7. Conclusiones
La seguridad fsica en

la

Institucin, segn

las

normativas

aplicadas, es favorable aunque con ciertas salvedades.


No se han tomado las previsiones necesarias en caso de futuros riesgos La
empresa OLVA VOURIER. Solo ha mostrado preocupacin en lo referente a las
operaciones propias del negocio, olvidndose en cierta parte de la
responsabilidad para con sus usuarios y trabajadores.
8.

Resultados

De acuerdo a los objetivos planteados previamente, los resultados seran los


siguientes:

Verificar la ubicacin y seguridad de las instalaciones.


Ubicacin de la institucin, favorable con salvedades, debido a que no se

trata de un local propio


Seguridad
de
las

instalaciones

en

cuanto

vigilancia, favorable, puesto que se cuenta con la seguridad de


UNIVERSIDAD NACIONAL DE MOQUEGUA
49

la misma sede
Identificacin de Salidas, favorable con algunas salvedades como el

cuidado de no colocar objetos que obstruyan el paso


Seguridad ante Sismos, desfavorable, debido a que la salida inmediata
del ambiente coincide un el paso de vehculos, que muchas veceses

tomado
como estacionamiento de camionetas de la sede.
Seguridad ante Incendios, Desfavorable
Seguridad
elctrica, favorable con salvedades;
falta

organizacin en el cableado.
Verificar la seguridad de informacin.
El ambiente principal se encuentra toda la documentacin fsica de la

empresa, la misma que por tratarse de papeles, folios y aerosoles


constituyen material altamente inflamable, pese a ello no se cuenta con
un sistema contra incendios y por aun el personal no se encuentra

capacitado para el uso de ellos.


La data, adems de ser almacenada en el servidor, esta a disposicin
de los

trabajadores, quienes portan la documentacin en

disquete u otros

dispositivosde almacenamiento,

como CD,

memorias USB, echo poco favorable debido posible plagio de


informacin.
Evaluar la seguridad, utilidad, confianza, privacidad y

disponibilidad en el ambiente
Aspecto desfavorable, debido a que el ambiente es pequeo, y no se
cuenta con la seguridad debida.

Verificar si

la seleccin de equipos y Sistemas de computacin

es adecuada.
Desfavorable, puesto

que

todas las

computadoras,

indistintamente de las caractersticas particulares que pueda tener, son


usadas para un mismo propsito

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

9. Recomendaciones

Reubicacin del local


Implantacin de equipos de ultima generacin
Implantar equipos de ventilacin
Implantar salidas de emergencia.
Elaborar un calendario de mantenimiento de rutina peridico . Capacitar
al personal.

10. Fecha Del Informe


FECHA DE INICIO
19-12-13

FECHA DE TERMINO
26-12-13

11. Identificacin Y Firma Del Auditor

-------------------------------ATT. Jos Luis


Callacondo
JEFE DE AUDITORIA
INFORMTICA

--------------------------------

--------------------------------

ATT. Isabel Vilca Quispe

ATT. Shirley Mamani

AUDITORA INFORMATICA

Rodrguez
AUDITORA INFORMATICA

INFORME FINAL
1. Identificacin del informe
Auditoria de la Ofimtica
2. Identificacin del Cliente
El rea de Informtica
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

3. Identificacin de la Entidad Auditada


OLCA COURIER
4. Objetivos
Verificar si el hardware y software se adquieren siempre y cuando tengan la
seguridad de que los sistemas computarizados proporcionaran mayores

beneficios que cualquier otra alternativa.


Verificar si la seleccin de equipos y sistemas de computacin es adecuada
Verificar la existencia de un plan de actividades previo a la instalacin
Verificar que los procesos de compra de Tecnologa de Informacin, deben
estar sustentados en Polticas, Procedimientos, Reglamentos y Normatividad
en General, que aseguren que todo el proceso se realiza en un marco de
legalidad y cumpliendo con las verdaderas necesidades de la organizacin

para hoy y el futuro, sin caer en omisiones, excesos o incumplimientos.


Verificar si existen garantas para proteger la integridad de los recursos

informticos.
Verificar la utilizacin adecuada de equipos acorde a planes y objetivos.
5. Normativa aplicada y excepciones
Para esta auditora se toman en cuenta la norma ISO 17799 y Normas de
Auditorias Gubernamentales: Normas de Control Interno para sistemas
computarizados (NAGU 500).
6. Hallazgos Potenciales
Falta de licencias de software.
Falta de software de aplicaciones actualizados
No existe un calendario de mantenimiento ofimatico.
Faltan material ofimtica.
Carece de seguridad en Acceso restringido de los equipos ofimticos y
software.
7. Alcance de la auditoria

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

Nuestra auditoria, comprende el presente periodo 2013 y se ha realizado


especialmente al Departamento de centro de cmputo de acuerdo a las normas y
dems disposiciones aplicable al efecto.
El alcance ha de definir con precisin el entorno y los lmites en que va a
desarrollarse la auditoria Ofimtica, se complementa con los objetivos de sta.
8. Conclusiones
El aspecto ofimtico de la Institucin, en la opinin del auditor a base de las
normativas aplicadas, es favorable aunque con salvedades.

No todo el software propietario que se maneja en la institucin est


debidamente licenciado, caso de los sistemas operativos y las

herramientasde escritorio (Office).


El rea de informatica presenta deficiencias sobre el debido cumplimiento

de Normas de seguridad.
La escasez de personal debidamente capacitado.
Cabe destacar que la sistema ofimatico pudiera servir de gran apoyo a la
organizacin, el cual no es explotado en su totalidad por falta de personal
capacitado.

9. Resultados
Revisin del inventario de los accesorios de cmputo

No cuentan con un inventario del parque informtico

Revisin de las licencias del software.

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

No todo el software propietario que se maneja en la institucin est


debidamente licenciado, caso de los sistemas operativos y las
herramientas de escritorio (Office)

Verificar el desempeo del software empleado en la institucin

Actualmente existen dos aplicaciones en red que son:

Sistema contable financiero (suite contasis), Sistema comercial (Suite


contasis) pero dichas aplicaciones no son utilizados actualmente, por lo que no
se le puede dar un calificativo de desempeo.
Seguridad en la Data

La seguridad en los datos es baja porque no cuentan con medidas de

seguridad, como por ejemplo los backup.


10. Recomendaciones
Se recomienda contar con sellos y firmas digitales
Un de manual de funciones para cada puesto de trabajo dentro del rea.
Reactualizacion de datos.
Implantacin de equipos de ultima generacin
Elaborar un calendario de mantenimiento de rutina peridico .
Capacitar al personal.

11. Fecha del Informe


FECHA DE INICIO
19-12-13

FECHA DE TERMINO
29-12-13

12. Identificacin y Firma del Auditor

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

----------------------------

---------------------------

----------------------------

ATT. Jos Luis

ATT. Isabel Vilca

ATT. Shirley Mamani

Callacondo

Quispe

Rodrguez

JEFE DE AUDITORIA

AUDITORA

AUDITORA

INFORMTICA

INFORMATICA

INFORMATICA

INFORME DE AUDITORIA
1. Identificacin del informe
Auditoria del Sistema de Redes
2. Identificacin del Cliente
El rea de Informtica
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

3. Identificacin de la Entidad Auditada


OLVA COURIER
4. Objetivos

reas controladas para los equipos de comunicaciones, previniendo as

accesos inadecuados
Proteccin y tendido adecuado de cables y lneas de comunicacin, para

evitar accesos fsicos


Revisar las polticas y normas sobre redes y el funcionamiento de la red y la
seguridad de los datos dentro de la Red Lan

5.- Normativa aplicada y excepciones


La especificacin utilizada en esta auditora de redes es la Normativa actual
IEEE 802.3 para redes LAN Ethernet 10/100MBps (utilizada por la empresa),
adems de la norma ISO 17799 y Normas de Auditorias Gubernamentales:
Normas de Control Interno para sistemas computarizados (NAGU 500).
6. Alcance
El presente trabajo de auditoria de red, comprende el presente periodo 2013 y se
ha realizado en la empresa OLVA COURIER de acuerdo a las normas y dems
disposiciones aplicables.
7.- Conclusiones
El aspecto de redes en la Empresa, la opinin de los Auditores a base de las
normativas aplicadas, es desfavorable.
No existe un conocimiento actualizado del cableado de red; el cableado no se
encuentra protegido y su distribucin e implementacin no es la buena,
aunque funcione la red.
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

8. Resultados

reas controladas para los equipos de comunicaciones,


previniendo as accesos inadecuados
Los equipos de comunicaciones ( Switch, router ) no se mantienen en

habitaciones cerradas
La seguridad fsica de los equipos de comunicaciones (Switch, Router) es

inadecuada.
Cualquier persona tiene acceso ya que se encuentra cerca de un lugar

transitable
proteccin y tendido adecuado de cables y lneas de
comunicacin, para evitar accesos fsicos
Los cables de comunicacin de datos, elctrios y de telfono estn

juntos y amarrados por otro cable.


No existen procedimientos para la proteccin de cables y bocas de
conexin, esto dificulta que sean interceptados o conectados por

personas no autorizadas
No se realiza revisiones preventivas a la red de comunicaciones
Revisar las polticas y normas sobre redes y el funcionamiento de
la red y la seguridad de los datos dentro de la Red Lan
No existen polticas y/o normas para regular el uso de la red de dicha

empresa
La red funciona correctamente de acuerdo al tamao de la empresa;

esta no podr soportar un desarrollo de la misma.


No existe una seguridad centralizada de los datos, slo la seguridad
brindada por el sistema operativo instalado en cada equipo.

9. Fecha del Informe


FECHA DE INICIO
19-12-13

FECHA DE TERMINO
26-12-13

10. Identificacin y Firma del Auditor


UNIVERSIDAD NACIONAL DE MOQUEGUA
49

--------------------------------

--------------------------------

--------------------------------

ATT. Jos Luis

Callacondo

ATT. Isabel Vilca Quispe

JEFE DE AUDITORIA

AUDITORA INFORMATICA

INFORMTICA

ATT. Shirley Mamani


Rodrguez
AUDITORA INFORMATICA

INFORME DE AUDITORIA
1. Identificacin del informe
Auditoria de Base de Datos.
2. Identificacin del Cliente
El rea de Informtica
3. Identificacin de la Entidad Auditada
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

OLVA COURIER
4. Objetivos
Evaluar el tipo de Base de Datos, relaciones, plataforma o sistema operativo que
trabaja, llaves, administracin y dems aspectos que repercuten en su trabajo.

Revisar del software institucional para la administracin de la Base de

Datos.
Verificar la actualizacin de la Base de Datos.
Verificar la optimizacin de almacenes de los Base de Datos
Revisar que el equipo utilizado tiene suficiente poder de procesamiento y
velocidad en red para optimizar el desempeo de la base de datos.

5. Hallazgos Potenciales

No estn definidos los parmetros o normas de calidad.


Falta de presupuesto
Falta de personal
La gerencia de Base de datos no tiene un plan que permite modificar en
forma oportuna el plan a largo plazo de tecnologa, teniendo en cuenta los

posibles cambios tecnolgicos y el incremento de la base de datos.


No existe un calendario de mantenimiento de rutina peridico del software
definido por la Base de datos.

6. Alcance de la auditoria
Nuestra auditoria, comprende el presente periodo 2013 y se ha realizado
especialmente al Departamento de centro de cmputo de acuerdo a las normas y
dems disposiciones aplicable al efecto.
7. Conclusiones:

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

Como resultado de la Auditoria podemos manifestar que hemos cumplido


con evaluar cada uno de los objetivos contenidos en el programa de
auditoria.
El Departamento de centro de cmputo presenta deficiencias sobre todo en
el debido cumplimiento de Normas de seguridad de datos y administracin
de la Base de Datos.
8. Recomendaciones
Elaborar toda la documentacin lgica correspondiente a los sistemas de
administracin de la BD. Evaluar e implementar un software que permita
mantener el resguardo de acceso de los archivos de programas y an de los
programadores.
Implementar la relaciones con las diferentes reas en cuanto al
compartimiento dearchivos permitidos por las normas
Elaborar un calendario de mantenimiento de rutina peridico.
Capacitar al personal al manejo de la BD.
Dar a conocer la importancia del SGBD al usuario
9. Fecha Del Informe
FECHA DE INICIO
19-12-13

FECHA DE TERMINO
26-12-13

10. Identificacin Y Firma Del Auditor

--------------------------------

JEFE DE AUDITORIA

--------------------------------

INFORMTICA

ATT. Jos Luis

ATT. Isabel Vilca Quispe

Callacondo

AUDITORA INFORMATICA

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

--------------------------------

ATT. Shirley Mamani

Rodrguez
AUDITORA INFORMATICA

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

ACTUAR DE LA AUDITORIA INFORMATICA

1. INFORME DEL CIERRE DE AUDITORIA

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

ACLARACION DE LA SOLICITUD
OLVA COURIER S.A
Ilo, 28 de Diciembre del 2013
Seores
OLVA COURIER S.A
De nuestra consideracin:
Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a vuestra consideracin
el alcance del trabajo de Auditora del rea de Informtica practicada los das 1628 del corriente, sobre la base del anlisis y procedimientos detallados de todas
las informaciones recopiladas y emitidos en el presente informe, que a nuestro
criterio es razonable.
Sntesis de la revisin realizada, clasificado en las siguientes secciones
Auditoria fsica
Auditoria ofimtica
Auditoria de sistema de redes
Auditoria de base de datos
El contenido del informe ha sido dividido de la siguiente forma a efectos de
facilitar su anlisis.
a. Situacin. Describe brevemente las debilidades resultantes de nuestro anlisis.
b. Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se
encuentran expuestos las operaciones realizadas por la Cooperativa.

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

c. ndice de importancia establecida. Indica con una calificacin del 0 al 3 el grado


crtico del problema y la oportunidad en que se deben tomar las acciones
correctivas del caso.
0 = Alto (acciones correctivas inmediatas)
1 = Alto (acciones preventivas inmediatas)
2 = Medio (acciones diferidas correctivas)
3 = Bajo (acciones diferidas preventivas)
d. Sugerencias. Indicamos a la Gerencia la adopcin de las medidas correctivas
tendientes a subsanar las debilidades comentadas.
Segn el anlisis realizado hemos encontrado falencias en que no existe un
Comit y plan informtico; falta de organizacin y administracin del rea;
falencias en la seguridad fsica y lgica; no existe auditora de sistemas; falta de
respaldo a las operaciones; accesos de los usuarios; plan de contingencias; y
entorno de desarrollo y mantenimiento de las aplicaciones.
El detalle de las deficiencias encontradas, como as tambin las sugerencias de
solucin se encuentran especificadas en el Anexo adjunto. La aprobacin y puesta
en prctica de estas sugerencias ayudarn a la empresa a brindar un servicio ms
eficiente a todos sus clientes.
Agradecemos la colaboracin prestada durante nuestra visita por todo el
personal de su empresa Olva Courier y quedamos a vuestra disposicin para
cualquier aclaracin y/o ampliacin de la presente que estime necesaria.
Atentamente
EQUIPO AUDITORES S.R.L.

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

2 .OBSERVACIONES
FORMATO DE OSERVACIONES
Nombre

de

empresa
Observacin

la OLVA COURIER S.A


Seguridad Fsica Lgica

SITUACION

EFECTOS
IMPLICANCIA

Y/0

No existe una
vigilancia estricta
del
rea
de
Informtica
por
personal
de
seguridad dedicado
a este sector.

No
existe
detectores,
ni
extintores
automticos.
Existe material
altamente
inflamable.

Probable
difusin de datos
confidenciales.
Alta facilidad
para
cambios
involuntarios
o
intencionales de
datos, debido a la
falta de controles
internos.
Debido a la
debilidad
del
servicio
de
mantenimiento

SUGERENCIA

A los efectos de minimizar


los riesgos descriptos, se
sugiere:
Establecer guardia de
seguridad,
durante
horarios no habilitados
para el ingreso al rea de
Informtica.
Colocar detectores y
extintores de incendios
automticos en los lugares
necesarios.
Remover del Centro de
Cmputos los materiales

INDICE DE
IMPORTANCI
A
ESTABLECID
A
0 ( cero )

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

Carencia de un
estudio
de
vulnerabilidad,
frente a las riesgos
fsicos o no
fsicos, incluyendo
el
riesgo
Informtico.
No existe un
puesto
o
cargo
especfico para la
funcin
de
seguridad
Informtica

del
equipo
central,
la
continuidad de las
actividades
informticas
podran
verse
seriamente
afectadas
ante
eventuales
roturas
y/o
desperfectos
de
los sistemas.

inflamables.

Determinar
orgnicamente la funcin
de seguridad.
Realizar peridicamente
un
estudio
de
vulnerabilidad,
documentando
efectivamente el mismo, a
los efectos de implementar
las acciones correctivas
sobre los puntos dbiles
que se detecten.

FORMATO DE OSERVACIONES
Nombre
empresa
Observacin

SITUACION

Existe
rutina
trabajo

de

la OLVA COURIER S.A


Operacin de respaldo

EFECTOS
IMPLICANCIA

Y/0 SUGERENCIA

INDICE DE
IMPORTANCI
A
ESTABLECID
A
una La Empresa Olva Desarrollar normas 0 ( cero )
de Courier
est y
procedimientos
de expuesta a la perdida generales
que
UNIVERSIDAD NACIONAL DE MOQUEGUA

49

tomar una copia


de respaldo de
datos
en
cuadernos
y
UBS,
que se
encuentra en el
recinto
del
centro
de
cmputos,
en
poder
del
auxiliar
de
informtica.
Si bien existen
la
copia
de
seguridad, no se
poseen normas
y/o
procedimientos
que exijan la
prueba
sistemtica de
las mismas a
efectos
de
establecer
los
mnimos niveles
de confiabilidad.

de informacin por
no
poseer
un
chequeo sistemtico
peridico
de
los
back-up's, y que los
mismas se exponen
a
riesgo
por
encontrarse en poder
del
auxiliar
de
informtica.

permitan la toma de
respaldo necesarios,
utilitario a utilizar.
Realizar 3 copias
de
respaldos
de
datos en Zip de las
cuales,
una
se
encuentre
en
el
recinto del rea de
informtica, otra en
la
sucursal
ms
cercana y la ltima
en poder del Jefe de
rea.

Implementar
pruebas sistemticas
semanales de las
copias y distribucin
de las mismas.

FORMATO DE OSERVACIONES
Nombre

de

la OLVA COURIER S.A

empresa
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

Observacin

Acceso a Usuarios

SITUACION

EFECTOS
IMPLICANCIA

De acuerdo a lo
relevado
hemos
constatado que:
Existen niveles de
acceso
permitidos,
los
cuales
son
establecidos
conforme
a
la
funcin que
Cumple cada uno de
los usuarios.

Los
usuarios
definidos al rotar o
retirarse del local no
son borrados de los
perfiles de acceso.
Las terminales en
uso y dado un cierto
tipo de inactividad
no salen del sistema.

El
sistema
informtico
no
solicita al usuario, el
cambio del Password
en forma mensual.

Existe
la
imposibilidad de
establecer
responsabilidades
dado que esta se
encuentra
dividida entre el
rea de sistema y
los
usuarios
finales.
La falta de
seguridad en la
utilizacin de los
Password,
podran ocasionar
fraudes
por
terceros.

Y/0 SUGERENCIA

INDICE DE
IMPORTANCI
A
ESTABLECID
A

Implementar 2 ( dos )
algn software de
seguridad
y
auditoria existente
en el mercado o
desarrollar
uno
propio.
Establecer una
metodologa
que
permita ejercer un
control
efectivo
sobre el uso o
modificacin de los
programas
o
archivos
por
el
personal autorizado.

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

FORMATO DE OSERVACIONES
Nombre de la empresa
Observacin

SITUACION

OLVA COURIER S.A


Plan de contingencia

EFECTOS Y/0 SUGERENCIA


IMPLICANCIA

INDICE DE
IMPORTANCI
A
ESTABLECID
A
Ausencia de un Plan Prdida de Establecer un plan 1 ( uno)
de
Contingencia informacin
de
contingencia
debidamente
vital.
escrito, en donde se
formalizado en el rea Prdida de establezcan
los
de Informtica.
la capacidad procedimientos
No existen normas y de
manuales
e
procedimientos
que procesamient informticos
para
indiquen
las
tareas o.
restablecer
la
manuales e informticas
operatoria
normal
que son necesarias para
de la Empresa y
realizar y recuperar la
establecer
los
capacidad
de
responsables
de
procesamiento ante una
cada sistema.
eventual
contingencia
Efectuar pruebas
(
desperfectos
de
simuladas en forma
equipos,
incendios,
peridica, a efectos
cortes de energa con
de monitorear el
ms de una hora ), y
desempeo de los
que
determinen
los
Funcionarios
niveles de participacin
responsables ante
y responsabilidades del
eventuales
rea de sistemas y de
desastres.
los

Establecer
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

Usuarios.
No existen acuerdos
formalizados de Centro
de Cmputos paralelos
con otras empresas o
proveedores
que
permitan la restauracin
inmediata
de
los
servicios informticos de
la empresa en tiempo
oportuno, en caso de
contingencia.

convenios
bilaterales
con
empresas
o
proveedores a los
efectos de asegurar
los
equipos
necesarios
para
sustentar
la
continuidad
del
procesamiento.

FORMATO DE OSERVACIONES
Nombre

de

empresa
Observacin

la OLVA COURIER S.A


Mantenimiento de las aplicaciones de las PC

SITUACION

EFECTOS
IMPLICANCIA

Y/0 SUGERENCIA

No
existe
documentaciones
tcnicas
del
sistema integrado
de la Entidad y
tampoco no existe
un
control
o
registro formal de
las modificaciones

La
escasa
documentacin
tcnica de cada
sistema dificulta la
compresin de las
normas,
demandando
tiempos
considerables para

INDICE DE
IMPORTANCI
A
ESTABLECID
A
Elaborar toda la 1 ( uno)
documentacin
tcnica
correspondiente
a
los
sistemas
implementados
y
establecer normas y
procedimientos
para los desarrollos

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

efectuadas.
No se cuenta
con un Software
que permita la
seguridad de las
libreras de los
programas y la
restriccin
y/o
control del acceso
de los mismos.

Las
modificaciones a
los programas son
solicitadas
generalmente sin
notas internas, en
donde
se
describen
los
cambios
o
modificaciones
que se requieren.

su mantenimiento e
imposibilitando
la
capacitacin
del
personal nuevo en
el rea.
Se incrementa
an
ms
la
posibilidad
de
producir
modificaciones
errneas
y/o
no
autorizadas a los
programas
o
archivos y que las
mismas no sean
detectadas
en
forma oportuna.

y su actualizacin.

Evaluar
e
implementar
un
software
que
permita mantener
el
resguardo
de
acceso
de
los
archivos
de
programas y an de
los programadores.
Implementar y
conservar todas las
documentaciones
de prueba de los
sistemas, como as
tambin
las
modificaciones
y
aprobaciones
de
programas
realizadas por los
usuarios

FORMATO DE OSERVACIONES
Nombre

de

la OLVA COURIER S.A

empresa
Observacin

rea Informtica

N SITUACION

EFECTOS
IMPLICANCIA

Y/0 SUGERENCIA

INDICE

DE

IMPORTANCI
A
UNIVERSIDAD NACIONAL DE MOQUEGUA

49

ESTABLECID
1

No

existe

validacin

de

una La Empresa Olva


la Courier

A
Implementar 0 (cero )

se debidamente

donde encuentra

controles

los

cuenta

debera

acreditarse expuesta a serios necesarios para el

el monto del aporte riesgos,


social.

entre adecuado

ellos:

internos
manejo

del

El inventario de Posibilidad de Usuario final.


salidas y entradas que

ocurran Implementar un

de cada operacin errores

por

se hace en forma falta

la sistema de respaldo
de de

inventario

de

manual, tanto en la conocimiento del envos automtico.


parte de recepcin tema contable en
de envos, como de el rea operativa.
los

envos

en Alto riesgo de

procesos cuando se que


cae el sistema.

el

usuario

final

pueda

incurrir

en

cambios

no

autorizados

en

los sistemas, por


cuanto

que

usuario
tiene
irrestricto

el
final

acceso
al

mismo.

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

FORMATO DE OSERVACIONES
Nombre

de

la OLVA COURIER S.A

empresa
Observacin

Auditoria de sistema

SITUACION

EFECTOS

Y/0 SUGERENCIA

INDICE

IMPLICANCIA

DE

IMPORTANCI
A
ESTABLECID

A
Establecer 0 ( cero )

Hemos observado Posibilidad de


que en Olva Courier que

normas

no

procedimientos

cuenta

auditora

con adulteraciones
voluntarias

o en

Informtica , ni con involuntarias


polticas

los

que

se

fijen

sean realizadas a responsables,

formales

que los elementos

periodicidad y

establezcan

componentes del metodologa

responsables,

procesamiento de control de todos

frecuencias

y datos

los

metodologa a seguir (programas,


para

efectuar archivos

revisiones

de

los datos,

archivos

Cabe destacar que seguridad

de

auditoria

que

de pudieran

existir

como

archivos de auditora. definiciones de

de

asimismo,

de
de todos

los

el sistema integrado acceso, etc. ) o elementos


posee un archivo que bien

accesos

a componentes

de

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

pudiera

servir

de datos

auditoria

los

confidenciales

sistemas

de

aplicacin.

Informtica, el cual por personas no


no es habilitado por autorizadas
falta de espacio en el que
disco duro.

no

sean

detectadas
oportunamente.

3. RESULTADOS RECOMENDACIONES Y ACCIONES DE LA AUDITORIA


A. Seguridad Fsica Y Lgica
A1.Entorno General
-Situacin
Durante nuestra revisin, hemos observado lo siguiente:
No existe una vigilancia estricta del rea de Informtica por personal de
seguridad dedicado a este sector.
No existe detectores, ni extintores automticos.
Existe material altamente inflamable.
Carencia de un estudio de vulnerabilidad de la Cooperativa, frente a los
riesgos fsicos o no fsicos, incluyendo el riesgo Informtico.
No existe un puesto o cargo especifico para la funcin de seguridad
Informtica.

-Efectos y/o implicancias probables


Probable difusin de datos confidenciales.
Alta facilidad para cambios involuntarios o intencionales de datos, debido a
la falta de controles
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

internos.
Debido a la debilidad del servicio de mantenimiento del equipo central, la
continuidad de las
actividades informticas

podran

verse

seriamente

afectadas

ante

eventuales roturas y/o


desperfectos de los sistemas.

-Sugerencias
A los efectos de minimizar los riesgos descriptos, se sugiere:
Establecer guardia de seguridad, durante horarios no habilitados para el
ingreso al rea de Informtica.
Colocar detectores y extintores de incendios automticos en los lugares
necesarios.
Remover del Centro de Cmputos los materiales inflamables.
Determinar orgnicamente la funcin de seguridad.
Realizar peridicamente un estudio de vulnerabilidad, documentando
efectivamente el mismo, a los efectos de implementar las acciones
correctivas sobre los puntos dbiles que se detecten.
A2.Auditora de Sistema
-Situacin
Hemos observado que la Empresa Olva Courier no cuenta con auditora
Informtica, ni con polticas formales que establezcan responsables,
frecuencias y metodologa a seguir para efectuar revisiones de los archivos
de auditora.

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

Cabe destacar que el sistema integrado posee un archivo que pudiera servir
de auditoria Informtica, el cual no es habilitado por falta de espacio en el
disco duro.
-Efectos y/o implicancias probables
Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas
a los elementos componentes del procesamiento de datos (programas,
archivos de datos, definiciones de seguridad de acceso, etc.) o bien accesos
a datos confidenciales por personas no autorizadas que no sean detectadas
oportunamente.

-Sugerencias
Establecer normas y procedimientos en los que se fijen responsables,
periodicidad y metodologa de control de todos los archivos de auditoria
que pudieran existir como asimismo, de todos los elementos componentes
de los sistemas de aplicacin.
A.3. Operaciones de Respaldo
-Situacin
Durante nuestra revisin hemos observado que:
Existe una rutina de trabajo de tomar una copia de respaldo de datos en
Cuadernos y USB, que se encuentra en el recinto del centro de cmputos,
en poder del auxiliar de informtica.

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

Si bien existen la copia de seguridad, no se poseen normas y/o


procedimientos que exijan la prueba sistemtica de las mismas a efectos
de establecer los mnimos niveles de confiabilidad.

- Efectos y/o implicancias probables


La Empresa Olva Courier est expuesta a la perdida de informacin por no
poseer un chequeo sistemtico peridico de los backup's, y que los mismas
se exponen a riesgo por encontrarse en poder del auxiliar de informtica.
-Sugerencias
Minimizar los efectos, ser posible a travs de:
Desarrollar normas y procedimientos generales que permitan la toma de
respaldo necesarios, utilitario a utilizar.
Realizar 3 copias de respaldos de datos en Zip de las cuales, una se
encuentre en el recinto del rea de informtica, otra en la sucursal ms
cercana y la ltima en poder del Jefe de rea.
Implementar pruebas sistemticas semanales de las copias y distribucin
de las mismas.
A.4. Acceso a usuarios
-Situacin
De acuerdo a lo relevado hemos constatado que:
Existen niveles de acceso permitidos, los cuales son establecidos conforme
a la funcin que cumple cada uno de los usuarios.
Los usuarios definidos al rotar o retirarse del local no son borrados de los
perfiles de acceso.

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

Las terminales en uso y dado un cierto tipo de inactividad no salen del


sistema.
El sistema informtico no solicita al usuario, el cambio del Password en
forma mensual.
-Efectos y/o implicancia probables
Existe la imposibilidad de establecer responsabilidades dado que esta se
encuentra dividida entre el rea de sistema y los usuarios finales.
La falta de seguridad en la utilizacin de los Password, podran ocasionar
fraudes por terceros.
- Sugerencia
Implementar algn software de seguridad y auditoria existente en el
mercado o desarrollar uno propio.
Establecer una metodologa que permita ejercer un control efectivo sobre el
uso o modificacin de los programas o archivos por el personal autorizado.

A.5. Plan de Contingencias


-Situacin
En el transcurso de nuestro trabajo hemos observado lo siguiente:
Ausencia de un Plan de Contingencia debidamente formalizado en el rea
de Informtica.
No existen normas y procedimientos que indiquen las tareas manuales e
informticas que son necesarias para realizar y recuperar la capacidad de
procesamiento ante una eventual contingencia (desperfectos de equipos,
incendios, cortes de energa con ms de una hora ), y que determinen los
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

niveles de participacin y responsabilidades del rea de sistemas y de los


usuarios.
No existen acuerdos formalizados de Centro de Cmputos paralelos con
otras empresas o proveedores que permitan la restauracin inmediata de
los servicios informticos de la Empresa Olva Courier en tiempo oportuno,
en caso de contingencia.
-Efectos y/o implicancia probable
Prdida de informacin vital.

Prdida de la capacidad de procesamiento.


-Sugerencias
Establecer un plan de contingencia escrito, en donde se establezcan los
procedimientos manuales e informticos para restablecer la operatoria
normal de la Empresa Olva Courier y establecer los responsables de cada
sistema.
Efectuar pruebas simuladas en forma peridica, a efectos de monitorear el
desempeo de los funcionarios responsables ante eventuales desastres.
Establecer convenios bilaterales con empresas o proveedores a los efectos
de asegurar los equipos necesarios para sustentar la continuidad del
procesamiento.
B. Desarrollo y mantenimiento de los sistemas de aplicaciones
B.1. Entorno de Desarrollo y mantenimiento de las aplicaciones
-Situacin
No

existe

documentaciones

tcnicas

del

sistema

integrado

de

la

Cooperativa y tampoco no existe un control o registro formal de las


modificaciones efectuadas.
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

No se cuenta con un Software que permita la seguridad de las libreras de


los programas y la restriccin y/o control del acceso de los mismos.
Las modificaciones a los programas son solicitadas generalmente sin notas
internas, en donde se describen los cambios o modificaciones que se
requieren.
Efectos y/o implicancias probables
La escasa documentacin tcnica de cada sistema dificulta la compresin
de las normas, demandando tiempos considerables para su mantenimiento
e imposibilitando la capacitacin del personal nuevo en el rea.
Se incrementa an ms la posibilidad de producir modificaciones errneas
y/o no autorizadas a los programas o archivos y que las mismas no sean
detectadas en forma oportuna.
-Sugerencias
Para reducir el impacto sobre los resultados de los efectos y consecuencias
probables sugerimos:
Elaborar toda la documentacin tcnica correspondiente a los sistemas
implementados y establecer normas y procedimientos para los desarrollos y
su actualizacin.
Evaluar e implementar un software que permita mantener el resguardo de
acceso de los archivos de programas y an de los programadores.
Implementar y conservar todas las documentaciones de prueba de los
sistemas,

como

as

tambin

las

modificaciones

aprobaciones

de

programas realizadas por los usuarios


C. rea de Informtica
-Situacin

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

No existe una validacin de la cuenta a donde debera acreditarse el monto


del aporte social.
El inventario de salidas y entradas de cada operacin se hace en forma
manual, tanto en la parte de recepcin de envos, como de los envos en
procesos cuando se cae el sistema.
.
-Efectos y/o implicancias probables
La Empresa Olva Courier se encuentra expuesta a serios riesgos, entre ellos:
Posibilidad de que ocurran errores por la falta de conocimiento del tema
contable en el rea operativa.
Alto riesgo de que el usuario final pueda incurrir en cambios no autorizados
en los sistemas, por cuanto que el usuario final tiene acceso irrestricto al
mismo.
-Sugerencias
Implementar debidamente los controles internos necesarios para el
adecuado manejo del usuario final.
Implementar un sistema de respaldo de inventario de envos automtico.

4. AUTOMATIZACION DE PROCESOS

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

5. CONCLUSIONES
La empresa OLVA COURIER tanto materiales como humanos, con lo anterior, se
puede dar uno cuenta auditar una institucin no es nada fcil, ya que si falla un
elemento del que se compone, trae consigo un efecto domino, que hace que los
dems elementos bajen su rendimiento, o en el peor de los casos sean causantes
del fracaso de la institucin.
El factor humano es lo ms importante, ya que si se cuenta con tecnologa de
punta, pero con personal no calificado o en desacuerdo con el desarrollo del
Centro de Computo optara por renunciar, o bien por seguir rezagando al mismo
Asimismo la capacitacin es importantsima, ya que si no hay capacitacin
permanente, el personal tcnico de la empresa decide abandonarla para buscar
nuevos horizontes y mayor oportunidad, aun sacrificando el aspecto econmico.
El aspecto organizativo tambin debe estar perfectamente estructurado, y las
lneas de mando deben estar bien definidas, evitando de esta manera la rotacin
innecesaria de personal, la duplicidad de funciones, las lneas alternas demando,
etc. y que conllevan al desquiciamiento de la estructura organizacional.
Hablando de seguridad, es indispensable el aseguramiento del equipo y de las
instalaciones, as como de la informacin, el control de los accesos tambin es
punto fundamental para evitar las fugas de informacin o manipulacin indebida
de esta.
El Departamento de informtica es la parte medular de la empresa, es en donde
los datos se convierten en informacin til a las diferentes reas, es donde se
guarda esta informacin y por consecuencia, donde en la mayora de los casos se
toman las decisiones importantes para la empresa.
Adems al realizar la presente auditoria nos damos cuenta que dentro del
ambiente empresarial es de vital importancia contar con la informacin lo ms
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

valiosa que sea, a tiempo, de forma oportuna, clara, precisa y con cero errores
para que se constituya en una herramienta poderosa para la toma de decisiones,
vindose reflejada en la obtencin de resultados benficos a los fines de la
organizacin y justificar el existir de toda la organizacin o empresa.
Como resultado de la Auditoria Informtica realizada a la empresa OLVA
COURIER, por el perodo comprendido entre 19-28 de Diciembre del 2013
podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos
contenidos en el programa de auditoria.
El rea de Informtica presenta deficiencias en:
Y en el debido cumplimiento de sus funciones. Podremos estar tranquilos y
seguros que nuestra funcin de auditores est funcionando como se debe, y saber
que cuando se siguen estos lineamientos se obtendrn sistemas que no van a
necesitar mantenimiento excesivo, que el cmputo va a ser parte de la solucin y
no parte del problema, como lo es hoy en da.

6. FIRMAS
Elaborado por
Jos

Revisado por:
Luis Isabel Vilca Quispe

Callacondo

Autorizado por:
Shirley

Mamani

Rodrguez

Firma
Firma

Firma

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

RECOMENDACIONES

Realizar evaluaciones peridicas con el fin de medir el avance de cada

uno de los procesos estudiados en este trabajo.


Se debe utilizar software aplicativo con licenciamiento, as como adecuar
las instalaciones del rea de informtica, puesto que el espacio de

trabajo de este es muy limitado y sin las seguridades fiscas pertinentes.


Hacer el uso del presente trabajo, con el fin de tomarlo como gua para
futuras mejoras en TI.

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

CONSEJOS
1. Utiliza un buen antivirus y actualzalo frecuentemente.
2. Comprueba que tu antivirus incluye soporte tcnico, resolucin urgente de
nuevos
virus y servicios de alerta.
3. Asegrate de que tu antivirus est siempre activo.
4. Verifica, antes de abrir, cada nuevo mensaje de correo electrnico recibido.
5. Evita la descarga de programas de lugares no seguros en Internet.
6. Rechaza archivos que no hayas solicitado cuando ests en chats o grupos de
noticias
7. Analiza siempre con un buen antivirus los disquetes que vayas a usar en tu
ordenador.
8. Retira los disquetes de las disqueteras al apagar o reiniciar tu ordenador.
9. Analiza el contenido de los archivos comprimidos.
10. Mantente alerta ante acciones sospechosas de posibles virus.

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

11. Aade las opciones de seguridad de las aplicaciones que usas normalmente a
tu
poltica de proteccin antivirus.
12. Realiza peridicamente copias de seguridad.
13. Mantente informado.
14. Utiliza siempre software legal.
15. Exige a los fabricantes de software, proveedores de acceso a Internet y
editores de
publicaciones, que se impliquen en la lucha contra los virus

BIBLIOGRAFIA

http://www.slideshare.net/AmdCdmas/informe-final-de-auditoria-informatica
http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html}
http://anaranjo.galeon.com/conceptos.htm
http://www.virtual.unal.edu.co/cursos/sedes/manizales/4060035/und_0/

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

http://auditoriainformaticafcat.blogspot.com/2012/02/ejemplo-de-propuesta-

de-auditoria.html
http://html.rincondelvago.com/auditoria-de-sistemas-informaticos.html

ANEXOS
UNIVERSIDAD NACIONAL DE MOQUEGUA
49

A. Cuestionario de

Auditora correspondiente

al funcionamiento

del rea de Informtica:


Se tiene restringida la operacin del sistema de cmputo a los usuarios?
SI ( )

NO ( )

Son funcionales los muebles asignados para los equipos de cmputo?

SI ( )

NO ( )

B. Cuestionario de Auditora correspondiente a la seguridad fsica:


OLVA COURIER cuenta con extintores de fuego?
SI ( )

NO ( )
UNIVERSIDAD NACIONAL DE MOQUEGUA

49

Existe salida de emergencia?


SI ( )

NO ( )

Existe alarma para detectar fuego (calor o humo) en forma automtica?


SI ( )

NO ( )

Existen una persona responsable de la seguridad?


SI ( )

NO ( )

El lugar donde se encuentra OLVA COURIER est situado a salvo de:


a) Inundacin? ( ) b) Terremoto? ( ) c) Fuego? ( ) d) Sabotaje? ( )
C. Cuestionario de Auditoria en Redes:
Estn establecidos controles especiales para salvaguardar la confidencialidad e
integridad del procesamiento de los datos que pasan a travs de redes pblicas, y
para proteger los sistemas conectados?
___________________________________________________________________________________
___________________________________________________________________________________
_____________________________________________________

Existen

controles

especiales para mantener

la disponibilidad de los

servicios de red y computadoras conectadas?

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

___________________________________________________________________________________
___________________________________________________________________________________
_____________________________________________________

Existen protocolos de comunicaron establecida?


___________________________________________________________________________________
___________________________________________________________________________________
_____________________________________________________

Existe un plan de infraestructura de redes?


___________________________________________________________________________________
___________________________________________________________________________________
_____________________________________________________

Existen

controles

procedimientos

de

gestin

para proteger el

acceso a las conexiones y servicios de red?


___________________________________________________________________________________
___________________________________________________________________________________
_____________________________________________________

FOTOS

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

PREGUNTAS A. FISICA

SI

1. Se han adoptado medidas de seguridad en el departamento de


Sistemas de informacin?
2. Existe
una
persona
responsable
de
la
seguridad?
3. Se ha dividido la responsabilidad para tener un mejor control de la
Seguridad?
4. Existe
personal
de
vigilancia
en
la
institucin?

NO

X
X
X

5. Existe una clara definicin de funciones entre los puestos clave?

6. Se investiga a los vigilantes cuando son contratados directamente?


7. Se
controla
el
trabajo
fuera
de
horario?

X
X

8. Se registran las acciones de los operadores para evitar que realicen


Algunas pruebas que puedan daar los sistemas?.

N/A

9. Existe vigilancia en el departamento de cmputo las 24 horas?

10. Se permite el acceso a los archivos y programas a los


Programadores, analistas y operadores?

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

11. Se ha instruido a estas personas sobre que medidas tomar en caso


de que alguien pretenda entrar sin autorizacin?

12. El centro de cmputo tiene salida al exterior?


X
13. Son controladas las visitas y demostraciones en el centro de X
Cmputo?
14. Se registra el acceso al departamento de cmputo de personas X
Ajenas a la direccin de informtica?
15. Se vigilan la moral y comportamiento del personal de la direccin de
X
Informtica con el fin de mantener una buena imagen y evitar un posible
fraude?
16. Se ha adiestrado el personal en el manejo de los extintores?
X
17. Se revisa de acuerdo con el proveedor el funcionamiento de los
X
Extintores?
18. Si es que existen extintores automticos son activador por detectores
X
Automticos de fuego?
19. Los interruptores de energa estn debidamente protegidos,
X
Etiquetados y sin obstculos para alcanzarlos?
20. Saben que hacer los operadores del departamento de cmputo, en X
Caso de que ocurra una emergencia ocasionado por fuego?
21. El personal ajeno a operacin sabe que hacer en el caso de una
X
Emergencia (incendio)?
22. Existe salida de emergencia?
X
23. Se revisa frecuentemente que no est abierta o descompuesta la cerradura
de esta puerta y de las ventanas, si es que existen?
24. Se ha adiestrado a todo el personal en la forma en que se deben X
Desalojar las instalaciones en caso de emergencia?

SI NO N/A
25. Se ha prohibido a los operadores el consumo de alimentos y bebidas X en
interior del departamento de cmputo para evitar daos al equipo?
26. Se limpia con frecuencia el polvo acumulado debajo del piso falso si X
Existe?
27. Se cuenta con copias de los archivos en lugar distinto al de la
Computadora?
28. Se tienen establecidos procedimientos de actualizacin a estas
Copias?
29. Existe departamento de auditoria interna en la institucin?
X
30. Este departamento de auditoria interna conoce todos los aspectos de
los sistemas?
31. Se cumplen?
32. Se auditan los sistemas en operacin?
33. Una vez efectuadas las modificaciones, se presentan las pruebas a
los interesados?
34. Existe control estricto en las modificaciones?

el

X
X
X
X
X

X
X

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

35. Se revisa que tengan la fecha de las modificaciones cuando se X


Hayan efectuado?
36. Si se tienen terminales conectadas, se ha establecido
Procedimientos de operacin?
37. Se ha establecido que informacin puede ser acezada y por qu
Persona?
PREGUNTAS- A. OFIMATICA

SI

NO

X
X

N/A

1. Existe un informe tcnico en el que se justifique


la adquisicin del equipo, software y servicios de
computacin,

incluyendo

un

estudio

costo-

beneficio?
2. Existe un comit que coordine y se
responsabilice de todo el proceso de adquisicin e
instalacin?
3. Han elaborado un instructivo con procedimientos
a seguir para la seleccin y adquisicin de
equipos, programas y servicios computacionales?
4. se cuenta con software de oficina?
5. Se han efectuado las acciones necesarias para una
mayor participacin de proveedores?

UNIVERSIDAD NACIONAL DE MOQUEGUA


49

S
I
N
O
N
/
A
6. Se ha asegurado un respaldo de mantenimiento
y asistencia tcnica?
7. El acceso al centro de cmputo cuenta con las
seguridades necesarias para reservar el ingreso

al personal autorizado?
8. Se han implantado claves o password para
garantizar operacin de consola y equipo central

(mainframe), a personal autorizado?


9. Se han formulado polticas respecto a seguridad,
privacidad y proteccin de las facilidades de
procesamiento ante eventos como: incendio,
vandalismo, robo y uso indebido, intentos de
violacin?
10. Se mantiene un registro permanente (bitcora)
de todos los

procesos

realizados, dejando

constancia de suspensiones o cancelaciones de

procesos?
11. Los

operadores

del

equipo central

estn

entrenados para recuperar o restaurar informacin


en caso de destruccin de archivos?
12. Los backups son mayores de dos (padres e
hijos) y se guardan en lugaresseguros

adecuados, preferentemente en bvedas de

bancos?
13. Se han implantado calendarios de operacin a
fin de establecer prioridades de proceso?
14. Todas las actividades del Centro de Computo
estn normadas mediante manuales, instructivos,

normas, reglamentos, etc.?


15. Las instalaciones cuentan con sistema de
alarma por presencia de fuego, humo, as como
extintores de incendio, conexiones elctricas
seguras, entre otras?

SI
16. Se han instalado equipos que protejan la
informacin y los dispositivos en caso de variacin
de

voltaje

como:

reguladores

de

voltaje,

supresores pico, UPS, generadores de energa?


17. Se han contratado plizas de seguros para
proteger la informacin, equipos, personal y todo
riesgo que se produzca por casos fortuitos o mala
operacin?
18. Se han Adquirido equipos de proteccin como
supresores de pico, reguladores de voltaje y de
ser posible UPS previo a la adquisicin del
equipo?
19. Si se vence la garanta de mantenimiento del
proveedor se contrata mantenimiento preventivo y
correctivo?
20. Se establecen procedimientos para obtencin de
backups de paquetes y de archivos de datos?

NO

N/A

21. Se hacen revisiones peridicas y sorpresivas del


contenido del disco para verificar la instalacin de
aplicaciones no relacionadas a la gestin de la
empresa?
22. Se mantiene programas y procedimientos de
deteccin e inmunizacin de virus en copias no

autorizadas o datos procesados en otros equipos?


23. Se propende a la estandarizacin del Sistema
Operativo, software utilizado como procesadores
de palabras, hojas electrnicas, manejadores de
base de datos y se mantienen actualizadas las
versiones y la capacitacin sobre modificaciones
incluidas?

PREGUNTAS - A. BASE DE
DATOS
SI NO
1. Existe equipos o software de SGBD
2. La organizacin tiene un sistema de gestin de base
de datos (SGBD)
3. Los datos son cargados correctamente en la interfaz grafica
4. Se verificar que los controles y relaciones de datos
se realizan de acuerdo a Normalizacin libre de error
5. Existe personal restringido que tenga acceso a la BD
6. El SGBD es dependiente de los servicios que ofrece el
Sistema Operativo
7. La interfaz que existe entre el SGBD y el SO es el
adecuado
8. Existen procedimientos formales para la operacin del
SGBD?
9. Estn actualizados los procedimientos de SGBD?
10. La periodicidad de la actualizacin de los procedimientos
es Anual ?
11. Son suficientemente claras las operaciones que realiza la
BD?
12. Existe un control que asegure la justificacin de los
procesos en el computador? (Que los procesos que estn
autorizados tengan una razn de ser procesados)
13. Se procesa las operaciones dentro del departamento de
cmputo?
14. Se verifican con frecuencia la validez de los inventarios de
los archivos magnticos?
15. Existe un control estricto de las copias de estos archivos?
16. Se borran los archivos de los dispositivos
almacenamiento, cuando se desechan estos?

de

17. Se registran como parte del inventario las nuevas cintas


magnticas que recibe el centro de computo?
18. Se tiene un responsable del SGBD?

N/A

SI NO

N/A

19. Se realizan auditorias peridicas a los medios de


almacenamiento?
20. Se tiene relacin del personal autorizado para manipular
la BD?
21. Se lleva control sobre los archivos trasmitidos por el
sistema?
22. Existe un programa de mantenimiento preventivo para el
dispositivo del SGBD?
23. Existen integridad de los componentes y de seguridad de
datos?
24. De acuerdo con los tiempos de utilizacin de
cada dispositivo del sistema de cmputo, existe equipo
capaces que soportar el trabajo?
25. El SGBD tiene capacidad de teleproceso?
26. Se ha investigado si ese tiempo de respuesta satisface
a los usuarios?
27. La capacidad de almacenamiento mximo de la BD
es suficiente para atender el proceso por lotes y el
proceso remoto?

PREGUNTAS A. DE REDES

SI

1. La gerencia de redes tiene una poltica definida

de planeamiento de tecnologa de red?


2. Esta poltica es acorde con el plan de calidad de la

organizacin
3. La gerencia de redes tiene un plan que permite modificar en

forma oportuna el plan a largo plazo de tecnologa de


redes

teniendo

en cuenta

los

posibles

cambios

tecnolgicos o en la organizacin?
4. Existe un inventario de equipos y software asociados a

las redes de datos?

NO

N/A

SI
6. Existe un plan de infraestructura de redes?
7. El plan de compras de hardware y software para el sector
redes est de acuerdo con el plan de infraestructura
de redes?
8.

La responsabilidad operativa de las redes esta separada de


las de operaciones del computador?

9. Estn establecidos controles especiales para salvaguardar la


confidencialidad e integridad del procesamiento de los datos que
pasan a travs de redes pblicas, y para proteger los sistemas
conectados
10. Existen controles especiales para mantener la disponibilidad de
los servicios de red y computadoras conectadas?
11. Existen controles y procedimientos de gestin para proteger
el acceso a las conexiones y servicios de red.?
12. Existen protocolos de comunicaron establecida
13. Existe una topologa estandarizada en toda la organizacin
14. Existen normas que detallan que estndares que

deben cumplir el hardware y el software de tecnologa de


redes?
15. La transmisin de la informacin en las redes es segura?
16. El acceso a la red tiene password?

NO

N/A