Alumnos: Mara Anglica Quintana Miranda

Kelvin Joel Morales Ramrez

Miguel Antonio Hernndez Mndez
Roberto Javier Castillo Martnez
Ana Carolina Prez Garca

Docente: Lic. Claudia Benavidez

AUDITORIA INFORMATICA
Auditoria Informtica de la Empresa Soluciones Segura, S.A (LOTO)
2017

2017
 Auditoria Informtica

ndice

1. INTRODUCCION
2. ALCANCE
3. OBJETIVO
4. ANTECEDENTES
5. DATOS DE LA INSTITUCION
5.1 DATOS GENERALES
5.2 MISION
5.3 VISION
5.4 OBJETIVOS ORGANIZACIONALES
5.5 ORGANIGRAMA
5.6 FUNCIONES DEL AREA EN ESTUDIO
6. RAZONES DE LA AUDITORIA
7. DETERMINACION DEL AREA A ESTUDIAR
8. DIAGNOSTICO DE LA AUDITORIA
8.1 ANALISIS FODA
9. AUDITORIAS APLICADAS
10. HALLAZGOS DE CADA UNA DE LAS AUDITORIAS APLICADAS
11. APLICACIN DE CONTROLES
11.1 PREVENTIVO
11.2 DETECTIVO
11.3 CORRECTIVO
12. MATRIZ DE RIESGO
13. PLAN DE CONTINGENCIA
14. ANALISIS DE LOS RESULTADOS DE LA AUDITORIA
15. BIBLIOGRAFIA
16. ANEXOS
 Auditoria Informtica
1. Introduccin

El presente trabajo, describe la Auditora Informtica de los Sistemas de Tecnologa e

Informacin, realizada Soluciones Segura, S.A (LOTO). Utilizando COBIT, una
herramienta desarrollada para, ayudar a los administradores de negocios a entender y
administrar los riesgos asociados con la implementacin de nuevas tecnologas, las
buenas prcticas de COBIT estn enfocadas en el ambiente de control ptimo que debe
tener una empresa para de esta manera lograr una alineacin efectiva entre TI y los
objetivos de negocio. El fin de esta revisin tcnica es identificar debilidades y emitir
recomendaciones que permitan minimizar riesgos.

Para llevar a cabo la presente Auditora, se realizaron las siguientes actividades:

Entregar un listado de requerimientos a la entidad a ser auditada.

Revisar la documentacin entregada al Equipo de Auditora.
Se formularon preguntas, con el fin de aclarar ciertos puntos de la
documentacin.
Se elaboraron encuestas al personal de la entidad.
En base a los resultados obtenidos, se llevaron a cabo las entrevistas que
constituye un mtodo de auditora personalizada, para profundizar en la
indagacin.
Tomando como base las encuestas y las entrevistas, se elaboraron las pruebas
sustantivas (checklist) y se recopilaron evidencias.
De acuerdo a los resultados obtenidos en las encuestas, entrevistas y pruebas
sustantivas y, alineando todos estos resultados con cada objetivo de control,
que propone COBIT, se presentaron las observaciones y recomendaciones
emitidas en un informe a la Gerencia.

2. Alcance

La Realizacin de esta auditoria se llev a cabo en la empresa Soluciones Segura, S.A

(LOTO), en un periodo de 30 das, en el cual se abord la evaluacin del rea de sistemas
de la empresa, en donde se llevaban los procesos informticos de la entidad. Se evaluar
seguridad fsica, seguridad lgica, respaldo de datos, planes de mantenimiento,
contingencia y continuidad, as como la documentacin general y especfica sobre equipos,
sistemas y software utilizados en la empresa.
 Auditoria Informtica

Debido al acuerdo de gerencia de la empresa y los auditores, no se evalu mediante

pruebas sustantivas la seguridad de la red y los sistemas de informacin, ya que para
ellos, esto podra dar lugar a que los auditores tuvieran acceso a informacin valiosa y
confidencial de la empresa; por la razn antes mencionada solamente se verifico el
cumplimiento de las normativas internacionales en seguridad, las que se comprobaron
generalmente utilizando la informacin obtenidas de las entrevistas, cuestionarios y
mediante la observacin.

3. Objetivos
a. Objetivo General

Realizar una Auditora Informtica del Sistema de Informacin de Soluciones Segura, S.A
(LOTO), utilizando el estndar internacional COBIT 4.0, a fin de identificar debilidades y
emitir recomendaciones que permitan eliminar o minimizar los riesgos en la organizacin.

b. Objetivo Especifico

Evaluar y describir la planeacin, organizacin y situacin actual de los Sistemas de

Informacin de Soluciones Segura, S.A (LOTO), enfocndose en las estrategias, tcticas
e infraestructura tecnolgica de informacin, que contribuyen al logro de los objetivos del
negocio.

Evaluar la adquisicin e implementacin de las TI, los procesos en los que estas se
desenvuelven, cambios y mantenimiento realizado a los sistemas existentes, as como la
verificacin de la calidad y suficiencia de los procesos de la Institucin y, el monitoreo de
los requerimientos de control.

Evaluar la entrega de los servicios requeridos, desde las operaciones tradicionales hasta el
entrenamiento al personal que interfiere directamente con las Tecnologas de Informacin,
abarcando aspectos de seguridad, continuidad del negocio, revisin del procesamiento de
los datos por sistemas de aplicacin, frecuentemente clasificados como controles de
aplicacin.
 Auditoria Informtica

Aplicar el estndar COBIT4.0 en la evaluacin y auditora de sistemas de Soluciones

Segura, S.A (LOTO).

Emitir un informe que permita asegurar una mayor integridad, confidencialidad y

confiabilidad de la informacin, en base a un estudio y aplicacin de metodologas, a los
procesos de Soluciones Segura, S.A (LOTO).

4. Antecedentes

Los Sistemas Informticos, estn integrados a la gestin empresarial; por ello, las normas
y estndares informticos deben estar alineados e implantados previa la aprobacin de la
Direccin de Sistemas de la organizacin, misma que se encargar de la implementacin
de controles de acceso a la informacin, que se maneja en los diversos procesos de la
Soluciones Segura, S.A (LOTO); en consecuencia, se debe destacar que, las
organizaciones informticas forman parte de la gestin de la empresa y se constituyen en
un elemento de apoyo en la toma de decisiones.

Actualmente, la informacin institucional, se ha convertido en un activo fijo real invaluable,

similar a la materia prima, sin embargo, debemos considerar que, a pesar de la capacidad
que pueden tener los miembros de la Direccin de Sistemas de la Soluciones Segura, S.A
(LOTO); la cantidad de trabajo, centrado mayormente en el desarrollo de sistemas y
redes, sin el personal suficiente hace que, necesariamente se tomen alternativas rpidas
para ganar tiempo, afectando de esta manera, la calidad de los productos que se desean
entregar, para servicio del cliente interno en este caso.

De ah parte una necesidad de la Escuela Politcnica de Nicaragua, como parte del

proceso de formacin de profesionales en la Carrera de Ingeniera en Sistemas e
Informtica, cooperando en el desarrollo del pas, mediante trabajos de culminacin de
cursos, que certifiquen la formacin de graduados, a la vez que colaboran con el desarrollo
 Auditoria Informtica
intelectual y personal en las empresas pblicas y privadas y, el desarrollo constante del
pas.

5. Datos de La Empresa

Para obtener la siguiente informacin en la empresa nos proporcionaron un libro donde

tienen su filosofa, valores, misin y visin, otra informacin fueron recopiladas con el
Administrador de TI y de su pgina oficial.

5.1. Datos Generales

LOTO inici sus operaciones en Nicaragua el 28 de abril de 2011. Esto gracias a un

contrato firmado entre el Gobierno de Nicaragua y el Gobierno de Canad, mediante el
cual se le otorga el permiso para ofrecer de forma exclusiva lotera electrnica en el pas.

El negocio que firm el primer contrato para convertirse en Agente LOTO, fue la Farmacia
Konny ubicada en la Baha de buses del popular Mercado Roberto Huembs. Desde
entonces se han ido sumando hasta la fecha ms de 800 Agentes LOTO, los que gracias a
su ubicacin estratgica en: Pulperas, Mercados, Farmacias, Supermercados de la
cadena Wal-Mart y Oficina Principal LOTO, llevan la suerte a diferentes ciudades en todo el
pas.

5.2. Misin

Proveer a nuestros clientes documentos de seguridad, sistemas de software y dispositivos

de hardware superiores, que impidan el fraude de documentos y las actividades criminales.

Crear un lugar donde nuestros empleados puedan aprender, crecer y sentirse realizados
en su trabajo.

Optimizar la rentabilidad a largo plazo de nuestros accionistas, produciendo un rendimiento

sobre el capital superior al promedio. Asegurar que cada divisin comercial de CBN tenga
una misin clara y especifica que respalde ese objetivo financiero.

Realizar nuestras actividades comerciales en forma escrupulosa y tica en funcin de

nuestros 7 principios bsicos.
 Auditoria Informtica

5.3. Visin

Hacer del mundo un lugar ms seguro donde vivir y hacer negocios, siendo el lder
tecnolgico en el suministro de soluciones dirigidas a la prevencin del fraude asociado
con el tema de documentos y sistemas de seguridad.

5.4. Objetivos Organizacionales

Nuestro objetivo principal es crear y mantener una empresa econmicamente viable que
tenga un fuerte espritu competitivo y que produzca un rendimiento financiero superior al
promedio.

El objetivo principal se debe medir econmicamente, ya que para sobrevivir, Canadian

Bank Note tiene que ser capaz de mantenerse de pie, financieramente hablando. Debemos
generar el dinero para pagar a los empleados y a los proveedores, y para adquirir nuevos
equipos e instalaciones a fin de mantenernos a un nivel competitivo. La fuente de todos
nuestros ingresos y el valor para nuestros accionistas reside en nuestros clientes y para
conseguir y mantener a nuestros clientes debemos de proveer de mejores productos y
servicios que podamos.

Productos excepcionales requieren empleados excepcionales. Atraer y retener empleados

adecuados requiere recompensarlos econmicamente y proporcionarles un mbito en el
que puedan aprender y crecer.

5.5. Organigrama
 Auditoria Informtica

6. Razones de la Auditoria

El desarrollo tecnolgico que enfrenta la Soluciones Segura, S.A (LOTO), con el manejo
de diversos sistemas de informacin y automatizacin en sus procesos, necesita corregir
fallas, ejecutar procesos de calidad y, entregarlos en el momento oportuno; detectar los
errores mediante una Auditora Informtica, realizada y ejecutada por un grupo capacitado,
que proponga soluciones efectivas, para minimizar riesgos y mejorar el empleo de la
tecnologa de informacin en la organizacin.

La evaluacin de los sistemas de informacin, deber cubrir aspectos de planificacin,

organizacin, procesos, ejecucin de proyectos, seguridades, equipos, redes y
comunicaciones, con el objeto de determinar los riesgos a los que se encuentra expuesta
la Soluciones Segura, S.A (LOTO) y recomendar procedimientos que permitan
minimizarlos o eliminarlos.

El anlisis de los Objetivos de Control con COBIT1, debe ser de carcter objetivo e
independiente, crtico, basado en evidencias, sistemtico, bajo normas y metodologas
aprobadas a nivel internacional, que seleccione polticas, normas, prcticas, funciones,
procesos, procedimientos e informes relacionados con los sistemas de informacin
computarizados, que permiten obtener una opinin profesional e imparcial, enfocada en
aspectos como: criterios de informacin y prcticas requeridas, que ayuden a determinar
con eficiencia, el uso de los recursos informticos, la validez de la informacin y efectividad
de los controles establecidos.

Como parte del sistema de administracin de Soluciones Segura, S.A (LOTO), se hace
evidente la necesidad de evaluar y valorar el uso de los recursos de TI, para de esta
 Auditoria Informtica
manera, justificar su costo y determinar medidas que permitan su racional aplicacin,
eficiencia y efectividad.

La situacin actual por la que atraviesa la Direccin de Sistemas Soluciones Segura, S.A
(LOTO), requiere que, mediante el uso de un conjunto de procedimientos y tcnicas, se
proceda a evaluar y controlar los sistemas de informacin y el ambiente informtico, con el
fin de constatar si sus procesos y actividades son correctos y, se encuentran enmarcados y
en conformidad con las mejores normativas informticas y generales de la organizacin.

7. Determinacin del rea de Estudio

Ubicacin:

El rea de cmputo e informtica orgnicamente depende de la oficina de planificacin y

presupuesto, asumiendo la responsabilidad de dirigir los procesos tcnicos de informtica.

Recursos Humanos:

Actualmente en el rea de cmputo e informtica labora(n) (n) persona(s) quien(es)

cumple(n) las funciones de administracin, capacitacin, soporte y procesamiento de
datos.

Recursos informticos existentes:

Servidores (Linux) 1
Computadoras Personales 11
Impresoras 2

Objetivos:

El rea de Cmputo e informtica tiene los siguientes objetivos:

1) Desarrollar y mantener sistemas de informacin que incorporen herramientas

que apoyen la ejecucin y gestin de los procesos internos.
2) Disear y desarrollar herramientas tecnolgicas que permitan la implementacin
de servicios remotos (virtuales).
3) Implementar y gestionar una plataforma tecnolgica que permita proveer
servicios informticos de alta disponibilidad, seguridad y confiabilidad.
 Auditoria Informtica
4) Gestionar y mantener servicios de soporte tcnico para usuarios internos que
permitan mantener la continuidad operativa de su equipo y servicios
tecnolgicos.

8. Diagnstico de auditoria

Esta seccin nos dar un primer acercamiento a la situacin actual de la empresa Loto
S.A., anteriormente hemos definido que el rea a auditar ser el Departamento de
sistemas y tambin definimos que nos enfocaramos en seguridad fsica, seguridad lgica,
respaldo de datos, planes de mantenimiento, contingencia y continuidad.

Por tanto para poder tener una mejor comprensin hemos segmentado el diagnostico
preliminar de la auditoria, por tal tenemos:

1) Informacin general de la empresa, con respecto al rea de sistemas.

2) Informacin general del rea de sistemas, con respecto a la empresa en
general.
3) Informacin general de la situacin actual de los equipos de cmputo y de
hardware en general del rea de sistemas.

En general, sabemos que la empresa como tal posee mltiples reas de trabajo definidas
dentro de la misma, pero como tal nos centraremos en la de sistemas, en este punto
verificamos el conocimiento que los empleados poseen con respecto a los dems
departamento de la empresa loto, nos interes saber si conocen los procesos llevados en
la empresa, y si de alguna u otra forma estos procesos tienen relacin con la de sistemas.
En trminos generales encontramos que la gran mayora de los procesos de otras reas
dependen en menor grado del de sistemas y que los empleados del departamento de
sistemas tienen en un 85% los conocimientos acertados sobre las dems.

Los jefes de reas o gerentes de estas creen que sus subordinados tienen mayores
conocimientos que en lo que en realidad estos poseen, lo que dificulta hasta cierto punto la
relacin entre estas, pero sin embargo estos gerentes si tienen en gran medida
conocimientos generales sobre los departamentos que componen a la empresa.

En cuanto a la situacin actual de los equipos de cmputo encontramos que estos estn en
trminos generales en ptimas condiciones y que an no estn desfasados, as tambin
 Auditoria Informtica
verificamos la situacin de los otros equipos tecnolgicos utilizados en esta rea, lo cual
ampliaremos ms adelante.

Matriz de diagnstico de la auditoria (de forma preliminar en el rea de sistemas)

Segmento Problemtica actual

Informacin general de la empresa. Falta de conocimiento de los procesos de las otras
Con respecto al rea de sistemas. reas, sin embargo Sistema sabe de forma general
la forma de trabajo de las dems.
Informacin general del rea de Falta de conocimiento de los procesos de estas
sistemas. Con respecto a la reas en relacin a sistemas, podemos decir que no
empresa en general. hay ideas de forma general de cmo se trabaja en el
departamento de sistemas.
Informacin general de la situacin Equipo de cmputo: falta de mantenimiento, es
actual de los equipos de cmputo y decir, el mantenimiento se realiza en periodos
de hardware en general del rea largos.
de sistemas Equipo de red: falta de mantenimiento, es decir, el
mantenimiento se realiza en periodos largos.
Equipo de respaldo o UPS: modelos desfasados, y
en algunos casos no estn siendo utilizados de
forma correcta.
Equipo de planta telefnica: aunque es un servicio
brindado por empresas externas, en este caso no
existe problemtica.
Internet: uso inadecuado, se acceden a sitios no
autorizados.

En conclusin tenemos que la situacin actual del rea a auditar, no posee grandes
problemticas, ms que la falta de mantenimiento, el uso incorrecto de la internet y de los
equipos UPS. Y en general la falta de integracin de los conocimientos del rea de
sistemas con las dems reas y viceversa, pero de todos modos no nos centraremos en tal
problemtica, sino que solo la mencionaremos, de tal forma que nuestro inters estar
centrado en la problemtica del hardware en toda su extensin.
 Auditoria Informtica

8.1. Anlisis FODA

Fortalezas:
Fortalezas:
Buen ambiente
Buen ambiente laboral
laboral
Proactividad
Proactividad enen la gestion
la gestion
Conocimiento
Conocimiento del mercado
del mercado Debilidades:
Debilidades:
Grandes recursos financieros
Grandes recursos financieros
Salarios bajos
Salarios bajos
Buena
Buena calidad del producto
calidad del producto final
final
Poca capacidad
Poca capacidad de
de acceso
acceso aa creditos
creditos
Equipamiento de
Equipamiento de ultima
ultima generacion
generacion
Experiencia
Experiencia de los recursos
de los recursos humanos
humanos
Procesos tecnicos
Procesos tecnicos yy administrativos
administrativos de de calidad
calidad
Cualidades
Cualidades del
del servicio
servicio que se considera
que se considera dede alto
alto
nivel
nivel

Oportunidades:
Oportunidades:
Competencia debil
Competencia debil Amenazas:
Amenazas:
Necesidad
Necesidad del producto
del producto Cambios
Cambios enen la
la legislacion
legislacion
Tendencias favorables
Tendencias en el
favorables en el mercado
mercado Aumento de
Aumento de precios
precios de
de insumos
insumos
Fuerte
Fuerte poder adquisitivo del
poder adquisitivo segmento meta
del segmento meta Cambios de habitos
Cambios de de los
habitos de los consumidores
consumidores
Utilizacion de
Utilizacion nuevos canales
de nuevos canales de
de venta
venta
 Auditoria Informtica
9. AUDITORIAS APLICADAS
Auditoria fsica
Auditoria Ofimtica
Auditoria del desarrollo

10. HALLAZGOS DE CADA UNA DE LAS AUDITORIAS APLICADAS

AF
Falta de presupuesto y personal.
Falta de un local ms amplio.
No existe un calendario de mantenimiento
Falta de ventilacin.
Faltan salida al exterior
Existe una salida de emergencia.
AO
Falta de licencias de software.
Falta de software de aplicaciones actualizados
No existe un calendario de mantenimiento ofimtico.
Faltan material ofimtico.
AD
Incumplimiento de plazos y calendarios de tratamientos y entrega de datos.
Inexistencia y falta de uso de los Manuales de Operacin
Falta de planes de formacin
No existe programas de capacitacin y actualizacin al personal

11. Aplicacin de Controles

Los controles son un conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones
y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los
programas adoptados, rdenes impartidas y principios admitidos.

11.1. Controles Preventivos

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo en los
distintos departamentos. Entre ellos podemos citar los siguientes:

1. Periodicidad de cambio de claves de acceso

Los cambios de las claves de acceso a los programas se deben realizar peridicamente.
Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron
inicialmente.

El no cambiar las claves peridicamente aumenta la posibilidad de que personas no

autorizadas conozcan y utilicen claves de usuarios del sistema de computacin.

Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.

2. Combinacin de alfanumricos en claves de acceso

 Auditoria Informtica
No es conveniente que la clave este compuesta por cdigos de empleados, ya que
una persona no autorizada a travs de pruebas simples o de deducciones puede dar con
dicha clave.

Para redefinir claves es necesario considerar los tipos de claves que existen:

Individuales
Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al
momento de efectuar las transacciones registrar a los responsables de cualquier cambio.
Confidenciales
De forma confidencial los usuarios debern ser instruidos formalmente respecto al uso de
las claves.
No significativas
Las claves no deben corresponder a nmeros secuenciales ni a nombres o fechas.
3. Utilizar software de seguridad en los microcomputadores
El software de seguridad permite restringir el acceso al microcomputador, de tal modo que
solo el personal autorizado pueda utilizarlo.
Adicionalmente, este software permite reforzar la segregacin de funciones y la
confidencialidad de la informacin mediante controles para que los usuarios puedan asesar
solo a los programas y datos para los que estn autorizados.
Programas de este tipo son: WACHDOG, LATTICE, SECRET DISK, entre otros.
4. Realizar copias de seguridad peridicamente
Se debe de implementar sistemas de respaldo de informacin de la informacin que
maneja a diario la empresa, entre la cual encontramos correo electrnico, informacin de
los clientes, informacin interna. Se recomienda realizar respaldos diarios si es necesario 2
o 3 veces al da.
5. Proteccin de los datos
Implementar polticas para la compactacin y encriptacin de la informacin punto a punto.
6. Mantenimiento Lgico Preventivo (Software).
Es una actividad programable, que involucra el Mantenimiento Preventivo en forma lgica
del equipo de cmputo del usuario, para prevenir errores causados por falta de
actualizaciones, espacio en el disco duro, software instalado sin autorizacin y excesivos
archivos temporales.
7. Mantenimiento Preventivo (Hardware).
Es una actividad programable que involucra el Mantenimiento Preventivo de las partes
fsicas del equipo de cmputo, haciendo referencia a limpieza, revisiones y
comprobaciones fsicas, para asegurar la fiabilidad y correcto funcionamiento del equipo,
verificando los dispositivos de entrada, de salida, procesamiento y de almacenamiento.
11.2. Controles Detectivos
 Auditoria Informtica
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de
ocurridos. Son los ms importantes para el auditor. En cierta forma sirven para evaluar la
eficiencia de los controles preventivos.

1. Verificacin de datos de entrada

Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisin;
tal es el caso de la validacin del tipo de datos que contienen los campos o verificar si se
encuentran dentro de un rango.
2. Conteo de registros
Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y
verificar con los totales ya registrados.
3. Totales de Control
Se realiza mediante la creacin de totales de lnea, columnas, cantidad de formularios,
cifras de control, etc., y automticamente verificar con un campo en el cual se van
acumulando los registros, separando solo aquellos formularios o registros con diferencias.
4. Verificacin de lmites
Consiste en la verificacin automtica de tablas, cdigos, lmites mnimos y mximos o
bajo determinadas condiciones dadas previamente.
5. Verificacin de secuencias
En ciertos procesos los registros deben observar cierta secuencia numrica o alfabtica,
ascendente o descendente, esta verificacin debe hacerse mediante rutinas
independientes del programa en s.
6. Verificacin de accesos no autorizados
Consiste en la verificacin automtica del registro de intentos de accesos no autorizados.

11.3. Controles Correctivos

Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada
puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles detectivos
sobre los controles correctivos, debido a que la correccin de errores es en s una actividad
altamente propensa a errores.

1. Atencin de Fallas de Equipo de Cmputo.

Se considera como Atencin de Fallas de Equipo, todo reporte inherente al incorrecto
funcionamiento del equipo de cmputo, el cual considera computadora personal,
perifricos y accesorios que estn dentro del inventario de La Loto, el objetivo primordial de
la atencin es mantener en forma permanente la disponibilidad de hardware en las mejores
condiciones de operatividad para los usuarios de la Entidad.

2. Mantenimiento de Sistemas (Correctivo).

 Auditoria Informtica
Se considera Mantenimiento de Sistemas Correctivo, a la atencin de los reportes
recibidos por parte del usuario en relacin a un problema que afecte a un Sistema
Desarrollado Internamente, el objetivo es mantener en un ambiente de operacin dichos
sistemas, acorde a los requisitos actuales de cada rea y en un ambiente tecnolgico
actualizado, que satisfaga los requerimientos de informacin de la Institucin.

3. Soporte a Sistemas Externos.

La Gerencia de Informtica provee soporte a los Sistemas que fueron desarrollados en
forma externa por alguna Entidad o Dependencia y que por necesidades propias de La
Loto, se tengan en operacin en algn equipo de cmputo de la empresa.

4. Soporte de Sistemas Internos.

Actividad que se lleva a cabo de acuerdo a solicitud expresa del usuario o del responsable
de rea, donde est operando algn Sistema desarrollado internamente y que engloba
asesora y correccin de datos ocasionados por la incorrecta operacin de los parmetros
del Sistema.

5. Recuperacin de la informacin del usuario.

Actividad que se lleva a cabo por medio de una solicitud del usuario, en la cual requiere
recuperar informacin que tiene ya respaldada como crtica o histrica.

6. Modificaciones a la Red de Tecnologas de Informacin y Comunicaciones.

Actividad que se realiza por medio de una solicitud del usuario, en la cual requiere la
asignacin o modificacin de un equipo de cmputo o aparato telefnico para lo cual es
necesario realizar cambios en la red de datos o sistema telefnico, segn sea el caso.

12. Matriz de Riesgos

Elaboracin de la matriz de riesgo para el anlisis de los riesgos en el rea de sistemas de

la empresa Loto SA, en esta matriz de riesgo estudiamos los posibles riesgos relacionados
al hardware utilizado en el rea.

1. Valoracin del riesgo inherente.

Impacto vs Probabilidad de Ocurrencia

Alto 3 5 5
Medio 2 3 4
Bajo 1 2 3
Bajo Medio Alto
 Auditoria Informtica
2. Efectividad de los controles.
Control Efectividad
Ninguno 1
Bajo 2
Medio 3
Alto 4
Destacado 5

3. Identificacin de riesgos en el rea de sistemas.

Hemos dividido el hardware en: equipos de cmputo y en equipo de redes. Esto tomando
en cuenta solo los equipos utilizados por los integrantes del rea de sistemas de la entidad,
as como los que proveen de conectividad al rea.

Por tanto tenemos:

Equipos de cmputo:

1. No existencia de inventario de equipos computacionales

2. No se hace mantenimiento preventivo
3. Poca realizacin de mantenimiento correctivo
4. Obsolescencia de tecnologa de computadoras
5. Poca seguridad en el acceso fsico a las computadoras
6. Equipos de cmputo que no soportan nuevos sistemas operativos
7. Dao en equipos ante las cadas de energa
8. Posibles hurtos de equipos perifricos como teclados, mouse, discos externos
9. No existen controles o sanciones con respecto al mal uso de estos equipos
Equipos de redes:

1. No existencia de inventario de equipos de redes

2. Irregularidad en el servicio de internet, ya que por lo menos dos veces a la semana
se est interrumpiendo el servicio debido a que la banda se satura.
3. Obsolescencia de tecnologa en equipos de redes, servidores
4. Obsolescencia en el cableado estructurado de la empresa
5. Fallos en la conectividad de internet e intranet

3. Matriz de riesgos para equipos de cmputos

Activida Riesgos Nivel Medidas de Efectividad Promedio Riesgo
d de control residua
riesg l
o
 Auditoria Informtica

Equipos No existencia 3 Inventariar 2

de de inventarios entrada de
cmputo de equipos equipos
computacional nuevos 2 1.5
es
Inventariar 2
salida de
equipos viejos
No se hace 5 Analizar 4
mantenimient situacin
o preventivo actual de los
equipos 4.5 1.11

Detectar los 5
equipos con
posibles fallos
Poca 5 Solicitar 5 5 1
realizacin de informes sobre
mantenimient los
os correctivos mantenimiento
s correctivos
realizados
Obsolescenci 5 Inventariar 3
a en computadoras
tecnologa de obsoletas
computadoras 3.5 1.43
Realizar 4
cambios de
equipos
obsoletos
Poca 4 Solicitud de 4
seguridad en identificacin
el acceso 3 1.33
fsico a las Vigilancia 2
computadoras continua a
usuarios
No existe 4 Solicitud de 3
restricciones identificacione
para el s al personal
acceso a externo
personal 4 1
externo a los Solicitud de 5
equipos de permisos del
cmputo rea al
personal
externo
 Auditoria Informtica

Dao de 5 Nuevas 5
equipos ante unidades UPS
las cadas de 4 1.25
energa Cambio de 3
equipos de
computo
Posibles 5 Revisin a la 4
hurtos de salida del
equipos personal
perifricos 3.5 1.43
como Solicitar 3
teclados, permisos de
mouse, discos salida de los
externos equipos

No existen 4 Crear 5 5 0.8

controles o controles con
sanciones con respecto al
respecto al uso de los
mal uso de equipos
estos equipos

Perfil de 1.20
riesgo
residual total

4. Matriz de riesgo para equipos de redes

Actividad Riesgo Nivel Medidas de Efectivida Promedi Riesgo

de control d o residua
riesgo l
Equipos No existencia 3 Inventariar 2
de redes de inventario entrada de
de equipos de equipos
redes nuevos 2 1.5

Inventariar 2
salida de
equipos
viejos
Irregularidad 4 Informar al 4
en el servicio proveedor
de internet del servicio
del
problema 4.5 0.89
 Auditoria Informtica

Revisar 5
routers en
cuarto de
servidores
Obsolescenci 5 Inventariar 4
a de equipos de
tecnologa en redes
equipos de obsoletas 4 1.25
redes,
servidores Realizar 4
cambios de
equipos
obsoletos
Obsolescenci 5 Analizar la 5
a en el situacin
cableado actual del
estructurado cableado de
de la empresa la empresa
5 1
Realizar un 5
plan de
renovacin
total del
cableado
Fallos en la 4 Informar al 3
conectividad proveedor
de internet e del servicio
intranet 3.5 1.14
Revisin del 4
equipo, ante
cualquier
problema de
conectividad
Perfil de 1.16
riesgo
residual total

Podemos decir que el riesgo total equivale al 1.18 al evaluar el riesgo de equipos de
cmputo y equipos de redes.

13. Plan de Contingencia

 Auditoria Informtica

En caso
de fallos
de

sistemas de informacin el proceso que se lleva a cabo en la empresa es: si falla el acceso
a OTRS, (sistema de gestin de rdenes de servicios), por falta de internet, los operadores
pueden llevar sus apuntes en hojas de Excel, pero si la empresa llega a tener problemas
con el sistema de Abrazo ah solo les queda hacer reportes a Canad para que esto
puedan ayudar a levantar el sistema lo ms antes posible ya que este problema generara
problemas en las ventas.

El plan de contingencia es muy importante ya que si ocurriera algn fallo que pueda
interrumpir parcialmente las actividades de la empresa, la misma no quedara fuera de
operaciones, por lo tanto no tendran perdidas.

14. Anlisis de los resultados de la auditoria

1. Situacin Observada (hallazgos y recomendaciones)
a. rea Lgica:

Nombre del
Disposicin de sistemas alternos en caso de fallos
Componente

Falta de un servidor de respaldo para el sistema de Abrazo, ya que

Hallazgos: el sistema est instalado en un servidor donde si este llega a fallar
las ventas se perderan.

Se recomienda mantener un sistema en caso de fallos, uno menos

Recomendaciones: potente pero que trabaje similar al original para que no pierdan las
ventas.
 Auditoria Informtica
b. rea Fsica:

Nombre del Componente Control de acceso de los usuarios a los equipos

Solo los trabajadores del rea de sistemas tienen acceso a
Hallazgos:
los equipos de esta misma rea.

Se recomienda mantener una lista para el control de quien

acceda a los equipos, asi como tener una lista de usuarios
Recomendaciones:
autorizados y los horarios en que estos utilizan los equipos,
para poder tener un mejor control del uso de los equipos.

Nombre del Componente Inventario de equipos y software

Falta de automatizacin de algunos procesos que ser ms

rpidos y menos tedioso, como es el inventario de los
Hallazgos:
equipos dados de baja y puestos en bodega, el control de
estos se lleva a mano.

Se recomienda que el inventario se lleve de manera

digitalizada, actualmente se lleva de manera fsica, pero es
Recomendaciones:
ms eficiente de manera digital, alojando todo el inventario
en una pequea BD en un servidor.

c. Respaldo y planes de contingencia:

Nombre del Componente Respaldo de informacin crtica

Falta de digitalizacin de sus documentos, existe respaldo

Hallazgos: solo fsico, por lo tanto, no estn preparados para ninguna
eventualidad.

Se recomienda comprar un servidor para poder almacenar

Recomendaciones:
los datos de criterios en una base de datos.

Nombre del Componente Plan de contingencia

 Auditoria Informtica

Carecen de plan de reanudacin de operaciones y planes en

caso de fallo total o parcial de sus sistemas. Como se puede
Hallazgos: observar esto es un punto de debilidad de empresa porque
mediante estos se asegura que la empresa seguir
ofreciendo sus servicios sin importar la condiciones.

Se recomienda tener un plan de mantenimiento, para

mantener informado al personal encargado de las tareas a
realizar, para que tanto directivos como dems personal
Recomendaciones: involucrado en el mantenimiento est enterada de lo que se
hace y se cercioren de que el mantenimiento se realiza de
manera adecuada y a como se establece el plan de
mantener control y orden.

Nombre del Componente Plan de Mantenimiento y software

No se cuenta con un plan solido de mantenimiento de

hardware, se realiza 1 vez al ao, de una dos maneras
Hallazgos: correctivas y preventivas, la de software no la realizan solo
que el usuario la solicite. Ambos mantenimientos son
realizados por personal asignado de la empresa.

Se recomienda la creacin de un plan de mantenimiento y

establecer los procedimientos de las tareas a realizar.
Planes y procedimientos que debern ser dados a conocer a
todos los empleados, a cerca del correcto uso de los
Recomendaciones:
equipos informticos, para optimizar los servicios de
mantenimientos, adems se recomienda llevar un registro
detallado de las actividades que se realizan en cada tarea y
que los mantenimientos sean por lo menos 3 veces al ao.

d. Documentacin de Hardware y Software

Documentacin de los sistemas utilizados para los servicios

Nombre del Componente
utilizados para los servicios de la empresa
 Auditoria Informtica

No existe ninguna documentacin en cuanto a diagramas

Hallazgos: y/o esquemas de los servicios utilizados por la empresa, de
red o software.

Se recomienda a la empresa diagramar y esquematizar el

Recomendaciones:
software que posee, asi mismo realizarlo con su red de uso.

Teniendo toda esta informacin llegamos al anlisis de que la auditoria ha cumplido con
evaluar cada uno de los controles plasmados. La auditora revelo que controles
implementados no se aplicaron en forma adecuados. Evaluando el rea importante de la
empresa como es el de sistemas se evidencio que falta un manejo ms amplio y
exhaustivo de las TIC, consideramos que la empresa no tiene implementado los controles
necesarios para el resguardo de la informacin, de igual manera muchos de los procesos
de la empresa deben ser automatizados, como el inventario.

Al evaluar a esta empresa se determin que es perfectamente auditable en materia de

informtica. Una vez determinada la viabilidad de la auditoria informtica, se acord con la
alta gerencia aplicar la evaluacin en el rea de operaciones debido a que en esta se
manejan los procesos informticos de la entidad, seguidamente se procedi a crear un
plan de auditoria para evaluar los controles que se plantearon enfocados al rea de
sistemas.

El plan de auditoria ejecutado, tiene sus fundamentos en los dominios COBIT; del cual se
emplearon nicamente dos de los dominios, ya que son los que se adaptaban a los
controles establecidos para la evaluacin, estos dominios son: Adquisicin e
implementacin, entrega de servicios y soporte, asi mismo para el desarrollo de la auditoria
se hizo uso de la metodologa MAI (Metodologa de auditoras informtica) la cual plantea
que toda auditoria informtica debe realizarse en las siguientes fases: Preliminar,
justificacin, adecuacin, formalizacin, Desarrollo. De esta forma se procedi a revisar los
controles internos y la seguridad de rea de sistema, una vez finalizada la evaluacin se
realiz un informe con los hallazgos, se procedi a sugerir las recomendaciones finales
para presentar el informe completo.

15. Bibliografa
1) Piattini M.G. y del peso E. Auditoria informtica, un enfoque prctico 2 edicin
Editorial Prentice alfa omega, Mxico 2002.
 Auditoria Informtica
2) Auditora y control de sistemas e informtica (2008).
3) Hernndez, H. (2004) Auditora en informtica un Enfoque metodolgico y practico.
Compaa editorial continental S.A de C.V.
4) Hernndez E. Auditoria informtica enfoque metodolgico y prctico 2 Edicin
editorial CECSA, Mxico 2000.
5) Razo muoz C. Auditoria en sistemas computacionales primera edicin editorial
Prentice Hall, Mxico 2002
6) Canadian Bank Note, Company Limited

16. Anexos

Cuestionario a Gerente de Sistema

Nombre de la institucin:
Direccin:
Auditoria A:
Fecha de Inicio: Fecha de Finalizacin:
Nombre del Auditor:

Objetivo: Recolectar informacin general y especfica sobre los diferentes aspectos

sobre cmo se maneja TI en la empresa a auditar:

1. Conoce lo que es TI?

2. Cunto invierten en TI al ao?

3. Qu tan importante ha sido esa inversin? Han sacado provecho de la inversin?

4. Tienen planes futuros para TI?

 Auditoria Informtica
5. Tienen algn manual interno para el uso de TI (uso de PC, Hardware y Software)?

6. Piden reportes del uso de TI? Qu tan seguido?

7. Cmo controlan las TI en la empresa?

Cuestionario a Jefe de rea de Sistema

Nombre de la institucin:
Direccin:
Auditoria A:
Fecha de Inicio: Fecha de Finalizacin:
Nombre del Auditor:

Objetivo: Recolectar informacin general y especfica sobre los diferentes aspectos

sobre cmo se maneja TI en la empresa a auditar:

1. Tiene algn plan para restablecer las operaciones si algo llegara a fallar?
2. Qu tipo de software utilizan (libre o con licencia)? si utilizan alguno de
licencia, cuanto invirtieron en esto?
3. Tienen algn respaldo energtico?
4. Alguna vez han experimentado alguna falla grave (que no funcionen los
sistemas o la red)? Qu hacen en esos casos?
5. Tienen alguna gua para los casos antes mencionado?
6. Qu tan capacitados estn en el manejo de las redes (solucin en los
problemas)?
7. Cul es el uso diario que le dan a los equipos?
8. Alguna vez han tratado de Hackear la red? Si ha pasado Qu hacen para
evitarlo?
9. Tienen algn manual o plan en caso de falla de la red en medio de operaciones
importantes?
10. Quin toma las decisiones para la modificacin de la red?
11. Tienen problemas relacionados al congestionamiento de la informacin?
12. Cada persona tiene una cuenta para iniciar sesin en la maquinas o no?
 Auditoria Informtica
13. En el sistema que utilizan estos tiene usuarios y password? Alguna vez han
tenido problemas en el sistema al momento de ingresar datos? Qu hacen en
casos como estos?
14. Permiten que los usuarios inserten memorias USB a los equipos? O deben de
pedir permiso? O No est autorizado?
15. Cmo deciden la adquisicin de los paquetes de software?
16. Tienen alguna bodega donde mantengan equipos viejos o nuevos? Qu
hacen con los equipos daados?
17. Tienen algn plan en caso de que algn equipo no funcione correctamente?
18. han tenido problemas con la red? El proveedor alguna vez ha faltado a lo
estipulado en el contrato? Cada cunto renuevan contrato con ellos?
19. Adems de internet que otros servicios les ofrece y como ha sido la calidad de
los servicios adicionales?
20. Cada cunto dan mantenimiento a la red?
21. Cmo empresa dispone de un plan informtico?
22. Existe una jerarqua de roles dentro del departamento?
23. Quin le proporciona los servicios de mantenimiento al software? Una
empresa externa o una persona interna?
24. Los usuarios tienen acceso a internet libremente? O Utilizan los equipos
nicamente para interactuar con el sistema que trabajan?
25. Con que frecuencia de tiempo se le brinda mantenimiento al software?

Una de las partes de la oficina donde se aplic la auditora

Auditoria Informtica