Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDITORIA INFORMATICA
Auditoria Informtica de la Empresa Soluciones Segura, S.A (LOTO)
2017
2017
Auditoria Informtica
ndice
1. INTRODUCCION
2. ALCANCE
3. OBJETIVO
4. ANTECEDENTES
5. DATOS DE LA INSTITUCION
5.1 DATOS GENERALES
5.2 MISION
5.3 VISION
5.4 OBJETIVOS ORGANIZACIONALES
5.5 ORGANIGRAMA
5.6 FUNCIONES DEL AREA EN ESTUDIO
6. RAZONES DE LA AUDITORIA
7. DETERMINACION DEL AREA A ESTUDIAR
8. DIAGNOSTICO DE LA AUDITORIA
8.1 ANALISIS FODA
9. AUDITORIAS APLICADAS
10. HALLAZGOS DE CADA UNA DE LAS AUDITORIAS APLICADAS
11. APLICACIN DE CONTROLES
11.1 PREVENTIVO
11.2 DETECTIVO
11.3 CORRECTIVO
12. MATRIZ DE RIESGO
13. PLAN DE CONTINGENCIA
14. ANALISIS DE LOS RESULTADOS DE LA AUDITORIA
15. BIBLIOGRAFIA
16. ANEXOS
Auditoria Informtica
1. Introduccin
2. Alcance
3. Objetivos
a. Objetivo General
Realizar una Auditora Informtica del Sistema de Informacin de Soluciones Segura, S.A
(LOTO), utilizando el estndar internacional COBIT 4.0, a fin de identificar debilidades y
emitir recomendaciones que permitan eliminar o minimizar los riesgos en la organizacin.
b. Objetivo Especifico
Evaluar la adquisicin e implementacin de las TI, los procesos en los que estas se
desenvuelven, cambios y mantenimiento realizado a los sistemas existentes, as como la
verificacin de la calidad y suficiencia de los procesos de la Institucin y, el monitoreo de
los requerimientos de control.
Evaluar la entrega de los servicios requeridos, desde las operaciones tradicionales hasta el
entrenamiento al personal que interfiere directamente con las Tecnologas de Informacin,
abarcando aspectos de seguridad, continuidad del negocio, revisin del procesamiento de
los datos por sistemas de aplicacin, frecuentemente clasificados como controles de
aplicacin.
Auditoria Informtica
4. Antecedentes
Los Sistemas Informticos, estn integrados a la gestin empresarial; por ello, las normas
y estndares informticos deben estar alineados e implantados previa la aprobacin de la
Direccin de Sistemas de la organizacin, misma que se encargar de la implementacin
de controles de acceso a la informacin, que se maneja en los diversos procesos de la
Soluciones Segura, S.A (LOTO); en consecuencia, se debe destacar que, las
organizaciones informticas forman parte de la gestin de la empresa y se constituyen en
un elemento de apoyo en la toma de decisiones.
5. Datos de La Empresa
El negocio que firm el primer contrato para convertirse en Agente LOTO, fue la Farmacia
Konny ubicada en la Baha de buses del popular Mercado Roberto Huembs. Desde
entonces se han ido sumando hasta la fecha ms de 800 Agentes LOTO, los que gracias a
su ubicacin estratgica en: Pulperas, Mercados, Farmacias, Supermercados de la
cadena Wal-Mart y Oficina Principal LOTO, llevan la suerte a diferentes ciudades en todo el
pas.
5.2. Misin
Crear un lugar donde nuestros empleados puedan aprender, crecer y sentirse realizados
en su trabajo.
5.3. Visin
Hacer del mundo un lugar ms seguro donde vivir y hacer negocios, siendo el lder
tecnolgico en el suministro de soluciones dirigidas a la prevencin del fraude asociado
con el tema de documentos y sistemas de seguridad.
Nuestro objetivo principal es crear y mantener una empresa econmicamente viable que
tenga un fuerte espritu competitivo y que produzca un rendimiento financiero superior al
promedio.
5.5. Organigrama
Auditoria Informtica
6. Razones de la Auditoria
El desarrollo tecnolgico que enfrenta la Soluciones Segura, S.A (LOTO), con el manejo
de diversos sistemas de informacin y automatizacin en sus procesos, necesita corregir
fallas, ejecutar procesos de calidad y, entregarlos en el momento oportuno; detectar los
errores mediante una Auditora Informtica, realizada y ejecutada por un grupo capacitado,
que proponga soluciones efectivas, para minimizar riesgos y mejorar el empleo de la
tecnologa de informacin en la organizacin.
El anlisis de los Objetivos de Control con COBIT1, debe ser de carcter objetivo e
independiente, crtico, basado en evidencias, sistemtico, bajo normas y metodologas
aprobadas a nivel internacional, que seleccione polticas, normas, prcticas, funciones,
procesos, procedimientos e informes relacionados con los sistemas de informacin
computarizados, que permiten obtener una opinin profesional e imparcial, enfocada en
aspectos como: criterios de informacin y prcticas requeridas, que ayuden a determinar
con eficiencia, el uso de los recursos informticos, la validez de la informacin y efectividad
de los controles establecidos.
Como parte del sistema de administracin de Soluciones Segura, S.A (LOTO), se hace
evidente la necesidad de evaluar y valorar el uso de los recursos de TI, para de esta
Auditoria Informtica
manera, justificar su costo y determinar medidas que permitan su racional aplicacin,
eficiencia y efectividad.
La situacin actual por la que atraviesa la Direccin de Sistemas Soluciones Segura, S.A
(LOTO), requiere que, mediante el uso de un conjunto de procedimientos y tcnicas, se
proceda a evaluar y controlar los sistemas de informacin y el ambiente informtico, con el
fin de constatar si sus procesos y actividades son correctos y, se encuentran enmarcados y
en conformidad con las mejores normativas informticas y generales de la organizacin.
Ubicacin:
Recursos Humanos:
Servidores (Linux) 1
Computadoras Personales 11
Impresoras 2
Objetivos:
8. Diagnstico de auditoria
Esta seccin nos dar un primer acercamiento a la situacin actual de la empresa Loto
S.A., anteriormente hemos definido que el rea a auditar ser el Departamento de
sistemas y tambin definimos que nos enfocaramos en seguridad fsica, seguridad lgica,
respaldo de datos, planes de mantenimiento, contingencia y continuidad.
Por tanto para poder tener una mejor comprensin hemos segmentado el diagnostico
preliminar de la auditoria, por tal tenemos:
En general, sabemos que la empresa como tal posee mltiples reas de trabajo definidas
dentro de la misma, pero como tal nos centraremos en la de sistemas, en este punto
verificamos el conocimiento que los empleados poseen con respecto a los dems
departamento de la empresa loto, nos interes saber si conocen los procesos llevados en
la empresa, y si de alguna u otra forma estos procesos tienen relacin con la de sistemas.
En trminos generales encontramos que la gran mayora de los procesos de otras reas
dependen en menor grado del de sistemas y que los empleados del departamento de
sistemas tienen en un 85% los conocimientos acertados sobre las dems.
Los jefes de reas o gerentes de estas creen que sus subordinados tienen mayores
conocimientos que en lo que en realidad estos poseen, lo que dificulta hasta cierto punto la
relacin entre estas, pero sin embargo estos gerentes si tienen en gran medida
conocimientos generales sobre los departamentos que componen a la empresa.
En cuanto a la situacin actual de los equipos de cmputo encontramos que estos estn en
trminos generales en ptimas condiciones y que an no estn desfasados, as tambin
Auditoria Informtica
verificamos la situacin de los otros equipos tecnolgicos utilizados en esta rea, lo cual
ampliaremos ms adelante.
En conclusin tenemos que la situacin actual del rea a auditar, no posee grandes
problemticas, ms que la falta de mantenimiento, el uso incorrecto de la internet y de los
equipos UPS. Y en general la falta de integracin de los conocimientos del rea de
sistemas con las dems reas y viceversa, pero de todos modos no nos centraremos en tal
problemtica, sino que solo la mencionaremos, de tal forma que nuestro inters estar
centrado en la problemtica del hardware en toda su extensin.
Auditoria Informtica
Fortalezas:
Fortalezas:
Buen ambiente
Buen ambiente laboral
laboral
Proactividad
Proactividad enen la gestion
la gestion
Conocimiento
Conocimiento del mercado
del mercado Debilidades:
Debilidades:
Grandes recursos financieros
Grandes recursos financieros
Salarios bajos
Salarios bajos
Buena
Buena calidad del producto
calidad del producto final
final
Poca capacidad
Poca capacidad de
de acceso
acceso aa creditos
creditos
Equipamiento de
Equipamiento de ultima
ultima generacion
generacion
Experiencia
Experiencia de los recursos
de los recursos humanos
humanos
Procesos tecnicos
Procesos tecnicos yy administrativos
administrativos de de calidad
calidad
Cualidades
Cualidades del
del servicio
servicio que se considera
que se considera dede alto
alto
nivel
nivel
Oportunidades:
Oportunidades:
Competencia debil
Competencia debil Amenazas:
Amenazas:
Necesidad
Necesidad del producto
del producto Cambios
Cambios enen la
la legislacion
legislacion
Tendencias favorables
Tendencias en el
favorables en el mercado
mercado Aumento de
Aumento de precios
precios de
de insumos
insumos
Fuerte
Fuerte poder adquisitivo del
poder adquisitivo segmento meta
del segmento meta Cambios de habitos
Cambios de de los
habitos de los consumidores
consumidores
Utilizacion de
Utilizacion nuevos canales
de nuevos canales de
de venta
venta
Auditoria Informtica
9. AUDITORIAS APLICADAS
Auditoria fsica
Auditoria Ofimtica
Auditoria del desarrollo
Para redefinir claves es necesario considerar los tipos de claves que existen:
Individuales
Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al
momento de efectuar las transacciones registrar a los responsables de cualquier cambio.
Confidenciales
De forma confidencial los usuarios debern ser instruidos formalmente respecto al uso de
las claves.
No significativas
Las claves no deben corresponder a nmeros secuenciales ni a nombres o fechas.
3. Utilizar software de seguridad en los microcomputadores
El software de seguridad permite restringir el acceso al microcomputador, de tal modo que
solo el personal autorizado pueda utilizarlo.
Adicionalmente, este software permite reforzar la segregacin de funciones y la
confidencialidad de la informacin mediante controles para que los usuarios puedan asesar
solo a los programas y datos para los que estn autorizados.
Programas de este tipo son: WACHDOG, LATTICE, SECRET DISK, entre otros.
4. Realizar copias de seguridad peridicamente
Se debe de implementar sistemas de respaldo de informacin de la informacin que
maneja a diario la empresa, entre la cual encontramos correo electrnico, informacin de
los clientes, informacin interna. Se recomienda realizar respaldos diarios si es necesario 2
o 3 veces al da.
5. Proteccin de los datos
Implementar polticas para la compactacin y encriptacin de la informacin punto a punto.
6. Mantenimiento Lgico Preventivo (Software).
Es una actividad programable, que involucra el Mantenimiento Preventivo en forma lgica
del equipo de cmputo del usuario, para prevenir errores causados por falta de
actualizaciones, espacio en el disco duro, software instalado sin autorizacin y excesivos
archivos temporales.
7. Mantenimiento Preventivo (Hardware).
Es una actividad programable que involucra el Mantenimiento Preventivo de las partes
fsicas del equipo de cmputo, haciendo referencia a limpieza, revisiones y
comprobaciones fsicas, para asegurar la fiabilidad y correcto funcionamiento del equipo,
verificando los dispositivos de entrada, de salida, procesamiento y de almacenamiento.
11.2. Controles Detectivos
Auditoria Informtica
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de
ocurridos. Son los ms importantes para el auditor. En cierta forma sirven para evaluar la
eficiencia de los controles preventivos.
Alto 3 5 5
Medio 2 3 4
Bajo 1 2 3
Bajo Medio Alto
Auditoria Informtica
2. Efectividad de los controles.
Control Efectividad
Ninguno 1
Bajo 2
Medio 3
Alto 4
Destacado 5
Equipos de cmputo:
Detectar los 5
equipos con
posibles fallos
Poca 5 Solicitar 5 5 1
realizacin de informes sobre
mantenimient los
os correctivos mantenimiento
s correctivos
realizados
Obsolescenci 5 Inventariar 3
a en computadoras
tecnologa de obsoletas
computadoras 3.5 1.43
Realizar 4
cambios de
equipos
obsoletos
Poca 4 Solicitud de 4
seguridad en identificacin
el acceso 3 1.33
fsico a las Vigilancia 2
computadoras continua a
usuarios
No existe 4 Solicitud de 3
restricciones identificacione
para el s al personal
acceso a externo
personal 4 1
externo a los Solicitud de 5
equipos de permisos del
cmputo rea al
personal
externo
Auditoria Informtica
Dao de 5 Nuevas 5
equipos ante unidades UPS
las cadas de 4 1.25
energa Cambio de 3
equipos de
computo
Posibles 5 Revisin a la 4
hurtos de salida del
equipos personal
perifricos 3.5 1.43
como Solicitar 3
teclados, permisos de
mouse, discos salida de los
externos equipos
Perfil de 1.20
riesgo
residual total
Inventariar 2
salida de
equipos
viejos
Irregularidad 4 Informar al 4
en el servicio proveedor
de internet del servicio
del
problema 4.5 0.89
Auditoria Informtica
Revisar 5
routers en
cuarto de
servidores
Obsolescenci 5 Inventariar 4
a de equipos de
tecnologa en redes
equipos de obsoletas 4 1.25
redes,
servidores Realizar 4
cambios de
equipos
obsoletos
Obsolescenci 5 Analizar la 5
a en el situacin
cableado actual del
estructurado cableado de
de la empresa la empresa
5 1
Realizar un 5
plan de
renovacin
total del
cableado
Fallos en la 4 Informar al 3
conectividad proveedor
de internet e del servicio
intranet 3.5 1.14
Revisin del 4
equipo, ante
cualquier
problema de
conectividad
Perfil de 1.16
riesgo
residual total
Podemos decir que el riesgo total equivale al 1.18 al evaluar el riesgo de equipos de
cmputo y equipos de redes.
En caso
de fallos
de
sistemas de informacin el proceso que se lleva a cabo en la empresa es: si falla el acceso
a OTRS, (sistema de gestin de rdenes de servicios), por falta de internet, los operadores
pueden llevar sus apuntes en hojas de Excel, pero si la empresa llega a tener problemas
con el sistema de Abrazo ah solo les queda hacer reportes a Canad para que esto
puedan ayudar a levantar el sistema lo ms antes posible ya que este problema generara
problemas en las ventas.
El plan de contingencia es muy importante ya que si ocurriera algn fallo que pueda
interrumpir parcialmente las actividades de la empresa, la misma no quedara fuera de
operaciones, por lo tanto no tendran perdidas.
Nombre del
Disposicin de sistemas alternos en caso de fallos
Componente
Teniendo toda esta informacin llegamos al anlisis de que la auditoria ha cumplido con
evaluar cada uno de los controles plasmados. La auditora revelo que controles
implementados no se aplicaron en forma adecuados. Evaluando el rea importante de la
empresa como es el de sistemas se evidencio que falta un manejo ms amplio y
exhaustivo de las TIC, consideramos que la empresa no tiene implementado los controles
necesarios para el resguardo de la informacin, de igual manera muchos de los procesos
de la empresa deben ser automatizados, como el inventario.
El plan de auditoria ejecutado, tiene sus fundamentos en los dominios COBIT; del cual se
emplearon nicamente dos de los dominios, ya que son los que se adaptaban a los
controles establecidos para la evaluacin, estos dominios son: Adquisicin e
implementacin, entrega de servicios y soporte, asi mismo para el desarrollo de la auditoria
se hizo uso de la metodologa MAI (Metodologa de auditoras informtica) la cual plantea
que toda auditoria informtica debe realizarse en las siguientes fases: Preliminar,
justificacin, adecuacin, formalizacin, Desarrollo. De esta forma se procedi a revisar los
controles internos y la seguridad de rea de sistema, una vez finalizada la evaluacin se
realiz un informe con los hallazgos, se procedi a sugerir las recomendaciones finales
para presentar el informe completo.
15. Bibliografa
1) Piattini M.G. y del peso E. Auditoria informtica, un enfoque prctico 2 edicin
Editorial Prentice alfa omega, Mxico 2002.
Auditoria Informtica
2) Auditora y control de sistemas e informtica (2008).
3) Hernndez, H. (2004) Auditora en informtica un Enfoque metodolgico y practico.
Compaa editorial continental S.A de C.V.
4) Hernndez E. Auditoria informtica enfoque metodolgico y prctico 2 Edicin
editorial CECSA, Mxico 2000.
5) Razo muoz C. Auditoria en sistemas computacionales primera edicin editorial
Prentice Hall, Mxico 2002
6) Canadian Bank Note, Company Limited
16. Anexos
1. Tiene algn plan para restablecer las operaciones si algo llegara a fallar?
2. Qu tipo de software utilizan (libre o con licencia)? si utilizan alguno de
licencia, cuanto invirtieron en esto?
3. Tienen algn respaldo energtico?
4. Alguna vez han experimentado alguna falla grave (que no funcionen los
sistemas o la red)? Qu hacen en esos casos?
5. Tienen alguna gua para los casos antes mencionado?
6. Qu tan capacitados estn en el manejo de las redes (solucin en los
problemas)?
7. Cul es el uso diario que le dan a los equipos?
8. Alguna vez han tratado de Hackear la red? Si ha pasado Qu hacen para
evitarlo?
9. Tienen algn manual o plan en caso de falla de la red en medio de operaciones
importantes?
10. Quin toma las decisiones para la modificacin de la red?
11. Tienen problemas relacionados al congestionamiento de la informacin?
12. Cada persona tiene una cuenta para iniciar sesin en la maquinas o no?
Auditoria Informtica
13. En el sistema que utilizan estos tiene usuarios y password? Alguna vez han
tenido problemas en el sistema al momento de ingresar datos? Qu hacen en
casos como estos?
14. Permiten que los usuarios inserten memorias USB a los equipos? O deben de
pedir permiso? O No est autorizado?
15. Cmo deciden la adquisicin de los paquetes de software?
16. Tienen alguna bodega donde mantengan equipos viejos o nuevos? Qu
hacen con los equipos daados?
17. Tienen algn plan en caso de que algn equipo no funcione correctamente?
18. han tenido problemas con la red? El proveedor alguna vez ha faltado a lo
estipulado en el contrato? Cada cunto renuevan contrato con ellos?
19. Adems de internet que otros servicios les ofrece y como ha sido la calidad de
los servicios adicionales?
20. Cada cunto dan mantenimiento a la red?
21. Cmo empresa dispone de un plan informtico?
22. Existe una jerarqua de roles dentro del departamento?
23. Quin le proporciona los servicios de mantenimiento al software? Una
empresa externa o una persona interna?
24. Los usuarios tienen acceso a internet libremente? O Utilizan los equipos
nicamente para interactuar con el sistema que trabajan?
25. Con que frecuencia de tiempo se le brinda mantenimiento al software?