UNIVERSIDAD PERUANA UNIÓN

Facultad de Ingeniería y Arquitectura

E.A.P. de Ingeniería de Sistemas

PLAN DE AUDITORÍA DE SISTEMAS

DEL CRAI DE LA UPEU FILIAL JULIACA

Equipo auditor:

Lanuza Bustamante Narda Naomi

Huanca Pérez Álvaro

Arenas Cancapa Kevin Maximiliano

Sanchez Jauregui Aderlin

JUNIO 2018
INTRODUCCIÓN
El presente documento ha sido elaborado como trabajo final del curso de Auditoría Informática. El
proyecto fue establecido con el objetivo general de realizar una Auditoría Informática al Centro de
Recursos para el Aprendizaje y la Investigación (CRAI) de la Universidad Peruana Unión Filial
Juliaca, más concretamente a la Unidad de Tecnología de la Información. De acuerdo a los
objetivos específicos, el proyecto marca su inicio efectuando un análisis comparativo de la
tecnología, normas y técnicas que estandarizan los procesos en la actualidad, para posteriormente
realizar un estudio del entorno a auditar, precisar una estrategia de auditoría, ejecutar los planes y
programas puntualizados; y finalmente emitir un informe que determine si cada uno de los
procesos de TI colaboran eficazmente con la consecución de los objetivos institucionales,
precisando un conjunto de recomendaciones en base a los resultados obtenidos.
 CAPÍTULO I

La
Organización
1.1. Datos generales de la organización

1.1.1. Razón social: Universidad Peruana Unión

1.1.2. Rubro: Educación

1.1.3. Dirección: Salida a Arequipa km 6 Chullunquiani

1.1.4. Representante legal: C.P.C Sara Ticona Mamani

1.2. Descripción de la principales actividades de la organización

1.3. Visión
“Ser referente por la excelencia en el servicio misionero y la calidad educativa e
innovadora en la iglesia y la sociedad.”

1.4. Misión
“Desarrollar personas íntegras, con espíritu de servicio misionero e innovadoras a
fin de restaurar la imagen de Dios en el ser humano.”

1.5. Organigrama
 CAPÍTULO II

Plan de
Auditoría de
Sistemas
2.2. Objetivos y Alcance de la Auditoría de Sistemas

2.2.1. Objetivo general

Realizar la revisión y recomendación en el área de Tecnologías de la Información
(TI) del CRAI Filial Juliaca, a fin de evaluar dicha área y emitir un dictamen
independiente sobre la utilización de los equipos de cómputo, de sus periféricos, de las
instalaciones, el mobiliario, así como del uso de recursos técnicos materiales para el
procesamiento de información.

2.2.2. Alcance de la Auditoría

La auditoría se realizará sobre los sistemas informáticos en computadoras de
escritorio que estén conectados a la red interna del CRAI de la UPeU Juliaca en el año
2018.

2.3. Descripción de la situación actual del área a evaluar

2.3.1. Nombre del área

Centro de Recursos para el Aprendizaje y la Investigación (CRAI) Filial Juliaca

2.3.2. Descripción de las principales actividades / funciones

Préstamos de libros.
Servicio de wifi y computadoras.
Salas de lectura.

2.3.3. Relación de puestos y principales funciones por puesto

Lic. Hilario Pelinco (Servicios Académicos del CRAI, Jefe del CRAI Juliaca). Se
encarga de los eventos académicos y realiza programas de inducción a los estudiantes
acerca de los servicios que ofrece el CRAI. Además, maneja la autorización de empaste
de las tesis y la indexación al repositorio.

Tec. Adela Ito (Servicios de Biblioteca del CRAI). Se encarga de dar información y
acogida al público, de las colecciones, y recursos de estudio del CRAI.
 Prof. Teófilo Quispe (Análisis Documental del CRAI). se encarga de la catalogación
de libros al ingresar los libros al sistema, procesos de complementarios, y adquisiciones
para el CRAI.

Ing. Walter Luque (Jefe de Tecnologías de la Información del CRAI). se encarga del
manejo del software de la biblioteca (Simphony Sirsidnyx), y de dar soporte en
tecnologías de información al CRAI.

2.3.4. Descripción de los sistemas, equipos e instalaciones

● Sistemas
Sistema Operativo: Windows 7

● Equipos
Computadoras de Escritorios

● Instalaciones
Son equipos de cómputo que están ubicados dentro de la sala de lectura del
CRAI.
Computadoras de Escritorios :
2.4. Descripción de las áreas (puntos de evaluación) que contempla la Auditoría de
sistemas

2.4.1. Existencia de un plan estratégico,

https://drive.google.com/file/d/0BxhqorwWj0xJMjBvcVp0N1V2WmM/view

2.4.2. Organización del área de TI,

El encargado del área de TI es el Ing. Walter Luque

2.5. Guía de ponderación

Columna 1 Columna 2 Columna 3 Columna 4

Actividades que van a ser evaluadas Peso por Peso por factor Valor de

ponderació
y ponderadas actividad Ponderar n

1. Objetivos del centro de computo 10%

2. Estructura de organización 10%

Definición de estructura de organización 25% 2.5%

Definición de funciones 25% 2.5%

Descripción de puestos 20% 2.0%

Definición de canales de comunicación 10% 1.0%

Definición de autoridad 10% 1.0%

Actualización de estructuras y puestos 5% 0.5%

Evaluación periódica de funciones 5% 0.5%

Total del factor a ponderar 100% 10.0%

3. Funciones y actividades 15%

Definición de funciones 20% 3.0%

Cumplimiento de las funciones 30% 4.5%

Manuales e instructivos 10% 1.5%

Métodos y procedimientos 15% 2.25%

Cumplimiento de actividades 20% 3.0%

Seguimiento de actividades 5% 0.75%

Total del factor a ponderar 100% 15.0%

4. Sistema de información 20%

Definición del sistema (software) 30% 6.0%

Definición del equipo (hardware) 30% 6.0%

Definición de instalaciones 15% 3.0%

Evaluación de adquisiciones 10% 2.0%

Interrelación de funciones 15% 3.0%

Total del factor a ponderar 100% 20.0%

5. Personal y usuarios 15%

6. Documentación de los sistemas 2%

Manual de usuarios 30% 0.6%

Manual técnico del sistema 40% 0.8%

Manuales de capacitación 20% 0.4%

Actualización de funciones 10% 0.2%

Total del factor a ponderar 100% 2.0%

7. Actividades y operación del sistema 14%

Definición del equipo (hardware) 30% 4.2%

Definición de instalaciones 30% 4.2%

Evaluación de adquisiciones 20% 2.8%

Interrelación de funciones 20% 2.8%

Total del factor a ponderar 100% 16.0%

8. Configuración del sistema 4%

Definición del sistema (software) 25% 1.0%

Definición del equipo (hardware) 25% 1.0%

Adaptación de instalaciones 15% 0.6%

Adaptación del medio ambiente 15% 0.6%

Planes contra contingencias 20% 0.8%

Total del factor a ponderar 100% 4.0%

9. Instalaciones del centro de computo 10%

Adaptación de instalaciones 30% 3.0%

Adaptación de medidas de seguridad 30% 3.0%

Adaptación del medio ambiente 10% 1.0%

Adaptación de comunicaciones 20% 2.0%

Mantenimiento del sistema 10% 1.0%

 Total del factor a ponderar 100% 10.0%

2.6. Cronograma de la auditoría

2.7. Guía de Auditoría

Fecha Hoja

DD MM AA __ de __

Activid
ad que Procedimie
será ntos
evalua de Herramientas que
Ref. da auditoría serán utilizadas Observaciones

F
e
c
h Ho
Empresa: CRAI UPEU JULIACA a ja
Auditores de Sistemas
M A
Área: Tecnologías de la Información. DD M A

Herramient
Ref. as que
Actividad que Procedimientos serán
será evaluada de auditoría utilizadas Observaciones

Observación
directa
Pruebas al
sistema y
escaneo de
virus. Que antivirus esté
Verificar que el sistema Entrevistas y actualizado y las
Evaluar la seguridad operativo tenga antivirus. encuestas a actualizaciones
y vulnerabilidad del Verificar que antivirus Directivos del automáticas estén
001 Sistema operativo esté actualizado área. activadas.

002 Evaluar la Entrar al sistema y Observación Que el sistema

 administración de las verificarlos diferentes directa. operativo cuente
contraseñas según usuarios dentro del Pruebas al con distintos roles
los roles de usuario sistema operativo. sistema de usuario.
operativo.
Entrevistas y
encuestas a
directivos del
área.

El centro de cómputo
debe tener políticas de
seguridad, privacidad y
protección.
Observación Se debe tener backups
directa, de respaldo ante
Evaluar la seguridad verificación alguna eventualidad.
física del equipo de de las El centro de cómputo
cómputo, políticas licencias. debe tener un sistema
de seguridad, Entrevistas y de alarma de por
backups de respaldo Revisión documental. encuestas a presencia de humo y
ante alguna Revisión de los backups. Directivos del extintores así como
003 eventualidad área. conexiones seguras.

Observación
Revisar la instalación y Directa. Las pruebas de
Evaluar la flexibilidad evaluar los recursos de la Entrevistas y ingreso pueden
Adaptabilidad de los red revisar los encuestas a hacerlas al auditor o
componentes de la componentes y directivos del terceros
004 red. configuración de cada red área. ajenos al área.

Los equipos tienen que

tener respaldo y
asistencia técnica y de
Observación
software
Entrar a la sala de lectura entrevista y
Evaluar el y verificar las conexiones, encuesta a
Software y estado cables, mantenimiento de directivos, del
005 de los equipos. los equipos de cómputo. área
 Evaluar la
Seguridad de
los datos,
interacción
con el El sistema debe tener
usuario, Observación backups.
visualización Verificar la existencia de Directa. Obtener reportes de
de registros backups, reportes del Pruebas al sistema ranking de libros y por
personalizad sistema de biblioteca y las bases de escuela.
006 os por libros, escuela. datos.

2.7.1. Herramientas de obtención de datos

CUESTIONARIO DE LA GUÍA 001

PREGUNTAS SI NO N/A

¿Se instala software antivirus en todos los sistemas

comúnmente afectados por software malicioso?

¿Todos los programas antivirus son capaces de

detectar, eliminar y proteger contra todos los tipos
conocidos de software malicioso (por ejemplo, virus,
troyanos, gusanos, spyware, adware y rootkit?

¿Está actualizado todo el software anti-virus,

funcionando activamente?

¿La política anti-virus requiere la actualización del

software anti-virus?

¿Están habilitadas las actualizaciones automáticas y

los escaneos periódicos ?

¿Se realiza por lo menos trimestralmente un proceso

para identificar puntos de acceso inalámbrico no
autorizados?

¿Se realizan escaneos internos trimestrales de

vulnerabilidades?
CUESTIONARIO DE LA GUÍA 002

CUESTIONARIO DE LA GUÍA 003

PREGUNTAS S N N
I O /
A

¿Se han efectuado las acciones necesarias para una

mayor participación de proveedores?

¿El acceso al centro de cómputo cuenta con las

seguridades necesarias para reservar el ingreso al

personal autorizado?
¿Se han implantado claves o password para
garantizar operación de consola y equipo central

(mainframe), a personal autorizado?

¿Se han formulado políticas respecto a seguridad,

privacidad y protección de las facilidades de
procesamiento ante eventos como: incendio,
vandalismo, robo y uso indebido, intentos de
violación?

¿Se mantiene un registro permanente (bitácora) de

todos los procesos realizados, dejando constancia de
suspensiones o cancelaciones de procesos?

¿Los backups son mayores de dos (padres e hijos) y se

guardan en lugares seguros y adecuados,
preferentemente en bóvedas de bancos?

¿Se han implantado calendarios de operación a fin de

establecer prioridades de proceso?

¿Todas las actividades del Centro de Computo

están normadas mediante manuales, instructivos,

normas, reglamentos, etc.?

¿Las instalaciones cuentan con sistema de

alarma por presencia de fuego, humo, así como
extintores de incendio, conexiones eléctricas seguras
entre otras?

¿Si se vence la garantía de mantenimiento del

proveedor se contrata mantenimiento preventivo y

correctivo?
 ¿Se establecen procedimientos para obtención de
backups de paquetes y de archivos de datos?

¿Se propende a la estandarización del Sistema

Operativo, software utilizado como procesadores de
palabras, hojas electrónicas, manejadores de base de
datos y se mantienen actualizadas las versiones y la
capacitación sobre modificaciones incluidas?

¿existen licencias?

CUESTIONARIO DE LA GUÍA 004

CUESTIONARIO DE LA GUÍA 005

Preguntas SI NO N/A

¿Existe un informe técnico en el que se justifique la

adquisición del equipo, software y servicios de
computación, incluyendo un estudio costo-beneficio?

¿Han elaborado un instructivo con procedimientos

a seguir para la selección y adquisición de equipos,
programas y servicios computacionales?

¿se cuenta con software de oficina ejemplo(word,

excel..etc?

¿Se ha asegurado un respaldo de mantenimiento y

asistencia técnica?

¿Los operadores del equipo central están

entrenados para recuperar o restaurar información en
caso de destrucción de archivos?

¿Se han instalado equipos que protejan la información

y los dispositivos en caso de variación de voltaje como:
reguladores de voltaje, supresores pico, UPS,
generadores de energía?

¿Se han contratado pólizas de seguros para proteger la

información, equipos, personal y todo riesgo que se
produzca por casos fortuitos o mala operación?

¿Se hacen revisiones periódicas y sorpresivas del

contenido del disco para verificar la instalación de
aplicaciones no relacionadas a la gestión de la
empresa?

¿Se mantiene programas y procedimientos de detección

e inmunización de virus en copias no autorizadas o datos
procesados en otros equipos?
CUESTIONARIO DE LA GUÍA 006
 CAPÍTULO III

Ejecución de
Auditoría de
Sistemas
Aplicación de los Instrumentos – Hojas de trabajo (cuestionarios)
PRESENTACIÓN DE HALLAZGOS

HALLAZGO N° 1 La sala de cómputo solo está protegida contra el sol con cartulinas blancas, que
durante el día alivian parcialmente la llegada del sol a las máquinas, y esto genera
recalentamiento de las pc y el malestar de los usuarios de la sala de cómputo.
HALLAZGO N° 2 El cableado entre las computadoras son mediante extensiones, generando que
estén enredados y provocando que ante cualquier movimiento las máquinas se apaguen.

Medidas Correctivas

Utilizar cintillos para la distribución ordenada de cables.

Criterio

Esta situación ha transgredido la norma ISO/IEC 27001 (Segunda Edición 2013-10-01) “Tecnología
de la Información – Técnicas de Seguridad – Sistemas de Gestión de la Seguridad de la Información
– Requisitos”.
HALLAZGO N° 3 La ausencia de los backups son mayores de dos (padres e hijos) y se guardan en
lugares seguros y adecuados, preferentemente en bóvedas de bancos

Medidas Correctivas

Evaluar los controles establecidos para administrar la infraestructura tecnológica (servidores de

datos, aplicaciones, comunicaciones, terminales, impresoras, etc.).

Criterio

Esta situación ha transgredido la norma ISO/IEC 27001 (Segunda Edición 2013-10-01) “Tecnología
de la Información – Técnicas de Seguridad – Sistemas de Gestión de la Seguridad de la Información
– Requisitos”.

HALLAZGO N° 4 No se han instalado equipos que protejan la información y los dispositivos en

caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de
energía.

Medidas Preventivas

Prever que el plan de contingencias adoptado es el apropiado para dar continuidad a las
operaciones del negocio, en caso de interrupciones prolongadas por fallas de hardware, software
y potencia eléctrica.

Criterio

Esta situación ha transgredido la norma ISO/IEC 27001 (Segunda Edición 2013-10-01) “Tecnología
de la Información – Técnicas de Seguridad – Sistemas de Gestión de la Seguridad de la Información
– Requisitos”.

HALLAZGO N° 5 Las computadoras tienen antivirus pero se ha detectado el virus RASOMWARE

v3 el cual encripta los datos de las computadoras.

Medidas Preventivas

Congelar las computadoras para que de ésta manera no se infecten los archivos además de no
seguir propagando el virus.

Criterio

Esta situación ha transgredido la norma ISO/IEC 27001 (Segunda Edición 2013-10-01) “Tecnología
de la Información – Técnicas de Seguridad – Sistemas de Gestión de la Seguridad de la Información
– Requisitos”.
 CAPÍTULO IV

Dictamen de
Auditoría de
Sistemas
Ing. Walter Luque
Encargado de Tecnologías de la Información del CRAI Filial Juliaca

Es grato saludarle y agradecerle por permitirnos hacer la auditoría dentro de su área. Nos ha
tratado con mucha cordialidad. Que Dios lo bendiga y lo guarde siempre en la función que está
realizando.

Dentro de la auditoría realizada en el centro de cómputo le damos a conocer las siguientes

recomendaciones:

● Para el cableado de las computadoras recomendamos el uso de la norma ISO/IEC 27001

(Segunda Edición 2013-10-01) “Tecnología de la Información – Técnicas de Seguridad –
Sistemas de Gestión de la Seguridad de la Información – Requisitos”.
● Para los backups de respaldo recomendamos el uso de la norma ISO/IEC 27001 (Segunda
Edición 2013-10-01) “Tecnología de la Información – Técnicas de Seguridad – Sistemas de
Gestión de la Seguridad de la Información – Requisitos”.
● Recomendamos tener un plan de contingencias para dar continuidad a las operaciones
del negocio, en caso de interrupciones prolongadas por fallas de hardware, software y
potencia eléctrica, esto según la norma ISO/IEC 27001 (Segunda Edición 2013-10-01)
“Tecnología de la Información – Técnicas de Seguridad – Sistemas de Gestión de la
Seguridad de la Información – Requisitos”.
● Recomendamos congelar las computadoras para que de ésta manera no se infecten los
archivos además de no seguir propagando el virus RASOMWARE.
● También recomendamos poner más sombra en las ventanas que están detrás de las
computadoras para que de ésta manera no se recalienten las computadoras ni los usuarios
se incomoden por la excesiva caída de rayos solares en ellos.

Juliaca, 26 de junio de 2018

__________________________________ _________________________________

Narda Naomi Lanuza Bustamante Álvaro Huanca Pérez

__________________________________ __________________________________

Kevin Maximiliano Arenas Cancapa Aderlin Sánchez Jáuregui