UNIVERSIDAD TECNOLÓGICA EN LA REGIÓN

NORTE DE GUERRERO

REALIZACIÓN DE AUDITORÍA A LA EMPRESA:

CIBER “COMPUCHIPS”

Materia: AUDITORIA DE SISTEMAS DE TI

Maestro: FIDENCIO MENESES GARCÍA

Integrantes:

Carlos De La Cruz Julio

Joaquín Texale Huaxtitlan

Grupo: 9° A

Turno: Vespertino

ING (Ingeniería): Tecnólogias de la Información “ITI”

Chilapa de Álvarez, Gro. A 28 de Mayo del 2019

 Introducción

El presente documento plantea la ejecución de una auditoría física y lógica a la

empresa Ciber “CompuChips”, que se dedica al servicio de la comunidad. Esta
empresa como parte de su crecimiento hace uso de computadoras para los
diferentes tipos de trabajos de cada cliente del negocio.

Es por ello que se pretende, usando como base la auditoría, evaluar de forma
particular cada proceso del negocio y así identificar fortalezas y debilidades en la
gestión de procesos informáticos de dicha empresa.

Durante el desarrollo de la misma se realizará valoración, verificaciones para

determinar el nivel de seguridad, planificación, eficacia y eficiencia con que se están
dirigiendo los procesos existentes en la empresa.

Con los resultados obtenidos en la auditoría se podrá fortalecer aquellos procesos

que presenten debilidades en la revisión y evaluación de controles, sistemas,
comunicaciones y procedimientos informáticos de la empresa.

Al llevar a la práctica las recomendaciones obtenidas en la auditoría informática se

espera aumentar la eficiencia y seguridad de la información y así mismo el proceso
de toma de decisiones.
 Índice

Planteamiento de la Auditoria ......................................................................................................... 5

Justificación ....................................................................................................................................... 5
Objetivo General ............................................................................................................................... 5
Objetivos Específicos ........................................................................................................................ 6
Alcance ............................................................................................................................................... 6
Antecedentes de la empresa .............................................................................................................. 7
Relación de funcionarios o personal a cargo del área de examinar .............................................. 7
Cronograma de trabajo .................................................................................................................... 8
DIAGRAMA DE GANTT ..................................................................Error! Bookmark not defined.
AUDITORIA FISICA ....................................................................................................................... 9
Alcance de la auditoria ..................................................................................................................... 9
Objetivos ............................................................................................................................................ 9
LISTADO DE VERIFICACION DEAUDITORIA FISICA ....................................................... 10
ANÁLISIS DE LA DELIMITACIÓN LA MANERA EN QUE SE CUMPLEN .................. 12
Análisis de la estabilidad y el aprovechamiento de los recursos a para instalar el centro de
cómputo ............................................................................................................................................ 12
Evaluación del diseño según el ámbito .......................................................................................... 12
Análisis de la seguridad física .................................................................................................... 13
AUDITORIA OFIMATICA ........................................................................................................... 14
INFORME DE LA AUDITORIA ......................................................Error! Bookmark not defined.
FECHA DEL INFORME ...............................................................Error! Bookmark not defined.
OBJETIVOS DE LA AUDITORIA........................................................................................... 16
Descripción de la empresa ..............................................................Error! Bookmark not defined.
Organigrama ................................................................................................................................... 19
Funciones ......................................................................................................................................... 19
Objetivos .......................................................................................................................................... 20
Objetivos Específicos ...................................................................................................................... 20
Normas ............................................................................................................................................. 20
Misión ............................................................................................................................................... 20
Visión ................................................................................................................................................ 21
Políticas ............................................................................................................................................ 21
Valores.............................................................................................................................................. 21
Recursos humanos ........................................................................................................................... 21
Planteamiento de la Auditoria

El propósito del Ciber auditado, es dar al usuario un mejor servicio con los recursos
tecnológicos que se tienen, y una mejor administración de la información. Las
políticas de dicha organización son escasas y se puede decir que no están en
funcionamiento; este Ciber no cuenta con algún manual actualizado para poder
realizar soporte a los equipos de cómputos.

Justificación

 Desconocimiento en el nivel directivo de la situación informática de la

empresa
 Falta total o parcial de seguridades lógicas y físicas que garanticen la
integridad del personal, equipos e información.
 Descubrimiento de fraudes efectuados con el computador
 Falta de una planificación informática
 Organización que no funciona correctamente, falta de políticas, objetivos,
normas, metodología, asignación de tareas y adecuada administración del
Recurso Humano
 Descontento general de los usuarios por incumplimiento de plazos y mala
calidad de los resultados
 Falta de documentación o documentación incompleta de sistemas que revela
la dificultad de efectuar el mantenimiento de los sistemas en producción

Objetivo General

El objetivo de esta auditoría es que en el Ciber “CompuChips” en donde se

verificara que el plan del mantenimiento se cumpla y que sea el correcto,
así como su reglamento, la seguridad de los usuarios y que las reglas estén bien
establecidas.

Objetivos Específicos
 Contener la mayor cantidad de insumos necesarios para satisfacer los
requerimientos básicos que necesitan nuestros clientes.
 Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.
 Verificar las disposiciones y reglamentos que ayuda al mantenimiento del
orden dentro del departamento de cómputo.
 Analizar los riesgos más comunes en el Centro de Cómputo.
 Evaluar el diseño y prueba de los sistemas del área de Informática
 Determinar la veracidad de la información del área de Informática
 Evaluar los procedimientos de control de operación, analizar su

estandarización y evaluar el cumplimiento de los mismos.

 Evaluar la forma como se administran los dispositivos de almacenamiento

básico del área de Informática.

Alcance

 Organización y cualificación del personal de Seguridad.

 Remodelar el ambiente de trabajo.
 Planes y procedimientos.
 Sistemas técnicos de Seguridad y Protección.
Antecedentes de la empresa

CompuChips nace en Chilapa de Álvarez el día 8 de Abril del año 2004 para dar el
servicio de renta de equipo de cómputo con Internet, después de realizar grandes
esfuerzos empieza a darse a conocer entre los cibernautas dando los servicios de
Internet, impresiones blanco y negro e impresión a color, quema de CD y trabajos a
computadora.

El servicio está dirigido a estudiantes que tienen el deseo de superación los

cuales vienen a realizar sus trabajos de escuela, y tener un mejor
aprovechamiento en su educación.
A profesores preocupados por la educación de sus alumnos y con el estímulo
de conocer y estar actualizados en los temas que demanda la sociedad y sus
alumnos.
Periodistas para la realización de su trabajo y envió de información a los
diferentes medios locales y nacionales.
Al público en General que requiere del Internet para comunicarse con
familiares, amigos, seres queridos que por algún motivo tienen que emigrar
de esta ciudad.

Relación de funcionarios o personal a cargo del área de

examinar

Nombres Apellidos Cargo

Ing. Víctor Hernández Dirección General
Tepec
Jonathan Hernández Administración General
Salazar
 Cronograma de trabajo
PROGRAMA DE AUDITORIA
EMPRESA: CompuChips
FASE ACTIVIDAD HORAS ENCARGADOS
ESTIMADAS
I VISTA PRELIMINAR 10hrs
 Solicitud de Manuales y
Documentación
 Elaboración de cuestionarios
 Recopilación de la información
organizacional

II DESARROLLO DE LA AUDITORIA 10hrs

 Aplicación del cuestionario al
personal
 Análisis de las claves de acceso,
control, seguridad, confiabilidad y
respaldos.
 Evaluación de la estructura orgánica:
puestos, funciones, autoridad
y responsabilidades.
 Evaluación de los sistemas:
relevamiento de Hardware y Software,
evaluación del diseño
lógico y del desarrollo del sistema.
 Evaluación del Proceso de Datos y de
los Equipos de Cómputos: seguridad
de los datos, control de operación,
seguridad física y procedimientos de
respaldo.

III REVISION Y PRE-INFORME 15hrs

 Elaboración del Borrador
 Revisión de los papeles de trabajo

IV INFORME 20hrs
 Elaboración y presentación del informe
 AUDITORIA FISICA

Alcance de la auditoria
 Organización y cualificación del personal de Seguridad.
 Remodelar el ambiente de trabajo.
 Planes y procedimientos.
 Sistemas técnicos de Seguridad y Protección.

Objetivos

 Revisión de las políticas y Normas sobre seguridad Física.

 Verificar la seguridad de personal, datos, hardware, software e instalaciones
 Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informático

PREGUNTAS SI NO

1. ¿Se han adoptado medidas de seguridad en el departamento de sistemas de X

información?
2. ¿Existe una persona responsable de la seguridad? X

3. ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad? X

4. ¿Existe personal de vigilancia en la el ciber? X

5. ¿Se controla el trabajo fuera de horario? X

6.¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que X
puedan dañar los sistemas?.
7. ¿Se ha instruido a estas personas sobre qué medidas tomar en caso de que alguien pretenda X
entrar sin autorización?
8.¿Saben que hacer los operadores de cómputo, en caso de que ocurra una emergencia X
ocasionado por fuego?
9. ¿El personal ajeno a operación sabe qué hacer en el caso de una emergencia (incendio)? X

10. ¿Existe salida de emergencia? X

11. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del X
departamento de cómputo para evitar daños al equipo?
12. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora? X

13.¿Existe departamento de auditoria interna en la empresa? X

14.¿Este departamento de auditoria interna conoce todos los aspectos de los sistemas? X

15.¿Se cumplen? X

16.¿Se auditan los sistemas en operación? X

LISTADO DE VERIFICACION DEAUDITORIA FÍSICA

Gestión física de seguridad

100% 80% 60% 40% 20%
Excelente Buena Regular Mínimo No cumple
Los objetivos de la
instalación física De X
computo
Las características
físicas de son seguras X
de centro
Los componentes
físicos de computo X
La conexiones de los
equipos de las X
comunicaciones e
instalaciones físicas
La infraestructura es
X
El equipos es
X
La distribución de los
quipos de computo es X
EVALUACION DE ANALISIS FISCA DE COMPUTO
100% 80% 60% 40% 20%
Excelente Buena Regular Mínimo No cumple
Evaluación de la
existencia y uso de
normas, resolución
base legal para el
X
diseño del centro de
cómputo.

El cumplimiento de los
objetivos
fundamentales de la
organización para
X
instalar del centro de
cómputo.

La forma de repartir
los recursos
informáticos de la
organización.
X
La confiabilidad y
seguridades el uso de X
la información
institucional

La satisfacción de las
necesidades de poder X
computacional de la
organización.

La solución a
identificación del
centro de cómputo
(apoyó).
X
 ANÁLISIS DE LA DELIMITACIÓN LA MANERA EN QUE
SE CUMPLEN
100% 80% 60% 40% 20%
Excelente Buena Regular Mínimo No cumple
La delimitación espacial, por
las dimensiones físicas
X
La delimitación tecnológica,
por los requerimientos y
X
conocimientos informáticos.

Análisis de la estabilidad y el aprovechamiento de los recursos a

para instalar el centro de cómputo
100% 80% 60% 40% 20%
Excelente Buena Regular Mínimo No cumple
Análisis de la transparencia del
trabajo para los usuarios X
La ubicación del centro de
computo

Los requerimientos de
seguridad del centro de X
computo

Evaluación del diseño según el ámbito

100% 80% 60% 40% 20%
Excelente Buena Regular Mínimo No cumple
Análisis del ambiente de trabajo
X
Evaluar el funcionamiento de los
equipos X
El local para el trabajo es
X
Los equipos cuentan con
ventilación
La iluminación
X
Análisis de la seguridad física
100% 80% 60% 40% 20%
Excelente Buena Regular Mínimo No cumple
La seguridad de los equipos.
X
El estado centro de cómputo esta
en X
Los accesos de salida son
X
 AUDITORIA OFIMATICA

ALCANCE DE LA AUDITORIA
 Planes y procedimientos
 Políticas de Mantenimiento
 Capacitación del Personal
OBJETIVOS DE LA AUDITORIA
Realizar un informe de Auditoria con el objeto de verificar la existencia de controles
preventivos, detectivos y correctivos, así como el cumplimiento de los mismos por los
usuarios.
PREGUNTAS SI NO
1. ¿Existe un informe técnico en el que se justifique la adquisición del equipo,
software y servicios de computación, incluyendo un estudio costo beneficio? X
2. ¿Existe un comité que coordine y se responsabilice de todo el proceso de
adquisición e instalación? X
3. ¿Han elaborado un instructivo con procedimientos a seguir para la selección
y adquisición de equipos, programas y servicios computacionales? X
4. ¿se cuenta con software de oficina?
X
5 ¿Se ha asegurado un respaldo de mantenimiento y asistencia técnica?
X
6. ¿El acceso al centro de cómputo cuenta con las seguridades necesarias para
reservar el ingreso al personal autorizado? X
7. ¿Se han implantado claves o password para garantizar operación de consola
y equipo central (mainframe), a personal autorizado? X
8. ¿Se han formulado políticas respecto a seguridad, privacidad y protección
de las facilidades de procesamiento ante eventos como: ¿incendio, X
vandalismo, robo y uso indebido, intentos de violación?
9. ¿Se mantiene un registro permanente (bitácora) de todos los procesos
realizados, dejando constancia de suspensiones o cancelaciones de procesos? X
10. ¿Los operadores del equipo central están entrenados para recuperar o
restaurar información en caso de destrucción de archivos? X
11. ¿Los backups son mayores de dos (padres e hijos) y se guardan en lugares
seguros y adecuados, preferentemente en bóvedas de bancos? X
12. ¿Todas las actividades del Centro de Computo están normadas mediante
manuales, instructivos, normas, reglamentos, etc.? X
13. ¿Las instalaciones cuentan con sistema de alarma por presencia de fuego,
humo, así como extintores de incendio, conexiones eléctricas X
14. ¿Se han instalado equipos que protejan la información y los dispositivos
en caso de variación de voltaje como: reguladores de voltaje, supresores pico, X
UPS, generadores de energía?
15. ¿Se han contratado pólizas de seguros para proteger la información,
equipos, personal y todo riesgo que se produzca por casos fortuitos o mala X
operación?
16. ¿Si se vence la garantía de mantenimiento del proveedor se contrata
mantenimiento preventivo y correctivo? X
17. ¿Se hacen revisiones periódicas y sorpresivas del contenido del disco para
verificar la instalación de aplicaciones no relacionadas a la gestión de la X
empresa?
18. ¿Se mantiene programas y procedimientos de detección e inmunización de
virus en copias no autorizadas o datos procesados en otros equipos? X
19. existen licencias
X

AUDITORIA DEL MANTENIMIENTO

ALCANCE DE LA AUDITORIA
• Planes y procedimientos de Mantenimiento
• Normativa

OBJETIVOS DE LA AUDITORIA
• Realizar un informe de Auditoria con el objeto de evaluar el mantenimiento
correctivo y preventivo del software.

REFERENCIA LEGAL
Estándares
– ISO/IEC 12207
– IEEE 1074
– IEEE 1219
– ISO/IEC 14764
PREGUNTAS SI NO
1 ¿Existe un contrato de mantenimiento? X
 2 ¿ Existe un programa de mantenimiento preventivo para cada dispositivo del X
sistema de cómputo?
3¿Se lleva a cabo tal programa? X
4. ¿ Si los tiempos de reparación son superiores a los estipulados en el contrato, X
¿Qué acciones correctivas se toman para ajustarlos a lo convenido?
5 ¿Existe plan de mantenimiento preventivo? X
6¿Se notifican las fallas? X
7¿Se les da seguimiento? X
8 ¿Tiene un plan logístico para dar soporte al producto software? X

AUDITORIA A LOS SISTEMAS DE REDES

ALCANCE DE LA AUDITORIA
 Sistemas técnicos de la red
 Mantenimiento de la Red
OBJETIVOS DE LA AUDITORIA
Realizar un informe de Auditoria con el objeto de verificar la adecuación de las medidas
aplicadas a las amenazas definidas, así como el cumplimiento de los requisitos exigidos.

REFERENCIA LEGAL

 Manual de Autoprotección aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD

2177/96)

RESULTADOS

Se obtendrá

Informe de Auditoria detectando deficiencias en el Sistema de Redes

Plan de recomendaciones a aplicar en función de

 Normativa a cumplir
 Recomendaciones

PREGUNTAS SI NO
1. La gerencia de redes tiene una política definida de planeamiento de tecnología de
red?
X
2. Esta política es acorde con el plan de calidad de la organización
X
3. La gerencia de redes tiene un plan que permite modificar en forma oportuna el plan
a largo plazo de tecnología de redes , teniendo en cuenta los posibles cambios
X
tecnológicos o en la organización?
4. Existe un inventario de equipos y software asociados a las
X
5. redes de datos?
X
6. Existe un plan de infraestructura de redes?
X
7. El plan de compras de hardware y software para el sector redes está de acuerdo con
el plan de infraestructura de redes?
X
8. Están establecidos controles especiales para salvaguardar la confidencialidad e
integridad del procesamiento de los datos que pasan a través de redes públicas, y para
X
proteger los sistemas conectados
9. Existen controles especiales para mantener la disponibilidad de los servicios de red
y computadoras conectadas?
X
10. Existen controles y procedimientos de gestión para proteger el acceso a las
conexiones y servicios de red.?
X
11. Existe una topología estandarizada en toda la organización
X
12. Existen normas que detallan que estándares que deben cumplir el hardware y el
software de tecnología de redes?
X
13. ¿La transmisión de la información en las redes es segura?
X
14. ¿El acceso a la red tiene password?
X

AREA CRITICA REDES

LISTADO DE VERIFICACION DE AUDITORIA DE REDES
100% 80% 60% 40% 20%
Excelente Buena Regular Mínimo No cumple
Los objetivos de la red
De computo X
Las características de la
Red de computo X
Los componentes físicos
de la red de computo X
 La conectividad y las
comunicaciones de la
red de computo
X
Los servicios que
proporcionan La red de
computo
X
Las configuraciones ,
topologías , tipos Y
cobertura de las redes de
X
computo.

Los protocolos de
comunicación interna de
la red.
X
La administración de la
red de Computo. X
La seguridad de las
redes de computo X
Evaluación del diseño e implementación de la red según el ámbito de cobertura

100% 80% 60% 40% 20%

Excelente Buena Regular Mínimo No cumple
Evaluar el
funcionamiento de la
tecnología que se usa
X
con un solo cable entre
las máquinas conectadas

Evaluar el
funcionamiento de las
aplicaciones, usos y
X
explotación de las redes

Los servicios que

proporcionan La red de
computo
X
Análisis de la red de área local (L A N)
 100% 80% 60% 40% 20%
Excelente Buena Regular Mínimo No cumple
Evaluar el uso adecuado
y confiable de la
tecnología
X
Evaluar la restricción
adoptada para establecer
el tamaño de la red
X
Evaluar la velocidad.
X

Organigrama

Direccion General

Administracion General

Soporte Tecnico a Equipo de

Ventas Computo y Fotocopiado

Funciones

Dirección General

El dueño tiene la función de controlar el centro de cómputo y ver que todo esté
funcionando correctamente.
Administración General

Se encarga del mantenimiento de computo preventivo y/o correctivo,

fotocopiadoras, impresoras y en atender a los clientes e incluso realiza las ventas.

Objetivos

 Apoyar a los alumnos y profesores de la universidad tecnológica.

 Estandarizar y Uniformizar información relevante referente a la institución.
 Brindar un mejor servicio a los usuarios en area informática.

Objetivos Específicos

 Optimizar las aplicaciones existentes a satisfacción de alumnos y maestros.

 Brindar acceso a Internet

Normas

IEEE 802.3 para redes LAN ETHERNET 10/100MBps

Seguridad de la información. La certificación según la Norma ISO/IEC 27001 de

sistemas de gestión de seguridad de la información ya se considera como
una para las organizaciones

Misión

Satisfacer las necesidades de toda la población estudiantil y público en general,

proporcionando servicio de calidad con los equipos de cómputos más actualizados
y con mayor velocidad, al mismo tiempo brindar comodidad y seguridad.
Visión

Ser uno de los mejores centros de cómputo que ofrecen internet al máximo, lograr
el máximo crecimiento y Satisfacción al cliente, expandiendo su gama de servicios.

Políticas

Ofrecer productos y servicios que sean relevantes y accesibles a la población en

precio. Tecnología y disponibilidad

Valores

Integridad

Ser honestos y tratar a todos con igualdad y respeto a todos los clientes.

Excelencia

Brindar el mejor servicio, enfrentando los retos con valor, esfuerzo y creatividad.

Accesibilidad

 Ofrecer productos y servicios que sean relevantes y accesibles a la población en

precio. Tecnología y disponibilidadCompromiso Social
 Trabajo De Equipo
 Equidad

Recursos humanos

Actualmente en el área de cómputo e informática elaboran dos personas quienes

cumplen con las funciones de administración, capacitación, soporte y
procesamiento de datos.