Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNIVERSIDAD NACIONAL
FEDERICO VILLARREAL
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES
INTEGRANTES:
LIMA- PERU
2019
I.- INTRODUCCIÓN
I.- ORIGEN:
La auditoría al Área de Sistemas sobre irregularidades en el manejo del sistema
por parte del personal, así como la introducción de información en la base de
datos y filtración de información importante de la empresa por no tener sistemas
de seguridad.
II.- OBJETIVOS:
2.1 OBJETIVO GENERAL
Evaluar la ejecución de la gestión de mantenimiento de los equipos y software
de cómputo de la empresa para encontrar posibles fallas técnicas que estén
teniendo y que pueden se causadas por errores humanos o por fallas del mismo
equipo. Esto es de suma importancia debido a la información esencial que
contiene la empresa y sus clientes.
2.2 OBJETIVOS ESPECÍFICOS
III.- ALCANCE
La presente auditoria comprende el periodo 2019 y se ha realizado al Área de de
Sistemas e Informático de acuerdo a las normas y demás disposiciones
aplicables.
El alcance se ha definido de acuerdo al entorno y los límites en que se va a
desarrollar la auditoría, es decir, se aplicó al área de sistemas donde se realizó
un diagnóstico permitiendo revisar y evaluar los procesos mediante el uso de
normas como es el modelo COBIT, logrando así identificar diferentes
vulnerabilidades en el manejo y mantenimiento aplicado:
Esta política es uno de los medios para lograr los objetivos del Estudio. Su
cumplimiento aporta una mejora en el ambiente laboral y eficiencia
4.2.2 Misión
RECOMENDACIÓN:
Por consiguiente, recomendamos a la Dirección del Área de Informática
supervise las condiciones del soporte técnico y evalúen la viabilidad de reforzar
la seguridad de los sistemas, complementando lo siguiente:
COMENTARIO DE LA ADMINISTRACIÓN:
RECOMENDACIÓN:
2.- OBSERVACIÓN N° 02
La carencia de una adecuada Gestión por parte de la Dirección de Informática y
Sistemas de la empresa ORION GERENCIA Y CONSTRUCCION SAC, en los
aspectos de seguridad y capacitación en el manejo de sistema a los empleados;
conllevó al mal uso del sistema integrado, generándose mayores costos y
vulnerabilidad a la información propia de la institución.
El día 10 de agosto del 2019, la Comisión de Auditoria realizó una inspección a
la Dirección de Informática y Sistemas, entrevistándose con el Administrador de
la Red y el responsable de los sistemas de informática; por parte de la Comisión
de Auditoria fue el Jefe de Comisión y el Auditor de Sistemas.
El objetivo de la inspección fue evaluar al personal si contaba con la capacitación
respectiva sobre los nuevos sistemas y la seguridad en la red interna, a lo que
se dieron cuenta que no todo el personal sabía manejar este nuevo sistema que
la empresa instaló.
Normas y Procedimientos Internacionales basados en COBIT (Objetivos de
Control para la Información y Tecnologías relacionadas) donde menciona:
P03. Determinar la Dirección Tecnológica.
PO3.1 Planeación de la Dirección Tecnológica
Analizar las tecnologías existentes y emergentes y planear cuál dirección
tecnológica es apropiada tomar para materializar la estrategia de TI y la
arquitectura de sistemas del negocio.
La Dirección de Informática y Sistemas de la empresa ORION GERENCIA Y
CONSTRUCCION SAC, no implemento la capacitación a los trabajadores que
manejaran este sistema.
Advierte la Comisión Auditora de la Auditoria Informática aplicada a los recursos
informáticos administrados por la Dirección de Informática y Sistemas de la
empresa, que esta situación conlleva al uso ineficiente de los recursos
informáticos, generándose mayores costos y vulnerabilidad a la información
propia de la institución.
3.- OBSERVACIÓN N° 03
La falta de información y capacitación de la Dirección de Informática y Sistemas
de la empresa ORION GERENCIA Y CONSTRUCCION SAC, en el aspecto de
seguridad informática ha dado como resultado que hasta la fecha no se
implemente un sistema de seguridad que proteja los sistemas y la información
relevante de la empresa.
El día 10 de agosto del 2019, la Comisión de Auditoria realizó una inspección a
la Dirección de Informática y Sistemas, entrevistándose con el Administrador de
la Red y el responsable de los sistemas de informática; por parte de la Comisión
de Auditoria fue el Jefe de Comisión y el Auditor de Sistemas.
Uno de los objetivos de la inspección fue verificar si la empresa contaba con un
software de seguridad que reduzca la vulnerabilidad en sus sistemas y su
información, comprobando de esta manera que la empresa no contaba con ello
y que el único método de seguridad al que recurrían era generar un backup(copia
de seguridad) y trasladarlo a un disco duro externo.
ISO 17799: es una norma internacional que ofrece recomendaciones para
realizar la gestión de la seguridad de la información dirigida a los responsables
de iniciar, implantar o mantener la seguridad de una organización.
COBIT: Es un marco de trabajo y un conjunto de herramientas de Gobierno de
Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre
los requerimientos de control, aspectos técnicos y riesgos de negocios. COBIT
habilita el desarrollo de políticas claras y buenas prácticas para el control de TI
a lo largo de las organizaciones.
El desconocimiento por parte de la Dirección de Informática y Sistemas de la
empresa ORION GERENCIA Y CONSTRUCCION SAC sobre la importancia del
software de seguridad para la protección de sus sistemas e información,
exponiendo así sus equipos y la información confidencial de la empresa ante
cualquier fraude o filtración.
La exposición de la información relevante y confidencial de la empresa, lo que
posiblemente ha llevado a que se haya dado al día de hoy alguna filtración de la
misma hacia terceras personas con intenciones desconocidas, así como la
avería de los sistemas informáticos, debido a que los ordenadores no estuvieron
protegidos ante la infiltración de múltiples virus de red, lo que llevará a un gasto
por reparaciones y mantenimiento.
4.- OBSERVACIÓN N° 04
La falta de ética y competencia profesional de la empresa SOPORTE TÉCNICO
DE SISTEMAS PLUS S.A. quien es proveedora del soporte técnico de la
empresa ORION GERENCIA Y CONSTRUCCION SAC. Pues se ha detectado
que dicha empresa proveedora posee acceso al servidor con privilegios de
administrador.
Al cierre de la gestión en el proceso de auditoría de la empresa ORION
GERENCIA Y CONSTRUCCION SAC, se pudo evidenciar el acceso a los
servidores mediante escritorio remoto desde las oficinas de la empresa
proveedora a cargo del escaneo y transcripción de la información de los sistemas
de la empresa auditada.
Dicho acceso no controlado (sin presencia de testigos al acceder) con
privilegios de administrador; representa un severo riesgo de seguridad de los
sistemas de información, a su vez se trata de una violación a las buenas
prácticas en seguridad informática.
RESOLUCION JEFATURAL Nº 347-2001-INEI
V. DISPOSICIONES LEGALES:
5.1.2 Con relación a los sistemas de red local y de conectividad a Internet.
a.- La red local y el sistema de conectividad a Internet deben contar con sistemas
de seguridad.
b.- Debe tenerse en consideración la aplicación de todas las técnicas de
seguridad que se evalúen como convenientes: firewall, detección de intrusos,
inspección de contenido, auditoría, filtrado, proxy, criptografía o autenticación;
que permitan controlar la seguridad de los usuarios de la red local y del sistema
de conectividad a Internet.
c.- Implementar políticas de restricción en la asignación de las direcciones IP en
los usuarios.
e.- De ser necesario, se establecerá una red privada virtual que permita enlaces
temporales privados entre los usuarios.
La empresa SOPORTE TÉCNICO DE SISTEMAS PLUS S.A. no mantiene las
condiciones apropiadas para poder asumir la labor como empresa proveedora
de soporte técnico. Ya que viola claramente las medidas básicas de seguridad
informática.
Inclusive, la pasividad de los trabajadores quienes acudían al servicio de la
empresa proveedora no mantenía el criterio de confidencialidad de la
información con la que trabajaban y dejaban sin supervisión la gestión del
soporte técnico mediante escritorio remoto con privilegios de administrador.
La exhibición de la información ha conllevado a la vulnerabilidad de la seguridad
informática de la empresa ORION GERENCIA Y CONSTRUCCION SAC,
además de apropiamiento y manejo indebido de la información por parte de la
empresa proveedora, quien hacia uso a libre disposición del sistema con el fin
de brindar soporte técnico cuando se le requería.
CONCLUSIONES:
Atentamente,
PREGUNTAS
1.- ¿Se han adoptado medidas de seguridad para el proceso de información en el
sistema?
2.- ¿Existen restricciones para el acceso al sistema solo por el personal autorizado?
8.- ¿Se permite el acceso a los archivos y programas a los programadores, analistas
y operadores?
9.- ¿Se ha instruido al personal sobre qué medidas tomar en caso de que alguien
pretenda entrar al sistema sin autorización?
10.- ¿Se capacita al personal involucrado con el manejo del sistema cuando hay
nuevas actualizaciones?
11.- ¿Se limpia con frecuencia los equipos de cómputo, sí o no, cada cuánto
tiempo?
12.- ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora?
15.- ¿Este departamento de auditoría interna conoce todos los aspectos de los
sistemas?
18.- Una vez efectuada las modificaciones de la actividad de control ¿se presentan
las pruebas a la gerencia?
ANEXO 2
PROGRAMACIÓN DE TIEMPO POR CATEGORÍAS, DE TÉRMINO DE LA ACCIÓN DE
CONTROL
ROL EN LA
NOMBRES Y APELLIDOS CORREO ELECTRÓNICO
COMISIÓN
1.CARRANZA RIVERA
SUPERVISOR CARRANZAMI98@HOTMAIL.COM
MILAGROS
2.LESCANO MENESES
CONTADORA LESCAMILAGROS_5@GMAIL.COM
MILAGROS
4.HUAMANVILCA QUISPE
AUDITORA KARENH_QUISPE@HOTMAIL.COM
KAREN