Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditorc3ada Informc3a1tica Isnaya
Auditorc3ada Informc3a1tica Isnaya
Universidad
Nacional de
Ingeniería
UNI-RUACS
Auditoría Informática en
“Laboratorios ISNAYA”
Carrera: Ingeniería de Sistemas
Grupo: 5S1 IS
Elaborado Por:
0
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Contenido
Introducción.................................................................................................................................2
Objetivos......................................................................................................................................3
Objetivo General del Trabajo...................................................................................................3
Objetivos específicos................................................................................................................3
Justificación..................................................................................................................................4
Objetivos de la Auditoría..............................................................................................................5
Objetivo General......................................................................................................................5
Alcance de la Auditoría.............................................................................................................5
Objetivo Especifico...................................................................................................................5
Hallazgos y recomendaciones......................................................................................................6
Metodología de Trabajo.............................................................................................................10
Conclusiones:.............................................................................................................................11
Recomendaciones:.....................................................................................................................12
Anexos........................................................................................................................................13
Levantamiento de activos......................................................................................................13
Matriz de Riesgo.................................................................................................................13
Plan de contingencia..............................................................................................................15
Cuestionarios..........................................................................................................................19
Revisión de Control Interno General..................................................................................19
Cuestionario sobre Planes generales..................................................................................20
Cuestionario para la evaluación del diseño y prueba de los sistemas................................21
Cuestionario sobre controles de salida..............................................................................26
Cuestionario de control de medios de almacenamiento masivo........................................27
SEMESTRAL ( ) OTRA ( )......................................................................................................29
Cuestionario de Control de mantenimiento.......................................................................30
Cuestionario Sobre el orden y cuidado del centro de cómputo.........................................30
Cuestionario para la Evaluación de la configuración del sistema de cómputo...................31
Cuestionario de Evaluación de la Seguridad física..............................................................31
Seguridad de la Información...............................................................................................37
Políticas y Procedimientos de Seguridad............................................................................37
Seguridad Lógica................................................................................................................37
Entrevista al Gerente..........................................................................................................40
1
Auditoría Informática en “Laboratorios ISNAYA” / 2012
CONTRATO.........................................................................................................................41
Introducción.
Para los negocios es importante evaluar en forma constante cada factor externo que
predomine o los afecte de manera trascendente, con la finalidad de instituir las
acciones necesarias para minimizar su impacto negativo o extraer ventaja estratégica
del mismo.
La auditoria informática debe respaldarse por un proceso formal que asegure su previo
entendimiento por cada uno de los responsables de llevar a la práctica dicho proceso
de la empresa. La auditoría en informática efectúa sus tareas y actividades mediante a
una metodología; este proceso metodológico cuenta con seis etapas: Preliminar,
Diagnóstico, Justificación, Adecuación, Formalización, Desarrollo e Implantación.
Para poder realizar este trabajo se tomó como referencia SIBOIF, MAG y NAGUN.
2
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Objetivos.
Objetivo General del Trabajo.
Objetivos específicos.
3
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Justificación.
Dar por finalizada esta auditoría trae beneficios que impactan positivamente en el
sistema y los procedimientos, otra de sus ayudas son las recomendaciones para
mejorar las políticas, procedimientos y sistemas, la verificación continua de la
efectividad de los controles establecidos.
4
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Objetivos de la Auditoría
Objetivo General.
Efectuar una Evaluación de las medidas y revisiones para caracterizar los
riesgos y pérdidas que se podrían ocasionar, a efecto de ayudar en la toma de
decisiones y mejora de los procesos en la “Laboratorio ISNAYA, Estelí”
Alcance de la Auditoría.
Se evaluara las áreas de la empresa en las que se cuenta con activo informático.
Gerencia
Control de calidad (Laboratorio Físico químico /
microbiológico.
Farmacia / Contabilidad.
Producción (abarcamos esta área porque la responsable de
producción manipula activos informáticos).
Objetivo Especifico.
Evaluar la integridad y confidencialidad del software SIC-PROD LAB, para dar
recomendaciones sobre una mejor funcionalidad.
Valorar la seguridad de los activos físicos informáticos, amenazas y riesgos que se
pueden presentar en ellos.
Valuar la manera de cómo se administran los dispositivos de almacenamiento masivo.
Realizar matriz de riesgos y plan de contingencia y recomendaciones a los hallazgos.
5
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Hallazgos y recomendaciones.
Condición 1
Criterio
Causa
Efecto
Recomendación
Condición 2
Criterio
Causa
Efecto
Caída de la red.
Recomendación
6
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Condición 3
Criterio
Inciso “A”
Causa
Efecto
Recomendación
Condición 4
Criterio
Causa
7
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Efecto
Recomendación.
Condición 5
Criterio
Causa
Efecto
Recomendaciones
Condición 6
8
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Recomendación
Implantar políticas y controles de realización de respaldo periódicamente.
Delegar responsabilidades a las personas que van a encargarse de la realización
de este proceso.
Automatizar el proceso de back up.
9
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Metodología de Trabajo.
HORAS ENCARGADOS
VISITA PRELIMINAR ESTIMADAS
10
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Conclusiones:
Se pudo desarrollar la auditoria informática, con algunas limitantes pero no fueron un grave
problema. Se realizo un estudio preliminar del funcionamiento informático de la empresas se
encontraron lo que amenaza a los activos. Se obtuvo la información por medio de encuestas
formales e informales, con la observación de las actividades cotidianas y se presenta este
informe como una guía básica para la “Laboratorios ISNAYA”.
Se cumplió con el alcance de la auditoria y en cada una de las áreas se evaluó la integridad y
confidencialidad del software, se valoro la seguridad de los activos informáticos tanto PCs,
como Servidor y se realizo la matriz de riesgos para estos y un plan de contingencia de acuerdo
a las amenazas que se definieron están presentes en la institución.
11
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Recomendaciones:
Se recomienda la compra de software original para evitar las fallas de estos software,
distribuir el cableado para evitar accidentes y señal débil del servidor a las PCs,
administrar las páginas web y los recursos de software SIC-PROD LAB que tiene acceso
los usuarios para evitar los accidentes de pérdida de información.
12
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Anexos.
Levantamiento de activos.
Tipo Descripción Propietario Ubicación
menos 99%)
Matriz de Riesgo
Pcs
13
Auditoría Informática en “Laboratorios ISNAYA” / 2012
información
Total 32
PC Servidor
Total 33
Según el análisis de riesgo que se realizo se determinó que los activos que presenta mayor
riesgo es la PC Servidor, debido a la importancia de este. A los software que contiene y
aplicaciones fundamentales para el funcionamiento diario. El acceso físico tiene poca
seguridad dado que está en la oficina del gerente y no se mantiene asegurada la perta de
entrada. No cuenta con las condiciones ambientales para la seguridad térmica de este.
Las PCs cuenta con una seguridad débil, pero la información que se contiene en ellas no es tan
relevante. Es de importancia mencionar que el software es pirata, no tienen una protección
antivirus buena.
Plan de contingencia
14
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Contramedida
La empresa Formación para actuar 1. Viabilidad Marvin palma Se hará una Hacer un estudio de
contara con un en caso de incendio. técnica. planificación de viabilidad
Aquí la Gerente de
seguro contra los equipos se
empresa incendios Designación de un laboratorios tienen que
tendría responsable de sala. ISNAYA
también se le 2. Especificación comprar y del Solicitar compra del
Extintores darán una charla personal que se
contra Asignación de roles y de equipo necesario
a los trabajadores responsabilidades para Requerimient debe contratar contra incendios.
incendios. en caso de que para que brinde
la copia de respaldo. os.
Detectores esto sucediera. las charlas para
de humo. la prevención de
un incendio
Salidas de
emergencia.
Respaldo
Equipos
informáticos
de respaldo
15
Auditoría Informática en “Laboratorios ISNAYA” / 2012
16
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Reanudación de las
actividades normales
de la empresa.
17
Cuestionarios
Revisión de Control Interno General
REF PREGUNTAS SI NO N/A OBSERVACIONES
encargada de supervisarlos y
aprobarlos?
19
Auditoría Informática en “Laboratorios ISNAYA” / 2012
personal?
· Usuario.
· Analista.
*
· Programadores.
· Gerente de departamento.
*
· Auditores internos.
· Asesores. *
· Otros.
20
Auditoría Informática en “Laboratorios ISNAYA” / 2012
21
Auditoría Informática en “Laboratorios ISNAYA” / 2012
trabaja por
resultado
· Estudio de la definición *
· Diagrama de bloques *
· Tabla de decisiones *
· Codificación
· Compilación ( ) *
22
Auditoría Informática en “Laboratorios ISNAYA” / 2012
· Someter resultados de
prueba *
· Entrega del programa
23
Auditoría Informática en “Laboratorios ISNAYA” / 2012
No________________________________________________________________________
NA________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
NA ________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
NA ________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
NA ________________________________________________________________________
________________________________________________________________________
NA ________________________________________________________________________
________________________________________________________________________
7. ¿Qué documentos?
NA ________________________________________________________________________
________________________________________________________________________
24
Auditoría Informática en “Laboratorios ISNAYA” / 2012
NA ________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
No se cuenta con un gerente de sistemas, las reparaciones a los fallos las hace una persona ajena a
la institución.
10. ¿Se destruye la información utilizada, o bien que se hace con ella?
· Otros ___________________________________________________________________
4. ¿Se verifican con frecuencia la validez de los inventarios de los archivos magnéticos?
SI ( ) NO (* )
25
Auditoría Informática en “Laboratorios ISNAYA” / 2012
5. En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y explican
_________________________________________________________________________
destruido? SI ( ) NO ( * )
8. ¿Se tienen identificados los archivos con información confidencial y se cuenta con claves de
acceso? SI ( * ) NO ( )
¿Cómo? Existe un servidor dedicado a este tipo de archivos, al cual solo el gerente de sistemas
tiene acceso. NO(*)
10. ¿Que medio se utiliza para almacenarlos? Mueble con cerradura ( * ) Bóveda ( )
Otro (especifique)_______________________________________________________
12. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos?
SI (* ) NO ( )
No están normadas
16 ¿Se restringe el acceso a los lugares asignados para guardar los dispositivos de
17. ¿Se tiene relación del personal autorizado para firmar la salida de archivos confidenciales?
SI ( ) NO (* )
18. ¿Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se
devolverán? SI ( ) NO ( *)
20. ¿Se lleva control sobre los archivos prestados por la instalación? SI ( ) NO (*)
26
Auditoría Informática en “Laboratorios ISNAYA” / 2012
· fecha de recepción (* )
· formatos ( )
· cifras de control ( )
· código de grabación ( )
· otros ( )
23. En los procesos que manejan archivos en línea, ¿Existen procedimientos para recuperar los
SEMESTRAL ( ) OTRA ( )
26. ¿Existe un responsable en caso de falla? SI ( ) NO (* )
27
Auditoría Informática en “Laboratorios ISNAYA” / 2012
computo? SI ( ) NO (* )
5. Si los tiempos de reparación son superiores a los estipulados en el contrato, ¿Qué acciones
5. Solicite el plan de mantenimiento preventivo que debe ser proporcionado por el proveedor.-
SI ( ) NO ( )
Se llama por la línea telefónica interna al ingeniero de sistemas, el cual llega realiza el diagnostico,
y de ser posible la reparación.
No hay seguimiento.
cámara de aire que se encuentra abajo del piso falso si existe y los ductos de aire:
Semanalmente ( ) Quincenalmente ( )
Mensualmente ( ) Bimestralmente ( )
28
Auditoría Informática en “Laboratorios ISNAYA” / 2012
SI (* ) NO ( )
4. ¿Son funcionales los muebles asignados para el archivo de a cintas, discos y otros?
SI (* ) NO ( )
cómputo? SI (* ) NO ( )
6. ¿Se cuenta con carteles en lugares visibles que recuerdan dicha prohibición? SI ( ) NO ( *)
¿Ocioso? SI ( ) NO (* )
2. ¿El equipo mencionado en el inciso anterior puede reemplazarse por otro más lento y de menor
costo? SI ( ) NO ( )
4. De ser negativa la respuesta al inciso anterior, explique las causas por las que no puede ser
SI (* ) NO ( )
29
Auditoría Informática en “Laboratorios ISNAYA” / 2012
a) Directamente (* )
6. ¿Existe una clara definición de funciones entre los puestos clave? SI ( ) NO (*)
9. ¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que
12. ¿Se permite el acceso a los archivos y programas a los programadores, analistas y
operadores? SI () NO (*)
13. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda
a) Inundación? ( NO)
b) Terremoto? ( No )
c) Fuego? (No)
d) Sabotaje? ( SI)
30
Auditoría Informática en “Laboratorios ISNAYA” / 2012
d) Otras? ( )
17. ¿Se vigilan la moral y comportamiento del personal de la empresa con el fin
e) No existe ( *)
a) En el departamento de cómputo? ( )
b) En otro lugar? ( )
a) En el departamento de cómputo? ( )
b) En otros lados ( )
a) Al puesto de vigilancia ? ( )
b) A la estación de Bomberos? ( )
Otro_________________________________________
a) Manuales? (*)
b) Automáticos? ( )
31
Auditoría Informática en “Laboratorios ISNAYA” / 2012
c) No existen ( )
a) Agua, SI ( )NO ( *)
b) Gas? ( *) ( )
c) Otros ( ) (* )
27. ¿Si es que existen extintores automáticos son activador por detectores automáticos de fuego?
SI ( ) NO ( *)
28. ¿Si los extintores automáticos son a base de agua ¿Se han tomado medidas para evitar que el
29. ¿Si los extintores automáticos son a base de gas, ¿Se ha tomado medidas para evitar que el
30. ¿Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automáticos para
que el personal
d) Es inmediata su acción? SI ( ) NO ( )
31. ¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos
para alcanzarlos? SI ( ) NO (*)
32. ¿Saben que hacer los operadores del as computadoras , en caso de que ocurra una
33. ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia (incendio)?
SI ( ) NO ( * )
32
Auditoría Informática en “Laboratorios ISNAYA” / 2012
a) Desde el interior ? ( )
b) Desde el exterior ? ( )
c) Ambos Lados ( *)
36. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta puerta y
de las ventanas, si es que existen? SI ( ) NO (* )
37. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en
caso de emergencia? SI ( ) NO (* )
d) No se ha previsto ( )
39. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior de las
oficinas de cómputo para evitar daños al equipo? SI ( * ) NO ( )
40. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? SI ( ) NO ( )
a) Servidor? ( * )
b) Programoteca? (* )
42. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora? SI (*) NO ( )
43. Explique la forma en que están protegidas físicamente estas copias (bóveda, cajas de
seguridad etc.) que garantice su integridad en caso de incendio, inundación, terremotos, etc.
Se encuentran en HDD externos que están en posesión del gerente de sistemas, sin protección
adicional.
45. Indique el número de copias que se mantienen, de acuerdo con la forma en que se clasifique la
información:
33
Auditoría Informática en “Laboratorios ISNAYA” / 2012
47. ¿Este departamento de auditoria interna conoce todos los aspectos de los sistemas?
SI ( ) NO ( )
___________________________________________________________________________
___________________________________________________________________________
b) Cada año ( )
c) Otra (especifique) ( )
a) Usuario (*)
b) Director de informática ( )
d) Programador ( )
a) Oral? (* )
b) Escrita? (* )
58.Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los interesados? SI (* ) NO
()
54.¿Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado? SI ( ) NO (*)
34
Auditoría Informática en “Laboratorios ISNAYA” / 2012
SI ( ) NO ( *)
a) De la terminal ( )
b) Del Usuario ( *)
c) No se pide identificación ( )
57.¿Se ha establecido que información puede ser acezada y por qué persona? SI ( ) NO ( *)
59.¿Se registra cada violación a los procedimientos con el fin de llevar estadísticas y frenar las
tendencias mayores? SI ( ) NO ( *)
Seguridad de la Información
¿Están por escrito las políticas y procedimientos de seguridad de la información del cliente?
No
¿Tiene el cliente un programa para hacer del conocimiento del usuario las políticas,
procedimientos y prácticas de seguridad
No
Seguridad Lógica
En la tabla siguiente, relacione los métodos que usa el cliente para restringir el acceso lógico a los
siste mas de aplicación y a la información:
35
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Centralizado.
En la tabla siguiente, relacione las técnicas que el cliente usa para autentificar la identidad de los
Técnicas de Autentificación
Describa brevemente los procesos del cliente para autorizar el acceso a la información y para
asignar los privilegios de acceso a los usuarios:
Dentro del software de control interno de la empresa, existe una sección dedicada a la
autorización y privilegios de usuario, en ella se puede gestionar con suma flexibilidad los
diferentes niveles de acceso que se le consederan a los usuarios. Para poder realizar estas
modificaciones es necesario, disponer de una cuenta de administrador en el sistema.
No.
El gerente de sistemas.
36
Auditoría Informática en “Laboratorios ISNAYA” / 2012
Si
Describa el acceso de Internet a/desde los sistemas de la computadora del cliente. Considere lo
siguiente:
¿Tienen los usuarios la capacidad de recibir datos (to download) y manipular la información del
sistema de aplicación? NO
¿Tienen los usuarios la capacidad de transmitir datos (to up load) a los sistemas de aplicación,
fuera del sistema de aplicación normal de entrada de datos? No
Seguridad Física
¿Qué métodos usa el cliente para restringir el acceso físico a esta ubicación
de procesamiento?
37
Auditoría Informática en “Laboratorios ISNAYA” / 2012
En la tabla siguiente, relacione todos los grupos (internos y externos) cuyo acceso físico está
permitido a este ambiente de procesamiento de la computadora. Por cada grupo, indique si se le
ha otorgado acceso completo o restringido e indique la naturaleza de las restricciones.
Aire acondicionado.
Entrevista al Gerente
38
Auditoría Informática en “Laboratorios ISNAYA” / 2012
¿Cree usted necesario crear nuevas normas, mejorar las existentes, o dejarlas así como están?
CONTRATO
Contrato de presentación de servicios profesionales de auditoría en informática que celebran por
una parte LAVORATORIOS ISNAYA. Representado por Marvin Palma. En su carácter de Gerente
General y que en lo sucesivo se denomina al cliente, por otra parte representada por Janacely
González Dávila quien se denominara el auditor, de conformidad con las declaraciones y cláusulas
siguientes:
Declaraciones
1. El cliente declara:
b) Que está representado para este acto por Marvin Palma y tiene como su domicilio Plaza de
compras, Rotonda Centroamérica
39
Auditoría Informática en “Laboratorios ISNAYA” / 2012
c) Que requiere obtener servicios de auditoría en informática, por lo que ha decidido contratar los
servicios del auditor
2. Declara el auditor:
a) Que es una sociedad anónima, constituida y existente de acuerdo con las leyes y que dentro de
sus objetivos primordiales está el de prestar auditoría en informática
b) Que está constituida legalmente según escritura número 1814 de fecha 12/01/2000 ante el
notario público nº 00154 Que señala como su domicilio BARIO ELIAS MONCADA .
CLAUSULAS
Primera. Objetivo
El auditor se obliga a prestar al cliente los servicios de auditoría en informática para llevarla a cabo
la evaluación de la dirección de informática del cliente, que se detalla en la propuesta de servicios
anexa que, firmada por las partes, forma parte integrante del contrato.
El alcance de los trabajos que llevara a cabo el auditor dentro de este contrato son:
40
Auditoría Informática en “Laboratorios ISNAYA” / 2012
c) Evaluación de equipos
-Utilización -seguros
d) Elaboraciones de informes que contengan conclusiones y recomendaciones por cada uno de los
trabajos señalados en los incisos a, b y c de esta cláusula.
Cuarta. Supervisión
El cliente o quien designe tendrá derecho a supervisar los trabajos que se le han encomendado al
auditor dentro de este contrato y a dar por escrito las instrucciones que estimen convenientes.
El cliente designara por parte de la organización a un coordinador del proyecto quien será el
responsable de coordinar la recopilación de la información que solicite el auditor y de que las
reuniones y entrevistas establecidas en el programa de trabajo se lleven a cabo en las fechas
establecidas.
El personal del auditor declara el tiempo necesario para cumplir satisfactoriamente con los
trabajos materia de la celebración de este contrato, de acuerdo al programa de trabajo convenido
41
Auditoría Informática en “Laboratorios ISNAYA” / 2012
por ambas partes y gozaran de libertad fuera del tiempo destinado al cumplimiento de las
actividades, por lo que no estarán sujetos a horarios y jornadas determinadas.
El auditor designara para el desarrollo de los trabajos objeto de este contrato a socios del
despacho quienes, cuando consideren necesario incorporar personal técnico capacitado de que
dispone la firma, en el número que se requieran de acuerdo a los trabajos a realizar.
El personal del auditor no tendrá ninguna relación laboral con el cliente y queda expresamente
estipulado que este contrato se suscribe en atención a que el auditor en ningún momento se
considera intermediario del cliente respecto al personal que ocupe para dar cumplimiento de las
obligaciones que se deriven de la relaciones entre él y su personal, y exime al cliente de cualquier
responsabilidad que a este respecto existiré.
El auditor se obliga a terminar los trabajos señalados en la cláusula segunda de este contrato en 30
días hábiles después de la fecha en que se firme el contrato y sea cobrado el anticipo
Décima. Honorarios
El cliente pagara al auditor por los trabajos objetos del presente contrato, honorarios por la
cantidad de $2000 más el impuesto al valor agregado correspondiente. La forma de pago será la
siguiente:
42
Auditoría Informática en “Laboratorios ISNAYA” / 2012
De ser necesaria alguna adición a los alcances o productos del presente contrato, las partes
celebraran por separado un convenio que formara parte integrante de este instrumento y en
forma conjunta se acordara el nuevo costo.
Los gastos de fotocopiado y dibujo que se produzcan con motivo de este contrato correrán por
cuenta del cliente.
Serán causas de rescisión del presente contrato la violación o incumplimiento de cualquiera de las
cláusulas de este contrato.
Enteradas las partes del contenido y alcance legal de este contrato, lo rubrican y firman de
conformidad en original y tres copias, en la ciudad de Managua, el día Lunes 23 de abril de 2012.
EL CLIENTE EL AUDITOR
43