Auditorc3ada Informc3a1tica Isnaya

Auditoría Informática en “Laboratorios ISNAYA” / 2012
Universidad
Nacional de
Ingeniería
UNI-RUACS
Auditoría Informática en
“Laboratorios ISNAYA”
Carrera: Ingeniería de Sistemas
Grupo: 5S1 IS
Docente: Ing. José Manuel Poveda.
Elaborado Por:
 Janacely González Dávila

 Meybell Janixia Zeledón Arteta
 Alicia Almendares
 Tania Carrillo.
0
Contenido
Introducción.................................................................................................................................2
Objetivos......................................................................................................................................3
Objetivo General del Trabajo...................................................................................................3
Objetivos específicos................................................................................................................3
Justificación..................................................................................................................................4
Objetivos de la Auditoría..............................................................................................................5
Objetivo General......................................................................................................................5
Alcance de la Auditoría.............................................................................................................5
Objetivo Especifico...................................................................................................................5
Hallazgos y recomendaciones......................................................................................................6
Metodología de Trabajo.............................................................................................................10
Conclusiones:.............................................................................................................................11
Recomendaciones:.....................................................................................................................12
Anexos........................................................................................................................................13
Levantamiento de activos......................................................................................................13
Matriz de Riesgo.................................................................................................................13
Plan de contingencia..............................................................................................................15
Cuestionarios..........................................................................................................................19
Revisión de Control Interno General..................................................................................19
Cuestionario sobre Planes generales..................................................................................20
Cuestionario para la evaluación del diseño y prueba de los sistemas................................21
Cuestionario sobre controles de salida..............................................................................26
Cuestionario de control de medios de almacenamiento masivo........................................27
SEMESTRAL ( ) OTRA ( )......................................................................................................29
Cuestionario de Control de mantenimiento.......................................................................30
Cuestionario Sobre el orden y cuidado del centro de cómputo.........................................30
Cuestionario para la Evaluación de la configuración del sistema de cómputo...................31
Cuestionario de Evaluación de la Seguridad física..............................................................31
Seguridad de la Información...............................................................................................37
Políticas y Procedimientos de Seguridad............................................................................37
Seguridad Lógica................................................................................................................37
Entrevista al Gerente..........................................................................................................40
1
CONTRATO.........................................................................................................................41
Introducción.
En la actualidad se aplica auditoria informática como un examen crítico que se realiza

con el fin de evaluar la eficacia y eficiencia de la infraestructura informática de una
empresas y si la inversión que se ha hecho en la misma cumple con los propósitos para
lo cual fe desarrollada.
Para los negocios es importante evaluar en forma constante cada factor externo que
predomine o los afecte de manera trascendente, con la finalidad de instituir las
acciones necesarias para minimizar su impacto negativo o extraer ventaja estratégica
del mismo.
La auditoria informática debe respaldarse por un proceso formal que asegure su previo
entendimiento por cada uno de los responsables de llevar a la práctica dicho proceso
de la empresa. La auditoría en informática efectúa sus tareas y actividades mediante a
una metodología; este proceso metodológico cuenta con seis etapas: Preliminar,
Diagnóstico, Justificación, Adecuación, Formalización, Desarrollo e Implantación.
Este proceso metodológico se implementó en la empresa Laboratorio ISNAYA Estelí,

dedicada a la elaboración y comercialización de productos medicinales naturales y
cuenta con su software con un software llamado SIC-PROD LAB.
Para poder realizar este trabajo se tomó como referencia SIBOIF, MAG y NAGUN.
Hacer toda la Introducción de nuevo
2
Objetivos.
Objetivo General del Trabajo.
 Desarrollar un auditoria informática en, que nos proporcione información para

poder de esta manera materializar los conocimientos aprendidos en el curso.
Objetivos específicos.
 Realizar un estudio preliminar del funcionamiento informático de la empresa a

estudiar.
 Obtener información por medio de la observación y toma de notas, para
identificar las debilidades al nivel institucional.
 Presentar un informe que proponga el planteamiento de mejoras al uso
y rendimiento de los activos informáticos.
3
Justificación.
Laboratorios ISNAYA, es una empresa que brinda productos medicinales a base de

plantas. Se considera que el manejo correcto de los activos informáticos es relevante
en el ámbito de la economía puesto que si se produce algún fallo este puede tener
graves consecuencias monetarias durante el fallo e incluyendo en el tiempo de
recuperación, se realiza esta auditoría con el propósito de evaluar, verificar factores
que afectan y amenazan con el buen funcionamiento de los activos informáticos.
Dar por finalizada esta auditoría trae beneficios que impactan positivamente en el
sistema y los procedimientos, otra de sus ayudas son las recomendaciones para
mejorar las políticas, procedimientos y sistemas, la verificación continua de la
efectividad de los controles establecidos.
Los beneficiarios de esta auditoría es la junta directiva de la fundación ISNAYA, así

como sus trabajadores. La información que se proporciona en este documento sirve
para corregir, optimizar los procesos. Y para los cambios que la gerencia disponga
conveniente, en base a los resultados de esta.
4
Objetivos de la Auditoría
Objetivo General.
 Efectuar una Evaluación de las medidas y revisiones para caracterizar los
riesgos y pérdidas que se podrían ocasionar, a efecto de ayudar en la toma de
decisiones y mejora de los procesos en la “Laboratorio ISNAYA, Estelí”
Alcance de la Auditoría.
 Se evaluara las áreas de la empresa en las que se cuenta con activo informático.
 Gerencia
 Control de calidad (Laboratorio Físico químico /
microbiológico.
 Farmacia / Contabilidad.
 Producción (abarcamos esta área porque la responsable de
producción manipula activos informáticos).
Objetivo Especifico.
 Evaluar la integridad y confidencialidad del software SIC-PROD LAB, para dar
recomendaciones sobre una mejor funcionalidad.
 Valorar la seguridad de los activos físicos informáticos, amenazas y riesgos que se
pueden presentar en ellos.
 Valuar la manera de cómo se administran los dispositivos de almacenamiento masivo.
 Realizar matriz de riesgos y plan de contingencia y recomendaciones a los hallazgos.
5
Hallazgos y recomendaciones.
Condición 1
Uso de antivirus pirata y sin licencia.
Criterio
SIBOIF Capitulo #5 Administración de tecnología de información Artículo 15.
Causa
La empresa dispone de un antivirus crackeado.
Efecto
1-Mala imagen de la empresa
2-Poco soporte en línea
Recomendación
Adquirir un antivirus con licencia.
Condición 2
El cableado de datos no se encuentra bien distribuido.
Criterio
SIBOIF Capitulo# 5 Artículo 18 administraciones de hardware y comunicaciones Inciso

“C”.
Causa
La empresa no cuenta con una buena distribución de red de datos.
Efecto
Caída de la red.
Cables dañados y posibles enredos entre los cables.
Mala presentación de la empresa
Recomendación
6
Realizar un nuevo cableado de red de datos.
Dar mantenimiento a la red de datos
Condición 3
Manejo del software no oficial para uso ajenos de la empresa.
Criterio
SIBOIF Capitulo# 5 articulo 16 Administración de software
Inciso “A”
Causa
Las computadoras están propensas a cualquier instalación y manipulación de la

información.
Efecto
Tiempos ociosos de los trabajadores.
Desperdicio del los recursos de la Empresa.
Posibles infecciones de virus.
Recomendación
Restringir permisos de instalación
Restricción contra lectura
Prohibición de aplicaciones de óseos
Condición 4
La empresa no cuenta con un plan de contingencia.
Criterio
SIBOIF Capitulo #8 artos 36 Participación de tecnología de la información en la

continuidad de negocio. Inciso “B”
Causa
7
La empresa no cuenta con la información necesaria a la hora de que ocurra un

siniestro.
Efecto
El personal no cuenta con la capacitación necesaria a la hora que ocurra un siniestro.
Después de que ocurra un desastre en la empresa los trabajadores no van a saber

cómo actuar.
Recomendación.
Elaborar un plan de contingencia
Realizar Simulacros para estar preparados en caso de cualquier desastre natural
Condición 5
La empresa no realiza una evaluación de riesgos.
Criterio
Capitulo #9 Arto 38. Evaluación de Riesgo tecnológico.
Causa
La empresa no realiza una autoevaluación en cuanto a la informática.
Efecto
Mala actualización de los Riesgos y plan de contingencia de la empresa.
Recomendaciones
Evaluación de riesgos al menos una vez al año.
Condición 6
En la Empresa no tiene un horario de respaldo o back up de la información. Se realiza

pero de manera desordenada y en un disco externo que está dentro de la empresa y
todos los trabajadores lo manipulan
Criterio
8
Artículo 35), capítulo 8, Administración de problemas, planeación de contingencia y

estrategia de recuperación.
Causa
No existen políticas, controles y ningún tipo de normativa, que aseguren que se
realicen respaldos de la información.
Efecto
Probabilidades altas de pérdida de información.
 En caso de la ocurrencia de cualquier incidente que involucre la perdida de
información (incendios, robos, averías irreparables, etc.), sería muy difícil la
restauración de los procesos.
 Vulnerabilidad de pérdida de información en caso de hackeo.
Recomendación
 Implantar políticas y controles de realización de respaldo periódicamente.
 Delegar responsabilidades a las personas que van a encargarse de la realización
de este proceso.
 Automatizar el proceso de back up.
9
Metodología de Trabajo.
PROCEDIMIENTO PARA LA RECOPILACIÓN DE LA INFORMACIÓN
INSTITUCIÓN: LABORATORIOS ISNAYA, ESTELÍ.
HORAS ENCARGADOS
VISITA PRELIMINAR ESTIMADAS
 Solicitud de información general de la 2 Horas  Janacely

empresa (Misión, Visión, Objetivos, González
organización; Plano de la Empresa, Manual  Meybell
de funciones, Normas y políticas internas de Zeledón
la institución, Planes de contingencia)
 Alicia A.
 Tania
 Recopilación de la información
Morales
(levantamiento de activos y observación)
Anotación: la recolección de información se efectuó no en su totalidad, la

empresa no proporciono la información completa que se, quien nos brindo la
información expreso que no estaba autorizado a brindar los manuales del
sistema, que no se permitía tomar fotos a las instalaciones ni planta de trabajo.
A nivel de fundación se restringe el acceso a cierta información que se
solicitó, se decidió recopilar información de forma informal, conversaciones
con la recepcionista encargada de las ventas en la farmacia y demás
trabajadores que se mostraron amables ante las preguntas que realizamos.
10
Conclusiones:
Se pudo desarrollar la auditoria informática, con algunas limitantes pero no fueron un grave
problema. Se realizo un estudio preliminar del funcionamiento informático de la empresas se
encontraron lo que amenaza a los activos. Se obtuvo la información por medio de encuestas
formales e informales, con la observación de las actividades cotidianas y se presenta este
informe como una guía básica para la “Laboratorios ISNAYA”.
Se cumplió con el alcance de la auditoria y en cada una de las áreas se evaluó la integridad y
confidencialidad del software, se valoro la seguridad de los activos informáticos tanto PCs,
como Servidor y se realizo la matriz de riesgos para estos y un plan de contingencia de acuerdo
a las amenazas que se definieron están presentes en la institución.
11
Recomendaciones:
Se recomienda la compra de software original para evitar las fallas de estos software,
distribuir el cableado para evitar accidentes y señal débil del servidor a las PCs,
administrar las páginas web y los recursos de software SIC-PROD LAB que tiene acceso
los usuarios para evitar los accidentes de pérdida de información.
Contratar a un ingeniero de sistemas que este fijo en la empresa y este se encargue de

dale el adecuado mantenimiento a los activos y que no sea un mantenimiento porque
se presento una falla o error en las aplicaciones, realizar horarios, políticas de respaldo
de seguridad de la base de datos e información de interés para la empresa.
Hacer un documento en el que se definan todas las operaciones de cada trabajador y

el acceso que estos deben de tener en las computadoras y los permisos de
manipulación de estas.
12
Anexos.
Levantamiento de activos.
Tipo Descripción Propietario Ubicación
Tecnología PC (servidor) Marvin Palma Gerencia
Tecnología PC – Portátil Marvin Palma Gerencia
Tecnología PC Karla Salcedo Farmacia / recepción
Tecnología PC (contabilidad) Verónica Algaba Farmacia /

contabilidad
Tecnología PC – (producción) Jamileth Serrato Producción
Tecnología PC Augusto Fernández Laboratorio Físico

Químico /
Microbiológico.
Valoración de los activos
Descripción Disponibilidad Integridad Confidencialidad
PC Servidor 5 (debe estar 5 (completo y al 4 (Daños muy altos)

disponible al 100%) correcto al menos
99%)
PCs 2 (Media baja) 1 (No es 2 (Media baja)

relevante)
Software SIC-PROD 5 (debe estar 5 (tiene que estar 4 (daños muy altos)
LAB disponible el 99%) correcto y completo
al
menos 99%)
Matriz de Riesgo
Pcs
Amenazas Impactos probabilidad vulnerabilidad riesgo
Incendios 9 Alta Media 9
Virus 7 Baja Alta 8
Robo 9 Baja Media 7
Perdida de 7 Baja Alta 8
13
información
Total 32
PC Servidor
Amenazas Impactos probabilidad vulnerabilidad riesgo
Incendios 9 Meida Alta 8
Virus 9 Alta Media 9
Robo 9 Baja Media 7
Perdida de 9 Alta Media 9

información
Total 33
Según el análisis de riesgo que se realizo se determinó que los activos que presenta mayor
riesgo es la PC Servidor, debido a la importancia de este. A los software que contiene y
aplicaciones fundamentales para el funcionamiento diario. El acceso físico tiene poca
seguridad dado que está en la oficina del gerente y no se mantiene asegurada la perta de
entrada. No cuenta con las condiciones ambientales para la seguridad térmica de este.
Las PCs cuenta con una seguridad débil, pero la información que se contiene en ellas no es tan
relevante. Es de importancia mencionar que el software es pirata, no tienen una protección
antivirus buena.
Plan de contingencia
14
Contramedida
Sub-plan Técnica organizativa Humana Recursos Responsable Rol Procedimiento
La empresa Formación para actuar 1. Viabilidad Marvin palma Se hará una Hacer un estudio de
contara con un en caso de incendio. técnica. planificación de viabilidad
Aquí la Gerente de
seguro contra los equipos se
empresa incendios Designación de un laboratorios tienen que
tendría responsable de sala. ISNAYA
también se le 2. Especificación comprar y del Solicitar compra del
Extintores darán una charla personal que se
contra Asignación de roles y de equipo necesario
a los trabajadores responsabilidades para Requerimient debe contratar contra incendios.
incendios. en caso de que para que brinde
la copia de respaldo. os.
Detectores esto sucediera. las charlas para
de humo. la prevención de
un incendio
Salidas de
emergencia.
Respaldo
Equipos
informáticos
de respaldo
15
Al Se deben seguir El encargado Hacer en gerente Identificar Al momento de un

presentarse las medidas de determinado medidas de desastre se debe de
Analizara el desarrollo y
el desastre se emergencia ante tiempo simulacros emergencia conservar la calma
debe cualquier el cumplimiento de las para que a la hora
prevenciones del plan.
asegurar en desastre que se de un incendio el
primer lugar dé en las personal este Indicar el buen Ayudar a los
la seguridad instalaciones de prevenido manejo de compañeros que se
de los la empresa extintores encuentren en mayor
Emergencia trabajadores peligro
si ha ocurrido Se deberá Cada trabajador de la Impresora – gerente Comenzar Principiar con

un desastre documentar empresa deberá de Papel, realizando un evaluaciones de
lo que se todos los daños realizar una evaluación Computadora estudio de los daños causados
tiene que de hardware, del de las pérdidas que daños causados,
hacer es local y de hubieron durante el y posteriormente
Recuperación verificar los información incendio a empezar a Recuperar la
daños perdida en el restablecer las Información
incendio. funciones de los respaldada.
equipos.
Realizar informes del

funcionamiento de la
medida de realizar
16
Reponer los equipos

que fueron dañados.
Reanudación de las
actividades normales
de la empresa.
17
Cuestionarios
Revisión de Control Interno General
REF PREGUNTAS SI NO N/A OBSERVACIONES
1. ¿Actualmente se cuenta con una *

gráfica de la organización?
2. ¿Tiene la compañía auditor *

interno? ¿De quién depende?
Describir Brevemente el trabajo del
auditor interno.
3. ¿Se usa un catálogo de equipo, *

software y funciones del personal?
4. ¿Actualmente hay algún manual *

o instructivo de asignación de
equipo, de software, de
mantenimiento, de operación?
5. ¿Se preparan y entregan a la alta *

gerencia mensualmente reportes de
los activos tangibles o intangibles
tecnológicos de la empresa?
6. ¿Se tiene control presupuestal de *

los costos y gastos?
7. ¿Quién autoriza las compras de GERENTE

nuevos Equipos?
8.¿Se hacen estudios y se *

documenta todo aquello que sirve
para la determinación de una
adquisición?
9.¿Existe una revisión periódica de *

los
Mantenimientos preventivos? ¿En

el área hay alguna persona
encargada de supervisarlos y
aprobarlos?
Cuestionario sobre Planes generales
REF PREGUNT A S SI N N/ A OBSERV A

O CIONES
1. ¿Existe una lista de proyectos de sistema de *

procedimiento de información y fechas
programadas de implantación que puedan ser
considerados como plan maestro?
2. Escribir la lista de proyectos a corto plazo y *

largo plazo
3. ¿Quién autoriza los proyectos? Gerente
3. ¿Cómo se asignan los recursos? *
4. ¿Cómo se estiman los tiempos de duración? * El gerente y la

junta directiva
de la
fundación se
encargan de
evaluar este
aspecto
5.¿Quién interviene en la planeación de los junta directiva

proyectos? de la
fundación
6.¿Cómo se calcula el presupuesto del junta directiva

de la
Proyecto? fundación
7.¿Qué técnicas se usan en el control de los *

proyectos?
19
8.¿Quién asigna las prioridades? * junta directiva

de la
fundación
9.¿Cómo se asignan las prioridades? *
10.¿Cómo se controla el avance del proyecto? *
11. ¿Con qué periodicidad se revisa el reporte *

de avance del proyecto?
12.¿Cómo se estima el rendimiento del *
personal?
13.¿Con que frecuencia se estiman los costos *

del proyecto para compararlo con lo
presupuestado?
14.¿Qué acciones correctivas se toman en * junta directiva

caso de desviaciones? de la
fundación
Cuestionario para la evaluación del diseño y prueba de los sistemas

REF PREGUNT A S SI NO N/ A OBSERV A
CIONES
1. ¿Quiénes intervienen al diseñar un

sistema?
· Usuario.
· Analista.
*
· Programadores.
· Gerente de departamento.
*
· Auditores internos.
· Asesores. *
· Otros.
20
2. ¿Los analistas son también programadores? *
3. ¿Qué lenguaje o lenguajes conocen los *

analistas?
4. ¿Cuántos analistas hay y qué experiencia *

tienen?
5. ¿Qué lenguaje conocen los programadores? *
6. ¿Cómo se controla el trabajo de los .

analistas?
7. ¿Cómo se controla el trabajo de los

programadores?
8. ¿Qué lenguaje o lenguajes conocen los

analistas?
9. ¿Cuántos analistas hay y qué experiencia

tienen?
10. Indique qué pasos siguen los

programadores en el desarrollo de un
Son libres de
programa:
hacerlo a su
* modo. Se
21
trabaja por
resultado
· Estudio de la definición *
· Discusión con el analista *
· Diagrama de bloques *
· Tabla de decisiones *
· Codificación
11.¿Es enviado a captura o los programadores

capturan?
*
12.¿Quién los captura?
· Compilación ( ) *
· Elaborar datos de prueba
· Solicitar datos al analista *
· Correr programas con datos

*
· Revisión de resultados
22
· Corrección del programa

*
· Documentar el programa
· Someter resultados de
prueba *
· Entrega del programa
9. ¿Qué documentación acompaña al Manual de

programa cuando se entrega? uso
23
Cuestionario sobre controles de salida

1. ¿Se tienen copias de los archivos en otros locales?
No________________________________________________________________________
2. ¿Dónde se encuentran esos locales?
NA________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
3. ¿Que seguridad física se tiene en esos locales?
NA ________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
4. ¿Que confidencialidad se tiene en esos locales?
NA ________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
5. ¿Quién entrega los documentos de salida?
NA ________________________________________________________________________
________________________________________________________________________
6. ¿En qué forma se entregan?
NA ________________________________________________________________________
________________________________________________________________________
7. ¿Qué documentos?
NA ________________________________________________________________________
________________________________________________________________________
8. ¿Qué controles se tienen?
24
NA ________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
9. ¿Se tiene un responsable (usuario) de la información del sistema? ¿Cómo se atienden
Solicitudes de información a otros usuarios del mismo sistema?
No se cuenta con un gerente de sistemas, las reparaciones a los fallos las hace una persona ajena a
la institución.
10. ¿Se destruye la información utilizada, o bien que se hace con ella?
Destruye ( ) Vende ( ) Tira (* ) Otro_________________________
Cuestionario de control de medios de almacenamiento masivo

1. Los locales asignados al servidor tienen:
· Aire acondicionado (NO )
· Protección contra el fuego (* ) (señalar que tipo de protección) Extintores
· Cerradura especial ( No)
3. ¿Qué información mínima contiene el inventario del servidor?
· Número o clave del usuario (*) · Número del archivo lógico

__________________________________________________
· Nombre del sistema que lo genera (*)
· Fecha de expiración del archivo ______________________________________________
· Fecha de expiración del archivo______________________________________________
· Número de volumen _______________________________________________________
· Otros ___________________________________________________________________
4. ¿Se verifican con frecuencia la validez de los inventarios de los archivos magnéticos?
SI ( ) NO (* )
25
5. En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y explican
satisfactoriamente las discrepancias? SI ( ) NO ( * )
6. ¿Que tan frecuentes son estas discrepancias?
_________________________________________________________________________
7. ¿Se tienen procedimientos que permitan la reconstrucción de un archivo inadvertidamente
destruido? SI ( ) NO ( * )
8. ¿Se tienen identificados los archivos con información confidencial y se cuenta con claves de
acceso? SI ( * ) NO ( )
¿Cómo? Existe un servidor dedicado a este tipo de archivos, al cual solo el gerente de sistemas
tiene acceso. NO(*)
9. ¿Existe un control estricto de las copias de estos archivos? SI ( ) NO ( * )
10. ¿Que medio se utiliza para almacenarlos? Mueble con cerradura ( * ) Bóveda ( )
Otro (especifique)_______________________________________________________
12. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos?
SI (* ) NO ( )
13. ¿Se certifica la destrucción o baja de los archivos defectuosos? SI ( ) NO ( * )
14. ¿Se realizan auditorías periódicas a los medios de almacenamiento? SI ( ) NO (* )
15. ¿Qué medidas se toman en el caso de extravío de algún dispositivo de almacenamiento?
No están normadas
16 ¿Se restringe el acceso a los lugares asignados para guardar los dispositivos de
almacenamiento, al personal autorizado? SI (* ) NO ( )
17. ¿Se tiene relación del personal autorizado para firmar la salida de archivos confidenciales?
SI ( ) NO (* )
18. ¿Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se
devolverán? SI ( ) NO ( *)
20. ¿Se lleva control sobre los archivos prestados por la instalación? SI ( ) NO (*)
26
21. En caso de préstamo ¿Conque información se documentan?
· fecha de recepción (* )
· fecha en que se debe devolver (* )
· archivos que contiene ( *)
· formatos ( )
· cifras de control ( )
· código de grabación ( )
· nombre del responsable que los presto ( )
· otros ( )
22. ¿Se utiliza la política de conservación de archivos hijo-padre-abuelo? SI ( ) NO (* )
23. En los procesos que manejan archivos en línea, ¿Existen procedimientos para recuperar los
archivos? SI ( ) NO (*) NA(*)
24. ¿Estos procedimientos los conocen los operadores? SI ( ) NO ( )
25. ¿Con que periodicidad se revisan estos procedimientos? MENSUAL ( ) ANUAL ( )
SEMESTRAL ( ) OTRA ( )
26. ¿Existe un responsable en caso de falla? SI ( ) NO (* )
27
27. ¿Explique que políticas se siguen para la obtención de archivos de respaldo?
28. ¿Existe un procedimiento para el manejo de la información? SI ( ) NO (* )
Cuestionario de Control de mantenimiento

1. Especifique el tipo de contrato de mantenimiento que se tiene (solicitar copia del contrato).
No se tiene contrato de mantenimiento, el mismo personal interno lo realiza cuando es necesario.

Tampoco esta normado el tipo, ni el periodo entre cada mantenimiento.
2. ¿Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de
computo? SI ( ) NO (* )
3. ¿Se lleva a cabo tal programa? SI ( ) NO ( )
4. ¿Existen tiempos de respuesta y de compostura estipulados en los contratos? SI ( ) NO ( )
5. Si los tiempos de reparación son superiores a los estipulados en el contrato, ¿Qué acciones
correctivas se toman para ajustarlos a lo convenido? SI ( ) NO ( )
5. Solicite el plan de mantenimiento preventivo que debe ser proporcionado por el proveedor.-
SI ( ) NO ( )
6. ¿Cómo se notifican las fallas?
Se llama por la línea telefónica interna al ingeniero de sistemas, el cual llega realiza el diagnostico,
y de ser posible la reparación.
9. ¿Cómo se les da seguimiento?
No hay seguimiento.
Cuestionario Sobre el orden y cuidado del centro de cómputo

1. Indique la periodicidad con que se hace la limpieza del departamento de cómputo y de la
cámara de aire que se encuentra abajo del piso falso si existe y los ductos de aire:
Semanalmente ( ) Quincenalmente ( )
Mensualmente ( ) Bimestralmente ( )
No hay programa (* ) Otra (especifique) ( )
2. Existe un lugar asignado a las cintas y Archivos de discos? SI ( *) NO ( )
3. ¿Se tiene asignado un lugar especifico para papelería y utensilios de trabajo?
28
SI (* ) NO ( )
4. ¿Son funcionales los muebles asignados para el archivo de a cintas, discos y otros?
SI (* ) NO ( )
5. ¿Se tienen disposiciones para que se acomoden en su lugar correspondiente, después de su
uso, las cintas, los discos magnéticos, la papelería, etc.? SI (* ) NO ( )
6. ¿Existen prohibiciones para fumar, tomar alimentos y refrescos en el departamento de
cómputo? SI (* ) NO ( )
6. ¿Se cuenta con carteles en lugares visibles que recuerdan dicha prohibición? SI ( ) NO ( *)
Cuestionario para la Evaluación de la configuración del sistema de cómputo

1. De acuerdo con los tiempos de utilización de cada dispositivo del sistema de cómputo y
diferentes áreas de la Entidad. ¿existe equipo?
¿Con poco uso? SI ( ) NO (* )
¿Ocioso? SI ( ) NO (* )
¿Con capacidad superior a la necesaria? SI ( ) NO (*)
Describa cual es ____________________________________________________
2. ¿El equipo mencionado en el inciso anterior puede reemplazarse por otro más lento y de menor
costo? SI ( ) NO ( )
3. Si la respuesta al inciso anterior es negativa, ¿el equipo puede ser cancelado? SI ( ) NO ( )
4. De ser negativa la respuesta al inciso anterior, explique las causas por las que no puede ser
cancelado o cambiado. _______________________________________________________
5. ¿La capacidad de memoria y de almacenamiento máximo del sistema de cómputo es suficiente

para atender el proceso por lotes y el proceso remoto? SI (*) NO ( )
Cuestionario de Evaluación de la Seguridad física

1. ¿Se han adoptado medidas de seguridad en el sistemas de información?
SI (* ) NO ( )
29
2. ¿Existen una persona responsable de la seguridad? SI (* ) NO ( )
3. ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad? SI ( ) NO (*)
4. ¿Existe personal de vigilancia en la institución? SI (*) NO ( )
5. ¿La vigilancia se contrata?
a) Directamente (* )
b) Por medio de empresas que venden ese servicio ( )
6. ¿Existe una clara definición de funciones entre los puestos clave? SI ( ) NO (*)
7. ¿Se investiga a los vigilantes cuando son contratados directamente? SI ( *) NO ( )
8. ¿Se controla el trabajo fuera de horario? SI ( ) NO ( *)
9. ¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que
puedan dañar los sistemas?. SI ( *) NO ( )
10. ¿Existe vigilancia en la empresa las 24 horas? SI ( ) NO (*)
11. ¿Existe vigilancia a la entrada de la empresa las 24 horas? a) Vigilante ? ( )
b) Recepcionista? ( ) c) Tarjeta de control de acceso ? ( ) d) Nadie? (*)
12. ¿Se permite el acceso a los archivos y programas a los programadores, analistas y
operadores? SI () NO (*)
13. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda
entrar sin autorización? SI ( ) NO ( *)
14. El edificio donde se encuentra la computadora está situado a salvo de:
a) Inundación? ( NO)
b) Terremoto? ( No )
c) Fuego? (No)
d) Sabotaje? ( SI)
15. ¿Existe control en el acceso a este cuarto?
a) Por identificación personal? ( *)
b) Por tarjeta magnética? ( )
30
c) por claves verbales? ( )
d) Otras? ( )
16. ¿Son controladas las visitas y demostraciones en la empresa? SI ( *) NO ( )
17. ¿Se vigilan la moral y comportamiento del personal de la empresa con el fin
de mantener una buena imagen y evitar un posible fraude? SI ( ) NO ( * )
18. ¿Existe alarma para
a) Detectar fuego(calor o humo) en forma automática? ( No)
b) Avisar en forma manual la presencia del fuego? (No )
c) Detectar una fuga de agua? ( No)
d) Detectar magnéticos? (No)
e) No existe ( *)
19. ¿Estas alarmas están:
a) En el departamento de cómputo? ( )
b) En otro lugar? ( )
20. ¿Existe alarma para detectar condiciones anormales del ambiente?
a) En el departamento de cómputo? ( )
b) En otros lados ( )
21. ¿La alarma es perfectamente audible? SI ( ) NO ( )
22.¿Esta alarma también está conectada
a) Al puesto de vigilancia ? ( )
b) A la estación de Bomberos? ( )
c) A ningún otro lado? ( )
Otro_________________________________________
23. Existen extintores de fuego
a) Manuales? (*)
b) Automáticos? ( )
31
c) No existen ( )
24. ¿Se ha adiestrado el personal en el manejo de los extintores? SI ( ) NO ( *)
25. ¿Los extintores, manuales o automáticos a base de TIPO
a) Agua, SI ( )NO ( *)
b) Gas? ( *) ( )
c) Otros ( ) (* )
26. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? SI ( ) NO ( *)
27. ¿Si es que existen extintores automáticos son activador por detectores automáticos de fuego?
SI ( ) NO ( *)
28. ¿Si los extintores automáticos son a base de agua ¿Se han tomado medidas para evitar que el
agua cause más daño que el fuego? SI ( ) NO ( )
29. ¿Si los extintores automáticos son a base de gas, ¿Se ha tomado medidas para evitar que el
gas cause mas daño que el fuego? SI ( ) NO ( *)
30. ¿Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automáticos para
que el personal
a) Corte la acción de los extintores por tratarse de falsas alarmas? SI ( ) NO ( )
b) Pueda cortar la energía Eléctrica SI ( ) NO ( )
c) Pueda abandonar el local sin peligro de intoxicación SI ( ) NO ( )
d) Es inmediata su acción? SI ( ) NO ( )
31. ¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos
para alcanzarlos? SI ( ) NO (*)
32. ¿Saben que hacer los operadores del as computadoras , en caso de que ocurra una
emergencia ocasionado por fuego? SI ( ) NO (*)
33. ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia (incendio)?
SI ( ) NO ( * )
34. ¿Existe salida de emergencia? SI (* ) NO ( )
32
35. ¿Esta puerta solo es posible abrirla:
a) Desde el interior ? ( )
b) Desde el exterior ? ( )
c) Ambos Lados ( *)
36. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta puerta y
de las ventanas, si es que existen? SI ( ) NO (* )
37. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en
caso de emergencia? SI ( ) NO (* )
38. ¿Se ha tomado medidas para minimizar la posibilidad de fuego:
a) Evitando artículos inflamables en el departamento de cómputo? (* )
b) Prohibiendo fumar a los operadores en el interior? ( *)
c) Vigilando y manteniendo el sistema eléctrico? ( )
d) No se ha previsto ( )
39. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior de las
oficinas de cómputo para evitar daños al equipo? SI ( * ) NO ( )
40. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? SI ( ) NO ( )
41. ¿Se controla el acceso y préstamo en la
a) Servidor? ( * )
b) Programoteca? (* )
42. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora? SI (*) NO ( )
43. Explique la forma en que están protegidas físicamente estas copias (bóveda, cajas de
seguridad etc.) que garantice su integridad en caso de incendio, inundación, terremotos, etc.
Se encuentran en HDD externos que están en posesión del gerente de sistemas, sin protección
adicional.
44. ¿Se tienen establecidos procedimientos de actualización a estas copias? SI ( ) NO (*)
45. Indique el número de copias que se mantienen, de acuerdo con la forma en que se clasifique la
información:
33
46. ¿Existe departamento de auditoria interna en la institución? SI ( ) NO ( *)
47. ¿Este departamento de auditoria interna conoce todos los aspectos de los sistemas?
SI ( ) NO ( )
48. ¿Que tipos de controles ha propuesto?
___________________________________________________________________________
___________________________________________________________________________
49. ¿Se cumplen? SI ( ) NO ( )
50. ¿Se auditan los sistemas en operación? SI ( ) NO ( )
51.¿Con que frecuencia?
a) Cada seis meses ( )
b) Cada año ( )
c) Otra (especifique) ( )
51.¿Cuándo se efectúan modificaciones a los programas, a iniciativa de quién es?
a) Usuario (*)
b) Director de informática ( )
c) Jefe de análisis y programación ()
d) Programador ( )
e) Otras ( especifique) ________________________________________________
52.¿La solicitud de modificaciones a los programas se hacen en forma?
a) Oral? (* )
b) Escrita? (* )
En caso de ser escrita solicite formatos
58.Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los interesados? SI (* ) NO
()
53.¿Existe control estricto en las modificaciones? SI ( ) NO ( *)
54.¿Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado? SI ( ) NO (*)
34
55.¿Si se tienen terminales conectadas, ¿se ha establecido procedimientos de operación?
SI ( ) NO ( *)
56.Se verifica identificación:
a) De la terminal ( )
b) Del Usuario ( *)
c) No se pide identificación ( )
57.¿Se ha establecido que información puede ser acezada y por qué persona? SI ( ) NO ( *)
58.¿Se ha establecido un número máximo de violaciones en sucesión para que la computadora
cierre esa terminal y se de aviso al responsable de ella? SI ( ) NO ( *)
59.¿Se registra cada violación a los procedimientos con el fin de llevar estadísticas y frenar las
tendencias mayores? SI ( ) NO ( *)
Seguridad de la Información
Políticas y Procedimientos de Seguridad

Describa brevemente la naturaleza y alcance de las políticas y procedimientos de seguridad de la
información:
No existen políticas normadas, la seguridad se maneja en base a buenas prácticas.
¿Están por escrito las políticas y procedimientos de seguridad de la información del cliente?
No
¿Tiene el cliente un programa para hacer del conocimiento del usuario las políticas,
procedimientos y prácticas de seguridad
No
Seguridad Lógica
En la tabla siguiente, relacione los métodos que usa el cliente para restringir el acceso lógico a los
siste mas de aplicación y a la información:
Método de Restricción de Acceso
35
¿Están centralizados o descentralizados el soporte y la administración de los métodos de

restricción de acceso lógico?
Centralizado.
En la tabla siguiente, relacione las técnicas que el cliente usa para autentificar la identidad de los
usuarios que intentan acceder al sistema:
Técnicas de Autentificación
Cuenta de acceso (nombre de usuario y contraseña) única, con permisos

pre-establecidos.
Describa brevemente los procesos del cliente para autorizar el acceso a la información y para
asignar los privilegios de acceso a los usuarios:
Dentro del software de control interno de la empresa, existe una sección dedicada a la
autorización y privilegios de usuario, en ella se puede gestionar con suma flexibilidad los
diferentes niveles de acceso que se le consederan a los usuarios. Para poder realizar estas
modificaciones es necesario, disponer de una cuenta de administrador en el sistema.
¿Se ha definido explícitamente la propiedad de la información?
No.
¿Se ha clasificado la información para efectos de la autorización del acceso?
¿Quién es el responsable de autorizar el acceso a la información (es decir, de

aprobar una solicitud para que se le otorgue a un individuo el acceso a
información específica o tipos de información)?
El gerente de sistemas.
36
¿Quién es el responsable de asignar los privilegios de acceso a los usuarios (es

decir, de fijar los parámetros de software que restringen o permiten ciertos tipos
de acceso a cierta información)?
El gerente de sistemas, o cualquier administrador designado por el gerente.
¿A quién se le permite actualizar el acceso a los datos de producción?
El gerente de sistemas, o cualquier administrador designado por el

gerente.
¿Permite el cliente el acceso de Internet a /desde sus sistemas de la computadora?
Si
Describa el acceso de Internet a/desde los sistemas de la computadora del cliente. Considere lo
siguiente:
- Usuarios internos y externos a quienes se les ha otorgado dicho acceso
- El propósito de tal acceso
Se les permite acceso libre a internet, a todas las maquinas.
¿Tiene el cliente una dirección World Wide Web (w.w.w.)? No
¿Tienen los usuarios acceso al software escritor de informes? Si
¿Tienen los usuarios la capacidad de recibir datos (to download) y manipular la información del
sistema de aplicación? NO
¿Tienen los usuarios la capacidad de transmitir datos (to up load) a los sistemas de aplicación,
fuera del sistema de aplicación normal de entrada de datos? No
Seguridad Física
¿Qué métodos usa el cliente para restringir el acceso físico a esta ubicación
de procesamiento?
Solicitud de identificación de empleado.
37
En la tabla siguiente, relacione todos los grupos (internos y externos) cuyo acceso físico está
permitido a este ambiente de procesamiento de la computadora. Por cada grupo, indique si se le
ha otorgado acceso completo o restringido e indique la naturaleza de las restricciones.
Grupo Naturaleza de las Restricciones de

Acceso Físico, Si las Hay
Informáticos Se tiene acceso físico a todo el área de

cómputo.
Vendedores No tienen ningún permiso de acceso.
Gerentes No tienen ningún permiso de acceso.
Asistencia (externa) Tiene acceso a las instalaciones de

computo, si está acompañado por
alguien del departamento de sistemas.
¿Qué tipo de controles ambientales se tienen establecidos en esta ubicación

de procesamiento para prevenir daños al equipo de la computadora?
Aire acondicionado.
Entrevista al Gerente
¿Cuál es su nombre y cargo en la empresa?
¿Cuáles son sus funciones
¿Existen procedimientos normados sobre cómo debe realizar estas funciones?
¿Donde se encuentran establecidos?
38
¿Según su criterio estas normas son conocidas por los empleados?
¿Qué tan frecuentemente se rompen estas normas?
¿Cree usted necesario crear nuevas normas, mejorar las existentes, o dejarlas así como están?
CONTRATO
Contrato de presentación de servicios profesionales de auditoría en informática que celebran por
una parte LAVORATORIOS ISNAYA. Representado por Marvin Palma. En su carácter de Gerente
General y que en lo sucesivo se denomina al cliente, por otra parte representada por Janacely
González Dávila quien se denominara el auditor, de conformidad con las declaraciones y cláusulas
siguientes:
Declaraciones
1. El cliente declara:
a) Que es una Empresa comercial
b) Que está representado para este acto por Marvin Palma y tiene como su domicilio Plaza de
compras, Rotonda Centroamérica
39
c) Que requiere obtener servicios de auditoría en informática, por lo que ha decidido contratar los
servicios del auditor
2. Declara el auditor:
a) Que es una sociedad anónima, constituida y existente de acuerdo con las leyes y que dentro de
sus objetivos primordiales está el de prestar auditoría en informática
b) Que está constituida legalmente según escritura número 1814 de fecha 12/01/2000 ante el
notario público nº 00154 Que señala como su domicilio BARIO ELIAS MONCADA .
3. Declaran ambas partes:
a) Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan otorgando el

presente contrato que se contiene en las siguientes:
CLAUSULAS
Primera. Objetivo
El auditor se obliga a prestar al cliente los servicios de auditoría en informática para llevarla a cabo
la evaluación de la dirección de informática del cliente, que se detalla en la propuesta de servicios
anexa que, firmada por las partes, forma parte integrante del contrato.
Segunda. Alcance del trabajo
El alcance de los trabajos que llevara a cabo el auditor dentro de este contrato son:
a) evaluaciones de la dirección de informática en lo que corresponde a:
-su organización -capacitación
-estructura -planes de trabajo
-Recursos humanos -controles
-Normas y políticas -estándares
b) Evaluación de los sistemas
40
-evaluación de los diferentes sistemas en operación, (flujo de información, procedimientos,

documentación, redundancia, organización de archivos, estándares de programación, controles,
utilización de los sistemas).
-opinión de los usuarios de los diferentes sistemas
-evaluación de avance de los sistemas en desarrollo y congruencia con el diseño general
-evaluación de prioridades y recursos asignados (humanos y equipo de cómputo).
-seguridad física y lógica de los sistemas, su confidencialidad y respaldos.
c) Evaluación de equipos
-Capacidades -respaldos de equipo
-Utilización -seguros
-Nuevos proyectos -contratos
-seguridad física y lógica -proyecciones
d) Elaboraciones de informes que contengan conclusiones y recomendaciones por cada uno de los
trabajos señalados en los incisos a, b y c de esta cláusula.
Tercera. Programa de trabajo
El cliente y el auditor convienen en desarrollar en forma conjunta un programa de trabajo en el

que se determinen con precisión las actividades a realizar por cada una de las partes, los
responsables de llevarlas a cabo y las fechas de realización.
Cuarta. Supervisión
El cliente o quien designe tendrá derecho a supervisar los trabajos que se le han encomendado al
auditor dentro de este contrato y a dar por escrito las instrucciones que estimen convenientes.
Quinta. Coordinación de los trabajos
El cliente designara por parte de la organización a un coordinador del proyecto quien será el
responsable de coordinar la recopilación de la información que solicite el auditor y de que las
reuniones y entrevistas establecidas en el programa de trabajo se lleven a cabo en las fechas
establecidas.
Sexta. Horario de trabajo
El personal del auditor declara el tiempo necesario para cumplir satisfactoriamente con los
trabajos materia de la celebración de este contrato, de acuerdo al programa de trabajo convenido
41
por ambas partes y gozaran de libertad fuera del tiempo destinado al cumplimiento de las
actividades, por lo que no estarán sujetos a horarios y jornadas determinadas.
Séptima. Personal asignado
El auditor designara para el desarrollo de los trabajos objeto de este contrato a socios del
despacho quienes, cuando consideren necesario incorporar personal técnico capacitado de que
dispone la firma, en el número que se requieran de acuerdo a los trabajos a realizar.
Octava. Relación laboral
El personal del auditor no tendrá ninguna relación laboral con el cliente y queda expresamente
estipulado que este contrato se suscribe en atención a que el auditor en ningún momento se
considera intermediario del cliente respecto al personal que ocupe para dar cumplimiento de las
obligaciones que se deriven de la relaciones entre él y su personal, y exime al cliente de cualquier
responsabilidad que a este respecto existiré.
Novena. Plazo de trabajo
El auditor se obliga a terminar los trabajos señalados en la cláusula segunda de este contrato en 30
días hábiles después de la fecha en que se firme el contrato y sea cobrado el anticipo
correspondiente. El tiempo estimado para la terminación de los trabajos esta en relación a la

oportunidad en que el cliente entregue los documentos requeridos por el auditor y por el
cumplimiento de las fechas estipuladas en el programa de trabajo aprobado por las partes, por lo
que cualquier retraso ocasionado por parte del personal del cliente o de usuarios de los sistemas
repercutirá en el plazo estipulado, el cual deberá incrementarse de acuerdo a las nuevas fechas
establecidas en el programa de trabajo, sin perjuicio alguno para el auditor.
Décima. Honorarios
El cliente pagara al auditor por los trabajos objetos del presente contrato, honorarios por la
cantidad de $2000 más el impuesto al valor agregado correspondiente. La forma de pago será la
siguiente:
a) 50 % a la firma del contrato
b) 50 % a la terminación de los trabajos y presentación del informe final.
Décimaprimera. Alcance de los Honorarios
El importe señalado en la cláusula décima compensará al auditor por sueldos, honorarios,

organización y dirección técnica propia de los servicios de auditaría, prestaciones sociales y
laborales de su personal.
Décimasegunda. Incremento de Honorarios
42
En caso de que se tenga un retraso debido a la falta d entrega de información, demora o

cancelación de las reuniones, o cualquier otra causa imputable al cliente, este contrato se
incrementará en forma proporcional al retraso y se señalará el incremento como un acuerdo.
Décimotercera. Trabajos adicionales
De ser necesaria alguna adición a los alcances o productos del presente contrato, las partes
celebraran por separado un convenio que formara parte integrante de este instrumento y en
forma conjunta se acordara el nuevo costo.
Décimomocuarta. Viáticos Y Pasajes
El importe de los viáticos y pasajes en que incurra el auditor en el traslado, hospedaje y

alimentación que requieren durante su permanencia en la ciudad de Managua. Como
consecuencia de los trabajos objeto de este contrato, será por cuenta del cliente.
Décimoquinta. Gastos Generales
Los gastos de fotocopiado y dibujo que se produzcan con motivo de este contrato correrán por
cuenta del cliente.
Décimosexta. Causas de Rescisión
Serán causas de rescisión del presente contrato la violación o incumplimiento de cualquiera de las
cláusulas de este contrato.
Enteradas las partes del contenido y alcance legal de este contrato, lo rubrican y firman de
conformidad en original y tres copias, en la ciudad de Managua, el día Lunes 23 de abril de 2012.
_______________________ ____ __________________________
EL CLIENTE EL AUDITOR
43

Auditorc3ada Informc3a1tica Isnaya

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditorc3ada Informc3a1tica Isnaya

Cargado por

Copyright:

Formatos disponibles

Auditoría Informática en “Laboratorios ISNAYA” / 2012

Docente: Ing. José Manuel Poveda.

 Janacely González Dávila

En la actualidad se aplica auditoria informática como un examen crítico que se realiza

Este proceso metodológico se implementó en la empresa Laboratorio ISNAYA Estelí,

Hacer toda la Introducción de nuevo

 Desarrollar un auditoria informática en, que nos proporcione información para

 Realizar un estudio preliminar del funcionamiento informático de la empresa a

Laboratorios ISNAYA, es una empresa que brinda productos medicinales a base de

Los beneficiarios de esta auditoría es la junta directiva de la fundación ISNAYA, así

Uso de antivirus pirata y sin licencia.

SIBOIF Capitulo #5 Administración de tecnología de información Artículo 15.

La empresa dispone de un antivirus crackeado.

1-Mala imagen de la empresa

2-Poco soporte en línea

Adquirir un antivirus con licencia.

El cableado de datos no se encuentra bien distribuido.

SIBOIF Capitulo# 5 Artículo 18 administraciones de hardware y comunicaciones Inciso

La empresa no cuenta con una buena distribución de red de datos.

Cables dañados y posibles enredos entre los cables.

Mala presentación de la empresa

Realizar un nuevo cableado de red de datos.

Dar mantenimiento a la red de datos

Manejo del software no oficial para uso ajenos de la empresa.

SIBOIF Capitulo# 5 articulo 16 Administración de software

Las computadoras están propensas a cualquier instalación y manipulación de la

Tiempos ociosos de los trabajadores.

Desperdicio del los recursos de la Empresa.

Posibles infecciones de virus.

Restringir permisos de instalación

Restricción contra lectura

Prohibición de aplicaciones de óseos

La empresa no cuenta con un plan de contingencia.

SIBOIF Capitulo #8 artos 36 Participación de tecnología de la información en la

La empresa no cuenta con la información necesaria a la hora de que ocurra un

El personal no cuenta con la capacitación necesaria a la hora que ocurra un siniestro.

Después de que ocurra un desastre en la empresa los trabajadores no van a saber

Elaborar un plan de contingencia

Realizar Simulacros para estar preparados en caso de cualquier desastre natural

La empresa no realiza una evaluación de riesgos.

Capitulo #9 Arto 38. Evaluación de Riesgo tecnológico.

La empresa no realiza una autoevaluación en cuanto a la informática.

Mala actualización de los Riesgos y plan de contingencia de la empresa.

Evaluación de riesgos al menos una vez al año.

En la Empresa no tiene un horario de respaldo o back up de la información. Se realiza

Artículo 35), capítulo 8, Administración de problemas, planeación de contingencia y

PROCEDIMIENTO PARA LA RECOPILACIÓN DE LA INFORMACIÓN

INSTITUCIÓN: LABORATORIOS ISNAYA, ESTELÍ.

 Solicitud de información general de la 2 Horas  Janacely

Anotación: la recolección de información se efectuó no en su totalidad, la

Contratar a un ingeniero de sistemas que este fijo en la empresa y este se encargue de

Hacer un documento en el que se definan todas las operaciones de cada trabajador y

Tecnología PC (servidor) Marvin Palma Gerencia

Tecnología PC – Portátil Marvin Palma Gerencia

Tecnología PC Karla Salcedo Farmacia / recepción

Tecnología PC (contabilidad) Verónica Algaba Farmacia /

Tecnología PC – (producción) Jamileth Serrato Producción

Tecnología PC Augusto Fernández Laboratorio Físico

Valoración de los activos

Descripción Disponibilidad Integridad Confidencialidad

PC Servidor 5 (debe estar 5 (completo y al 4 (Daños muy altos)

PCs 2 (Media baja) 1 (No es 2 (Media baja)

Amenazas Impactos probabilidad vulnerabilidad riesgo