Está en la página 1de 15

“AÑO DEL BICENTENARIO DEL PERÚ: 200 AÑOS DE

INDEPENDENCIA”

FACULTAD DE CIENCIAS EMPRESARIALES Y EDUCACION


ESCUELA PROFESIONAL DE CIENCIAS CONTABLES Y FINANCIERAS
TRABAJO FINAL

TEMA: PLANIFICACIÓN, EJECUCIÓN E INFORME DE AUDITORÍA


DE SISTEMAS

CURSO: AUDITORIA DE SISTEMAS CONTABLES

CICLO: IX

DOCENTE: ING. JIMMY FRANKLIN NICOLA ABAD. MSC

INTEGRANTES:
 ATOCHE FLORES, Lucía Isabel (2015153008)
 TIMANA VILLAR, Ingrid Lizbeth (2017121625)
 MARTINEZ BERROCAL Ciro Edilberto (2011182916)

FILIALES:
 Piura
 Piura
 Andahuaylas
UNIVERSIDAD ALAS PERUANAS

2021
AUDITORIA FISICA EN LA UNIDAD DE TECNOLOGIA E INFORMACIONES DE
LA EMPRESA MEGASER SRL- SEDE TALARA

1. ORIGEN DE LA AUDITORIA

El presente trabajo se ejecuta en cumplimiento al silabo del curso de auditoria de sistemas


contables, mediante su plan de estudios de la escuela de ciencias contables y financieras.

2. OBJETIVO Y ALCANCE

2.1 Objetivo general


 Revisar y valorar el sistema, controles y procedimientos de informática, equipamiento
tecnológico, eficiencia y competencia de la unidad de tecnología e informaciones de la
empresa Megaser SRL.

2.2 Objetivos específicos


 Examinar policitas y normas en seguridad física.
 Analizar la seguridad de la data, hardware y software que posee la organización.
 Evaluar los procedimientos de control de operación.
 Examinar el modo de administración de dispositivos de almacenamiento básicos.

3. PROCESO DE AUDITORIA
Se detalla el procedimiento que se llevó a cabo para ejecutar la auditoria de unidad de
tecnología e información de la empresa Megaser SRL sede talara.

a. Se llevó a cabo la visita presencial al jefe del área de soporte de la empresa.

b. Se desarrolló un plan de auditoria a aplicar a esta institución, en este se consigna


cada tipo de procedimiento que se llevara a cabo.

c. Se ejecutaron cuestionarios a la persona encargada del área de soporte e


informática de la empresa

4. PLAN DE AUDITORIA
El día 19 de Junio del presente año se llevó a cabo una visita de manera presencial a las
instalaciones de la empresa Megaser SRL con la finalidad de solicitar de manera formal a
la persona que se encuentra encargada del área, para poder llevar a cabo la ejecución del

2
UNIVERSIDAD ALAS PERUANAS

proceso de auditoria en el que puntualmente se dará examen aspectos como lo son el


hardware, software y seguridad física.
5. INFORMACION GENERAL DE LA EMPRESA

MEGASER SRL
MEGASER SRL es una empresa dedicada a ventas /servicios de refrigeración y aire
acondicionado con operaciones en el norte del país, principalmente en la ciudad de Talara
que es la ciudad en donde inicia sus operaciones ya desde hace 8 años atrás y donde ha
logrado una mayor penetración de mercado. Esta empresa tiene como visión consolidarse
como líderes en su rubro y extender su negocio a todas las partes del Perú, lograr expansión
en costa, sierra y selva.

5.1 Relación De Funcionario O Personal A Cargo Del Área

NOMBRES CARGO PERIODO DE GESTIÒN

CHAVEZ CHIRA JEFE 14/05/2013 – 04/07/2021


HAROLD
TIMANA CASTILLO ENCARGADO DEL 10/09/2017 _ 04/07/2021
MIGUEL SISTEMA
INFORMATICO
ARTHUR VILLEGAS ASISTENTE 10/09/2017 _ 04/07/2021
CARPIO INFORMATICO

5.2 MISION
Somos una empresa dedicada a brindar una atención eficaz en la venta y servicios de
equipos de aire acondicionado comercial, aire acondicionado automotriz, residencial,
refrigeración domestica e industrial. Ofreciendo soluciones inmediatas y trabajando al ritmo
de nuestros clientes. Pensando siempre en la seguridad y el medio ambiente.

5.3 VISION
Consolidar nuestra empresa como líderes en nuestro rubro y extender nuestro negocio por
todo el Perú con solida sostenibilidad a través del tiempo.

5.4 POLITICAS Y DIMENSIONES ESTRATEGICAS


 La empresa Megaser SRL cuenta con una política integrada de gestión de la calidad,
seguridad y salud ocupacional, medio ambiente y responsabilidad social.

3
UNIVERSIDAD ALAS PERUANAS

Mediante ella se garantiza el cumplimiento de cada objetivo planteado, cumplir con


lineamientos empresariales y legislación aplicable, gestionar los riesgos que se presentan
y compactar el capital humano.

 Prestaciones.
MEGASER SRL para todas las ventas que realiza de sus equipos y demás insumos del
rubro extiende un plazo de garantía al cliente, dado que puede surgir a corto plazo
desperfectos. Para evitar asumir las garantías la empresa trabaja con marcas de renombre
ya sea cold point, york, Lg, Carrier, etc. Esto con el fin también de brindar calidad. Por sus
alianzas estratégicas que mantiene con empresas proveedoras puede ofertar dichos
productos a un costo competitivo respecto al ofertado en el mercado. El costo y calidad
también aplica a sus servicios brindados.

 Peculiaridades
La empresa maneja una base de datos de nivel básico para el control de almacén y reparto
de mercaderías. Todas sus ventas salen con manuales de manipulación que servirán de
guía a sus usuarios, a la vez al momento de entrega se manejan controles internos, estos
apoyados en guías de remisión para constatar la entrega del requerimiento al cliente.

Todos sus servicios se manejan con sus respectivas cotizaciones y a su vez ordenes de
servicio para una mayor formalidad, este documento es emitido por la empresa cliente,
además de manejar actas de conformidad después de ejecutado de manera integral todo
el servicio.

A. Fiabilidad
MEGASER SRL brinda constante asesoría y fuerza de apoyo a su cliente, cumple con los
tiempos estipulados en cada cotización en el caso de personas jurídicas y con pactos
establecidos en un contrato cuando son personas naturales. Es vital que en el caso de las
empresas con personería jurídica se cumplan los plazos establecidos ya que por
incumplimiento se puede dar paso a muchas consecuencias como pérdida económica,
cancelación de la orden de compra o de servicio e incluso hay algunas empresas que vetan
a los proveedores por este tipo de incumplimientos.

B. Conformidad con las especificaciones


Todas sus ventas salen con una ficha técnica que viene a ser un documento donde se hace
un consolidado de un conjunto de especificaciones técnicas, esta hoja engloba todas las
características de los equipos o herramientas y también un resumen para su
funcionamiento. En el caso de los servicios también manejan la ficha técnica de servicio a
contratar en donde se incluye el tiempo, la denominación técnica, características técnicas
entre otras.

C. Disponibilidad de servicio
La empresa Megaser srl cuenta con un staff de técnicos no muy amplia, es más debido al
adiestramiento que le da a su personal trabaja con ellos tanto en los trabajos locales como

4
UNIVERSIDAD ALAS PERUANAS

cuando tienen que ejecutar servicios fuera de la ciudad de Talara, no suelen contratar
técnicos en los lugares según trabajo solicitado, esto termina siendo una debilidad dado
que no tiene abastecimiento para cubrir la demanda sobre todo en temporadas fuertes
como lo es la estación verano. Si bien la empresa cumple con sus plazos de entrega en
cada servicio, termina siendo una situación complicada y que ajusta mucho su recurso
humano muchas veces se crea un ambiente de trabajo bajo presión.

En el caso de las ventas si maneja una buena disponibilidad ya que tiene su carta de
proveedores con los que trabaja ya desde hace muchos años y con los sistemas de envió
que se maneja, esto hace factible la compra en menos tiempo. Mencionado todo lo anterior
no le impide cumplir cuando en el servicio p producto hay alguna inconsistencia o perjuicio,
mediante la garantía brindada el personal siempre esta capacitado para brindar esa
atención con la mejor atención posible al cliente.

D. Calidad percibida Megaser srl a lo largo de sus años de operatividad ha ido construyendo
una óptima imagen corporativa a sus clientes a través de la puesta en práctica de sus
valores corporativos , habilidades profesionales, tecnología en el bien y servicio que oferta,
atención personalizada, calidad brindada en todos sus servicios y a través de la seguridad
y sostenibilidad que siempre está buscando y que ahora es muy importante tomar en cuenta
para poder minimizar riesgos en la comunidad.

5.5 VALORES

 COMPROMISO
La empresa realiza el mayor esfuerzo para el logro de los objetivos de la institucionales y
la satisfacción cada uno de sus clientes.

 INTEGRIDAD
Se trabaja acorde a valores morales que brindan seguridad y confianza a nuestra cartera
de clientes, colaboradores y proveedores.

 COMUNICACION
Opera con un sistema fluido de comunicación cordial y confidencial, el cual brinda un tipo
de información transparente, oportuna y veraz.

 TRABAJO EN EQUIPO
La empresa cuenta con un capital humano que se complementa para alcanzar los objetivos
de la empresa de manera responsable, a través de la cooperación y el compromiso.

5
UNIVERSIDAD ALAS PERUANAS

 RESPONSABILIDAD
Se tiene un gran compromiso con la sociedad y el servicio a los demás.

 EFICIENCIA
La empresa utiliza de forma adecuada Y optima los medios y recursos con los cuales
contamos, para alcanzar nuestros objetivos y metas planteadas.

 TRANSPARENCIA:
Generar confianza y seguridad en nuestra labor en todos los niveles.
6. SITUACION ACTUAL
La unidad tecnología e informaciones forma parte de la empresa Megaser SRL sede Talara,
esta cumple el rol de efectuar el examen a los controles, procesos informáticos, equipos de
cómputo utilizados; su efectividad, utilización y control.
Recursos informáticos que posee la empresa:

RECURSOS CANTIDAD

SERVIDORES 1

PC DE ESCRITORIO 1

LAPTOP 2

IMPRESORA 3

7. ORGANIGRAMA

GERENTE

DPTO. DPTO. COMERCIAL DPTO. DE


ADMINISTRATIVO OPERACIONES

AREA
CONTABLE COMPRAS

AREA SOPORTE VENTAS

RECURSOS
HUMANOS
6
UNIVERSIDAD ALAS PERUANAS

8. CUESTIONARIO AL ENCARGADO DE LA UNIDAD DE TECNOLOGIA E


INFORMACIONES DE LA EMPRESA MEGASER SRL

PREGUNTAS SI NO
1. ¿Se han adoptado medidas de seguridad en el
departamento de sistemas de información? X
2. ¿Existe una persona responsable de la seguridad? x
3. ¿Se ha dividido la responsabilidad para tener un mejor
control de la seguridad? X
4. ¿Existe personal de vigilancia en la institución? x
5. ¿Se investiga a los vigilantes cuando son contratados
directamente? X
6. ¿Se registran las acciones de los operadores para
evitar que realicen algunas pruebas que puedan X
dañar los sistemas?.
7. ¿Existe vigilancia en el departamento de cómputo las
24 horas? X
8. ¿Se permite el acceso a los archivos y programas a
los programadores, analistas y operadores? X
9. ¿Se ha instruido a estas personas sobre qué medidas
tomar en caso de que alguien pretenda entrar sin X
autorización?
10. ¿El centro de cómputo tiene salida al exterior? X
11. ¿Se registra el acceso al departamento de cómputo
de personas ajenas a la dirección de informática? X
12. ¿Saben que hacer los operadores del departamento
de cómputo, en caso de que ocurra una emergencia? X
13. ¿Se revisa frecuentemente que no esté abierta o
descompuesta la cerradura de esta puerta y de las X
ventanas, si es que existen?
14. ¿Se ha prohibido a los operadores el consumo de
alimentos y bebidas en el interior del departamento de X
cómputo para evitar daños al equipo?
15. ¿Se limpia con frecuencia el polvo acumulado en los
equipos de cómputo? X
16. ¿Se cuenta con copias de los archivos en lugar
distinto al de la computadora? x
17. ¿Se tienen establecidos procedimientos de
actualización a estas copias? X
18. ¿Existe departamento de auditoria informática en la
institución? x
19. ¿Se auditan los sistemas en operación? x
20. ¿Se ha establecido que información puede ser X
acezada y por qué persona?

7
UNIVERSIDAD ALAS PERUANAS

Para hallar el SI Para hallar el NO

20 100% 20 100%

12 X 8 X
X = 60% X = 40%

8.2 OBSEVACIONES
 De la pregunta 5, se obtuvo NO, debido a que no existe personal de vigilancia,
por tal no existen contrataciones de tal cargo.

 De la pregunta 7, se obtuvo NO ya que la organización no cuenta con personal


de vigilancia, pero si con cámaras de seguridad.

 De la pregunta 10 se obtuvo NO, debido a que no existe una salida directa hacia
el exterior, pero en caso de incidentes la salida hacia la puerta principal es fácil
de transitar..

 De la pregunta 16 se obtuvo SI, ya que existe una rutina de trabajo de tomar una
copia de respaldo de datos en disckette , que se encuentra en el recinto del centro de
cómputos, en poder del auxiliar de informática

 De la pregunta 17 se obtuvo NO, debido a que, si bien existen la copia de seguridad,


no se poseen normas y/o procedimientos que exijan la prueba sistemática de las mismas
a efectos de establecer los mínimos niveles de confiabilidad.

 De la pregunta 18 se obtuvo NO, debido a que la organización no cuenta con auditoría


Informática, pero es importante destacar que el sistema integrado posee un archivo que
pudiera servir de auditoria Informática, el cual no es habilitado por falta de espacio en el
disco duro.

8
UNIVERSIDAD ALAS PERUANAS

9. APLICACIÓN DE AUDITORIA EN LA UNIDAD DE TECNOLOGIA E


INFORMACIONES DE LA EMPRESA MEGASER SRL

CUMPLIMIENTO
CONTROL ? OBSERVACIONES
A.5
Politica de Seguridad
A.5.1
Política de seguridad de la información
Objetivo: Proporcionar indicaciones para la gestión y soporte de la seguridad de la información
de acuerdo con los requisitos empresariales y con la legislación y las normativas aplicables.
A.5.1.1
Documento de política de  La empresa dispone de un documento de política de
seguridad de la información que se actualiza
seguridad de la información regularmente y que es accesible por los empleados
A.5.1.2 El documento de seguridad de la información se
Revisión de la política de X actualiza regularmente o cuando existe algún
seguridad de la información cambio importante.

A.9
Seguridad física y ambiental
A.9.1
Áreas seguras
Objetivo: Prevenir los accesos físicos no autorizados, los daños y las intromisiones en las
instalaciones y en la información de la organización.
Cada uno de los puntos donde se encuentran
A.9.1.1
Perímetro de seguridad física  alojados recursos de información se encuentran
debidamente securizados mediante puertas, muros,
o puntos con control de acceso.
A.9.1.2 Las áreas seguras están securizadas de forma que
Controles físicos de entrada
 sólo pueda acceder personal autorizado
A.9.1.3 Existen las diferentes medidas de seguridad de
Seguridad de oficinas, despachos X acceso sobre oficinas, despachos, salas,...
e instalaciones
A.9.1.4
Protección contra las amenazas  Existe una protección contra elementos naturales
tales como: fuego, inundación, explosión,..
externas y de origen ambiental
A.9.1.5
Trabajo en áreas seguras  Existen las medidas de seguridad física necesarias
para trabajar en las áreas seguras
A.9.16
Áreas de acceso público y de  Existe un control sobre la seguridad física en torno
a las zonas de carga y descarga, para que el
carga y descarga personal no autorizado no pueda acceder.
A.9.2
Seguridad de los equipos
Objetivo: Evitar pérdidas, daños, robos o circunstancias que pongan en peligro los activos, o
que puedan provocar la interrupción de las actividades de la organización
A.9.2.1 Los equipos están protegidos ante posibles
Emplazamiento y protección de
equipos  amenazas medioambientales así como de accesos
no autorizados.
A.9.2.2
Instalaciones de suministro  Los equipos están debidamente protegidos contra
fallos eléctricos

9
UNIVERSIDAD ALAS PERUANAS

A.9.2.3
Seguridad del cableado  Tanto el cableado eléctrico como
telecomunicaciones está debidamente protegido y
de

asegurado
Los equipos reciben periódicamente un
A.9.2.4 X mantenimiento hardware que asegura su integridad
Mantenimiento de los equipos y disponibilidad.
Los equipos situados fuera de la oficina o del
A.9.2.5
Seguridad de los equipos fuera  reciento, o sin son activos que se sacan fueran de la
oficina, cumplen con los requerimientos sobre
de las instalaciones seguridad establecidos.
Todos los activos hardware y software que
A.9.2.6 contengan datos sensibles son debidamente
Reutilización o retirada segura de
equipos  eliminados o destruidos para que no puedan ser
accedidos, adjuntándose un justificante de
destrucción de activos
A.9.2.7 Ninguno de los activos de la empresa puede sacarse
Retirada de materiales propiedad de la oficina salvo autorización previa del
de la empresa
 responsable encargado.

A.11
Control de acceso
A.11.1
Requisitos de negocio para el control de acceso
Objetivo: Controlar el acceso a la información.
A.11.1.1
Política de control de acceso  Se lleva a cabo una política de control de acceso
basada en los intereses de la organización
A.11.2
Gestión de acceso de usuario
Objetivo: Asegurar el acceso de un usuario autorizado y prevenir el acceso no autorizado a los
sistemas
Existen unos controles para: alta, modificación y
A.11.2.1
Registro de usuario  baja de los usuarios en los diferentes sistemas de
control y de información.
A.11.2.2
Gestión de privilegios  La asignación de privilegios está restringida y
controlada
A.11.2.3 La gestión de contraseñas es un proceso
Gestión de contraseñas de
usuario  controlado. (*) Política de Contraseñas (16.7

A.11.2.4 La dirección debe revisar los permisos de acceso de


Revisión de los derechos de
acceso de usuario  los usuarios regularmente.

A.11.3
Responsabilidades de usuario
Objetivo: Prevenir el acceso de usuarios no autorizados, así como evitar el que se comprometa
o se produzca el robo de la información o de los recursos de procesamiento de la información.
A.11.3.1
Uso de contraseña  Se instruye al usuario y se aplican requerimientos de
contraseñas conforme a las buenas prácticas.
A.11.3.2
Equipo de usuario desatendido  Los equipos desatendidos tienen la protección
suficiente.
A.11.3.3 El puesto de trabajo está libre de utensilios inútiles,
Política de puesto de trabajo
despejado y pantalla limpia  y se establece una política sobre soportes
extraíbles.

10
UNIVERSIDAD ALAS PERUANAS

A.11.4
Control de acceso a la red
Objetivo: Prevenir el acceso no autorizado a los servicios en red.
A.11.4.1 Los usuarios sólo tienen permisos para los recursos
Política de uso de los servicios
en red  que le son necesarios. (*) Permisos de Usuario
(16.8)
A.11.4.2 Se lleva a cabo un procedimiento para que un
Autenticación de usuario para
conexiones externas  usuario fuera de la organización pueda acceder a los
recursos.
A.11.4.3 Cada uno de los equipos conectados a la red se
Identificación de los equipos en
las redes  encuentra registrado y localizado

A.11.4.4 Se controla el acceso físico y lógico a los puertos de


Diagnóstico remoto y protección
de los puertos de configuración  diagnóstico y configuración

A.11.4.5
Segregación en las redes  Tanto los grupos de servicio como los usuarios y
sistemas en la red están segregados
A.11.4.6 X Se establece un control y registro sobre las
Control de la conexión a la red conexiones de cada usuario en la red.
A.11.4.7 Se establece un control y seguimiento sobre las
Control de encaminamiento
(routing) de red  rutas que existen entre los diferentes recursos con
la fuente de información para evitar usos indebidos.
A.11.5
Control de acceso al sistema operativo
Objetivo: Prevenir el acceso no autorizado a los sistemas operativos.
A.11.5.1 Los accesos a los diferentes sistemas operativos se
Procedimientos seguros de
inicio de sesión  controlan y son seguros.

A.11.5.2 Cada usuario tiene un identificador propio que le


Identificación y autenticación de
usuario  sirve para autenticarse en los diferentes sistemas

A.11.5.3 Los sistemas de control de contraseñas son seguros


Sistema de gestión de
contraseñas  y robustos,
interactivamente.
y pueden ser modificados

A.11.5.4 Se controla el acceso a ciertas aplicaciones o


Uso de los recursos del sistemas
 programas que puedan invalidar la seguridad de los
recursos.
A.11.5.5 Las sesiones inactivas durante un periodo indefinido
Desconexión automática de
sesión  se cierran solas.

A.11.5.6 Se establecen para ciertas aplicaciones críticas la


Limitación del tiempo de X limitación de uso en el tiempo
conexión
A.11.6
Control de acceso a las aplicaciones y a la información
Objetivo: Prevenir el acceso no autorizado a la información que contienen las aplicaciones.
A.11.6.1 Establecemos un control para restringir el acceso a
Restricción del acceso a la
información  la información de ciertas aplicaciones de acuerdo
con la política de control.
A.11.6.2 Los entornos sensibles están en lugares aislados y
Aislamiento de sistemas
sensibles
 tienen accesos restringidos.

A.11.7
Ordenadores portátiles y teletrabajo

11
UNIVERSIDAD ALAS PERUANAS

Objetivo: Garantizar la seguridad de la información cuando se utilizan ordenadores portátiles y


servicios de teletrabajo.
A.11.7.1
Ordenadores portátiles y  Se establecen las respectivas medidas de seguridad
para entornos móviles, ya sean ordenadores
comunicaciones móviles portátiles y dispositivos móviles.
A.11.7.2
Teletrabajo  Se establece una política sobre las directrices a
seguir en el uso del teletrabajo

A.12
Adquisición, desarrollo y mantenimiento de los sistemas de información
A.12.1
Requisitos de seguridad de los sistemas de información
Objetivo: Garantizar que la seguridad está integrada en los sistemas de información.
A.12.1.1 Cuando se diseñan o incorporan nuevos sistemas
Análisis y especificación de los
requisitos de seguridad  de información a la organización, se produce un
análisis y especificación sobre los requisitos de
seguridad necesarios
A.12.2
Tratamiento correcto de las aplicaciones
Objetivo: Evitar errores, pérdidas, modificaciones no autorizadas o usos indebidos de la
información en las aplicaciones
A.12.2.1 Se garantiza que la entrada de los datos en las
Validación de los datos de
entrada  aplicaciones es validada.

A.12.2.2
Control del procesamiento interno  En las aplicaciones se realiza la comprobación de
validación a fin de evitar acciones malintencionadas.
Se cumplen todos los requisitos de seguridad para
A.12.2.3
Integridad de los mensajes  asegurar que la información es accedida por quien
debe.
A.12.2.4
Validación de los datos de salida  Se controlan los datos que genera la aplicación en
la salida
A.12.3
Controles criptográficos
Objetivo: Proteger la confidencialidad, la autenticidad o la integridad de la información por
medios criptográficos.
A.12.3.1 Se establece una política de uso de controles
Política de uso de los controles
criptográficos  criptográficos para preservar la información

A.12.3.1
Gestión de claves  Se establece una herramienta para la gestión de
claves para dar soporte
A.12.4
Seguridad de los archivos de sistema
Objetivo: Garantizar la seguridad de los archivos de sistema
A.12.4.1 Se lleva a cabo un control sobre la instalación de
Control de software en explotación X software en las máquinas
A.12.4.2 Los datos de prueba seleccionados son protegidos
Protección de los datos de prueba
del sistema  y controlados.

A.12.4.3 Se restringe el acceso al código fuente de los


Control de acceso al código
fuente de los programa  programas

12
UNIVERSIDAD ALAS PERUANAS

A.12.5
Seguridad en los procesos de desarrollo y soporte
Objetivo: Mantener la seguridad del software y de la información de las aplicaciones
A.12.5.1 Se controlan los procedimientos de implantaciones
Procedimientos de control de
cambios  de cambio

A.12.5.2 Se revisan las aplicaciones de negocio


Revisión técnica de las
aplicaciones tras efectuar  exhaustivamente al realizar algún cambio sobre el
sistema operativo.
cambios en el sistema operativo
A.12.5.3 Se establece un control riguroso sobre los cambios
Restricciones a los cambios en
los paquetes de software  de software que se efectúan

A.12.5.4
Fugas de información  Deben evitarse situaciones que produzcan fugas de
información.
A.12.5.5 La externalización del desarrollo de software es
Externalización del desarrollo de
software  controlada

A.12.6
Gestión de la vulnerabilidad técnica
Objetivo: Reducir los riesgos resultantes de la explotación de la vulnerabilidades técnicas
publicadas
A.12.6.1 Se tiene conocimiento sobre las vulnerabilidades
Control de las vulnerabilidades
técnicas  existentes en los sistemas utilizados, evaluando su
situación y adoptando las medidas correctivas.

9.1 COMENTARIOS

 LA POLITICA DE SEGURIDAD
El área de unidad tecnología y comunicaciones con respecto a los documentos de
seguridad de la información si cumple sin embargo se recomienda implementar y
actualizar la seguridad de la información accesible para todos los empleados.

Los aspectos organizativos, de la seguridad de la información con respecto a Perímetro


de seguridad física si cumple ya que se encuentra bien securizados con muros y puertas o
puntos con control de acceso.

Por otro lado, los Controles físicos de entrada si cumple va que están securizadas de
forma que sólo pueda acceder personal autorizado.

 SEGURIDAD FISICA Y AMBIENTAL


Podemos determinar que el objetivo de esta área es prevenir los accesos físicos no
autorizados, los dañados y las instalaciones y en la información de la organización. La
cual es un área que se encuentra en las perfectas condiciones de seguridad, de acuerdo a
los resultados de la auditoria, esta área es segura y cumple con todos los requisitos de
seguridad ante una posible amenaza

13
UNIVERSIDAD ALAS PERUANAS

 CONTROL DE ACCESO
El control de acceso de usuario podemos determinar que si cumple con los accesos de
información.
En el área de registro del usuario que existe unos controles par alta modificación y baja de
los usuarios en los diferentes sistemas de control y de información.

Gestión de privilegios es restringida y controlada para la protección de la información.

Responsabilidad del usuario es de prevenir de usuarios no autorizados con la finalidad de


que no produzca robos de la información o de los recursos de procedimiento de la
información.

El control del sistema operativo en los procedimientos seguros de inicio de sesión se


controla y son bien seguros.

Seguro de gestión las contraseñas son bien seguros y robustos y pueden ser modificados
interactivamente.

 ADQUISICIÓN Y DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE


INFORMACION

Podemos determinar en el análisis y especificaciones de los requisitos de seguridad se


produce un análisis y especificaciones sobre los requisitos de seguridad que son
necesarios.

Seguridad de los archivos del sistema de control de software en la explotación se lleva un


control sobre la instalación de software en las maquinas.

Seguridad en los procesos de desarrollo y soporte procedimientos de control de cambio


tiene bien controlados con los procedimientos de implantación de cambio
Revisiones técnicas de las aplicaciones tras efectuar los cambios en el sistema operativo
lo revisan exhaustivamente al realizar algún cambio sobre el sistema operativo.

Las fugas de la información deben ser evitadas para no producir riesgos a la empresa

14
UNIVERSIDAD ALAS PERUANAS

10. INFORME DE AUDITORIA

10.1 Identificación del informe


Auditoria física.

10.2 Identificación del Cliente


Unidad de Tecnología e Informaciones

10.3 Identificación de la Entidad Auditada


Empresa MEGASER SRL

10.4 Hallazgos Potenciales


 Falta de personal.
 No existe un puesto o cargo específico para la función de seguridad Informática.
 No existe un calendario de mantenimiento de los equipos informáticos.
 Faltan salidas al exterior
 Falta de auditoría informática

10.5 Alcance de la auditoria


Nuestra auditoria, comprende el presente periodo 2021 y se ha realizado especialmente
a la Unidad de Tecnología e Informaciones de la empresa MEGASER SRL de acuerdo a
las normas y demás disposiciones aplicable al efecto.

10.6 Conclusiones:
 Como resultado de la Auditoria podemos manifestar que hemos cumplido con
evaluar cada uno de los objetivos propuestos en el programa de auditoria.
 El Departamento de centro de cómputo presenta deficiencias sobre todo en el
debido cumplimiento de Normas de seguridad.

10.7 Recomendaciones
 Implantar salidas de emergencia.
 Determinar orgánicamente la función de seguridad informática.
 Desarrollar normas y procedimientos generales que permitan la toma de respaldo
necesario
 Elaborar un calendario de mantenimiento de rutina periódico.
 Capacitar al personal.
 Implementar algún software de seguridad y auditoria existente en el mercado o
desarrollar uno propio y que permita mantener el resguardo de acceso de los
archivos de programas y aún de los programadores

15