Universidad Nacional del Altiplano

Auditoria de Sistemas
Escuela Profesional de Ingeniería de
Sistemas

INTEGRANTES:

 Hilary Carmen Beltran Mendinguri

 Walter Javier Arocutipa Condori
 Jehan Carlos Coila Ticona
 Obed Desiderio Quispe Torres

CASO N° 1

Acciones Inmediatas

1. Realización de la proforma de auditoría en la que se documenta qué procedimientos

se seguirán para constatar se cumplen con las regulaciones internas y externas,
dicha proforma estará divida en 4 partes:
a) Descripción de los servicios a ser prestados
b) Equipo de trabajo
c) Plazos e informes
d) Presupuesto de honorarios
2. Redactar el programa de auditoría el cual se dividirá en 4 fases las cuales son vista
preliminar, desarrollo de la auditoría, revisión e informe desde el mes de junio del
2021 hasta el mes de agosto del mismo año, dicho programa de auditoría también
contendrá las horas designadas para cada paso.
3. Recopilación de información básica, una semana antes del comienzo de la auditoría
se envía un cuestionario a los gerentes o responsables de las distintas áreas de la
empresa. El objetivo de este cuestionario es saber los equipos que usan y los
procesos que realizan en ellos. Los gerentes se encargaran de distribuir este
cuestionario a los distintos empleados con acceso a los computadores, para que
también lo completen. De esta manera, se obtendrá una visión más global del
sistema.
4. Establecer los objetivos de la auditoría con el fin de definir las categorías de riesgo
para los procesos o subprocesos.

Formulación de Hallazgos

El contenido del informe ha sido dividido de la siguiente forma a efectos de

facilitar su análisis:

a) Observaciones: Describe brevemente las debilidades resultantes de nuestro análisis.

b) Efectos y/o implicancias probables: Enuncian los posibles riesgos a que se
encuentran expuestos las operaciones realizadas por la Cooperativa.
c) Índice de importancia establecida: Indica con una calificación del 0 al 3 el grado
crítico del problema y la oportunidad en que se deben tomar las acciones correctivas
del caso.

0= Alto (acciones correctivas inmediatas)

1=Alto (acciones preventivas inmediatas)

2=Bajo (acciones diferidas correctivas)

 3=Bajo (acciones diferidas preventivas)

d) Sugerencias: Indicamos a la Gerencia la adopción de las medidas correctivas

tendientes a subsanar las debilidades comentadas.
1. Sede Principal
a) Observaciones:
● De las 20 PCs revisadas se identificó 3PCs sin antivirus, 2PCs
con antivirus desactualizado, 2PCs con instalación parcial y 1
PC Inoperativa en Verificación, de las 10 laptops revisadas se
identificó 1 con instalación parcial y una con antivirus
desactualizado.
b) Efectos y/o implicancias probables
● Ataques de virus, pueden ocasionar pérdida de datos de la
propia empresa.
● Spam, puede causar daños significativos, infectando las
computadoras de los usuarios con software malicioso capaz
de dañar los sistemas y robar información personal.
● Spyware, puede generar Pérdida del rendimiento del sistema y
no existe privacidad.
● Pérdida de información vital.
● Pérdida de la capacidad de procesamiento.
c) Índice de importancia establecida...0 (uno)
d) Sugerencias
● Instalación inmediata de los antivirus y la actualización de las
mismas en los PCs.
● Implementar algún software de seguridad y auditoría existente
en el mercado o desarrollar uno propio
● Establecer una metodología que permita ejercer un
control efectivo sobre el uso o modificación de los
programas o archivos por el personal autorizado.
● Implementar normas y/o procedimientos que aseguren la
eficaz administración de los recursos informáticos, ya que se
observó que la entidad cuenta con un total de 1050 licencias
VSS.
● Realizar periódicamente un estudio de vulnerabilidad,
documentando efectivamente el mismo, a los efectos de
implementar las acciones correctivas sobre los puntos débiles
que se detecten.
● Evaluar e implementar un software que permita mantener el
resguardo de acceso de los archivos de programas.

2. Oficinas

e) Observaciones:
● De las 20 PCs revisadas se identificó 3PCs sin antivirus, 2PCs
con antivirus desactualizado, 2PCs con instalación parcial y 1
 PC Inoperativa en Verificación, de las 10 laptops revisadas se
identificó 1 con instalación parcial y una con antivirus
desactualizado y una sin antivirus.
f) Efectos y/o implicancias probables
● Ataques de virus, pueden ocasionar pérdida de datos de la
propia empresa.
● Spam, puede causar daños significativos, infectando las
computadoras de los usuarios con software malicioso capaz
de dañar los sistemas y robar información personal.
● Spyware, puede generar Pérdida del rendimiento del sistema y
no existe privacidad.
● Pérdida de información vital.
● Pérdida de la capacidad de procesamiento.
g) Índice de importancia establecida...0 (uno)
h) Sugerencias
● Instalación inmediata de los antivirus y la actualización de las
mismas en los PCs.
● Implementar normas y/o procedimientos que aseguren la
eficaz administración de los recursos informáticos, ya que se
observó que la entidad cuenta con un total de 1050 licencias
VSS.
● Realizar periódicamente un estudio de vulnerabilidad,
documentando efectivamente el mismo, a los efectos de
implementar las acciones correctivas sobre los puntos débiles
que se detecten.
● Evaluar e implementar un software que permita mantener el
resguardo de acceso de los archivos de programas.

3. Agencias

i) Observaciones:
● De las 90 PCs revisadas se identificó 6PCs sin antivirus, 6PCs
con instalación parcial 4PCs con antivirus desactualizado y 4
PC Inoperativa en Verificación,de las 10 laptops revisadas se
identificó 3 con instalación parcial y 1 con antivirus
desactualizado y dos sin antivirus.
● Alto tráfico de datos
j) Efectos y/o implicancias probables
● Ataques de virus, pueden ocasionar pérdida de datos de la
propia empresa.
● Spam, puede causar daños significativos, infectando las
computadoras de los usuarios con software malicioso capaz
de dañar los sistemas y robar información personal.
● Spyware, puede generar Pérdida del rendimiento del sistema y
no existe privacidad.
● Pérdida de información vital.
 ● Pérdida de la capacidad de procesamiento.
k) Índice de importancia establecida...0 (uno)
l) Sugerencias
● Instalación inmediata de los antivirus y la actualización de las
mismas en los PCs.
● Bloquear sitios web innecesarios para evitar la saturación de la
red.
● Implementar normas y/o procedimientos que aseguren la
eficaz administración de los recursos informáticos, ya que se
observó que la entidad cuenta con un total de 1050 licencias
VSS.
● Realizar periódicamente un estudio de vulnerabilidad,
documentando efectivamente el mismo, a los efectos de
implementar las acciones correctivas sobre los puntos débiles
que se detecten.
● Evaluar e implementar un software que permita mantener el
resguardo de acceso de los archivos de programas.

CASO N° 2

“Teniendo en cuenta que el recurso mas importante dentro de una organización es la

información”

● Cabe indicar que todos los equipos de cómputo están conectados a la red.
● Y que los equipos de cómputo con instalación están 100% protegidos con la solución
VSS.

Para asegurar La seguridad en redes y la protección a toda la infraestructura de

computadoras y también de toda la información contenida:

1. Firma presencial

La captura de huella dactilar de identificación. Es la mejor solución ante Ataques de red para
las agencias a nivel nacional que ha venido presentando problemas de operatividad en su
red informática, así como del acceso no controlado a Internet que la biometría capturada por
medio de impresiones dactilares es muy apropiada para aplicaciones de firma y gestión
documental. Los valores estimados para un sistema seguro de reconocimiento de huella
digital .Debido a los ataques de virus, spam y spyware principalmente,

2. Periodicidad de cambio de claves de acceso

Los cambios de las claves de acceso a los programas se deben realizar periódicamente.
Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron
inicialmente. El no cambiar las claves periódicamente aumenta la posibilidad de que
personas no autorizadas conozcan y utilicen claves de usuarios del sistema de
computación. Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.
3. Combinación de alfanumericos en claves de acceso

No es conveniente que la clave este compuesta por códigos de empleados, ya que una
persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha
clave. Debido a los ataques de virus.

4. Utilizar software de seguridad en los microcomputadores

El software de seguridad permite restringir el acceso al microcomputador, de tal modo que

solo el personal autorizado pueda utilizarlo. Adicionalmente, este software permite reforzar
la segregación de funciones y la confidencialidad de la información mediante controles para
que los usuarios puedan accesar solo a los programas y datos para los que están
autorizados. Programas de este tipo son: WACHDOG, LATTICE,SECRET DISK, entre otros.
Para asegurar La seguridad VSS

5. Infraestructura VSS

VSS proporciona la infraestructura del sistema para ejecutar aplicaciones de VSS en

sistemas Windows. Aunque es muy transparente tanto para el usuario como para el
desarrollador Estos controles contemplarán mínimamente la verificación positiva de
direcciones de origen y destino.

 Coordinar las actividades de los proveedores, escritores y solicitantes en la creación

y el uso de instantáneas.
 Facilitar el proveedor del sistema predeterminado.
 Implementar la funcionalidad de controlador de bajo nivel necesaria para que
cualquier proveedor funcione.

El servicio VSS se inicia a petición, de modo que, para que las operaciones de VSS se
realicen correctamente, este servicio debe estar habilitado.