Informe Final - Equipo 9B

INSTITUTO TECNOLÓGICO
DE CHETUMAL
“Licenciatura en Informática”
Materia:
Auditoria Informática
Tarea:
Informe Final
Alumnos:
Álvaro Adrian Zapata Cárdenas
Raúl Joe Correa Briceño
Ricardo Javier Canto Serrano
Nombre de la Profesor:
Lic. Benjamín Vargas Ku
Grupo: 9FB
Chetumal, Q. Roo a 3 de Diciembre del 2010

Auditoria a “Soluciones al Campo SCP”
Asunto: Informe Final

Chetumal Quintana Roo
2/Diciembre/2010
ING. GERARDO VILLEGAS PALMER
DIRECTOR GENERAL S.C.P.
PRESENTE:
Por medio de la presente emitimos el informe de resultados de la auditoría

realizada desde el 22 de Octubre al 2 de Diciembre del 2010, en las
instalaciones de la empresa Soluciones al Campo S.C.P.
Las actividades realizadas comprenden la evaluación de la estructura

organizacional, aspectos de seguridad física y lógica, infraestructura y revisión
de controles de la empresa. Procurando cuidar la integridad de la misma y de
no interrumpir las actividades de los empleados.
En el informe se incluye el dictamen final de la auditoría así como las

observaciones y conclusiones de la misma, las cuales se obtuvieron luego de la
identificación y análisis de los aspectos vulnerables de la empresa, reflejando
una disminución de riesgo de hasta un 75% aplicando los controles sugeridos.
Esperamos que los resultados y comentarios obtenidos le sean de utilidad.

Quedando a su disposición para cualquier duda y/o aclaración.
Agradecemos la colaboración prestada durante nuestra visita por todo el

personal de la Cooperativa y quedamos a vuestra disposición para cualquier
aclaración y/o ampliación de la presente que estime necesaria.
Saludos Cordiales
Atentamente
Auditores

Lic. en Informá tica 9B – Auditoría en Informá tica Page 2

CONTENIDO
1
ASUNTO: INFORME FINAL................................................................................................................................... 2
AUDITORIA INFORMÁTICA.................................................................................................................................. 6
OBJETIVO............................................................................................................................................................ 6
OBJETIVO GENERAL.................................................................................................................................................6
OBJETIVOS ESPECÍFICOS..........................................................................................................................................6
 INSPECCIONAR QUE EL PERSONAL CUMPLA CON SUS LABORES ASIGNADAS................................................6
 IDENTIFICAR Y EVALUAR LOS EQUIPOS CON LOS QUE CUENTA LA ORGANIZACIÓN.......................................6
 VERIFICAR LA EXISTENCIA DE SEÑALES DE SEGURIDAD EN LA EMPRESA.....................................................6
 COMPROBAR QUE LOS DATOS SE ENCUENTREN CORRECTAMENTE ALMACENADOS.....................................6
 EVALUACIÓN DEL SOFTWARE EXISTENTE DENTRO DE LA ORGANIZACIÓN....................................................6
ALCANCES Y LIMITACIONES DEL TRABAJO........................................................................................................... 7
ALCANCES................................................................................................................................................................7
LIMITACIONES......................................................................................................................................................... 7
 EL TIEMPO QUE TENEMOS PARA EFECTUAR LA AUDITORIA EN LA EMPRESA ES LIMITADO............................7
 ESCASA DOCUMENTACIÓN POR PARTE DE LA EMPRESA...............................................................................7
 ES LA PRIMERA AUDITORÍA QUE SE LLEVA A CABO EN LA EMPRESA .............................................................7
1. IMAGEN DE LA EMPRESA................................................................................................................................. 8
MALA IMAGEN DE LA EMPRESA.......................................................................................................................................8
2. COORDINACIÓN DEL PERSONAL...................................................................................................................... 8
DESCOORDINACIÓN DEL PERSONAL..................................................................................................................................8
3. SATISFACCIÓN DEL USUARIO........................................................................................................................... 8
INSATISFACCIÓN DEL USUARIO.........................................................................................................................................8
4. SEGURIDAD..................................................................................................................................................... 8
INSEGURIDAD LÓGICA.......................................................................................................................................................8
INSEGURIDAD FÍSICA........................................................................................................................................................8
INFRAESTRUCTURA............................................................................................................................................. 9
OPERACIONES DE RESPALDO............................................................................................................................. 12
EFECTOS PROBABLES......................................................................................................................................................12
SUGERENCIAS PARA LAS OPERACIONES DE RESPALDO...........................................................................................................12
ACCESO A USUARIOS......................................................................................................................................... 13
SUGERENCIAS...............................................................................................................................................................13
PLAN DE CONTINGENCIAS................................................................................................................................. 14

IMPLICANCIA PROBABLE..................................................................................................................................................14
SUGERENCIA.................................................................................................................................................................14
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE APLICACIONES.............................................................17
SITUACIÓN...................................................................................................................................................................17
SUGERENCIAS...............................................................................................................................................................18
EQUIPAMIENTO................................................................................................................................................ 19
EQUIPOS DE SEGURIDAD.......................................................................................................................................19
HARDWARE...................................................................................................................................................... 19
COMUNICACIONES............................................................................................................................................ 26
SOFTWARE........................................................................................................................................................ 27
OBJETIVOS............................................................................................................................................................. 27
RESEÑA............................................................................................................................................................. 27
RIESGOS............................................................................................................................................................ 28
CONTROLES PROPUESTOS................................................................................................................................. 28
EQUIPO DE TRABAJO......................................................................................................................................................29
INFORMES....................................................................................................................................................................30
PRESUPUESTO................................................................................................................................................... 30
ANEXOS............................................................................................................................................................ 31
CUESTIONARIOS................................................................................................................................................ 32
CHECKLIST......................................................................................................................................................... 35
PLAN DE AUDITORIA......................................................................................................................................... 36
RECOPILACION DE LA INFORMACION................................................................................................................ 36
PERSONAL PARTICIPANTE................................................................................................................................. 38
EVALUACION DE LA INFORMACION................................................................................................................... 39
RECURSOS MATERIALES Y FINANCIEROS............................................................................................................ 40
EVALUACION DE LA INFORMACION DE ACUERDO AL RIESGO.............................................................................40
PLAN DE CONTINGENCIA DE INFORMÁTICA....................................................................................................... 42
INTRODUCCIÓN................................................................................................................................................ 42
OBJETIVOS........................................................................................................................................................ 43
OBJETIVO GENERAL.......................................................................................................................................................43
OBJETIVOS ESPECÍFICOS..................................................................................................................................................43
1. PLANIFICACIÓN DE CONTINGENCIA............................................................................................................... 44
1.1 ACTIVIDADES ASOCIADAS..........................................................................................................................................44

2. ANÁLISIS DE RIESGOS.................................................................................................................................... 45
2.1 BIENES SUSCEPTIBLES DE UN DAÑO............................................................................................................................45

2.2 DAÑOS...............................................................................................................................................................46
2.4.- FUENTES POSIBLES DE DAÑOS..................................................................................................................................47
2.5 EXPECTATIVAS ANUALES DE DAÑOS.............................................................................................................................50
3. MEDIDAS PREVENTIVAS................................................................................................................................ 51
3.1.- CONTROL DE ACCESO.............................................................................................................................................51
4.- PREVENCIÓN DE DESASTRES NATURALES..................................................................................................... 53
¿QUÉ HACER EN CASO DE UN FENÓMENO HIDROMETEOROLÓGICO?......................................................................................53

¿QUÉ HACER EN CASO DE UNA INUNDACIÓN?....................................................................................................................54
¿QUÉ HACER EN CASO DE UN INCENDIO?........................................................................................................................55
5. PLAN DE RESPALDO....................................................................................................................................... 56
6. PLAN DE RECUPERACIÓN:.............................................................................................................................. 58
ETAPAS.................................................................................................................................................................... 59

Auditoria Informática
Esta auditoría se efectuó en una empresa particular, denominada “Soluciones al

Campo SCP”, la cual fue autorizada por el representante general de dicha empresa.
A continuación definiremos todos los puntos que se validaron:
OBJETIVO
OBJETIVO GENERAL
El objetivo de la auditoría tiene como función principal la de evaluar las actividades,
controles, procedimientos, operaciones y resultados con que se está trabajando para
que por medio de esta se tomen decisiones que permitan corregir los errores, y en caso
de que se determinen, establecer controles para mejora de las funciones existentes en
la actualidad, para que de esta manera la empresa posea un buen control de todo lo
evidente, y de este modo logren que sus funciones sean eficientes y eficaces, tanto
dentro como fuera de la organización.
OBJETIVOS ESPECÍFICOS
 Inspeccionar que el personal cumpla con sus labores asignadas.
 Identificar y evaluar los equipos con los que cuenta la organización.
 Verificar la existencia de señales de seguridad en la empresa.
 Comprobar que los datos se encuentren correctamente almacenados.
 Evaluación del software existente dentro de la organización.


ALCANCES Y LIMITACIONES DEL TRABAJO
ALCANCES
Se pretende que la auditoría que se lleva a cabo sea una herramienta funcional en la
empresa que se va a aplicar, con la finalidad de mejorar sus procesos. Dicha auditoria
se efectuó en el periodo Octubre-Diciembre del 2010, ya que es fue el tiempo estimado
para su ejecución.
LIMITACIONES
 El tiempo que tenemos para efectuar la auditoria en la empresa es limitado.
 Escasa documentación por parte de la empresa.
 Es la primera auditoría que se lleva a cabo en la empresa

1. IMAGEN DE LA EMPRESA
Mala imagen de la empresa
 La empresa no cuenta con una imagen adecuada.
 El color del edificio es muy opaco.
 La pintura de la fachada está muy desgastada.
 No es fácil de identificar la empresa a simple vista.
2. COORDINACIÓN DEL PERSONAL

Descoordinación del personal
 No planean la ejecución de un proyecto.
 No cuentan con políticas de seguridad.
 Desconocimiento de existencia de los planes de contingencia y cómo aplicarlos en un
momento determinado.
3. SATISFACCIÓN DEL USUARIO

Insatisfacción del usuario
 El personal está disgustado con respecto al equipo de cómputo.
 El personal no le agrada las impresoras existentes ya que son muy lentas.
 Software piratas instalados en algunas máquinas.
4. SEGURIDAD
Inseguridad Lógica
 Manejo inadecuado de las contraseñas en los equipos existentes.
 No se cuenta con contraseña del Router para internet inalámbrico.
 No se tiene control con respecto al acceso a páginas con contenido inapropiado.
 Envío de informes de trabajos por medio de correo electrónico o por Messenger.
Inseguridad Física
 No se cuenta con extintores.
 No se cuenta con señalamientos dentro y fuera de la empresa.
 No se cuenta con puertas de seguridad.
 No se cuenta con aire acondicionado en los lugares donde están los equipos de
cómputo.

INFRAESTRUCTURA
INSTALACIONES DE LA EMPRESA
La empresa Soluciones al Campo S.C.P se encuentra ubicada en la calle Xcalak # 353,
esquina Isla Cancún, colonia Adolfo López Mateos, en la ciudad de Chetumal, Quintana
Roo.
Se realizó la visita a las instalaciones de la empresa Soluciones al Campo con el fin de

corroborar su estado e identificar elementos perjudiciales para la misma.
Figura 1.-Instalaciones de La Figura 2.- Sala de espera
empresa
Figura 1.-Instalaciones de La empresa Figura 2.- Sala de espera
La empresa cuenta con una pequeña sala de espera y cinco estaciones de trabajo, al
igual que con un cuarto de archivos y una bodega.
El edificio se nota un poco maltratado ya que anteriormente era ocupado por una
compañía de telefonía celular y al momento de que dejaron el predio y fue adquirido
por sus dueños actuales, estos no realizaron las adecuaciones y mantenimiento
necesario debido a la falta de presupuesto.
A continuación se muestran las estaciones de trabajo que se encuentran en la

empresa:

Figura 3.- Recepción Figura 4.- Área de captura de datos
Figura 5.- Área de dirección Figura 6.- Área de planeación
general

Figura 9.- Área de proyectos
Las actividades realizadas en la empresa son en su mayoría cuestiones administrativas

y no cuentan con personal especializado en aspectos informáticos. A causa de esto, no
se toman en cuenta los aspectos necesarios como la seguridad de los datos y el
correcto uso, protección y mantenimiento de las computadoras.

OPERACIONES DE RESPALDO
Cuando se realizo la visita a la empresa Soluciones del Campo se encontraron las
siguientes situaciones:
 Las operaciones de respaldo se realizan por parte del personal de informática

con apoyo del sistema de información; esto por medio de backups.
 Las aplicaciones y programas con que se trabajan, se cuenta con respaldo de
solo de los instalables, mas no de las actualizaciones que se adquieren
conforme se requieren.
 Los respaldo realizados por medio de los backups; por un personal informático y
en un periodo establecido por el mismo.
 No se conoce con exactitud la confiabilidad de la información respaldada.
Efectos probables.
Los efectos que pueden presentarse durante alguna situación; de acuerdo a lo
observado durante la visita; son los siguientes:
 La empresa se encuentra expuesta a que la única persona que realiza los

backups; pueda ausentarse por alguna situación de la empresa y con ello
quedarse sin personal capacitado para realizar tareas de respaldo.
 Otro aspecto es que los programas y aplicaciones dejen de funcionar debido a
que no se cuenta con las actualizaciones con las que trabajan.
Sugerencias para las operaciones de respaldo.

Para poder disminuir los efectos que se pudiesen presentar; se sugiere lo siguiente:
 Capacitar a más personal para poder manejar el sistema y estos puedan realizar
backups, con una calendarización adecuada y previamente planeada.
 Considerar la creación de un fondo para adquisición de software y de
actualizaciones que se requieran.
 Realizar respaldos utilizando el servicio que ofrecen otras empresas de respaldo
de información con la seguridad y confiabilidad que esta información requiere, es
decir, que los respaldos estén fuera de las instalaciones de la empresa.

 Realizar revisiones periódicas de la información que se respalda, por medio de

un comité que analice el porqué se respalda esta información y determine la
importancia de la información que se respalda.
ACCESO A USUARIOS
Durante las diferentes visitas realizadas a las instalaciones de la empresa, pudimos
constatar lo siguiente:
 Un personal informático es el que tiene todas las claves y sabe manejar la

seguridad del sistema.
 Se cuentan con perfiles de usuarios, los cuales limitan el acceso a la información
al personal; estos perfiles son asignados conforme al puesto que ocupan en la
empresa.
 Envío de informes de trabajos por medio de correo electrónico o por Messenger.
 Manejo inadecuado de las contraseñas en los equipos existentes.
Efectos probables
 Existe la posibilidad de fraude o sabotaje por parte del personal que maneja el
sistema así como de terceros.
 Puede darse la situación de no poder intercambiar información o documentos
tras dejar de funcionar el Messenger o correos gratuitos web.
 Se puede determinar quién y qué acciones realiza cada personal sobre el
sistema en uso.
Sugerencias
 Las sugerencias para el acceso a usuarios, son las siguientes:
 Adquirir algún programa que permita el intercambio de documentación y la
comunicación entre el personal (intranet); existe un software llamado PANDIOM
que permite realizar estas acciones y es gratuito, trabaja en red y es ligero para
la carga de la red.
 Llevar un control de las actualizaciones que se realizan sobre los programas y
aplicaciones; por parte del personal informático.

 Tener un personal de confianza que esté capacitado para manejar el sistema de

seguridad.
PLAN DE CONTINGENCIAS.
La situación encontrada es la siguiente:
 No se cuenta con extintores suficientes para los equipos de cómputo.

 No se cuenta con señalamientos dentro y fuera de la empresa.
 No se cuenta con puertas de seguridad.
 El personal tiene desconocimiento de la existencia de los planes de contingencia
y cómo aplicarlos en un momento determinado.
 No existen acuerdos formalizados con otras empresas o proveedores que
permitan la restauración inmediata de los servicios informáticos de los sistemas
en la empresa.
Implicancia probable
 En caso de que ocurra un incidente mayúsculo; incendio, temblor o huracán; se
puede llegar a considerar como pérdida total de la información y equipos de
cómputo.
 Se puede llegar a perder la vida de algún personal; por el hecho de no contar
con puertas de salidas de emergencia.
Sugerencia.
 Establecer un plan de contingencia escrito, en donde se establezcan los
procedimientos, responsabilidades, y conductas a seguir para restablecer la
operación normal de la empresa Soluciones del campo.
 Efectuar simulacros de diversas contingencias, como pueden ser incendios,
temblores.
 A continuación se listan algunas acciones a realizar en caso de algún
desastre natural.
 ¿Qué hacer antes de un huracán?
 Colocar puertas y ventanas anticiclónicas.
 Planta de energía eléctrica de emergencia.

 Colocar techo, paredes falsas en caso que se requiera.

 Comprar garantías para los equipos de cómputo
 Retirar al personal que resulte sobrante tenerlo en las instalaciones
de la empresa
 ¿Qué hacer durante el huracán?
 Se debe de ejecutar un plan de contingencia efectuado,
aplicándolo de tal manera que se pueda prevenir o evitar un
mínimo desastre o destrucción posible en la empresa.
 Retirar al personal que resulte sobrante tenerlo en las instalaciones
de la empresa
 ¿Qué hacer después del huracán?
 Verificar si todo está en orden.
 No encienda sus equipos de cómputo hasta determinar que no
exista un mínimo de riesgo posible.
 Hacer un análisis o inventario de la perdida de todo el material.
 De ser necesario reubique sus instalaciones hasta tener todo bajo
control y en una situación favorable.
 ¿Qué hacer en caso de una inundación?
 ¿Qué hacer antes?
 Verificar o asegurar que la empresa se encuentre ubicada en un
lugar seguro.
 Verificar que la empresa se encuentre a nivel mayor al de suelo
exterior.
 Tener puertas aseguradas para evitar la entrada del agua.
 Tener en cuenta si existen canales de desagüe, en caso contrario
tomar las medidas adecuadas para efectuarlas.
 Verificar que las ventanas se encuentren bien cerradas, para que
no pueda escurrir el agua.
 Contar con seguro para la empresa.
 Contar con respaldos de toda la información existente e importante
para la empresa.

 Contar con garantías de todos los equipos de cómputo por si llega

a ocurrir daño alguno.
 ¿Qué hacer durante?
 Verificar que todo la empresa este bien asegurado.
 Apagar y desconectar todo el equipo de cómputo y todo aparato eléctrico
para evitar corto circuito alguno.
 ¿Qué hacer después?
 Verificar la existencia de equipo dañado.
 No encender ningún equipo eléctrico hasta estar seguros de que el peligro
haya trascurrido.
 Efectuar un análisis minucioso de la perdida existente.
 Notificar al dueño o representante legal de la empresa para tomar medidas
en caso alguno.
 ¿Qué hacer en caso de un incendio?

 ¿Qué hacer antes?
 Lo primero es confirmar que los extintores estén en buenas
condiciones y que no estén caducados o en mal estado.
 En caso contrario, es preferible comprar otros.
 Colocar los extintores en lugares estratégicos y visibles para el
personal.
 Identificar la ruta de la salida de emergencia.
 Ejecutar simulacros para determinar el cargo de cada empleado.
 Reduzca las áreas para fumadores a zonas con buena ventilación sin
elementos inflamables como cortinas y alfombras.
 Evite conectar múltiples aparatos en el mismo tomacorriente.
 Evite sobrecargar los cables con extensiones o equipos alguno.
 Verificar que el cableado eléctrico este en buenas condiciones de lo
contrario cambiarlos.
 Instale paredes contra fuego, puertas blindadas que permitan aislar el
fuego en ciertas áreas.

 ¿Qué hacer durante?

 Si descubre el incendio intente sofocarlo con el extintor más
cercano, sólo si sabe cómo usarlo.
 No intente apagar el fuego en forma violenta.
 Aleje en la medida de lo posible los objetos y materiales que
puedan provocar un incendio mayor.
 Mantenga la calma.
 ¿Qué hacer después?
 No encienda sus equipos de cómputo y aparatos electrónicos hasta
asegurar que todo está bajo control.
 Verifique que el personal este sano y salvo.
 Análisis o inventario de las pérdidas que se tuvo.
 Retírese del área siniestrada, pues el fuego puede reavivarse.
 Entre otras sugerencias está la de adquirir un seguro con cobertura amplia para
diversas situaciones; esto a través del departamento de contabilidad y finanzas.
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE APLICACIONES

Situación
 Utilizan software pirata con respecto a:

 Microsoft Office.
 Sistema Operativo Windows XP en algunas computadoras.
 Map Source.
 Sistema de control administrativo.
 Las modificaciones a los programas son solicitadas generalmente sin notas

internas, en donde se describen los cambios o modificaciones que se requieren.
 No se tiene control con respecto al acceso a páginas con contenido inapropiado.
 se cuenta con contraseña del Router para internet inalámbrico.

 No se cuentan con los manuales técnicos y de usuarios de las aplicaciones que

se utilizan.
Efectos probables
 Recibir sanciones conforme marque la ley; por la utilización de software pirata en
los equipos de cómputo.
 Desconocer el completo funcionamiento del sistema por parte del personal por
no contar con los manuales de usuario y técnicos.
 Pueden ocurrir sabotajes y robo de información por falta de seguridad en el
router.
 Se pueden filtrar spyware’s y malwares por no contar con la seguridad adecuada
en el acceso a internet.
Sugerencias
 Asignación de la contraseña del Router para el acceso a la red.
 Se debe apagar el modem los días que no se labora en la empresa.
 Se debe de crear un fondo para la adquisición de licenciamiento de todo
software que lo requiera, y de ahí tomar los recursos necesarios para la compra
de licencias; posteriormente desinstalar todo software instalado en los equipos
de manera ilegal.
 Implementar y conservar todas las documentaciones de los sistemas, y
mantenerlas en el sistema disponible para todo el personal.
 También las modificaciones y aprobaciones de programas realizadas por los
usuarios, deben de ser solicitadas por escrito y autorizadas por .
 Instalar un firewall y un proxy; versiones gratuitas o de no pagar licencia, para
brindar la seguridad en el acceso a internet; y con ello bloquear páginas web no
permitidas.

EQUIPAMIENTO
EQUIPOS DE SEGURIDAD
Cuenta con 3 tipos de seguridad implementados los cuales son:
 Sala de espera.
 Programación de citas para recepción de documentos y atención al cliente.
 Botiquín de primeros auxilios.
También cuenta con luces de emergencia, las cuales se ubican de la siguiente manera:
 Luces exteriores.
 Luces interiores y en cada uno de los departamentos.
HARDWARE
Los equipos están clasificados de acuerdo a la marca, pero no tienen una buena
seguridad en cuanto al hardware a causa de que no cuidan esa parte esencial. No
toman y no tienen las medidas preventivas para evitar algún daño o problema que
pueda suceder.
La empresa cuenta con 9 equipos los cuales utilizan para realizar sus actividades. La
mayoría de los equipos cuentan con el sistema operativo Windows Vista Home Basic,
también cuentan con tres impresoras las cuales están conectadas a la red para que
desde cualquier estación de trabajo se pueda mandar a imprimir. La empresa también
cuenta con un cañón marca HP.

COMPUTADORAS
Las características de los equipos son:
NUMERO NUMERO MODELO CARACTERÍSTICAS FIGURA

SERIE INVENTARIO
718 CONS-010- Gabinete  Windows XP
08/2007 A-Case Professional SP3
 Microsoft Office
2003
 Procesador Intel
2140 a 1.6 GHz
 1536 MB de RAM
 Kaspersky
Internet Security
2009 (Licencia
para 5 equipos.
Tabla 3.- Equipo 1
SERIE INVENTARIO
61200232489 CONS-003- AT-9900-  Teclado Acteck
08/2007 1 Smart Keyboard
Tabla 1.- Equipo 1


SERIE INVENTARIO
Ha17HVBP CONS-007- Sync  Marca Samsung
506947 08/2007 Master  Monitor a color de
740 NW 17”
Tabla 2.- Equipo 2

SERIE INVENTARIO
CNF43440 CONS-007- Laptop  Procesador
MM9 08/2007 COMPA Pentium 1500
Q NX930 MHz
 256 MB de RAM a
600 MHz
 Windows XP
Professional SP2
 Office 2003
 Kaspersky
Internet Security
2009 (Licencia
para 5 equipos)
Tabla 3.- Equipo 3

SERIE INVENTARIO

Laptop  Sistema operativo

ACER Windows vista
Home Basic
 Microsoft office
2007
 1 GB de memoria
RAM
 Procesador
Pentium 1500
MHz
 Kaspersky
Internet Security
2009
Tabla 4.- Equipo 4

NUMER NUMERO MODEL CARACTERÍSTICAS FIGURA

O SERIE INVENTARI O
O
Laptop  Windows vista
ACER Home Basic
 1 GB de memoria
RAM
2007
 Kaspersky Internet
Security 2009
 Procesador
Pentium 1500 MHz
Tabla 5.- Equipo 5

SERIE INVENTARIO
89572- Laptop marca  S. O. Windows
oem- Dell Vista Home Basic
7332166-  Microsoft Office
00096 2007
 Procesador Intel®
Core ™2 Dúo CPU
t5450 @1.66GHz
1.67GHz
 Memoria de 2Gb
 DDH de 160 Gb
 Kaspersky Internet
Security 2009
Tabla 6.- Equipo 6

SERIE INVENTARIO
89572- Laptop  S.O. Windows
OEM- marca vista Home Basic
7332166- Dell  Procesador Intel®
00096 Core ™2 Duo
CPU t5450
@1.66GHz
1.67GHz
 Memoria de 4Gb
 DDH de 250 Gb
2007
 Kaspersky
Internet Security
2009
Tabla 7.- Equipo 7

SERIE INVENTARIO
76459- Laptop  S. O. Windows XP
OEM- marca Profesional
0011903- Vaio  Memoria de 512
00110 MB
 DDH de 40 Gb
XP Profesional
 Kaspersky
Internet Security
2009
Tabla 8.- Equipo 8

IMPRESORAS

SERIE INVENTARIO
9627BAIP CLX-  Multifuncional
825187K 2160N  Marca Samsung
Tabla 9.-Impresora 1

SERIE INVENTARIO
SCX-  Multifuncional
4200  Marca Samsung
Tabla 10.- Impresora 2


SERIE INVENTARIO
147YBAF CLP-310  Multifuncional
Q800247H  Marca Samsung
Tabla 11.- Impresora 3

SERIE INVENTARIO
 Cañón
 Marca Hp
Tabla 12.- Cañón Hp
COMUNICACIONES.
La empresa cuenta con una red Ethernet con la cual se le da servicio de internet a las
maquinas, toda la red esta cableada con cable de categoría 5 y plugs RJ-45.
La empresa cuenta con 2 equipos telefónicos fijos de la compañía Telmex y diez

teléfonos móviles para los encargados o jefes de cada área para la notificación o aviso
de alguna emergencia surgida dentro o fuera de la empresa.
Con respecto a la seguridad de esto, no tienen un control total, ya que no llevan un

registro de todas las llamadas entrantes y salientes que se efectúan en la empresa.

SOFTWARE
La empresa maneja varios software para realizar sus funciones, el sistema operativo
que utilizan es el Windows Vista Home Basic, al igual todas las maquinas cuentan con
Microsoft office 2007 y kaspersky internet security 2010.
 Sistemas operativos.
 Aplicaciones.
 Software básico.
 Software administrativo.
OBJETIVOS
 Verificar la integridad de los datos.

 Verificar la confidencialidad de la información.
 Validar la disponibilidad de la información.
 Identificar que los usuarios utilicen los documentos adecuadamente.
 Confirmar el acceso de usuario a programas y archivos.
 Control en la protección de los datos.
RESEÑA
La empresa se dedica a la ejecución de proyectos para el Gobierno del Estado. En
dichos proyectos que efectúan se encuentra los:
 Reglamentos internos de las diferentes comunidades del Estado.

 Proyectos de la asociación ganadera local del municipio de Othón P. Blanco.
 Evaluación rural participativa de las diferentes comunidades del estado.
 Ordenamiento territorial comunitario.
 Seminario de comunidad a comunidades, entre otros.
Un medio que comúnmente utilizan para el envió de información son los correos
electrónicos, chat, etc., pero la seguridad lógica que se tiene es nula, porque no se ha

tomado la debida importancia ya que no están capacitados o suficiente informados de

los peligros existentes en las redes públicas.
RIESGOS
 El internet no cuenta seguridad alguna y no tiene restricciones en cuestión de

acceso a la red.
 No restringen ningún tipo de páginas con contenido irrelevante.
 El envió de proyectos e información importante es efectuado por medio de
correos electrónicos, chat, etc.
 Los equipos de cómputo no cuentan con alguna contraseña de acceso al
sistema.
CONTROLES PROPUESTOS
1) Asignación de la contraseña del Router para el acceso a la red.
2) Se debe apagar el modem los días que no se labora en la empresa, ya que no

se cuenta con una seguridad definida y por este medio pueden ocurrir delitos
informáticos como el sabotaje, robo de datos, acceso no autorizado, etc.
3) Evitar enviar los proyectos por medio del correo electrónico sin una seguridad
adecuada, ya que por este medio se puede extraer la información y/o clonarla.
4) Implementación de la una red local con carpetas compartidas para que varias
personas puedan tener acceso a los archivos esenciales sin dañar la integridad
de los archivos personales de cada empleado.
5) Implementación de contraseñas únicas para las computadoras y solo permitir el

acceso a personal autorizado de la empresa.


Esta auditoría se efectuó en una empresa particular, denominada “Soluciones al

Campo SCP”, la cual fue autorizada por el representante general de dicha empresa.
Ing. Gerardo Villegas Palmer.

Ing. Aarón Villegas Palmer.
Biólogo. Esteban Eduardo Benítez Inzunza.
Ing. Evaristo Cano Ascencio.
Presente:
Señores:
Soluciones al Campo SCP.
Tenemos el agrado de dirigirnos a ustedes a efectos de poder prestar nuestros
servicios para poder realizar una auditoría en la empresa “Soluciones al Campo SCP” y
a término de este poder mostrar el alcance del trabajo de la auditoría realizada a su
empresa de la última semana de Agosto a la primera semana de Diciembre, en la cual
realizamos diversas sugerencias a los análisis de los procedimientos y controles
identificados que detallamos a continuación.
 Asesorías a la Dirección de la empresa, enfocándonos principalmente a los

aspectos informáticos con los que cuentan.
 Asesorías en las cuestiones de seguridad y procedimientos administrativos.
 Emitiremos informes con las diversas situaciones que reflejan debilidades
potenciales que deben tomarse en cuenta al igual que los efectos y riesgos que
dichas situaciones conllevan.
Equipo de trabajo.
La presente auditoria será realizada por un equipo de trabajo el cual ha sido
seleccionado para brindarle un servicio de calidad, ya que cuentan con experiencia en
el ámbito informático. Este equipo será supervisado para que los objetivos planteados
con anterioridad se lleven a cabo de una forma correcta.

Informes.
Una vez que se esté realizando la auditoría s tendrán que realizar juntas con los
directivos de la empresa para poder expresar nuestros puntos de vista y nuestros
resultados de los trabajos realizados en la empresa y de esta informa poder hacer que
nuestros clientes sepan cuál es el estado de su empresa. Esta tarea se estará
realizando en la tercera semana de haber empezado la auditoria.
PRESUPUESTO.
Tomando en cuenta nuestra poca experiencia y la trayectoria que tenemos en el ámbito
informático, consideramos que nuestros honorarios serán de 66,000 pesos (sesenta y
seis mil pesos mexicanos) el cual se empezará a pagar en la primera quincena de
septiembre con un monto de 8250 pesos. Este será el monto que se pagará durante
toda la auditoría quincenalmente.
Esperamos que con este documento estemos planteando todos nuestros enfoques y
propuestas y que con nuestra experiencia en el ámbito informático podamos realizar
en la empresa Soluciones al Campo SCP todo lo propuesto.
Quedamos a su disposición para responder cualquier duda que tenga en cuanto al

trabajo que realizaremos en su empresa y sin más que decir le enviamos un cordial
saludo.
Atentamente.

ANEXOS

CUESTIONARIOS
1.- ¿Cuentan con algún programa de mantenimiento de equipo establecido?
R.- Contamos con un técnico el cual es el encargado de brindar mantenimiento

al equipo de cómputo y a veces requerimos de empresas externas para tales
cuestiones.
2.- ¿Cada cuándo se realiza el mantenimiento al equipo de cómputo?
R.- En realidad no se cuenta con un periodo programado para el mantenimiento,

si no que cada quien determina que se debe realizar mantenimiento a su
computadora cuando detecta algún tipo de fallo.
3.- ¿Qué medidas se toman para resguardar la información importante de la

empresa?
R.- Para la cuestión del respaldo de información, se compró un disco duro

externo que está a disposición del personal para que en el momento que
requieran, cada quien realice el respaldo de su información.
4.- En cuanto a las instalaciones eléctricas… ¿Considera que se encuentran en

estado óptimo para el adecuado funcionamiento del equipo?
R.- Hasta el momento no hemos presentado problemas con las instalaciones

eléctricas aunque cabe destacar que algunos cables ya se encuentran en mal
estado debido a la antigüedad del edificio.
5.- ¿Cuentan con dispositivos de regulación y respaldo de energía eléctrica?
R.- Solamente dos de los equipos cuentan con reguladores de energía (No UPS)
individuales. Los demás usan conectores múltiples.
6.- ¿Instalan software original en el equipo?

R.- Se procura que todo el software a instalar sea original para evitar cuestiones
legales.
7.- ¿Cuentan con un lugar específico para resguardo de documentos?
R.- Contamos con una bodega en la cual se almacenan tanto documentos como
equipos electrónicos.
8.- ¿Considera cómodo el lugar donde cada quien desempeña sus labores?
R.- En cuestiones de comodidad, se han adquirido muebles ergonómicos de

buen tamaño.
9.- ¿Existen medidas que regulen el ingerir alimentos en las estaciones de trabajo
o en algún sitio de las instalaciones?
R.- En realidad, no ya que está bajo la responsabilidad de cada quien determinar

si mantiene limpia su estación de trabajo. También contamos con una pequeña
cocineta para que los empleados se preparen un café o tomen agua.
10.- ¿Cuentan con procedimientos de seguridad en caso de contingencia?
R.- No hay un documento estipulado para tales situaciones. Por el momento las
decisiones se toman en base de la experiencia de cada quien.
11.- ¿Cuentan con medidas de control de acceso a la empresa?
R.- Hasta el momento solamente pueden tener acceso a la empresa a cualquier

hora del día tres personas (dueños) mediante el uso de llaves. No se lleva un
registro de las entradas y salidas del personal.
12.- ¿Cuentan con medidas de control de acceso a los sistemas?
R.- Cada quien tiene asignada una contraseña a sus computadoras personales
(Laptops). Las computadoras de escritorio no tienen contraseña asignada debido
a que a veces se necesitan documentos que estas contienen.
13.- ¿Cuentan con extintor de incendios?

R.- Por el momento no contamos con extintor.
14.- ¿Cuentan con salidas de emergencia?
R.- Las salidas de emergencia son la entrada principal y la puerta trasera que
son las más amplias y accesibles.
15.- ¿Se encuentran en buen estado las cerraduras?
R.- La única cerradura que se atora un poco es la de la entrada principal.

CHECKLIST
CONTROL Si No
Programa de mantenimiento de equipo X
Respaldo de información X
Buen estado de instalaciones eléctricas X
Regulación y respaldo de energía eléctrica X
Uso de software original X
Resguardo de documentos X
Aspectos de ergonomía X
Regulación de alimentos en estaciones de trabajo X
Planes de contingencia X
Control de acceso a la empresa X
Control de acceso al sistema X
Extintores X
Salidas de emergencia X
Capacitación del personal X
Políticas de seguridad X
Climatización X
Señalamientos X
Alarmas de seguridad X
Uso adecuado del equipo electrónico X
PLAN DE AUDITORIA
RECOPILACION DE LA INFORMACION
Lugar donde se efectuara la auditoria

La auditoría se realizara en una empresa particular, denominada “Soluciones al Campo

SCP”, la cual fue autorizada por el representante general de dicha empresa.
Descripción de la empresa
Soluciones al Campo es una empresa de servicios avanzada de Consultoría,
formación, integración e innovación para personas físicas, empresas privadas e
institucionales. Fundada en el 2003 en la Ciudad de Chetumal, Quintana Roo, por
profesionales de distintas especialidades siendo su RFC: SCA0302156I1.
Ha trabajado con diversas instituciones públicas y privadas, en el manejo de proyectos

de Recursos Naturales, en el cual se le otorgan facultades para regular, fomentar,
conducir, y evaluar en materia de manejo y aprovechamiento sustentable de los
recursos y protección al ambiente, así como llevar a cabo las acciones necesarias para
una gestión de administración ambiental, agrario, apiario.
Razón social: Soluciones al Campo S.C.P.
Figura legal: Sociedad Civil Particular
Director General: Ing. Gerardo Villegas Palmer
Domicilio: Calle Xcalak No. 353, Esq. Isla Cancú n,

Colonia Adolfo L. Mateos CP., 77010,
Chetumal, Quintana Roo, México.
Datos generales de la empresa.

Objetivo
El objetivo de la auditoría es evaluar los controles, procedimientos y operaciones con

que se está trabajando para que por medio de esta se puedan establecer controles
para la mejora de las funciones existentes en la empresa.
Organigrama de la empresa
Recopilación de la información
La recopilación de la información se realizo teniendo en cuenta los flujos de información

entre el personal de la empresa y que fueron necesarios para su eficiente gestión,
siempre y cuando tales corrientes no distorsionen el propio organigrama. Esta
recopilación se realizo por medio de cuestionarios y entrevistas, con la cooperación del
personal de la empresa y en las fechas previamente establecidas. Con herramientas
como los cuestionarios, formatos de checklist y con la documentación proporcionada
por la misma empresa.

PERSONAL PARTICIPANTE
El personal que realizara la auditoria son los siguientes:

Nombre completo Carrera Semestre No Control
Canto Serrano Ricardo Javier Lic. Informática 9 06390480
Correa Briceño Raúl Joe Lic. Informática 9 06390494
Zapata Cárdenas Álvaro Adrian Lic. Informática 9 063904
El personal de la empresa a auditar son los siguientes:
NOMBRE PERFIL PERFIL DE TRABAJO DESARROLLADO

PROFESIONAL
Aarón Ingeniero Agrónomo Organización de Productores, Micro
Villegas Especialista en financiamientos y créditos, trabajos realizados
Pálmer Zootecnia con la Secretaria de la Reforma Agraria;
Formulación y Evaluación de Proyectos, Trabajos
en desarrollo y modificación de reglamentos
internos en diferentes ejidos de sureste.
Esteban Biólogo Especialista en estudios de Flora.

Eduardo
Benítez
Inzunza
Evaristo Cano Ingeniero Agrónomo Especialista en Desarrollo Regional, Diseño de

Ascencio Especialista en Empresas Agropecuarias, Facilitación de talleres,
Zootecnia Formulación y Evaluación de Proyectos.
Gerardo Ingeniero Agrónomo Formulación y Evaluación de Proyectos

Villegas Especialista en Agropecuarios, Plantaciones Forestales
Pálmer Zonas Tropicales. Comerciales y Sistemas de Producción Apícola,
Trabajos en desarrollo y modificación de
reglamentos internos en diferentes ejidos del
sureste.
Marilú Licenciada en Especialista en Desarrollo Rural Sustentable.

Villegas Desarrollo
Pálmer Sustentable
Blanca Licenciada en Control de lo administrativo, contable y financiero

Aguillón administración de de la empresa
Moreno empresas
Alejandro Técnico en Computo Encargado del soporte, mantenimiento preventivo

Ibarra y correctivo de los equipos de computo.
Pamela Ing. Agrónoma Encargada de ejecutar los proyectos existentes.

Anguiano
Alba
Nelson Técnico de campo Encargado de efectuar los diagnósticos de campo

González
Guerra
Marlene Poot Asistente Asistente Administrativo

Poot Administrativo
EVALUACION DE LA INFORMACION
Con la información obtenida en las fases anteriores, se procederá al análisis y

evaluación de la calidad de la información obtenida por parte del personal de la
empresa, y así determinar si es necesario realizar otra visita, o continuar con la
información con que se cuenta.
Para evaluar la información existen varios criterios que utilizaremos como lo son los
alcances, autoridad, credibilidad, actualidad, objetividad y exactitud que a medida que
se vaya desarrollando la auditoria y el proyecto lo iremos plasmando.
RECURSOS MATERIALES Y FINANCIEROS
Se encuentra en el documento en Project Manager.

EVALUACION DE LA INFORMACION DE ACUERDO AL RIESGO

Se evaluaran las medidas de seguridad con las que cuentan las instalaciones de la
empresa, por ejemplo el uso que se les da a los equipos que sea el adecuado, el
control que existe en la empresa con el personal que labora en ella, así como con los
visitantes, la información que se introduce a las computadoras sea la adecuada. Esto
con ayuda de herramientas como un checklist, y otros formatos de evaluación que
serán diseñados y determinados por los propios integrantes del equipo auditor.


PLAN DE CONTINGENCIA DE INFORMÁTICA

De “Soluciones al Campo SCP”
INTRODUCCIÓN
Un negocio tiene la responsabilidad con sus clientes e inversionistas de salvaguardar y
proteger todos sus activos financieros. La supervivencia de las empresas hoy en día,
depende cada vez más en mantener una continuidad en sus operaciones.
Este manual es una guía, según los estándares de planes de contingencia informático,
para que en la empresa de “Soluciones al Campo SCP” defina y documente un Informe
de Trabajo derivados de la definición del Plan de Contingencia de Informático.
El plan de contingencia es una estrategia planificada con una serie de procedimientos

que nos faciliten o nos orienten a tener una solución alternativa que nos permita
restituir rápidamente los servicios de la organización ante la eventualidad de todo lo
que lo pueda paralizar, ya sea de forma parcial o total. El plan de contingencia es una
herramienta que le ayudará a que los procesos críticos de la empresa u organización
continúen funcionando a pesar de una posible falla en los sistemas computarizados. Es
decir, un plan que le permite a la organización seguir operando aunque sea al mínimo.
Los desastres no pueden ser planeados y no existe ningún plan en el mundo que
pueda asegurarle ya sea a una empresa, institución, o país, que sobrevivirá fenómeno;
pero un plan bien organizado puede incrementar las probabilidades de sobrevivir,
minimizando las interrupciones de clientes y empleados.
Finalmente, se espera que el plan sea implementado, antes, durante y después del
desastre. El hecho de planear con anticipación le permite a usted y a su empresa estar
preparado, y actuar lo antes posible, minimizando todo el daño posible.

OBJETIVOS
Objetivo General
El propósito principal de este plan es de documentar las estrategias para la
recuperación del negocio, planes, y procedimientos necesarios de implementar en el
desastre. El plan contendrá objetivos claramente conocidos por todas las personas que
participen en el plan de emergencia. Estos objetivos son importantes para saber que
se persigue alcanzar con este tipo de plan. Los objetivos básicos para el plan para la
recuperación del negocio son:
 Velar por la salud y la seguridad de todas las personas que laboren en las
instalaciones de la empresa.
 Asegurar una rápida ordenada respuesta a las distintas situaciones de
emergencia a las que se pueda enfrentar la empresa.
 Proteger y minimizar pérdidas en propiedad, bienes, e información.
 Recuperar los procesos más importantes de manera inmediata.
 Que la empresa vuelva a operar de manera normal, eficientemente, con bajo
costo y rápidamente.
 Asegurarse de que exista una continuidad en los procesos críticos para el
funcionamiento de la empresa.
Objetivos Específicos
 Determinar y clasificar las operaciones criticas para la entidad.
 Identificar los ambientes existentes en la empresa que se vean afectadas en caso de
siniestro.
 Establecer los controles que sean necesarios y que permiten mantener a empresa fuera
de peligro.
 Establecer los procedimientos necesarios ante la ocurrencia de eventos no favorables,
para garantizar un nivel de los recursos disponibles y/o la supervivencia de la empresa
en caso de un siniestro.
 Garantizar la continuidad de las operaciones de los elementos considerados críticos que
componen la empresa.
 Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que
componen a la empresa.

1. PLANIFICACIÓN DE CONTINGENCIA.
El Plan está orientado a establecer, junto con otros trabajos de seguridad, un adecuado
sistema de seguridad física y lógica en previsión de desastres.
El plan de contingencia contempla cinco acciones esenciales, las cuales son:
1.1 Actividades Asociadas
 Análisis de Riesgos:
Herramienta de gestión en estudios financieros y de seguridad para identificar
riesgos y otras para evaluar riesgos.
 Medidas Preventivas:
Conjunto de acciones a realizar para prevenir cualquier contingencia que afecte la
continuidad operativa, ya sea en forma parcial o total. Esta se enfoca a reducir el
impacto, permitiendo restablecer a la brevedad posible los diferentes aspectos
reducidos.
 Medidas de Detección:
Deben contener el daño en el momento, así como limitarlo tanto como sea posible
contemplando todos los desastres naturales y eventos no considerados.
 Plan de Respaldo:
Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su
finalidad es evitar dicha materialización. Estos respaldos pueden variar desde archivos
del sistema operativo, bases de datos, hasta archivos de un usuario común.
 Plan de Recuperación:

Abarcan el mantenimiento de partes críticas entre la pérdida de los recursos, así como
de su recuperación o restauración.
2. ANÁLISIS DE RIESGOS
Un análisis de riesgo es el proceso de identificar los riesgos a los que está expuesta la
empresa, incluyendo las probabilidades que estos eventos pasen, la vulnerabilidad de
la empresa ante esos acontecimientos, etc. Y deben definirse que controles son
necesarios para minimizar la probabilidad de que estos sucedan y afecten el
rendimiento de la empresa. Análisis de impacto que un desastre tendría en su empresa
se refiere al proceso de identificar todas las actividades criticas, el personal y sus
habilidades, los procedimientos de la empresa, sus prioridades, requerimiento de
sistemas, equipo, sistemas de copias y archivos, suministros, servicios y otros recursos
para todos los departamentos de su organización y cuantificar el impacto que tendría
en sus activos tangibles e intangibles.
Se pueden identificar muchos escenarios en los que la empresa se ve afectada de

manera no deseada. Es probable que la empresa se haya tropezados con algún tipo de
desastre con anterioridad. El análisis de riesgos ayuda a identificar el tipo de
situaciones que podrían afectarle seriamente a su organización, basándose en
experiencias anteriores.
Para realizar un análisis de los riegos, se procede a identificar los objetos que deben
ser protegidos, los daños que pueden sufrir, sus posibles fuentes de daño y
oportunidad, su impacto en la compañía, y su importancia dentro del mecanismo de
funcionamiento. El análisis de riesgo difiere esencialmente en la manera de estimar la
probabilidad de ocurrencia de una amenaza y en la forma de determinar el impacto en
la organización.


2.1 Bienes Susceptibles de un daño
a) Infraestructura
b) Personal
c) Hardware y Software
d) Datos e Información
e) Documentación
f) Suministro de Energía Eléctrica
g) Suministro de Telecomunicaciones
2.2 Daños
Nadie espera ni puede predecir, cuando ni donde puede ocurrir un desastre, pero es
absolutamente importante que se esté preparado para estos acontecimientos con
anticipación. Un desastre en una empresa se presenta cuando un fenómeno natural o
tecnológico en un espacio y tiempo determinado ocasión daños en las instalaciones,
pérdidas materiales, económicas, en el peor de los casos humanos, hasta el grado de
que las funciones esenciales de la empresa se interrumpen parcial o totalmente, lo cual
da como resultado una perdida que no solo se refleja en lo económico.
a) Imposibilidad de acceso a los recursos debido a problemas físicos en las instalaciones

donde se encuentran los bienes, sea por causas naturales o humanas.
b) Riesgo de electrocutarse si se mojaron los circuitos y los equipos eléctricos o si éstos
están en el agua o cerca de la misma.
c) Imposibilidad de acceso a los recursos informáticos por razones de infraestructura por
posibles derrumbes o inundaciones.

2.4.- Fuentes posibles de daños.

Desastres naturales.
Hidrometeorológicos.
Termino genérico empleado para designar ciertos fenómenos del tiempo, que
dependen mayormente a las modificaciones del vapor del agua en la atmósfera.
Entre ellos podemos detectar:
 El huracán
Sin duda el más devastador de los fenómenos de origen Hidrometeorológico ya que
frecuentemente desencadena en Lluvias intensas, Desbordamiento de ríos y Vientos
fuertes, por lo que vale la pena mencionar los fenómenos que lo anteceden.
 Tormenta tropical
Es un ciclón tropical, en el cual los vientos máximos sostenidos alcanzan velocidades
entre los 63 y 118 km. /h. Las nubes se distribuyen en forma espiral y comienza a
desarrollarse un "ojo" pequeño.
Inundaciones.
Es la invasión de agua por exceso de escurrimientos producido por su acumulación en
terrenos planos, por falta de drenaje ya sea natural o artificial, esta es una de las
causas de mayores desastres en centros de cómputo.
Incendios.
El fuego es una reacción química entre dos substancias, una que se denomina
combustible y la otra comburente, aún cuando, en realidad, se puede decir que es una
reacción de transferencia electrónica donde hay un donador de electrones y otro, que
es receptor.

Se considera que para que exista fuego se requiere la presencia de tres factores que
son:
1.- Combustible.
2.- Aire (oxigeno).
3.- Calor.
Por ser tres los factores anteriores, se le acostumbra relacionar su presencia con la
figura geométrica denominada triangulo, por lo que se le ha dado por llamar “triangulo
del fuego”.
Por otra parte y en virtud que ciertos agentes extintores son más eficientes en algunos
tipos de combustibles que en otros, en la NOM-002-STPS se encuentran clasificados
los fuegos en cuatro tipos o clases:
 Fuegos clase “A”.- son aquellos en donde el combustible es sólido y arde en

forma brasa.
 Fuegos clase “B”.- son aquellos en los que el combustible es un liquido o gas a
temperatura ambiente.
 Fuegos clase “C”.- ésta clasificación es para equipos o circuitos eléctricos

energizados en donde se pueden quemar algunos o todos sus componentes.
 Fuegos clase “D”.- este tipo de fuegos se caracteriza porque el elemento combustible
es algún metal, lo que hace que presente un mecanismo de reacción totalmente distinto
a los otros tres tipos.

Fallas de Hardware
a) Falla en el Servidor de Aplicaciones y Datos, tanto en su(s) disco(s) duro(s)

como en el procesador central.
b) Falla en el hardware de Red:
- Falla en los Switches.
- Falla en el cableado de la Red.
Fallas de software.
a) Fallas por problemas de compatibilidad en las aplicaciones instaladas en los equipos.

b) Caducidad de licenciamiento de los programas y aplicaciones en los equipos.
c) Ataques por parte de virus informáticos a los equipos de la organización.
d) Falla en el sistema operativo o cualquier software instalado en los servidores que de
soporte a la operación de los servicios
Acceso no autorizado.
Cuando alguna persona ajena a la empresa soluciones del campo ingresa a las
instalaciones sin permiso o autorización.
Hackeo
Intromisión no calificada a procesos y/o datos de los sistemas, ya sea por curiosidad o
malas intenciones.

2.5 Expectativas anuales de daños.
Para evitar la pérdida de información se recomienda realizar periódicamente los

respaldos de toda la información de los sistemas, y también de los equipos de
cómputos del personal.
Las siguientes acciones deberán tomarse para iniciar todas las actividades de
evaluación de daños. Es importante conocer la hora en que se esté realizando la
evaluación para iniciar las actividades de apoyo y garantizar la prevención, así como
los gastos para iniciar estas actividades. Precisar la información para poder tomar
decisiones y determinar el inicio de las actividades de apoyo. El estado de los recursos
será registrado en el formato de evaluación de daños.
1.- Seguridad: Determinar la seguridad para entrar al área afectada para realizar la
evaluación. Verificar cualquier tipo de ruido en los edificios, la calidad del aire, equipos
de seguridad, energía, condiciones ambientales, etc.
2.- Personal: Determinar el estado de todos los empleados que laboran en esa área.
Establecer el grado de las pérdidas en el personal, y registrar cualquier tipo de
información acerca de intervenciones médicas, o traumatológicas.
3.- Equipo: Determinar el estado del equipo y su capacidad para continuar operando y
a qué nivel.
4.- Comunicaciones: Cuantificar el estado de las comunicaciones y su capacidad para

seguir apoyando las funciones nórmales, y estimar el daño ocasionado por el siniestro.
5.- Servicios y bienes: Determinar la magnitud del daño físico. Estimar el grado de
deterioro de las operaciones representadas por la falla o el periodo de tiempo en el cual
el acceso sea denegado.

6.- Transportación: Vehículos programados para dar apoyo en caso de una

contingencia en las operaciones, determinar si la situación de emergencia ha afectado
la disposición de esos vehículos.
7.- Medios de Información: Verificar las condiciones de las cintas, formatos

especiales, disquetes, sistemas de computación y cualquier otro tipo de sistema de
información, que pueda haber sido afectado a raíz del siniestro.
3. MEDIDAS PREVENTIVAS.
3.1.- Control de acceso.
a). Acceso físico a personas no autorizadas.
El acceso físico a los diferentes sitios que se encuentran en la empresa se encuentran

restringidos por puertas con seguridad, a las cuales solo el personal de informática
tendrá acceso, esto con la finalidad de evitar cualquier fallo ocasionado por personal
ajeno a ésta. El acceso a las puertas con seguridad, deberá de ser cambiada
periódicamente. En estas puertas todo el personal de Informática tiene acceso.
b). Acceso Restringido a las librerías, programas y datos.
Parte del control de usuarios por medio del controlador de dominio, es poder
determinar a que tiene acceso un usuario o no, así como las capacidades de estos
para instalar programas, librerías o acceso a ciertas carpetas dentro de los equipos o
servidores.
C. Acceso a la red de PC’s y Servidores.
Tanto el acceso a red de pc’s y servidores, se encontrará controlado por un controlador

de dominio el cual determinará los equipos pertenecientes a la red; así como usuarios y

Contraseñas, brindando diferentes niveles de seguridad. Como medida preventiva, se

solicita el cambio de la contraseña de acceso a todos los usuarios de forma periódica.
Se debe contar con una bitácora de toda aquella persona que ingresa a las
instalaciones de la empresa.
Esto aparte de la seguridad que se le brinda a las instalaciones de la empresa cuando

se encuentra fuera del horario laboral (veladores o guardias). El acceso hacia el área
de SITE debe de ser restringida a solo el personal autorizado.

4.- PREVENCIÓN DE DESASTRES NATURALES.
Prever las condiciones meteorológicas es fundamental para la vida de una personal, y

también para la empresa, contar con áreas acondicionadas para el resguardo del
personal es indispensable para evitar pérdidas dolosas.
¿Qué hacer en caso de un fenómeno Hidrometeorológico?
¿QUÉ HACER ANTES?

 Colocar puertas y ventanas anticiclónicas.
 Planta de energía eléctrica de emergencia.
 Colocar techo, paredes falsas en caso que se requiera.
 Comprar garantías para los equipos de cómputo
 Retirar al personal que resulte sobrante tenerlo en las instalaciones de la empresa
¿QUÉ HACER DURANTE?

 Se debe de ejecutar un plan de contingencia efectuado, aplicándolo de tal manera que
se pueda prevenir o evitar un mínimo desastre o destrucción posible en la empresa.
¿QUÉ HACES DESPUÉS?
 Verificar si todo está en orden.
 No encienda sus equipos de cómputo hasta determinar que no exista un mínimo de
riesgo posible.
 Hacer un análisis o inventario de la perdida de todo el material.
De ser necesario reubique sus instalaciones hasta tener todo bajo control y en una
situación favorable.

¿Qué hacer en caso de una inundación?
¿QUÉ HACER ANTES?

 Verificar o asegurar que la empresa se encuentre ubicada en un lugar seguro.
 Verificar que la empresa se encuentre a nivel mayor al de suelo exterior.
 Tener puertas aseguradas para evitar la entrada del agua.
 Tener en cuenta si existen canales de desagüe, en caso contrario tomar las medidas
adecuadas para efectuarlas.
 Verificar que las ventanas se encuentren bien cerradas, para que no pueda escurrir el
agua.
 Contar con seguro para la empresa.
 Contar con respaldos de toda la información existente e importante para la empresa.
 Contar con garantías de todos los equipos de cómputo por si llega a ocurrir daño
alguno.
¿QUÉ HACER DURANTE?

 Verificar que todo la empresa este bien asegurado.
 Apagar y desconectar todo el equipo de cómputo y todo aparato eléctrico para evitar
corto circuito alguno.
¿QUÉ HACER DESPUÉS?

 Verificar la existencia de equipo dañado.
 No encender ningún equipo eléctrico hasta estar seguros de que el peligro haya
trascurrido.
 Efectuar un análisis minucioso de la perdida existente.
 Notificar al dueño o representante legal de la empresa para tomar medidas en caso
alguno.

¿Qué hacer en caso de un incendio?
¿QUÉ HACER ANTES?

 Lo primero es confirmar que los extintores estén en buenas condiciones y que no estén
caducados o en mal estado.
 En caso contrario, es preferible comprar otros.
 Colocar los extintores en lugares estratégicos y visibles para el personal.
 Identificar la ruta de la salida de emergencia.
 Ejecutar simulacros para determinar el cargo de cada empleado
 Reduzca las áreas para fumadores a zonas con buena ventilación sin elementos
inflamables como cortinas y alfombras.
 Evite conectar múltiples aparatos en el mismo tomacorriente
 Evite sobrecargar los cables con extensiones o equipos alguno
 Verificar que el cableado eléctrico este en buenas condiciones de lo contrario
cambiarlos.
 Instale paredes contra fuego, puertas blindadas que permitan aislar el fuego en ciertas
áreas.
¿QUE HACER DURANTE?
 Si descubre el incendio intente sofocarlo con el extintor más cercano, sólo si
sabe cómo usarlo.
 No intente apagar el fuego en forma violenta.
 Aleje en la medida de lo posible los objetos y materiales que puedan provocar un
incendio mayor.
 Mantenga la calma.
¿QUÉ HACER DESPUÉS?
 No encienda sus equipos de cómputo y aparatos electrónicos hasta asegurar que
todo está bajo control.
 Verifique que el personal este sano y salvo.
 Análisis o inventario de las pérdidas que se tuvo.
 Retírese del área siniestrada, pues el fuego puede reavivarse.

5. Plan de Respaldo
Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su

finalidad es evitar dicha materialización. Estos respaldos pueden variar desde archivos del
sistema operativo, bases de datos, hasta archivos de un usuario común.
La tecnología no está exenta de fallas o errores, y los respaldos de información son utilizados
como un plan de contingencia en caso de que una falla o error se presente.
Las interrupciones se presentan de formas muy variadas: virus informáticos, fallos de
electricidad, errores de hardware y software, caídas de red, hackers, errores humanos,
incendios, inundaciones, etc. Y aunque no se pueda prevenir cada una de estas interrupciones,
la empresa sí puede prepararse para evitar las consecuencias que éstas puedan tener sobre su
negocio. Del tiempo que tarde en reaccionar una empresa dependerá la gravedad de sus
consecuencias.
La pérdida de información provoca un daño de fondo:
 Pérdida de oportunidades de negocio
 Clientes decepcionados
 Reputación perdida
 Etc.
Planificación de la copia
Las copias de seguridad se realizan de forma automática por un programa de copia, y según la
configuración de éste, se podrá realiza diariamente, a medida a como los usuarios vayan
avanzando en sus labores aun así y el sistema esté inactivo. Todos estos y muchos más
parámetros pueden estar presentes en los programas que realizan las copias de seguridad y
deben permitirnos la realización únicamente de las tareas de supervisión. Cuando se hace el
backup se hace una copia completa de la red de trabajo que incluye una copia de datos,
información y programas, restaurando el sistema al momento anterior a la copia.

Debido a la importancia de los sistemas y aplicaciones de la empresa “Soluciones al

Campo”, es necesario realizar un proceso de respaldo que asegure que en caso de
contingencia sea posible restaurar éstos para su funcionamiento.
Respaldo de Datos
En “Soluciones al Campo” todos los sistemas y aplicaciones de manejo de Información

cuentan con una base de datos para cada uno de ellos respectivamente. Estas bases
de datos están soportadas por un Motor de Bases de Datos Microsoft SQL Server
2005.
El proceso de respaldo de las bases de datos dentro del SQL Server se trata de un
plan de mantenimiento el cual se puede programar, determinando la periodicidad en
horas, días, etc. De la misma forma, se puede determinar la ubicación donde se
guardará el respaldo resultante. Cabe mencionar que al tratarse de un plan de
mantenimiento se nos preguntará sobre optimizaciones, comprobaciones de integridad.
Respaldo del Sistema o Aplicación
En nuestro caso en la empresa contamos con sistemas que se basan en clientes,

basta con tener un respaldo de la última versión del código fuente e instalador, se
respalda constantemente la versión de producción, ya que es susceptible a
modificaciones o fallos, por lo cual en caso de contingencia si se podría restablecer la
última versión funcional. Éste a su vez es calendarizado en el programador de tareas
de Windows el cual determinará la frecuencia y hora en que se realizará.

6. PLAN DE RECUPERACIÓN:
El plan de recuperación viene de la mano del plan de respaldo pues de la información

respaldada se realiza la recuperación en caso de algún inconveniente. Hoy en día Para una
empresa que maneja sistemas informáticos es indispensable tener un plan de recuperación, y
personal capacitado para efectuarlo.
La restauración de los datos es el fin por el que hay que luchar a la hora de realizar una buena
planificación de copias de seguridad. Los backups tiene como objetivo hacer frente a cualquier pérdida de
datos y poder mantener la continuidad del negocio, por lo que si contamos con una correcta planificación
de copias de seguridad, lo único que nos falta para que la organización pueda seguir funcionando es
restaurar los datos y volver a la situación previa al desastre o la interrupción.
Objetivos
Los objetivos del plan de recuperación son:
 Determinación de los procedimientos para respaldar las aplicaciones y datos

 Planificar la reactivación de la operación interrumpida producida por un desastre de los
sistemas prioritarios
 Permanente mantenimiento y supervisión de los servicios, sistemas y aplicaciones
 Establecimiento de una disciplina de acciones a realizar para garantizar una rápida y
 Oportuna respuesta frente a un desastre
Alcance del plan de recuperación.
La responsabilidad sobre el Plan de Recuperación es de la Administración, la cual debe

considerar la combinación de todo su personal, equipos, datos, sistemas,
comunicaciones y suministros.

Etapas.
 Decisión.
La decisión de cuando efectuar el plan de recuperación queda a cargo del Ing. GERARDO
VILLEGAS PALMER director general de Soluciones del campo, cabe mencionar que
este debe ser efectuado cuando las condiciones del ambiente estén propicias para
laborar normal.
 Duración.
La duración del plan se determinara de acuerdo a las necesidades que se presenten y
la capacidad de los equipos de trabajo para procesar la restauración y recuperación de
los sistemas. De igual forma se puede crear un comité entre el mismo personal que
tenga conocimientos suficientes para determinar si la recuperación puede realizarse
con todas las condiciones favorables.
 Aplicación del plan.

La aplicación del plan será determinado por el jefe del departamento de informática y
con ayuda del director de soluciones del campo. Estos determinaran cuando y cuanto
va durar la recuperación de la información y que herramientas necesitan para llevarlo a
cabo completo.

Informe Final - Equipo 9B

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe Final - Equipo 9B

Cargado por

Copyright:

Formatos disponibles

INSTITUTO TECNOLÓGICO

Chetumal, Q. Roo a 3 de Diciembre del 2010

Asunto: Informe Final

Por medio de la presente emitimos el informe de resultados de la auditoría

Las actividades realizadas comprenden la evaluación de la estructura

En el informe se incluye el dictamen final de la auditoría así como las

Esperamos que los resultados y comentarios obtenidos le sean de utilidad.

Agradecemos la colaboración prestada durante nuestra visita por todo el

Ricardo Javier Canto Serrano

Lic. en Informá tica 9B – Auditoría en Informá tica Page 2

ASUNTO: INFORME FINAL................................................................................................................................... 2

ALCANCES Y LIMITACIONES DEL TRABAJO........................................................................................................... 7

MALA IMAGEN DE LA EMPRESA.......................................................................................................................................8

2. COORDINACIÓN DEL PERSONAL...................................................................................................................... 8

DESCOORDINACIÓN DEL PERSONAL..................................................................................................................................8

3. SATISFACCIÓN DEL USUARIO........................................................................................................................... 8

INSATISFACCIÓN DEL USUARIO.........................................................................................................................................8

Lic. en Informá tica 9B – Auditoría en Informá tica Page 3

DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE APLICACIONES.............................................................17

RECURSOS MATERIALES Y FINANCIEROS............................................................................................................ 40

EVALUACION DE LA INFORMACION DE ACUERDO AL RIESGO.............................................................................40

PLAN DE CONTINGENCIA DE INFORMÁTICA....................................................................................................... 42

1.1 ACTIVIDADES ASOCIADAS..........................................................................................................................................44

Lic. en Informá tica 9B – Auditoría en Informá tica Page 4

2.1 BIENES SUSCEPTIBLES DE UN DAÑO............................................................................................................................45

3.1.- CONTROL DE ACCESO.............................................................................................................................................51

4.- PREVENCIÓN DE DESASTRES NATURALES..................................................................................................... 53

¿QUÉ HACER EN CASO DE UN FENÓMENO HIDROMETEOROLÓGICO?......................................................................................53

Lic. en Informá tica 9B – Auditoría en Informá tica Page 5

Esta auditoría se efectuó en una empresa particular, denominada “Soluciones al

A continuación definiremos todos los puntos que se validaron:

 Inspeccionar que el personal cumpla con sus labores asignadas.

 Identificar y evaluar los equipos con los que cuenta la organización.

 Verificar la existencia de señales de seguridad en la empresa.

 Comprobar que los datos se encuentren correctamente almacenados.

 Evaluación del software existente dentro de la organización.

Lic. en Informá tica 9B – Auditoría en Informá tica Page 6

Lic. en Informá tica 9B – Auditoría en Informá tica Page 7

ALCANCES Y LIMITACIONES DEL TRABAJO

 El tiempo que tenemos para efectuar la auditoria en la empresa es limitado.

 Escasa documentación por parte de la empresa.

 Es la primera auditoría que se lleva a cabo en la empresa

Lic. en Informá tica 9B – Auditoría en Informá tica Page 8

2. COORDINACIÓN DEL PERSONAL

3. SATISFACCIÓN DEL USUARIO

Lic. en Informá tica 9B – Auditoría en Informá tica Page 9

Se realizó la visita a las instalaciones de la empresa Soluciones al Campo con el fin de

Figura 1.-Instalaciones de La Figura 2.- Sala de espera

Figura 1.-Instalaciones de La empresa Figura 2.- Sala de espera

A continuación se muestran las estaciones de trabajo que se encuentran en la

Lic. en Informá tica 9B – Auditoría en Informá tica Page 10

Figura 3.- Recepción Figura 4.- Área de captura de datos

Figura 5.- Área de dirección Figura 6.- Área de planeación

Lic. en Informá tica 9B – Auditoría en Informá tica Page 11

Figura 9.- Área de proyectos

Las actividades realizadas en la empresa son en su mayoría cuestiones administrativas

Lic. en Informá tica 9B – Auditoría en Informá tica Page 12

 Las operaciones de respaldo se realizan por parte del personal de informática

 La empresa se encuentra expuesta a que la única persona que realiza los

Sugerencias para las operaciones de respaldo.

Lic. en Informá tica 9B – Auditoría en Informá tica Page 13

 Realizar revisiones periódicas de la información que se respalda, por medio de

 Un personal informático es el que tiene todas las claves y sabe manejar la

Lic. en Informá tica 9B – Auditoría en Informá tica Page 14