Universidad Mariano Gálvez de Guatemala

Facultad de Ingeniería en Sistemas de Información

Maestría en Seguridad Informática

Guatemala

2018

Ensayo

“Auditoria Pastelería”

Daniel Espina 1293-08-9236

Plan Diario Vespertino

Sección: “A”

29 de noviembre de 2018
 2

Índice
Glosario ........................................................................................................................ 3
Introducción ................................................................................................................. 5
Objetivos ...................................................................................................................... 6
Objetivo general .................................................................................................................. 6

Fases de la auditoria ..................................................................................................... 7

Planeación: .......................................................................................................................... 7
Ejecución: ............................................................................................................................ 7
Informe: .............................................................................................................................. 7

Diagnóstico Preliminar................................................................................................. 8
Información del negocio ............................................................................................... 8
Descripción del negocio ................................................................................................ 8
Localidad e instalación del negocio ...................................................................................... 9

Metas ............................................................................................................................ 9
Objetivos ...................................................................................................................... 9
Misión ........................................................................................................................ 10
Áreas del negocio ....................................................................................................... 10
Organigrama de la organización ................................................................................ 11
Diagnóstico de IT en la empresa................................................................................. 13
Justificación ............................................................................................................... 14
Matriz de riesgos ........................................................................................................ 14
Plan general de auditoría informática ........................................................................ 15
Informe Final ............................................................................................................. 16
Recomendaciones............................................................................................................... 17

Anexos ........................................................................................................................ 19
Cuestionario ...................................................................................................................... 19
 3

Glosario

Auditoria: se refiere a la evaluación de un objeto mediante un análisis y emitir una opinión

sobre el mismo y si cumple con lo requerido.

Auditor: persona encargada de cumplir con el análisis y evaluar la calidad del trabajo
realizado en un área en particular.

Auditoria informática: proceso de recoger, agrupar y evaluar evidencias para determinar

el cumplimiento de los estándares o normas, utilizando de la mejor manera los recursos.

Auditor informático: es el encargado de evaluar y comprobar en determinados momentos

del tiempo, los controles y procedimientos informáticos más complejos mediante técnicas
mecanizadas de auditoria, incluyendo el uso del software.

Antena: dispositivo emisor o receptor que sirve para emitir ondas electromagnéticas.

Antivirus: programa para prevenir y detectar problemas de virus y neutralizarlos.

Aplicaciones: programas específicos a utilizar dentro de la empresa.

Automatizar: mejorar los procesos manuales para optimizar los tiempos.

Cómputo: calculo y operación matemática, también utilizada en el marco teórico para la

computación.

Control interno: cualquier actividad o acción realizada manual y /o automáticamente para

prevenir y corregir errores o irregularidades que puedan afectar al funcionamiento de un
sistema.

Dato: información dispuesta de manera adecuada para su tratamiento por un ordenador.

 4

Dominio: agrupación de objetos de control en etapa lógica.

Firewall: parte del sistema o una red que está diseñada para bloquear accesos no
autorizados.

Gestión: son las diligencias conducentes al logro de un negocio o empresa.

Hallazgos: debilidades o deficiencias encontradas en el estudio respecto a algún criterio

previamente establecido.

Políticas: es un documento que ofrece una estrategia a seguir con el propósito de

influenciar y guiar la toma de decisiones de una mejor manera.

Proceso: un conjunto de procedimientos influenciados por políticas y estándares de la

organización.

Procedimiento: método de ejecutar una serie común de pasos definidos para realizar un
trabajo de forma correcta.

Riesgo: es una vulnerabilidad de los bienes de una institución ante un posible o potencial
daño.

Seguridad física: barreras físicas y procedimientos de control, como medidas de

prevención ante amenazas a los recursos e información confidencial.

Seguridad lógica: barreras y procedimientos que resguardan el acceso a los datos.

Servicio: función o prestación desempeñado por organizaciones y su personal.

 5

Introducción

Se desea evaluar y detectar la eficiencia con la que se maneja la información dentro de

la empresa tomando en cuenta todos los aspectos que esto involucre por lo que se
examinarán los procesos, procedimientos y demás para detectar que se le esté dando un
buen uso a la tecnología como herramienta de trabajo.
Posteriormente a la auditoría se realizarán anotaciones o comentarios para mejorar los
aspectos más relevantes detectados durante el análisis a la empresa, haciéndole ver a la alta
gerencia, la importancia de invertir en el departamento de TI y normalizarlo para que tanto
la gerencia general como la gerencia de TI puedan garantizar que la información y la
confianza depositada en ellos es tan segura que los clientes pueden estar confiados en todos
los aspectos.
 6

Objetivos

Objetivo general

Realizar una auditoria informática a una empresa dedicada a la elaboración de pasteles

al por mayor tanto en los aspectos lógicos como físicos de los sistemas y tecnologías que
utilizan para las actividades diarias, se evaluará que cumplan con procesos, métodos y
procedimientos necesarios para documentar y llevar registro de los procesos.
La función de la auditoria no es de carácter obligatorio, se realiza el análisis de los
puntos encontrados, se solicita información que documente los procesos y se emite un
informe el cual indica una serie de pasos o procesos a implementar, al no ser de carácter
obligatorio, queda en manos de la gerencia apegarse a las recomendaciones descritas y/o
tomar las acciones pertinentes.
La finalidad de este tipo de auditorías es analizar y evaluar el correcto uso de la
información dentro de la empresa, verificar tiempos de respuesta, verificar que los
empleados cumplas con sus funciones, velar por que los usuarios se vean comprometidos
con el funcionamiento de la organización.
En este caso se realizará una auditoria informática donde se tratará de detectar los
puntos débiles dentro de la organización, el correcto uso de las herramientas como lo son
internet, bases de datos y demás herramientas que se pongan al servicio de los usuarios
validando la fiabilidad y exactitud de los datos procesados así como también poder detectar
y corregir errores teniendo como principal objetivo garantizar la continuidad del negocio.
 7

Fases de la auditoria

Para toda auditoría ya sea informática o no, se debe realizar con un modelo estándar que
ayudará a poder abarcar la mayoría de puntos, por lo que se mencionarán algunos aspectos.

Planeación:
Proceso donde se debe planificar como se realizará la auditoria, que pasos se deben cumplir
así como tener claras las herramientas y conocer el giro del negocio para poder auditar de
una mejor manera.

Ejecución:
Fase o proceso donde se plantea el trabajo que se realizará donde se desea detectar y
recuperar los datos, es decir recolectar la información y procesarla tomando en cuenta la
finalidad de la auditoría.

Informe:
Este punto es muy importante ya que es donde se presentan de forma clara, coherente y
entendible las conclusiones que es el resultado de los análisis donde se desarrollan las ideas
o sugerencias para disminuir las vulnerabilidades encontradas.
Se debe tomar en cuenta aspectos relevantes para poder tomar acciones frente a un
problema evidente, un riesgo o una amenaza.

 Controles preventivos
 Controles defectivos
 Controles correctivos
 8

Diagnóstico Preliminar

En la empresa a evaluar se detectó que se tiene mucha perdida de información, falta de

antivirus en los equipos, software sin licencia y demás puntos negativos en cuanto a la
informática se refiere, se aprecia que no se tiene centralizada la información y no se cuenta
con un servidor con proxy para controlar las conexiones a internet y crear filtros ya que por
el momento el personal pierde mucho tiempo navegando en sitios que no son permitidos
como lo son las redes sociales.
Al no tener controlado el acceso a internet para los usuarios, la empresa se ve seriamente
afectada con los tiempos y con la producción que se requiere ya que es un distractor muy
grande y difícil de atacar en muchos lugares.

Información del negocio

Empresa World Cake

Localidad Guatemala
Teléfono N/A
e-mail world.cake@hotmail.com

Descripción del negocio

Es una pastelería dedicada 100% a la elaboración de pasteles bajo pedido y pasteles

tradicionales para surtir diferentes panaderías y restaurantes donde desean proveer a los
clientes repostería de calidad. Así mismo también quieren complacer los altos gustos de las
personas exigentes y poder llegar a ser una pastelería reconocida y competir contra las
pastelerías más comunes de la región.
 9

Localidad e instalación del negocio

Se encuentra ubicado en una casa designada únicamente para diseñar y elaborar los
pasteles, cumpliendo con las normas y especificaciones que solicita el ministerio de salud.

Metas
La principal meta de la empresa es brindar confianza, fiabilidad y producto elaborado de
la mejor manera, cubriendo la mayoría de zonas dentro del casco capitalino.

Poder colocar en un corto plazo el servicio de Delivery para que sus clientes puedan
realizar compras en un tiempo mucho más rápido y servicio.

Poder también realizar la apertura de por lo menos 2 locales más en otros distintos
puntos del país.

Promocionar su producto cada mes a través de las redes sociales.

Incrementar las ventas en un 15% en un plazo de 6 meses.

Mantener una constante promoción y publicidad del negocio, por lo menos durante 4
meses.

Objetivos

Los objetivos principales que tiene el negocio es poder crecer en el transcurso del
tiempo y ser una de las pastelerías más conocidas de la ciudad.

Como objetivo a corto plazo ellos tienen que atraer la atención de los clientes más
exigentes, lograr tener una buena acreditación y tener un buen reconocimiento en la zona
donde se encuentran.
 10

Como objetivo a mediano plazo ellos tienen que establecerse como una empresa
productiva en la cual sus clientes tengan fe y gusto por los productos que adquieran y poder
tener un favoritismo con ciertos productos.

Dentro de sus objetivos a largo plazo, tienen que ser una empresa totalmente reconocida
y competente, con esto también lograr la identificación en la cual sus clientes ya estén
totalmente identificados con ellos y que se sientan parte de ella.

Misión

Tienen que ser una empresa orientada en todo momento a lograr que sus productos cuenten
con la calidad debida y que los clientes más exigentes buscan y merecen tener.

Áreas del negocio

 Gerencia
 Mercadeo
o Encargados de conseguir clientes potenciales.
o Promocionar el producto.
o Servicio al cliente.
 Contabilidad
o Encargado de llevar los libros contables.
 RRHH
o Encargado de verificar planilla del personal.
 Producción
o Encargado de comprar los insumos necesarios y cumplir con los tiempos de
los productos solicitados.
 11

Organigrama de la organización

Gerencia

Asistente de
Gerencia

Mercadeo Contabilidad Producción RRHH

 12

Concepto Descripción
Áreas del negocio
*Gerencia
*Informática áreas de la empresa
*Financiera
*Producción
Principales funciones de la empresa
*ofrecer pasteles de calidad
proyectos a implementar
*ampliar las ventas
*vender a más clientes
Objetivos del negocio los planes que la empresa tiene a corto,
Tienen que ser una empresa totalmente mediano y largo plazo debidamente
reconocida y competente fundamentados
Áreas de oportunidad que ofrece
Informática
*capacitaciones estos aspectos podrían implementarse
*talleres audiovisuales para mejorar procesos mediante la planificación con el
*diseño de pasteles departamento de RRHH para mejorar el
*impresión con tinta comestible servicio y producto ofrecido
*reportería
*mejor control de ventas e inventarios
 13

Diagnóstico de IT en la empresa

Concepto Descripción
Funciones de informática
mantener los equipos de cómputo en
*brindar equipos de cómputo para el personal
óptimas condiciones para el correcto
*brindar el sistema de facturación
funcionamiento de la empresa,
*llevar un control adecuado de los pedidos
coordinar y llevar control de los pedidos
*coordinar los envíos de la mano del
y entregar realizadas
departamento de producción
Objetivos de la función de IT
*facilitar el trabajo
desean poder mejorar los procesos
*agilizar los procesos de entrega y cobros
automatizando los que se puedan
*control de mejor manera los ingresos y
egresos
Políticas de IT
*actualmente no cuentan con políticas
*todos tienen acceso a las computadoras que
contienen los programas utilizados políticas que se deben establecer para
*no llevan backups de los equipos mejorar la eficiencia de la empresa
*todos tienen acceso a internet sin
restricciones *las computadoras no tienen
contraseña par el ingreso

Áreas de oportunidad para IT

*implementar sistema de backups
*creación de perfiles de acceso a internet
*limitar usuarios locales en los equipos
*crear perfiles para delimitar los accesos a los
áreas donde se puede mejorar e
archivos y programas
implementar mejoras con el
*implementar un proxy gratuito
departamento de IT
*centralizar la información en un equipo
personalizado
*crear un sitio adecuado para colocar los
equipos principales debidamente protegidos y
restringido el acceso
 14

Justificación

Se realizará una revisión de las áreas críticas relacionadas con el departamento de IT

donde se toman en cuenta una matriz de riesgos donde podemos observar los puntos a
auditar y un plan general de auditoría informática.

Matriz de riesgos

Empresa: World Cake Gerencia: Karla Rivas

Fecha de
nov-18
elaboración:
Representante: Aura Garavito
Antonio
Representante IT: Gutiérrez
Clasificación Área por
Áreas a auditar Puntos a evaluar Riesgo
del riesgo auditar
operación 10% capacitación
seguridad 20% normalizar
Software 40%
capacitación 5% legalizar
normas 5% operación
hardware 15% hardware
Mantenimiento 25%
software 10% software
instalación 10% verificación
Hardware operación 5% 25% capacitación
administrar 10% administrar
servicio
Telecomunicaciones Internet 10% 10%
internet
 15

Plan general de auditoría informática

Importante 1
Medio 2
Bajo 3
No muy importante 4

Empresa: pastelería Gerencia: Karla Rivas Fecha elaboración 20/11/2018

Antonio Representante Antonio
Representante :
Gutiérrez IT: Gutiérrez
Clasificación del fecha de inicio / fecha
Área por auditar aspectos o componentes del área Prioridad riesgo terminación
agregar contraseñas por usuario,
capacitación tanto de cómo utilizar 05/12/2018
Software 1 40%
el programa y hacerles ver que está 20/12/2018
permitido y que no
realizar mantenimiento
periódicamente a los equipos y
29/12/2018
Mantenimiento revisar qué programas están 3 25%
en adelante
instalados y desinstalar los que no
correspondan

evaluar para que será utilizado el

29/12/2018
Hardware software a utilizar y si necesita 4 25%
en adelante
accesos a internet

verificar y garantizar que el 29/12/2018

Telecomunicaciones 2 25%
servicio de internet sea estable según sea necesario
 16

Informe Final
Gerente general
Pastelería

Guatemala 29 noviembre de 2018

A quien interese:
Después de haber examinado y evaluado ciertos aspectos en el departamento de
Informática y Tecnología (IT) a su empresa World Cake en las fechas de 12 de noviembre
del 2018 al 28 de noviembre del 2018, se determinaron varios puntos en los que se debe
hacer énfasis y tomar acciones correctivas para mejorar el procesos que actualmente
utilizan para las operaciones del día a día.
De conformidad con las normas y lineamientos generalmente aceptados, tomando
en cuenta políticas informáticas y basados en recursos y herramientas necesarias para llevar
a cabo la auditoria, se pudo detectar que la empresa no cuenta con equipo adecuado para el
desarrollo de las actividades diarias, no cuentan con políticas para los usuarios, los equipos
que utilizan no cuentan con licencias originales, siendo esto una ventana a cualquier tipo de
vulnerabilidades que puedan poner en riesgo la integridad de la información y procesos
propios de la empresa, adicionalmente se logró determinar que no cuentan con un sistema
de backups en general ni para las máquinas más importante que contienen información vital
para la continuidad del negocio.
En cuanto a la infraestructura se pudo detectar, tomando en cuenta normas
específicas como lo son la TIA, TIER e ISO 27000, que no se cuenta con un espacio
adecuado para centralizar la información, por lo que en cuanto a la información se refiere,
esa regada en todas las computadoras y a su vez se detectó que no se encuentran conectadas
en una red interna lo que dificulta recolectar información necesaria ya sea para la
facturación como para los pedidos y coordinación de entregas.
No cuentan con un sistema automatizado para facilitar y agilizar los procesos, cada
persona realiza sus actividades individualmente en sus equipos poniendo en peligro los
datos ya que actualmente no se le realizan mantenimientos a las computadoras para
garantizar el correcto funcionamiento del equipo.
 17

Recomendaciones

Respecto al estudio y evaluación anteriormente mencionada podemos recomendar, bajo

nuestra opinión, que la empresa debe estar dispuesta a realizar cambios e implementar
ciertos aspectos como lo son:

 Calendarizar mantenimientos preventivos a los equipos.

 Adquirir un equipo principalmente para centralizar la información y poder
compartirla en los equipos y usuarios que lo necesiten.
 Adquirir licenciamiento de los sistemas operativos instalados en los equipos.
 Optar por licencia de antivirus en los equipos para reforzar la seguridad y evitar que
se propague cualquier tipo de virus o software malintencionado que pueda poner en
peligro la información.
 Designar un lugar específico para el equipo donde se centralizará la información, de
preferencia un lugar aislado que se pueda cerrar la puerta con llave para restringir el
acceso a personas no autorizadas.
 Limitar los usuarios locales para que no puedan instalar software que no procede.
 Instalar un proxy para poder controlar los accesos a internet.
 Considerar la opción de comprar o contratar algún sistema que ayude y facilite las
operaciones automatizando de la mejor manera para facilitar y agilizar los procesos
que actualmente están establecidos.
 18

Recomendaciones Requerimientos Recursos Tiempo

Calendarizar
mantenimientos Recursos propios Inmediato
preventivos

Servidor para Recursos propios

centralizar la o financiación 2 meses y 1/2
información bancaria

Recursos propios
Licencias para los Realizar un o financiación 6 meses
SO cronograma o un bancaria
diagrama para
poder revisar
periódicamente Recursos propios
Adquirir licencias el cumplimiento
o financiación Inmediato
de Antivirus de cada punto bancaria
expresado en el
informe final
Ubicación del con el propósito
servidor de generar valor Recursos propios 3 meses
agregado a la
Usuarios locales
empresa Recursos propios Inmediato
limitados
Recursos propios
Proxy o financiación 6 meses
bancaria

Programa para Recursos propios

A definir por
agilizar y facilitar o financiación
gerencia
las operaciones bancaria
 19

Anexos

Cuestionario

1. ¿Se realizan backups diarios de las bases de datos? SI ( ) NO ( )

2. ¿Se establecen los requisitos de información a largo plazo? SI ( ) NO ( )

3. ¿Se ha realizado una planificación estratégica del sistema de información para la Empresa? SI ( )
NO ( )

4. ¿Existe una metodología para llevar a cabo tal planificación? SI ( ) NO ( )

5. ¿Está definida la función del encargado del área de sistemas? SI ( ) NO ( )

6. ¿Existe un plan estratégico del departamento de informática? SI ( ) NO ( )

7. ¿Se encuentran segregadas las funciones? SI ( ) NO ( )

8. ¿El área de sistemas tiene acceso al afectivo de la compañía? SI ( ) NO ( )

9. ¿Existe un control de los requerimientos solicitados al área de sistemas? SI ( ) NO ( )