Ejemplo informe de auditoría

INFORME DE AUDITORIA
1. Identificación del informe
Auditoria de la Ofimática
2. Identificación del Cliente
El área de Informática
3. Identificación de la Entidad Auditada
Municipalidad Provincial Mariscal Nieto
4. Objetivos
Verificar si el hardware y software se adquieren siempre y cuando tengan la
seguridad de que los sistemas computarizados proporcionaran mayores beneficios
que cualquier otra alternativa.
Verificar si la selección de equipos y sistemas de computación es adecuada
Verificar la existencia de un plan de actividades previo a la instalación
Verificar que los procesos de compra de Tecnología de Información, deben estar
sustentados en Políticas, Procedimientos, Reglamentos y Normatividad en
General, que aseguren que todo el proceso se realiza en un marco de legalidad y
cumpliendo con las verdaderas necesidades de la organización para hoy y el
futuro, sin caer en omisiones, excesos o incumplimientos.
Verificar si existen garantías para proteger la integridad de los recursos
informáticos.
Verificar la utilización adecuada de equipos acorde a planes y objetivos.
5. Hallazgos Potenciales
_ Falta de licencias de software.
_ Falta de software de aplicaciones actualizados
_ No existe un calendario de mantenimiento ofimatico.
_ Faltan material ofimática.
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
34
AUDITORIA DE SISTEMAS
_ Carece de seguridad en Acceso restringido de los equipos ofimaticos
y software.
6. Alcance de la auditoria
Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado
especialmente al Departamento de centro de cómputo de acuerdo a las
normas y demás disposiciones aplicable al efecto.
El alcance ha de definir con precisión el entorno y los límites en que va a
desarrollarse la auditoria Ofimática, se complementa con los objetivos de
ésta.
7. Conclusiones:
Como resultado de la Auditoria podemos manifestar que hemos
cumplido con evaluar cada uno de los objetivos contenidos en el
programa de auditoria.
El Departamento de centro de cómputo presenta deficiencias sobre el
debido cumplimiento de Normas de seguridad.
La escasez de personal debidamente capacitado.
Cabe destacar que la sistema ofimatico pudiera servir de gran apoyo a
la organización, el cual no es explotado en su totalidad por falta de
personal capacitado.
8. Recomendaciones
Se recomienda contar con sellos y firmas digitales
Un de manual de funciones para cada puesto de trabajo dentro del área.
Reactualizacion de datos.
Implantación de equipos de ultima generación
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
35
AUDITORIA DE SISTEMAS
Elaborar un calendario de mantenimiento de rutina periódico .
Capacitar al personal.
9. Fecha Del Informe
PLANEAMIENTO EJECUCION INFORME
FECHAS 01–10–04 al 15–10-04 16-10–04 al 20–11-04 23–11–04 al 28–11-04
10. Identificación Y Firma Del Auditor
APELLIDOS Y NOMBRES CARGO
QUIÑONEZ MAYTA CARMEN AUDITOR SUPERIOR
INFORME FINAL DE AUDITORIA DE SISTEMAS DE LA EMPRESA EXTREX LIMITADA

TALLERES REALIZADOS PARA COMPLEMENTAR INFORME FINAL

ANEXO

Diagnostico de la situación actual

Presentación de la empresa

EXTREX LIMITADA

ROL BASICO

Se dedica principalmente a la distribución de los productos.

NATURALEZA

 Comercialización.

UBICACIÓN

La empresa EXTREX LIMITADA se encuentra ubicada en Melgar del departamento de

Cundinamarca en la carrera 22Nº4-93

ANTECEDENTES

           

Los comerciantes ANA SOFIA VARGAS MARTINEZ Y HECTOR CORTEZ conocedores del problema
existente del pueblo Melgar / Cundinamarca por cuanto en esto no existía un establecimiento de
comercio que vendiera los productos relacionados con la construcción, de ahí nace la idea de crear
un establecimiento de comercio llamado FERRON melgar, su objeto social es promocionar y
vender productos como : pvc,  sementó, hierro entre otros; para ello se compro un lote de terreno
ubicado en la carrera 22Nº4-93 en la cual  se construyo una bodega y oficinas con un área
aproximadamente de 250 metros cuadrados y una camioneta para su distribución.

Para desarrollar el objeto social nos constituimos como empresa con la inscripción de la Cámara
de Comercio solicitando el Rut ante la administración de impuestos nacionales y la inscripción en
valorización del municipio como comerciante, paso siguiente fue seleccionar los proveedores para
eso se conto con la experiencia del vendedor externo en cuanto el ya había trabajado en esta área
y esta se abre al público el 2 de junio de 1992.
A raíz de algunos inconvenientes de tipo económico originados por mal manejo de cartera y  el
cierre de la vía principal  vía alameda, este negocio se vio avocado a problemas de embargo
financieros y de problemas de impuestos lo que hizo que el primero de julio del año 2010 previa a
una transacción de venta  del establecimiento de comercio y sus inventarios...

Esto dio origen a una nueva empresa llamada EXTREX LIMITADA

es el nombre comercial el cual fue registrada en la cámara de comercio, el Rut y por ultimo en la
inscripción de planeación para lo cual se hizo una inyección de capital por más de 40  millones de
pesos lo que ha permitido volver a llegar a la comunidad con buenos servicios y materiales.

MISION

Abastecer y satisfacer las necesidades en cuanto a la construcción de vivienda que requieren los

habitantes del pueblo brindándoles una calidad  en atención y servicios, ofreciéndoles infinitas
variedades de productos ,  además de brindar orientación y consejería  en el manejo y uso de
nuestros productos en venta y atención al público.

VISIÓN

Suministrar el máximo  de elementos y productos que la gente solicite con el fin de brindarle
comodidad al cliente para que no se vea forzado al desplazamiento a otro pueblo y así hacer que
el cliente se sienta  cómodo y satisfecho

OBJETIVOS

•         Satisfacer las necesidades del cliente.

•         Ofrecer productos de excelente calidad.

•         Vender al por mayor y vender al detal

ORGANIGRAMA DE LA EMPRESA
   

MATRIZ DOFA DE EXTREX LIMITADA

INSTITUTO TOLIOMENSE DE FORMACIÓN TÉCNICA PROFESIONAL “ITFIP”

ASIGNATURA: AUDITORIA DE SISTEMAS

UBICACIÓN: QUINTO SEMESTRE TALLER: CONCEPTUAR MATRIZ Y PLANILLA_ING DANIEL VEZGA –

DOCENTE

PLANILLA DE CONTROL INTERNO

SEPTIEMBRE 16/2011

Señores

EXTREX LIMITADA
Estimados señores

Nos es grato someter a su consideración nuestra propuesta para la prestación de los servicios
profesionales de auditoría informática. Nuestro propósito en particular es poder servir  a la
empresa EXTREX  Limitada y estaremos comprometidos a ofrecer sus mejores recursos humanos y
técnicos para hacerlo.

Sabemos que brindar servicios profesionales de alta calidad, requiere conocimiento, experiencia,
creatividad y por sobre todo, espíritu de trabajo y dedicación.

Una característica de nuestra modalidad de servicio es nuestro contacto personal con el cliente, en
especial de nuestros socios y gerentes, de modo tal de estudiar las cuestiones a medida que
surjan, tratando en lo posible de anticiparnos a los problemas.

El equipo de trabajo estará dirigido por un Socio de la Firma, quién será el responsable de asegurar
que reciban un servicio de la más alta calidad. El trabajo de campo será ejecutado por personal
capacitado y experimentado en el área informático.

Confiamos haber planteado en nuestra propuesta un enfoque y un alcance del trabajo que se
adecua a sus necesidades y responde a nuestra filosofía de servicios profesionales de alto valor
agregado.

Quedamos a nuestra disposición para efectuar las aclaraciones o ampliaciones que Uds.
Consideren necesarias.

Sin otro particular, los saludamos muy atentamente

Auditora Líder                                                       Gerente Administrativa

--------------------- ---------------                                         -------------------------- -----------------   

YENY YOMAIRA OVIEDO D.                                      ANA SOFIA VARGAS M.

RICAURTE, 12/OCTUBRE

SEÑORA ANA SOFIA VARGAS M.

GERENTE ADMINISTRATIVA

De nuestra consideración:

Tenemos el agrado de dirigirnos a ustedes a efectos de elevar a su consideración el alcance del

trabajo de Auditoría del Área de Informática practicada los días 16 de septiembre del 2011 hasta el
al 12 de octubre del 2011, sobre la base del análisis y procedimientos detallados de todas las
informaciones recopiladas y emitidos en el presente informe, que a nuestro criterio es razonable.

Síntesis de la revisión realizada, clasificado en las siguientes secciones:

A. Organización y Administración del Área

B. Seguridad física y lógica

C. Desarrollo y mantenimiento de los sistemas de aplicaciones

Según el análisis realizado hemos encontrado falencias como

A   no existe un Comité y plan informático

B.  Falta de organización y administración del área

C.  Falencias en la seguridad física y lógica

D.  No existe auditoría de sistemas

E.  Falta de respaldo a las operaciones

F.  Accesos de los usuarios

G. Plan de contingencias

H. Entorno de desarrollo y mantenimiento de las aplicaciones.

El detalle de las deficiencias encontradas, como así también las sugerencias de solución se
encuentran especificadas en el Anexo adjunto. La aprobación y puesta en práctica de estas
sugerencias ayudarán a la empresa a brindar un servicio más eficiente a todos sus clientes.

Agradecemos la colaboración prestada durante nuestra visita al   personal de la empresa y

quedamos a su disposición para cualquier aclaración y/o ampliación de la presente que estime
necesaria.

Atentamente.

------------------------ -- -----------                           ---------------------------------------------

YENI YOMAIRA OVIEDO D.                           ANA SOFIA VARGAS M.

Auditora Líder                                                  Gerente Administrativa

INFORME FINAL DE AUDITORIA DE SISTEMAS

ELSA MIREYA VANEGAS GARCIA

DIEGO MAURICIO OZUNA TAPIAS

JOSE YESID RUJE VELASQUEZ

YENY YOMAIRA OVIEDO DONCEL

AUTORES
INSTITUTO TOLIMENSE DE FORMACIÓN TÉCNICA PROFESIONAL

AUDITORIA DE SISTEMAS

RICAURTE/CUNDINAMARCA

NOVIEMBRE /2011

INFORME FINAL DE AUDITORIA DE SISTEMAS

ELSA MIREYA VANEGAS GARCIA

DIEGO MAURICIO OZUNA TAPIAS

JOSE YESID RUJE VELASQUEZ

YENY YOMAIRA OVIEDO DONCEL

AUTORES
DANIEL VEZGA ZARTA

DOCENTE

INSTITUTO TOLIMENSE DE FORMACIÓN TÉCNICA PROFESIONAL

AUDITORIA DE SISTEMAS
RICAURTE/CUNDINAMARCA

NOVIEMBRE /2011

INFORME FINAL DE LA EMPRESA

EXTREX LIMITADA

INTRODUCCION
Atreves de este trabajo lograremos obtener conocimiento de cada una de las instalaciones que
posee la empresa EXTREX LIMITADA nuestro trabajo consiste en hacer auditoria de sistemas
detalladamente con el fin de encontrar las falencias y fortalezas que posee la empresa tanto física
como lógica.

JUSTIFICACIÓN

Este trabajo se realizo con el fin de conocer cada de las instalaciones físicas y lógicas que posee la
empresa EXTREX LIMITADA, esencialmente en los equipos de computo teniendo como objetivo
encontrar falencias y fortalezas en el área .

FECHA DE INICIACION

La auditoria que se realizo en la empresa  EXTREX LIMITADA se inicio el 16  de septiembre  del año

2011.

FECHA DE FINALIZACION

La auditoria realizada en la empresa EXTREX LIMITADA tiene como fecha de culminizacion el día 12

de octubre  del año 2011.

ALCANCE

La auditoria de sistemas se realizo en las instalaciones  de la empresa EXTREX LIMITADA  ubicada

en la C22Nº4-93 en especial en los equipos de computo.

OBJETIVO GENERAL

Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los

equipos  de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el

procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos
se logre una utilización más eficiente y segura de la información que servirá para una adecuada
toma de decisiones.

 OBJETIVOS ESPECIFICOS
·         Evaluar el diseño y prueba de los sistemas del área de Informática.

·         Determinar la veracidad de la información del área de Informática

·         Evaluar los procedimientos de control de operación, analizar su estandarización y evaluar el

cumplimiento de los mismos.

·         Evaluar el control que se tiene sobre el mantenimiento y las fallas de las PC.

·         Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro
del departamento de cómputo.

RECURSOS

El número de personas que integraron el equipo de auditoría. Fueron cuatro (4), con un tiempo
máximo de ejecución de 3 a 4 semanas.

AUDITORES:

Yeny Yomaira Oviedo Doncel (auditora líder)

Elsa Mireya Vanegas García

José Yesid Ruje Velásquez

Diego Mauricio Osuna

ETAPAS DE TRABAJO
RECOPILACION DE INFORMACION BASICA

En el trabajo realizado se le hizo unas entrevistas a la los encargados del manejo de la

empresa EXTREX LIMITADA, en el caso presente a la   Gerente Administrativa ANA SOFIA VARGAS
M.  se le entrego unos cuestionarios con el objetivo saber cómo es el manejo de los equipos
de computo  que utilizan y los procesos que se realizan en ellos.

Un auditor se encargo de realizar lo anterior como herramienta de trabajo para obtener una visión
mejor enfocada en la auditoria ejecutada.

TEMAS A ESTUDIAR DE LA EMPRESA EXTREX LIMITADA

·         Antecedentes

·         Misión

·         Visión

·         Objetivos

·         Organigrama

·         Características de los equipos de cómputo en lo físico y lógico.

·         Fecha de Actualización e instalación de software en los  equipos.

·         Documentación de soporte de los equipos (facturas, licencias del software).

·         Seguridad en prevención de la empresa

DESARROLLO DE LOS TEMAS

1.    Se realizó una entrevista a la Gerente Administrativa ANA SOFIA VARGAS M. para conocer los
antecedentes de la empresa su  misión, visión, objetivos y organigrama.

2.    Se realizo una entrevista para determinar si los servicios proporcionados y planeados por la
dirección de informática cubre las necesidades de información de las dependencias.

3.    Se hizo una visita  en la que consistía averiguar cuántos equipos de cómputo posee el
establecimiento y su ubicación cada uno de ellos.

4.    Atreves de una entrevista se realizo una lista de chequeo que fue contestada por la Gerente
Administrativa ANA SOFIA VARGAS M.

BASE DE ANALISIS Y PROCEDIMIENTOS DETALLADOS DE LAS INFORMACIONES RECOPILADAS Y

EMITIDOS EN EL PRESENTE INFORME

ORGANIZACIÓN Y ADMINISTRACION DEL AREA

SITUACION ACTUAL: Con respecto  a la organización y Administración del Área Informática, hemos

observado lo siguiente:

·         El área adolece de una estructura organizacional

·         Existe una exigua cantidad de funcionarios capacitados, afectados al área de sistemas, con lo
cual se evidencia heterogeneidad de tareas desarrolladas con una misma persona.

·         Ausencia de manual de funciones para cada puesto de trabajo dentro del área.

SUGERENCIAS

·         Establecer una estructura organizacional del área de la siguiente manera

1. Gerencia del área informática

1.    Jefe del área

2.    Desarrollo y mantenimiento de aplicaciones

3.    Soporte técnico

4.    Centro de atención a usuarios

·         Contratar personal capacitado para mayor seguridad y manejo  en  los equipos de cómputo.

·         Se establezca un manual de funciones para cada uno de los cargos funcionales en que se
subdivida el área de cómputo.
EFECTOS Y/O IMPLICACIONES PROBABLES POR LAS DEFICIENCIAS

·         Por falta de una estructura organizacional la empresa se ve afectada a estar en riesgo de

pérdida de información por descuido de los que manejan los equipos de computo ya que estos no
tienen el suficiente conocimiento adecuado para proteger  sus documentos, datos digitados,
prevención en los equipos , etc.

·         La escasez de personal debidamente capacitado, aumenta el nivel de riesgo de errores y

limita la cantidad de soluciones que puedan implementarse en tiempo y forma oportuna a los
efectos de satisfacer los requerimientos de las aéreas funcionales.

·         Si no se obtiene un manual de funcionamiento para cada uno de los empleados  la empresa
se  puede ver afectada debido que cada unos de los trabajadores no tiene ni la mínima idea de
cumplir sus funciones para cada uno de los cargos y pueden intervenir en otras aéreas que no les
corresponde esto obliga a que posiblemente haya perdida de documentación o datos  y pude ser
muy difícil saber quien ocasionó tal perdida.

  SEGURIDAD FISICA Y LOGICA

  SITUACION ACTUAL: Durante la revisión, hemos observado lo siguiente:

·         No existe una vigilancia estricta del Área de Informática por personal de seguridad dedicado
a Este sector.

·         Cuenta con equipos vulnerables debido a que no tienen instalado ningún antivirus.
·         No existe detectores, ni extintores automáticos.

·         Existe material altamente inflamable, en los que se encuentra documentos que están  cerca
de los equipos de cómputo, químicos, y material elaborado en plástico.

·         Carencia de un estudio de vulnerabilidad de la FERRETERIA AROD, frente a los riesgos físicos

o no físicos, incluyendo el riesgo Informático.

·         No existe un puesto o cargo específico para la función de seguridad Informática.

·         Colocar extintores para cada uno de los accidentes provocados en sus diferentes formas.

·         Tener conocimiento en el manejo de extintores según su clase

(A, B, C, D)

·         No existe un guardia de seguridad en  la empresa en horarios de la noche  para que cuide el
lugar.

·         Falta de alarmas de seguridad.

SUGERENCIAS

   

    A los efectos de minimizar los riesgos descriptos, se sugiere:

·         Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al Área de

Informática.

·         Instalar un antivirus a cada  uno de los equipos de cómputo el más recomendable el

Avast  porque no requiere tanto de memoria RAM y es uno de los antivirus más livianos con una
capacidad más o menos de 40 MB.

·         Colocar detectores y extintores de incendios automáticos en los lugares necesarios.

·         Remover del Centro de Cómputos los materiales inflamables.

·          Realizar periódicamente un estudio de vulnerabilidad, documentando efectivamente el

mismo, a los efectos de implementar las acciones correctivas sobre los puntos débiles que se
detecten.

·         Determinar orgánicamente la función de seguridad.

·         Los extintores mas recomendados  según tipo de uso son:

1.    De tipo A: Son los fuegos en materiales combustibles comunes como (Maderas, tela, papel,
caucho y muchos plásticos)
2.    De tipo B: Son los fuegos de líquidos inflamables y combustibles (grasa de petróleo, alquitrán,
bases de aceite para pintura, solventes, lacas,

Alcoholes y gases inflamables).

3.    De tipo C: son los de gas carbónico o dióxido de carbono, el químico seco común, y de químico
seco múltiple; son los recomendados para incendios provocados por equipos eléctricos
(electrodomésticos, interruptores, caja de fusibles, y herramientas eléctricas) los de dióxido de
carbono hay que usarlos con poca presión, porque con mucha potencia pueden expedir el fuego
impiden la conducción de la corriente eléctrica.

4.    De tipo D: son de polvo seco especial para ser utilizados en incendios que intervienen metales
que arden a mucha temperatura y necesitan mucho oxigeno para su combustión y que con el agua
y químico reaccionan violentamente enfría el material por debajo de su temperatura de
combustión. (magnesio, titanio, circonio, sodio, litio y potasio).

·         Se recomienda que los empleados de la empresa EXTREX LIMITADAtomen cursos de manejo

y reconocimiento de los extintores según en sus diferentes clases.

·         Colocar guardia de seguridad en la empresa para que este al pendiente de la EXTREX

LIMITADA

·         Instalar alarmas como sugerencia de seguridad.

EFECTOS Y/O IMPLICACIONES PROBABLES POR LAS DEFICIENCIAS

·         si no hay un guardia de seguridad en el área informática en horarios inhabilitados personas
con mala intención podría infiltrarse y  robar información muy valiosa incluyendo los equipos de
cómputo también.

·         si no hay ningún antivirus instalado los equipos podría recibir cualquier amenaza de virus
teniendo como consecuencia perdida de información, bloqueo de los equipos, lentitud en los
sistemas de procesamiento etc.

·         En momentos puede pasar cualquier accidente y si no se tiene ningún detector o extintores
automáticos el nivel de riesgo que la empresa presente será mayor, porque si hay un incendio y
ninguno se ha dado de cuenta este crecerá y las pérdidas aun será más grandes.

·         si por descuido sucede un accidente  por documentación o cualquier material inflámamele

que están cerca de los equipos de computo podría traer como consecuencia dañar física y
lógicamente los computadores.

·         Debido a la debilidad del servicio de mantenimiento del los equipos, la continuidad de las

actividades informáticas podrían verse seriamente afectadas ante eventuales roturas y/o
desperfectos de los sistemas.

·         Gracias a los esquemas ineficientes de seguridad con los que cuenta la empresa EXTREX
LIMITADA, y porque no existe conocimiento relacionado con la planeación de un esquema de
seguridad eficiente que proteja los recursos informáticos de las amenazas esta se ve afectada a
estar en riesgo de perdida de información procesada causado por infiltración de manos terceras.

·         Un mal manejo  de los extintores pude ocasionar que el accidente sea aun mas grave porque
cada extintor trae como función combatir los incendios de acuerdo al tipo de accidente.

·         Por falta de conocimiento de los empleados de la empresa en el manejo de los extintores

puede ocasionar mayores daños por ejemplo los equipos de cómputo ya que  para este tipo de
accidente  no se pude utilizar extintores de tipo A porque el agua es conductora de energía y esto
hace que el equipo afectado provoque un corte circuito.
·         Por falta de personal de seguridad la empresa esta en riesgo en ser asaltada.

·         Por falta de alarmas de seguridad la persona que intente infiltrarse y tomar lo ajeno lo hará
de una forma más segura en el momento que intente robar  la ferretería.

PLAN DE PREVENCION Y CONTIGENCIAS

SITUACION ACTUAL: En el transcurso de nuestro trabajo hemos observado lo siguiente:

·         Ausencia de un Plan de Contingencia debidamente formalizado en el área de informática.

·         No existen normas y procedimientos que indiquen las tareas manuales e informáticas que
son necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual
contingencia (desperfectos de equipos, incendios, cortes de energía con más de una hora), y que
determinen los niveles de participación y responsabilidades del área de sistemas y de los usuarios.

·         No existen acuerdos formalizados de centro de cómputos paralelos con otras empresas o
proveedores que permitan la restauración inmediata de los servicios informáticos en tiempo
oportuno, en caso de contingencia.

·         Ausencia de un plan de prevención en desastres  en la EXTREX LIMITADA

SUGERENCIAS

·         Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos

manuales e informáticos para restablecer  la operatoria normal de la empresa y establecer los
responsables de cada sistema.

·         Efectuar pruebas simuladas en forma periódica a efectos de monitorear el desempeño de los

funcionarios responsables ante eventuales desastres.
·         Establecer convenios bilaterales con empresas  o proveedores a los efectos de asegurar los
equipos necesarios para sustentar la continuidad del procesamiento.

·         Establecer un plan de prevención ante cualquier amenaza  ya sea por motivos naturales,
operacionales o tecnológicos para impedir o disminuir los efectos que producen con motivo de las
ocurrencias de calamidades.

EFECTOS Y/O IMPLICACIONES PROBABLES POR LAS DEFICIENCIAS

Perdida de información vital a causa de accidentes tales como:

1.    Por fallas de la red de energía eléctrica pública por diferentes razones ajenas al manejo por
parte.

2.    Por vulneración de los sistemas de seguridad en operación (Ingreso no autorizado a las

instalaciones).

3.    Instalación de software de comportamiento errático y/o dañino para la operación de los

sistemas computacionales en uso (Virus, sabotaje).

4.    Intromisión no calificada a procesos y/o datos de los sistemas, ya sea por curiosidad o malas
intensiones.

de  la Compañía.

·         Pérdida de la capacidad de procesamiento.

1.    Imposibilidad de acceso a los recursos informáticos por razones lógicas en los sistemas en
utilización  sean estos por cambios involuntarios o intencionales, llámese por    ejemplo,   cambios
de claves de acceso, datos maestros claves, eliminación o borrado físico/lógico de información
clave, proceso de información no deseado.

·         Se incrementa  aun más la facilidad de perdida de información ante cualquier amenaza por
falta de contingencia con empresas que posiblemente le pueda ofrecer sus servicios.

·         Por falla  de  no poseer un plan de prevención la empresa se vera afectada a obtener

grandes  pérdidas  en sus diferentes formas.

DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE APLICACIONES POR LAS DEFICIENCIAS

SITUACION ACTUAL: Entorno de desarrollo y mantenimiento de las aplicaciones.

·         No existe documentaciones técnicas del sistema integrado de la Cooperativa y tampoco no

existe un control o registro formal de las modificaciones efectuadas.

·         No se cuenta con un Software que permita la seguridad de las librerías de los programas y la
restricción y/o control del acceso de los mismos.

·         Las modificaciones a los programas son solicitadas generalmente sin notas internas, en
donde se describen los cambios o modificaciones que se requieren.

SUGERENCIAS:

Para reducir el impacto sobre los resultados de los efectos y consecuencias probables sugerimos:

·         Elaborar toda la documentación técnica correspondiente a los sistemas implementados y

establecer normas y procedimientos para los desarrollos y su actualización.

·         Evaluar e implementar un software que permita mantener el resguardo de acceso de los

archivos de programas y aún de los programadores.

·         Implementar y conservar todas las documentaciones de prueba de los sistemas, como así
también las modificaciones y aprobaciones de programas realizadas por los usuarios.
EFECTOS Y/O IMPLICACIONES PROBABLES POR LAS DEFICIENCIAS

La escasa documentación técnica de cada sistema dificulta la compresión de las normas,

demandando tiempos considerables para su mantenimiento e imposibilitando la capacitación del
personal nuevo en el área.

Esto implica mayor inseguridad en protección de las librerías y accesos totalmente privados  en
cada uno de los equipos de cómputo.

·         Se incrementa aún más la posibilidad de producir modificaciones erróneas y/o no

autorizadas a los programas o archivos y que las mismas no sean detectadas en forma oportuna.

CARACTERISTICAS DE LOS EQUIPOS DE COMPUTO

EQUIPO 1 EQUPO 2

SISTEMA OPERATIVO: Microsoft Windows xp SISTEMA OPERATIVO: Microsoft Windows xp

professional. professional.

PROCESADOR: Intel Pentium 4540 PROCESADOR:UnKnown,2400MHz

PLACA BASE: hewlett- packard HPcompacq dc PLACA BASE: 63-0100-000001-00101111-

7100 CMT (PC938A). 083107-ATHLON64$1ADMB006_A7309NMS
V1.90 083107

MEMORIA DEL SISTEMA: 503MB MEMORIA DEL SISTEMA: 959 MB

TARJETA DE SONIDO: Intel 82801 FB ICH6 - TARJETA DE SONIDO:  Desconocido

AC97 audio controller( B-1)

DISCO DURO: Kingston DT 101 G2 USB DISCO DURO:MULTI FLASH Reader USB divise

DEVICE (1900 MG) ST340015A

TECLADO: estándar de 101/102teclas o TECLADO: Quick Launch Buttons.

Microsoft natural PS/2 keyboard.
 TARJETA DE RED: broadcom netxtreme TARJETA DE RED: WAN (PPP/SLPI)
gigabit Ethernet (192,168,0.3) interface  Ethernet  (10.80.212.221).

IMPRESORA: Microsoft office document IMPRESORA: Lexmark Z600 series

image writer.

RATON: Mouse compatible/2 RATON: Mouse ps/2 de Microsoft.

CPU:intel®pentium®4CPU3.20GHz CPU: AMD Athlon(tm) 64 X2 Dual Core

Processor 4600+ (CPUID) R00060FB2h

CONCLUSION

El equipo de auditores considera que la empresa NO realiza las tareas de actualización y

mantenimiento necesarias, las cuales son esenciales para el normal funcionamiento de la misma y
para el cumplimiento de los objetivos establecidos en las distintas áreas de la empresa.