Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDITORIA DE SISTEMAS
INTRODUCCION
SR. XXXXXX
Presidente Junta Directiva
Presente
Me permito remitir a usted el Informe de Resultados de la auditoría practicada a las instalaciones del
Centro de Cómputo de la Empresa MANUFACTURERA S.A. a los sistemas de computación, que se
realizó del 1 al 31 de marzo del año 2022.
En el citado informe encontrará el dictamen y las condiciones a las cuales se llegó después de la
aplicación de las técnicas y procedimientos de la auditoría de sistemas de tipo integral.
Presente:
De acuerdo con la instrucción dada por parte del consejo de administración de la empresa
MANUFACTURERA S.A. a su digno cargo, me permito remitir a usted el dictamen de la auditoría
practicada al Centro de Computo, con especial énfasis en la administración, funcionamiento y
operación del sistema de red de esa institución, misma que se llevó acabo del 1 al 31 de marzo del
2022.
De acuerdo a los resultados obtenidos durante la evaluación me permito informarle a usted las
siguientes observaciones:
No se cuenta con un plan de renovación de equipos y servidores, estos se renuevan hasta que existe
un fallo general en los mismos. Se trabaja con un equipo desactualizado el cual presenta mayores
problemas de seguridad, gasto en actualizaciones y mantenimientos, así como la incompatibilidad
con nuevos programas y tecnologías, se incluye en la cedula relevante A.H.
Se verifico que las contraseñas son seguras en un 60%, en la anterior auditoria hace 4 años se le
sugirió a los empleados utilizar como mínimo 6 dígitos, Letras mayúsculas y minúsculas y números. Se
considera en la cedula de situaciones relevantes A.P.
A pesar que se cuenta con correos institucionales, los empleados siguen utilizando correos no
institucionales de Gmail u otro servidor gratuito, lo cual se considera un riesgo de seguridad de
información. Los empleados utilizan correos que no pertenecen a la institución, lo cual llegará a
provocar riesgos en la seguridad de la información, se propone cedula de situaciones relevantes A.T.
El servidor actual no cuenta con discos redundantes o discos espejos, de tal manera que si el equipo
llega a fallar, la Empresa podría perder información y suspender actividades, la restauración requerirá
de por lo menos 24 horas para levantar, instalar y restaurar la actividad normal del servidor, pero si
realizan un backup diario. El servidor no cuenta con discos fundamentales que ayuden a que no se
pueda perder la información de la Empresa y para recuperar la información llevaría demasiado
tiempo. Se contempla en la cedula de situaciones relevantes A.S.
Se verificaron las principales políticas de uso del equipo para empleados y se logró verificar que es
necesario una actualización y renovación de políticas específicas del uso del equipo de cómputo por
parte del personal, esto específicamente a conexiones, descargas, comida, bebida e instalaciones de
software y hardware por parte del usuario. De parte de los empleados no se toman en cuenta
políticas específicas para el uso de equipos de cómputo.
Los empleados utilizan contraseñas no tan seguras que pueden poner en riesgo su información y
datos de la empresa.
Se logró establecer que la empresa programadora cuenta con el licenciamiento necesario para
realizar este tipo de desarrollo, y según el representante de la empresa que instala el sistema de caja,
se realizó el correspondiente análisis de compatibilidad con los equipos de la Empresa, por lo tanto,
no debería existir problemas de considerable magnitud en su implementación completa.
El personal del área de informática realiza el mantenimiento de los equipos de forma personal y sin
contar con la orden específica.
Verificar los vinculo que existen con el proveedor actual verificando que sea independiente y no
exista alguna acción de mala fe, cotizar con más proveedores evaluando costo y calidad, para elegir la
mejor opción.
El backup o respaldo de datos del sistema contable computarizado actual, es efectuado por el
encargado del departamento de informática de la Empresa, el mismo presenta las siguientes
debilidades. El backup es una copia de todas las bases de datos del sistema, misma que no se extrae
encriptada, al hacerlo de esta forma se podrá tener acceso a información relevante de clientes y
transacciones sin que exista registro del acceso y/o extracción de datos. Cabe mencionar que el
encargado del área comprime los backup con clave, el backup es realizado y almacenado en un DVD y
un Disco externo del departamento de informática de forma diaria, el DVD no es almacenado en una
caja de seguridad con llave y el disco se encuentra en el escritorio de la persona encargada del área.
Existe una carpeta en el servidor llamado ARCHIVOS GENERALES, esta es usada por todos los
empleados para poder compartir información y así no necesitan movilizarse para llevar la información
de un lugar a otro por parte de memorias USB (aunque nada les prohíbe hacerlo) , Tener una carpeta
y que todo el personal tenga acceso, es una amenaza para la información confidencial que quizá
algunos otros empleados manejen.
CONCLUSIONES
• Del trabajo que se ha llevado a cabo podemos manifestar que hemos llevado a la realización
de evaluaciones a cada uno de los objetivos contenidos en los programas de auditoría de
manera eficiente.
• Se ha ejecutado con eficiencia todos los procesos de auditoria y técnicas necesarias que nos
permitieron obtener información relevante.
• No obstante, el sistema informatico constituye una de las bases del buen funcionamiento de
la empresa.
Recomendaciones
• Se recomienda la implementación de políticas y un manual de procedimiento y funciones y
que se haga en base de la asesoría de profesionales expertos en el área.
• Monitorear constantemente el área fisica, cableado, red y todo lo que involucre y sea
oportuno dentro del área de computación
Objetivo General. Identificar el sistema de lógica de la empresa y cuáles son las medidas que esta
toma para compensar las brechas de seguridad lógica informática que pueda
llegar a sufrir, de esta manera comprender el nivel de riesgo que se asume.
Objetivos específicos
Objetivo
Comprobar que existan los contratos de seguro necesarios para el hardware y software de la empresa
(elementos requeridos para el funcionamiento continuo de las aplicaciones básicas).
Objetivo: Adquirir información acerca del funcionamiento de la base de datos y servidores que posea la
empresa, en seguridad, capacidad, alcance, compatibilidad y manipulación. Así mismo conocer acerca de sus
políticas y procedimientos para la utilización de la información dentro de la institución.
responsable y su
almacenamiento de back ups.
resguardo.
Identificar si al momento de
4 realizar un back up de seguridad, Cuestionario BD – 02 R.T.S.H
se comprime con alguna clave.
información de la institución.
4. PROGRAMA DE AUDITORÍA, ÁREA SOFTWARE.
PROGRAMA DE AUDITORIA.
Área: Software.
Ref.
No. Procedimientos. Técnica. Auditor.
Pt
1 Verificar si la empresa tiene políticas y Encuesta AS-1 SJJB
procedimientos formales para la seguridad del
software, incluyendo la gestión de licencias,
actualización control de cambios, gestión de
vulnerabilidades, pruebas y validación del
software, gestión de registros de software,
gestión de proveedores de software,
capacitación y conciencia de seguridad del
software.
2 Verificar la eficiencia y eficacia del software, Encuesta AS-1 SJJB
incluyendo la velocidad y precisión del
procesamiento de datos como también la
capacidad de manejar grandes cantidades de
datos y la facilidad de mantenimiento y
actualización del software que el
departamento de Informática o el proveedor
del software brinda a los computadores de la
empresa.
3 Verificar que los softwares que utilizan en las Encuesta AS-1 SJJB
áreas operacional cuentan con:
* medidas de seguridad adecuadas para
proteger la información confidencial.
* si existen controles de acceso para asegurar
que solo personas autorizadas puedan acceder
al sistema.
* si se han implementado controles adecuados
para garantizar la integridad y confiabilidad de
los datos.
4 El auditor realizará pruebas para evaluar el Encuesta AS-1 SJJB
funcionamiento del software y verificar si se
están llevando a cabo las transacciones
correctamente y si los resultados son los
esperados.
5 Revisar si los programas cuentan con Encuesta AS-1 SJJB
procedimientos de respaldo y recuperación de
datos importantes en caso de una falla en el
sistema o interrupción del servicio
minimizando así el impacto en la continuidad
del negocio.
6 Revisar si lo programas estén diseñados para Encuesta AS-1 SJJB
funcionar en una versión anterior de un
sistema Operativo o a cambios de tecnología y
que el mismo no se vuelva obsoleto o deje de
ser compatible con otras nuevas tecnologías.
7 Revisar si los programas de la empresa Encuesta AS-1 SJJB
cuentan con seguridad contra riesgo para virus
informáticos, hackers, ataques de malware,
accesos no autorizados, entre otros, Investigar
la utilización de Antivirus Certificados para
prevenir la filtración de datos importantes
5. PROGRAMA DE AUDITORIA, ÁREA PERSONAL
Objetivo
Verificar la capacidad y desempeño de cada colaborador en su área específica de trabajo, así como el
cumplimiento adecuado de sus labores, adaptabilidad a los programas empleados por la empresa y
lugar específico de desempeño.
REF. PT
No. PROCEDIMIENTOS Técnica Auditor
Objetivos
eléctrica
AL-1
AL-2
Introducción
Conocer al candidato.
Presentar los objetivos de la entrevista.
Explicar el proceso de entrevista.
Objetivo: Obtener información del encargado de sistemas sobre la existencia de un sistema
alternativo para el manejo de la información de la empresa.
Si, y es a través de pasar la información por medio de USB’s, aunque con la carpeta
de acceso General no es muy común.
3. ¿Los usuarios reciben instrucciones claras sobre el uso de dispositivos de
almacenamiento externo y los riesgos asociados con su uso?
No, debido a que no existe una capacitación integrada para esto
5. ¿Se ha llevado a cabo alguna revisión o auditoría interna en el pasado para evaluar
la eficacia de la política actual sobre el uso de dispositivos de almacenamiento
externos?
La empresa no cuenta con ese tipo de revisión
6. ¿Se ha llevado a cabo alguna capacitación o educación de los usuarios sobre los
riesgos asociados con el uso de dispositivos de almacenamiento externos y cómo
minimizar estos riesgos?
No, este tipo de capacitación no es muy popular por decir que no se emplea en la
empresa
8. ¿Hay algún plan o propuesta para actualizar o revisar la política actual sobre el uso
de dispositivos de almacenamiento externos en un futuro cercano?
No, sin embargo, creo que es importante empezar a crear un plan para esto, pues así
el equipo esta menos vulnerable a posibles virus
AL-3
SI
✓
Pregunta Comentario
NO
X
1. ¿Existe una política clara sobre el uso de X
memorias USB en la empresa?
AL-4
Preguntas Si No Observación
1. ¿La empresa realiza capacitaciones X
regulares sobre seguridad de
contraseñas y conciencia de
seguridad para sus empleados?
AL-5
Objetivo: Explorar sobre los contratos que la empresa tiene, en especial ampliar el conocimiento del
auditor sobre el contrato 028/2009
Preguntas Respuesta
1. ¿Quién es responsable de asegurar El encargado del departamento de
que el equipo cumpla con las informática
especificaciones del contrato?
Preguntas Respuesta
9. ¿Quién es responsable de asegurar
que el equipo cumpla con las
especificaciones del contrato?
11) ¿El equipo de computación cuenta con garantía ante posibles fallas?
Si, sin embargo, no todas cuentan con garantía vigente.
1.1.3. Cuestionario general área de hardware.
Objetivo: Conocer de manera General las condiciones. la forma de trabajo, eficiencia y la calidad en la
que se observan y se opina acerca del hardware.
Introducción: Se deberá subrayar o marcar con una X la respuesta que considere que se adecua más a
la situación que observa dentro de su empresa.
Si (X) No( )
Si( ) No(X)
4. ¿Hay disponibilidad de los equipos para que los que llegan al lugar reciban la atención
necesaria?
( ) Generalmente
( ) Regularmente
(X) Ocasionalmente
( ) Siempre
Si(X) No( )
6. ¿La empresa cuenta actualmente con una persona calificada encargada de darle
mantenimiento al sistema Hardware y también para brindar asesoramiento?
Si( ) No(X)
(X) Día
( ) Semana
( ) Mes
( ) Trimestre
SI Comentario
AH-3
✓
Pregunta
NO
X
1. ¿El equipo está en buen estado? ✓
2. ¿Los accesorios de la computadora se ✓
encuentran completos y en funcionamiento?
3. ¿El modelo y número de serie de cada equipo ✓
coincide con el inventario físico?
4. ¿El espacio donde se encuentra el equipo ✓
tiene un buen nivel de seguridad?
5. ¿Las computadoras están actualizadas? X Estas se actualizan hasta que algún
equipo falla.
6. ¿Las computadoras son compatibles con los ✓
programas y aplicaciones que los empleados
utilizan?
7. ¿Se cuenta con personal capacitado para el X
mantenimiento del equipo de la empresa?
8. ¿Existen horarios o fechas estipuladas para el X
mantenimiento de las computadoras?
9. ¿El cableado se encuentra en orden? ✓
10. ¿Las impresoras se encuentran en buen ✓
estado?
1.2. INSTRUMENTOS DE AUDITORIA, ÁREA BASE DE DATOS.
1.2.1. Entrevistas.
BD-01
Empresa:
Firma: _______________________________________________________________
Fecha: _________________
4. ¿El back up que se realiza, lo hacen separado de las demás bases de datos del sistema?
No, unificamos todas las bases de datos del sistema.
CUESTIONARIO
Empresa: BD-02
Fecha: _________________
Área: Software.
4. ¿El servidor actual cuenta con discos espejos o redundantes para guardar la
información contenida?
Sí, se cuenta con discos redundantes.
No se cuenta con discos redundantes.
10. ¿Se realizan copias de seguridad del código fuente del software?
Sí, se realizan copias de seguridad de manera regular.
A veces se realizan copias de seguridad, pero no siempre de forma regular.
No se realizan copias de seguridad del código fuente.
ENTREVISTA DE AUDITORIA.
Área: Telecomunicaciones.
B: Un gusto.
B: Con gusto.
B: Si
B: No
A: ¿Para los colaboradores que no tienen correo como les comunica alguna información?
A: ¿no todos los empleados con correo electrónico reciben un correo al menos al día?
B: 1 mes
A: Muchas gracias
CUESTIONARIO AREA PERSONAL.
1. ¿Cuáles son los métodos que utiliza para contratación de personal?
Los métodos que empleamos dentro de la Empresa es realizarles una entrevista por vía
telefónica, solicitando aspectos muy generales, luego de ello si notamos que la persona
cuenta con interés en el puesto se le sita a una entrevista de manera presencial, donde ya
se abarca todo lo referente a Estudios experiencia entre otras cosas.
2. ¿Realiza pruebas técnicas para la contratación del personal?
Siempre realizamos pruebas de acuerdo al área, por ejemplo, en el área de Sistemas
solicitamos que realice una prueba bastante sencilla, como conectar una computadora, en
este caso le damos un equipo al cual le tiene que adaptar todos los elementos, cables,
conectores, mouse y teclado, básicamente hacer que funcione la computadora.
3. ¿Verifica las referencias personales y laborales de los candidatos a los puestos?
Si verificamos este tipo de referencias, ya que si no lo hacemos corremos con un riesgo de
que estas referencias sean falsas, además de ello las referencias nos ayudan a comprobar y
conocer un poco más de la persona y sus actitudes.
4. ¿Usted pide experiencia laboral de acuerdo al puesto que se valla a desempeñar?
Normalmente se solicita que la persona cuente con experiencia previa al puesto al que
aplica, pero también se le puede dar la oportunidad a una persona que no tenga
experiencia, pero si el conocimiento.
5. ¿Qué medios utiliza para publicar los anuncios de plazas disponibles dentro de la
Empresa?
Se realizan publicaciones a través de las redes sociales como Facebook y medios de
comunicación como emisoras de radio.
INSTRUMENTOS DE AUDITORIA, ÁREA FÍSICA.
Cuestionario de control interno área física.
EMPRESA AUDITIVA, S.A.
AF
3. ¿Existen manuales o
reglamentos que indiquen el
funcionamiento y uso de los SI
ordenadores?
4. ¿Se verifica que el área de
trabajo cuente con iluminación
adecuada? SI
los equipos?
8. ¿Se proporcionan
capacitaciones y educación
sobre controles en los Sistemas
y uso adecuado al personal de SI
la empresa?
9. ¿Se garantiza la seguridad del
personal, los datos, el
hardware, el software y las SI
instalaciones?
10. ¿Existe una alarma para
detectar fuego, calor o humo
en forma automática? NO