Auditoria
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Auditoria as PDF for free.
More details
- Words: 11,135
- Pages: 79
Facultad de Ciencias Carrera Profesional INGENIERÍA DE SISTEMAS Y COMPUTACIÓN
AUDITORÍA DE SISTEMAS INFORMÁTICOS AUTORES
: LLUÉN LOZANO, Christian Omar DELGADO GONZALES, José Nelson
DOCENTE
: Ing. CALLACNÁ VERA, JuanCarlos Alberto
Chiclayo, Noviembre 2006
INTRODUCCIÓN
En la Actualidad los Sistemas Informáticos constituyen una herramienta bastante poderosa para la mejora de rendimiento de toda organización empresarial. Del mismo modo, no solo se trata de adquirir tecnología, sino que también es necesario saber darle el uso adecuado de acuerdo a los Requerimientos
particulares
de
un
determinado
usuario
o
grupos
usuarios. La Auditoría Informática, es un punto clave en este sentido, debido a que, si bien es cierto,
ayuda a detectar errores y señalar fallas en
determinadas áreas o procesos, su objetivo está orientado a brindar soluciones, planteando métodos y procedimientos de control de los sistemas de información que son validos para cualquier empresa u organización por pequeña que esta sea. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de información. Cabe resaltar que para la realización de una auditoria informática eficaz, es necesario entender a la empresa en su más amplio sentido, El presente informe, realizado por la empresa JC auditores, plantea un estudio profesional del los diversos factores que pueden estar influyendo en las operaciones de la empresa auditada “PROMENESTRA tex.”, a fin de brindar las soluciones y recomendaciones pertinentes.
ÍNDICE DEL PROYECTO DE AUDITORÍA Pág. CAPÍTULO 1. EMPRESA / ÁREA INFORMATICÁ
……………………………
…..05
1.1.
INSTITUCIÓN.
………………………………………………………………….……………
…..06
1.2.
SERVICIOS QUE BRINDA.
……………………………………………….……………
…..08
1.3.
ÁREA INFORMÁTICA.
…………………………………………………….……………
…..10
1.4.
F.O.D.A
Y
FACTORES
CRÍTICOS
DE
ÉXITO
DEL
ÁREA
INFORMÁTICA. ………………………………………………………………..……………… …11
1.5.
PROYECTOS O PRODUCTOS INFORMÁTICOS ÚLTIMOS AÑOS. …… …. 12
1.6.
TENDENCIA INFORMÁTICA EN HARDWARE Y SOFTWARE
1.7.
INTERNET.
1.8.
INVENTARIO GENERAL DE PARQUE INFORMÁTICO
……. 12
……………………………………………………………………………… 12 ……….……………
…. 13 CAPÍTULO 2. ÁREA INFORMÁTICA - DIAGNOSTICO. ………………….… … 14
2.1.
ÁREA DE NEGOCIO "CENTRO DE INFORMACIÓN" O EQUIVALENTE ………………………………………………………………………….……….15
2.2.
CARGOS FUNCIONALES Y OPERATIVOS ……………..………………………… …15
2.3.
FUNCIONES POR EQUIPO DE TRABAJO ………………..……………………… …..15
2.4.
POSICIÓN
ESTRATÉGICA
ORGANIGRAMA
DE
LA
DEPENDENCIA
EN
EL
……………………………………………………..………………………
….17
2.5.
MANUAL
DE
INFORMÁTICOS. …..17
PROCEDIMIENTOS
ADMINISTRATIVOS
…………………………………………………..………………………
2.6.
DOCUMENTOS DE GESTIÓN QUE POSEEN EN INFORMÁTICA. ….… …..17
2.7.
PRELIMINAR (DIAGNOSTICO) …………………………………………………..…… …18
CAPÍTULO 3. JUSTIFICACIÓN ADECUACION Y FORMALIZACIÓN.
….
…. 20
3.1.
ORIGEN DE LA AUDITORÍA
…………………………………………………………..
…. 21
3.2.
ALCANCE DE LA AUDITORÍA…………………………………………………………... 21
3.3.
ANTECEDENTES …………………………………………………………………………….. …. 21
3.4.
ENFOQUE A UTILIZAR ………………………………………………………………….. ….. 22
3.5.
CRONOGRAMA DE TRABAJO
3.6.
DOCUMENTOS A SOLICITAR
3.7.
MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMATICA
3.8.
JUSTIFICACION (Revisión informal)
3.9.
3.8.1.
ÁREAS A AUDITAR
3.8.2.
MATRIZ DE RIESGOS
3.8.3.
PLAN DE AUDITORIA EN INFORMATICA
ADECUACION 3.9.1.
METODOS
3.9.2.
TECNICAS
3.9.3.
HERRAMIENTAS
3.9.4.
PLAN DE AUDITORIA DE ACUERDO AL CLIENTE
3.9.5.
PLAN DETALLADO
3.10. FORMALIZACION (Revisión formal) 3.10.1. PLAN APROBADO. 3.10.2. COMPROMISO EJECUTIVO.
CONCLUSIONES Y RECOMENDACIONES BIBLIOGRAFÍA
ANEXOS
EMPRESA / AREA INFORMATICA
Auditoría de Sistemas CAPÍTULO 1: EMPRESA/ÁREA INFORMÁTICA
1.1.
INSTITUCIÓN Logo:
Slogan: Generando competitividad en el agro Dirección: “PROMENESTRAS tex.” se encuentra actualmente ubicado en el km. 4 de la carretera a Pimentel (Gobierno Regional Lambayeque) Ubicación: Ubicado en los interiores de la sede del Gobierno Regional Lambayeque, al extremo derecho de la entrada principal. VER ANEXO - Figura Nº 1 Reseña Histórica: “PROMENESTRAS tex.”, antes PROMENESTRAS, surge como un programa de investigación, asistencia técnica e información de PROMPEX, para promover el desarrollo de la producción y comercialización de Leguminosas de Grano, operando inicialmente mediante un convenio de cooperación con el Instituto Peruano de Leguminosas de Grano (IPL), entidad privada que se encarga de agrupar a las principales empresas exportadoras de menestras del Perú. A partir del mes de abril del 2006 PROMENESTRAS ahora con el sufijo TEX (Tecnologías de Exportación), comienza a operar en base a proyectos innovadores y nuevos convenios; promueve el uso de tecnologías modernas de producción y las buenas prácticas agrícolas para el mejoramiento de la calidad y rentabilidad de las leguminosas en el Perú, además, facilita la comercialización haciendo de nexo entre organizaciones de productores y empresas exportadoras. DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 8
Auditoría de Sistemas CAPÍTULO 1: EMPRESA/ÁREA INFORMÁTICA
Nº RUC: La empresa “PROMENESTRAS tex.”, está identificada legalmente con el número de RUC 20479998711 Dirección Legal: Av. Juan Tomis Stack 975 (Interior de la cede del Gobierno Regional Lambayeque – Cesión en Uso) - VER ANEXO – Figura Nº 2 Web site: http://www.PROMENESTRAS.gob.pe/ Organigrama: COORDINACIÓN
OA Oficina Administrativa
Centro de información
Unidad de Investigación
Unidad de Semillas
Proyecto de Investigación
Proyecto Semillas
Unidad de Capacitación
Unidad de Gestión
Unidad de Publicidad y Marketing
Proyecto Publicación Manuales
Proyecto Capacitación
Proyecto GEP
Misión y Visión:
Misión: Contribuir a desarrollar la competitividad y rentabilidad de las Leguminosas de Grano y posicionar al Perú como un País Productor Exportador competitivo, a través de la participación concertada de productores,
comercializadores
y
entidades
Públicas
y
Privadas
relacionadas con las cadenas Agro exportadoras de menestras.
Visión: Ser una empresa líder que logre consolidar una Red interinstitucional de investigación, asistencia técnica e información especializada en leguminosas de grano. DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 9
Auditoría de Sistemas CAPÍTULO 1: EMPRESA/ÁREA INFORMÁTICA
Tiempo de Creación: “PROMENESTRAS tex.”, es constituida tal, a partir de Abril del año 2005, pero como programa de investigación, asistencia técnica e información, lleva trabajando desde el año 1998 hasta la actualidad Razón social: Asociación civil 1.2.
SERVICIOS QUE BRINDA Adaptación de Variedades: A través de acciones de investigación, desarrolla o adapta nuevas variedades para incrementar la productividad, rentabilidad y diversificar la oferta exportable. Opera el Banco Nacional de Semillas de Menestras de Exportación que cuenta con 36 nuevas variedades de las principales clases comerciales de siete especies de leguminosas y con información y núcleos de semilla genética y básica, disponibles para las empresas y productores interesados en buscar mejores alternativas de producción Semillas de Calidad: Mediante la producción cuidadosa de núcleos de semilla genética y básica, “PROMENESTRAS tex.”, mantiene la identificación, pureza genética y calidad de las variedades comerciales de exportación del Banco de Semillas. Para incrementar la producción y difundir el uso de estas semillas, promueve entre las empresas privadas semilleristas o empresas exportadoras y ONG's, proveedoras de crédito en insumos, el uso de semilla de calidad entre sus grupos de productores. Asistencia Técnica: Brinda servicios de asistencia técnica personalizada a través de visitas de evaluación de campo, reuniones técnicas grupales, Días de campo y jornadas agronómicas. Capacitaciones: Desarrolla cursos de capacitación en tecnologías de producción, manejo integrado de plagas y enfermedades, clases comerciales y mercados, para DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 10
Auditoría de Sistemas CAPÍTULO 1: EMPRESA/ÁREA INFORMÁTICA
cada tipo de productos. También desarrolla otros tipos de eventos de capacitación tales como: Demostraciones de métodos y uso de equipos, parcelas demostrativas y Reuniones técnica para el manejo de la cosecha y pos cosecha; y otros temas de interés que contribuyan a mejorar la eficiencia productiva. Información Técnica y comercio Dispone
de
manuales
y
trípticos
de
divulgación
técnica,
afiches
promocionales, notas informativas de demanda y precios, directorio de exportadores y procesadores e información técnica sobre las principales variedades y clases de leguminosas que se comercializan en el mundo. Organización de producción: Promueve y apoya la organización empresarial de los productores, la ejecución de planes de producción ligados al mercado mediante contrato de compra con empresas exportadoras y agroindustriales. A través de Talleres de Planificación apoya la organización y operación de Alianzas entre diferentes actores de las cadenas productivas a fin de lograr un uso más eficiente de los recursos y mayor competitividad. Apoyo a la comercialización: Promueve la siembra por contrato entre organizaciones de productores y empresas exportadoras, asegurando de esta manera la comercialización. Provee información sobre ofertas y demandas de los diferentes tipos de menestras que se producen en las principales zonas productoras del país. Con el apoyo de PROMPEX, canaliza información de demandas y compradores internacionales de leguminosas. 1.3.
ÁREA INFORMÁTICA
La institución no cuenta con un área específica de informática, pero dispone de una red de tipo estrella que esta en el área de administración u oficina Administrativa (OA) y esta constituida por 3 computadoras Pentium IV y una PC portátil (Laptop).
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 11
Auditoría de Sistemas CAPÍTULO 1: EMPRESA/ÁREA INFORMÁTICA
1.4.
F.O.D.A Y FACTORES CRÍTICOS DE ÉXITO DEL ÁREA INFORMÁTICA LISTA DE FORTALEZAS “F” Factores Internos
LISTA DE DEBILIDADES “D”
F1. Nivel de desempeño del personal
D1. No Existe un área de informática
F2. Sus Equipos e Instalaciones están en buenas
D2. Ausencia de personal especialista en informática.
condiciones F3. Cuentan con un Website informativo
D2. No existen planes de seguridad para salvaguardar la data. D3. Distribución inadecuada de los equipos de computo
Factores Externos LISTA DE OPORTUNIDADES “O”
Mantener políticas de capacitación de personal
Aprovechar la existencia de tecnologías de infamación
O1. Existencia de Tecnología de
respecto al uso de nuevas tecnologías.
empresa para consolidar la constitución de un área
información que puede ser
Rediseñar eficazmente las áreas, mejorando las
informática claramente definida.
usada a favor de la empresa
instalaciones (racionalizar) y reubicando equipos.
Aprovechar el espacio existente en la empresa para
O2. Rediseñar de áreas
Aprovechar la tecnología existente para rediseñar el
reubicar los equipos de cómputo en lugares mas
O3. Nuevos convenios para la
Website actual, convirtiéndolo portal dinámico, donde
adecuados.
exportación de leguminosa
puedan realizarse las operaciones transaccionales referentes a la empresa Aprovechar el Internet para publicitar la Empresa Aprovechar las capacidades del personal y reformular
Rediseñar planes tomando en cuenta la nueva área
planes para que se adapten a la realidad de la
informática
inadecuados en la forma de
empresa.
Elaborar un plan de presupuestos
trabajo.
Aprovechar los beneficios de e business, evitando
Mantener actualizado el inventario de equipos existentes
compras de materiales publicitarios o de escritorio
Reasignar equipos de computo según el uso.
LISTA DE AMENAZAS “A” A1. Planificación y control
A2. Gastos innecesarios
innecesarios
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 12
Auditoría de Sistemas CAPÍTULO 1: EMPRESA/ÁREA INFORMÁTICA
FACTORES CRITICOS DE EXITO Compromiso del coordinador y personal administrativo, técnico y operativo con el equipo de trabajo, así de esta manera obtener la información adecuada. Contar con el plan estratégico de la empresa, nos ayudará a conocer mejor a la empresa. Fijar un único criterio de conducción del plan, para evitar posteriores contradicciones. Conocer la situación real de la empresa, nos permitirá detectar los problemas y necesidades. Conocer
el
entorno
actual
de
la
empresa,
es
decir,
el
comportamiento de la competencia, los proyectos de legislación que afecten sus intereses. El presupuesto asignado, nos ayudará a la elaboración del plan para definir el análisis costo beneficio de dicho plan. La debida capacitación del personal a cargo del plan. El tiempo, es importante definir el tiempo en que se realizará este plan. Contar con información adecuada y oportuna sobre los aspectos financieros y operativos de la empresa, para realizar un buen plan se debe de contar con toda la información necesaria de la empresa. Contar con el equipo de cómputo necesario para el desarrollo de este plan. 1.5.
PROYECTOS O PRODUCTOS INFORMÁTICOS ÚLTIMOS AÑOS Entre los proyectos informáticos implementados en los últimos años, se puede mencionar el software Suite CompSis, que es un programa diseñado para ayudar el los procesos del plano contable
1.6.
TENDENCIA INFORMÁTICA EN HARDWARE Y SOFTWARE Hardware Respecto al hardware, actualmente la empresa cuenta con 3 equipos de computo, de los cuales 2 han sido adquiridos en el año 2005 y uno en el 2006, aparte de esto se cuenta con una laptop que pertenece al director ejecutivo y es de su uso personal; además se pretende realizar DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 13
Auditoría de Sistemas CAPÍTULO 1: EMPRESA/ÁREA INFORMÁTICA
adquisiciones de una PC y un proyector multimedia, a la empresa D’ Computo, dependiendo de la viabilidad del proyecto a ejecutar. Software Aquí, la tendencia de la empresa, esta del lado del software propietario de Microsoft, por lo que la empresa cuenta con el sistema operativo Windows 2000 y Windows XP, además, todas las computadoras (las 3 PC’s) cuentan con el software Microsoft Office 2003 completo (Herramientas de Microsoft office, Microsoft Office Access 2003, Microsoft Office Excel 2003, Microsoft Office FrontPage 2003, Microsoft Office Publisher 2003, Microsoft Office Word 2003, Microsoft Office Tools, Microsoft Office Project 2003 y Microsoft Office Visio 2003) 1.7.
INTERNET El acceso a Internet que utiliza la empresa es INFOINTERNET de 512 kbps, servicio de conexión permanente a Internet a través de la Red de TDC de comunicación Síncrona; brindada por el Gobierno Regional e Lambayeque quien por ende es su administrador.
1.8.
INVENTARIO GENERAL DE PARQUE INFORMÁTICO
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 14
Auditoría de Sistemas CAPÍTULO 1: EMPRESA/ÁREA INFORMÁTICA
::: HARDWARE ::: PC 38
Nombre de
PC 37
equipo: CPU: Memoria RAM: Disco Duro: Tarjeta de red:
Pentium 4 - 1.5 GHz 256 MB S-ATA 7200 - 80GB D-Link DFE – 530 PCI
Pentium 4 - 2.6 GHz 256 MB S-ATA 7200 - 80GB D-Link DFE – 530 PCI
Fast Ethernet Adapter
Fast Ethernet Adapter Fast Ethernet Adapter
MODEM:
Motorota SM56 Voice
PC 39 Pentium 4 - 2.4 GHz 261,408 KB S-ATA 7200 - 80GB D-Link DFE – 530 PCI
-
Modem Puerto: OM1 & LPT1 Lectora de CD: Creative – 52x Grabadora de LG – 48 x 24 x 48
OM1 & LPT1 Creative – 52x LG – 52 x 24 x 52
OM1 & LPT1 Creative – 52x LG – 52 x 24 x 52
CD: Unidad de
NEC
NEC
NEC
disquete: Monitor: Teclado:
Samsung 793s – 17” Teclado Estándar BTC
Samsung 793s – 17” Teclado Estándar BTC
Samsung 793s – 17” Teclado Estándar BTC
Mouse:
en español PS2 Clásico PS2 color
en español PS2 óptico PS2 + rueda
en español PS2 óptico PS2 + rueda
Estabilizador: Supresor de
blanco 1000 W Hibrido Omega – 6
1000 W Hibrido Omega – 6
1000 W Hibrido Omega – 6
Picos: Impresora: Scanner:
tomacorrientes
Sistema
tomacorrientes Hp deskjet 3650 scantjet 3570c ::: SOFTWARE ::: Microsoft Windows Microsoft Windows XP
Microsoft Windows 2000
Operativo:
XP Profesional –
Profesional – Versión
5.00.2195 con Service
Versión 2002 Con
2002 Con Service Pack
Pack 4
Service Pack 2 Oficce 2003 -
2 Oficce 2003 - Completo Oficce 2003 - típica
Completo Nero Virus Scan Corel Draw v.12
Nero Virus Scan
Herramientas:
tomacorrientes Hp Laserjet 1200 series
Nero Virus Scan Roxio Easy CD creador Suite ContaSis
* Para apreciar la disposición de equipos existentes en la empresa, VER ANEXO Figura Nº 3
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 15
AREA INFORMATICA DIAGNOSTICO
Auditoría de Sistemas CAPÍTULO 2: ÁREA INFORMÁTICA - Diagnostico
2.1.
ÁREA DE NEGOCIO "CENTRO DE INFORMACIÓN" O EQUIVALENTE JC auditores, constó la inexistencia de un Centro de Información en la empresa, No obstante, llevó a cabo el desarrollo de las auditorias, a fin de poder dejar planteadas las necesidades de información existentes, para que mas adelante, pueda constituirse un centro informático con tecnología de información.
2.2.
CARGOS FUNCIONALES Y OPERATIVOS
NOMBRE Y APELLIDOS CARGOS (Trabajador)
CARGOS
FUNCIONALES
OPERATIVOS
Blg. Ángel Valladolid
Coordinación
Director Ejecutivo
Chiroque Gloria Vélez Rivera
Oficina Administrativa
Administrativa
Julián Aquino Zeña
(OA) Unidad de semillas
especialista en semillas
Ing. Kattia Delgado
Unidad de
e investigación Asistencia técnica
Bustamante Pedro Lloverá More
Investigación Departamento de
Técnico
Almacén 2.3.
FUNCIONES POR EQUIPO DE TRABAJO Coordinación: Es la persona responsable de organizar y coordinar las actividades; y además delega funciones al personal que labora en el programa. También apoya a la unidad de investigación. Oficina Administrativa (OA): Está compuesta por las áreas de Logística, Ventas y Contabilidad.
Abastecimiento se encarga de las adquisiciones de bienes y servicios para la Institución dentro del marco establecido por las disposiciones legales vigentes. Además racionaliza y controla los bienes de la institución.
Ventas es el área donde se realizan las transacciones comerciales con los clientes, emitiéndoles documentos de venta.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 17
Auditoría de Sistemas CAPÍTULO 2: ÁREA INFORMÁTICA - Diagnostico
Contabilidad está encargada de programar, organizar, ejecutar, controlar y evaluar los sistemas económicos financieros contables de tesorería y abastecimiento, que ocurren en la institución de acuerdo a la normatividad y disposiciones legales. Unidad de Semillas: Esta unidad es la encargada de la producción cuidadosa de núcleos de semilla genética y básica, manteniendo la identificación, pureza genética y calidad de las variedades comerciales de exportación del Banco de Semillas. Para incrementar la producción y difundir el uso de estas semillas, promueve entre las empresas privadas semilleristas o empresas exportadoras y ONG's, proveedoras de crédito en insumos, el uso de semilla de calidad entre sus grupos de productores. Unidad de Capacitación: En esta unidad se encuentran el Proyecto de Capacitación y el Proyecto de Asistencia Técnica.
El Proyecto de Capacitación se encarga de desarrollar cursos de capacitación en tecnologías de producción, manejo integrado de plagas y enfermedades, clases comerciales y mercados, para cada tipo de productos. También desarrolla otros tipos de eventos de capacitación tales como: Demostraciones de métodos y uso de equipos, parcelas demostrativas y reuniones técnica para el manejo de la cosecha y pos cosecha; y otros temas de interés que contribuyan a mejorar la eficiencia productiva. El proyecto de Asistencia Técnica brinda servicios de asistencia técnica personalizada a través de visitas de evaluación de campo, reuniones técnicas grupales, días de campo y jornadas agronómicas. Unidad de Gestión Publicidad y Marketing: Ambas Unidades que aún no se ejecutan actualmente debido a la carencia de personal. 2.4.
POSICIÓN
ESTRATÉGICA
DE
LA
DEPENDENCIA
EN
ORGANIGRAMA DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 18
EL
Auditoría de Sistemas CAPÍTULO 2: ÁREA INFORMÁTICA - Diagnostico
El centro de información, aunque esta definido en el organigrama como una rama directa a Coordinación, actualmente, sus operaciones están paralizadas debido a que no existe un responsable para esta.
COORDINACIÓN
OA Oficina Administrativa
Centro de información
Unidad de Investigación
Unidad de Semillas
Proyecto de Investigación
Proyecto Semillas
2.5.
Unidad de Capacitación
Unidad de Gestión
Unidad de Publicidad y Marketing
Proyecto Publicación Manuales
Proyecto Capacitación
Proyecto GEP
MANUAL DE PROCEDIMIENTOS ADMINISTRATIVOS INFORMÁTICOS
JC
auditores,
pudo
verificar
que
Actualmente
la
empresa
“PROMENESTRAS tex.” No cuenta con dicho documento. 2.6.
DOCUMENTOS DE GESTIÓN QUE POSEEN EN INFORMÁTICA La empresa PROMENESTRAS tex tampoco dispone de la documentación requerida en este caso considerada como son:
Un Plan de Contingencias
Aplicación de técnicas de Intranet
Gestión óptima de software adquirido a medida por entidades públicas
Mantenimiento de equipos de computación
Seguridad de programas , de datos y equipos de cómputo
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 19
Auditoría de Sistemas CAPÍTULO 2: ÁREA INFORMÁTICA - Diagnostico
2.7.
PRELIMINAR (DIAGNOSTICO) Para realizar el diagnóstico se aplico el Modelo de Richard Nolan, el cual divide en seis etapas el desarrollo de la informática en la organización: Etapa Nº 1: Iniciación Esta etapa se caracteriza por la automatización de procesos operativos de bajo nivel para reducir los costos funcionales. Etapa Nº 2: Expansión. Esta etapa se caracteriza por la diseminación y el contagio de los participantes, es decir, se automatizan los procesos operativos completos. Etapa Nº 3: Control Esta etapa se caracteriza por la profesionalización de los participantes. Hay una tendencia hacia la automatización de datos y la implicación de los usuarios en los gastos informáticos. Etapa Nº 4: Integración Se caracteriza por aplicaciones online (en línea) y bases de datos. Aparecen deficiencias de crecimiento y mayor control administrativo. Etapa Nº 5: Administración de Datos Se caracteriza por la aparición de modelos de datos y necesidades de información de la organización, y porque existe una independencia de entornos materiales y lógicos. Etapa Nº 6: Madurez Se caracteriza porque la organización asume el papel innovador de las tecnologías de la información y las aplicaciones son oportunas y competitivas. De acuerdo a estas seis etapas y en base al levantamiento de información efectuado, se determinó que la institución se encuentra en la primera etapa: "INICIACION"; puesto que, “PROMENESTRAS tex.” se encuentra en el periodo introductoria a las TIs; además, en el trabajo, sólo unos pocos tienen interés en la nueva herramienta y actúan como innovadores, introductores o líderes del cambio. La organización es ajena a las transformaciones que van produciéndose aunque las conoce y observa, las aplicaciones son elementales y se orientan a la mecanización y automatización de procesos rutinarios. Casi nadie sabe dar respuesta a los problemas que van surgiendo. Todo es nuevo. Ninguno de sus equipos que conforman el parque informático, fueron adquiridos con una visión de futuro.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 20
JUSTIFICACION ADECUACION Y FORMALIZACION
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
3.1.
ORIGEN DE LA AUDITORÍA La presente auditoría surge como necesidad de llevar a la práctica
los
conocimientos adquiridos en las aulas y hacer del curso de auditoría de sistemas una experiencia vivenciada. Ha elección del equipo de trabajo, que para efectos de practica, ha sido autodenominado JC auditores, la empresa auditada, es la ya mencionada PROMENESTRAS tex, a la cual se pudo acceder gracias a una carta Presentación, concedida por la Universidad Católica Santo Toribio de Mogrovejo VER ANEXO - Imagen Nº 1 3.2.
ALCANCE DE LA AUDITORÍA La auditoría realizada por JC auditores, comprende el año 2006 y fue aplicada a la empresas PROMENESTRAS tex en su totalidad, presentando mayor incidencia en la Oficina Administrativa por ser la unidad en la que se cumple en cierto grado la función informática Las auditorias que comprende el presente informe son las siguientes: Auditoria Física Enfocada a evaluar el inventario informático, las instalaciones realizadas en el área de información propuestas (Actual Oficina Administrativa), seguridad del entorno físico, ubicación, etc. Auditoria Ofimática A través de la cual se evaluara el funcionamiento del software de las maquinas del centro de información, así como la adquisición de los diversos programas con los que cuenta la empresa. Auditoria De Redes Que permitirá comprobar lo seguridad y vulnerabilidades en la red, así como, determinar que la función de redes esté claramente definida.
3.3.
ANTECEDENTES Como Entidad Privada, “PROMENESTRAS tex”, no ha sido auditada con anterioridad, puesta que empezó a operar con tal a partir de abril de este año.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 22
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
3.4.
ENFOQUE A UTILIZAR El enfoque utilizado, por JC Auditores, en el presente informe, está basado principalmente en el libro “Auditoría Informática: Un enfoque práctico. 2ª Edición ampliada y revisada” de Mario Gerardo Piattini Velthuis, el cual propone técnicas Normas y procedimientos para un buen desarrollo de las diversas auditorias especificas, del cual se tomaron como principales actividades a realizar, las siguientes:
•
Planificación y seguimiento (Plan Global, Preparación del programa)
•
Análisis y evaluación de CI (Revisión del sistema)
•
Evidencias sustantivas(Analíticas, de Saldo y de Apuntes)
Haciendo uso de técnicas como la observación así como del uso de cuestionarios y entrevistas que ayuden o obtener hallazgos y materia evidencial.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 23
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
3.5.
CRONOGRAMA DE TRABAJO
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 24
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
3.6.
DOCUMENTOS A SOLICITAR Según las normas de Auditoría Gubernamental NAGU, específicamente la NAGU 500, Los documentos validos ante GRPP son:
500-01 Organización del Área de Informática: La dirección debe establecer políticas para la organización adecuada del área de Informática que permita cumplir sus actividades con eficiencia, contribuyendo al desarrollo de las operaciones de la entidad.
500-02 Plan de sistemas de información: Toda entidad que disponga de un área de informática debe implementar un plan de sistemas de información con el objeto que prever que el desarrollo de
sus
actividades
contribuya
al
logro
de
sus
objetivos
institucionales.
500-03 Controles de datos fuente, de operación y de salida: Deben diseñarse controles con el propósito de salvaguardar los datos fuente de origen, operaciones de proceso y salida de información, con la finalidad de preservar la integridad de la información procesada por la entidad.
500-04 Mantenimiento de equipos de computación: La dirección de cada entidad debe establecer políticas respecto al mantenimiento de los equipos de computación que permitan optimizar su rendimiento.
500-05 Seguridad de programas de datos y equipos de cómputo: Deben establecerse mecanismos de seguridad en los programas y datos del sistema para proteger la información procesa da por la entidad, garantizando su integridad y exactitud, así como respecto de los equipos de computación.
500-06 Plan de contingencias: El Área de Informática debe elaborar el Plan de Contingencias de la entidad que establezca los procedimientos
a
utilizarse
para
evitar
interrupciones
en
la
operación del sistema de cómputo.
500-07
Aplicación
de
técnicas
de
INTRANET:
La
implementación de las técnicas de INTRANET dentro de las entidades debe efectuarse con el objeto de fortalecer el control
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 25
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
interno e incrementar la eficiencia de las comunicaciones internas, previa evaluación del costo-beneficio que reportaría su aplicación.
500-08 Gestión óptima de software adquirido a medida por entidades públicas: Debe establecerse políticas sobre el software a medida adquirido por las entidades, a fin de que los derechos de propiedad se registren a nombre del Estado. Por ende, disponer de la siguiente documentación:
Documentos de Gestión: MOF, ROF, TUPA, CAP Inventario de sistemas de información Plan de Contingencia Misión – Visión. Organigrama.
3.7.
MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMATICA En realidad no existe una razón específica para realizar este tipo de auditoría puesto que la empresa no cuenta con un área informática establecida y no se puede verificar la función informática. Por motivos académicos y buscando favorecer a la empresa, se podría decir que los principales motivos por los que “PROMENESTRAS tex.” Debería ser audita son: No cuenta con ningún tipo de documento ya sea de gestión o técnico No cuentan con un área informática propiamente dicha Distribución Inadecuada de los Equipos de Computo Deficiente Seguridad de los Equipos de Computo El cableado no esta estructurado Deficiente confidencialidad de la información Deficiente Seguridad lógica
Uso ineficiente de lo equipos de computo 3.8.
JUSTIFICACION (Revisión informal) JC Auditores, determinó que,
debido a que el área informática no se
encuentra actualmente constituida; una no se puede aplicar una auditoria informática a la gestión de la misma, sin embargo, debido a que la DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 26
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
empresa “PROMENESTRAS tex.”, cuenta con accesorios informáticos, creemos importante abordar los siguientes puntos La organización debe aprovechar al máximo los equipos de cómputo con los que cuenta. Los equipos de computo deben estar mejor estructurados La institución debe contar con un plan de seguridad ante un desastre que afecte tanto a la parte física como lógica La empresa debe contar con backup de sus datos
La empresa debe contar tanto con documentos de gestión y manuales técnicos 3.8.1.
ÁREAS A AUDITAR La Auditoría realizada por el equipo de JC Auditores, de acuerdo a lo establecido en el alcance de la misma, comprende la empresa en su totalidad, sin embargo el estudio presenta mayor incidencia en la oficina administrativa (OA), debido a que allí se encuentran ubicados todos los equipos de computo con los que cuenta la empresa “PROMENESTRAS tex.”
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 27
ÁREAS O UNIDADES
ORGANIZATIVAS
COORDINACIÓN OFICINA ADMINISTRATIVA UNIDAD DE INVESTIGACIÓN 1 3 2 2 3 2 3 3 3
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
1 3 2 2 3 2
Pocos equipos de computo Inexistencia de nuevos proyectos
1 3 2 2 3 2 3 3 3 3 3 2 2 3 2 1 3 2 2 3 2
Termino o cancelación de convenios con instituciones agro exportadoras
Ingreso de personal ajeno a la empresa
3 3 3
Contagio de equipos por virus informático
Robo de información personal de la empresa
Ocurrencia de movimientos telúricos a gran escala
Cambio de Directorio
3 3 3
Lenta adaptación a la nueva tecnología
Miembros del equipo no se implican en el proyecto
Tiempo de comunicación del usuario demasiado lento
Herramientas de desarrollo no disponibles en el momento oportuna
Carencia de personal
RIESGO sistema informático precario
3.8.2.
Falta de apoyo por parte del personal la empresa
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
MATRIZ DE RIESGOS
3 3 3
Pág. 28
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
UNIDAD DE SEMILLAS UNIDAD DE CAPACITACIÓN
1 3
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
3 2
3 3
1 3
3 2
3 3
1 3
3 2
3 3
1 3
3 2
3 3
1 3
3 2
1
Riesgo Bajo
2
Riesgo medio
3
Riesgo Alto
3 3
Pág. 29
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
3.8.3.
PLAN DE AUDITORIA EN INFORMATICA Para el Plan para el desarrollo de este proyecto Se cuenta con el apoyo de la alta dirección de la empresa, ésta fue la primera acción que se realizó, solicitando la participación de los principales trabajadores de la empresa y en donde se realizaran las siguientes acciones. ID. Tarea 1 Observación general de las áreas afectadas. 2 Entrevistas a usuario mas relevantes del área.
Analizar con que documentos de gestión y técnicos 3 cuentan.
Ver si que los equipos de los que cuentan en la 4 actualidad concuerdan con su inventario.
Análisis de las claves de acceso, control, seguridad, 5 confiabilidad y respaldos.
Evaluar las tecnologías de información tanto en 6 hardware como en software. 7 Evaluación de la seguridad física como lógica.
3.9.
ADECUACIÓN 3.9.1.
MÉTODOS Visualización del Panorama: verificación de las funciones, seguridad de los equipos, cableado, etc. Verificación de documentos de gestión. Análisis de los Requerimientos de Usuarios.
3.9.2.
TÉCNICAS Observación Entrevistas Cuestionarios Digitalización de Imágenes (Fotografías)
3.9.3.
HERRAMIENTAS Cuaderno de Campo
Cámara Digital (Creative PC-CAM 350) Papel Lapicero DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 30
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
Scanner (hp scanjet 2400) Microsoft Office Word 2003 Microsoft Office Excel 2003 Microsoft Office Project 2003 Microsoft Office Visio 2003 AVG antivirus 7.5 3.9.4.
PLAN DE AUDITORIA DE ACUERDO AL CLIENTE Empresa “PROMENESTRAS tex.” ha solicitado al equipo auditor lo siguiente: Ver si los equipos con los que cuentan se adaptan a sus requerimientos Reestructurar la red existente tanto con normas de cableado estructurado como la ubicación adecuada de sus equipos. Ver el estado de sus equipos de computo Dar mas seguridad a sus datos Realizar un sistema el cual ayude al área de administración a poder tener un control del tiempo que labora el personal para sus respectivos pagos y descuentos. Ver las necesidades del personal en aspectos informáticos.
3.9.5.
PLAN DETALLADO
Examinar los equipos de computo, para determina si los mismos, se adaptan a sus requerimientos Verificar el estado de sus equipos de computo Reestructurar la red existente tanto con normas de cableado estructurado como la ubicación adecuada de sus equipos.
Brindar una mayor seguridad a la información de la empresa. Realizar un sistema el cual ayude al área de administración a poder tener un control de ingresos y salidas del personal que labora en la misma. * Para la evaluación de los sistemas se llevarán a cabo las siguientes actividades:
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 31
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
Solicitud del análisis y diseño de los sistemas en desarrollo y en operación
Solicitud de la documentación de los sistemas en operación (manuales técnicos, de operación del usuario, diseño de archivos y programas)
Recopilación y análisis de los procedimientos administrativos de cada sistema (flujo de información, formatos, reportes y consultas)
Análisis de control, seguridad, confidencial y respaldos
Entrevista con los usuarios de los sistemas.
Evaluación directa de la información obtenida contra las necesidades y requerimientos del usuario
Análisis y evaluación de la información recopilada
Elaboración del informe
* Para la evaluación de los equipos se llevarán a cabo las siguientes actividades:
Solicitud de los estudios de viabilidad y características de los equipos actuales, proyectos sobre ampliación de equipo, su actualización
Solicitud de contratos de compra y mantenimientos de equipo y sistemas
Solicitud de contratos y convenios de respaldo
Solicitud de contratos de Seguros
Verificar
la
utilización
de
equipos,
memoria,
archivos,
unidades de entrada/salida, equipos periféricos y su seguridad
Comprobación
de
seguridad
física
y
lógica
de
las
instalaciones.
Evaluación técnica del sistema electrónico y ambiental de los equipos y del local utilizado.
Evaluación
de
la
información
recopilada,
obtención
de
gráficas, porcentaje de utilización de los equipos y su justificación.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 32
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
*
Elaboración y presentación del informe final (conclusiones y
recomendaciones)
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 33
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
3.10. FORMALIZACIÓN (REVISIÓN FORMAL) 3.10.1. PLAN APROBADO El documento esencial que permitió tener acceso a la información concerniente a la empresa PROMENESTRAS tex., fue la carta de presentación dirigida al señor Ángel Valladolid Chiroque, director ejecutivo de la empresa, quien aceptó y aprobó el plan descrito con anterioridad. 3.10.2. COMPROMISO EJECUTIVO De acuerdo al plan ya mencionado, El equipo de JC auditores, se compromete a entregar el informe de auditoría Informática a la empresa en mención, el 14 de diciembre del presente año.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
1 Bajo (BIEN) Pág. 34 2 Intermedio 3 Alto (MAL)
DESARROLLO DE AUDITORIAS ESPECIFICAS
4.1.
AUDITORÍA FÍSICA 4.1.1.
ALCANCE Esta auditoría fue aplicada en todas las áreas que se encuentran en ejecución (Coordinación, Administración, Unidad de Investigación, Unidad de semillas y Unidad de Capacitación) las mismas que operan en la oficina principal (Oficina Administrativa), puesto que en ella se encuentran los equipos de cómputo con los que dispone la empresa, y en donde se evaluará: Organización y calificación del personal de Seguridad. Planes y procedimientos de Seguridad y Protección Sistemas técnicos de Seguridad y Protección.
4.1.2.
OBJETIVOS Verificar la ubicación y seguridad de las instalaciones. Determinar y evaluar la política de mantenimiento y distribución de los equipos.
Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente Verificar la seguridad del personal, datos, hardware, software e instalaciones Revisión de políticas y normas sobre seguridad Física de los
medios,
como
son:
Edifico,
Instalaciones,
Equipamiento y Telecomunicaciones, Datos y Personas. Verificar si la selección de equipos y Sistemas de computación es adecuada. 4.1.3.
DESARROLLO DE LA AUDITORÍA SEGURIDAD FÍSICA Ubicación de la Oficina Central/Oficina administrativa
La oficina central se encuentra ubicada en los interiores de la Sede del Gobierno Regional de Lambayeque y no tienen previsto un local alternativo para cuando termine el convenio de cesión en uso con la misma. VER ANEXO - Figura Nº 2
En dicho ambiente se llevan a cabo operaciones de Coordinación, Administración y ventas. Además,
allí
se
encuentra
almacenada
toda
la
documentación concerniente a la empresa, en grandes folios apilados en estanterías. De igual forma, todos los equipos de cómputo con los que cuenta la empresa, se encuentran en este ambiente. Las ventanas superiores no poseen ninguna estructura metálica (Malla o enrejado) que proteja el acceso a personas no autorizadas y malintencionadas. Seguridad General
De acuerdo a las observaciones realizadas en la oficina Administrativa, la ubicación de los equipos de computo no constituyen un inconveniente para los accesos
y
salidas de la misma, sin embargo, cabe resaltar que el servidor se encuentra en un lugar vulnerable.
En lo referente a la seguridad eléctrica, JC auditores, pudo
verificar
que
cables
no
están
debidamente
colocados, pues están a la vista de todos de forma desorganizada, además, cerca de la puerta de ingreso, existen varios cables sueltos, los cuales constituyen un riesgo y puede ocasionar desastres mayores.
Lo mismo ocurre con el cableado de red, para el cual no se ha previsto el uso de canaletas ni de caja toma datos.
Los equipos no reciben el mantenimiento debido; lo cual incrementa el riesgo e posible pérdida de información por averías serias en el equipo.
Existen documentos apilados en forma inadecuada que en un futuro podrían obstruir la salida del ambiente.
No disponen de un equipo contra incendios y mucho menos cuentan con la capacitación adecuada para el manejo de estos.
Plan de Contingencia De acuerdo con el Inventario de Documentos realizado en la empresa; JC Auditores pudo verificar que muchos de los lineamientos del plan de Contingencia que poseen, no han sido ejecutados a la fecha. Control de accesos Puesto que se trata de un ambiente relativamente pequeño, no es imprescindible contar con un sistema para ello; todos los accesos son verificados en la entrada principal de la sede. Selección de personal El personal que labora en la empresa cuenta con los conocimientos indispensables para su labor, los cuales han sido seleccionados de una manera adecuada, tanto por concurso así como respectivas entrevistas Seguridad de datos Actualmente la duplicación y preservación de la información depende de cada usuario, quien es responsable de proteger su información contra pérdidas, modificación de las mismas y accesos a personal no autorizado. DISTRIBUCIÓN Y MANTENIMIENTO DE EQUIPOS Distribución de los equipos informáticos No existen mayores dificultades, puesto que todos los equipos informáticos yacen en un mismo ambiente, y por cuyas dimensiones no son representa gran inconveniente. Mantenimiento de los equipos informáticos En cuanto a su mantenimiento no se cuenta con personal adecuado y capacitado para solucionar problemas en el mal funcionamiento del hardware, lo cual retrasa el trabajo del usuario del equipo afectado.
Según
la
información
obtenida,
no
se
tiene
plan
o
cronograma para el mantenimiento de equipos, por lo que el mismo se da esporádicamente para lo cual se hace uso de servicios técnicos externos.
INFORME ESPECÍFICO 1. Título Auditoria Física 2. Cliente Oficina Aministrativa 3. Entidad Auditada Empresa “PROMENESTRAS tex.” 4. Objetivos Verificar la ubicación y seguridad de las instalaciones. Determinar y evaluar la política de mantenimiento y distribución de los equipos.
Evaluar
la
seguridad,
utilidad,
confianza,
privacidad
y
disponibilidad en el ambiente Verificar si la selección de equipos y Sistemas de computación es adecuada. 5. Normativa aplicada y excepciones Para esta auditoría se ha tomado en cuenta la Normas de Auditorias Gubernamentales: “Normas de Control Interno para sistemas computarizados” (NAGU 500). 6. Alcance El presente trabajo de auditoria física, comprende el periodo 2006 y se ha realizado a la Empresa “PROMENESTRAS tex.”, de acuerdo a las normas y demás disposiciones aplicables. 7. Conclusiones La seguridad
física en la Institución,
según
las normativas
aplicadas, es favorable aunque con ciertas salvedades. No se han tomado las previsiones necesarias en caso de futuros riesgos
La empresa “PROMENESTRAS tex”. Debido a que cuenta con el apoyo del gobierno regional, de acuerdo convenio, solo ha mostrado preocupación en lo referente a las operaciones propias del negocio, olvidándose en cierta parte de la responsabilidad para con sus usuarios y trabajadores.
8. Resultados De acuerdo a los objetivos planteados previamente, los resultados serían los siguientes: Verificar la ubicación y seguridad de las instalaciones.
-
Ubicación de la institución, favorable con salvedades, debido a que no se trata de un local propio
-
Seguridad de las instalaciones en cuanto a vigilancia, favorable, puesto que se cuenta con la seguridad de la misma sede
-
Identificación de Salidas, favorable con algunas salvedades como el cuidado de no colocar objetos que obstruyan el paso
-
Seguridad ante Sismos, desfavorable, debido a que la salida inmediata del ambiente coincide un el paso de vehículos, que muchas
veces
es
tomado
como
estacionamiento
de
camionetas de la sede. -
Seguridad ante Incendios, Desfavorable
-
Seguridad
eléctrica,
favorable
con
salvedades;
falta
organización en el cableado. Verificar la seguridad de información. -
El ambiente principal se encuentra toda la documentación física de la empresa, la misma que por tratarse de papeles, folios y aerosoles constituyen material altamente inflamable, pese a ello no se cuenta con un sistema contra incendios y por aun el personal no se encuentra capacitado para el uso de ellos.
-
La data, además de ser almacenada en el servidor, esta a disposición
de
documentación
los en
trabajadores, disquete
u
quienes
otros
portan
la
dispositivos
de
almacenamiento, como CD, memorias USB, echo poco favorable debido posible plagio de información. Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
-
Aspecto desfavorable, debido a que el ambiente es pequeño, y no se cuenta con la seguridad debida.
Verificar
si
la selección
de equipos
y Sistemas de
computación es adecuada. -
Desfavorable,
puesto
que
todas
las
computadoras,
indistintamente de las características particulares que pueda tener, son usadas para un mismo propósito (Elaboración de documentos) 9. Fecha del Informe El presente Informe se inició el 20 de agosto del 2006
y se
concluyó el 11 de noviembre mismo. 10.Identificación y Firma del Auditor
Lluén Lozano, Christian Omar DNI: 41635966
Delgado Gonzales, José Nelson LM: 1116330844
4.2.
AUDITORIA OFIMÁTICA 4.2.1.
ALCANCE La auditoria Ofimática fue aplicada en todas las áreas que se encuentran en aplicación (coordinación, administración, unidad de investigación, unidad de semillas, y unidad de capacitación), las mismas que operan en la oficina principal (oficina administrativa) Los puntos que se tomarán son, Revisión de: inventario, políticas
de
mantenimiento,
licencias,
desempeño
del
software existente, seguridad de la data 4.2.2.
OBJETIVOS Determinar
si
el
inventario
ofimático
refleja
con
exactitud los equipos y aplicaciones existentes en la organización Determinar y evaluar la política de mantenimiento definida en la organización Verificar el desempeño del software empleado en la institución Verificar la legalización del software utilizado. Verificar la seguridad en la data 4.2.3.
DESARROLLO DE LA AUDITORÍA Todas
las
opiniones
documento
están
profesionales
respaldadas
por
vertidas las
en
este
entrevistas,
inventarios y observaciones realizadas durante las visitas a la Institución.
INVENTARIO De acuerdo a la investigación realizada por la consultora JC Auditores, la empresa PROMENESTRAS tex., no cuenta con un inventario, la cual no saben con exactitud con cuantos equipos de hardware/software cuentan. MANTENIMIENTO La empresa PROMENESTRAS Tex., no cuenta con una política de mantenimiento preventivo de sus equipos, se hace mantenimiento solo y cada vez que estos empiezan a fallar. SISTEMAS - NECESIDADES Actualmente existen dos aplicaciones en red que son: Sistema
contable
financiero
(suite
contasis),
Sistema
comercial (Suite contasis) pero dichas aplicaciones no son utilizados actualmente. Además cabe recalcar que algunos accesorios de cómputo no se utilizan a cabalidad como por ejemplo las quemadoras y lectoras, son 3 computadoras de escritorio y cada uno de ellos posee una quemadora y lectora,
pero
estos
accesorios
se
utilizan
con
poca
frecuencia. LICENCIAMIENTO Los Software que se utilizan en la empresa PROMENESTRAS solo dos sistemas cuentan con licencias (sistema contable, sistema comercial) el resto ninguno de ellos cuentan con licencia, esto puede ser perjudicable para la empresa ya que puede haber fuertes sanciones por el uso ilegal APLICACIONES INSTALADAS No existe un control del software que los trabajadores puedan descargar de Internet y el uso que le den a los mismos, de igual forma de software no licenciado que puedan instalar en los equipos.
COPIAS DE SEGURIDAD La empresa PROMENESTRAS tex.,
no realizan copias de
seguridad (backup) de sus datos, ya que ante un desastre físico (robo, hurto) o lógico (virus) se pierde toda la data.
Informe Final 1. Título Auditoria Ofimática. 2. Cliente Oficina administrativa 3. Entidad PROMENESTRAS Tex. 4. Objetivos Determinar si el inventario ofimático refleja con exactitud los equipos y aplicaciones existentes en la organización Determinar y evaluar la política de mantenimiento definida en la organización Verificar el desempeño del software empleado en la institución Verificar la legalización del software utilizado. Verificar la seguridad en la data 5.- Normativa aplicada y excepciones Para esta auditoría se toman en cuenta la norma ISO 17799 y Normas de Auditorias Gubernamentales: “Normas de Control Interno para sistemas computarizados” (NAGU 500).
6. Alcance El presente trabajo de auditoria ofimática, comprende el presente periodo 2006 y se ha realizado en la empresa PROMENESTRAS Tex, de acuerdo a las normas y demás disposiciones aplicables. 7. Conclusiones El aspecto ofimático de la Institución, en la opinión del auditor a base de las normativas aplicadas, es favorable aunque con salvedades. No todo el software propietario que se maneja en la institución está debidamente licenciado, caso de los sistemas operativos y las herramientas de escritorio (Office).
8. Resultados •
Revisión del inventario de los accesorios de cómputo o
•
No cuentan con un inventario del parque informático
Revisión de las licencias del software.
o
No todo el software propietario que se maneja en la institución
está
debidamente
licenciado,
caso
de
los
sistemas operativos y las herramientas de escritorio (Office) •
Verificar el desempeño del software empleado en la institución
o
Actualmente existen dos aplicaciones en red que son: Sistema
contable
financiero
(suite
contasis),
Sistema
comercial (Suite contasis) pero dichas aplicaciones no son utilizados actualmente, por lo que no se le puede dar un calificativo de desempeño. •
Seguridad en la Data
o
La seguridad en los datos es baja porque no cuentan con medidas de seguridad, como por ejemplo los backup.
9. Fecha del Informe El presente Informe se inició el 20/08/2006 y se concluyó el del mes de noviembre del 2006. 10. Identificación y Firma del Auditor
4.3 Auditoria de Redes 4.3.1.- Alcance La auditoria de redes fue aplicada en todas las áreas que se encuentran
en
aplicación
(coordinación,
administración,
unidad
de
investigación, unidad de semillas, y unidad de capacitación), las mismas que operan en la oficina principal (oficina administrativa) Los puntos a tomar en cuenta serán los siguientes: Organización y calificación del tendido de red. Planes y procedimientos. Sistemas técnicos de Seguridad y Protección. 4.3.2.- Objetivos Áreas
controladas
para
los
equipos
de
comunicaciones,
previniendo así accesos inadecuados Protección y tendido adecuado de cables y líneas de comunicación, para evitar accesos físicos Revisar las políticas y normas sobre redes y el funcionamiento de la red y la seguridad de los datos dentro de la Red Lan . 4.3.3.- Desarrollo de la auditoria Para el Desarrollo de esta auditoría específica se empleará el modelo adoptado
por
ISO(Internacional
Standarts
Organization),
el
cual
se
denomina Modelo OSI (Open Systems Interconection), el cual consta de 7 capas, las cuales se tomarán para realizar la auditoría.
ÁREAS
CONTROLADAS
COMUNICACIONES,
PARA
LOS
PREVINIENDO
EQUIPOS ASÍ
DE
ACCESOS
INADECUADOS Los equipos de comunicaciones ( Switch, router ) no se mantienen en habitaciones cerradas La seguridad física de los equipos de comunicaciones (Switch, Router) es inadecuada. Cualquier persona tiene acceso ya que se encuentra cerca de un lugar transitable PROTECCIÓN Y TENDIDO ADECUADO DE CABLES Y LÍNEAS DE COMUNICACIÓN, PARA EVITAR ACCESOS FÍSICOS Los cables de comunicación de datos, eléctricos y de teléfono están juntos y amarrados por otro cable. No existen procedimientos para la protección de cables y bocas de conexión, esto dificulta que sean interceptados o conectados por personas no autorizadas No se realiza revisiones preventivas a la red de comunicaciones
REVISAR LAS POLÍTICAS Y NORMAS SOBRE REDES Y EL FUNCIONAMIENTO DE LA RED Y LA SEGURIDAD DE LOS DATOS DENTRO DE LA RED LAN
A.- Mapa de Redes
Pizarraacrílica
Mesa
PC37
switch
Scanner Impresora
Impresora
PC 39
PC 38
papelera
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
B.- Modelo OSI, capa Física. Capa Física: Transforma la información en señales físicas adaptadas al medio de comunicación. El cableado utilizado para el tendido de red presenta las siguientes características: o
Tipo de Cable: Par trenzado sin apantallar (UTP Categoría 5)
o
Conectores: RJ-45
El tipo de cables y conectores utilizados para este tipo de red es adecuado, según la norma EIA/TIA, el problema radica en el tendido del cableado ya que no cuenta con ninguna protección (canaletas) y además los cables de comunicación de datos, eléctricos y de teléfono se encuentran amarrados por otros cables.
C.- Modelo OSI, capa de Enlace Capa de Enlace: Transforma los paquetes de información en tramas adaptadas a los dispositivos físicos sobres los cuales se realiza la transmisión. De acuerdo al inventario de hardware se resumen los siguientes componentes: o
Topología de la Red: Estrella o
Especificaciones: Ethernet
o Tarjeta de Red: D-Link DFE-530TX PCI Fast Ethernet Adapter Hay que especificar que las tarjetas de redes utilizadas son del mismo tipo, la cual es recomendable para la transferencia adecuada de los datos.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 52
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
D.- Modelo OSI, capa de Red. Capa de Red: Establece las rutas por las cuales se puede comunicar el emisor con el receptor, lo que se realiza mediante el envío de paquetes de información. En la institución si utilizan los siguientes componentes: o
Velocidad de transmisión 10/100 MBps
o
Switch D-link de 8 puertos
o
Protocolo TCP/IP
De acuerdo a las necesidades de la empresa, el Switch empleado no presenta problemas en la transmisión de datos ya que todos los documentos realizados por los clientes se guardan en el servidor. E.- Modelo OSI, capa de Transporte. Capa de Transporte: Comprueba la integridad de los datos transmitidos (que no ha habido pérdidas ni corrupciones). En la Empresa se utiliza el Protocolo TCP/IP para la transmisión datos, lo cual es lo óptimo debido a que es más seguro y utilizado en la actualidad que el protocolo UDP. F.- Modelo OSI, capa de Sesión. Capa de Sesión: Establece los procedimientos de aperturas y cierres de sesión de comunicaciones, así como información de la sesión en curso. En la Empresa no existe un control de las sesiones más que la que propone el sistema operativo que se posee en cada computadora, lo cual representa un “hoyo” en la seguridad de la información.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 53
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
G.- Modelo OSI, capa de Presentación. Capa de Presentación: Define el formato de los datos que se van a presentar a la aplicación. Actualmente existen dos aplicaciones en red que son: Sistema contable financiero (suite contasis), Sistema comercial (Suite contasis) pero dichas aplicaciones no son utilizados actualmente. H.- Modelo OSI, capa de Aplicación. Capa de Aplicación: Es donde la aplicación que necesita comunicaciones enlaza, mediante API (Application Program Interface) con el sistema de comunicaciones. De acuerdo a las entrevistas en la institución se resume lo siguiente: o
Se utiliza el Protocolo FTP para el intercambio de información, el cual se usa para las impresoras.
o
Correo
de
la
institución:
provisto
por
el
Gobierno
Regional
Lambayeque. Por ende dentro de la institución no existe un servidor de correo.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 54
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
4.3.5.- Informe Final 1. Titulo Auditoria de Redes. 2. Cliente El área de Informática 3. Entidad Auditada PROMENESTRAS Tex. 4. Objetivos Áreas controladas para los equipos de comunicaciones, previniendo así accesos inadecuados Protección y tendido adecuado de cables y líneas de comunicación, para evitar accesos físicos Revisar las políticas y normas sobre redes y el
funcionamiento de la
red y la seguridad de los datos dentro de la Red Lan 5.- Normativa aplicada y excepciones La especificación utilizada en esta auditoría de redes es la Normativa actual IEEE 802.3 para redes LAN Ethernet 10/100MBps (utilizada por la empresa),
además
de
la
norma
ISO
17799
y
Normas
de
Auditorias
Gubernamentales: “Normas de Control Interno para sistemas computarizados” (NAGU 500). 6. Alcance El presente trabajo de auditoria de red, comprende el presente periodo 2006 y se ha realizado en la empresa PROMENESTRAS Tex de acuerdo a las normas y demás disposiciones aplicables.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 55
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
7. Conclusiones El aspecto de redes en la Empresa, la opinión de JC Auditores a base de las normativas aplicadas, es desfavorable. No existe un conocimiento actualizado del cableado de red; el cableado no se encuentra protegido y su distribución e implementación no es la buena, aunque funcione la red. 8. Resultados Áreas
controladas
para
los
equipos
de
comunicaciones,
previniendo así accesos inadecuados Los equipos de comunicaciones ( Switch, router ) no se mantienen en habitaciones cerradas La seguridad física de los equipos de comunicaciones (Switch, Router) es inadecuada. Cualquier persona tiene acceso ya que se encuentra cerca de un lugar transitable protección
y
tendido
adecuado
de
cables
y
líneas
comunicación, para evitar accesos físicos Los cables de comunicación de datos, eléctrios y de teléfono estan juntos y
amarrados por otro cable.
No existen procedimientos para la protección de cables y bocas de conexión,
esto dificulta que sean interceptados o conectados por
personas no autorizadas No se realiza revisiones preventivas a la red de comunicaciones
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 56
de
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
Revisar las políticas y normas sobre redes y el funcionamiento de la red y la seguridad de los datos dentro de la Red Lan No existen políticas y/o normas para regular el uso de la red de dicha empresa La red funciona correctamente de acuerdo al tamaño de la empresa; esta no podrá soportar un desarrollo de la misma. No existe una seguridad centralizada de los datos, sólo la seguridad brindada por el sistema operativo instalado en cada equipo. 9. Fecha del Informe El presente Informe se inició el 1 del mes de Abril del año 2006 concluyó el del mes de Julio del año 2006. 10. Identificación y Firma del Auditor
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 57
y se
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
Auditoria Ofimática 4.2.4.- Conclusiones
No cuentan con un inventario del parque informático
No realizan mantenimientos preventivos
Algunos sistemas no se adecuan a sus requerimientos
Los software no cuentan con licencias
No hay un control en las aplicaciones instaladas por el usuario
No realizan copias de seguridad
4.2.5.- Recomendaciones
Establecer procedimientos para la realización de inventario de aplicaciones el cual como mínimo debe incluir el número de versión instalada, la fecha de instalación , la última fecha de mantenimiento realizado, la plataforma de trabajo, en caso que se adquiera el software se debe registrar el número del documento con el que ingresa, el número de licencia, y el número del manual que se puede consultar para su mantenimiento y utilización .EL inventario de aplicaciones se debe realizar por a cada computadora existente en las dependencia de Dirección.
Realizar un mantenimiento preventivo de equipos informáticos para reducir el índice de equipos dañados, minimizar la interrupción en las tareas del usuario con el equipo dañado y evitar el pago a terceros por el soporte técnico.
Formular vías para adquirir software licenciado.
Controlar el ingreso de software y aplicaciones a la institución por el personal.
Las copia de seguridad debe realizarse semanalmente quedando una copia en la Empresa y la otra debe ser guardada fuera de la Empresa en caso de que sucediera algún desastre.
Desarrollar y hacer uso de normas y procedimientos para la instalación y la actualización periódica de productos antivirus.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 58
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
Auditoria de REDES Colusión 1.- Poca seguridad física de los Equipos (Switch, Router, Servidor) Hallazgos ♦ Los equipos de comunicaciones ( Switch, router
) no se
mantienen en habitaciones cerradas ♦ La seguridad física de los equipos de comunicaciones (Switch, Router) es inadecuada. ♦ Cualquier persona tiene acceso ya que se encuentra cerca de un lugar transitable ♦ El Servidor se Encuentra en un lugar transitable y además se utiliza como estación de trabajo. Conclusión 2.- Tendido Inadecuado de los cables de datos, eléctricos y teléfono Hallazgos ♦ Los cables de comunicación de datos, eléctrios y de teléfono están juntos y amarrados por otro cable. ♦ No existen procedimientos para la protección de cables y bocas de conexión,
esto
dificulta
que
sean
interceptados
conectados por personas no autorizadas ♦ No se realiza revisiones preventivas a la red de comunicaciones Conclusión 3.- Los Equipos de Computo están mal ubicados Hallazgos
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 59
o
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
♦ Las estaciones de trabajo están mal ubicados, ya que la pantalla está a la vista de cualquier otra persona que puede fácilmente captar cualquier dato que sea confidencial. ♦ El servidor esta mal ubicado, es decir se encuentra como otra estación de trabajo y la pantalla esta a la vista de cualquier otra persona que puede fácilmente captar cualquier dato confidencial. ♦ el Switch se encuentra cerca de un lugar transitable
Conclusión
4.-
no
existen
políticas
y
normas
sobre
redes
y
el
funcionamiento de la red y la seguridad de los datos dentro de la Red Lan Hallazgos ♦ No existen políticas y/o normas para regular el uso de la red de dicha empresa ♦ La red funciona correctamente de acuerdo al tamaño de la empresa; esta no podrá soportar un desarrollo de la misma. ♦ No existe una seguridad centralizada de los datos, sólo la seguridad brindada por el sistema operativo instalado en cada equipo. Recomendaciones
Plantear el rediseño de una red de comunicaciones. Distribución de la red. Switch La elección del lugar donde situar el concentrador principal condicionará el montaje de toda la red. Deberá de estar situado en un lugar que cumpla ciertas condiciones: Se deberá buscar un lugar lo más céntrico posible en el edificio, de forma que la distancia a recorrer con el cableado hasta las distintas DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 60
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
dependencias, en ningún caso tenga que sobrepasar los 90 metros. También hay que señalar que cuanto más cortos sean los cables más capacidad de transmisión tendrán. No debe ser un lugar accesible a todo el público por cuestiones de seguridad. Router El router se puede colocar en cualquier lugar de la red. Es imprescindible que haya una toma de la línea RDSI y una toma de LAN cercanas. Lo más usual es colocarlo en el mismo lugar donde está el concentrador principal. Sería
recomendable
tener
un
pequeño
armario
con
llave
(armario
de
comunicaciones) donde introducir los siguientes componentes: ♦ Concentrador principal. ♦ Router.
Distribución del Cableado Deben de estar al menos a 30 cm de distancia de las luces fluorescentes. La distancia entre los cables de la red y los de la corriente eléctrica debe de ser superior a 30 cm. Si tienen que cruzarse, deberán de hacerlo en ángulo recto para evitar el acoplamiento. En el caso de no poder evitar el que estén en paralelo cables de corriente eléctrica junto con cables de la LAN, habrá que tener en cuenta que: ♦ La separación mínima será de 2 cm para recorridos en paralelo menores de 2.5 m. ♦ La separación mínima será de 4 cm para recorridos en paralelo menores de 10 m. Se debe de evitar pasar cerca de tomas de agua o fuentes de humedad así como zonas de altas temperaturas. Deben de estar al menos a 1.2 metros de aires acondicionados, ventiladores o calentadores. Se intentará buscar recorridos comunes para compartir la canaleta También hay que cuidar el aspecto estético. Se intentará pasar las canaletas por sitios lo menos visibles posible. Las canaletas de distribución no deberán de ocuparse en más de un 60%. DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 61
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
No deberán de estar en lugares ni demasiado accesibles por cuestiones de seguridad, ni en lugares de difícil acceso para facilitar el montaje y el mantenimiento. El trazado de las canaletas debe respetar las condiciones requeridas por el cableado a instalar, curvatura de los cables, paso por zonas no permitidas, distancias a conducciones eléctricas, etc.
Lluén Lozano, Christian Omar DNI: 41635966
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Delgado Gonzales, José Nelson LM: 1116330844
Pág. 62
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
4.3.
INFORME FINAL DE AUDITORÍA
CONCLUSIONES Y RECOMENDACIONES AUDITORÍA FÍSICA CONCLUSIONES Y COMENTARIOS
JC auditores, Pudo verificar la falta de seguridad, en la entrada principal de la institución
La empresa “PROMENESTRAS tex.” Debido a que cuenta con el apoyo del gobierno regional, de acuerdo convenio, solo ha mostrado preocupación en lo referente a las operaciones propias del negocio, olvidándose en cierta parte de la responsabilidad para con sus usuarios y trabajadores.
También se observó que el servidor de datos se encuentra en un lugar poco apropiado y riesgoso, pues esta ubicado cerca de la entrada principal de la empresa, sin seguridad alguna El ambiente principal se encuentra toda la documentación física de la empresa, la misma que por tratarse de papeles, folios y aerosoles constituyen material altamente inflamable, pese a ello no se cuenta con un sistema contra incendios y por aun el personal no se encuentra capacitado para el uso de ellos.
Se pudo verificar que la empresa, no cuenta con un UPS en caso de perdida de energía eléctrica.
Se observó que el mantenimiento realizado a los equipos de cómputo existente es en mayor proporción correctivo que preventivo. La data, además de ser almacenada en el servidor, esta a disposición
de
documentación
los en
trabajadores, disquete
u
quienes
otros
portan
la
dispositivos
de
almacenamiento, como CD, memorias USB, echo poco favorable debido posible plagio de información.
Falta recomendaciones DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 63
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
Auditoría ofimática 4.3.1.
CONCLUSIONES Y COMENTARIOS No cuentan con un inventario del parque informático No realizan mantenimientos preventivos Algunos sistemas no se adecuan a sus requerimientos El software no cuentan con licencias No un control en las aplicaciones instaladas por el usuario No realizan copias de seguridad
4.3.2.
RECOMENDACIONES Establecer procedimientos para la realización de inventario de aplicaciones el cual como mínimo debe incluir el número de versión instalada, la fecha de instalación , la última fecha de mantenimiento realizado, la plataforma de trabajo, en caso que se adquiera el software se debe registrar el número del documento con el que ingresa, el número de licencia, y el número del manual que se puede consultar para su mantenimiento y utilización .EL inventario de aplicaciones se debe realizar por a cada computadora existente en las dependencia de Dirección. Realizar un mantenimiento preventivo de equipos informáticos para reducir el índice de equipos dañados, minimizar la interrupción en las tareas del usuario con el equipo dañado y evitar el pago a terceros por el soporte técnico. Formular vías para adquirir software licenciado. Controlar el ingreso de software y aplicaciones a la institución por el personal. Las copia de seguridad debe realizarse semanalmente quedando una copia en la institución y la otra debe ser guardada fuera de la organización en caso de que sucediera algún desastre. Desarrollar y hacer uso de normas y procedimientos para la instalación y la actualización periódica de productos antivirus.
Auditoría de Redes
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 64
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 65
BIBLIOGRAFÍA 1Piattini, Mario – Auditoria Informática .Un enfoque Practico Emilio del Peso Ed. Rama
LINCOGRAFÍA
Figura Nº 1 Ubicación de la empresa
Figura Nº 2 Ubicación dentro de las instalaciones de la cede del gobierno regional
Figura Nº 3 Distribución física de Equipos Informáticos en la oficina Administrativa (OA)
Pizarra acrílica
Mesa
PC 37
switch
Scanner Impresora Impresora
PC 39
PC 38
papelera
Imagen Nº 1 Carta de Presentación
Nota: La srta. Sigüeñas Pacheco, Sandra, asumió un nuevo proyecto y decidió voluntariamente retirarse del equipo; hecho poco relevante, debido a que
sr.
Delgado Gonzales, José, se involucró al trabajo del equipo inmediatamente después.
Empresa PROMENESTRAS tex Cuestionario Nº 1 Dirigida al Gerente Ejecutivo: Blgo. Ángel Valladolid Chiroque. 1. ¿Actualmente, la empresa cuenta con área informática? Si
No
2. ¿Cuántos proyectos informáticos a tenido en los últimos 2 años? Especifique. ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ 3. ¿Cuantos
productos
informáticos
(Software/Hardware)
ha
adquirido en los 2 últimos años? Especifique. ___________________________
______________________________
___________________________
______________________________
___________________________
______________________________
___________________________
______________________________
___________________________
______________________________
___________________________
______________________________
4. ¿La empresa actualmente cuenta con servicio de Internet? Si
No
¿Cual? ______________________________________________ 5. ¿Con cuantos documentos de gestión cuenta la empresa/Centro de Información? Especifique. ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________
___________________________________________________________________
6. ¿La empresa cuenta con un manual de Organización y funciones (MOF)? Si
No
¿De que año? _______________________ Especifique las áreas existentes ___________________________
______________________________
___________________________
______________________________
___________________________
______________________________
___________________________
______________________________
7. ¿La empresa cuenta con un Reglamento de Organización y funciones (ROF)? Si
No
¿De que año? _______________________
Chiclayo___ de ______ del 2006
Empresa PROMENESTRAS tex Cuestionario Nº 2
1. ¿A que esta avocada la empresa PROMENESTRAS tex? ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ 2. ¿Cómo se financian las operaciones de la empresa? ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ 3. ¿Quiénes forman parte de sus clientes? ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ 4. ¿Quiénes son sus proveedores? ___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
5. Detalle las funciones que realiza según estación de trabajo
Oficina Administrativa
Campo Experimental
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
6. ¿La empresa ha sido audita con anterioridad (cualquier tipo de auditoria)? Si
No
¿En que fecha? _________________________ ¿Por quien?
_________________________
7. ¿Cuentan con un inventario informático de equipos de cómputo? Si
No
¿Por que?
__________
8. ¿Cada cuanto tiempo realiza mantenimiento a sus equipos de cómputo? Una vez al año
Cuando falla el equipo
Cada 6 meses
Nunca
9. ¿La empresa cuenta con aseguración en caso de desastre? Si
No
¿Por que?
__________
10.¿Cuentan con un local alternativo para luego de culminado el acuerdo de cesión en uso con el gobierno regional? ¿Donde esta ubicado? Si
¿Dónde? ______________
No
¿Por que?
__________
Chiclayo___ de ______ del 2006
AUDITORÍA DE SISTEMAS INFORMÁTICOS AUTORES
: LLUÉN LOZANO, Christian Omar DELGADO GONZALES, José Nelson
DOCENTE
: Ing. CALLACNÁ VERA, JuanCarlos Alberto
Chiclayo, Noviembre 2006
INTRODUCCIÓN
En la Actualidad los Sistemas Informáticos constituyen una herramienta bastante poderosa para la mejora de rendimiento de toda organización empresarial. Del mismo modo, no solo se trata de adquirir tecnología, sino que también es necesario saber darle el uso adecuado de acuerdo a los Requerimientos
particulares
de
un
determinado
usuario
o
grupos
usuarios. La Auditoría Informática, es un punto clave en este sentido, debido a que, si bien es cierto,
ayuda a detectar errores y señalar fallas en
determinadas áreas o procesos, su objetivo está orientado a brindar soluciones, planteando métodos y procedimientos de control de los sistemas de información que son validos para cualquier empresa u organización por pequeña que esta sea. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de información. Cabe resaltar que para la realización de una auditoria informática eficaz, es necesario entender a la empresa en su más amplio sentido, El presente informe, realizado por la empresa JC auditores, plantea un estudio profesional del los diversos factores que pueden estar influyendo en las operaciones de la empresa auditada “PROMENESTRA tex.”, a fin de brindar las soluciones y recomendaciones pertinentes.
ÍNDICE DEL PROYECTO DE AUDITORÍA Pág. CAPÍTULO 1. EMPRESA / ÁREA INFORMATICÁ
……………………………
…..05
1.1.
INSTITUCIÓN.
………………………………………………………………….……………
…..06
1.2.
SERVICIOS QUE BRINDA.
……………………………………………….……………
…..08
1.3.
ÁREA INFORMÁTICA.
…………………………………………………….……………
…..10
1.4.
F.O.D.A
Y
FACTORES
CRÍTICOS
DE
ÉXITO
DEL
ÁREA
INFORMÁTICA. ………………………………………………………………..……………… …11
1.5.
PROYECTOS O PRODUCTOS INFORMÁTICOS ÚLTIMOS AÑOS. …… …. 12
1.6.
TENDENCIA INFORMÁTICA EN HARDWARE Y SOFTWARE
1.7.
INTERNET.
1.8.
INVENTARIO GENERAL DE PARQUE INFORMÁTICO
……. 12
……………………………………………………………………………… 12 ……….……………
…. 13 CAPÍTULO 2. ÁREA INFORMÁTICA - DIAGNOSTICO. ………………….… … 14
2.1.
ÁREA DE NEGOCIO "CENTRO DE INFORMACIÓN" O EQUIVALENTE ………………………………………………………………………….……….15
2.2.
CARGOS FUNCIONALES Y OPERATIVOS ……………..………………………… …15
2.3.
FUNCIONES POR EQUIPO DE TRABAJO ………………..……………………… …..15
2.4.
POSICIÓN
ESTRATÉGICA
ORGANIGRAMA
DE
LA
DEPENDENCIA
EN
EL
……………………………………………………..………………………
….17
2.5.
MANUAL
DE
INFORMÁTICOS. …..17
PROCEDIMIENTOS
ADMINISTRATIVOS
…………………………………………………..………………………
2.6.
DOCUMENTOS DE GESTIÓN QUE POSEEN EN INFORMÁTICA. ….… …..17
2.7.
PRELIMINAR (DIAGNOSTICO) …………………………………………………..…… …18
CAPÍTULO 3. JUSTIFICACIÓN ADECUACION Y FORMALIZACIÓN.
….
…. 20
3.1.
ORIGEN DE LA AUDITORÍA
…………………………………………………………..
…. 21
3.2.
ALCANCE DE LA AUDITORÍA…………………………………………………………... 21
3.3.
ANTECEDENTES …………………………………………………………………………….. …. 21
3.4.
ENFOQUE A UTILIZAR ………………………………………………………………….. ….. 22
3.5.
CRONOGRAMA DE TRABAJO
3.6.
DOCUMENTOS A SOLICITAR
3.7.
MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMATICA
3.8.
JUSTIFICACION (Revisión informal)
3.9.
3.8.1.
ÁREAS A AUDITAR
3.8.2.
MATRIZ DE RIESGOS
3.8.3.
PLAN DE AUDITORIA EN INFORMATICA
ADECUACION 3.9.1.
METODOS
3.9.2.
TECNICAS
3.9.3.
HERRAMIENTAS
3.9.4.
PLAN DE AUDITORIA DE ACUERDO AL CLIENTE
3.9.5.
PLAN DETALLADO
3.10. FORMALIZACION (Revisión formal) 3.10.1. PLAN APROBADO. 3.10.2. COMPROMISO EJECUTIVO.
CONCLUSIONES Y RECOMENDACIONES BIBLIOGRAFÍA
ANEXOS
EMPRESA / AREA INFORMATICA
Auditoría de Sistemas CAPÍTULO 1: EMPRESA/ÁREA INFORMÁTICA
1.1.
INSTITUCIÓN Logo:
Slogan: Generando competitividad en el agro Dirección: “PROMENESTRAS tex.” se encuentra actualmente ubicado en el km. 4 de la carretera a Pimentel (Gobierno Regional Lambayeque) Ubicación: Ubicado en los interiores de la sede del Gobierno Regional Lambayeque, al extremo derecho de la entrada principal. VER ANEXO - Figura Nº 1 Reseña Histórica: “PROMENESTRAS tex.”, antes PROMENESTRAS, surge como un programa de investigación, asistencia técnica e información de PROMPEX, para promover el desarrollo de la producción y comercialización de Leguminosas de Grano, operando inicialmente mediante un convenio de cooperación con el Instituto Peruano de Leguminosas de Grano (IPL), entidad privada que se encarga de agrupar a las principales empresas exportadoras de menestras del Perú. A partir del mes de abril del 2006 PROMENESTRAS ahora con el sufijo TEX (Tecnologías de Exportación), comienza a operar en base a proyectos innovadores y nuevos convenios; promueve el uso de tecnologías modernas de producción y las buenas prácticas agrícolas para el mejoramiento de la calidad y rentabilidad de las leguminosas en el Perú, además, facilita la comercialización haciendo de nexo entre organizaciones de productores y empresas exportadoras. DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 8
Auditoría de Sistemas CAPÍTULO 1: EMPRESA/ÁREA INFORMÁTICA
Nº RUC: La empresa “PROMENESTRAS tex.”, está identificada legalmente con el número de RUC 20479998711 Dirección Legal: Av. Juan Tomis Stack 975 (Interior de la cede del Gobierno Regional Lambayeque – Cesión en Uso) - VER ANEXO – Figura Nº 2 Web site: http://www.PROMENESTRAS.gob.pe/ Organigrama: COORDINACIÓN
OA Oficina Administrativa
Centro de información
Unidad de Investigación
Unidad de Semillas
Proyecto de Investigación
Proyecto Semillas
Unidad de Capacitación
Unidad de Gestión
Unidad de Publicidad y Marketing
Proyecto Publicación Manuales
Proyecto Capacitación
Proyecto GEP
Misión y Visión:
Misión: Contribuir a desarrollar la competitividad y rentabilidad de las Leguminosas de Grano y posicionar al Perú como un País Productor Exportador competitivo, a través de la participación concertada de productores,
comercializadores
y
entidades
Públicas
y
Privadas
relacionadas con las cadenas Agro exportadoras de menestras.
Visión: Ser una empresa líder que logre consolidar una Red interinstitucional de investigación, asistencia técnica e información especializada en leguminosas de grano. DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 9
Auditoría de Sistemas CAPÍTULO 1: EMPRESA/ÁREA INFORMÁTICA
Tiempo de Creación: “PROMENESTRAS tex.”, es constituida tal, a partir de Abril del año 2005, pero como programa de investigación, asistencia técnica e información, lleva trabajando desde el año 1998 hasta la actualidad Razón social: Asociación civil 1.2.
SERVICIOS QUE BRINDA Adaptación de Variedades: A través de acciones de investigación, desarrolla o adapta nuevas variedades para incrementar la productividad, rentabilidad y diversificar la oferta exportable. Opera el Banco Nacional de Semillas de Menestras de Exportación que cuenta con 36 nuevas variedades de las principales clases comerciales de siete especies de leguminosas y con información y núcleos de semilla genética y básica, disponibles para las empresas y productores interesados en buscar mejores alternativas de producción Semillas de Calidad: Mediante la producción cuidadosa de núcleos de semilla genética y básica, “PROMENESTRAS tex.”, mantiene la identificación, pureza genética y calidad de las variedades comerciales de exportación del Banco de Semillas. Para incrementar la producción y difundir el uso de estas semillas, promueve entre las empresas privadas semilleristas o empresas exportadoras y ONG's, proveedoras de crédito en insumos, el uso de semilla de calidad entre sus grupos de productores. Asistencia Técnica: Brinda servicios de asistencia técnica personalizada a través de visitas de evaluación de campo, reuniones técnicas grupales, Días de campo y jornadas agronómicas. Capacitaciones: Desarrolla cursos de capacitación en tecnologías de producción, manejo integrado de plagas y enfermedades, clases comerciales y mercados, para DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 10
Auditoría de Sistemas CAPÍTULO 1: EMPRESA/ÁREA INFORMÁTICA
cada tipo de productos. También desarrolla otros tipos de eventos de capacitación tales como: Demostraciones de métodos y uso de equipos, parcelas demostrativas y Reuniones técnica para el manejo de la cosecha y pos cosecha; y otros temas de interés que contribuyan a mejorar la eficiencia productiva. Información Técnica y comercio Dispone
de
manuales
y
trípticos
de
divulgación
técnica,
afiches
promocionales, notas informativas de demanda y precios, directorio de exportadores y procesadores e información técnica sobre las principales variedades y clases de leguminosas que se comercializan en el mundo. Organización de producción: Promueve y apoya la organización empresarial de los productores, la ejecución de planes de producción ligados al mercado mediante contrato de compra con empresas exportadoras y agroindustriales. A través de Talleres de Planificación apoya la organización y operación de Alianzas entre diferentes actores de las cadenas productivas a fin de lograr un uso más eficiente de los recursos y mayor competitividad. Apoyo a la comercialización: Promueve la siembra por contrato entre organizaciones de productores y empresas exportadoras, asegurando de esta manera la comercialización. Provee información sobre ofertas y demandas de los diferentes tipos de menestras que se producen en las principales zonas productoras del país. Con el apoyo de PROMPEX, canaliza información de demandas y compradores internacionales de leguminosas. 1.3.
ÁREA INFORMÁTICA
La institución no cuenta con un área específica de informática, pero dispone de una red de tipo estrella que esta en el área de administración u oficina Administrativa (OA) y esta constituida por 3 computadoras Pentium IV y una PC portátil (Laptop).
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 11
Auditoría de Sistemas CAPÍTULO 1: EMPRESA/ÁREA INFORMÁTICA
1.4.
F.O.D.A Y FACTORES CRÍTICOS DE ÉXITO DEL ÁREA INFORMÁTICA LISTA DE FORTALEZAS “F” Factores Internos
LISTA DE DEBILIDADES “D”
F1. Nivel de desempeño del personal
D1. No Existe un área de informática
F2. Sus Equipos e Instalaciones están en buenas
D2. Ausencia de personal especialista en informática.
condiciones F3. Cuentan con un Website informativo
D2. No existen planes de seguridad para salvaguardar la data. D3. Distribución inadecuada de los equipos de computo
Factores Externos LISTA DE OPORTUNIDADES “O”
Mantener políticas de capacitación de personal
Aprovechar la existencia de tecnologías de infamación
O1. Existencia de Tecnología de
respecto al uso de nuevas tecnologías.
empresa para consolidar la constitución de un área
información que puede ser
Rediseñar eficazmente las áreas, mejorando las
informática claramente definida.
usada a favor de la empresa
instalaciones (racionalizar) y reubicando equipos.
Aprovechar el espacio existente en la empresa para
O2. Rediseñar de áreas
Aprovechar la tecnología existente para rediseñar el
reubicar los equipos de cómputo en lugares mas
O3. Nuevos convenios para la
Website actual, convirtiéndolo portal dinámico, donde
adecuados.
exportación de leguminosa
puedan realizarse las operaciones transaccionales referentes a la empresa Aprovechar el Internet para publicitar la Empresa Aprovechar las capacidades del personal y reformular
Rediseñar planes tomando en cuenta la nueva área
planes para que se adapten a la realidad de la
informática
inadecuados en la forma de
empresa.
Elaborar un plan de presupuestos
trabajo.
Aprovechar los beneficios de e business, evitando
Mantener actualizado el inventario de equipos existentes
compras de materiales publicitarios o de escritorio
Reasignar equipos de computo según el uso.
LISTA DE AMENAZAS “A” A1. Planificación y control
A2. Gastos innecesarios
innecesarios
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 12
Auditoría de Sistemas CAPÍTULO 1: EMPRESA/ÁREA INFORMÁTICA
FACTORES CRITICOS DE EXITO Compromiso del coordinador y personal administrativo, técnico y operativo con el equipo de trabajo, así de esta manera obtener la información adecuada. Contar con el plan estratégico de la empresa, nos ayudará a conocer mejor a la empresa. Fijar un único criterio de conducción del plan, para evitar posteriores contradicciones. Conocer la situación real de la empresa, nos permitirá detectar los problemas y necesidades. Conocer
el
entorno
actual
de
la
empresa,
es
decir,
el
comportamiento de la competencia, los proyectos de legislación que afecten sus intereses. El presupuesto asignado, nos ayudará a la elaboración del plan para definir el análisis costo beneficio de dicho plan. La debida capacitación del personal a cargo del plan. El tiempo, es importante definir el tiempo en que se realizará este plan. Contar con información adecuada y oportuna sobre los aspectos financieros y operativos de la empresa, para realizar un buen plan se debe de contar con toda la información necesaria de la empresa. Contar con el equipo de cómputo necesario para el desarrollo de este plan. 1.5.
PROYECTOS O PRODUCTOS INFORMÁTICOS ÚLTIMOS AÑOS Entre los proyectos informáticos implementados en los últimos años, se puede mencionar el software Suite CompSis, que es un programa diseñado para ayudar el los procesos del plano contable
1.6.
TENDENCIA INFORMÁTICA EN HARDWARE Y SOFTWARE Hardware Respecto al hardware, actualmente la empresa cuenta con 3 equipos de computo, de los cuales 2 han sido adquiridos en el año 2005 y uno en el 2006, aparte de esto se cuenta con una laptop que pertenece al director ejecutivo y es de su uso personal; además se pretende realizar DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 13
Auditoría de Sistemas CAPÍTULO 1: EMPRESA/ÁREA INFORMÁTICA
adquisiciones de una PC y un proyector multimedia, a la empresa D’ Computo, dependiendo de la viabilidad del proyecto a ejecutar. Software Aquí, la tendencia de la empresa, esta del lado del software propietario de Microsoft, por lo que la empresa cuenta con el sistema operativo Windows 2000 y Windows XP, además, todas las computadoras (las 3 PC’s) cuentan con el software Microsoft Office 2003 completo (Herramientas de Microsoft office, Microsoft Office Access 2003, Microsoft Office Excel 2003, Microsoft Office FrontPage 2003, Microsoft Office Publisher 2003, Microsoft Office Word 2003, Microsoft Office Tools, Microsoft Office Project 2003 y Microsoft Office Visio 2003) 1.7.
INTERNET El acceso a Internet que utiliza la empresa es INFOINTERNET de 512 kbps, servicio de conexión permanente a Internet a través de la Red de TDC de comunicación Síncrona; brindada por el Gobierno Regional e Lambayeque quien por ende es su administrador.
1.8.
INVENTARIO GENERAL DE PARQUE INFORMÁTICO
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 14
Auditoría de Sistemas CAPÍTULO 1: EMPRESA/ÁREA INFORMÁTICA
::: HARDWARE ::: PC 38
Nombre de
PC 37
equipo: CPU: Memoria RAM: Disco Duro: Tarjeta de red:
Pentium 4 - 1.5 GHz 256 MB S-ATA 7200 - 80GB D-Link DFE – 530 PCI
Pentium 4 - 2.6 GHz 256 MB S-ATA 7200 - 80GB D-Link DFE – 530 PCI
Fast Ethernet Adapter
Fast Ethernet Adapter Fast Ethernet Adapter
MODEM:
Motorota SM56 Voice
PC 39 Pentium 4 - 2.4 GHz 261,408 KB S-ATA 7200 - 80GB D-Link DFE – 530 PCI
-
Modem Puerto: OM1 & LPT1 Lectora de CD: Creative – 52x Grabadora de LG – 48 x 24 x 48
OM1 & LPT1 Creative – 52x LG – 52 x 24 x 52
OM1 & LPT1 Creative – 52x LG – 52 x 24 x 52
CD: Unidad de
NEC
NEC
NEC
disquete: Monitor: Teclado:
Samsung 793s – 17” Teclado Estándar BTC
Samsung 793s – 17” Teclado Estándar BTC
Samsung 793s – 17” Teclado Estándar BTC
Mouse:
en español PS2 Clásico PS2 color
en español PS2 óptico PS2 + rueda
en español PS2 óptico PS2 + rueda
Estabilizador: Supresor de
blanco 1000 W Hibrido Omega – 6
1000 W Hibrido Omega – 6
1000 W Hibrido Omega – 6
Picos: Impresora: Scanner:
tomacorrientes
Sistema
tomacorrientes Hp deskjet 3650 scantjet 3570c ::: SOFTWARE ::: Microsoft Windows Microsoft Windows XP
Microsoft Windows 2000
Operativo:
XP Profesional –
Profesional – Versión
5.00.2195 con Service
Versión 2002 Con
2002 Con Service Pack
Pack 4
Service Pack 2 Oficce 2003 -
2 Oficce 2003 - Completo Oficce 2003 - típica
Completo Nero Virus Scan Corel Draw v.12
Nero Virus Scan
Herramientas:
tomacorrientes Hp Laserjet 1200 series
Nero Virus Scan Roxio Easy CD creador Suite ContaSis
* Para apreciar la disposición de equipos existentes en la empresa, VER ANEXO Figura Nº 3
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 15
AREA INFORMATICA DIAGNOSTICO
Auditoría de Sistemas CAPÍTULO 2: ÁREA INFORMÁTICA - Diagnostico
2.1.
ÁREA DE NEGOCIO "CENTRO DE INFORMACIÓN" O EQUIVALENTE JC auditores, constó la inexistencia de un Centro de Información en la empresa, No obstante, llevó a cabo el desarrollo de las auditorias, a fin de poder dejar planteadas las necesidades de información existentes, para que mas adelante, pueda constituirse un centro informático con tecnología de información.
2.2.
CARGOS FUNCIONALES Y OPERATIVOS
NOMBRE Y APELLIDOS CARGOS (Trabajador)
CARGOS
FUNCIONALES
OPERATIVOS
Blg. Ángel Valladolid
Coordinación
Director Ejecutivo
Chiroque Gloria Vélez Rivera
Oficina Administrativa
Administrativa
Julián Aquino Zeña
(OA) Unidad de semillas
especialista en semillas
Ing. Kattia Delgado
Unidad de
e investigación Asistencia técnica
Bustamante Pedro Lloverá More
Investigación Departamento de
Técnico
Almacén 2.3.
FUNCIONES POR EQUIPO DE TRABAJO Coordinación: Es la persona responsable de organizar y coordinar las actividades; y además delega funciones al personal que labora en el programa. También apoya a la unidad de investigación. Oficina Administrativa (OA): Está compuesta por las áreas de Logística, Ventas y Contabilidad.
Abastecimiento se encarga de las adquisiciones de bienes y servicios para la Institución dentro del marco establecido por las disposiciones legales vigentes. Además racionaliza y controla los bienes de la institución.
Ventas es el área donde se realizan las transacciones comerciales con los clientes, emitiéndoles documentos de venta.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 17
Auditoría de Sistemas CAPÍTULO 2: ÁREA INFORMÁTICA - Diagnostico
Contabilidad está encargada de programar, organizar, ejecutar, controlar y evaluar los sistemas económicos financieros contables de tesorería y abastecimiento, que ocurren en la institución de acuerdo a la normatividad y disposiciones legales. Unidad de Semillas: Esta unidad es la encargada de la producción cuidadosa de núcleos de semilla genética y básica, manteniendo la identificación, pureza genética y calidad de las variedades comerciales de exportación del Banco de Semillas. Para incrementar la producción y difundir el uso de estas semillas, promueve entre las empresas privadas semilleristas o empresas exportadoras y ONG's, proveedoras de crédito en insumos, el uso de semilla de calidad entre sus grupos de productores. Unidad de Capacitación: En esta unidad se encuentran el Proyecto de Capacitación y el Proyecto de Asistencia Técnica.
El Proyecto de Capacitación se encarga de desarrollar cursos de capacitación en tecnologías de producción, manejo integrado de plagas y enfermedades, clases comerciales y mercados, para cada tipo de productos. También desarrolla otros tipos de eventos de capacitación tales como: Demostraciones de métodos y uso de equipos, parcelas demostrativas y reuniones técnica para el manejo de la cosecha y pos cosecha; y otros temas de interés que contribuyan a mejorar la eficiencia productiva. El proyecto de Asistencia Técnica brinda servicios de asistencia técnica personalizada a través de visitas de evaluación de campo, reuniones técnicas grupales, días de campo y jornadas agronómicas. Unidad de Gestión Publicidad y Marketing: Ambas Unidades que aún no se ejecutan actualmente debido a la carencia de personal. 2.4.
POSICIÓN
ESTRATÉGICA
DE
LA
DEPENDENCIA
EN
ORGANIGRAMA DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 18
EL
Auditoría de Sistemas CAPÍTULO 2: ÁREA INFORMÁTICA - Diagnostico
El centro de información, aunque esta definido en el organigrama como una rama directa a Coordinación, actualmente, sus operaciones están paralizadas debido a que no existe un responsable para esta.
COORDINACIÓN
OA Oficina Administrativa
Centro de información
Unidad de Investigación
Unidad de Semillas
Proyecto de Investigación
Proyecto Semillas
2.5.
Unidad de Capacitación
Unidad de Gestión
Unidad de Publicidad y Marketing
Proyecto Publicación Manuales
Proyecto Capacitación
Proyecto GEP
MANUAL DE PROCEDIMIENTOS ADMINISTRATIVOS INFORMÁTICOS
JC
auditores,
pudo
verificar
que
Actualmente
la
empresa
“PROMENESTRAS tex.” No cuenta con dicho documento. 2.6.
DOCUMENTOS DE GESTIÓN QUE POSEEN EN INFORMÁTICA La empresa PROMENESTRAS tex tampoco dispone de la documentación requerida en este caso considerada como son:
Un Plan de Contingencias
Aplicación de técnicas de Intranet
Gestión óptima de software adquirido a medida por entidades públicas
Mantenimiento de equipos de computación
Seguridad de programas , de datos y equipos de cómputo
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 19
Auditoría de Sistemas CAPÍTULO 2: ÁREA INFORMÁTICA - Diagnostico
2.7.
PRELIMINAR (DIAGNOSTICO) Para realizar el diagnóstico se aplico el Modelo de Richard Nolan, el cual divide en seis etapas el desarrollo de la informática en la organización: Etapa Nº 1: Iniciación Esta etapa se caracteriza por la automatización de procesos operativos de bajo nivel para reducir los costos funcionales. Etapa Nº 2: Expansión. Esta etapa se caracteriza por la diseminación y el contagio de los participantes, es decir, se automatizan los procesos operativos completos. Etapa Nº 3: Control Esta etapa se caracteriza por la profesionalización de los participantes. Hay una tendencia hacia la automatización de datos y la implicación de los usuarios en los gastos informáticos. Etapa Nº 4: Integración Se caracteriza por aplicaciones online (en línea) y bases de datos. Aparecen deficiencias de crecimiento y mayor control administrativo. Etapa Nº 5: Administración de Datos Se caracteriza por la aparición de modelos de datos y necesidades de información de la organización, y porque existe una independencia de entornos materiales y lógicos. Etapa Nº 6: Madurez Se caracteriza porque la organización asume el papel innovador de las tecnologías de la información y las aplicaciones son oportunas y competitivas. De acuerdo a estas seis etapas y en base al levantamiento de información efectuado, se determinó que la institución se encuentra en la primera etapa: "INICIACION"; puesto que, “PROMENESTRAS tex.” se encuentra en el periodo introductoria a las TIs; además, en el trabajo, sólo unos pocos tienen interés en la nueva herramienta y actúan como innovadores, introductores o líderes del cambio. La organización es ajena a las transformaciones que van produciéndose aunque las conoce y observa, las aplicaciones son elementales y se orientan a la mecanización y automatización de procesos rutinarios. Casi nadie sabe dar respuesta a los problemas que van surgiendo. Todo es nuevo. Ninguno de sus equipos que conforman el parque informático, fueron adquiridos con una visión de futuro.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 20
JUSTIFICACION ADECUACION Y FORMALIZACION
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
3.1.
ORIGEN DE LA AUDITORÍA La presente auditoría surge como necesidad de llevar a la práctica
los
conocimientos adquiridos en las aulas y hacer del curso de auditoría de sistemas una experiencia vivenciada. Ha elección del equipo de trabajo, que para efectos de practica, ha sido autodenominado JC auditores, la empresa auditada, es la ya mencionada PROMENESTRAS tex, a la cual se pudo acceder gracias a una carta Presentación, concedida por la Universidad Católica Santo Toribio de Mogrovejo VER ANEXO - Imagen Nº 1 3.2.
ALCANCE DE LA AUDITORÍA La auditoría realizada por JC auditores, comprende el año 2006 y fue aplicada a la empresas PROMENESTRAS tex en su totalidad, presentando mayor incidencia en la Oficina Administrativa por ser la unidad en la que se cumple en cierto grado la función informática Las auditorias que comprende el presente informe son las siguientes: Auditoria Física Enfocada a evaluar el inventario informático, las instalaciones realizadas en el área de información propuestas (Actual Oficina Administrativa), seguridad del entorno físico, ubicación, etc. Auditoria Ofimática A través de la cual se evaluara el funcionamiento del software de las maquinas del centro de información, así como la adquisición de los diversos programas con los que cuenta la empresa. Auditoria De Redes Que permitirá comprobar lo seguridad y vulnerabilidades en la red, así como, determinar que la función de redes esté claramente definida.
3.3.
ANTECEDENTES Como Entidad Privada, “PROMENESTRAS tex”, no ha sido auditada con anterioridad, puesta que empezó a operar con tal a partir de abril de este año.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 22
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
3.4.
ENFOQUE A UTILIZAR El enfoque utilizado, por JC Auditores, en el presente informe, está basado principalmente en el libro “Auditoría Informática: Un enfoque práctico. 2ª Edición ampliada y revisada” de Mario Gerardo Piattini Velthuis, el cual propone técnicas Normas y procedimientos para un buen desarrollo de las diversas auditorias especificas, del cual se tomaron como principales actividades a realizar, las siguientes:
•
Planificación y seguimiento (Plan Global, Preparación del programa)
•
Análisis y evaluación de CI (Revisión del sistema)
•
Evidencias sustantivas(Analíticas, de Saldo y de Apuntes)
Haciendo uso de técnicas como la observación así como del uso de cuestionarios y entrevistas que ayuden o obtener hallazgos y materia evidencial.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 23
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
3.5.
CRONOGRAMA DE TRABAJO
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 24
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
3.6.
DOCUMENTOS A SOLICITAR Según las normas de Auditoría Gubernamental NAGU, específicamente la NAGU 500, Los documentos validos ante GRPP son:
500-01 Organización del Área de Informática: La dirección debe establecer políticas para la organización adecuada del área de Informática que permita cumplir sus actividades con eficiencia, contribuyendo al desarrollo de las operaciones de la entidad.
500-02 Plan de sistemas de información: Toda entidad que disponga de un área de informática debe implementar un plan de sistemas de información con el objeto que prever que el desarrollo de
sus
actividades
contribuya
al
logro
de
sus
objetivos
institucionales.
500-03 Controles de datos fuente, de operación y de salida: Deben diseñarse controles con el propósito de salvaguardar los datos fuente de origen, operaciones de proceso y salida de información, con la finalidad de preservar la integridad de la información procesada por la entidad.
500-04 Mantenimiento de equipos de computación: La dirección de cada entidad debe establecer políticas respecto al mantenimiento de los equipos de computación que permitan optimizar su rendimiento.
500-05 Seguridad de programas de datos y equipos de cómputo: Deben establecerse mecanismos de seguridad en los programas y datos del sistema para proteger la información procesa da por la entidad, garantizando su integridad y exactitud, así como respecto de los equipos de computación.
500-06 Plan de contingencias: El Área de Informática debe elaborar el Plan de Contingencias de la entidad que establezca los procedimientos
a
utilizarse
para
evitar
interrupciones
en
la
operación del sistema de cómputo.
500-07
Aplicación
de
técnicas
de
INTRANET:
La
implementación de las técnicas de INTRANET dentro de las entidades debe efectuarse con el objeto de fortalecer el control
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 25
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
interno e incrementar la eficiencia de las comunicaciones internas, previa evaluación del costo-beneficio que reportaría su aplicación.
500-08 Gestión óptima de software adquirido a medida por entidades públicas: Debe establecerse políticas sobre el software a medida adquirido por las entidades, a fin de que los derechos de propiedad se registren a nombre del Estado. Por ende, disponer de la siguiente documentación:
Documentos de Gestión: MOF, ROF, TUPA, CAP Inventario de sistemas de información Plan de Contingencia Misión – Visión. Organigrama.
3.7.
MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMATICA En realidad no existe una razón específica para realizar este tipo de auditoría puesto que la empresa no cuenta con un área informática establecida y no se puede verificar la función informática. Por motivos académicos y buscando favorecer a la empresa, se podría decir que los principales motivos por los que “PROMENESTRAS tex.” Debería ser audita son: No cuenta con ningún tipo de documento ya sea de gestión o técnico No cuentan con un área informática propiamente dicha Distribución Inadecuada de los Equipos de Computo Deficiente Seguridad de los Equipos de Computo El cableado no esta estructurado Deficiente confidencialidad de la información Deficiente Seguridad lógica
Uso ineficiente de lo equipos de computo 3.8.
JUSTIFICACION (Revisión informal) JC Auditores, determinó que,
debido a que el área informática no se
encuentra actualmente constituida; una no se puede aplicar una auditoria informática a la gestión de la misma, sin embargo, debido a que la DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 26
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
empresa “PROMENESTRAS tex.”, cuenta con accesorios informáticos, creemos importante abordar los siguientes puntos La organización debe aprovechar al máximo los equipos de cómputo con los que cuenta. Los equipos de computo deben estar mejor estructurados La institución debe contar con un plan de seguridad ante un desastre que afecte tanto a la parte física como lógica La empresa debe contar con backup de sus datos
La empresa debe contar tanto con documentos de gestión y manuales técnicos 3.8.1.
ÁREAS A AUDITAR La Auditoría realizada por el equipo de JC Auditores, de acuerdo a lo establecido en el alcance de la misma, comprende la empresa en su totalidad, sin embargo el estudio presenta mayor incidencia en la oficina administrativa (OA), debido a que allí se encuentran ubicados todos los equipos de computo con los que cuenta la empresa “PROMENESTRAS tex.”
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 27
ÁREAS O UNIDADES
ORGANIZATIVAS
COORDINACIÓN OFICINA ADMINISTRATIVA UNIDAD DE INVESTIGACIÓN 1 3 2 2 3 2 3 3 3
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
1 3 2 2 3 2
Pocos equipos de computo Inexistencia de nuevos proyectos
1 3 2 2 3 2 3 3 3 3 3 2 2 3 2 1 3 2 2 3 2
Termino o cancelación de convenios con instituciones agro exportadoras
Ingreso de personal ajeno a la empresa
3 3 3
Contagio de equipos por virus informático
Robo de información personal de la empresa
Ocurrencia de movimientos telúricos a gran escala
Cambio de Directorio
3 3 3
Lenta adaptación a la nueva tecnología
Miembros del equipo no se implican en el proyecto
Tiempo de comunicación del usuario demasiado lento
Herramientas de desarrollo no disponibles en el momento oportuna
Carencia de personal
RIESGO sistema informático precario
3.8.2.
Falta de apoyo por parte del personal la empresa
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
MATRIZ DE RIESGOS
3 3 3
Pág. 28
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
UNIDAD DE SEMILLAS UNIDAD DE CAPACITACIÓN
1 3
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
3 2
3 3
1 3
3 2
3 3
1 3
3 2
3 3
1 3
3 2
3 3
1 3
3 2
1
Riesgo Bajo
2
Riesgo medio
3
Riesgo Alto
3 3
Pág. 29
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
3.8.3.
PLAN DE AUDITORIA EN INFORMATICA Para el Plan para el desarrollo de este proyecto Se cuenta con el apoyo de la alta dirección de la empresa, ésta fue la primera acción que se realizó, solicitando la participación de los principales trabajadores de la empresa y en donde se realizaran las siguientes acciones. ID. Tarea 1 Observación general de las áreas afectadas. 2 Entrevistas a usuario mas relevantes del área.
Analizar con que documentos de gestión y técnicos 3 cuentan.
Ver si que los equipos de los que cuentan en la 4 actualidad concuerdan con su inventario.
Análisis de las claves de acceso, control, seguridad, 5 confiabilidad y respaldos.
Evaluar las tecnologías de información tanto en 6 hardware como en software. 7 Evaluación de la seguridad física como lógica.
3.9.
ADECUACIÓN 3.9.1.
MÉTODOS Visualización del Panorama: verificación de las funciones, seguridad de los equipos, cableado, etc. Verificación de documentos de gestión. Análisis de los Requerimientos de Usuarios.
3.9.2.
TÉCNICAS Observación Entrevistas Cuestionarios Digitalización de Imágenes (Fotografías)
3.9.3.
HERRAMIENTAS Cuaderno de Campo
Cámara Digital (Creative PC-CAM 350) Papel Lapicero DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 30
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
Scanner (hp scanjet 2400) Microsoft Office Word 2003 Microsoft Office Excel 2003 Microsoft Office Project 2003 Microsoft Office Visio 2003 AVG antivirus 7.5 3.9.4.
PLAN DE AUDITORIA DE ACUERDO AL CLIENTE Empresa “PROMENESTRAS tex.” ha solicitado al equipo auditor lo siguiente: Ver si los equipos con los que cuentan se adaptan a sus requerimientos Reestructurar la red existente tanto con normas de cableado estructurado como la ubicación adecuada de sus equipos. Ver el estado de sus equipos de computo Dar mas seguridad a sus datos Realizar un sistema el cual ayude al área de administración a poder tener un control del tiempo que labora el personal para sus respectivos pagos y descuentos. Ver las necesidades del personal en aspectos informáticos.
3.9.5.
PLAN DETALLADO
Examinar los equipos de computo, para determina si los mismos, se adaptan a sus requerimientos Verificar el estado de sus equipos de computo Reestructurar la red existente tanto con normas de cableado estructurado como la ubicación adecuada de sus equipos.
Brindar una mayor seguridad a la información de la empresa. Realizar un sistema el cual ayude al área de administración a poder tener un control de ingresos y salidas del personal que labora en la misma. * Para la evaluación de los sistemas se llevarán a cabo las siguientes actividades:
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 31
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
Solicitud del análisis y diseño de los sistemas en desarrollo y en operación
Solicitud de la documentación de los sistemas en operación (manuales técnicos, de operación del usuario, diseño de archivos y programas)
Recopilación y análisis de los procedimientos administrativos de cada sistema (flujo de información, formatos, reportes y consultas)
Análisis de control, seguridad, confidencial y respaldos
Entrevista con los usuarios de los sistemas.
Evaluación directa de la información obtenida contra las necesidades y requerimientos del usuario
Análisis y evaluación de la información recopilada
Elaboración del informe
* Para la evaluación de los equipos se llevarán a cabo las siguientes actividades:
Solicitud de los estudios de viabilidad y características de los equipos actuales, proyectos sobre ampliación de equipo, su actualización
Solicitud de contratos de compra y mantenimientos de equipo y sistemas
Solicitud de contratos y convenios de respaldo
Solicitud de contratos de Seguros
Verificar
la
utilización
de
equipos,
memoria,
archivos,
unidades de entrada/salida, equipos periféricos y su seguridad
Comprobación
de
seguridad
física
y
lógica
de
las
instalaciones.
Evaluación técnica del sistema electrónico y ambiental de los equipos y del local utilizado.
Evaluación
de
la
información
recopilada,
obtención
de
gráficas, porcentaje de utilización de los equipos y su justificación.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 32
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
*
Elaboración y presentación del informe final (conclusiones y
recomendaciones)
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 33
Auditoría de Sistemas CAPÍTULO 3: Justificación Adecuación y Formalización
3.10. FORMALIZACIÓN (REVISIÓN FORMAL) 3.10.1. PLAN APROBADO El documento esencial que permitió tener acceso a la información concerniente a la empresa PROMENESTRAS tex., fue la carta de presentación dirigida al señor Ángel Valladolid Chiroque, director ejecutivo de la empresa, quien aceptó y aprobó el plan descrito con anterioridad. 3.10.2. COMPROMISO EJECUTIVO De acuerdo al plan ya mencionado, El equipo de JC auditores, se compromete a entregar el informe de auditoría Informática a la empresa en mención, el 14 de diciembre del presente año.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
1 Bajo (BIEN) Pág. 34 2 Intermedio 3 Alto (MAL)
DESARROLLO DE AUDITORIAS ESPECIFICAS
4.1.
AUDITORÍA FÍSICA 4.1.1.
ALCANCE Esta auditoría fue aplicada en todas las áreas que se encuentran en ejecución (Coordinación, Administración, Unidad de Investigación, Unidad de semillas y Unidad de Capacitación) las mismas que operan en la oficina principal (Oficina Administrativa), puesto que en ella se encuentran los equipos de cómputo con los que dispone la empresa, y en donde se evaluará: Organización y calificación del personal de Seguridad. Planes y procedimientos de Seguridad y Protección Sistemas técnicos de Seguridad y Protección.
4.1.2.
OBJETIVOS Verificar la ubicación y seguridad de las instalaciones. Determinar y evaluar la política de mantenimiento y distribución de los equipos.
Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente Verificar la seguridad del personal, datos, hardware, software e instalaciones Revisión de políticas y normas sobre seguridad Física de los
medios,
como
son:
Edifico,
Instalaciones,
Equipamiento y Telecomunicaciones, Datos y Personas. Verificar si la selección de equipos y Sistemas de computación es adecuada. 4.1.3.
DESARROLLO DE LA AUDITORÍA SEGURIDAD FÍSICA Ubicación de la Oficina Central/Oficina administrativa
La oficina central se encuentra ubicada en los interiores de la Sede del Gobierno Regional de Lambayeque y no tienen previsto un local alternativo para cuando termine el convenio de cesión en uso con la misma. VER ANEXO - Figura Nº 2
En dicho ambiente se llevan a cabo operaciones de Coordinación, Administración y ventas. Además,
allí
se
encuentra
almacenada
toda
la
documentación concerniente a la empresa, en grandes folios apilados en estanterías. De igual forma, todos los equipos de cómputo con los que cuenta la empresa, se encuentran en este ambiente. Las ventanas superiores no poseen ninguna estructura metálica (Malla o enrejado) que proteja el acceso a personas no autorizadas y malintencionadas. Seguridad General
De acuerdo a las observaciones realizadas en la oficina Administrativa, la ubicación de los equipos de computo no constituyen un inconveniente para los accesos
y
salidas de la misma, sin embargo, cabe resaltar que el servidor se encuentra en un lugar vulnerable.
En lo referente a la seguridad eléctrica, JC auditores, pudo
verificar
que
cables
no
están
debidamente
colocados, pues están a la vista de todos de forma desorganizada, además, cerca de la puerta de ingreso, existen varios cables sueltos, los cuales constituyen un riesgo y puede ocasionar desastres mayores.
Lo mismo ocurre con el cableado de red, para el cual no se ha previsto el uso de canaletas ni de caja toma datos.
Los equipos no reciben el mantenimiento debido; lo cual incrementa el riesgo e posible pérdida de información por averías serias en el equipo.
Existen documentos apilados en forma inadecuada que en un futuro podrían obstruir la salida del ambiente.
No disponen de un equipo contra incendios y mucho menos cuentan con la capacitación adecuada para el manejo de estos.
Plan de Contingencia De acuerdo con el Inventario de Documentos realizado en la empresa; JC Auditores pudo verificar que muchos de los lineamientos del plan de Contingencia que poseen, no han sido ejecutados a la fecha. Control de accesos Puesto que se trata de un ambiente relativamente pequeño, no es imprescindible contar con un sistema para ello; todos los accesos son verificados en la entrada principal de la sede. Selección de personal El personal que labora en la empresa cuenta con los conocimientos indispensables para su labor, los cuales han sido seleccionados de una manera adecuada, tanto por concurso así como respectivas entrevistas Seguridad de datos Actualmente la duplicación y preservación de la información depende de cada usuario, quien es responsable de proteger su información contra pérdidas, modificación de las mismas y accesos a personal no autorizado. DISTRIBUCIÓN Y MANTENIMIENTO DE EQUIPOS Distribución de los equipos informáticos No existen mayores dificultades, puesto que todos los equipos informáticos yacen en un mismo ambiente, y por cuyas dimensiones no son representa gran inconveniente. Mantenimiento de los equipos informáticos En cuanto a su mantenimiento no se cuenta con personal adecuado y capacitado para solucionar problemas en el mal funcionamiento del hardware, lo cual retrasa el trabajo del usuario del equipo afectado.
Según
la
información
obtenida,
no
se
tiene
plan
o
cronograma para el mantenimiento de equipos, por lo que el mismo se da esporádicamente para lo cual se hace uso de servicios técnicos externos.
INFORME ESPECÍFICO 1. Título Auditoria Física 2. Cliente Oficina Aministrativa 3. Entidad Auditada Empresa “PROMENESTRAS tex.” 4. Objetivos Verificar la ubicación y seguridad de las instalaciones. Determinar y evaluar la política de mantenimiento y distribución de los equipos.
Evaluar
la
seguridad,
utilidad,
confianza,
privacidad
y
disponibilidad en el ambiente Verificar si la selección de equipos y Sistemas de computación es adecuada. 5. Normativa aplicada y excepciones Para esta auditoría se ha tomado en cuenta la Normas de Auditorias Gubernamentales: “Normas de Control Interno para sistemas computarizados” (NAGU 500). 6. Alcance El presente trabajo de auditoria física, comprende el periodo 2006 y se ha realizado a la Empresa “PROMENESTRAS tex.”, de acuerdo a las normas y demás disposiciones aplicables. 7. Conclusiones La seguridad
física en la Institución,
según
las normativas
aplicadas, es favorable aunque con ciertas salvedades. No se han tomado las previsiones necesarias en caso de futuros riesgos
La empresa “PROMENESTRAS tex”. Debido a que cuenta con el apoyo del gobierno regional, de acuerdo convenio, solo ha mostrado preocupación en lo referente a las operaciones propias del negocio, olvidándose en cierta parte de la responsabilidad para con sus usuarios y trabajadores.
8. Resultados De acuerdo a los objetivos planteados previamente, los resultados serían los siguientes: Verificar la ubicación y seguridad de las instalaciones.
-
Ubicación de la institución, favorable con salvedades, debido a que no se trata de un local propio
-
Seguridad de las instalaciones en cuanto a vigilancia, favorable, puesto que se cuenta con la seguridad de la misma sede
-
Identificación de Salidas, favorable con algunas salvedades como el cuidado de no colocar objetos que obstruyan el paso
-
Seguridad ante Sismos, desfavorable, debido a que la salida inmediata del ambiente coincide un el paso de vehículos, que muchas
veces
es
tomado
como
estacionamiento
de
camionetas de la sede. -
Seguridad ante Incendios, Desfavorable
-
Seguridad
eléctrica,
favorable
con
salvedades;
falta
organización en el cableado. Verificar la seguridad de información. -
El ambiente principal se encuentra toda la documentación física de la empresa, la misma que por tratarse de papeles, folios y aerosoles constituyen material altamente inflamable, pese a ello no se cuenta con un sistema contra incendios y por aun el personal no se encuentra capacitado para el uso de ellos.
-
La data, además de ser almacenada en el servidor, esta a disposición
de
documentación
los en
trabajadores, disquete
u
quienes
otros
portan
la
dispositivos
de
almacenamiento, como CD, memorias USB, echo poco favorable debido posible plagio de información. Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
-
Aspecto desfavorable, debido a que el ambiente es pequeño, y no se cuenta con la seguridad debida.
Verificar
si
la selección
de equipos
y Sistemas de
computación es adecuada. -
Desfavorable,
puesto
que
todas
las
computadoras,
indistintamente de las características particulares que pueda tener, son usadas para un mismo propósito (Elaboración de documentos) 9. Fecha del Informe El presente Informe se inició el 20 de agosto del 2006
y se
concluyó el 11 de noviembre mismo. 10.Identificación y Firma del Auditor
Lluén Lozano, Christian Omar DNI: 41635966
Delgado Gonzales, José Nelson LM: 1116330844
4.2.
AUDITORIA OFIMÁTICA 4.2.1.
ALCANCE La auditoria Ofimática fue aplicada en todas las áreas que se encuentran en aplicación (coordinación, administración, unidad de investigación, unidad de semillas, y unidad de capacitación), las mismas que operan en la oficina principal (oficina administrativa) Los puntos que se tomarán son, Revisión de: inventario, políticas
de
mantenimiento,
licencias,
desempeño
del
software existente, seguridad de la data 4.2.2.
OBJETIVOS Determinar
si
el
inventario
ofimático
refleja
con
exactitud los equipos y aplicaciones existentes en la organización Determinar y evaluar la política de mantenimiento definida en la organización Verificar el desempeño del software empleado en la institución Verificar la legalización del software utilizado. Verificar la seguridad en la data 4.2.3.
DESARROLLO DE LA AUDITORÍA Todas
las
opiniones
documento
están
profesionales
respaldadas
por
vertidas las
en
este
entrevistas,
inventarios y observaciones realizadas durante las visitas a la Institución.
INVENTARIO De acuerdo a la investigación realizada por la consultora JC Auditores, la empresa PROMENESTRAS tex., no cuenta con un inventario, la cual no saben con exactitud con cuantos equipos de hardware/software cuentan. MANTENIMIENTO La empresa PROMENESTRAS Tex., no cuenta con una política de mantenimiento preventivo de sus equipos, se hace mantenimiento solo y cada vez que estos empiezan a fallar. SISTEMAS - NECESIDADES Actualmente existen dos aplicaciones en red que son: Sistema
contable
financiero
(suite
contasis),
Sistema
comercial (Suite contasis) pero dichas aplicaciones no son utilizados actualmente. Además cabe recalcar que algunos accesorios de cómputo no se utilizan a cabalidad como por ejemplo las quemadoras y lectoras, son 3 computadoras de escritorio y cada uno de ellos posee una quemadora y lectora,
pero
estos
accesorios
se
utilizan
con
poca
frecuencia. LICENCIAMIENTO Los Software que se utilizan en la empresa PROMENESTRAS solo dos sistemas cuentan con licencias (sistema contable, sistema comercial) el resto ninguno de ellos cuentan con licencia, esto puede ser perjudicable para la empresa ya que puede haber fuertes sanciones por el uso ilegal APLICACIONES INSTALADAS No existe un control del software que los trabajadores puedan descargar de Internet y el uso que le den a los mismos, de igual forma de software no licenciado que puedan instalar en los equipos.
COPIAS DE SEGURIDAD La empresa PROMENESTRAS tex.,
no realizan copias de
seguridad (backup) de sus datos, ya que ante un desastre físico (robo, hurto) o lógico (virus) se pierde toda la data.
Informe Final 1. Título Auditoria Ofimática. 2. Cliente Oficina administrativa 3. Entidad PROMENESTRAS Tex. 4. Objetivos Determinar si el inventario ofimático refleja con exactitud los equipos y aplicaciones existentes en la organización Determinar y evaluar la política de mantenimiento definida en la organización Verificar el desempeño del software empleado en la institución Verificar la legalización del software utilizado. Verificar la seguridad en la data 5.- Normativa aplicada y excepciones Para esta auditoría se toman en cuenta la norma ISO 17799 y Normas de Auditorias Gubernamentales: “Normas de Control Interno para sistemas computarizados” (NAGU 500).
6. Alcance El presente trabajo de auditoria ofimática, comprende el presente periodo 2006 y se ha realizado en la empresa PROMENESTRAS Tex, de acuerdo a las normas y demás disposiciones aplicables. 7. Conclusiones El aspecto ofimático de la Institución, en la opinión del auditor a base de las normativas aplicadas, es favorable aunque con salvedades. No todo el software propietario que se maneja en la institución está debidamente licenciado, caso de los sistemas operativos y las herramientas de escritorio (Office).
8. Resultados •
Revisión del inventario de los accesorios de cómputo o
•
No cuentan con un inventario del parque informático
Revisión de las licencias del software.
o
No todo el software propietario que se maneja en la institución
está
debidamente
licenciado,
caso
de
los
sistemas operativos y las herramientas de escritorio (Office) •
Verificar el desempeño del software empleado en la institución
o
Actualmente existen dos aplicaciones en red que son: Sistema
contable
financiero
(suite
contasis),
Sistema
comercial (Suite contasis) pero dichas aplicaciones no son utilizados actualmente, por lo que no se le puede dar un calificativo de desempeño. •
Seguridad en la Data
o
La seguridad en los datos es baja porque no cuentan con medidas de seguridad, como por ejemplo los backup.
9. Fecha del Informe El presente Informe se inició el 20/08/2006 y se concluyó el del mes de noviembre del 2006. 10. Identificación y Firma del Auditor
4.3 Auditoria de Redes 4.3.1.- Alcance La auditoria de redes fue aplicada en todas las áreas que se encuentran
en
aplicación
(coordinación,
administración,
unidad
de
investigación, unidad de semillas, y unidad de capacitación), las mismas que operan en la oficina principal (oficina administrativa) Los puntos a tomar en cuenta serán los siguientes: Organización y calificación del tendido de red. Planes y procedimientos. Sistemas técnicos de Seguridad y Protección. 4.3.2.- Objetivos Áreas
controladas
para
los
equipos
de
comunicaciones,
previniendo así accesos inadecuados Protección y tendido adecuado de cables y líneas de comunicación, para evitar accesos físicos Revisar las políticas y normas sobre redes y el funcionamiento de la red y la seguridad de los datos dentro de la Red Lan . 4.3.3.- Desarrollo de la auditoria Para el Desarrollo de esta auditoría específica se empleará el modelo adoptado
por
ISO(Internacional
Standarts
Organization),
el
cual
se
denomina Modelo OSI (Open Systems Interconection), el cual consta de 7 capas, las cuales se tomarán para realizar la auditoría.
ÁREAS
CONTROLADAS
COMUNICACIONES,
PARA
LOS
PREVINIENDO
EQUIPOS ASÍ
DE
ACCESOS
INADECUADOS Los equipos de comunicaciones ( Switch, router ) no se mantienen en habitaciones cerradas La seguridad física de los equipos de comunicaciones (Switch, Router) es inadecuada. Cualquier persona tiene acceso ya que se encuentra cerca de un lugar transitable PROTECCIÓN Y TENDIDO ADECUADO DE CABLES Y LÍNEAS DE COMUNICACIÓN, PARA EVITAR ACCESOS FÍSICOS Los cables de comunicación de datos, eléctricos y de teléfono están juntos y amarrados por otro cable. No existen procedimientos para la protección de cables y bocas de conexión, esto dificulta que sean interceptados o conectados por personas no autorizadas No se realiza revisiones preventivas a la red de comunicaciones
REVISAR LAS POLÍTICAS Y NORMAS SOBRE REDES Y EL FUNCIONAMIENTO DE LA RED Y LA SEGURIDAD DE LOS DATOS DENTRO DE LA RED LAN
A.- Mapa de Redes
Pizarraacrílica
Mesa
PC37
switch
Scanner Impresora
Impresora
PC 39
PC 38
papelera
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
B.- Modelo OSI, capa Física. Capa Física: Transforma la información en señales físicas adaptadas al medio de comunicación. El cableado utilizado para el tendido de red presenta las siguientes características: o
Tipo de Cable: Par trenzado sin apantallar (UTP Categoría 5)
o
Conectores: RJ-45
El tipo de cables y conectores utilizados para este tipo de red es adecuado, según la norma EIA/TIA, el problema radica en el tendido del cableado ya que no cuenta con ninguna protección (canaletas) y además los cables de comunicación de datos, eléctricos y de teléfono se encuentran amarrados por otros cables.
C.- Modelo OSI, capa de Enlace Capa de Enlace: Transforma los paquetes de información en tramas adaptadas a los dispositivos físicos sobres los cuales se realiza la transmisión. De acuerdo al inventario de hardware se resumen los siguientes componentes: o
Topología de la Red: Estrella o
Especificaciones: Ethernet
o Tarjeta de Red: D-Link DFE-530TX PCI Fast Ethernet Adapter Hay que especificar que las tarjetas de redes utilizadas son del mismo tipo, la cual es recomendable para la transferencia adecuada de los datos.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 52
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
D.- Modelo OSI, capa de Red. Capa de Red: Establece las rutas por las cuales se puede comunicar el emisor con el receptor, lo que se realiza mediante el envío de paquetes de información. En la institución si utilizan los siguientes componentes: o
Velocidad de transmisión 10/100 MBps
o
Switch D-link de 8 puertos
o
Protocolo TCP/IP
De acuerdo a las necesidades de la empresa, el Switch empleado no presenta problemas en la transmisión de datos ya que todos los documentos realizados por los clientes se guardan en el servidor. E.- Modelo OSI, capa de Transporte. Capa de Transporte: Comprueba la integridad de los datos transmitidos (que no ha habido pérdidas ni corrupciones). En la Empresa se utiliza el Protocolo TCP/IP para la transmisión datos, lo cual es lo óptimo debido a que es más seguro y utilizado en la actualidad que el protocolo UDP. F.- Modelo OSI, capa de Sesión. Capa de Sesión: Establece los procedimientos de aperturas y cierres de sesión de comunicaciones, así como información de la sesión en curso. En la Empresa no existe un control de las sesiones más que la que propone el sistema operativo que se posee en cada computadora, lo cual representa un “hoyo” en la seguridad de la información.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 53
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
G.- Modelo OSI, capa de Presentación. Capa de Presentación: Define el formato de los datos que se van a presentar a la aplicación. Actualmente existen dos aplicaciones en red que son: Sistema contable financiero (suite contasis), Sistema comercial (Suite contasis) pero dichas aplicaciones no son utilizados actualmente. H.- Modelo OSI, capa de Aplicación. Capa de Aplicación: Es donde la aplicación que necesita comunicaciones enlaza, mediante API (Application Program Interface) con el sistema de comunicaciones. De acuerdo a las entrevistas en la institución se resume lo siguiente: o
Se utiliza el Protocolo FTP para el intercambio de información, el cual se usa para las impresoras.
o
Correo
de
la
institución:
provisto
por
el
Gobierno
Regional
Lambayeque. Por ende dentro de la institución no existe un servidor de correo.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 54
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
4.3.5.- Informe Final 1. Titulo Auditoria de Redes. 2. Cliente El área de Informática 3. Entidad Auditada PROMENESTRAS Tex. 4. Objetivos Áreas controladas para los equipos de comunicaciones, previniendo así accesos inadecuados Protección y tendido adecuado de cables y líneas de comunicación, para evitar accesos físicos Revisar las políticas y normas sobre redes y el
funcionamiento de la
red y la seguridad de los datos dentro de la Red Lan 5.- Normativa aplicada y excepciones La especificación utilizada en esta auditoría de redes es la Normativa actual IEEE 802.3 para redes LAN Ethernet 10/100MBps (utilizada por la empresa),
además
de
la
norma
ISO
17799
y
Normas
de
Auditorias
Gubernamentales: “Normas de Control Interno para sistemas computarizados” (NAGU 500). 6. Alcance El presente trabajo de auditoria de red, comprende el presente periodo 2006 y se ha realizado en la empresa PROMENESTRAS Tex de acuerdo a las normas y demás disposiciones aplicables.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 55
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
7. Conclusiones El aspecto de redes en la Empresa, la opinión de JC Auditores a base de las normativas aplicadas, es desfavorable. No existe un conocimiento actualizado del cableado de red; el cableado no se encuentra protegido y su distribución e implementación no es la buena, aunque funcione la red. 8. Resultados Áreas
controladas
para
los
equipos
de
comunicaciones,
previniendo así accesos inadecuados Los equipos de comunicaciones ( Switch, router ) no se mantienen en habitaciones cerradas La seguridad física de los equipos de comunicaciones (Switch, Router) es inadecuada. Cualquier persona tiene acceso ya que se encuentra cerca de un lugar transitable protección
y
tendido
adecuado
de
cables
y
líneas
comunicación, para evitar accesos físicos Los cables de comunicación de datos, eléctrios y de teléfono estan juntos y
amarrados por otro cable.
No existen procedimientos para la protección de cables y bocas de conexión,
esto dificulta que sean interceptados o conectados por
personas no autorizadas No se realiza revisiones preventivas a la red de comunicaciones
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 56
de
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
Revisar las políticas y normas sobre redes y el funcionamiento de la red y la seguridad de los datos dentro de la Red Lan No existen políticas y/o normas para regular el uso de la red de dicha empresa La red funciona correctamente de acuerdo al tamaño de la empresa; esta no podrá soportar un desarrollo de la misma. No existe una seguridad centralizada de los datos, sólo la seguridad brindada por el sistema operativo instalado en cada equipo. 9. Fecha del Informe El presente Informe se inició el 1 del mes de Abril del año 2006 concluyó el del mes de Julio del año 2006. 10. Identificación y Firma del Auditor
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 57
y se
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
Auditoria Ofimática 4.2.4.- Conclusiones
No cuentan con un inventario del parque informático
No realizan mantenimientos preventivos
Algunos sistemas no se adecuan a sus requerimientos
Los software no cuentan con licencias
No hay un control en las aplicaciones instaladas por el usuario
No realizan copias de seguridad
4.2.5.- Recomendaciones
Establecer procedimientos para la realización de inventario de aplicaciones el cual como mínimo debe incluir el número de versión instalada, la fecha de instalación , la última fecha de mantenimiento realizado, la plataforma de trabajo, en caso que se adquiera el software se debe registrar el número del documento con el que ingresa, el número de licencia, y el número del manual que se puede consultar para su mantenimiento y utilización .EL inventario de aplicaciones se debe realizar por a cada computadora existente en las dependencia de Dirección.
Realizar un mantenimiento preventivo de equipos informáticos para reducir el índice de equipos dañados, minimizar la interrupción en las tareas del usuario con el equipo dañado y evitar el pago a terceros por el soporte técnico.
Formular vías para adquirir software licenciado.
Controlar el ingreso de software y aplicaciones a la institución por el personal.
Las copia de seguridad debe realizarse semanalmente quedando una copia en la Empresa y la otra debe ser guardada fuera de la Empresa en caso de que sucediera algún desastre.
Desarrollar y hacer uso de normas y procedimientos para la instalación y la actualización periódica de productos antivirus.
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 58
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
Auditoria de REDES Colusión 1.- Poca seguridad física de los Equipos (Switch, Router, Servidor) Hallazgos ♦ Los equipos de comunicaciones ( Switch, router
) no se
mantienen en habitaciones cerradas ♦ La seguridad física de los equipos de comunicaciones (Switch, Router) es inadecuada. ♦ Cualquier persona tiene acceso ya que se encuentra cerca de un lugar transitable ♦ El Servidor se Encuentra en un lugar transitable y además se utiliza como estación de trabajo. Conclusión 2.- Tendido Inadecuado de los cables de datos, eléctricos y teléfono Hallazgos ♦ Los cables de comunicación de datos, eléctrios y de teléfono están juntos y amarrados por otro cable. ♦ No existen procedimientos para la protección de cables y bocas de conexión,
esto
dificulta
que
sean
interceptados
conectados por personas no autorizadas ♦ No se realiza revisiones preventivas a la red de comunicaciones Conclusión 3.- Los Equipos de Computo están mal ubicados Hallazgos
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 59
o
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
♦ Las estaciones de trabajo están mal ubicados, ya que la pantalla está a la vista de cualquier otra persona que puede fácilmente captar cualquier dato que sea confidencial. ♦ El servidor esta mal ubicado, es decir se encuentra como otra estación de trabajo y la pantalla esta a la vista de cualquier otra persona que puede fácilmente captar cualquier dato confidencial. ♦ el Switch se encuentra cerca de un lugar transitable
Conclusión
4.-
no
existen
políticas
y
normas
sobre
redes
y
el
funcionamiento de la red y la seguridad de los datos dentro de la Red Lan Hallazgos ♦ No existen políticas y/o normas para regular el uso de la red de dicha empresa ♦ La red funciona correctamente de acuerdo al tamaño de la empresa; esta no podrá soportar un desarrollo de la misma. ♦ No existe una seguridad centralizada de los datos, sólo la seguridad brindada por el sistema operativo instalado en cada equipo. Recomendaciones
Plantear el rediseño de una red de comunicaciones. Distribución de la red. Switch La elección del lugar donde situar el concentrador principal condicionará el montaje de toda la red. Deberá de estar situado en un lugar que cumpla ciertas condiciones: Se deberá buscar un lugar lo más céntrico posible en el edificio, de forma que la distancia a recorrer con el cableado hasta las distintas DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 60
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
dependencias, en ningún caso tenga que sobrepasar los 90 metros. También hay que señalar que cuanto más cortos sean los cables más capacidad de transmisión tendrán. No debe ser un lugar accesible a todo el público por cuestiones de seguridad. Router El router se puede colocar en cualquier lugar de la red. Es imprescindible que haya una toma de la línea RDSI y una toma de LAN cercanas. Lo más usual es colocarlo en el mismo lugar donde está el concentrador principal. Sería
recomendable
tener
un
pequeño
armario
con
llave
(armario
de
comunicaciones) donde introducir los siguientes componentes: ♦ Concentrador principal. ♦ Router.
Distribución del Cableado Deben de estar al menos a 30 cm de distancia de las luces fluorescentes. La distancia entre los cables de la red y los de la corriente eléctrica debe de ser superior a 30 cm. Si tienen que cruzarse, deberán de hacerlo en ángulo recto para evitar el acoplamiento. En el caso de no poder evitar el que estén en paralelo cables de corriente eléctrica junto con cables de la LAN, habrá que tener en cuenta que: ♦ La separación mínima será de 2 cm para recorridos en paralelo menores de 2.5 m. ♦ La separación mínima será de 4 cm para recorridos en paralelo menores de 10 m. Se debe de evitar pasar cerca de tomas de agua o fuentes de humedad así como zonas de altas temperaturas. Deben de estar al menos a 1.2 metros de aires acondicionados, ventiladores o calentadores. Se intentará buscar recorridos comunes para compartir la canaleta También hay que cuidar el aspecto estético. Se intentará pasar las canaletas por sitios lo menos visibles posible. Las canaletas de distribución no deberán de ocuparse en más de un 60%. DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 61
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
No deberán de estar en lugares ni demasiado accesibles por cuestiones de seguridad, ni en lugares de difícil acceso para facilitar el montaje y el mantenimiento. El trazado de las canaletas debe respetar las condiciones requeridas por el cableado a instalar, curvatura de los cables, paso por zonas no permitidas, distancias a conducciones eléctricas, etc.
Lluén Lozano, Christian Omar DNI: 41635966
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Delgado Gonzales, José Nelson LM: 1116330844
Pág. 62
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
4.3.
INFORME FINAL DE AUDITORÍA
CONCLUSIONES Y RECOMENDACIONES AUDITORÍA FÍSICA CONCLUSIONES Y COMENTARIOS
JC auditores, Pudo verificar la falta de seguridad, en la entrada principal de la institución
La empresa “PROMENESTRAS tex.” Debido a que cuenta con el apoyo del gobierno regional, de acuerdo convenio, solo ha mostrado preocupación en lo referente a las operaciones propias del negocio, olvidándose en cierta parte de la responsabilidad para con sus usuarios y trabajadores.
También se observó que el servidor de datos se encuentra en un lugar poco apropiado y riesgoso, pues esta ubicado cerca de la entrada principal de la empresa, sin seguridad alguna El ambiente principal se encuentra toda la documentación física de la empresa, la misma que por tratarse de papeles, folios y aerosoles constituyen material altamente inflamable, pese a ello no se cuenta con un sistema contra incendios y por aun el personal no se encuentra capacitado para el uso de ellos.
Se pudo verificar que la empresa, no cuenta con un UPS en caso de perdida de energía eléctrica.
Se observó que el mantenimiento realizado a los equipos de cómputo existente es en mayor proporción correctivo que preventivo. La data, además de ser almacenada en el servidor, esta a disposición
de
documentación
los en
trabajadores, disquete
u
quienes
otros
portan
la
dispositivos
de
almacenamiento, como CD, memorias USB, echo poco favorable debido posible plagio de información.
Falta recomendaciones DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 63
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
Auditoría ofimática 4.3.1.
CONCLUSIONES Y COMENTARIOS No cuentan con un inventario del parque informático No realizan mantenimientos preventivos Algunos sistemas no se adecuan a sus requerimientos El software no cuentan con licencias No un control en las aplicaciones instaladas por el usuario No realizan copias de seguridad
4.3.2.
RECOMENDACIONES Establecer procedimientos para la realización de inventario de aplicaciones el cual como mínimo debe incluir el número de versión instalada, la fecha de instalación , la última fecha de mantenimiento realizado, la plataforma de trabajo, en caso que se adquiera el software se debe registrar el número del documento con el que ingresa, el número de licencia, y el número del manual que se puede consultar para su mantenimiento y utilización .EL inventario de aplicaciones se debe realizar por a cada computadora existente en las dependencia de Dirección. Realizar un mantenimiento preventivo de equipos informáticos para reducir el índice de equipos dañados, minimizar la interrupción en las tareas del usuario con el equipo dañado y evitar el pago a terceros por el soporte técnico. Formular vías para adquirir software licenciado. Controlar el ingreso de software y aplicaciones a la institución por el personal. Las copia de seguridad debe realizarse semanalmente quedando una copia en la institución y la otra debe ser guardada fuera de la organización en caso de que sucediera algún desastre. Desarrollar y hacer uso de normas y procedimientos para la instalación y la actualización periódica de productos antivirus.
Auditoría de Redes
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 64
Auditoría de Sistemas CAPÍTULO 4: Desarrollo De Auditorias Especificas
DELGADO GONZALES, José Nelson LLUÉN LOZANO, Christian Omar
Pág. 65
BIBLIOGRAFÍA 1Piattini, Mario – Auditoria Informática .Un enfoque Practico Emilio del Peso Ed. Rama
LINCOGRAFÍA
Figura Nº 1 Ubicación de la empresa
Figura Nº 2 Ubicación dentro de las instalaciones de la cede del gobierno regional
Figura Nº 3 Distribución física de Equipos Informáticos en la oficina Administrativa (OA)
Pizarra acrílica
Mesa
PC 37
switch
Scanner Impresora Impresora
PC 39
PC 38
papelera
Imagen Nº 1 Carta de Presentación
Nota: La srta. Sigüeñas Pacheco, Sandra, asumió un nuevo proyecto y decidió voluntariamente retirarse del equipo; hecho poco relevante, debido a que
sr.
Delgado Gonzales, José, se involucró al trabajo del equipo inmediatamente después.
Empresa PROMENESTRAS tex Cuestionario Nº 1 Dirigida al Gerente Ejecutivo: Blgo. Ángel Valladolid Chiroque. 1. ¿Actualmente, la empresa cuenta con área informática? Si
No
2. ¿Cuántos proyectos informáticos a tenido en los últimos 2 años? Especifique. ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ 3. ¿Cuantos
productos
informáticos
(Software/Hardware)
ha
adquirido en los 2 últimos años? Especifique. ___________________________
______________________________
___________________________
______________________________
___________________________
______________________________
___________________________
______________________________
___________________________
______________________________
___________________________
______________________________
4. ¿La empresa actualmente cuenta con servicio de Internet? Si
No
¿Cual? ______________________________________________ 5. ¿Con cuantos documentos de gestión cuenta la empresa/Centro de Información? Especifique. ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________
___________________________________________________________________
6. ¿La empresa cuenta con un manual de Organización y funciones (MOF)? Si
No
¿De que año? _______________________ Especifique las áreas existentes ___________________________
______________________________
___________________________
______________________________
___________________________
______________________________
___________________________
______________________________
7. ¿La empresa cuenta con un Reglamento de Organización y funciones (ROF)? Si
No
¿De que año? _______________________
Chiclayo___ de ______ del 2006
Empresa PROMENESTRAS tex Cuestionario Nº 2
1. ¿A que esta avocada la empresa PROMENESTRAS tex? ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ 2. ¿Cómo se financian las operaciones de la empresa? ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ 3. ¿Quiénes forman parte de sus clientes? ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ 4. ¿Quiénes son sus proveedores? ___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
5. Detalle las funciones que realiza según estación de trabajo
Oficina Administrativa
Campo Experimental
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
___________________________
________________________
6. ¿La empresa ha sido audita con anterioridad (cualquier tipo de auditoria)? Si
No
¿En que fecha? _________________________ ¿Por quien?
_________________________
7. ¿Cuentan con un inventario informático de equipos de cómputo? Si
No
¿Por que?
__________
8. ¿Cada cuanto tiempo realiza mantenimiento a sus equipos de cómputo? Una vez al año
Cuando falla el equipo
Cada 6 meses
Nunca
9. ¿La empresa cuenta con aseguración en caso de desastre? Si
No
¿Por que?
__________
10.¿Cuentan con un local alternativo para luego de culminado el acuerdo de cesión en uso con el gobierno regional? ¿Donde esta ubicado? Si
¿Dónde? ______________
No
¿Por que?
__________
Chiclayo___ de ______ del 2006
