UNIVERSIDAD NACIONAL PEDRO RUIZ GALLO

FACULTAD DE CIENCIAS FSICAS Y MATEMTICA ESCUELA PROFESIONAL DE COMPUTACION E INFORMTICA

AUDITORIA DE LOS SISTEMAS INFORMTICOS DE LA ESCUELA DE POSTGRADO DE LA UNIVERSIDAD NACIONAL PEDRO RUIZ GALLO

TESIS
presentado para optar el titulo profesional

INGENIERO EN COMPUTACION E INFORMATICA

AUTOR BACHILLER VICTOR CARLOS QUIONES RADO.

ASESOR ING. Mg. SC. PEDRO FIESTAS RODRIGUEZ.

LAMBAYEQUE PER 2008

INTRODUCCION
Mediante la presente investigacin he intentado determinar los diferentes problemas que se presentan en la Unidad de Informtica de la Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo", ese trabajo lo he realizado aplicando una Auditoria Informtica.

La importancia de nuestro trabajo estriba en que al haber observado que la Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo" ha ido incrementado sus Sistemas informticos, lo cual es una necesidad y exigencia de los tiempos de Globalizacin, para conseguir ms eficiencia y eficacia en los procesos de Gestin.

Al hacer el estudio se ha detectado una serie de problemas por falta de control en los Sistemas Informticos, as tenemos:

1. Existencia de prdida de informacin confidencial existente en la Escuela de Postgrado por falta de control de acceso a la Unidad de Informtica de la Escuela de Postgrado.

2. Se producen deterioros de los equipos informticos a manos de los usuarios, debido a que desconocen el reglamento de uso de equipo informticos dentro de la Unidad de Informtica de la Escuela de Postgrado.

3. No existen medidas de prevencin de catstrofes, dentro de la Unidad de Informtica de la Escuela de Postgrado, por ejemplo, faltan equipos contra incendios

4. He constatado la desactualizacin del personal encargado de la conduccin de la Unidad de Informtica de la Escuela de Postgrado;

acarreando un deficiente servicio y no detectar a tiempo fallas producidas en los equipos informticos.

5. El MOF (Manual de Organizacin y Funciones) no contempla en forma detallada las responsabilidades del personal que labora en la Unidad de Informtica de la Escuela de Postgrado, ello genera irresponsabilidad en la conduccin de la Unidad de Informtica, como dar acceso a la informacin a personas ajenas a la Unidad de Informtica.

6. Retrazo en la gestin de soluciones que ocasionan prdidas econmicas por transacciones inconclusas, prdida o deterioro de los archivos de inventario o de otra informacin.

Frente a esta problemtica es que planteamos algunas recomendaciones como las siguientes:

1. Establecer en el Manual de Organizacin y Funciones de la Escuela de Postgrado las funciones que le compete a la Unidad de Informtica y que se instruya adecuadamente al personal a cargo de esta Unidad de Informtica.

2. Hacer convenio con la Escuela de Ing. Computacin e Informtica y la Escuela de Ing. Sistemas de la Universidad Nacional Pedro Ruiz Gallo para la capacitacin y actualizacin permanente del personal y mejorar el servicio que brinda la Unidad de Informtica de la Escuela de Postgrado.

3. La Escuela de Postgrado debe invertir en mejorar su sistema informtico y utilizarlo en toda su capacidad ofreciendo mejores servicios a sus alumnos.

4. Implementar un plan de medidas de contingencia ante posibles desastres en su Sistema Informtico y respaldarlos con la adquisicin de seguros contra todo riesgo (incendios, robos, etc.).

5. Realizacin de un inventario de la totalidad del Hardware y Software existentes en la Unidad de Informtica y organizndolo por necesidades.

6. Adquirir las licencias de uso de Software.

7. Elaborar, con participacin activa de los involucrados en el manejo de la Unidad de Informtica, de un Plan Estratgico para el funcionamiento y uso eficiente y eficaz del Sistema Informtico de la Unidad de Informtica de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo.

II.

PLAN DE INVESTIGACION 2.0. 2.1. SITUACION PROBLEMATICA PLANTEAMIENTO DEL PROBLEMA

Al inicio de la dcada de los 90, comienza a difundirse de manera persistente la versin actual de un mundo global. Los cambios ocurridos en la estructura y las sociedades mundiales durante esa dcada, impactadas por los avances tecnolgicos y los nuevos materiales, obliga a revisar los paradigmas imperantes del papel de la educacin en general y de la educacin superior en particular, en el progreso de las naciones. Dentro de este contexto el gran desafo que debe enfrentar nuestro pas es cmo insertarse de manera competitiva en un mundo cada vez ms globalizado, se trata de una nueva etapa del desarrollo, sustentado en el conocimiento y hacia dnde deben orientarse nuestros esfuerzos

acadmicos e investigativos en el campo de la Informtica.

El enfoque y el impacto de la globalizacin han trastocado la visin del mundo, han obligado a entrar en un inusual espiral de cambios, los cuales se refieren sobre todo al ritmo del uso adecuado del conocimiento acelerado a partir de la Revolucin Industrial del siglo XVII, la Revolucin de la Productividad del siglo XIX y la Revolucin de la Administracin del

conocimiento. Aceptamos el cambio en nombre del desarrollo del progreso, pero no podemos evitar un sentimiento de temor (Flores, 1998).

La globalizacin ha afectado para bien o para mal a las culturas dependientes que lenta pero sostenidamente van perdiendo su identidad, al asumir patrones de comportamiento socio cultural a imagen y semejanza de las naciones ms desarrolladas.
5

Como reflexin podemos decir, que la globalizacin no es de lejos la panacea de los males que aquejan al mundo contemporneo, pero tampoco es la causa nica de los mismos, no es ms que una etapa en el largo proceso de la internacionalizacin cultural (Romero,2001).

La

informtica

es,

hoy

por

hoy,

un

elemento

imprescindible en la acumulacin de conocimiento, la cual ya no slo es cerebral, obviamente, sino a travs del computador. Est tan penetrada en la actividad productiva y social de los habitantes de las regiones ms pobladas de la tierra, es decir, en las grandes ciudades, que se ha constituido en una nueva cultura en el mundo modernamente tecnificado de hoy.

Segn lo manifiesta Lara Figueroa: La informtica, a travs de las supercarreteras de informacin y de Internet, homologan el sentir del hombre, lo de culturan. Pero si el hombre utiliza estos mismos canales para dar a conocer sus propios logros culturales, como hombre y sociedad, lograr reafirmar su identidad social y cultural y le permitir compartir con otros hombres de cualquier parte del orbe y del planeta, sus especificidades culturales y su capacidad creadora. De tal manera, que en estos momentos finales del siglo XX, las tradiciones populares y la cultura popular heredada por el proceso histrico, es la nica fuente confiable de identidad social e identidad individual; la que cohesiona a individuos alrededor de logros comunes. Utilizar la informtica, pues, en el afn de afianzar la identidad social de un pas como Per, es vlido y necesario, pues es el vehculo que permite afianzar las races de nacionalidad y pertenencia. El concepto de informacin es muy reciente y adems sumamente sencillo. Fue desarrollado en la dcada de los 40's por el matemtico norteamericano Claude Shannon, para
6

referirse a todo aquello que est presente en un mensaje o seal cuando se establece un proceso de comunicacin entre un emisor y un receptor. As, cuando dos personas hablan, intercambian informacin; cuando ves una pelcula, recibes informacin; es ms, al probar una galleta tu sentido del gusto recaba informacin sobre el sabor y la consistencia del bocado. La informacin puede entonces encontrarse y enviarse en muchas formas, a condicin de que quien la reciba pueda interpretarla.

Procesar informacin implica el almacenamiento, la organizacin y, muy importante, la transmisin de la misma. Para ello, en la informtica intervienen varias tecnologas; en trminos generales, podemos decir que son dos sus pilares: la computacin y la comunicacin; es decir, en lo que hoy conocemos como informtica confluyen muchas de las tcnicas y de las mquinas que el hombre ha desarrollado a lo largo de la historia para apoyar y potenciar sus capacidades de memoria, de pensamiento y de comunicacin.

Sintetizando, la informtica es el producto del encuentro de dos lneas tecnolgicas: el de las mquinas de comunicar y el de las computadoras. Si bien el trmino Informtica surgi hace poco ms de medio siglo, cuando el propio Shannon desarroll la Teora de la Informacin, apostado en los terrenos de la lgica matemtica y los albores de la computacin moderna. Ms adelante veremos como sus orgenes se remontan a los de la humanidad.

A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms poderosas para

materializar uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los Sistemas de Informacin de la empresa.
7

La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el management o gestin de la empresa. Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informtica.

El trmino de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase Tiene Auditoria como sinnimo de que, en dicha entidad, antes de realizarse la auditoria, ya se haban detectado fallas.

El concepto de auditoria es mucho ms que esto. Es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc.

La palabra auditoria proviene del latn auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de or.

Por otra parte, En un principio esta definicin carece de la explicacin del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.

Si consultamos el Boletn de Normas de auditoria del Instituto mexicano de contadores nos dice: La auditoria no es una actividad meramente mecnica que implique la aplicacin
8

de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de carcter indudable.

De todo esto sacamos como deduccin que la auditoria es un examen crtico pero no mecnico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de un organismo.

Los principales objetivos que constituyen a la auditoria Informtica son el control de la funcin informtica, el anlisis de la eficiencia de los Sistemas Informticos que comporta, la verificacin del cumplimiento de la Normativa general de la empresa en este mbito y la revisin de la eficaz gestin de los recursos materiales y humanos informticos.

El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Informacin. Claro est, que para la realizacin de una auditoria informtica eficaz, se debe entender a la empresa en su ms amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Annima o empresa Pblica. Todos utilizan la informtica para gestionar sus negocios de forma rpida y eficiente con el fin de obtener beneficios econmicos y de costes.

2.2. FORMULACION Y DELIMITACION DEL PROBLEMA 2.2.1 FORMULACIN: En qu medida una Auditoria de los Sistemas Informticos instalados en la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo

mejorar el uso de estos Sistemas Informticos en beneficio de sus usuarios y de la institucin? 2.2.2 DELIMITACIN DEL PROBLEMA: En qu medida la aplicacin de una Auditoria Informtica de los Sistemas Informticos de la Unidad de Informtica de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo mejorar el servicio que dan a sus alumnos?

2.3. JUSTIFICACION E IMPORTANCIA DEL ESTUDIO Al haber observado que la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo ha ido incrementando sus Sistemas Informticos, que es una necesidad y exigencia de los tiempos de globalizacin, para conseguir mas Eficiencia y Eficacia en los procesos de Gestin; pero para ello se tiene que tener en cuenta el uso adecuado y en toda su capacidad de estos sistemas.

10

2.4 OBJETIVOS

2.4.1 OBJETIVO GENERAL Aplicacin de una Auditoria Informtica de los Sistemas Informticos de la Unidad de Informtica de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo

2.4.2. OBJETIVOS ESPECIFICOS El presente proyecto de investigacin persigue los siguientes objetivos:

Determinar la capacidad de los Sistemas Informticos de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo.

Delinear los elementos de la Auditoria de los Sistemas Informticos.

Aplicar los lineamientos de Auditoria a los Sistemas Informticos de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo.

Elaborar la propuesta para el mejor

uso de la

capacidad instalada de los Sistemas Informticos de la Escuela de Postgrado de la Universidad Nacional Pedro Ruiz Gallo.

11

III. MARCO DE REFERENCIA DEL PROBLEMA

3.1 MARCO TERICO

3.1.1 SISTEMA INFORMTICO

En trminos genricos se puede afirmar que el sistema informtico es un conjunto de elementos interrelacionados entre s y relacionados a su vez con el sistema global en que se encuentra, que pretende conseguir unos fines determinados. Los elementos constitutivos de un sistema informtico sern fsicos, lgicos y humanos. Estructuralmente un sistema se puede dividir en partes pero, funcionalmente es indivisible, ya que si se dividiera perdera alguna de sus propiedades esenciales. As, un sistema informtico sin alguno de sus componentes, no funcionara. Como

caractersticas globales de un sistema informtico podramos sealar las siguientes:

Las propiedades o comportamiento de cada uno de los elementos del sistema influyen en las propiedades y funcionamiento del sistema completo.

El tipo de influencia que ejerce cada elemento del sistema depende, al menos, del comportamiento de otro elemento.

Cada sistema informtico se compone, a su vez, de subsistemas que son sistemas informticos por s mismo. Al final de la descomposicin se llegar al sistema informtico elemental (un ordenador y su equipo lgico). Habr que determinar en que sentido y nivel de descomposicin estamos hablando cuando nos referimos a un sistema informtico.

12

Normalmente, el rendimiento de un sistema informtico depende ms de la relacin y coordinacin entre sus componentes que del funcionamiento de cada uno de ellos individualmente. Por eso, a veces, el funcionamiento de un sistema informtico no se mejora usando los mejores componentes fsicos, lgicos y humanos sino armonizando y coordinando efectivamente sus relaciones.

3.1.1.1 COMPONENTES Y FUNCIONAMIENTO GENERAL DE UN SISTEMA INFORMTICO.

Un sistema informtico est compuesto por:

a) Componente fsico: que constituye el hardware del sistema informtico que lo conforman, bsicamente, los ordenadores, los perifricos y el sistema de

comunicaciones. Los componentes fsicos proporcionan la capacidad y la potencia de clculo del sistema informtico.

b) Componente lgico: que constituye el software del sistema informtico y lo conforman, bsicamente, tos programas, las estructuras de datos y la documentacin asociada El software se encuentra distribuido en el hardware y lleva a cabo el proceso lgico que requieren los datos.

c) Componente humano: constituido por todas las personas participantes en todas las fases de la vida de un sistema informtico (diseo, desarrollo,

implantacin, explotacin). Este componente humano es sumamente importante ya que los sistemas

informticos estn desarrollados por humanos y para uso de humanos.

13

Veamos, grficamente. la estructura de un sistema informtico genrico: El sistema informtico ha evolucionado desde una primera situacin en que todos los componentes del sistema (fsicos, lgicos y humanos) se encontraban centralizados en una sala de ordenadores a la situacin actual en que los componentes del sistema se encuentran, normalmente, ampliamente distribuidos en diferentes lugares fsicos. Este camino hacia la implantacin progresiva de sistemas distribuidos ha pasado por diferentes fases y se puede considerar que an no ha finalizado. Veamos estas fases ms detenidamente:

En una primera fase, al inicio de la informatizacin de las organizaciones, los recursos estn totalmente centralizados.

En una segunda fase, se distribuyen los componentes fsicos (y, en ocasiones, los humanos) del sistema. La capacidad de proceso y almacenamiento sigue estando centralizada pero las entradas y salidas de datos se han distribuido fsicamente (terminales "tontos"

conectados a un equipo central).

14

En una tercera fase se distribuyen, adems, los componentes lgicos del sistema Las capacidades de proceso tambin se empiezan a distribuir pero no totalmente (terminales con cierta capacidad de proceso conectados a un equipo central).

Por ltimo, se llega al modelo ms avanzado de informtica distribuida en que tanto la capacidad de proceso como la capacidad de almacenamiento s encuentran distribuidas en diferentes lugares.

Los sistemas distribuidos pueden organizarse de forma vertical o jerrquica y de forma horizontal.

En una organizacin horizontal todos los equipos tienen la misma "categora", es decir, no existe un equipo central sino un conjunto de equipos interconectados que cooperan entre s.

Por contra, en una organizacin vertical nos encontramos con varios niveles jerrquicos, entre los que podemos destacar:

El nivel ms alto de la jerarqua lo forman tos equipos ms potentes, del tipo de los mainframes y realiza los trabajos de la organizacin que necesiten mayores recursos. Este es el nivel de la Informtica Corporativa, que soporta el Sistema General de Informacin de la organizacin.

El segundo nivel en importancia es el de la Informtica Departamental, en el que nos encontramos con ordenadores menos potentes, del tipo de los

miniordenadores, que interaccionan con los mainframes

15

del nivel superior y con los ordenadores del nivel inferior. Actualmente, los miniordenadores de este nivel son sustituidos, cada vez con ms frecuencia, por redes locales de ordenadores.

El ltimo nivel de la jerarqua es el de la informtica Personal, constituido por los microordenadores o estaciones de trabajo que interactan con los

ordenadores de los niveles superiores a travs de redes de comunicaciones. Los ordenadores de este nivel suelen disponer de herramientas especializadas para el trabajo personal.

16

3.1.1.2.

TIPOS DE ARQUITECTURAS DE LOS SISTEMAS INFORMTICOS

Es un conjunto determinado de reglas, normas y procedimientos que especifican las interrelaciones que deben existir entre los componentes de un sistema informtico y las caractersticas que deben cumplir cada uno de estos componentes.

No se tratarn las distintas arquitecturas de un ordenador sino slo cmo los distintos tipos de ordenadores que pueden existir en un sistema

informtico pueden ser dispuestos para satisfacer las necesidades de una organizacin.

En la dcada de los 80 aparecieron los conceptos de mquina departamental y de ordenador personal y se desarroll el concepto de proceso distribuido con una arquitectura en tres niveles:

Mainframes:

ordenadores

centrales

donde

se

encontraban las aplicaciones corporativas.

- Mquinas departamentales: donde se desarrollaban aplicaciones tcnicas o cientficas y, frecuentemente, la entrada de datos.

Puestos de trabajo: conectados a los anteriores a travs de una red (terminales inteligentes o tontos).

A finales de los 80 se avanza en tomo al concepto de proceso cooperativo, que trata de aprovechar el poder potencial de las estaciones de trabajo y de los PC sin

17

por ello sustituir los mainframes. Se pretende hacerlos actuar no exclusivamente como terminales sino soportar parte del proceso que hasta ese momento era realizado por los ordenadores centrales y aprovechar de esa forma facilidades de edicin y presentacin de las herramientas de la estacin de trabajo.

A partir de este momento el mainframe aparece ms como un nodo dentro de la red empresarial de informacin que como el ncleo central de todos los catos y aplicaciones y surge un nuevo concepto d arquitectura que es el modelo cliente- servidor, en el que los elementos antes descritos trabajan como servidores, es decir, realizan funciones que pueden ser complejas, tales como servidores de bases de datos o simples como servidores de impresin. Los equipos son conectados a travs de una red por la que circulan procesos proporcionando la arquitectura las reglas por las que estos procesos son distribuidos. Cada proceso esta formado por una pareja (peticin y respuesta) donde la peticin es el cliente y el servidor la respuesta.

3.1.1.3

CLASIFICACIONES INFORMTICOS. Atendiendo al criterio

DE

LOS

SISTEMAS

de

las

prestaciones

que

proporcionan los sistemas informticos, stos se pueden clasificar en:

- Supercomputadores: equipos con gran capacidad de clculo. Suelen ser de tipo vectorial con varias CPU trabajando en paralelo. Se utilizan

frecuentemente en el entorno tcnico cientfico y en

18

la

realizacin

de

simulaciones.

Se

llega

elevadsimas prestaciones en la velocidad de proceso.

Sistemas

grandes

mainframes:

equipos

caracterizados por dar soporte a grandes redes de comunicaciones con multitud de usuarios.

Sistemas medios o miniordenadores: equipos con capacidad para soportar cientos de usuarios pero a un coste inferior al de tos sistemas grandes.

Estaciones de trabajo: equipos monousuarios muy potentes con gran Las velocidad de y elevadas ms

prestaciones.

estaciones

trabajo

modernas suelen ser de tecnologa RISC.

Microordenadores: equipos monousuario con, cada vez; mayores prestaciones. En este grupo podemos encontrar.

- Ordenadores profesionales. - Ordenadores personales. - Ordenadores domsticos.

Hay que tener presente que la diferencia entre los mainframes, miniordenadores y microordenadores es difcil de establecer, as por ejemplo un microordenador muy potente trabajando en un entorno multiusuario puede convertirse en miniordenador. Adems, no existen lmites claros entre los miniordenadores ms potentes y los mainframes ms pequeos y los criterios para clasificar un sistema en uno u otro tipo varan con el tiempo.
19

3.1.2 AUDITORIA

En la teora administrativa, el concepto de eficiencia ha sido heredado de la economa y se considera como un principio rector. La evaluacin del desempeo organizacional es importante pues permite establecer en qu grado se han alcanzado los objetivos, que casi siempre se identifican con los de la direccin, adems se valora la capacidad y lo pertinente a la practica administrativa. Sin embargo al llevar a cabo una evaluacin simplemente a partir de los criterios de eficiencia clsico, se reduce el alcance y se sectoriza la concepcin de la empresa, as como la potencialidad de la accin participativa humana, pues la evaluacin se reduce a ser un instrumento de control coercitivo de la direccin para el resto de los integrantes de la organizacin y solo mide los fines que para aqulla son relevantes. Por tanto se hace necesario una recuperacin crtica de perspectivas y tcnica que permiten una evaluacin integral, es decir, que involucre los distintos procesos y propsitos que estn presentes en las organizaciones, ello se logra con la auditoria.

3.1.2.1. Antecedentes

La auditoria es una de las aplicaciones de los principios cientficos de la contabilidad, basada en la verificacin de los registros patrimoniales de las haciendas, para observar su exactitud; no obstante, este no es su nico objetivo.

Su importancia es reconocida desde los tiempos ms remotos, tenindose conocimientos de su existencia ya en las lejanas pocas de la civilizacin sumeria.

Acreditase, todava, que el termino auditor evidenciando el titulo del que practica esta tcnica, apareci a finales del siglo XVIII, en Inglaterra durante el reinado de Eduardo I.

20

En diversos pases de Europa, durante la edad media, muchas eran encargaban destacndose las asociaciones profesionales, de ejecuta ellas funciones los de que se

auditorias, Londinenses

entre

consejos

(Inglaterra), en 1.310, el Colegio de Contadores, de Venecia (Italia), 1.581.

La revolucin industrial llevada a cabo en la segunda mitad del siglo XVIII, imprimi nuevas direcciones a las tcnicas contables, especialmente a la auditoria, pasando a atender las necesidades creadas por la aparicin de las grandes empresas (donde la naturaleza es el servicio es

prcticamente obligatorio).

Se preanuncio en 1.845 o sea, poco despus de penetrar la contabilidad de los dominios cientficos y ya el "Railway Companies Consolidation Act" obligada la verificacin anual de los balances que deban hacer los auditores.

Tambin en los Estados Unidos de Norteamrica, una importante asociacin cuida las normas de auditoria, la cual public diversos reglamentos, de los cuales el primero que conocemos data de octubre de 1.939, en tanto otros consolidaron las diversas normas en diciembre de 1.939, marzo de 1.941, junio de 1942 y diciembre de 1.943.

El futuro de nuestro pas se prev para la profesin contable en el sector auditoria es realmente muy grande, razn por la cual deben crearse, en nuestro circulo de enseanza ctedra para el estudio de la materia, incentivando el aprendizaje y asimismo organizarse cursos similares a los que en otros pases se realizan.

21

3.1.2.2. Definiciones

Inicialmente, la auditoria se limit a las verificaciones de los registros contables, dedicndose a observar si los mismos eran exactos.

Y, por lo tanto, esta era la forma primaria: Confrontar lo escrito con las pruebas de lo acontecido y las respectivas referencias de los registros.

Con el tiempo, el campo de accin de la auditoria ha continuado extendindose; no obstante son muchos los que todava la juzgan como portadora exclusiva de aquel objeto remoto, o sea, observar la veracidad y exactitud de los registros.

En forma sencilla y clara, escribe Holmes: "... la auditoria es el examen de las demostraciones y registros administrativos". El auditor observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos. Tomando en cuenta los criterios anteriores podemos decir que la auditoria es la actividad por la cual se verifica la correccin contable de las cifras de los estados financieros; Es la revisin misma de los registros y fuentes de contabilidad para determinar la racionabilidad de las cifras que muestran los estados financieros emanados de ellos.

22

3.1.2.3 Objetivo

El objetivo de la Auditoria consiste en apoyar a los miembros de la empresa en el desempeo de sus actividades. Para eilo la Auditoria les proporciona anlisis, evaluaciones,

recomendaciones, asesora e informacin concerniente a las actividades revisadas.

3.1.2.4. Finalidad

Los fines de la auditoria son los aspectos bajo los cuales su objeto es observado. Podemos escribir los siguientes:

1. lndagaciones patrimonial. 2. lndagaciones financieros.

determinaciones

sobre

el

estado

determinaciones

sobre

los

estados

3. lndagaciones y determinaciones sobre el estado reditual. 4. Descubrir errores y fraudes. 5. Prevenir los errores y fraudes. 6. Estudios generales sobre casos especiales, tales como:

a. Exmenes de aspectos fiscales y legales. b. Examen para compra de una empresa patrimonial). c. Examen para la determinacin de bases de criterios de prorrateo, entre otros. (cesin

Los variadsimos fines de la auditoria muestran, por si solos, la utilidad de esta tcnica.

23

3.1.2.5 Clasificacin de la Auditoria

a. Auditoria Externa Aplicando el concepto general, se puede decir que la auditoria Externa es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un Contador Pblico sin vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir una opinin independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento. El dictamen u opinin independiente tiene trascendencia a los terceros, pues da plena validez a la informacin generada por el sistema ya que se produce bajo la figura de la Fe Pblica, que obliga a los mismos a tener plena credibilidad en la informacin examinada.

La Auditoria Externa examina y evala cualquiera de los sistemas de informacin de una organizacin y emite una opinin independiente sobre los mismos, pero las

empresas generalmente requieren de la evaluacin de su sistema de informacin financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el trmino Auditoria Externa a Auditoria de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir Auditoria Externa del Sistema de Informacin Tributario, Auditoria Externa del Sistema de Informacin Administrativo, Auditoria Externa del Sistema de

Informacin Automtico etc. La Auditoria Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella informacin producida por los sistemas de la organizacin.
24

Una Auditoria Externa se lleva a cabo cuando se tiene la intencin de publicar el producto del sistema de

informacin examinado con el fin de acompaar al mismo una opinin independiente que le d autenticidad y permita a los usuarios de dicha informacin tomar decisiones confiando en las declaraciones del Auditor.

Una

auditoria

debe

hacerla

una

persona

firma

independiente de capacidad profesional reconocidas.

Esta persona o firma debe ser capaz de ofrecer una opinin imparcial y profesionalmente experta a cerca de los resultados de auditoria, basndose en el hecho de que su opinin ha de acompaar el informe presentado al trmino del examen y concediendo que pueda expresarse una opinin basada en la veracidad de los documentos y de los estados financieros y en que no se imponga restricciones al auditor en su trabajo de investigacin.

Bajo cualquier circunstancia, un Contador profesional acertado se distingue por una combinacin de un conocimiento completo de los principios y procedimientos contables, juicio certero, estudios profesionales adecuados y una receptividad mental imparcial y razonable.

b. Auditoria Interna La auditoria Interna es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un profesional con vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulacin interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Publica.
25

Las auditorias internas son realizadas por personal de la institucin. Un auditor interno tiene a su cargo el control permanente de las transacciones y operaciones y se preocupa en sugerir el mejoramiento de los mtodos y procedimientos de control interno que redunden en una operacin ms eficiente y eficaz.

Cuando la auditoria est dirigida por Contadores Pblicos profesionales independientes, la opinin de un experto desinteresado e imparcial constituye una ventaja definida para la empresa y una garanta de proteccin para los intereses de los accionistas, los acreedores y el Pblico. La imparcialidad e independencia absolutas no son posibles en el caso del auditor interno, puesto que no puede divorciarse completamente de la influencia de la alta administracin, y aunque mantenga una actitud

independiente como debe ser, esta puede ser cuestionada ante los ojos de los terceros. Por esto se puede afirmar que el Auditor no solamente debe ser independiente, sino parecerlo para as obtener la confianza del Pblico.

La auditoria interna es un servicio que reporta al ms alto nivel de la direccin de la organizacin y tiene

caractersticas de funcin asesora de control, por tanto no puede ni debe tener autoridad de lnea sobre ningn funcionario de la empresa, a excepcin de los que forman parte de la plana de la oficina de auditoria interna, ni debe en modo alguno involucrarse o comprometerse con las operaciones de los sistemas de la empresa, pues su funcin es evaluar y opinar sobre los mismos, para que la alta direccin torna las medidas necesarias para su mejor funcionamiento. La auditoria interna solo interviene en las operaciones y decisiones propias de su oficina, pero nunca en las operaciones y decisiones de la organizacin a la cual
26

presta sus servicios, pues corno se dijo es una funcin asesora.

c. Diferencias entre auditoria interna y externa: Existen diferencias substanciales entre la Auditoria Interna y la Auditoria Externa, algunas de las cuales se pueden detallar as:

En la Auditoria Interna existe un vnculo laboral entre el auditor y la empresa, mientras que en la Auditoria Externa la relacin es de tipo civil.

En la Auditoria Interna el diagnstico del auditor, esta destinado para la empresa; en el caso de la Auditoria Externa este dictamen se destina generalmente para terceras personas o sea ajena a la empresa.

La Auditoria Interna est inhabilitada para dar Fe Pblica, debido a su vinculacin contractual laboral, mientras la Auditoria Externa tiene la facultad legal de dar Fe Pblica.

27

3.1.3 EL AUDITOR

3.1.3.1 Definicin

Es aquella persona profesional, que se dedica a trabajos de auditoria habitualmente con libre ejercicio de una ocupacin tcnica.

3.1.3.2. Funciones generales

Para ordenar e imprimir cohesin a su labor, el auditor cuenta con un una serie de funciones tendientes a estudiar, analizar y diagnosticar la estructura y funcionamiento general de una organizacin.

Las funciones tipo del auditor son:

Estudiar la normatividad, misin, objetivos, polticas, estrategias, planes y programas de trabajo.

Desarrollar el programa de trabajo de una auditoria.

Definir

los

objetivos,

alcance

metodologa

para

instrumentar una auditoria.

Captar

la

informacin

necesaria

para

evaluar

la

funcionalidad y efectividad de los procesos, funciones y sistemas utilizados.

Recabar y revisar estadsticas sobre volmenes y cargas de trabajo.

Diagnosticar sobre los mtodos de operacin y los sistemas de informacin.

28

Detectar los hallazgos y evidencias e incorporarlos a los papeles de trabajo.

Respetar las normas de actuacin dictadas por los grupos de filiacin, corporativos, sectoriales e instancias

normativas y, en su caso, globalizadoras.

Proponer

los

sistemas

administrativos

y/o

las

modificaciones que permitan elevar la efectividad de la organizacin.

Analizar la estructura y funcionamiento de la organizacin en todos sus mbitos y niveles.

Revisar el flujo de datos y formas.

Considerar las variables ambientales y econmicas que inciden en el funcionamiento de la organizacin.

Analizar la distribucin del espacio y el empleo de equipos de oficina.

Evaluar los registros contables e informacin financiera.

Mantener el nivel de actuacin a travs de una interaccin y revisin continua de avances.

Proponer los elementos de tecnologa de punta requeridos para impulsar el cambio organizacional.

Disear y preparar los reportes de avance e informes de una auditoria.

29

3.1.3.3. Conocimientos que debe poseer Es conveniente que el equipo auditor tenga una preparacin acorde 'con los requerimientos de una auditoria administrativa, ya que eso le permitir interactuar de manera natural y congruente con los mecanismos de estudio que de una u otra manera se emplearn durante su desarrollo.

Atendiendo a stas necesidades es recomendable apreciar los siguientes niveles de formacin:

a. Acadmica Estudios a nivel tcnico, licenciatura o postgrado en administracin, informtica, comunicacin, ciencias

polticas, administracin pblica, relaciones industriales, ingeniera industrial, psicologa, pedagoga, ingeniera en sistemas, contabilidad, derecho, relaciones internacionales y diseo grfico. Otras especialidades como actuara, matemticas,

ingeniera y arquitectura, pueden contemplarse siempre y cuando hayan recibido una capacitacin que les permita intervenir en el estudio.

b. Complementaria Instruccin en la materia, obtenida a lo largo de la vida profesional- por medio de diplomados, seminarios, foros y cursos, entre otros.

c. Emprica Conocimiento resultante de la implementacin de auditorias en diferentes instituciones sin contar con un grado acadmico. Adicionalmente, deber saber operar equipos de cmputo y de oficina, y dominar l los idiomas que sean parte de la dinmica de trabajo de la organizacin bajo examen.
30

Tambin tendrn que tener en cuenta y comprender el comportamiento organizacional cifrado en su cultura.

Una actualizacin continua de los conocimientos permitir al auditor adquirir la madurez de juicio necesaria para l ejercicio de su funcin en forma prudente y justa.

3.1.3.4 Habilidades y destrezas

En forma complementaria a la formacin profesional, terica y/o prctica, el equipo auditor demanda de otro tipo de cualidades que son determinantes en su trabajo, referidas a recursos personales producto de su desenvolvimiento y dones intrnsecos a su carcter. La expresin de estos atributos puede variar de acuerdo con el modo de ser y el deber ser de cada caso en particular; sin embargo es conveniente que, quien se d a la tarea de cumplir con el papel de auditor, sea poseedor de las siguientes caractersticas: Actitud positiva. Estabilidad emocional. Objetividad. Sentido institucional. Saber escuchar. Creatividad. Respeto a las ideas de los dems. Mente analtica. Conciencia de los valores propios y de su entorno. Capacidad de negociacin. Imaginacin. Claridad de expresin verbal y escrita. Capacidad de observacin. Iniciativa.
31

 Discrecin. Facilidad para trabajar en grupo. Comportamiento tico.

3.1.3.5. Experiencia Uno de los elementos fundamentales que se tiene que considerar en las caractersticas del equipo, es el relativo a su experiencia personal de sus integrantes, ya que de ello depende en gran medida el cuidado y diligencia profesionales que se emplean para determinar el nivel de sus observaciones y sugerencias.

Por la naturaleza de la funcin a desempear existen varios campos que se tienen que dominar:

o Conocimiento de. las reas sustantivas de la organizacin. o Conocimiento de las reas adjetivas de la organizacin. o Conocimiento de esfuerzos anteriores Conocimiento de casos prcticos. o Conocimiento derivado de la implementacin de estudios organizacionales de otra naturaleza. o Conocimiento personal basado en elementos diversos.

3.1.3.6. Responsabilidad profesional

El equipo auditor debe realizar su trabajo utilizando toda su capacidad, inteligencia y criterio para determinar el alcance, estrategia y tcnicas que habr de aplicar en una auditoria, as como evaluar los resultados y presentar los informes correspondientes.

Para ste efecto, debe de poner especial cuidado en: Preservar la independencia mental.
32

 Realizar su trabajo sobre la base de conocimiento y capacidad profesional adquiridos. Cumplir con las normas o criterios que se le sealen. Capacitarse en forma continua Tambin es necesario que se mantenga libre de impedimentos que resten credibilidad a sus juicios, por que debe preservar su autonoma e imparcialidad al participar en una auditoria.

Es conveniente sealar, que los impedimentos a los que normalmente se puede enfrentar son: personales y externos.

Los primeros, corresponden a circunstancias que recaen especficamente en el auditor y que por su naturaleza pueden afectar su desempeo, destacando las siguientes: Vnculos personales, profesionales, financieros u oficiales con la organizacin que se va a auditar. Inters econmico personal en la auditoria. Corresponsabilidad en condiciones de funcionamiento incorrectas. Relacin con instituciones que interactan con la

organizacin. Ventajas previas obtenidas en forma ilcita o antitica.

Los segundos estn relacionados con factores que limitan al auditor a llevar a cabo su funcin de manera puntual y objetiva como son: Ingerencia externa en la seleccin o aplicacin de tcnicas o metodologa para la ejecucin de la auditoria. Interferencia con .los rganos internos de control.

33

 Recursos limitados para desvirtuar el alcance de la auditoria. Presin injustificada para propiciar errores inducidos. En estos casos, tiene el deber de informar a la organizacin para que se tomen las providencias necesarias.

Finalmente, el equipo auditor no debe olvidar que la fortaleza de su funcin est sujeta a la medida en que afronte su compromiso con respeto y en apego a normas profesionales tales como:

1. Objetividad.- Mantener una visin independiente de los hechos, evitando formular juicios o caer en omisiones, que alteren de alguna manera los resultados que obtenga.

2. Responsabilidad.- Observar una conducta profesional, cumpliendo con sus encargos oportuna y eficientemente.

3. Integridad.- Preservar sus valores por encima de las presiones.

4. Confidencialidad.- Conservar en secreto la informacin y no utilizarla en beneficio propio o de intereses ajenos.

5. Compromiso.- Tener presente sus obligaciones para consigo mismo y la organizacin para la que presta sus servicios.

6. Equilibrio.- No perder la dimensin de la realidad y el significado de los hechos.

7. Honestidad.- Aceptar su condicin y tratar de dar su mejor esfuerzo 'con sus propios recursos, evitando aceptar compromisos o tratos de cualquier tipo.
34

8.

Institucionalidad.- No olvidar que su tica profesional lo obliga a respetar y obedecer a la organizacin a la que pertenece.

9. Criterio.- Emplear su capacidad de discernimiento en forma equilibrada.

10. Iniciativa.- Asumir una actitud y capacidad de respuesta gil y efectiva.

11. Imparcialidad.- No involucrarse en forma personal en los hechos, conservando su objetividad al margen de preferencias personales.

12. Creatividad.- Ser propositivo e innovador en el desarrollo de su trabajo.

35

3.1.4 AUDITORIA DE SISTEMAS DE INFORMACIN

3.1.4.1 Definicin de Auditoria

Se define como un proceso sistemtico que consiste en obtener y evaluar objetivamente, evidencias sobre las afirmaciones relativas a los actos y eventos de carcter econmico, administrativo, operacional o de sistemas; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas.

3.1.4.2 Clasificacin de Auditoria

3.1.4.2.1 Auditoria Financiera

La

Auditoria

Financiera

efecta

un

examen

sistemtico de los estados financieros, los registros y las operaciones correspondientes, para determinar la observancia de los principios de contabilidad

generalmente aceptados, de las polticas de la administracin y de la planificacin.

3.1.4.2.2 Auditoria operativa"

"Un examen sistemtico de las actividades de una organizacin ( de un segmento estipulado de las mismas) en relacin con objetivos especficos, a fin de evaluar el comportamiento, sealar oportunidades de mejorar y generar recomendaciones para el

mejoramiento o para potenciar el logro de objetivos ".

36

3.1.4.2.3 Auditoria de Sistemas Informticos

Se encarga de llevar a cabo la evaluacin de normas, controles, tcnicas y procedimientos que se tienen establecidos en una institucin para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la

informacin que se procesa a travs de los sistemas informticos. La auditoria de sistemas Informticos es una rama especializada de la auditoria que promueve y aplica conceptos de auditoria en el rea de sistemas de informacin.

La auditoria de los sistemas informticos se define como cualquier auditora que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la

informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes.

El objetivo final que tiene el auditor de sistemas informticos es dar recomendaciones a la Direccin para mejorar o lograr un adecuado control interno en ambientes de tecnologa informtica con el fin de lograr mayor eficiencia operacional y administrativa.

3.1.4.2.3.1 Objetivos Especficos de la Auditoria de Sistemas Informticos.

1. Participacin en el desarrollo de nuevos sistemas: Evaluacin de controles. Cumplimiento de la metodologa.

37

2. Evaluacin de la seguridad en el rea informtica.

3. Evaluacin de suficiencia en los planes de contingencia. Respaldos, preveer qu va a pasar si se presentan fallas.

4. Opinin de la utilizacin de los recursos informticos. Resguardo y proteccin de activos. 5. Control de modificacin a las aplicaciones existentes. Fraudes. Control a las modificaciones de los programas.

6.

Participacin

en

la

negociacin

de

contratos con los proveedores.

7. Revisin de la utilizacin del sistema operativo y los programas Utilitarios. Control sobre la sistemas operativos. Programas utilitarios. utilizacin de los

38

8. Auditoria de la base de datos. Estructura sobre la cual se desarrollan las aplicaciones.

9. Auditoria de la red de teleprocesos.

10. Desarrollo de software de auditora.

Es el objetivo final de una auditora de sistemas bien implementada, desarrollar

software capaz de estar ejerciendo un control continuo de las operaciones del rea de procesamiento de datos.

3.1.4.2.3.2

Fines

de

la

Auditoria

de

Sistemas

Informticos

1.

Fundamentar la opinin del auditor interno y/o externos de los sobre sistemas la de

confiabilidad informacin.

2.

Expresar la opinin sobre la eficiencia de las operaciones en el rea de las Tecnologas de la Informacin.

3.1.4.2.3.3 Similitudes y diferencias con la auditora tradicional

A. Similitudes: No

se

requieren

nuevas

normas

de

auditora, son las mismas.

39

 Los elementos bsicos de un buen sistema de control contable interno siguen siendo los mismos; por ejemplo, la adecuada segregacin de funciones. Los propsitos principales del estudio y la evaluacin del control contable interno son la obtencin de evidencia para respaldar una opinin y determinar la base,

oportunidad y extensin de las pruebas futuras de auditora.

B. Diferencias: Se

establecen

algunos

nuevos

procedimientos de auditora. Hay diferencias en las tcnicas destinadas a mantener un adecuado control interno contable. Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una diferencia significativa es que en algunos procesos se usan

programas. El nfasis en la evaluacin de los sistemas manuales esta en la evaluacin de transacciones, mientras que el nfasis en los sistemas informticos, est en la evaluacin del control interno.

40

3.1.4.2.3.4 Aspectos del Medio Ambiente Informtico que afectan el enfoque Procedimientos de la Auditoria y sus Complejidad de los Sistemas.

Uso de lenguajes. Metodologas, son aquellos procesos que realizan las personas de acuerdo a su experiencias.

Centralizacin. Departamento de sistemas que coordina y centraliza todas las operaciones

relaciones los usuarios son altamente dependientes del rea de sistemas. 3.1.4.2.3.5 Controles del computador.

La

Automatizacin

de

los

Controles

Manuales Confiabilidad electrnica. Debilidades de las mquinas y tecnologa. Transmisin y registro de la informacin en medios magnticos, ptico y otros. Almacenamiento en medios que deben acceder a travs del computador mismo. Centros externos de procesamiento de datos. Dependencia externa.

41

3.1.4.2.3.6 Razones para la existencia de la Auditoria de Sistemas Informticos.

1. La informacin es un recurso clave en la empresa para: Planear el futuro, controlar el presente y evaluar el pasado.

2. Las operaciones de la empresa dependen cada vez ms de la sistematizacin

informtica.

3. Los riesgos tienden a aumentar, debido a: Prdida de informacin. Prdida de activos. Prdida de servicios/ventas. 4. La sistematizacin representa un costo significativo para La empresa en cuanto a: hardware, software y personal.

5. Los problemas se identifican slo al final.

6. El permanente avance tecnolgico.

42

3.1.4.2.3.7 Requerimientos del Auditor de Sistemas Informticos

1. Entendimiento

global

integral

del

negocio, de sus puntos claves, reas crticas, poltico. entorno econmico, social y

2. Entendimiento del efecto de los sistemas en la organizacin.

3. Entendimiento de los objetivos de la auditora.

4. Conocimiento

de

los

recursos

de

computacin de la empresa.

5. Conocimiento sistemas.

de

los

proyectos

de

3.1.4.2.3.8 Riesgos asociados al rea de los Sistemas Informticos

Hardware Descuido

falta

de

proteccin:

Condiciones inapropiadas, mal manejo, no observancia de las normas. Destruccin.

Software: Uso o acceso. Copia, Modificacin, Destruccin, Hurto. Errores u omisiones.

43

 La Auditoria sobre el Software incide en evaluar lo concerniente al adecuado uso o acceso de los programas, la destruccin del Software ya sea por distintas causas' (golpe, incendio, etc.), Copias piratas, Modificaciones, el hurto de programas por personas ajenas a la Unidad de

Informtica, errores que podra presentar el software.

Archivos: Usos o accesos. Copia, Modificacin, Destruccin, Hurto.

Organizacin: Inadecuada: no funcional, sin divisin de funciones. Falta de seguridad. Falta de polticas y planes.

Personal: Deshonesto, Incompetente y descontento.

Usuarios: Enmascaramiento, falta de autorizacin. Falta de conocimiento de su funcin.

44

3.1.5 NORMAS GENERALES PARA LA AUDITORA DE LOS SISTEMAS DE INFORMACIN La naturaleza especializada de la auditora a los sistemas de informacin (SI), as como las destrezas necesarias para llevar a cabo tales auditorias, requiere de estndares que aplican especficamente a la auditora de Sistema de Informacin. Uno de los objetivos de la Asociacin de Auditora y Control de los Sistemas de Informacin (Information. www.isaca.org) Systems es Audit and Control estndares Association, aplicables

promover

internacionalmente para cumplir con su visin. El desarrollo y difusin de los Estndares de Auditora de Sistemas Informticos son una piedra angular de la contribucin profesional de ISACA a la comunidad de auditora. La estructura para los Estndares de Auditora de Sistemas de Informacin brinda mltiples niveles de asesoramiento:

Los Estndares definen requisitos obligatorios para la auditora y el reporte de Sistemas Informticos Informan a: 1. Los auditores de Sistemas de Informacin respecto al nivel mnimo de desempeo aceptable requerido para cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. 2. La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales. 3. Los poseedores de la designacin de Auditor Certificado de Sistemas de Informacin (Certified Information Systems Auditor, CISA) respecto a los requisitos que deben cumplir. El incumplimiento de estos estndares puede resultar en una investigacin de la conducta del poseedor del certificado CISA por parte de la Junta de Directores de ISACA o del comit

45

apropiado de ISACA y, en ltima instancia, en sanciones disciplinarias. Las Directrices proporcionan asesoramiento en la aplicacin de los Estndares de Auditora de Sistemas de Informacin. El auditor de Sistemas de Informacin debe considerarlas al determinar cmo lograr la implementacin de los estndares, utilizar un buen juicio profesional en su aplicacin y estar dispuesto a justificar cualquier desviacin de las mismas. El objetivo de las Directrices de Auditora de Sistemas de Informacin es proporcionar mayor informacin con respecto a cmo cumplir con los Estndares de Auditoria de Sistemas de Informacin. Los Procedimientos proporcionan ejemplos de procedimientos que podra seguir un auditor de Sistemas de Informacin en el curso de un contrato de auditora. Los documentos sobre procedimientos proporcionan informacin sobre cmo cumplir con los estndares al realizar trabajos de auditora de SI, pero no establecen los requisitos correspondientes. El objetivo de los Procedimientos de Auditora de SI es proporcionar mayor informacin con respecto a cmo cumplir con los Estndares de Auditora de Sistemas de Informacin.

COBIT

(Control

Objectives

for

Information

and

related

Technology / Objetivos de Control para tecnologa de la informacin y relacionada), es el modelo para el Gobierno de la Tecnologa de la Informacin (TI) desarrollado por la Information Systems Audit and Control Association (ISACA) y el

Information and related Technology Governance Information and related Technology.

46

Tiene 34 objetivos nivel altos que cubren 215 objetivos de control clasificados en cuatro dominios:

a. El plan y Organiza. b. Adquiere y Pone en prctica c. Entrega y Apoya 1 d. Supervisa y Evala.

Enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de las Tecnologas de Informacin, apoya el alineamiento con el negocio y simplifica la implantacin del COBIT. La misin COBIT es " para investigar, desarrollar, hacer pblico y promover un juego autoritario, actualizado, internacional de objetivos de control aceptados e de tecnologa el de informacin por

generalmente directores

para

empleo "

cotidiano Los

comerciales

interventores.

gerentes,

interventores, y usuarios se benefician del desarrollo de COBIT porque esto les ayuda a entender sus sistemas de Tecnologas de la Informacin y decidir el nivel de seguridad (valor) y control que es necesario para proteger el activo de sus empresas por el desarrollo de un modelo de gobernacin de Tecnologas de la Informacin.

Independientemente de la realidad tecnolgica de cada caso concreto, COBIT determina, con el respaldo de las principales normas tcnicas internacionales, un conjunto de mejores prcticas para la seguridad, la calidad, la eficacia y la eficiencia en las Tecnologas de Informacin que son necesarias para alinear las Tecnologas de la Informacin con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeo,

47

el cumplimiento de metas y el nivel de madurez de los procesos de la organizacin.

Los recursos de COBIT deben utilizarse como fuente de asesoramiento con respecto a las mejores prcticas. El Marco Referencial de COBIT establece que: "Es responsabilidad de la gerencia salvaguardar todos los activos de la empresa. Para descargar esta responsabilidad, as como para lograr sus expectativas, la gerencia debe establecer un adecuado sistema de control interno. "COBIT proporciona un conjunto detallado de controles y de tcnicas de control para el entorno de

administracin/gestin de o sistemas de informacin. La seleccin del material ms relevante en COBIT aplicable al alcance de la auditoria en particular se basa en la seleccin de procesos especficos de COBIT para Tecnologas de la Informacin, considerando adems los criterios de informacin de COBIT. Tal como se define en el Marco Referencial de COBIT, cada uno de los siguientes elementos est organizado de acuerdo con el proceso de administracin/gestin de Tecnologas de la

Informacin. COBIT est destinado para ser utilizado por la gerencia de la empresa y por la gerencia de Tecnologas de la Informacin, as como por los auditores de SI; por 10 tanto, su utilizacin permite la comprensin de los objetivos del negocio, la comunicacin de las mejores prcticas y las recomendaciones que deben hacerse, basndose en una referencia de estndares comnmente comprendida y bien respetada. COBIT incluye Objetivos de Control-Declaraciones genricas tanto de alto nivel como detallado de un nivel mnimo de buen control. Prcticas de Control-Motivaciones prcticas y asesoramiento sobre "cmo implementar" los objetivos de control.

48

Directrices de Auditoria-Asesoramiento para cada rea de control sobre cmo obtener un entendimiento, evaluar cada control, evaluar el cumplimiento y sustanciar el riesgo de que los controles no se cumplan. Directrices Gerenciales-Asesoramiento sobre cmo evaluar y mejorar el desempeo del proceso de Tecnologas de la Informacin, utilizando modelos de madurez, mtricas y factores crticos de xito. Proporcionan hacia un una marco continua de y referencia proactiva

administrativo

orientado

autoevaluacin del control, enfocada especficamente en:

a. Medicin del desempeo Qu tan adecuadamente est apoyando la funcin de Tecnologas de la Informacin los requisitos del negocio? Las directrices gerenciales se pueden utilizar para apoyar talleres de autoevaluacin, y tambin se pueden utilizar para apoyar a la gerencia en la implementacin de procedimientos de monitoreo y mejora continuos, como parte de un esquema de gobernabilidad de las Tecnologas de la Informacin.

b. Perfil del control de las Tecnologas de la Informacin Cules procesos de las Tecnologas de la Informacin son importantes? Cules son los factores crticos de xito para el control?

c. Concientizacin Cules son los riesgos de no lograr los objetivos?

d. Benchmarking Qu hacen los dems? Cmo pueden medirse y compararse los resultados?

49

Las directrices gerenciales proporcionan ejemplos de mtricas que permiten la evaluacin del desempeo de de las Tecnologas de la Informacin en trminos del negocio. Los indicadores "claves de resultados identifican y miden los resultados de los procesos de las Tecnologas de la Informacin, y los indicadores claves de desempeo evalan lo bien que estn funcionando " los procesos, al medir los facilitadores del proceso. Los modelos y los atributos de madurez proporcionan evaluaciones de capacidad as corri benchmarking, ayudando a que la gerencia pueda medir la capacidad de control y pueda identificar vacos de control y determinar estrategias para su mejora.

ISACA ha definido este asesoramiento como el nivel mnimo de desempeo aceptable requerido para cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no hace declaracin alguna de que el uso de este producto garantizar un resultado satisfactorio. La publicacin no debe considerarse como incluyente de cualquier procedimiento y prueba

apropiado, o excluyente de otros procedimientos y pruebas que estn dirigidos razonablemente para la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier procedimiento o prueba especficos, el profesional de control debe aplicar su buen juicio profesional a las circunstancias de control especficas presentadas por el entorno particular de sistemas o de la tecnologa 'de informacin.

La Junta de Estndares de ISACA tiene el compromiso de realizar consultas extensas al preparar los Estndares, las Directrices y los Procedimientos de Auditora de Sistemas de Informticos. Antes de emitir cualquier documento, la Junta de Estndares emite borradores de los mismos y los expone a
50

nivel internacional para recibir comentarios del pblico en general. La Junta de Estndares tambin busca personas con pericia o inters especial en el tema bajo consideracin para consultarlos, cuando esto sea necesario.

La Junta de Estndares tiene un programa de desarrollo permanente y agradece los comentarios de los miembros de ISACA y de otras partes interesadas para identificar temas emergentes que requieran estndares nuevos. Toda

sugerencia se deber enviar por correo electrnico a (standards@isaca.org), por fax a (+1.847. 253.1443) o por correo (direccin al final del documento) a la Sede Internacional de ISACA, a la atencin del director de investigacin de estndares y relaciones acadmicas. Este material fue emitido el 15 de octubre de 2004.

Para la Auditoria de Sistemas Informticos hay que tener en cuenta:

A. Planeacin

a. Los Estndares de Auditora de SI de ISACA contienen los principios bsicos y procedimientos esenciales, identificados en letras en negrita, los cuales son obligatorios, junto con la documentacin relacionada.

b. El propsito de esta Norma de Auditoria de SI es establecer normas y brindar asesora sobre la

planeacin de una auditora.

51

B. Estndar

a.

El auditor de Sistemas Informticos debe planear la cobertura de la auditora de sistemas de informacin para cubrir los objetivos de la auditoria y cumplir con. las leyes aplicables y las normas profesionales de auditora.

b.

El auditor de SI debe desarrollar y documentar un enfoque de auditora basado en riesgos.

c.

El auditor de SI debe desarrollar y documentar un plan de auditora que detalle la naturaleza y los objetivos de la auditora, los plazos y alcance, as como los recursos requeridos.

d.

El auditor de Sistemas Informticos debe desarrollar un programa y/o plan de auditora detallando la naturaleza, los plazos y el alcance de los procedimientos' requeridos para completar la auditora.

C. Comentario

a. Para

una

funcin

de

auditoria

interna,

debe

desarrollarse/actualizarse un plan, al menos una vez al ao, para las actividades permanentes. El plan debe servir como marco de referencia para las actividades de auditora y servir para abordar las responsabilidades establecidas por el estatuto de auditora. El

nuevo/actualizado plan debe ser aprobado por el comit de auditora, en caso de que ste haya sido establecido.

52

b. Para el caso de una auditora externa de Sistemas Informacin, normalmente debe prepararse un plan para cada una de las tareas, sean o no de auditora. El plan debe documentar los objetivos de la auditora.

c. El auditor de Sistemas Informticos debe obtener un entendimiento de la actividad que est siendo auditada. El grado del conocimiento requerido debe ser

determinado por la naturaleza de la organizacin, su entorno y riesgos, y por los objetivos de la auditoria.

d. El auditor de Sistemas Informticos debe realizar una evaluacin de riesgos para brindar una garaf1ta razonable de que todos los elementos materiales sern cubiertos adecuadamente durante la auditora. En este momento, es posible establecer las estrategias de auditora, los niveles de materialidad y los recursos necesarios.

e. El programa y/o plan de auditora puede requerir ajustes durante el desarrollo de la auditora para abordar las situaciones que surjan (nuevos riesgos, suposiciones incorrectas o hallazgos en los

procedimientos ya realizados) durante la auditoria.

f.

Debe consultarse la siguiente documentacin para obtener ms informacin sobre la preparacin de un plan de auditora.

D. Fecha operativa

a. Esta Norma de Auditora de Sistemas Informticos est en

vigencia para todas las auditorias de sistemas de informacin que comiencen a partir del 1 de enero de 2005.

53

54

3.1.6 AUDITORIA FISICA

A) OBJETIVO

El objetivo general de la auditoria fsica es evaluar la funcionalidad, racionalidad y seguridad de los medios fsicos, as como tambin comprobar la existencia de los mismos. Estos medios son: Edificio, Instalaciones, Personas. Equipamiento y Telecomunicaciones Datos y

B) ALCANCE

La Auditoria Fsica que se est realizando en la Escuela de Postgrado perteneciente a la Universidad Nacional Pedro Ruiz Gallo, involucra la Unidad de Informtica como tambin al personal que labora en ella.

El Alcance de esta auditoria son: Revisar las disposiciones y reglamentos que conlleven al mantenimiento orden dentro de la Unidad de Informtica. Verificar que el edificio e instalaciones de la Unidad de Informtica contemplen las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. Verificar el diseo arquitectnico de la edificacin, as corno tambin la distribucin de los departamentos de la Unidad de Informtica. Evaluar el equipo con el que se cuenta actualmente, sus instalaciones elctricas y el cableado de la red.

55

 Analizar la existencia de medidas de evacuacin, alarmas como deteccin de incendios y salidas alternativas.

C) METODOLOGIA A UTILIZAR

Las acciones que hemos empleado para el desarrollo de la auditoria fsica es:

1. Recopilacin de la informacin.

Mtodos:

a) Observacin

Es un elemento fundamental de investigacin que permite comprobar la veracidad de los datos y las entrevistas y otras implicancias relacionadas con la Auditoria Informtica

b) Encuesta La encuesta que se llev a cabo nos proporcion informacin sobre la existencia del inventario del equipo informtico, el control que se realiza con stos y una relacin de productos instalados en la unidad de informtica. (VER ANEXO N 02)

o Definimos las preguntas que se iban a realizar en la encuesta por medio de un cuestionario check - list.

o Este modelo de encuesta fue entregado a la persona encargada de la Unidad con la finalidad de obtener la opinin.

56

c) Lectura de documentos fuentes

1. Para recopilar datos sobre los equipos existentes en la Unidad de Informtica como fue el Inventario de Hardware.

2. Tratamiento de la informacin recopilada que comprende el anlisis y evaluacin de dicha informacin para detectar los problemas habidos y por haber.

3. Consultar a tcnicos' y personas de experiencia casos que escapan a nuestro conocimiento.

4. Elaboracin del informe de auditoria fsica en el cual se reflejarn los problemas que atenten contra los daos fsicos tanto del equipo informtico como del personal as corno la seguridad de stos, dentro de la Unidad de Informtica de la Escuela de Postgrado.

57

3.1.7 AUDITORIA OFIMTICA.

El trmino ofimtica est definido como el sistema informtico que se genera, procesa, almacena, recupera, comunica y presenta datos relacionados con el funcionamiento de la oficina.

El entorno ofimtica, adems de posibilitar la realizacin del trabajo personal de cada empleado, debe permitir intercambiar la

informacin necesaria en los diversos procesos de la organizacin, as como posibles interacciones con otras organizaciones.

Durante los ltimos aos se ha incrementado la oferta de aplicaciones ofimtica, debido principalmente al desarrollo de las comunicaciones.

En esta parte del estudio recabaremos informacin escrita de la empresa, en donde figuran todos los elementos fsicos y lgicos de la instalacin. Es conveniente que en el inventario fsico figuren igualmente las lneas disponibles con los datos fundamentales de cada una de ellas. El inventario de software debe contener todos los productos lgicos del sistema desde el software bsico hasta los programas de utilidad adquiridos o desarrollados internamente. La gestin de recursos humanos ya sea capacitaciones o nivel, de conocimientos tambin se debe considerar.

a. Definicin

Evaluacin

del

sistema

informtico

que

Genera,

Procesa,

Almacena y Presenta Datos relacionados con el funcionamiento de la oficina con la finalidad de salvaguardar los activos, mantener la integridad de los datos, llevar eficientemente los recursos y aplicar adecuadamente los procedimientos y estndares establecidos.

58

b. Objetivo

El objetivo general d la Auditoria Ofimtica es evaluar la funcionalidad, racionalidad y seguridad de las herramientas informticas utilizadas en la Unidad de Informtica de la Escuela de Postgrado:

c. Alcance

La auditoria de la ofimtica realizada a la Escuela de Postgrado Involucra a la Unidad de Informtica.

El alcance de esta auditoria evala los siguientes aspectos:

o El Inventario de ofimtica. o Adquisicin de equipos y aplicaciones. o Poltica de mantenimiento de los equipos. o Cambio de aplicaciones o versiones. o Capacitacin del personal y la documentacin de apoyo. o Revisar las medidas de seguridad adoptadas en cuanto a aplicaciones se refiere. o Evaluacin de equipos y aplicaciones para ver si se ajustan a las necesidades del estudio. o Generacin de copias de seguridad y la recuperacin de la informacin. o Funcionamiento interrumpido de las aplicaciones. o Infeccin de virus. o Copias ilegales.

d. Documentos Fuentes:

Resumen de inventario del hardware con el que cuenta la Unidad de Informtica. (Anexo N 03).

59

e.Metodologa a utilizar:

La metodologa empleada que hemos utilizado para el desarrollo de la auditoria ofimtica es:

Recopilacin de la Informacin. Mtodos Entrevista: La entrevista se ha llevado a cabo para la recopilacin de datos que nos darn referencia de la situacin ofimtica actual de la Unidad de Informtica. (Anexo N 4).

- Definicin con anterioridad de las preguntas para la entrevista.

- Solicitando la participacin del Encargado de la Unidad de Informtica Durante La Entrevista.

Encuesta: La encuesta que se ha llevado a cabo nos proporcion informacin sobre la existencia del inventario, el control que se realiza con esta y una relacin de productos instalados en la Unidad de Informtica. (Anexo N 05).

Lectura de Documentos Fuentes: Para recopilar datos sobre los equipos existentes en la Unidad Informtica y Multimedia nos hemos guiado del Inventario de Hardware.

60

3.1.8 AUDITORIA DE DIRECCION

Toda organizacin es el reflejo de las caractersticas de su direccin, de all que la auditoria de la direccin se entiende como la gestin de la informtica, abarcando las actividades bsicas de todo proceso de direccin: Planificar, Organizar, Coordinar y Controlar.

Planificar, cuando se trata de prever la utilizacin de las tecnologas de la informacin en la Instruccin, elaborando para ello los planes informticos.

Organizar, cuando se estructuran los recursos, los flujos informticos y los controles que permitan alcanzar los objetivos trazados durante la planificacin.

Coordinar, involucra la comunicacin y entendimiento para debatir los grandes asuntos de la informtica que afectan a toda la Institucin y permite a los usuarios conocer las necesidades del conjunto de la organizacin y participar en las soluciones que planteen.

Controlar,

consiste

en

controlar

efectuar

un

seguimiento

permanente de las actividades y vigilar el desarrollo de los planes estratgicos, operativos y de los proyectos que se desarrollan, todo ello dentro del respeto a la normativa legal aplicable.

a) Definicin: Estudio de las funciones que realiza el personal directivo como son: Planificar, organizar, coordinar y controlar las actividades propias de] rea en estudio con el fin de evaluar y brindar sugerencias para alcanzar los objetivos y metas ti azadas por la organizacin.

b) Objetivo Evaluar la gestin de la direccin de la institucin, a travs del desarrollo y adecuacin de los planes as como la adecuada
61

planificacin de los Sistemas de Informacin para el procesamiento de los datos.

c) Alcance: La auditoria de la direccin realizada en la Unidad de Informtica de la Escuela de Postgrado.

El alcance de esta auditoria involucra los siguientes aspectos:

Plan Estratgico de la Institucin. Tecnologas Informticas desde le punto de vista de su contribucin de los fines de la Institucin.

Asignacin de recursos a las tareas y actividades presentes en el plan.

Descripcin de los puestos de trabajo. Evaluar la comunicacin entre el jefe de la Unidad y los empleados. Planificar los requerimientos de tecnologa de cada uno de los usuarios.

Las plizas de seguro y evaluar su cobertura existente. Gestin de recursos humanos: seleccin, evaluacin del

desempeo promocin del personal, contrato y finalizacin de un empleado.

d) Documentos Fuentes:

Manual de Organizacin y Funciones de la Escuela de Postgrado.

Actualmente la Unidad de Informtica no cuenta con:

Manual de Organizacin y funciones Plizas de Seguro. Metodologa de planificacin. Normativa empresarial documentada. Manual de Organizacin y funciones.

62

e) Metodologa a Utilizar: La metodologa empleada en el desarrollo de al auditoria de la direccin es:

Recopilacin de Informacin Mtodos

ENTREVISTA: La entrevista se ha llevado a cabo para la recopilacin de datos que nos darn referencias de la situacin actual de gestin de direccin de la Unidad de Informtica (ANEXO N 06).

Tratamiento de la informacin recopilada, que comprende el anlisis y la evaluacin de dicha informacin para detectar los problemas habidos y por haber.

Elaboracin del informe de auditoria de la direccin, en el cual se reflejarn los problemas que atentan contra el normal

funcionamiento de la gestin de la direccin en la empresa.

Elaboracin de un segundo informe de auditoria de direccin, en el cual se solucionarn los problemas encontrados.

63

3.1.9 AUDITORIA DE DESARROLLO

Para tener una buena administracin por proyectos se requiere que el analista o el programador y su jefe inmediato elaboren un plan de trabajo en el cual se especifiquen actividades, metas, personal participante y tiempos. Este plan debe ser revisado peridicamente (semanal, mensual, etc.) para evaluar el avance respecto a lo programado. La estructura estndar de la planeacin de proyectos deber incluir la facilidad de asignar fechas predefinidas de terminacin de cada tarea. Dentro de estas fechas debe estar el calendario de reuniones de revisin, las cuales tendrn diferentes niveles de detalle.

El objetivo del control de diseo de sistemas y programacin es asegurarse de que el sistema funcione conforme a las

especificaciones funcionales, a fin de que el usuario tenga la suficiente informacin para su manejo, operacin y aceptacin. Las revisiones se efectan en forma paralela desde el anlisis hasta la programacin y sus objetivos que son los siguientes:

ETAPA DE ANLISIS Identificar inexactitudes, ambigedades y omisiones en las especificaciones.

ETAPA DE DISEO Descubrir errores, debilidades, omisiones antes de iniciar la codificacin.

ETAPA DE PROGRAMACIQN Buscar la claridad, modularidad y verificar con base en las especificaciones.

Esta actividad es muy importante ya que el costo de corregir errores es directamente proporcional al momento que se detectan: si se descubren en el momento de programacin ser ms alto que si se detecta en la etapa de anlisis.

64

a) OBJETIVO:

Verificar la existencia y aplicacin de procedimientos de control adecuados que permitan garantizar el desarrollo de sistemas de informacin y si se han llevado a cabo segn los principios de Ingeniera del Software, o por el contrario determinar las deficiencias que existen al respecto y los riesgos asociados a estas carencias de control.

b) ALCANCE

Evaluar los diferentes procedimientos y tcnicas utilizadas para el desarrollo de los sistemas de informacin de la escuela de Postgrado.

c) METODOLOGA

Conocer las tareas que se realizan en el rea de desarrollo, algunas de las funciones son: Planificacin. Desarrollo de sistemas. Estudio de nuevos lenguajes, tcnicas, metodologas, estndares, herramientas, etc. Establecimiento de un plan de capacitacin Establecimientos de normas y controles. Se procede a la auditoria; la cual se subdivide en:

Auditoria de la organizacin y gestin del rea de desarrollo Auditoria de proyectos de desarrollo de sistemas de

informacin. (Anexo N 07).

65

3.1.10 AUDITORIA DE BASE DE DATOS

Todo sistema de informacin manipula datos, los cuales pasan por tres fases determinadas las cuales son: ingreso, proceso y salida. Los datos ingresados al sistema son almacenados en la base de datos previa validacin, al realizar transacciones y/o operaciones se accede a dicha base para manipularlos a travs de los procesos respectivos para luego actualizarlos o procesar la informacin que se desea obtener a travs de un medio de salida. Esto nos demuestra que la base de datos es el corazn mismo del sistema y los datos es el recurso fundamental de las empresas, para los cuales se deben establecer ciertos controles que nos permitan asegurar su integridad y seguridad.

a. OBJETIVO

El objetivo de esta auditoria consiste en verificar: o La existencia y aplicacin de procedimientos de control adecuados para la integridad de la informacin de la base de datos de la institucin. o La confidencialidad en la informacin almacenada en la base de datos. o La seguridad de la bas de datos existente.

b. ALCANCE DE LA AUDITORIA

La auditoria de la base de datos, ha sido realizada en Unidad de Informtica de la Escuela de Postgrado.

Las limitaciones del equipo auditor son: Econmicas, debido a la inversin que requiere el contrato de personal especializado y mi condicin de estudiante, el auditor no ha podido, "realizar de forma satisfactoria' esta auditoria, ya
66

que la informacin de evaluar una Base de datos elaborado en ACCESS no habra brindado mucha informacin. Tiempo, debido a la carga acadmica de] auditor, as como el tiempo que dispone la persona que elabora en dicha oficina, es por ello que el auditor no pudo realizar las pruebas de verificacin y corroboracin de la informacin recibida.

c. METODOLOGIA

La metodologa empleada para el desarrollo de la auditoria de la base de datos es:

1. Recopilacin de la informacin Mtodos

ENTREVISTA: La entrevista se ha llevado a cabo para la extraccin de informacin que nos dar referencia de la situacin actual del manejo de la base de datos. (Anexo N 8).

ENCUESTA: Encuesta realizada a la personal encargado del desarrollo de la base de datos de la Unidad. (Anexo N 9).

2. Tratamiento de la informacin recopilada

Comprende el anlisis y la evaluacin de dicha informacin para detectar los problemas habidos y por haber.

3. Elaboracin del Informe de auditoria de la Base de Datos

En el presente informe se reflejarn los problemas que atenten contra el normal funcionamiento de la base da datos.

67

3.1.11. AUDITORIA DE RED

Red es un conjunto de computadoras y dispositivos que se comunican entre si proporcionando entorno necesario para que los usuarios desde diferentes ubicaciones tengan acceso en condiciones similares a la Informacin.

a. OBJETIVOS:

Evaluar y Analizar la Red de la Unidad de Informtica, de la Escuela de Postgrado de la Universidad Pedro Ruiz Gallo, su performance y funcionamiento.

Revisar y Verificar los procedimientos de manejo y administracin de esta red y proponerlos en caso no existan.

Definir que la funcin de gestin de redes y comunicaciones esta claramente definida.

Evaluar los componentes fsicos de la red.

Evaluar los controles de eficiencia y eficacia de la red.

b. ALCANCE:

Para llevar a cabo el estudio de la Red de la Unidad de Informtica, el alcance se ha dividido en las siguientes partes:

Diseo lgico de la red:

Evaluar

el

diseo

lgico los

de

la

red

existente necesarios

hacer el

recomendaciones

sobre

cambios

para

desempeo y/o confiabilidad, con base en las necesidades actuales. y futuras.

68

Diseo fsico de la red:

Evaluar toda la infraestructura de cableado para determinar la fuente de los problemas de desempeo en tina red existente o probar si la Infraestructura actual puede utilizarse con una nueva tecnologa de red.

Desempeo de la red:

Evaluar el desempeo de la red y hacer recomendaciones de cmo mejorarlo.

Las limitaciones del Auditor son:

Econmicas,

Debido

nuestra

condicin

de

estudiantes

dependientes econmicamente.

Tiempo, Debido a la carga acadmica del Equipo Auditor.

Confidencialidad institucional, Debido a las condiciones que la Escuela de Postgrado impone.

69

IV. MARCO EMPRICO

4.1 TIPO DE INVESTIGACIN:

Diagnstico - Propositiva.

Fue Diagnstica porque ha permitido conocer la realidad del Sistema Informtico, mediante la aplicacin de una Auditoria Especializada.

Es Propositiva en la medida que lo arrojado por el diagnstico nos ha permitido elaborar una propuesta para el mejor funcionamiento y uso del sistema informtico de la Escuela de Postgrado.

4.2 DISEO DE LA INVESTIGACIN:

El diseo ha sido Descriptivo Correlacional, que se representa as:

Donde: M : Muestra de estudio. O : Observacin de la variable: Sistema Informtico

4.3 POBLACIN Y MUESTRA DE ESTUDIO

La poblacin es todos los Sistemas Informticos del rea de la Unidad de Informtica de la Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo" que consta de equipos con el cual he trabajado por ser pequeo.

70

4.4 RECOLECCIN DE LA INFORMACIN

Tcnica de Gabinete: Permite la recoleccin del material bibliogrfico, mediante el fichaje, seleccin e interpretacin del mismo.

Tcnica de Campo: Recoleccin de la Informacin, mediante la aplicacin de cuestionarios para los que trabajan en el rea de informtica, entrevista a profesores expertos, alumnos y observacin de la realidad del proceso de uso de la red informtica.

71

V. MATERIALES Y MTODOS

5.1. AREA DE ESTUDIO - UBICACION

El rea comprendida como influencia del presente trabajo es la Escuela de Postgrado de la ciudad de Lambayeque, ubicada en la Provincia de Lambayeque, departamento de Lambayeque.

5.2. TIPO DE ESTUDIO

El tipo de estudio fue de Constatacin, y la Auditoria del Sistema Informtico que se desarroll fue muy confiable ya que me ha permitido tener conocimiento exacto del funcionamiento del Sistema Informtico de la Unidad de Informtica de la Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo".

5.3 POBLACIN DE ESTUDIO

Fue el conjunto del Sistema Informtico que posee la Escuela de Postgrado de la Universidad Nacional "Pedro Ruiz Gallo" de la Ciudad de Lambayeque.

72

VI. ANLISIS DE LA INFORMACIN RECOGIDA 6.1. PROBLEMAS ENCONTRADOS EN LA AUDITORIA FSICA A. Situacin Actual

De acuerdo a la investigacin realizada, se han observado las siguientes situaciones:

1. Sobre Seguridad Fsica El rea auditada cuenta con un local propio en la Escuela de Postgrado, donde est funcionando La Unidad de Informtica e Internet (ANEXO N 01). Los ambientes son apropiados en cuanto a dimensin

ambientacin, iluminacin y ventilacin. Se verific que el rea cuenta con un su ambiente respectivo pero supervisadas por el encargado de dicha Unidad. El tendido de la red en el rea es el adecuado ya que se encuentra protegido, no exponindose a posibles cortos circuitos y/o cada de la red. No cuenta con servicio de vigilancia exclusiva para la Unidad Existen prohibiciones para el consumo de alimentos bebidas y cigarrillos dentro de la Unidad pero no se encuentra debidamente sealizado mediante carteles de prohibicin para los usuarios. Las Salidas de Emergencia no estn debidamente sealizadas. El rea cuenta con un extintor automtico a Base de gas, el cual no est debidamente sealizado. La Escuela de Postgrado, no cuenta con un plan ante desastre, por lo que se corre riesgos tanto el personal como para el equipo.

73

2. Sobre el Personal En el Manual de Funciones no se especifican detalladamente de las funciones por lo que el personal no sabe ciencia cierta hasta que punto pueden llegar a desenvolverse. No se brinda capacitacin al personal para actuar en caso de emergencias. El personal que se encuentra laborando en la Unidad de Informtica no cuentan con seguros de respaldo. El personal no cuenta con el control de acceso respectivo. Existe la vigilancia adecuada del comportamiento del personal que maneja el sistema de cmputo con el fin de mantener una buena imagen y evitar un posible fraude.

3. Sobre los Equipos Informticos El servidor de red se encuentra en un lugar no visible y restringido para los usuarios. El mantenimiento es un gasto peridico. No cuenta con ningn tipo de seguros en caso de provocarse algn accidente en esta rea. El contrato de mantenimiento se realiza cuando el encargado de la Unidad no pueda detectar o solucionar la falla del equipo. No existe una empresa con la cual se realicen los contratos de mantenimiento de manera fija. El mantenimiento lo realiza el encargado de la Unidad. 4. Plan de Contingencia. Actualmente la Unidad de Informtica no cuenta con un plan de contingencia el cual ayude a lograr la operatividad de la Unidad.

74

5. Sobre los Datos. Los backups de la informacin existentes son realizados semanalmente. Slo se almacenan informacin con relacin a los documentos enviados o recibidos en la Unidad. La informacin con respecto al inventario del equipo de cmputo se encuentra almacenada en archivos de Excel y Word. No se cuenta con una base de datos respectiva que almacene la informacin con respecto al personal y equipo respectivo de la Unidad. Si se cuenta con claves de acceso para la obtencin de la informacin por parte del personal.

6. Sobre los Contratos de Seguros Actualmente el personal de la Unidad de Informtica no cuenta con ningn tipo de seguro. No existe cobertura de seguro para los equipos (Hardware) en caso de robo, fraude y otros.

B. Consecuencias

1. Sobre Seguridad Fsica Perdida de la informacin confidencial de la Escuela por falta de control de acceso a la Unidad. Producirse deterioros en los equipos informticos por el

desconocimiento de las prohibiciones dadas en la Unidad por parte de los usuarios. Producirse un incendio y no ser detectado o sofocado a tiempo por falta de medidas contra este tipo de catstrofe.

75

2. Sobre el Personal Desactualizacin del personal ante los avances tecnolgicos de la computacin informtica. Incumplimiento en la realizacin de sus funciones designadas. Desorientacin del personal en el cumplimiento de sus funciones ante la mala elaboracin del Manual de Organizacin y Funciones.

3. Sobre los Equipos Informticos. Prdida o robo de equipo informtico por falta se seguridad exclusiva a la Unidad. Deterioro del equipo informtico. No detectar a tiempo fallas producidas en el equipo informtico. 4. Plan de Contingencia. No se puede hacer frente a algunos problemas que se presenten en la institucin. Retraso en las gestiones de solucin. Prdida econmica por transacciones inconclusas. 5. Sobre los Datos. Prdida o deterioro de los archivos de inventario o de otra informacin. Acceso a la informacin por parte de personas ajenas a la Unidad. 6. Sobre los Contratos de Seguros Prdida considerable para la Escuela en caso de desastres, robo, fraude y otros hechos.

76

C. Recomendaciones

1. Sobre Seguridad Fsica Contar con personal de seguridad propio, asignndole responsabilidad a una persona confiable y responsable. Se deben establecer medidas de seguridad en cuanto al control de acceso de personas extraas al recinto de la Unidad de Informtica. Sugerir la adquisicin de basureros, al menos dos para cada uno de los ambientes. Contar con registro de incidencias. Colocar Carteles que prohban el consumo de Alimentos, Bebidas y Cigarrillos dentro de la Unidad. Sealizar debidamente las salidas de Emergencia. Ubicar el extintor en un lugar accesible, libre de toda clase de obstculos a 1.70 cm. del suelo y debidamente sealizado. Adquirir dispositivos que detecten humo y fuego. Contar con una agenda de nmeros telefnicos en casos de emergencia. Tener una buena relacin con las fuerzas del orden, bomberos u otros, con el Fin de obtener sus beneficios como la realizacin de actividades preventivas de simulacro, inspecciones, etc. Establecerse sealizacin y megafona de emergencia, tanto externa como interna.

la

2. Sobre el Personal Desarrollar cursos peridicos (como mnimo 3 veces por ao) sobre: - Administracin de redes informticas. - Ensamblaje de Microcomputadoras. - tica Profesional.

77

 Coordinar con Defensa Civil y los Bomberos con el fin de que capaciten al personal en casos de incendio, desastres, inundaciones, etc. Elaborar un Manual de Organizacin y Funciones con las actualizaciones requeridas y difundirlo al personal. Elaborar y Establecer polticas de evaluacin del personal. Establecer Mecanismos de seleccin de personal. Solicitar antecedentes personales. Solicitar recomendaciones. Solicitar nivel de desempeo. Solicitar experiencia Laboral. Llevar acabo convenios con otras instituciones para capacitar a su personal, mediante el desarrollo de cursos. Hacer un seguimiento de la asistencia y desempeo del personal capacitado. La capacitacin por parte de la Institucin se dar al personal de mejor desempeo. El Personal capacitado esta facultado para ensear lo aprendido al resto del personal. Brindrseles un seguro en caso de accidentes. Brindar una buena atencin a los usuarios como el apoyo en: Consultas, Preguntas Frecuentes, Resolucin de problemas, Asesoramiento.

3. Sobre los Equipos Informticos Asesoria permanente, del proveedor. Contar con un almacn de piezas y dispositivos de reemplazo en caso ocurriera una falla. Realizar el mantenimiento de los Equipos Informticos de la Unidad de Informtica de forma peridica por parte del Personal.

capacitacin, conversin y prueba del

equipo, experiencia y el tiempo de garanta disponible por parte

78

 Disponer de un aporte Econmico por parte de la Escuela de Postgrado para la actualizacin de los Equipos en la Unidad de Informtica.

4. Plan de Contingencia Realizar un plan de contingencia ante desastres y la difusin del mismo. Elaborar un plan de contingencia acorde con la realidad actual. 5. Sobre los Datos Realizar backups peridicamente de los archivos almacenados en el servidor. Elaborar una base de datos para mantener la informacin en forma ordenada y de rpida obtencin. Establecer un procedimiento de etiquetacin de la informacin. Utilizar mtodos para la captura de los accesos a los documentos y de las transacciones.

6. Sobre los Contratos de Seguros Proponer al Director de la Escuela de Postgrado la adquisicin de seguros contra siniestros (sismo, incendio, robos, etc.) que cubran de manera global a la Escuela de Postgrado y por consecuente a la Unidad de Informtica frente a cualquier siniestro.

79

6.2 PROBLEMAS ENCONTRADOS EN LA AUDITORIA OFIMTICA

Existe un resumen, de inventario de hardware hasta la 3 semana de Julio del 2005 pero no es el adecuado slo se detallan datos generales (Anexo N 03).

A. Situacin Actual

No existe un inventario del Software Posible sustraccin de licencias de programas. Actualizacin y borrado de las aplicaciones sin previa autorizacin. Adquisicin e instalacin de aplicaciones existentes o con versiones inferiores.

Ubicacin de las aplicaciones en reas no designadas. Prdida de recursos.

Reemplazo de recursos. Insuficiente conocimiento de las utilidades y capacidades de los equipos y aplicaciones no existen programas de capacitacin para que el personal se adapte a las nuevas tecnologas adquiridas.

No se realizan copias de seguridad ya que no existe informacin que salvaguardar.

No se cuenta con manuales de usuario.

B. Consecuencias:

Prdida de eficacia y eficiencia en su utilizacin. Retrazo en ciertas actividades en caso de ausencia del personal capacitado.

Manipulacin

incorrecta

por

desconocimiento

falta

de

aprovechamiento de la informacin impartida.

La falta de programa de capacitacin traer como consecuencia la desactualizacin del personal tardndose ms tiempo en la actualizacin de los cambios.

80

La falta de disponibilidad de datos vitales para reanudar las operaciones, generara la paralizacin de los sistemas, causando considerables prdidas econmicas.

Prdida o alteracin de datos. Ante cualquier inconveniente los usuarios no tienen un medio de consulta.

C. Recomendaciones:

Realizar un inventario de la totalidad del hardware y software existentes en la unidad de informtica y organizndolo por necesidades.

Asignar a un responsable con conocimiento de computacin para la actualizacin del inventario de aplicaciones.

Establecer un plan de capacitacin con objetivos, metas y estrategias claramente definidas y programadas.

Entregar la documentacin de la operatividad del producto. Tener fcil acceso a la documentacin operativa del producto en caso de necesidad.

Evaluacin constante del personal en el uso correcto de la operatividad del producto asignado.

Asignar la responsabilidad de la realizacin de copias de seguridad de la informacin vital verificando su periocidad.

Verificar el adecuado almacenamiento y fiabilidad de las copias de seguridad realizadas.

Realizar un inventario de los soportes que contienen las copias de seguridad y de la informacin contenida en ella.

Cuando las aplicaciones se desarrollen por personal Interno a la Escuela se debe definir una metodologa dentro de la cual se tome en cuenta la creacin de dichos manuales.

Ubicacin de los manuales de usuario de manera que se encuentren accesible al personal de oficina e incentivar su uso.

81

6.3 PROBLEMAS ENCONTRADOS EN LA AUDITORIA DE DIRECCIN

A. Situacin Actual No se tiene una Planificacin Estratgica documentada de la Unidad de Informtica. La descripcin de los puestos de trabajo de cada rea no est documentada.

B. Consecuencias Contratacin de personal que no est apta para el puesto al que aspira. Desconocimiento de las actividades, responsabilidades y autoridad (Jefes de rea) que comprenden cada puesto de trabajo. Exceso de obligaciones a desempear por el personal. C. Recomendaciones Tener claros los objetivos de la Unidad de Informtica para realizar la planificacin. Los planes que se desarrollen, deben seguir los Iineamientos de los objetivos de la Unidad de Informtica. Participacin de los usuarios en el proceso de planificacin. Contar con un mecanismo de seguimiento y actualizacin de los planes en relacin con la evolucin de la empresa. Desarrollar aprobar, distribuir y actualizar la descripcin de los puestos de trabajo en cada rea segn la evaluacin de la institucin. Tener en cuenta los conocimientos tcnicos y/o experiencias necesarias para cada puesto de la institucin, especialmente con conocimiento o especialista en el rea de Informtica y Computacin. Desarrollar, aprobar, distribuir y actualizar la descripcin de los puestos de trabajo en cada rea segn la evaluacin de la institucin.

82

6.4

PROBLEMAS DESARROLLO

ENCONTRADOS

EN

LA

AUDITORIA

DE

A. Situacin Actual En la Escuela de Postgrado, no existe un rea de desarrollo definida. Falta de procedimientos para la propuesta y aprobacin de nuevos proyectos informticos, por parte de los directivos que conducen la Escuela de Postgrado.

B. Consecuencias No cuenta con la asesora respectiva que garanticen la gestin proyectos informticos de calidad. Las fases que involucran el desarrollo de sistemas deben estar sometidas a un exigente control interno, caso contrario, adems de la elevacin de los costes, podr producirse la insatisfaccin del usuario.

C. Recomendaciones Se propone la creacin de un rea de desarrollo la cual formar parte del Departamento de Informtica, esta rea contar con 4 personas expertas, cuyas funciones estarn definidas en el Manual de Organizacin y Funciones, las cuales abarcar el Anlisis y la Programacin de Sistemas. Evaluar los requerimientos de factibilidad tecnolgica una vez implementada el rea de desarrollo. Determinar la posibilidad de adquisicin de nuevos equipos para el rea o una redistribucin de los existentes. Definir claramente, el procedimiento para la creacin y presentacin de proyectos informticos. Documentar estos procedimientos en un Manual de Procedimientos.

83

6.5 PROBLEMAS ENCONTRADOS EN LA AUDITORIA DE BASE DE DATOS

A. Situacin Actual El manejador de base de datos no es el adecuado para cumplir con las funciones asignadas. No existe Manuales donde se definan las Entidades y Atributos de la Base De Datos.

B. Consecuencias No existe un soporte efectivo sobre el control de la integridad referencial. No se puede controlar la redundancia debido a que no cuenta con la integridad referencial. Dificulta el mantenimiento y actualizacin de las bases de datos. Dificulta la migracin a nuevas plataformas. Dificulta la integracin de los sistemas existentes. Dificultad en la localizacin de errores y omisiones. C. Recomendaciones Realizar una consultara de las OBMS (manejadores de base de datos), existentes actualmente. Migra a un sistema manejador de base de datos, ms apropiado, y que esta pueda contar con herramientas de diseo y administracin de bases de datos. Capacitar al personal que van a realizar la administracin de las bases de datos. Elaboracin de un manual de diseo de base de datos. Brindar capacitacin sobre cursos de diseo de base de datos al personal desarrollador de sistemas informticos.

84

6.6 PROBLEMAS ENCONTRADOS EN LA AUDITORIA DE REDES

Actualmente se encuentra una Red concentrada en la Unidad de Informtica, donde a se la encuentran Institucin y instalados presenta los las Sistemas siguientes

correspondientes caractersticas:

- Sistema Operativo de Red Windows XP con Service Pack 2. - Estndar: Ethernet 802.11 - Tarjeta de Red Intel PRO/100 VE NETWORK CONNECTION. - Topologa: Estrella - Tipos de Conectores: RJ-45 - Nmero de Servidores: 1 - Nmero de estaciones: 37 - Cable utilizado: Par trenzado categora 5.

Los equipos se ubican dentro de la Institucin en una unidad, con las siguientes caractersticas:

UNIDAD DE INFORMTICA

Se encuentra conformada por 37 computadoras interconectadas en red.

Esta Unidad es usada para el uso de Internet, dictado de clases para los maestrantes, doctorantes y docentes de la Escuela de Postgrado.

Caractersticas de los equipos 37 Computadoras Pentium IV de Fabricacin y Soporte de Compaq Computer Corporation. Opera como: Estacin. Capacidad de Disco Duro SAMSUNG: 40 Gb. Memoria RAM: 256 Mb Y 128 Mb.

85

 Monitor COMPAQ 5500 de 14". Tarjeta de Video Intel 82845G/GL Graphics Controller. Lectora COMPAQ CD-ROM L TN 486S. Diskettera 3 1/2 COMPAQ. Teclado Estndar de 101/102 teclas o Microsoft Natural PS/2 Keyboard. Mouse COMPAQ LOGITECH. Sound MAX Integrated Digital Audio. Bus PCI. Controladora de almacenamiento Ultra Ata Intel 82801 DB - 24CB. METODOLOGA A UTILIZAR

El procedimiento que se ha seguido para llevar a cabo este estudio ha sido el siguiente:

Definir los puntos que se van a Investigar el estudio de la Red de la Unidad de Informtica. Realizar una observacin general de la Red de la Unidad de Informtica. Definir las preguntas que se van a realizar en la encuesta. (Ver Anexo N 10) Realizar las conclusiones y comentarios.

MTODOS Y HERRAMIENTAS UTILIZADAS

Se realiz encuestas para la realizacin de este estudio de la aplicacin informtica, cuyo formato se encuentra en el (Anexo N 10).

SEGURIDAD LGICA

Se sabe que la informacin que viaja por la red es importante y confidencial, por lo que se debe tratar de evitar daos que puedan causar alteracin en la informacin.

86

Amenazas que puede presentarse:

Modificacin o eliminacin de la Informacin. La supervisin no autorizada de la transmisin de datos. Reemplazar a un usuario de la red por otro no autorizado.

SEGURIDAD FSICA

Amenazas que se pueden presentar:

Ubicacin de los servidores en lugares donde existe mucho trfico de personas. Problemas con la energa elctrica que se pueden presentar en la Unidad Informtica. Colocar cables en lugares por donde transitan las personas, pudiendo ocasionar daos en el cableado que pueden dejar sin funcionamiento alguna estacin.

A. Situacin Actual

Actualmente no cuentan con manuales que contengan lo siguientes procedimientos para la utilizacin fsica y lgica de la red, para realizar cambios de Hardware y Software, procedimientos de autorizacin para conectar nuevo equipo en el rea, procedimientos de prueba que cubre la introduccin de cualquier nuevo equipo o cambio en la red de comunicaciones.

En cuanto al uso directo del Servidor, le correspondera a una sola persona, el administrador de la red, hecho que no se cumple, ya que es administrado por el Red Telemtica.

No existe planes y/o procedimientos para el uso correcto de la red. No se cuenta con diagramas de red que documenten las conexiones. No existe un monitoreo de la secuencia de tramas.

87

B. Consecuencias

No se puede detectar la incorrecta secuencia de tramas. No existe un constante mantenimiento del sistema de red, no se aplican herramientas peridicas para la reparacin mejorando su rendimiento.

No se verifican constantemente las transacciones que se realizan en la red y los elementos de informacin a los que hacen referencia. No se tendrn cifras estadsticas de utilizacin, como la frecuencia de consultas y transacciones y el nmero de accesos a la red.

C. Recomendaciones

En cuanto al uso de la red, sera conveniente un plan de utilizacin de la misma detallndose tambin, los procedimientos para conectar un nuevo equipamiento en la misma .

En el Anexo N 11 se agrega un formato para el inventario del equipo de red. Elaborar informes tcnicos sobre ka operatividad, mantenimiento y conservacin de los equipo de computo, con una frecuencia de 15 das.

Realizar el monitoreo de la red en forma peridica para garantizar el buen funcionamiento de la misma. Los equipos deben contar con una etiquetacin respectiva para su reconocimiento. Asignar claves a los usuarios para acceder a la red, a los servicios, a las aplicaciones y a la base de datos, evitando de esta manera que personas no autorizadas tenga acceso a la red. El encargado de asignar estas claves es el administrador de la red, las cuales deben de cambiarse de forma peridicas.

Disminuir el uso de Diskettes, para evitar el contagio de virus, los cuales tienden a infiltrarse en la red y ocasionar daos a los diferentes sistemas de la unidad.

88

Implementar normas de seguridad para el uso de Diskettes, adquiriendo programas de antivirus con su respectiva licencia. Instruir a los usuarios sobre la forma de trabajo en la red, impartiendo conocimientos sobre la forma de inicializar y finalizar correctamente sesiones en la red, evitando de esta manera posibles fallas en los sistemas.

Realizar copia de seguridad, es el administrador de la red quien determinar cada que tiempo y que parte de la base de debe de guardar.

Llevar un registro de accesos diarios de usuarios. Ubicar el Servidor Dedicado en un lugar apropiado, donde el acceso sea restringido y alejado de personas extraas a la Unidad. Utilizar UPS(Reguladores de Energa) en el caso de que tenga algn problema con los cortes de energa elctrica, parpadeos y cadas de voltaje. En dicho UPS se encontrara conectado el Servidor.

Ubicar los cables de energa en lugares por donde se sabe no pasaran las personas, evitando de esta manera que alguna estacin de trabajo y hasta el propio Servidor deje de funcionar.

El administrador de la red debe realizar el manejo de fallas para prevenir, diagnosticar y reparar posibles fallas en los diferentes componentes de la red.

Realizar copias de seguridad de la informacin ms importante. Etiquetar los diferentes equipos electrnicos, que estn conectados a la red. Documentar la etiquetacin de los equipos. Proteger los cables de la red mediante canaletas y ordenndolos de una manera segura para evitar la utilizacin de cable innecesario.

89

CONCLUSIONES
1. No existe un manual de funciones adecuado para el buen funcionamiento de la Unidad de Informtica. 2. Falta adecuar el local donde funciona la Unidad de Informtica, est expuesta a perdidas, desastres, incendios y otras acciones

perjudiciales a la Unidad.

3. No existe un inventario de Software; peligro de multas por uso no autorizado de software. Puede llevar a la Perdida de informacin confidencial.

4. No cuenta con la asesora respectiva que garantice proyectos informticos de calidad.

5. Dificultad para la integracin de los sistemas existentes, migracin a nuevas plataformas.

6. No existe un constante mantenimiento del sistema de red; no se aplican herramientas peridicas para la reparacin y mejorando su rendimiento.

7. El uso del Software de informtica permite una mayor eficiencia en la realizacin de la Auditoria, que se traduce en la reduccin de los tiempos, para tomar adecuadas decisiones.

8. En la EPG UNPRG no se ha realizado ningn tipo de Auditoria de sus Sistemas Informticos, por lo que me he preocupado en efectuar este estudio. He seguido buscando instrumentos de aplicacin a una parte de la Auditoria a los Sistemas Informticos, (Ver anexo # 13)

90

RECOMENDACIONES
1. Elaboracin y puesta en prctica del manual de funciones de la Unidad de informtica. 2. Dotar al local donde funciona la Unidad de Informtica de todas las seguridades necesarias, en el acceso, equipos contra incendios.

3. Realizar un adecuado inventario y mantenimiento de los activos de la Unidad de Informtica, tanto de hardware como de software.

4. Adquisicin de Licencias para el uso de los diferentes softwares en la Unidad de Informtica.

91

BIBLIOGRAFA
Arens A. Alvin -1996 - Auditoria Un enfoque Integra. Editorial Prentice Hall Hispanoamrica S.A. Mxico. Bernal, Rafael y Coltell, scar - 1999 - Auditoria de Sistemas Informticos. Editorial Univ. Politcnica de Valencia.

Auditoria Espaa. Blanco Encinosa, Lzaro J. - 2001 - "Auditoria y Sistemas Informticos" Editorial TRIAS Espaa. Cooper & Librand S.A. - 1992 - "Informe COSO", Instituto de Auditores Internos de Espaa - Madrid - Editorial Trias Espaa. Enciclopedia de la Auditoria - 1998 - Editorial Ocano, 6ta edicin Ciudad Mxico. Gmez R. Francisco - 2000 - Auditoria Administrativa - Editorial Prentice Hall Hispanoamrica S.A. - Mxico Lzaro Vctor - 1995 - Sistemas y Procedimientos - Editorial Rama - Madrid Li H. David - 1998 - Auditorias en centros de cmputo - Editorial Trias Espaa. Lpez de SA Antonio - 1974 - Curso de Auditoria de los sistemas de informacin - Editorial DESCO Lima Methoware - 2004 - "Gua de usuario del ProAudit/Advisor" - Nueva Zelanda.

92

Piatini, Mario y Del Peso, Emilio - 1999 - Auditoria Informtica. Un enfoque prctico - Editorial Rama Madrid Senn A. James 1999 Anlisis y Diseo de sistemas de informacin.

Editorial Mc Graw Hill- Espaa Valencia R. Joaqun 1997 - Sinopsis de Auditoria Administrativa - Editorial Trias - Espaa. Vilchez I. Csar (CCI) 1997 - Administracin de centros de computo Editorial UNAC - Per. William P. Leonard - 1999 - Auditoria Administrativa - Editorial Prentice Hall Hispanoamrica S.A. - Mxico.

PAGINAS WEB:

Audinet: http://www,audinet.org

Sans Institute: http://www.sans.org

Sistema

Informtico:

http://www.monografias.com/trabajos15/sistemas-

informtico

93

ANEXOS

94

ANEXO N 01 UNIDAD DE INFORMTICA

95

ANEXO N 02

ENCUESTA PARA LA AUDITORA FSICA

NOMBRE:

CARGO:

FECHA:

1. Se cuenta con un local propio? SI ( ) NO ( )

2. Se cuenta con extintores para caso de incendio? SI ( ) NO ( )

3. Estn capacitados los trabajadores que laboran en la Unidad de Informtica en el manejo de los extintores? SI ( ) NO ( )

4.

Los

interruptores

de energa estn

debidamente protegidos,

etiquetados, y sin obstculos para alcanzarlos? SI ( ) NO ( )

5. El personal ajeno a operacin sabe que hacer en el caso de una emergencia (incendio)? SI ( ) NO ( )

6. Existe salida de emergencia? SI ( ) NO ( )

96

7. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? SI ( ) NO ( )

8. Se ha tornado medidas para minimizar la posibilidad de fuego:

a) Evitando artculos inflamables en todas las reas de la Unidad SI ( ) NO ( )

b) Prohibiendo fumar a los operadores en el interior SI ( ) NO ( )

c) Vigilando y manteniendo el sistema elctrico SI ( ) NO ( )

d) No se ha previsto ( )

9. Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior de las diferentes reas de la Facultad para evitar daos a los equipos existentes? SI ( ) NO ( )

97

ANEXO N 03

1. INVENTARIO DE OFIMTICA.

Inventario de Hardware: No se cuenta con un formato estndar, slo se cuenta con un resumen. No existe un procedimiento de actualizacin de este inventario, este resumen de inventario solo se ha aplicado al rea de Informtica. Este resumen de inventario de Hardware no refleja la realidad, faltan dispositivos que describir. Inventario de Software: No existe un formato estndar de este inventario, ni un resumen de las aplicaciones, slo existe conocimiento de ste de manera general.

2. Cambio de aplicaciones o de versiones

Se hacen instalaciones temporales (mientras se requiera), las instalaciones son ilegales.

No se realiza una evaluacin con respecto al software es decir la instalaciones de estas no se revisan las necesidades mnimas que estas requieran.

3. Capacitacin del personal y documentacin de apoyo

No existe personal en esta Unidad que este debidamente capacitado. No existen documentos o manuales de apoyo para el

desenvolvimiento del personal.

4. Generacin de copias de seguridad

Podemos apreciar que no se realizan copias de seguridad ya que no existe informacin que salvaguardar ya que no hay sistemas de informacin.

98

5. Infeccin de virus

Si llegan a suceder por lo cual no hay control, solo existe tcnicas de eliminacin con software antivirus.

6. Licencias de Uso

Slo cuentan con licencias de uso para el Windows XP SERVICE PACK 2 y Office XP para las 37 mquinas existentes en esta unidad para el resto de aplicaciones no cuentan con licencias de uso.

Relacin de aplicaciones que no cuentan con licencias de uso:

WINZIP, ACROBAT READR, SPSS, ETC.

99

ANEXO N 04 ENTREVISTA DE AUDITORIA OFIMATICA

ENTIDAD:

NOMBRE:

FECHA:

HORA:

1. Existe inventario de hardware y software en la Unidad de Informtica? Con qu frecuencia se realiza? Estn actualizados con la

informacin?

2. El inventario refleja con exactitud los equipos y aplicaciones existentes?

3. Existe un responsable a cargo de la revisin constante de la autorizacin del inventario?

4. Cuenta con normas y procedimiento para la adquisicin, recepcin y utilizacin de equipos y aplicaciones?

5. Se cuenta con una persona capacitada para la adquisicin de equipos y aplicaciones?

6. Cuenta con normas o procedimientos para la realizacin de los cambios y versiones de las aplicaciones?

7. Se capacita peridicamente al personal? Cuentan con documentacin de apoyo para desarrollar sus tareas?

8. En que modalidad se adquiri el software de la unidad informtica? Cuentan con manuales?

100

9. Existen planes de formacin en nuevas tecnologas o productos de personal encargado del mantenimiento de la empresa?

10. Se controlan los accesos ala empresa en turnos u horarios fuera del regular?

11. Existen normas que se sancionen al personal en caso de negligencia en el uso de software o hardware?

101

ANEXO N 05 ENCUESTA DE AUDITORIA OFIMATICA

1. Para llevar a cabo un control sobre los equipos (hardware) que se tiene y sobre los productos que sta contiene (software) es preciso contar un inventario, lo cual proporcionara est informacin que es muy valiosa para la institucin.

a) Tiene Usted conocimiento de la existencia de este documento?

Si ( ) No ( )

b) Cmo habamos mencionado este documento es muy vital para la institucin por tal motivo es muy importante tenerlo actualizado Tiene Usted conocimiento de quien es la persona encargada de esta funcin?

rea:______________________________ Personal: __________________________ Cargo: ____________________________

rea: ______________________________ Personal: __________________________ Cargo: _____________________________

i) Podra Mencionar Usted con que frecuencia este documento se actualiza y/o que situaciones obligan a actualizar este documento?

- Tiempo: Seleccin una opcin Das: [ ] Semanas: [ ] Quincenas: [ ] Meses: [ ] Semestral: [ ] Anual: [ ] No Sabe: [ ] Es de forma irregular: [ ]

102

- Situaciones: Seleccin una o ms opciones, o mencione algunas [ ] - Al realizar la adquisicin de un nuevo equipo. [ ] - Al deteriorarse un equipo. [ ] - Al darse una nueva reubicacin del equipo. [ ] - _________________________________________ - _________________________________________ - _________________________________________

ii) Segn lo mencionado podemos concluir que se realiza est actualizacin Podra Usted mencionar como es-que se realiza un proceso de verificacin y control en esta actualizacin si esta existe?

2.

En una organizacin como instituciones, no slo es indispensable tener conocimiento de los equipos informticos ya que estos no funcionaran, sino tiene el software por lo que es indispensable su estudio a manera de no cumplir alguna irregularidad ya que esto podra ser perjudicial para la empresa.

a) En toda organizacin la informacin es de suma importancia por la cual esta llega a ser automatizada u organizada por diferentes productos informticos (software o programas). Mencione Usted que productos cuenta la organizacin para cumplir este propsito?

A manera de ejemplo podemos mencionar Word XP para procesar Texto Excel XP para mis hojas de clculo

Software _______________ _______________

Versin _______________ _______________

Fin para su uso ____________________ ____________________

103

ANEXO N 06 ENTREVISTA DE AUDITORIA DE LA DIRECCIN

ENTIDAD:

NOMBRE:

FECHA:

HORA:

1. Existen planes estratgicos a corto y largo plazo?

2. Existe un proceso de planificacin?

3. Los planes se encuentran debidamente documentados?

4. Tienen una metodologa de planificacin?

5. Existe un mecanismo de seguimiento de los planes?

6. Cules son las funciones y responsabilidades de los puestos de trabajo?

7. Se encuentran documentadas las funciones y responsabilidades?

8. Cuentan con estndares de funcionamiento, y procedimiento?

9.- Existe una poltica de adquisicin de bienes?

10. Se encuentra documentada la descripcin de cada puesto de trabajo?

11. Existe una adecuada poltica de seleccin del personal?

104

12. Existe una adecuada poltica de rendimiento del personal?

13. Existe una adecuada poltica de promocin del personal?

14. Existe una adecuada poltica de contrato y finalizacin de personal?

15. Como es la comunicacin entre el gerente y el personal de trabajo?

16. Cmo se maneja el presupuesto econmico en las reas?

17. Tienen mecanismo de control y seguimiento de las actividades de las reas?

18. Cuentan con reglamentos internos?

19. Los reglamentos estn documentados?

20. Se cuenta con mecanismos de control de la normativa empresarial en cada rea?

105

ANEXO N 07

1. Auditoria de la Organizacin y Gestin del rea de Desarrollo Aunque cada proyecto de desarrollo tenga entidad propia y se gestione con cierta autonoma, para poderse llevar a cabo necesita apoyarse en el personal del rea y en los procedimientos establecidos.

Objetivo 1. Organizar y Planificar el rea de Desarrollo. Debe establecerse de forma clara las funciones del rea de desarrollo dentro de la Unidad de informtica. Debe especificarse el organigrama con la relacin de puestos del rea as como el personal adscrito y el puesto que ocupa cada persona. Debe existir un procedimiento para la promocin del personal. El rea debe tener y difundir su, propio plan a corto, medio y largo plazo, que ser coherente con el plan de sistemas, si este existe. El rea de desarrollo llevar su propio control presupuestario.

Objetivo 2 Establecer medidas de seguridad ilgica y fsica. Deben existir procedimientos de contratacin de objetos. Debe existir un plan de formacin que este en concordancia con los objetos tecnolgicos que se tengan en el rea. Debe existir un protocolo de recepcin I abandono para las personas que se incorporan o abandonan el rea. Debe existir una biblioteca y una hemeroteca accesibles por el personal del rea. El personal debe estar motivado en la realizacin de su trabajo. Este aspecto es difcil de valorar y no es puramente tcnico.

106

Objetivo 3 Alinear el Plan del rea de Desarrollo al Plan de Sistemas. La realizacin de nuevos proyectos debe basarse en el plan de sistemas en cuanto a objetivos, marco general y horizonte temporal. El plan de sistemas debe actualizarse con la informacin que se genera a lo largo de un proceso de desarrollo.

Objetivo 4 Regular la creacin y aprobacin de proyectos de sistemas de la Escuela de Postgrado. Debe existir un procedimiento de aprobacin de nuevos proyectos. Debe existir un procedimiento, de aprobacin de nuevos proyectos que depender de que exista o no plan de sistemas.

Objetivo 5 Gestionar los recursos humanos y materiales en el rea de Desarrollo. Debe existir un procedimiento para asignar director y equipo de desarrollo a cada nuevo proyecto. Debe existir un procedimiento para conseguir os recursos materiales necesarios para cada proyecto.

2. Auditoria de Proyectos de desarrollo de Sistemas de Informacin La auditoria de cada proyecto de desarrollo tendr un plan distinto dependiendo de los riesgos, la complejidad y los recursos disponibles para realizar la auditoria.

Aprobacin, Planificacin y gestin de proyectos

La aprobacin de un hecho previo al comienzo del mismo, mientras que la gestin se realiza a lo largo del mismo.

107

La planificacin se realiza antes de iniciarse, pero sufrir cambios a medida que el proyecto avanza en el tiempo.

Objetivo 1 Aprobar y planificar el desarrollo de proyectos informticos. Debe existir una orden de aprobacin del proyecto que defina claramente los objetivos, restricciones y las unidades afectadas. Debe distinguirse un responsable o director del proyecto. El proyecto debe ser catalogado y, en funcin de sus caractersticas, se debe determinar el modelo d ciclo de vida que seguir. Una vez determinado el ciclo de vida a seguir, se debe elegir el equipo tcnico que realizar el proyecto y se determinar el plan del proyecto.

Objetivo 2 Gestionar el desarrollo de proyectos informticos. Los responsables de las unidades o reas afectadas por el proyecto deben participar en las gestiones del proyecto. Se debe establecer un mecanismo para la resolucin de los problemas que puedan plantearse a lo largo del proyecto. Debe existir un control de cambios a lo largo del proyecto. Cuando sea necesario reajustar el plan de proyecto, normalmente al finalizar un mdulo o fase, debe de hacerse en forma adecuada. Debe hacerse un seguimiento de los tiempos empleados tanto por tarea como a lo largo del proyecto. Se debe controlar que se sigan las etapas del ciclo de vida adoptado para el proyecto y que se generan todos los documentos asociados a la metodologa usada. Cuando termina el proyecto se debe cerrar toda la documentacin del mismo, liberar los recursos empleados y hacer balance.

108

3. Auditoria de la Fase de Anlisis. Se pretende obtener un conjunto de especificaciones formales que describan las necesidades de informacin que deben ser cubiertas por el nuevo sistema de una forma dependiente del entorno tcnico.

Anlisis de Requerimiento del Sistema (ARS)

Aqu se identifican los requisitos del nuevo sistema:

Objetivo 1

Determinar los requerimientos del sistema.

En el proyecto deben participar usuarios de todas las unidades a las que afecte el nuevo sistema. Esta participacin, que se har normalmente a travs de entrevistas, tendr especial importancia en la definicin de requisitos del sistema.

Se debe realizar un plan detallado de entrevistas con el grupo de usuarios del proyecto y con los responsables de las unidades afectadas, que permita conocer cmo valoran el sistema actual y lo que esperan del nuevo sistema.

A partir de la informacin obtenida en las entrevistas, se debe documentar el sistema actual as como los problemas asociados al mismo. Se debe obtener tambin un catlogo con los requisitos del nuevo sistema.

Objetivo 2

En el Proyecto de desarrollo se Utilizara la alternativa ms favorable para conseguir que el sistema cumpla los requisitos establecidos.

Dados los requisitos del nuevo sistema se deben definir las diferentes alternativas de construccin con sus ventajas e inconvenientes. Se evaluarn las alternativas y se seleccionar la ms adecuada.
109

La actualizacin del plan de proyecto seguir los criterios ya comentados.

Especificacin Funcional del Sistema (EFS)

Una vez conocido el sistema actual, los requisitos del nuevo sistema y las alternativas de desarrollo' ms favorables, se elaborar una especificacin funcional del sistema.

Objetivo 1 El nuevo sistema debe especificarse de manera completa desde el punto de vista funcional y debe ser aprobado por los usuarios. Se debe realizar un modelo lgico del nuevo sistema, incluyendo Modelo Lgico de Procesos (NW) y Modelo Lgico de Datos (MLD), ambos deben ser consolidados para garantizar su coherencia, Debe existir el diccionario de datos. Debe definirse la forma en que el nuevo sistema interactuar con los distintos usuarios. Esta es la parte ms importante para el usuario porque definir su forma de trabajo con el sistema. La especificacin del nuevo sistemas incluir los requisitos de seguridad, rendimiento, copias de seguridad y recuperacin, etc. Se debe especificar las pruebas que el nuevo sistema debe superar para ser aceptado. La actualizacin del plan de proyecto seguir los criterios ya comentados, detallndose en este punto en mayor medida la entrega y transicin al nuevo sistema.

110

4. Auditoria de la Fase de Diseo. En esta fase se elaborar el conjunto de especificaciones fsicas del nuevo sistema que servir de base para la construccin del mismo.

Diseo Tcnico del Sistema

Objetivo 1 Elaborar un Diseo Lgico del sistema garantizando su Calidad. El entorno tecnolgico debe estar definido de forma clara y ser conforme a los estndares del departamento de informtica. Se deben identificar todas las actividades fsicas a realizar por el sistema y descomponer las mismas de forma modular. Se

debe

disear-

la

estructura

fsica

de

datos

adaptando

las

especificaciones del sistema al entorno tecnolgico. Se debe disear un plan de pruebas que permita la verificacin de los distintos componentes del sistema por separado, as como el funcionamiento de los distintos subsistemas y del sistema en conjunto.

5. Auditoria de la Fase de Construccin. En esta fase se programarn y probarn los distintos componentes y se pondrn en marcha los procedimientos necesarios para que los usuarios puedan trabajar con el nuevo sistema.

Desarrollo de los Componentes del sistema

Objetivo 1 Definir y desarrollar los componentes que formarn parte del sistema.

111

 Se debe preparar adecuadamente el entorno de desarrollo y de pruebas, as como los procedimientos de operacin, antes de iniciar el desarrollo. Se debe programar, probar y documentar cada uno de los componentes identificados en el diseo del sistema. Deben realizarse las pruebas de integracin. Desarrollo de los Procedimientos de Usuario.

Objetivo 1

o El desarrollo de los componentes de usuario debe estar planificado.

o Se deben especificar los perfiles de usuario requeridos para el nuevo sistema.

o Se debe desarrollar todos los procedimientos de usuario con arreglo a los estndares del rea.

o A partir de los perfiles actuales de los usuarios, se deben definir los procesos de formacin o seleccin de personal necesario.

o Se deben definir los recursos materiales necesarios para el trabajo de los usuarios con el nuevo sistema.

6. Auditoria de la Fase de Implementacin

En esta fase se realizar la aceptacin del sistema por parte de los usuarios, adems de las actividades necesarias para la puesta en marcha.

112

Pruebas, Implementacin y Aceptacin del Sistema

Objetivo 1 Garantiza la realizacin de las pruebas especificadas en la fase anterior. Se debe realizar las pruebas del sistema que se especificaron en el diseo del mismo. El plan de implantacin y aceptacin se debe revisar para adaptarlo a la situacin final del proyecto. El sistema debe ser aceptado por los usuarios antes de ponerse en explotacin.

Objetivo 2

Ejecutar los planes del establecimiento final del sistema en la organizacin.

Se debe instalar todos los procedimientos de explotacin.

Si existe un sistema antiguo, el sistema nuevo se pondr en explotacin de forma coordinada con la retirada del antiguo, migrando los datos si es necesario.

Debe firmarse el final de la implantacin. Se debe supervisar el trabajo de los usuarios.

Para terminar el proyecto se pondr en marcha el mecanismo de mantenimiento.

113

ANEXO N 8 ENTREVISTA

Evaluacin Sobre La Existencia, Manejo de un Sistema de Informacin

Personal: Cargo:

Sobre el manejo de informacin, y el software de gestin existente:

- Tiene usted conocimiento si existe o existi un sistema informtico.

- Podra mencionar que tipo de informacin manejaba este sistema.

- Explique Brevemente el propsito por la cual fue creado este sistema.

- Actualmente el sistema esta en funcionamiento

a) Existe propuesta para el desarrollo de un nuevo sistema de informacin. b) Est conforme con el desempeo del sistema existente.

- Mencione Usted quien esta a cargo de operar dicho sistema

a) Mencione quien es el encargado de realizar el mantenimiento de sistema. b) Mencione brevemente que operaciones se realizan en el manejo de dicho sistema c) Mencione Usted. Quien es el encargado del mantenimiento de sistema de Informacin. d) El Sistema de informacin resguarda copias de seguridad. e) Conque frecuencia se realiza esta tarea de resguardo de la informacin. f) Explique brevemente los pasos o procedimiento que s realizar para cumplir esta tares de resguardo de informacin.

114

ANEXO N 9

ENCUESTA

Sobre el desarrollo del sistema Informtico, metodolgicas, anlisis e implantacin.

Esta encuesta se realiza a las siguientes personas, ya que poseen un conocimiento de base de datos, y seguridad de la informacin.

Personal: Cargo:

- Sobre el sistema informtico, su ambiente de trabajo

a) La elaboracin del sistema informtico mencione Usted si contaba con un rea para su desarrollo Si ( ) No ( )

- Actualmente esta situacin se sigue reflejando Si ( ) No ( )

- Cuanto tiempo empleaba Usted diariamente para el desarrollo de este sistema

Das Semanas

Nmero de Horas ______ Nmero de Horas______

115

- Como se produjo la elaboracin de este sistema

a) Quienes solicitaron dicha elaboracin Directivos___________________________________________________ Nombre_____________________________________________________ Cargo_______________________________________________________ Iniciativa propia ______________________________________________

- Sobre el Entorno de trabajo de sistema

a) Sobre la plataforma de trabajo del sistema (marque una o ms opciones)

- Windows [ ]

Versin:__________________________

- Windows NT [ ] Versin:__________________________ - Novell [ ] Versin:__________________________

-Otros______________________

- De esta seleccin mencione cual de esta cuenta con licencia para su uso

b)

Sobre el manejador de base de datos del sistema informtico mencione el nombre de este Software: _______ Versin: ________

- Contaba con licencia de uso Si ( ) No ( )

116

ANEXO N 10 ENCUESTA PARA EL ESTUDIO DE REDES

NOMBRE: Cargo: Fecha: Hora:

1. Se controla el acceso a la red? Cmo?

2. Existen procedimientos de seguridad Fsica y lgica de la red?

3. Existe algn control para evitar la modificacin de la configuracin de la red?

4. El cableado de la red est debidamente protegido?

5. Existen procedimientos para el uso de la red?

6. Que tipo de mantenimiento existen en l Centro de Computo?

7. Cada cuanto tiempo se realiza el mantenimiento de la Red?

117

ANEXO N 11 FORMATO DE INVENTARIO PARA EL EQUIPO DE REDES

OFICINA: _______________________________________________________ INFORMACIN PROPORCIONADA POR: ____________________________ TELEFONO: _____________________________ FECHA: _______________

CDIGO PATRIMONIAL

NOMBRE DEL EQUIPO

MODELO

FABRICANTE

FECHA DE FABRICACIN

DISTRIBUIDOR AL QUE SE LE COMPR

PRUEBAS

DATOS INGRESADOS POR:_______________________________________

FIRMA

118

ANEXO N 12 ANLISIS DE COSTO

Costo Unitario del Equipo

S/. 3 600

Computadora Pentium IV de Fabricacin y Soporte de Compaq Computer Corporation. Disco Duro SAMSUNG: 40 Gb. Memoria RAM: 256 Mb Y 128 Mb. Monitor COMPAO 5500 de 14". Tarjeta de Video Intel 82845G/GL Graphics Controller. Lectora COMPAO CD-ROM L TN 486S. Diskettera 3 1/2 COMPAQ. Teclado Estndar de 101/102 teclas o Microsoft Natural PS/2 Keyboard Mouse COMPAO LOGITECH. Sound MAX Integrated Digital Audio. Bus PCI Controladora de almacenamiento Ultra Ata Intel 82801 DB-24CB

Costo Total de los Equipos

S/.133 200

Costo de Software y Licencia

S/.

3 000

Costo de Bienes Mueble para computadora Implementos de la Unidad de Informtica

S/. 30 000

TOTAL

S/.166 200

119

ANEXO N 13

METODOLOGA INTEGRAL PARA LA GESTIN DE RIESGOS OPERATIVOS RELACIONADOS CON TCNOLOGIAS DE LA INFORMACIN Y SISTEMAS DE INFORMACIN MIGRO TI / SI

INFORMACIN DE LA INSTITUCION Y EL RESPONSABLE DEL PROCESO DE GESTION DE RIESGO

DATOS DE LA INSTITUCIN
Razn Social: Direccin: Ruc: Gerente o Director: Representante de informtica: Pgina Web: E-mail:

DATOS DEL RESPONSABLE DEL PROCESO DE GESTIN DE RIESGOS

Responsable:

Lder del proyecto:

Fecha inicio:

Fecha de entrega:

RELACIN DE ACTIVOS TOMADOS EN CUENTA POR MIGRO TI/SI

120

RELACIN DE ACTIVOS TOMADOS EN CUENTA POR MIGRO TI/SI

N 1 2 3 4 5 6 7 8 9

Descripcin del activo Servidores y concentradores Base de Datos Software del Sistema, Software de ofimtica, Sistemas operativos, Aplicativos Sistemas de Respaldo Red Fsica (cableado, concentradores, patch cord, etc.) Red Lgica (perfiles, niveles de acceso, etc.) Usuarios Documentacin de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc. Datos de usuarios

Nivel de importancia 0 0 0 0 0 0 0 0 0 0 0 Ingresar prob. del activo 1 Ingresar prob. del activo 2 Ingresar prob. del activo 3 Ingresar prob. del activo 4 Ingresar prob. del activo 5 Ingresar prob. del activo 6 Ingresar prob. del activo 7 Ingresar prob. del activo 8 Ingresar prob. del activo 9 Ingresar prob. del activo 10 Ingresar prob. del activo 11

10 Hardware (teclado, monitor, unidades ) 11 Insumos (cartuchos de tinta, tner, papel, etc.)

CLCULO DE LOS NIVELES DE VULNERABILIDAD DE CADA ACTIVO

121

N de Activo

Nombre del Activo

Nivel de Importancia

Factor de Riesgo

Prob. de Ocurrencia

% Prob. de Riesgos

Nivel de Vulnerabilidad

Acceso no autorizado a datos Administracin impropia del sistema de TI Corte de luz, UPS descargado o variaciones de voltaje Destruccin de un componente Entrada sin autorizacin a la Sala de Comunicaciones Error de configuracin Servidores y concentradore s Factores ambientales 0 Lmite de vida til Mquinas obsoletas Inadecuada planificacin organizacional Mantenimiento inadecuado o ausente Modificacin no autorizada de datos Robo Sabotaje Virus Cantidad de Factores de riesgo =

0 0 0 0 0 0 0 0 0 0 0 0 0 0 14

0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

122

N de Activo

Nombre del Activo

Nivel de Importancia

Factor de Riesgo Acceso no autorizado a los datos

Prob. de Ocurrencia

% Prob. de Riesgos 0,00

Nivel de Vulnerabilida d 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

0 Base de Datos mal estructurada 0 Copia no autorizada de datos 0 Documentacin deficiente 0 Errores de software 0 Falla de base de datos 0 Falta de confidencialidad 0 Falla en los medios externos 2 Bases de Datos 0 Falta de espacio de almacenamiento 0 Ingreso de datos con caracteres no vlidos o datos duplicados 0 Prdida de backups 0 Prdida de confidencialidad en datos privados y de sistema 0 Impresoras o directorios compartidos 0 Robo 0 Sabotaje 0 Virus 0 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

123

Cantidad de Factores de riesgo =

16

0,00

0,00

N de Activo

Nombre del Activo

Nivel de Importancia

Factor de Riesgo Aplicaciones sin licencias Dependencia del proveedor Error de configuracin Falla del sistema Falta de compatibilidad Falta de revisin de las actualizaciones del "CAUTIVO" Falta de Aplicaciones para la Toma de Decisiones

Prob. de Ocurrencia 0 0 0 0 0 0 0 0 0 0 0 0 0 0

% Prob. de Riesgos 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

Nivel de Vulnerabilid ad

0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

Software del Sistema, Software de ofimtica, Sistemas operativos, Aplicativos

0 Insuficiencia de clusulas en el contrato de mantenimiento Insuficiencia de clusulas en el contrato de Adquisicin Mala Administracin de control de acceso (salteo de login, etc.) Prdida de datos Inadecuada adaptacin a cambios del sistema Software desactualizado Virus

124

Cantidad de Factores de riesgo =

N de Activo Nombre del Activo Nivel de Importancia Copia no autorizada de datos 0 Corte de luz, UPS descargado o variaciones de voltaje 0 Errores de software 0 Falla en medios externos 0 Falta de espacio de almacenamiento 0 4 Sistemas de Respaldo 0 Falta de integridad de los datos resguardados 0 Medios de datos no estn disponibles cuando son necesarios 0 Prdida de backups 0 Robo 0 Sabotaje 0 Virus 0 Cantidad de Factores de riesgo = 11 Factor de Riesgo Prob. de Ocurrencia

14

0,00

0,00
Nivel de Vulnerabilidad 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

% Prob. de Riesgos 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

125

N de Activo

Nombre del Activo

Nivel de Importanci a

Factor de Riesgo Conexin de cables inadmisible Dao o destruccin de cables o equipamiento inadvertido

Prob. de % Prob. Nivel de Ocurrenci de Vulnerabilida a Riesgos d 0 0 0 0 0 0 0

7

0,00 0,00 0,00 0,00 0,00 0,00 0,00

0,00

0,00 0,00 0,00 0,00 0,00 0,00 0,00

0,00

Red Fsica (cableado, concentradores , patch cord, etc.)

Factores ambientales 0 Lmite de vida til de equipos Longitud de cables de red excedida Mal mantenimiento Riesgo por el personal de limpieza o persona externa

Cantidad de Factores de riesgo =

126

N de Activo

Nombre del Nivel de Activo Importancia

Factor de Riesgo Abuso de puertos para el mantenimiento remoto Ausencia o falta de segmentacin

Prob. de Ocurrenci a 0 0 0 0 0 0 6

% Prob. de Riesgos 0,00 0,00 0,00 0,00 0,00 0,00 0,00

Nivel de Vulnerabilidad

0,00 0,00 0,00 0,00 0,00 0,00 0,00

Red Lgica (perfiles, niveles de acceso, etc.)

Configuracin inadecuada de componentes de red 0 Errores de configuracin y operacin Falta de autenticacin Inadecuada administracin para el acceso a Internet y correo electrnico

Cantidad de Factores de riesgo =

127

N de Activo

Nombre del Activo

Nivel de Importancia

Factor de Riesgo Acceso no autorizado a datos Borrado, modificacin o revelacin desautorizada o inadvertida de informacin Condiciones de trabajo adversas Destruccin negligente de datos Documentacin deficiente Entrada sin autorizacin a habitaciones

Prob. De Ocurrencia 0 0 0 0 0 0 0 0 0 0 0 0 12

% Prob. de Riesgos 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

Nivel de Vulnerabilidad

0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

Usuarios

0 Entrenamiento de usuarios inadecuado Falta de auditorias Falta de cuidado en el manejo de la informacin (Ej. Claves) No cumplimiento con las medidas de seguridad del sistema Perdida de confidencialidad o integridad de datos como resultado de un error humano Desvinculacin del personal

Cantidad de Factores de riesgo =

128

N de Activo

Nombre del Activo

Nivel de Importancia

Factor de Riesgo Acceso no autorizado a datos de documentacin Borrado, modificacin o revelacin desautorizada de informacin Copia no autorizada de un medio de datos Descripcin de archivos inadecuada

Prob. de % Prob. Nivel de Ocurrenci de Vulnerabilida a Riesgos d 0 0 0 0 0 0 0 0 0 0 0 11 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

Documentacin de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc.

Destruccin negligente de datos 0 Documentacin insuficiente o faltante, funciones no documentadas Factores ambientales Mantenimiento inadecuado o ausente Robo Uso sin autorizacin Virus, gusanos y caballos de Troya

Cantidad de Factores de riesgo =

129

N de Activo

Nombre del Activo

Nivel de Importanci a

Factor de Riesgo Falta de espacio de almacenamiento Prdida de backups

Prob. de Ocurrenci a 0 0 0 0 0 5

% Prob. de Riesgos 0,00 0,00 0,00 0,00 0,00 0,00

Nivel de Vulnerabilida d 0,00 0,00 0,00 0,00 0,00 0,00

Datos de usuarios

Prdida de confidencialidad en datos privados y de sistema Robo Sabotaje

Cantidad de Factores de riesgo =

130

N de Activo

Nombre del Nivel de Activo Importancia

Factor de Riesgo Corte de luz, UPS descargado o variaciones de voltaje Destruccin o mal funcionamiento de un componente

Prob. de Ocurrenci a 0 0 0 0 0 0 6

% Prob. de Riesgos 0,00 0,00 0,00 0,00 0,00 0,00 0,00

Nivel de Vulnerabilida d 0,00 0,00 0,00 0,00 0,00 0,00 0,00

10

Hardware (teclado, monitor, unidades)

Factores ambientales 0 Lmite de vida til de equipos Mal mantenimiento Robo

Cantidad de Factores de riesgo =

131

N de Activo

Nombre del Activo

Nivel de Importancia

Factor de Riesgo Factores ambientales Lmite de vida til

Prob. de Ocurrencia 0 0 0 0 0 5

% Prob. Nivel de de Vulnerabilidad Riesgos 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

11

Insumos (cartuchos de tinta, tner, papel, etc.)

Recursos escasos Uso descontrolado de recursos Robo

Cantidad de Factores de riesgo =

132

Clculo de importancia ideal de los activos

Sum. de Riesgos (Niv. de Vulnerab.) Importancia (actual) Dif. de % Dif. de Imp. Importancia (Ideal)

Activos

1 2

Servidores y concentradores Base de Datos

0,00 #DIV/0! 0,00 #DIV/0!

0 #DIV/0! #DIV/0! 0 #DIV/0! #DIV/0!

#DIV/0! #DIV/0!

#DIV/0! #DIV/0!

3 Software del Sistema, Software de ofimtica, Sistemas operativos, Aplicativos 4 Sistemas de Respaldo Red Fsica (cableado, concentradores, patch 5 cord, etc.) 6 7 Red Lgica (perfiles, niveles de acceso, etc.) Usuarios

0,00 #DIV/0! 0,00 #DIV/0! 0,00 #DIV/0! 0,00 #DIV/0! 0,00 #DIV/0!

0 #DIV/0! #DIV/0! 0 #DIV/0! #DIV/0! 0 #DIV/0! #DIV/0! 0 #DIV/0! #DIV/0! 0 #DIV/0! #DIV/0!

#DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0!

#DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0!

Documentacin de programas, hardware, 8 sistemas, procedimientos administrativos locales, manuales, etc. 9 10 Datos de usuarios Hardware (teclado, monitor, unidades )

0,00 #DIV/0! 0,00 #DIV/0! 0,00 #DIV/0! 0,00 #DIV/0! 0,00 #DIV/0!
133

0 #DIV/0! #DIV/0! 0 #DIV/0! #DIV/0! 0 #DIV/0! #DIV/0! 0 #DIV/0! #DIV/0! 0 #DIV/0! #DIV/0!

#DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0!

#DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0!

11 Insumos (cartuchos de tinta, tner, papel, etc.)

Niveles de vulnerabilidad teniendo en cuenta distintas escalas de importancia

N Activos
Imp. (1 a 10) R% Imp. (1 a 3) R% Imp. (1 ) R%

1 Servidores y concentradores 2 Base de Datos 3 Software del Sistema, Software de ofimtica, Sistemas operativos, Aplicativos 4 Sistemas de Respaldo 5 Red Fsica (cableado, concentradores, patch cord, etc.) 6 Red Lgica (perfiles, niveles de acceso, etc.) 7 Usuarios Documentacin de programas, hardware, sistemas, procedimientos 8 administrativos locales, manuales, etc 9 Datos de usuarios 10 Hardware (teclado, monitor, unidades ) 11 Insumos (cartuchos de tinta, tner, papel, etc.)

0,00 #DIV/0! 0,00 #DIV/0! 0,00 #DIV/0! 0,00 #DIV/0! 0,00 #DIV/0! 0,00 #DIV/0! 0,00 #DIV/0! 0,00 #DIV/0! 0,00 #DIV/0! 0,00 #DIV/0! 0,00 #DIV/0!

429 431 557 409 200 233 283 291 200 117 100

13,20 13,26 17,14 12,58 6,15 7,17 8,71 8,95 6,15 3,60 3,08

143 144 186 136 100 117 142 145 100 117 100

10,00 10,07 13,01 9,51 6,99 8,18 9,93 10,14 6,99 8,18 6,99

0,00 #DIV/0! 3250,00 100,00 1430,00 100,00

134

Valores mximos y mnimos reales

N Activos - Riesgos totales (Sin ponderar la importancia) (333) % (111) % (123) %

1 2

Servidores y concentradores Base de Datos Software del Sistema, Software de ofimtica, Sistemas operativos, Aplicativos

300,00 300,00

9,09 9,09

100,00 100,00

9,09 9,09

0 0

0,00 0,00

3 4 5 6 7 Sistemas de Respaldo Red Fsica (cableado, concentradores, patch cord, etc.) Red Lgica (perfiles, niveles de acceso, etc.) Usuarios Documentacin de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc 8 9 10 11 Datos de usuarios Hardware (teclado, monitor, unidades ) Insumos (cartuchos de tinta, tner, papel, etc.)

300,00 300,00 300,00 300,00 300,00

9,09 9,09 9,09 9,09 9,09

100,00 100,00 100,00 100,00 100,00

9,09 9,09 9,09 9,09 9,09

0 0 0 0 0

0,00 0,00 0,00 0,00 0,00

300,00 300,00 300,00 300,00 3300,00

9,09 9,09 9,09 9,09 100,00

100,00 100,00 100,00 100,00 1100,00

9,09 9,09 9,09 9,09 100,00

0 0 117 0 117,00

0,00 0,00 100,00 0,00 100,00

135

Porcentajes de riesgos cubiertos Porcentaje de Riesgos Descubiertos Porcentaje de Riesgos Mnimos Desviacin 3,55 33,33 -29,79

136

REPORTE FINAL MIGRO-TI/SI

DATOS DE LA INSTITUCIN Razn Social: Direccin: Ruc: Gerente o Director: Representante de informtica: Pgina Web: E-mail:
0 0 0 0 0 0 0

DATOS DEL RESPONSABLE DEL PROCESO DE GESTIN DE RIESGOS Responsable: Lder del proyecto: Fecha inicio: Fecha de entrega: 0 0 sbado, 00 de enero de 1900 sbado, 00 de enero de 1900

Porcentajes de riesgos cubiertos Porcentaje de Riesgos Descubiertos Porcentaje de Riesgos Mnimos Desviacin 3,55 33,33 -29,79

137