Académique Documents
Professionnel Documents
Culture Documents
UNIVERSIDAD COOPERATIVA DE
COLOMBIA
[AUDITORIA DE SISTEMAS]
La presente Auditoria se realiza en cumplimiento del Plan Anual de Control 2003,
aprobada mediante Resolucin de Contralora N 235- 2002-CG del 15 de Diciembre
del 2002.
Presentado por:
JANETH PAOLA MEDINA MEDINA
WENDY YIRLEY HIDALGO GUEVARA
Presentado a:
ARCELIA GUTIERREZ MENDEZ
CAPITULO I
LEGAJO PERMANENTE
MISION
mediante
VISION:
PRINCIPALES ACTIVIDADES:
FUNCIONES GENERALES
Ubicacin:
Recursos Humanos:
Computadoras Personales
Impresoras
1.12.3. OBJETIVOS:
CAPITULO II
LEGAJO CORRIENTE
AUDITORIA INFORMATICA
OBJETIVO GENERAL
Revisar y Evaluar los controles, sistemas, procedimientos de informtica; de los
equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que
participan en el procesamiento de la informacin, a fin de que por medio del
sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de
la informacin que servir para una adecuada toma de decisiones.
OBJETIVOS ESPECIFICOS
OPERATIVIDAD
DOCUMENTACIN
Evaluar
los
procedimientos
de
control
de
operacin,
analizar
su
estandarizacin y evaluar el cumplimiento de los mismos.
Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.
Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden
dentro del departamento de cmputo.
SEGURIDAD
CONECTIVIDAD
Mantenimiento de la Red
RELACIONES COMERCIALES
Revisar los contratos y las clusulas que estn perfectamente definidas en las cuales se
elimine toda la subjetividad y con penalizacin en caso de incumplimiento, para evitar
contratos que sean parciales.
Verificar el cumplimiento del contrato sobre el control de fallas, frecuencia, y el tiempo
de reparacin.
METODOLOGIA
La metodologa de investigacin a utilizar en el proyecto se presenta a continuacin: Para
la evaluacin del rea de Informtica se llevarn a cabo las siguientes
actividades:
o
JUSTIFICACION DE LA AUDITORIA
Aumento considerable e injustificado del presupuesto del PAD (Departamento de
Procesamiento de Datos)
Desconocimiento en el nivel directivo de la situacin informtica de la empresa Falta
total o parcial de seguridades lgicas y fsicas que garanticen la integridad del
personal, equipos e informacin.
Descubrimiento de fraudes efectuados con el computador
Falta de una planificacin informtica
Organizacin que no funciona correctamente, falta de polticas, objetivos, normas,
metodologa, asignacin de tareas y adecuada administracin del Recurso
Humano
Descontento general de los usuarios por incumplimiento de plazos y mala calidad de
los resultados
Falta de documentacin o documentacin incompleta de sistemas que revela la
dificultad de efectuar el mantenimiento de los sistemas en produccin
El
usuario
percibe
que
est
abandonado
desatendido
permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados
peridicos. Pequeas desviaciones pueden causar importantes desajustes en la
actividad del usuario, en especial en los resultados de Aplicaciones crticas y
sensibles.
PLANEACION
ANALISIS
DOFA
OPORTUNIDADES
AMENAZAS
Bsqueda de reduccin
de costos, aprovechando la
personal imposibilitando
propuestos.
o
Estandarizar y
Uniformizar informacin
relevante referente a los
gobiernos locales.
Tecnolgico.
DEBILIDAD
o Falta de planes y Programas
Informticos.
o Poca identificacin del personal
con la institucin
o Inestabilidad laboral del
personal
o Escasa capacidad de retencin y
voluntad del personal
o No existe programas de
capacitacin y actualizacin al
personal
o La oficina del rea de computo
e informtica muy reducido
o Personal tcnico Calificado
insuficiente en el rea de computo
FORTALEZAS
o Disponibilidad de recursos
econmicos.
o Personal Directivo y tcnico con
amplia experiencia(recursos
humanos)
o Capacidad de
Convocatoria(Difusin)
CRONOGRAMA DE TRABAJO
PROGRAMA DE AUDITORIA
EMPRESA: Mariscal
FASE
ACTIVIDAD
FECHA: HOJA N
HORAS
ESTIMADAS
VISITA PRELIMINAR
Solicitud de Manuales y Documentaciones.
Elaboracin de los cuestionarios.
Recopilacin de la informacin
organizacional: estructura orgnica, recursos
humanos, presupuestos.
8 HS.
ENCARGADOS
II
DESARROLLO DE LA AUDITORIA
32 HS.
REVISION Y PRE-INFORME
16 HS.
INFORME
Elaboracin y presentacin del Informe.
4 HS.
DIAGRAMA DE GANTT
PREGUNTAS
SI
NO
X
X
X
X
X
X
N/A
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
RESULTADOS DE VERIFICACIN
Gestin fsica de seguridad.
Los objetivos de la
instalacin fsica
De computo
100%
Excelent
e
80%
Buena
60%
Regular
40%
Mnimo
20%
No
cumple
Las caractersticas
fsicas de son
seguras de
centro
Los
componentes
fsicos de
computo
La conexiones de
los equipos de
las
comunicaciones
e instalaciones
fsicas
La infraestructura
es
El equipos es
La distribucin de
los quipos
de computo
es
Evaluacin de anlisis fsica de cmputo
100%
80%
Excelente Bueno
Evaluacin de la existencia y uso de
normas, resolucin base legal
para el diseo del centro de
computo.
El cumplimiento de los objetivos
fundamentales de la organizacin
para instalar del centro de
cmputo.
La forma de repartir los recursos
informticos de la organizacin.
La confiabilidad y seguridades el uso
de la informacin institucional
La satisfaccin de las necesidades
de
poder computacional de
la organizacin.
La
solucin a identificacin del
centro
de cmputo (apoy).
Anlisis de la delimitacin la manera en que se cumplen:
60%
40%
20%
Regular
Mnimo
No cumple
100%
Excelente
80%
Bueno
60%
Regular
40%
Mnimo
20%
No cumple
80%
Bueno
60%
Regular
40%
Mnimo
20%
No cumple
INFORMES DE RESULTADOS
1) Auditoria Informtica
1. Identificacin del informe
Auditoria fsica.
4. Objetivos
Verificar la estructura de distribucin de los equipos.
Revisar la correcta utilizacin de los equipos
Verificar la condicin del centro de cmputo.
5. Hallazgos Potenciales
8. Recomendaciones
Reubicacin del local
Implantacin de equipos de ultima generacin
Implantar equipos de ventilacin
Implantar salidas de emergencia.
Elaborar un calendario de mantenimiento de rutina peridico .
Capacitar al personal.
2) Auditoria Ofimtica
1. Alcance de la Auditoria.-
Planes y procedimientos
Polticas de Mantenimiento
Inventarios Ofimticos
Capacitacin del Personal
2. Objetivos de la Auditoria.-
PREGUNTAS
SI
incluyendo
un
estudio
costo-
beneficio?
2. Existe
un
comit
que
coordine
se
NO
N/A
todos
los
procesos
realizados,
dejando
operadores
del
equipo
central
estn
bvedas
de
bancos?
13. Se han implantado calendarios de operacin a
fin de establecer prioridades de proceso?
14. Todas las actividades del Centro de Computo
estn normadas mediante manuales, instructivos,
normas, reglamentos, etc.?
voltaje
como:
reguladores
de
voltaje,
EMPRESA: Mariscal
R/PT: P1
H1
Hallazgos de la Auditora
Dominio
Adquisicin e Implementacin
Proceso
AI3 Adquirir y mantener la arquitectura tecnolgica
Objetivo de Control
Evaluacin de Hardware
Riesgos Asociados
R15, R16, R18, R19
Descripcin
En las aulas de informtica no se lleva un registro de mantenimiento y de cambios de
hardware, adems no existe personal de mantenimiento dedicado a este proceso, el
mantenimiento est sujeto a las directrices de la rectora de acuerdo al presupuesto y el
inventario no se actualiza peridicamente cuando se han realizado cambios
Recomendacin
El Encargado de la administracin debe sugerir calendarizacin de inventarios y
mantenimientos de hardware
Causa
La falta de recursos econmicos y la falta de planeacin por parte del encargado de la
administracin de las aulas de informtica en la institucin.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio alto, en cuanto al
impacto es moderado
R/PT: P2
H2
Hallazgos de la Auditora
Dominio
Adquisicin e Implementacin
Proceso
AI3: Adquirir y mantener la arquitectura tecnolgica
Objetivo de Control
Mantenimiento Preventivo para Hardware
Riesgos Asociados
R15, R16, R18, R19
Descripcin
La Institucin Educativa tiene programadas jornadas de mantenimiento, estas estn sujetas
a las programaciones que realiza el rector al inicio del ao escolar, La Administracin solo
da de baja equipos no funcionales, pero no hace solicitudes de cambio de nuevos equipos
ya que el nuevo hardware est supeditado a los recursos de inversin y proyectos
presentados a nivel local y nacional.
Recomendacin
El Encargado de la administracin de las aulas de informtica debe programar los
mantenimientos y cambios por lo menos dos veces al ao, las actualizaciones de cambio o
repotenciacin de equipos se deben presupuestar para las vigencias futuras.
Causa
El rector y el Encargado de la administracin de las aulas de informtica deben realizar
planes de actualizacin de equipos y de mantenimiento preventivo, asignando los recursos
econmicos necesarios para vigencias futuras.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto
es moderado
R/PT: P3
H3
Hallazgos de la Auditora
Dominio
Entrega de Servicios y Soportes
Proceso
DS12: Administracin de Instalaciones
Objetivo de Control
Escolta de Visitantes
Riesgos Asociados
R20,R21,R2
Descripcin
Las instalaciones de las aulas de informtica y la oficina del administrador de las aulas no
son las adecuadas en cuanto a espacios, no hay una buena visibilidad de la identificacin
de las aulas de informtica, No existen identificacin de reas restringidas en la oficina del
administrador, No existen ningn tipo de detectores de humo, temperatura dentro de las
aulas de informtica, Las sealizacin para salidas de emergencia no estn instaladas o no
existen, la iluminacin solo cuenta con ventanales grandes e iluminacin artificial
insuficiente, Los interruptores de emergencia no estn debidamente identificados
Recomendacin
El Administrador de las aulas de informtica debe realizar identificacin adecuada de las
aulas, debe solicitar los recursos econmicos para la adecuacin y el mejoramiento de las
aulas y de su propia oficina
Causa
La rectora no ha asignado recursos propios para la operacin y buen funcionamiento de la
tecnologa de las aulas de informtica.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto es
catastrfico
R/PT: P4
Hallazgos de la Auditora
H4
Dominio
Entrega de Servicios y Soportes
Proceso
Proteccin contra Factores Ambientales
Objetivo de Control
Controles Ambientales
Riesgos Asociados
R17
Descripcin
Solo una de las seis aulas de informtica tiene sistemas de ventilacin, la cual presenta
ruido alto en su funcionamiento y balanceo.
Recomendacin
El Administrador de las aulas de informtica debe realizar mantenimiento al ventilador del
aula y gestionar recursos para adquirir los sistemas de ventilacin para las aulas restantes
Causa
El Administrador de las aulas de informtica no realiza adecuaciones locativas dentro de las
funciones que le fueron asignadas
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto
es leve
R/PT: P5
H5
Hallazgos de la Auditora
Entrega de Servicios y Soportes
DS12: Administracin de Instalaciones
Suministro Ininterrumpido de Energa
R1,R2,R3,R4,R5,R6
Descripcin
Existen cables de energa en el suelo que pueden ocasionar daos en las instalaciones
elctricas afectando a uno o ms equipos, Existen en el techo de las aulas cables sueltos
sin marcar, Existen conexiones de 220 voltios sin sellar junto a las tomas reguladas, la
UPS solo est disponible para el servidor, los equipos de la administracin y una de las
salas de informtica.
Recomendacin
El Administrador de las aulas de informtica debe realizar adecuaciones de instalaciones
elctricas de acuerdo a las normas vigentes, y hacer la desinstalacin de las tomas de
corriente con voltaje de 220 voltios AC para disminuir el riesgo de falla ocasionado por los
Dominio
Proceso
Objetivo de Control
Riesgos Asociados
usuarios.
Causa
El Administrador de las aulas de informtica no realiza adecuaciones locativas dentro de las
funciones que le fueron asignadas
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto es
catastrfico
R/PT: P6
Hallazgos de la Auditora
H6
Dominio
Entrega de Servicios y Soportes
Proceso
DS12: Administracin de Instalaciones
Objetivo de Control
Seguridad Fsica
Riesgos Asociados
R12, R13
Descripcin
Muchos cables de elctricos y de red sobre el piso que obstaculizan el paso a los
usuarios, Existen puntos elctricos de 220 voltios juntos a tomas de 110 voltios sin
identificacin adecuada, Cables de electricidad sueltos sin identificacin, Canaletas
plsticas sin proteccin, Cables de red de datos areos sin proteccin
Recomendacin
El Administrador de las aulas de informtica debe realizar adecuar de manera correcta de
acuerdo a las normas el tendido de red datos, cubrir, desinstalar las conexiones que
generen riesgo a los usuarios
Causa
El Administrador de las aulas de informtica no realiza adecuaciones locativas
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto
es leve
Informe Final
Neiva, 15 de Junio de 2013
Seor Cervantes Games, Ivan
JEFE DEL REA DE INFORMTICA
De nuestra consideracin:
Tenemos el agrado de dirigirnos a usted a efectos de elevar a nuestra consideracin el
alcance del trabajo de Auditora del rea de Informtica practicada los das 16 de Abril al
23 de Mayo, sobre la base del anlisis y procedimientos detallados de todas las
informaciones recopiladas y emitidos en el presente informe, que a nuestro criterio es
razonable.
El contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su
anlisis.
a. Situacin. Describe brevemente las debilidades resultantes de nuestro anlisis.
b. Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se
encuentran expuestos las operaciones realizadas por la Cooperativa.
c. ndice de importancia establecida. Indica con una calificacin del 0 al 3 el grado crtico del
problema y
la oportunidad en que se deben tomar las acciones correctivas del caso.
0 = Alto ( acciones correctivas inmediatas)
1 = Alto ( acciones preventivas inmediatas)
2 = Medio ( acciones diferidas correctivas)
3 = Bajo ( acciones diferidas preventivas)
Segn el anlisis realizado hemos encontrado falencias en que no existe un Comit y plan
informtico; falencias en la seguridad fsica y lgica; no existe auditoria de sistemas; falta de
respaldo a las operaciones; accesos de los usuarios.
El detalle de las deficiencias encontradas, como as tambin las sugerencias de solucin se
encuentran especificadas en el Anexo adjunto. La aprobacin y puesta en prctica de estas
sugerencias ayudarn a la empresa a brindar un servicio ms eficiente.
Agradecemos la colaboracin prestada durante nuestra visita por todo el personal de la
Municipalidad y quedamos a vuestra disposicin para cualquier aclaracin y/o ampliacin de
la presente que estime necesaria.
Atentamente.
Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso.
Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema.
El sistema informtico no solicita al usuario, el cambio del Password en forma mensual.
b. Efectos y/o implicancia probables
Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra
dividida entre el rea de sistema y los usuarios finales.
La falta de seguridad en la utilizacin de los Password, podran ocasionar fraudes por
terceros.
c. ndice de importancia establecida
2 ( dos )
d. Sugerencia
Implementar algn software de seguridad y auditoria existente en el mercado o desarrollar
uno propio.
Establecer una metodologa que permita ejercer un control efectivo sobre el uso o
modificacin de los programas o archivos por el personal autorizado.
ANEXOS
Encuesta
1. El rea cumple con las funciones asignadas en el MOF de la Institucin?
2. Cuntas personas laboran en el centro de cmputo?
Laboran 4 Personas.
3. Considera que el rea de trabajo es la adecuada o apropiada para el desempeo de sus
labores?
4. Considera que es adecuado el nmero de personas que laboran en el rea?
5. Se deja de realizar alguna actividad por falta de personal?
6. Esta el personal que utiliza el computador educado en las necesidades de
seguridad?
7. Con respecto a la parte fsica de la OCI; se cumple con las normas de seguridad
establecidas para los equipos de cmputo?
8. Esta el rea del computador libre de material combustible, como suministro de papel en
exceso de las necesidades inmediatas?
9. Existe en la OCI extinguidores de incendio claramente identificados para lo que uso se
refiere?
10. Sobre el mantenimiento del equipo; cuenta con las herramientas necesarias para
brindar un buen servicio en el momento requerido?
11. El rea cuenta con un respectivo plan de contingencias?
12. Si cuenta con un plan de contingencias Se han identificado las aplicaciones vitales
para operacin del rea?
TITULO I
DISPOSICIONES GENERALES
ARTICULO 3.- Para los efectos de este documento, s e entiende por Polticas en
Informtica, al conjunto de reglas obligatorias, que deben observar los Jefes de Sistemas
responsables del hardware y software existente en la Empresa NN, siendo
responsabilidad de la Administracin de Informtica, vigilar su estricta observancia en el mbito
de su competencia, tomando las medidas preventivas y correctivas para que se cumplan.
ARTICULO 4.- Las Polticas en Informtica son el
conjunto de ordenamientos y
TITULO II
LINEAMIENTOS PARA LA ADQUISICION DE BIENES DE INFORMATICA
conocer peridicamente las tendencias con tecnologa de punta vigente, siendo la lista de
Los lenguajes de programacin que se utilicen deben ser compatibles con las plataformas
enlistadas.
SQL Windows
Visual Basic
VisualFox
CenturaWeb Notes
Designer
e. Hojas de clculo:
Excel
f.
Procesadores de palabras:
Word
g. Diseo Grfico:
Notes Mail
j.
Browser de Internet
Netscape
En la generalidad de los casos, slo se adquirirn las ltimas versiones liberadas de los
productos seleccionados, salvo situaciones especficas que se debern justificar ante el
Comit. Todos los productos de Software que se adquieran debern contar con su
licencia de uso, documentacin y garanta respectivas.
ARTICULO 14.- Todos los productos de Software que se utilicen a partir de la fecha en
que entre en vigor el presente ordenamiento, debern contar con su licencia de uso
respectiva; por lo que se promover la regularizacin o eliminacin de los productos ya
instalados que no cuenten con la licencia respectiva.
Los
niveles
de
seguridad
de
acceso
debern
controlarse
por
un
administrador nico y poder ser manipulado por software. Se deben delimitar las
responsabilidades en cuanto a quin est autorizado a consultar y/o modificar en cada caso
la informacin, tomando las medidas de seguridad pertinentes para cada caso.
c) El titular de la unidad administrativa responsable del sistema de informacin debe
autorizar y solicitar la asignacin de clave de acceso al titular de la Unidad de Informtica. d)
Los datos de los sistemas de informacin, deben ser respaldados de acuerdo a la
frecuencia de actualizacin de sus datos, rotando los dispositivos de respaldo y
guardando respaldos histricos peridicamente. Es indispensable llevar una bitcora
oficial de los respaldos realizados, asimismo, las cintas de respaldo debern guardarse en un
lugar de acceso restringido con condiciones ambientales suficientes para garantizar su
c.
La carta con la oferta definitiva del contratista debe estar firmada por el
representante legal de la compaa oferente.
De la contratante
Las responsabilidades de la contratante son:
a. Delinear adecuadamente los objetivos y alcance del aplicativo. b.
Establecer los requerimientos del aplicativo
c. Definir responsabilidades de la contratista y contratante d.
Establecer campos de accin
de cada contrato.
Las garantas que se deben aplicar de acuerdo al tipo de contrato son:
a. Una garanta bancaria o una pliza de seguros, incondicional, irrevocable y de cobro
inmediato por el 5% del monto total del contrato para asegurar su fiel cumplimiento, la
cual se mantendr vigente durante todo el tiempo que subsista la obligacin motivo
de la garanta.
TITULO III
INSTALACIONES
ARTICULO 17.- La instalacin del equipo de cmputo , quedar sujeta a los siguientes
lineamientos:
a) Los equipos para uso interno se instalarn en lugares adecuados, lejos de polvo y trfico
de personas.
En las reas de atencin directa al pblico los equipos se instalarn en lugares
adecuados.
b) La Administracin de Informtica, as como las reas operativas debern contar con un
croquis actualizado de las instalaciones elctricas y de comunicaciones del equipo de
cmputo en red.
c) Las instalaciones elctricas y de comunicaciones, estarn de preferencia fijas o en su
defecto resguardadas del paso de personas o mquinas, y libres de cualquier
interferencia elctrica o magntica.
d) Las instalaciones se apegarn estrictamente a los requerimientos de los equipos,
cuidando las especificaciones del cableado y de los circuitos de proteccin necesarios;
e) En ningn caso se permitirn instalaciones improvisadas o sobrecargadas.
f) Cuando en la instalacin se alimenten elevadores, motores y maquinaria pesada, se
deber tener un circuito independiente, exclusivo para el equipo y/o red de cmputo.
TITULO IV
LINEAMIENTOS EN INFORMATICA
CAPITULO I
INFORMACION
los
centros de
cmputo a
su
dispositivos de
respaldo y
como
activos
de
la
unidad
acadmica
estarn
debidamente
ARTICULO 26.- Los sistemas de informacin en operacin, como los que se desarrollen
debern contar con sus respectivos manuales. Un manual del usuario que describa los
procedimientos de operacin y el manual tcnico que describa su estructura interna,
programas, catlogos y archivos.
CAPITULO II
FUNCIONAMIENTO
Fsicas
Sistema Operativo
Software
Comunicaciones
Base de Datos
Proceso Aplicaciones
Por ello se establecen los siguientes lineamientos:
Mantener claves de acceso que permitan el uso solamente al personal autorizado
para ello.
Verificar la informacin que provenga de fuentes externas a fin de corroborar que
estn libres de cualquier agente externo que pueda contaminarla o perjudique el
funcionamiento de los equipos.
Mantener plizas de seguros de los recursos informticos en funcionamiento
CAPITULO III
PLAN DE CONTINGENCIAS
d) Contar con un instructivo de operacin para la deteccin de posibles fallas, para que
toda accin correctiva se efecte con la mnima degradacin posible de los datos;
e) Contar con un directorio del personal interno y del personal externo de soporte, al cual se
pueda recurrir en el momento en que se detecte cualquier anomala;
f) Ejecutar pruebas de la funcionalidad del plan
f) Mantener revisiones del plan a fin de efectuar las actualizantes respectivas
CAPITULO IV
ESTRATEGIAS