2013

UNIVERSIDAD COOPERATIVA DE
COLOMBIA

Janeth Paola Medina Medina

Wendy Yirley Hidalgo Guevara

[AUDITORIA DE SISTEMAS]
La presente Auditoria se realiza en cumplimiento del Plan Anual de Control 2003,
aprobada mediante Resolucin de Contralora N 235- 2002-CG del 15 de Diciembre
del 2002.

AUDITORIA INFORMATICA AL SISTEMA NIETO DE LA EMPRESA

MARISCAL

Presentado por:
JANETH PAOLA MEDINA MEDINA
WENDY YIRLEY HIDALGO GUEVARA

Presentado a:
ARCELIA GUTIERREZ MENDEZ

UNIVERSIDAD COOPERATIVA DE COLOMBIA

INGENIERIA DE SISTEMAS
NEIVA-HUILA
2013

CAPITULO I
LEGAJO PERMANENTE

MISION

El rea de Computo e informtica de la empresa Mariscal, tiene por misin normar el

adecuado uso y aprovechamiento de los recursos informticos; la optimizacin de las
actividades, servicios procesos y acceso inmediato a informacin para la toma de
decisiones,

mediante

el desarrollo, implantacin y supervisin del correcto

funcionamiento de los sistemas y comunicaciones, as como la adquisicin y control

de la plataforma fsica de computo.

VISION:

El rea de cmputo e informtica, de la empresa Mariscal, capaz de liderar el

desarrollo informtico, asegurando un marco transparente para el acceso a los
ciudadanos a la informacin

PRINCIPALES ACTIVIDADES:

Acordar su rgimen de rgano Interior

Aprobar su presupuesto
Aprobar sus Bienes y Rentas
Crear, modificar, suprimir o examinar sus contribuciones, atribuciones y
derecho, conforme a Ley.
Organizar, Reglamentar y Administrar sus servicios pblicos locales.
Contratar con otras entidades pblicas y no pblicas, preferentemente locales,
la atencin de los servicios que no administraron directamente.
Planificar el desarrollo de sus pueblos y ejecutar los planes correspondientes.

Examinar el cumplimiento de sus propias Normas, a travs de sus propios

medios o con el auxiliar de las fuerzas policiales.
Celebrar contratos con otros municipios para organizar servicios comunes.
Promover y organizar la participacin de los vecinos en el desarrollo comunal.

FUNCIONES GENERALES

Planificar, ejecutar e impulsar, a travs de los rganos correspondientes, el

conjunto de acciones destinadas a proporcionar al ciudadano, el ambiente
adecuado para las satisfacciones de sus necesidades viales de vivienda,
salubridad, abastecimiento, educacin, recreacin, transporte y comunicacin.
Formular el plan de desarrollo distrital en concordancia con las necesidades y
requerimientos de la poblacin organizada y los planes de desarrollo nacional
y regional.
Conducir los programas de acondicionamiento territorial, vivienda y seguridad
colectiva, conforme lo establece la ley orgnica de municipalidades, velando
por su ejecucin.

Ubicacin:

El rea de cmputo e informtica orgnicamente depende de la oficina de

planificacin y presupuesto, asumiendo la responsabilidad de dirigir los procesos
tcnicos de informtica

Recursos Humanos:

Actualmente en el rea de cmputo e informtica labora una sola persona quien

cumple las funciones de administracin, capacitacin, soporte y procesamiento de
datos.

Recursos informticos existentes:

Servidores (Windows 2000 Server)

Computadoras Personales

Impresoras

1.12.3. OBJETIVOS:

El rea de Cmputo e informtica tiene los siguientes objetivos Sectoriales:

Apoyar a las Municipalidades Distritales de la Provincia de Mariscal Nieto.

Estandarizar y Uniformizar informacin relevante referente a los gobiernos

locales
Brindar un mejor servicio a los usuarios de Moquegua, a travs de una pagina
Web

OBJETIVOS ESPECIFICOS (PRESUPUESTADOS):

Equipamiento de la gestin Municipal.

Optimizar las aplicaciones existentes a satisfaccin de la municipalidad.

Digitalizacin de Partidas de Nacimiento, Matrimonio y Defuncin

Brindar acceso a Internet
Diseo y elaboracin de pginas Web.
Alojamiento y Mantenimiento de la Pagina Web.

CAPITULO II
LEGAJO CORRIENTE

AUDITORIA INFORMATICA

La presente accin de control, se realiza con el fin de supervisar y evaluar los

mtodos, procedimientos y tcnicas estadsticas e informticas utilizados por los
rganos del Sistema INEI (Instituto Nacional de Estadstica e Informtica), Normas
Internacionales de Auditoria (NIA); La presente Auditoria Informtica se realizara en
la en la empresa Mariscal a l s i s t e m a d e i n f o r m a c i n Nieto, ubicada
en el departamento del Huila, municipio de Neiva. Los encargados del revisar los
funcionamientos adecuados del sistema Nieto por medio de una auditoria previa son
JANETH PAOLA MEDINA MEDINA y WENDY YIRLEY HIDALGO. Se establecer un
cronograma de actividades y visitas en a la empresa antes planificadas.

OBJETIVO GENERAL
Revisar y Evaluar los controles, sistemas, procedimientos de informtica; de los
equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que
participan en el procesamiento de la informacin, a fin de que por medio del
sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de
la informacin que servir para una adecuada toma de decisiones.

OBJETIVOS ESPECIFICOS

OPERATIVIDAD

Evaluar el diseo y prueba de los sistemas del rea de Informtica

Evaluar la forma como se administran los dispositivos de almacenamiento bsico

del rea de Informtica

DOCUMENTACIN

Evaluar
los
procedimientos
de
control
de
operacin,
analizar
su
estandarizacin y evaluar el cumplimiento de los mismos.
Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.
Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden
dentro del departamento de cmputo.

SEGURIDAD

Determinar la veracidad de la informacin del rea de Informtica

Revisin de las polticas y Normas sobre seguridad Fsica.
Verificar la seguridad de personal, datos, hardware, software e instalaciones
Verificar si existen garantas para proteger la integridad de los recursos informticos.

CONECTIVIDAD

Sistemas tcnicos de la red

Mantenimiento de la Red

RELACIONES COMERCIALES

Revisar los contratos y las clusulas que estn perfectamente definidas en las cuales se
elimine toda la subjetividad y con penalizacin en caso de incumplimiento, para evitar
contratos que sean parciales.
Verificar el cumplimiento del contrato sobre el control de fallas, frecuencia, y el tiempo
de reparacin.

METODOLOGIA
La metodologa de investigacin a utilizar en el proyecto se presenta a continuacin: Para
la evaluacin del rea de Informtica se llevarn a cabo las siguientes
actividades:
o

Solicitud de los estndares utilizados y programa de trabajo

Aplicacin del cuestionario al personal

Anlisis y evaluacin de la informacin

Elaboracin del informe

Para la evaluacin de los sistemas tanto en operacin como en desarrollo

se llevarn a cabo las siguientes actividades:

Solicitud del anlisis y diseo del os sistemas en desarrollo y en

operacin

Solicitud de la documentacin de los sistemas en operacin (manuales

tcnicos, de operacin del usuario, diseo de archivos y programas)

Recopilacin y anlisis de los procedimientos administrativos de cada

sistema (flujo de informacin, formatos, reportes y consultas)

Anlisis de llaves, redundancia, control, seguridad, confidencial y

respaldos

Anlisis del avance de los proyectos en desarrollo, prioridades y personal

asignado

Entrevista con los usuarios de los sistemas

Evaluacin directa de la informacin obtenida contra las necesidades y

requerimientos del usuario

Anlisis objetivo de la estructuracin y flujo de los programas

Anlisis y evaluacin de la informacin recopilada

Elaboracin del informe

Para la evaluacin de los equipos se llevarn a cabo las siguientes actividades:

Solicitud de los estudios de viabilidad y caractersticas de los

equipos actuales, proyectos sobre ampliacin de equipo, su actualizacin

Solicitud de contratos de compra y mantenimientos de equipo y sistemas

Solicitud de contratos y convenios de respaldo

Solicitud de contratos de Seguros

Elaboracin de un cuestionario sobre la utilizacin de equipos,

memoria, archivos, unidades de entrada/salida, equipos perifricos y su
seguridad

Visita tcnica de comprobacin de seguridad fsica y lgica de

la instalaciones de la Direccin de Informtica

Evaluacin tcnica del sistema electrnico y ambiental de los equipos y

del local utilizado

Evaluacin de la informacin recopilada, obtencin de grficas,

porcentaje de utilizacin de los equipos y su justificacin

Elaboracin y presentacin del informe final (conclusiones y recomendaciones)

JUSTIFICACION DE LA AUDITORIA
Aumento considerable e injustificado del presupuesto del PAD (Departamento de
Procesamiento de Datos)
Desconocimiento en el nivel directivo de la situacin informtica de la empresa Falta
total o parcial de seguridades lgicas y fsicas que garanticen la integridad del
personal, equipos e informacin.
Descubrimiento de fraudes efectuados con el computador
Falta de una planificacin informtica
Organizacin que no funciona correctamente, falta de polticas, objetivos, normas,
metodologa, asignacin de tareas y adecuada administracin del Recurso
Humano
Descontento general de los usuarios por incumplimiento de plazos y mala calidad de
los resultados
Falta de documentacin o documentacin incompleta de sistemas que revela la
dificultad de efectuar el mantenimiento de los sistemas en produccin

Sntomas de mala imagen e insatisfaccin de los

usuarios:
No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de
software en los terminales de usuario, refrescamiento de paneles, variacin de los
ficheros que deben ponerse diariamente a su disposicin, etc.
No se reparan las averas de hardware ni se resuelven incidencias en plazos
razonables.

El

usuario

percibe

que

est

abandonado

desatendido

permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados
peridicos. Pequeas desviaciones pueden causar importantes desajustes en la
actividad del usuario, en especial en los resultados de Aplicaciones crticas y
sensibles.

PLANEACION
ANALISIS
DOFA

OPORTUNIDADES

AMENAZAS

Rotacin permanente del

Bsqueda de reduccin

de costos, aprovechando la

personal imposibilitando

aparicin de nuevas tecnologas.

continuidad a los objetivos

o Buen servicio y trato.

o Tendencias Tecnolgicas
generan un amplio campo de
accin
o Predisposicin y voluntad
de los nuevos directivos para
cambio

propuestos.
o

Estandarizar y

Uniformizar informacin
relevante referente a los
gobiernos locales.

Tecnolgico.

DEBILIDAD
o Falta de planes y Programas
Informticos.
o Poca identificacin del personal
con la institucin
o Inestabilidad laboral del
personal
o Escasa capacidad de retencin y
voluntad del personal
o No existe programas de
capacitacin y actualizacin al
personal
o La oficina del rea de computo
e informtica muy reducido
o Personal tcnico Calificado
insuficiente en el rea de computo

FORTALEZAS
o Disponibilidad de recursos
econmicos.
o Personal Directivo y tcnico con
amplia experiencia(recursos
humanos)
o Capacidad de
Convocatoria(Difusin)

CRONOGRAMA DE TRABAJO
PROGRAMA DE AUDITORIA
EMPRESA: Mariscal
FASE

ACTIVIDAD

FECHA: HOJA N
HORAS
ESTIMADAS

VISITA PRELIMINAR
Solicitud de Manuales y Documentaciones.
Elaboracin de los cuestionarios.
Recopilacin de la informacin
organizacional: estructura orgnica, recursos
humanos, presupuestos.

8 HS.

ENCARGADOS

II

DESARROLLO DE LA AUDITORIA

32 HS.

Aplicacin del cuestionario al personal.

Entrevistas a lderes y usuarios ms
relevantes de la direccin.
Anlisis de las claves de acceso, control,
seguridad, confiabilidad y respaldos.
Evaluacin de la estructura orgnica:
departamentos, puestos, funciones, autoridad
y responsabilidades.
Evaluacin de los Recursos Humanos y de la
situacin Presupuestal y Financiera:
desempeo, capacitacin, condiciones de
trabajo, recursos en materiales y financieros
mobiliario y equipos.
Evaluacin de los sistemas: relevamiento de
Hardware y Software, evaluacin del diseo
lgico y del desarrollo del sistema.
Evaluacin del Proceso de Datos y de los
Equipos de Cmputos: seguridad de los
datos, control de operacin, seguridad fsica
y procedimientos de respaldo.
III

REVISION Y PRE-INFORME

16 HS.

Revisin de los papeles de trabajo.

Determinacin del Diagnostico e Implicancias.
Elaboracin de la Carta de Gerencia.
Elaboracin del Borrador.
IV

INFORME
Elaboracin y presentacin del Informe.

4 HS.

DIAGRAMA DE GANTT

TECNICA Y/O HERRAMIENTAS DE

SATISFACCION
Revisin de las polticas y Normas sobre seguridad Fsica.
Verificar la seguridad de personal, datos, hardware, software e instalaciones
Seguridad, utilidad, confianza, privacidad y disponibilidad en el
ambiente informtico

PREGUNTAS

SI

NO

1. Se han adoptado medidas de seguridad en el departamento de

sistemas de informacin?
2. Existe
una
persona
responsable
de
la
seguridad?

3. Se ha dividido la responsabilidad para tener un mejor control de la

seguridad?
4. Existe
personal
de
vigilancia
en
la
institucin?

5. Existe una clara definicin de funciones entre los puestos clave?

6. Se investiga a los vigilantes cuando son contratados directamente?

7. Se
controla
el
trabajo
fuera
de
horario?

X
X

8. Se registran las acciones de los operadores para evitar que realicen

algunas pruebas que puedan daar los sistemas?.
9. Existe vigilancia en el departamento de cmputo las 24 horas?

X
X

10. Se permite el acceso a los archivos y programas a los

programadores, analistas y operadores?
11. Se ha instruido a estas personas sobre que medidas tomar en caso
de que alguien pretenda entrar sin autorizacin?

12. El centro de cmputo tiene salida al exterior?

13. Son controladas las visitas y demostraciones en el centro de
cmputo?
14. Se registra el acceso al departamento de cmputo de personas
ajenas a la direccin de informtica?

X
X

N/A

15. Se vigilan la moral y comportamiento del personal de la direccin de

informtica con el fin de mantener una buena imagen y evitar un
posible fraude?
16. Se ha adiestrado el personal en el manejo de los extintores?
17. Se revisa de acuerdo con el proveedor el funcionamiento de los
extintores?
18. Si es que existen extintores automticos son activador por detectores
automticos de fuego?
19. Los interruptores de energa estn debidamente protegidos,
etiquetados y sin obstculos para alcanzarlos?
20. Saben que hacer los operadores del departamento de cmputo, en
caso de que ocurra una emergencia ocasionado por fuego?
21. El personal ajeno a operacin sabe que hacer en el caso de una
emergencia (incendio)?
22. Existe salida de emergencia?
23. Se revisa frecuentemente que no est abierta o descompuesta la
cerradura de esta puerta y de las ventanas, si es que existen?
24. Se ha adiestrado a todo el personal en la forma en que se deben
desalojar las instalaciones en caso de emergencia?
25. Se ha prohibido a los operadores el consumo de alimentos y bebidas
en el interior del departamento de cmputo para evitar daos al
equipo?
26. Se limpia con frecuencia el polvo acumulado debajo del piso falso si
existe?
27. Se cuenta con copias de los archivos en lugar distinto al de la
computadora?
28. Se tienen establecidos procedimientos de actualizacin a estas
copias?
29. Existe departamento de auditoria interna en la institucin?
30. Este departamento de auditoria interna conoce todos los aspectos de
los sistemas?
31. Se cumplen?
32. Se auditan los sistemas en operacin?

X
X
X
X
X
X
X

X
X

X
X
X
X

33. Una vez efectuadas las modificaciones, se presentan las pruebas a X

los interesados?
X
34. Existe control estricto en las modificaciones?
35. Se revisa que tengan la fecha de las modificaciones cuando se X
hayan efectuado?
36. Si se tienen terminales conectadas, se ha establecido
procedimientos de operacin?
37. Se ha establecido que informacin puede ser acezada y por qu
persona?

X
X
X

X
X

RESULTADOS DE VERIFICACIN
Gestin fsica de seguridad.

Los objetivos de la
instalacin fsica
De computo

100%
Excelent
e

80%
Buena

60%
Regular

40%
Mnimo

20%
No
cumple

Las caractersticas
fsicas de son
seguras de
centro
Los
componentes
fsicos de
computo
La conexiones de
los equipos de
las
comunicaciones
e instalaciones
fsicas
La infraestructura
es
El equipos es
La distribucin de
los quipos
de computo
es
Evaluacin de anlisis fsica de cmputo
100%

80%

Excelente Bueno
Evaluacin de la existencia y uso de
normas, resolucin base legal
para el diseo del centro de
computo.
El cumplimiento de los objetivos
fundamentales de la organizacin
para instalar del centro de
cmputo.
La forma de repartir los recursos
informticos de la organizacin.
La confiabilidad y seguridades el uso
de la informacin institucional
La satisfaccin de las necesidades
de
poder computacional de
la organizacin.
La
solucin a identificacin del
centro
de cmputo (apoy).
Anlisis de la delimitacin la manera en que se cumplen:

60%

40%

20%

Regular

Mnimo

No cumple

100%
Excelente

80%
Bueno

60%
Regular

40%
Mnimo

20%
No cumple

La delimitacin espacial, por las

dimensiones fsicas.
La delimitacin tecnolgica, por los
requerimientos y
conocimientos informticos.
Anlisis de la estabilidad y el aprovechamiento de los recursos a para instalar el centro de computo.
100%
Excelente
Anlisis de la
transparencia
del trabajo para
los usuarios.
La ubicacin del
centro de computo
Los
requerimientos
de seguridad
del
centro de computo

80%
Bueno

60%
Regular

40%
Mnimo

20%
No cumple

INFORMES DE RESULTADOS
1) Auditoria Informtica
1. Identificacin del informe
Auditoria fsica.

2. Identificacin del Cliente

El rea de Informtica

3. Identificacin de la Entidad Auditada

Empresa Mariscal.

4. Objetivos
Verificar la estructura de distribucin de los equipos.
Revisar la correcta utilizacin de los equipos
Verificar la condicin del centro de cmputo.

5. Hallazgos Potenciales

Falta de presupuesto y personal.

Falta de un local ms amplio
No existe un calendario de mantenimiento
Falta de ventilacin.
.faltan salida al exterior
Existe salida de emergencia.
6. Alcance de la auditoria

Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado

especialmente al Departamento de centro de cmputo de acuerdo a las normas y
dems disposiciones aplicable al efecto.
7. Conclusiones:

Como resultado de la Auditoria podemos manifestar que hemos cumplido con

evaluar cada uno de los objetivos contenidos en el programa de auditoria.

El Departamento de centro de cmputo presenta deficiencias sobre todo en el

debido cumplimiento de Normas de seguridad.

8. Recomendaciones
Reubicacin del local
Implantacin de equipos de ultima generacin
Implantar equipos de ventilacin
Implantar salidas de emergencia.
Elaborar un calendario de mantenimiento de rutina peridico .
Capacitar al personal.

2) Auditoria Ofimtica
1. Alcance de la Auditoria.-

Planes y procedimientos
Polticas de Mantenimiento
Inventarios Ofimticos
Capacitacin del Personal

2. Objetivos de la Auditoria.-

Realizar un informe de Auditoria con el objeto de verificar la existencia de controles

preventivos, detectivos y correctivos, as como el cumplimiento de los mismos por los
usuarios.

PREGUNTAS

SI

1. Existe un informe tcnico en el que se justifique

la adquisicin del equipo, software y servicios de
computacin,

incluyendo

un

estudio

costo-

beneficio?
2. Existe

un

comit

que

coordine

se

Responsabilice de todo el proceso de adquisicin

e instalacin?
3. Han elaborado un instructivo con procedimientos
a seguir para la seleccin y adquisicin de
equipos, programas y servicios computacionales?
4. se cuenta con software de oficina?

NO

N/A

5. Se han efectuado las acciones necesarias para

una mayor participacin de proveedores?
6. Se ha asegurado un respaldo de mantenimiento
y asistencia tcnica?
7. El acceso al centro de cmputo cuenta con las
seguridades necesarias para reservar el ingreso
al personal autorizado?
8. Se han implantado claves o password para
garantizar operacin de consola y equipo central
(mainframe), a personal autorizado?
9. Se han formulado polticas respecto a seguridad,
privacidad y proteccin de las facilidades de
procesamiento ante eventos como: incendio,
vandalismo, robo y uso indebido, intentos de
violacin?
10. Se mantiene un registro permanente (bitcora)
de

todos

los

procesos

realizados,

dejando

constancia de suspensiones o cancelaciones de

procesos?
11. Los

operadores

del

equipo

central

estn

entrenados para recuperar o restaurar informacin

en caso de destruccin de archivos?
12. Los backups son mayores de dos (padres e
hijos) y se guardan en lugares seguros y
adecuados, preferentemente en

bvedas

de

bancos?
13. Se han implantado calendarios de operacin a
fin de establecer prioridades de proceso?
14. Todas las actividades del Centro de Computo
estn normadas mediante manuales, instructivos,
normas, reglamentos, etc.?

15. Las instalaciones cuentan con sistema de

alarma por presencia de fuego, humo, as como
extintores de incendio, conexiones elctricas
seguras, entre otras?
16. Se han instalado equipos que protejan la
informacin y los dispositivos en caso de variacin
de

voltaje

como:

reguladores

de

voltaje,

supresores pico, UPS, generadores de energa?

17. Se han contratado plizas de seguros para
proteger la informacin, equipos, personal y todo
riesgo que se produzca por casos fortuitos o mala
operacin?
18. Se han Adquirido equipos de proteccin como
supresores de pico, reguladores de voltaje y de
ser posible UPS previo a la adquisicin del
equipo?
19. Si se vence la garanta de mantenimiento del
proveedor se contrata mantenimiento preventivo y
correctivo?
20. Se establecen procedimientos para obtencin de
backups de paquetes y de archivos de datos?
21. Se hacen revisiones peridicas y sorpresivas del
contenido del disco para verificar la instalacin de
aplicaciones no relacionadas a la gestin de la
empresa?
22. Se mantiene programas y procedimientos de
deteccin e inmunizacin de virus en copias no
autorizadas o datos procesados en otros equipos?

23. Se propende a la estandarizacin del Sistema

Operativo, software utilizado como procesadores
de palabras, hojas electrnicas, manejadores de
base de datos y se mantienen actualizadas las
versiones y la capacitacin sobre modificaciones
incluidas?
24. existen licencias

HALLAZGOS, RIESGOS Y CONTROLES

GUA DE HALLAZGOS H1.

EMPRESA: Mariscal

R/PT: P1
H1

Hallazgos de la Auditora
Dominio
Adquisicin e Implementacin
Proceso
AI3 Adquirir y mantener la arquitectura tecnolgica
Objetivo de Control
Evaluacin de Hardware
Riesgos Asociados
R15, R16, R18, R19
Descripcin
En las aulas de informtica no se lleva un registro de mantenimiento y de cambios de
hardware, adems no existe personal de mantenimiento dedicado a este proceso, el
mantenimiento est sujeto a las directrices de la rectora de acuerdo al presupuesto y el
inventario no se actualiza peridicamente cuando se han realizado cambios
Recomendacin
El Encargado de la administracin debe sugerir calendarizacin de inventarios y
mantenimientos de hardware
Causa
La falta de recursos econmicos y la falta de planeacin por parte del encargado de la
administracin de las aulas de informtica en la institucin.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio alto, en cuanto al
impacto es moderado

GUA DE HALLAZGOS H2.

EMPRESA: Mariscal

R/PT: P2
H2

Hallazgos de la Auditora
Dominio
Adquisicin e Implementacin
Proceso
AI3: Adquirir y mantener la arquitectura tecnolgica
Objetivo de Control
Mantenimiento Preventivo para Hardware
Riesgos Asociados
R15, R16, R18, R19
Descripcin
La Institucin Educativa tiene programadas jornadas de mantenimiento, estas estn sujetas
a las programaciones que realiza el rector al inicio del ao escolar, La Administracin solo
da de baja equipos no funcionales, pero no hace solicitudes de cambio de nuevos equipos
ya que el nuevo hardware est supeditado a los recursos de inversin y proyectos
presentados a nivel local y nacional.

Recomendacin
El Encargado de la administracin de las aulas de informtica debe programar los
mantenimientos y cambios por lo menos dos veces al ao, las actualizaciones de cambio o
repotenciacin de equipos se deben presupuestar para las vigencias futuras.
Causa
El rector y el Encargado de la administracin de las aulas de informtica deben realizar
planes de actualizacin de equipos y de mantenimiento preventivo, asignando los recursos
econmicos necesarios para vigencias futuras.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto
es moderado

GUA DE HALLAZGOS H3.

EMPRESA: Mariscal

R/PT: P3
H3

Hallazgos de la Auditora
Dominio
Entrega de Servicios y Soportes
Proceso
DS12: Administracin de Instalaciones
Objetivo de Control
Escolta de Visitantes
Riesgos Asociados
R20,R21,R2
Descripcin
Las instalaciones de las aulas de informtica y la oficina del administrador de las aulas no
son las adecuadas en cuanto a espacios, no hay una buena visibilidad de la identificacin
de las aulas de informtica, No existen identificacin de reas restringidas en la oficina del
administrador, No existen ningn tipo de detectores de humo, temperatura dentro de las
aulas de informtica, Las sealizacin para salidas de emergencia no estn instaladas o no
existen, la iluminacin solo cuenta con ventanales grandes e iluminacin artificial
insuficiente, Los interruptores de emergencia no estn debidamente identificados
Recomendacin
El Administrador de las aulas de informtica debe realizar identificacin adecuada de las
aulas, debe solicitar los recursos econmicos para la adecuacin y el mejoramiento de las
aulas y de su propia oficina
Causa
La rectora no ha asignado recursos propios para la operacin y buen funcionamiento de la
tecnologa de las aulas de informtica.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto es
catastrfico

GUA DE HALLAZGOS H4.

EMPRESA: Mariscal

R/PT: P4
Hallazgos de la Auditora
H4
Dominio
Entrega de Servicios y Soportes
Proceso
Proteccin contra Factores Ambientales
Objetivo de Control
Controles Ambientales
Riesgos Asociados
R17
Descripcin
Solo una de las seis aulas de informtica tiene sistemas de ventilacin, la cual presenta
ruido alto en su funcionamiento y balanceo.
Recomendacin
El Administrador de las aulas de informtica debe realizar mantenimiento al ventilador del
aula y gestionar recursos para adquirir los sistemas de ventilacin para las aulas restantes
Causa
El Administrador de las aulas de informtica no realiza adecuaciones locativas dentro de las
funciones que le fueron asignadas
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto
es leve

GUA DE HALLAZGOS H5.

EMPRESA: Mariscal

R/PT: P5
H5

Hallazgos de la Auditora
Entrega de Servicios y Soportes
DS12: Administracin de Instalaciones
Suministro Ininterrumpido de Energa
R1,R2,R3,R4,R5,R6
Descripcin
Existen cables de energa en el suelo que pueden ocasionar daos en las instalaciones
elctricas afectando a uno o ms equipos, Existen en el techo de las aulas cables sueltos
sin marcar, Existen conexiones de 220 voltios sin sellar junto a las tomas reguladas, la
UPS solo est disponible para el servidor, los equipos de la administracin y una de las
salas de informtica.
Recomendacin
El Administrador de las aulas de informtica debe realizar adecuaciones de instalaciones
elctricas de acuerdo a las normas vigentes, y hacer la desinstalacin de las tomas de
corriente con voltaje de 220 voltios AC para disminuir el riesgo de falla ocasionado por los
Dominio
Proceso
Objetivo de Control
Riesgos Asociados

usuarios.
Causa
El Administrador de las aulas de informtica no realiza adecuaciones locativas dentro de las
funciones que le fueron asignadas
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto es
catastrfico

GUA DE HALLAZGOS H6.

EMPRESA: Mariscal

R/PT: P6
Hallazgos de la Auditora
H6
Dominio
Entrega de Servicios y Soportes
Proceso
DS12: Administracin de Instalaciones
Objetivo de Control
Seguridad Fsica
Riesgos Asociados
R12, R13
Descripcin
Muchos cables de elctricos y de red sobre el piso que obstaculizan el paso a los
usuarios, Existen puntos elctricos de 220 voltios juntos a tomas de 110 voltios sin
identificacin adecuada, Cables de electricidad sueltos sin identificacin, Canaletas
plsticas sin proteccin, Cables de red de datos areos sin proteccin
Recomendacin
El Administrador de las aulas de informtica debe realizar adecuar de manera correcta de
acuerdo a las normas el tendido de red datos, cubrir, desinstalar las conexiones que
generen riesgo a los usuarios
Causa
El Administrador de las aulas de informtica no realiza adecuaciones locativas
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto
es leve

Informe Final
Neiva, 15 de Junio de 2013
Seor Cervantes Games, Ivan
JEFE DEL REA DE INFORMTICA
De nuestra consideracin:
Tenemos el agrado de dirigirnos a usted a efectos de elevar a nuestra consideracin el
alcance del trabajo de Auditora del rea de Informtica practicada los das 16 de Abril al
23 de Mayo, sobre la base del anlisis y procedimientos detallados de todas las
informaciones recopiladas y emitidos en el presente informe, que a nuestro criterio es
razonable.
El contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su
anlisis.
a. Situacin. Describe brevemente las debilidades resultantes de nuestro anlisis.
b. Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se
encuentran expuestos las operaciones realizadas por la Cooperativa.
c. ndice de importancia establecida. Indica con una calificacin del 0 al 3 el grado crtico del
problema y
la oportunidad en que se deben tomar las acciones correctivas del caso.
0 = Alto ( acciones correctivas inmediatas)
1 = Alto ( acciones preventivas inmediatas)
2 = Medio ( acciones diferidas correctivas)
3 = Bajo ( acciones diferidas preventivas)
Segn el anlisis realizado hemos encontrado falencias en que no existe un Comit y plan
informtico; falencias en la seguridad fsica y lgica; no existe auditoria de sistemas; falta de
respaldo a las operaciones; accesos de los usuarios.
El detalle de las deficiencias encontradas, como as tambin las sugerencias de solucin se
encuentran especificadas en el Anexo adjunto. La aprobacin y puesta en prctica de estas
sugerencias ayudarn a la empresa a brindar un servicio ms eficiente.
Agradecemos la colaboracin prestada durante nuestra visita por todo el personal de la
Municipalidad y quedamos a vuestra disposicin para cualquier aclaracin y/o ampliacin de
la presente que estime necesaria.
Atentamente.

JANETH PAOLA MEDINA MEDINA

WENDY YIRLEY HIDALGO GUEVARA

A. Organizacin y Administracin del rea

A.1. Comit y Plan Informtico a.
Situacin
Con respecto al relevamiento efectuado, hemos notado lo siguiente:
No existe un Comit de Informtica o al menos no se encuentra formalmente establecido.
No existe ninguna metodologa de planificacin, concepcin y/o seguimiento de proyectos.
b. Efectos y/o implicancias probables
Posibilidad de que las soluciones que se implementen para resolver problemas
operativos sean
parciales, tanto en Hardware como en Software.
c. Indice de importancia establecida
1 ( uno )
d. Sugerencias
Establecer un Comit de Informtica integrado por representantes de las reas funcionales
claves ( Gerencia Administrativa, responsables de las reas Operativas, responsables de
Informtica y el responsable Contable).
Trazar los lineamientos de direccin del rea de Informtica.
Implementar normas y/o procedimientos que aseguren la eficaz administracin de los
recursos
informticos, y permitan el crecimiento coherente del rea conforme a la implementacin de
las
soluciones que se desarrollen y/o se requieran de terceros.
. Efectos y/o implicancias probables
La escasez de personal debidamente capacitado, aumenta el nivel de riesgo de errores
al disminuir la posibilidad de los controles internos en el procesamiento de la informacin;
y limita la
cantidad de soluciones que pueden implementarse en tiempo y forma oportuna a los efectos
de satisfacer los requerimientos de las reas funcionales.

B. Seguridad Fsica Y Lgica

B.1. Entorno General a. Situacin
Durante nuestra revisin, hemos observado lo siguiente:
No existe una vigilancia estricta del rea de Informtica por personal de seguridad dedicado
a este sector.
No existe detectores, ni extintores automticos.
Existe material altamente inflamable.
Carencia de un estudio de vulnerabilidad de la Cooperativa, frente a las riesgos fsicos o no
fsicos, incluyendo el riesgo Informtico.
No existe un puesto o cargo especifico para la funcin de seguridad Informtica.
b. Efectos y/o implicancias probables
Probable difusin de datos confidenciales.
Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de
controles internos.
Debido a la debilidad del servicio de mantenimiento del equipo central, la continuidad de las
actividades informticas podran verse seriamente afectadas ante eventuales roturas y/o
desperfectos de los sistemas.
c. ndice de importancia establecida
0 ( cero )
d. Sugerencias
A los efectos de minimizar los riesgos descriptos, se sugiere:
Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al rea de
Informtica.
Colocar detectores y extintores de incendios automticos en los lugares necesarios.
Remover del Centro de Cmputos los materiales inflamables.
Determinar orgnicamente la funcin de seguridad.
Realizar peridicamente un estudio de vulnerabilidad, documentando efectivamente el
mismo, a los efectos de implementar las acciones correctivas sobre los puntos dbiles
que se detecten.
B.2. Auditora de Sistema a.
Situacin
Hemos observado que la Municipalidad no cuenta con auditora Informtica , ni con
polticas formales que establezcan responsables, frecuencias y metodologa a seguir
para efectuar revisiones de los archivos de auditora.
Cabe destacar que el sistema integrado posee un archivo que pudiera servir de auditoria
Informtica, el cual no es habilitado por falta de espacio en el disco duro.

b. Efectos y/o implicancias probables

Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas a los
elementos componentes del procesamiento de datos (programas, archivos de datos,
definiciones de seguridad de acceso, etc ) o bien accesos a datos confidenciales por
personas no autorizadas que no sean detectadas oportunamente.
c. ndice de importancia establecida
0 ( cero )
d. Sugerencias
Establecer normas y procedimientos en los que se fijen responsables, periodicidad y
metodologa de control de todos los archivos de auditoria que pudieran existir como asimismo,
de todos los elementos componentes de los sistemas de aplicacin.
B.3. Operaciones de Respaldo
a. Situacin
Durante nuestra revisin hemos observado que:
Existe una rutina de trabajo de tomar una copia de respaldo de datos en Disckett, que se
encuentra en el recinto del centro de cmputos, en poder del auxiliar de informtica.
Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que exijan la
prueba sistemtica de las mismas a efectos de establecer los mnimos niveles de
confiabilidad.
b. Efectos y/o implicancias probables
La Cooperativa est expuesta a la perdida de informacin por no poseer un chequeo
sistemtico peridico de los back-up's, y que los mismas se exponen a riesgo por
encontrarse en poder del auxiliar de informtica.
c. ndice de importancia establecida
0 ( cero )
d. Sugerencias
Minimizar los efectos, ser posible a travs de:
Desarrollar normas y procedimientos generales que permitan la toma de respaldo
necesarios, utilitario a utilizar.
Realizar 3 copias de respaldos de datos en Zip de las cuales, una se encuentre en el
recinto del rea de informtica, otra en la sucursal ms cercana y la ltima en poder del Jefe
de rea.
Implementar pruebas sistemticas semanales de las copias y distribucin de las mismas.
B.4. Acceso a usuarios
a. Situacin
De acuerdo a lo relevado hemos constatado que:
Existen niveles de acceso permitidos, los cuales son establecidos conforme a la funcin
que cumple cada uno de los usuarios.

 Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso.
Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema.
El sistema informtico no solicita al usuario, el cambio del Password en forma mensual.
b. Efectos y/o implicancia probables
Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra
dividida entre el rea de sistema y los usuarios finales.
La falta de seguridad en la utilizacin de los Password, podran ocasionar fraudes por
terceros.
c. ndice de importancia establecida
2 ( dos )
d. Sugerencia
Implementar algn software de seguridad y auditoria existente en el mercado o desarrollar
uno propio.
Establecer una metodologa que permita ejercer un control efectivo sobre el uso o
modificacin de los programas o archivos por el personal autorizado.

B.5. Plan de Contingencias

a. Situacin
En el transcurso de nuestro trabajo hemos observado lo siguiente:
Ausencia de un Plan de Contingencia debidamente formalizado en el rea de Informtica.
No existen normas y procedimientos que indiquen las tareas manuales e informticas que
son necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual
contingencia ( desperfectos de equipos, incendios, cortes de energa con ms de una hora
), y que determinen los niveles de participacin y responsabilidades del rea de sistemas y
de los usuarios.
No existen acuerdos formalizados de Centro de Cmputos paralelos con otras empresas
o proveedores que permitan la restauracin inmediata de los servicios informticos de la
Cooperativa en tiempo oportuno, en caso de contingencia.
b. Efectos y/o implicancia probable
Prdida de informacin vital.
Prdida de la capacidad de procesamiento.
c. ndice de Importancia relativa
1 ( uno )
d. Sugerencias
Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos
manuales e informticos para restablecer la operatoria normal de la Cooperativa y establecer
los

responsables de cada sistema.

Efectuar pruebas simuladas en forma peridica, a efectos de monitorear el desempeo de
los funcionarios responsables ante eventuales desastres.
Establecer convenios bilaterales con empresas o proveedores a los efectos de asegurar
los equipos necesarios para sustentar la continuidad del procesamiento.

C. Desarrollo y mantenimiento de los

sistemas de aplicaciones
C.1. Entorno de Desarrollo y mantenimiento de las aplicaciones
a. Situacin
No existe documentaciones tcnicas del sistema integrado de la Cooperativa y tampoco
no existe un control o registro formal de las modificaciones efectuadas.
No se cuenta con un Software que permita la seguridad de las libreras de los programas y la
restriccin y/o control del acceso de los mismos.
Las modificaciones a los programas son solicitadas generalmente sin notas internas,
en donde
se describen los cambios o modificaciones que se requieren.
b. Efectos y/o implicancias probables
La escasa documentacin tcnica de cada sistema dificulta la compresin de las normas,
demandando tiempos considerables para su mantenimiento e imposibilitando la capacitacin
del personal nuevo en el rea.
Se incrementa an ms la posibilidad de producir modificaciones errneas y/o no
autorizadas a los programas o archivos y que las mismas no sean detectadas en
forma oportuna.
c. ndice de importancia establecida
1 ( uno )
d. Sugerencias
Para reducir el impacto sobre los resultados de los efectos y consecuencias
probables sugerimos:
Elaborar toda la documentacin tcnica correspondiente a los sistemas implementados y
establecer normas y procedimientos para los desarrollos y su actualizacin.
Evaluar e implementar un software que permita mantener el resguardo de acceso de los
archivos de programas y an de los programadores.
Implementar y conservar todas las documentaciones de prueba de los sistemas, como
as tambin las modificaciones y aprobaciones de programas realizadas por los usuarios
Hardware
Equipamiento Central
La cooperativa cuenta actualmente con un Equipo Central Pentium IV con las siguientes
caractersticas:
Procesador Intel Pentium IV de 1.600 mhz

 Memoria: Ram 128 MB

Almacenamiento: 35 GB de 10 K RPM
Conexin: Ethernet 10/100
Es un equipamiento ideal para las funciones que cumple y su configuracin es
aceptable. Tiene posibilidades de crecimiento y el fabricante cuenta con repuestos y
mantenimientos que garantizan la buena utilizacin del mismo.
Equipamiento Perifrico
La cooperativa cuenta en su casa central con 30 PCs de las cuales el 50%(cincuenta
por ciento) aproximadamente son Pentium III de 550Mhs con 64 MB de memoria y
discos de 5 GB. El resto son de menor porte, pero el parque de computadoras
personales es suficientemente apto para los requerimientos actuales.
Las impresoras: de sistema (conectadas al equipo central) son de marca Epson 1170 y Epson
1200.
Adems cuentan con equipos de HP 560 de chorro de tintas conectadas a algunos equipos.
Equipamiento en Sucursales
Las sucursales cuentan con PCs AMD Athlon de 750 Mhz, 64 de memoria y discos de 5
GB. Equipamiento holgadamente apto para las funciones que cumple.
Las sucursales tienen una impresora matricial del sistema y algunos usuarios cuentan con
impresoras a chorro de tinta.
Cableado
El cableado es estructurado y con cables del tipo UTP categora 5, tanto en sucursales como
rea Informtica
Software
Software de Base
El sistema operativo con el que cuenta la Pentium IV es el de Windows Server 2000 que
posee una importante estructura de seguridad.
Con sistema de red Windows 2000. Base de datos FOX

ANEXOS

Encuesta
1. El rea cumple con las funciones asignadas en el MOF de la Institucin?
2. Cuntas personas laboran en el centro de cmputo?
Laboran 4 Personas.
3. Considera que el rea de trabajo es la adecuada o apropiada para el desempeo de sus
labores?
4. Considera que es adecuado el nmero de personas que laboran en el rea?
5. Se deja de realizar alguna actividad por falta de personal?
6. Esta el personal que utiliza el computador educado en las necesidades de
seguridad?
7. Con respecto a la parte fsica de la OCI; se cumple con las normas de seguridad
establecidas para los equipos de cmputo?
8. Esta el rea del computador libre de material combustible, como suministro de papel en
exceso de las necesidades inmediatas?
9. Existe en la OCI extinguidores de incendio claramente identificados para lo que uso se
refiere?
10. Sobre el mantenimiento del equipo; cuenta con las herramientas necesarias para
brindar un buen servicio en el momento requerido?
11. El rea cuenta con un respectivo plan de contingencias?
12. Si cuenta con un plan de contingencias Se han identificado las aplicaciones vitales
para operacin del rea?

POLTICAS EN INFORMTICA PROPUESTA

TITULO I
DISPOSICIONES GENERALES

ARTICULO 1.- El presente ordenamiento tiene por ob jeto estandarizar y contribuir al

desarrollo informtico de las diferentes unidades administrativas de la Empresa NN.
ARTICULO 2.- Para los efectos de este instrumento se entender por:
Comit: Al equipo integrado por la Direccin , Subdireccin, los Jefes departamentales y el
personal administrativo de las diferentes unidades administrativas (Ocasionalmente)
convocado para fines especficos como:
Adquisiciones de Hardware y software
Establecimiento de estndares de la Empresa NN tanto de hardware como de
software
Establecimiento de la Arquitectura tecnolgica de grupo.
Establecimiento de lineamientos para concursos de ofertas

Administracin de Informtica: Est integrada por la Direccin, Subdireccin y Jefes

Departamentales, las cuales son responsables de:
Velar por el funcionamiento de la tecnologa informtica que se utilice en las
diferentes unidades administrativas
Elaborar y efectuar seguimiento del Plan Maestro de Informtica
Definir estrategias y objetivos a corto, mediano y largo plazo
Mantener la Arquitectura tecnolgica
Controlar la calidad del servicio brindado
Mantener el Inventario actualizado de los recursos informticos
Velar por el cumplimiento de las Polticas y Procedimientos establecidos.

ARTICULO 3.- Para los efectos de este documento, s e entiende por Polticas en

Informtica, al conjunto de reglas obligatorias, que deben observar los Jefes de Sistemas
responsables del hardware y software existente en la Empresa NN, siendo
responsabilidad de la Administracin de Informtica, vigilar su estricta observancia en el mbito
de su competencia, tomando las medidas preventivas y correctivas para que se cumplan.
ARTICULO 4.- Las Polticas en Informtica son el

conjunto de ordenamientos y

lineamientos enmarcados en el mbito jurdico y administrativo de la Empresa NN. Estas

normas inciden en la adquisicin y el uso de los Bienes y Servicios Informticos en la
Empresa NN, las cuales se debern de acatar invariablemente, por aquellas instancias que
intervengan directa y/o indirectamente en ello.
ARTICULO 5.- La instancia rectora de los sistemas de informtica de la Empresa NN es la
Administracin, y el organismo competente para la aplicacin de este ordenamiento, es el
Comit.
ARTICULO 6.- Las presentes Polticas aqu contenid as, son de observancia para la
adquisicin y uso de bienes y servicios informticos, en la Empresa NN, cuyo incumplimiento
generar que se incurra en responsabilidad administrativa; sujetndose a lo dispuesto en la
seccin Responsabilidades Administrativas de Sistemas.
ARTICULO 7.- Las empresas de la Empresa NN debern contar con un Jefe o responsable
del Area de Sistemas, en el que recaiga la administracin de los Bienes y Servicios, que
vigilar la correcta aplicacin de los ordenamientos establecidos por el Comit y dems
disposiciones aplicables.

TITULO II
LINEAMIENTOS PARA LA ADQUISICION DE BIENES DE INFORMATICA

ARTICULO 8.- Toda adquisicin de tecnologa informtica se efecta a travs del

Comit, que est conformado por el personal de la Administracin de Informtica y
Gerente Administrativo de la unidad solicitante de bienes o servicios informticos. ARTICULO
9.- La adquisicin de Bienes de Informtica en la Empresa NN, quedar sujeta a los
lineamientos establecidos en este documento.

ARTICULO 10.- La Administracin de Informtica, al planear las operaciones relativas a la

adquisicin de Bienes informticos, establecer prioridades y en su seleccin deber tomar
en cuenta: estudio tcnico, precio, calidad, experiencia, desarrollo tecnolgico, estndares y
capacidad, entendindose por:

Precio.- Costo inicial, costo de mantenimiento y consumibles por el perodo estimado

de uso de los equipos;
Calidad.- Parmetro cualitativo que especifica las caractersticas tcnicas de los
recursos informticos.
Experiencia.- Presencia en el mercado nacional e internacional, estructura de
servicio, la confiabilidad de los bienes y certificados de calidad con los que se
cuente;
Desarrollo Tecnolgico.- Se deber analizar su grado de obsolescencia, su nivel
tecnolgico con respecto a la oferta existente y su permanencia en el mercado;

Estndares.- Toda adquisicin se basa en los estndares, es decir la arquitectura de

grupo empresarial establecida por el Comit. Esta arquitectura tiene una
permanencia mnima de dos a cinco aos.
Capacidades.- Se deber analizar si satisface la demanda actual con un margen de
holgura y capacidad de crecimiento para soportar la carga de trabajo del rea.
ARTICULO 11.- Para la adquisicin de Hardware se o observar lo siguiente:
a) El equipo que se desee adquirir deber estar dentro de las listas de ventas vigentes de los
fabricantes y/o distribuidores del mismo y dentro de los estndares de la Empresa NN. b)
Debern tener un ao de garanta como mnimo
c) Debern ser equipos integrados de fbrica o ensamblados con componentes previamente
evaluados por el Comit.
d) La marca de los equipos o componentes deber contar con presencia y permanencia
demostrada en el mercado nacional e internacional, as como con asistencia tcnica y
refaccionaria local.
e) Tratndose de equipos microcomputadoras, a fin de mantener actualizado la arquitectura
informtico de la Empresa NN, el Comit emitir peridicamente las especificaciones

tcnicas mnimas para su adquisicin.

f) Los dispositivos de almacenamiento, as como las interfaces de entrada/salida, debern
estar acordes con la tecnologa de punta vigente, tanto en velocidad de transferencia de
datos, como en el ciclo del proceso.
g) Las impresoras debern apegarse a los estndares de Hardware y Software vigentes en
el mercado y la Empresa NN, corroborando que los suministros (cintas, papel, etc.) se
consigan fcilmente en el mercado y no estn sujetas a un solo proveedor.

h) Conjuntamente con los equipos, se deber adquirir el equipo complementario

adecuado para su correcto funcionamiento de acuerdo con las especificaciones de los
fabricantes, y que esta adquisicin se manifieste en el costo de la partida inicial.
i)Los equipos complementarios debern tener una garanta mnima de un ao y debern
contar con el servicio tcnico correspondiente en el pas.
j) Los equipos adquiridos deben contar, de preferencia con asistencia tcnica durante la
instalacin de los mismos.
k) En lo que se refiere a los computadores denominados servidores, equipo de
comunicaciones como enrutadores y concentradores de medios, y otros que se justifiquen por
ser de operacin crtica y/o de alto costo; al vencer su perodo de garanta, deben de contar
con un programa de mantenimiento preventivo y correctivo que incluya el suministro
de refacciones.
l) En lo que se refiere a los computadores denominados personales, al vencer su garanta por
adquisicin, deben de contar por lo menos con un programa de servicio de mantenimiento
correctivo que incluya el suministro de refacciones.
Todo proyecto de adquisicin de bienes de informtica, debe sujetarse al anlisis,
aprobacin y autorizacin del Comit.
ARTICULO 12: En la adquisicin de Equipo de cmputo se deber incluir el Software
vigente precargado con su licencia correspondiente considerando las disposiciones del
artculo siguiente.

ARTICULO 13.- Para la adquisicin de Software base

y utilitarios, el Comit dar a

conocer peridicamente las tendencias con tecnologa de punta vigente, siendo la lista de

productos autorizados la siguiente:

a. Plataformas de Sistemas Operativos:
MS-DOS, MS- Windows 95 Espaol, Windows NT, Novell Netware, Unix(Automotriz). b.
Bases de Datos:
Foxpro, Informix
c. Manejadores de bases de datos:

Foxpro para DOS, VisualFox, Access d.

Lenguajes de programacin:

Los lenguajes de programacin que se utilicen deben ser compatibles con las plataformas
enlistadas.
SQL Windows
Visual Basic
VisualFox
CenturaWeb Notes
Designer

e. Hojas de clculo:

Excel
f.

Procesadores de palabras:

Word
g. Diseo Grfico:

Page Maker, Corel Draw

h. Programas antivirus.

F-prot, Command Antivirus, Norton Antivirus i.

Correo electrnico

Notes Mail
j.

Browser de Internet

Netscape

En la generalidad de los casos, slo se adquirirn las ltimas versiones liberadas de los
productos seleccionados, salvo situaciones especficas que se debern justificar ante el
Comit. Todos los productos de Software que se adquieran debern contar con su
licencia de uso, documentacin y garanta respectivas.
ARTICULO 14.- Todos los productos de Software que se utilicen a partir de la fecha en
que entre en vigor el presente ordenamiento, debern contar con su licencia de uso
respectiva; por lo que se promover la regularizacin o eliminacin de los productos ya
instalados que no cuenten con la licencia respectiva.

ARTICULO 15.- Para la operacin del software de re d se debe tener en consideracin lo

siguiente:
a) Toda la informacin institucional debe invariablemente ser operada a travs de un mismo
tipo de sistema manejador de base de datos para beneficiarse de los mecanismos de
integridad, seguridad y recuperacin de informacin en caso de falla del sistema de
cmputo.
b) El acceso a los sistemas de informacin, debe contar con los privilegios niveles de
seguridad de acceso suficientes para garantizar la seguridad total de la informacin
institucional.

Los

niveles

de

seguridad

de

acceso

debern

controlarse

por

un

administrador nico y poder ser manipulado por software. Se deben delimitar las
responsabilidades en cuanto a quin est autorizado a consultar y/o modificar en cada caso
la informacin, tomando las medidas de seguridad pertinentes para cada caso.
c) El titular de la unidad administrativa responsable del sistema de informacin debe
autorizar y solicitar la asignacin de clave de acceso al titular de la Unidad de Informtica. d)
Los datos de los sistemas de informacin, deben ser respaldados de acuerdo a la
frecuencia de actualizacin de sus datos, rotando los dispositivos de respaldo y
guardando respaldos histricos peridicamente. Es indispensable llevar una bitcora
oficial de los respaldos realizados, asimismo, las cintas de respaldo debern guardarse en un
lugar de acceso restringido con condiciones ambientales suficientes para garantizar su

conservacin. Detalle explicativo se aprecia en la Poltica de respaldos en vigencia.

e) En cuanto a la informacin de los equipos de cmputo personales, la Unidad de
Informtica recomienda a los usuarios que realicen sus propios respaldos en la red o en
medios de almacenamiento alternos.
f) Todos los sistemas de informacin que se tengan en operacin, deben contar con sus
respectivos manuales actualizados. Uno tcnico que describa la estructura interna del
sistema as como los programas, catlogos y archivos que lo conforman y otro que describa
a los usuarios del sistema, los procedimientos para su utilizacin.
h) Los sistemas de informacin, deben contemplar el registro histrico de las transacciones
sobre datos relevantes, as como la clave del usuario y fecha en que se realiz (Normas
Bsicas de Auditora y Control).
i )Se deben implantar rutinas peridicas de auditora a la integridad de los datos y de los
programas de cmputo, para garantizar su confiabilidad.

ARTICULO 16.- Para la contratacin del servicio de desarrollo o construccin de

Software aplicativo se observar lo siguiente:
Todo proyecto de contratacin de desarrollo o construccin de software requiere de un
estudio de factibilidad que permita establecer la rentabilidad del proyecto as como los
beneficios que se obtendrn del mismo.
Todo proyecto deber ser aprobado por el Comit en base a un informe tcnico que
contenga lo siguiente:
Bases del concurso (Requerimientos claramente especificados)
Anlisis de ofertas (Tres oferentes como mnimo) y Seleccin de oferta ganadora
Bases del Concurso
Las bases del concurso especifican claramente los objetivos del trabajo, delimita las
responsabilidades de la empresa oferente y la contratante.
De las empresas oferentes:
Los requisitos que se deben solicitar a las empresas oferentes son:
a. Copia de la Cdula de Identidad del o los representantes de la compaa
b.

Copia de los nombramientos actualizados de los representantes legales de la

compaa

c.

Copia de los Estatutos de la empresa, en que aparezca claramente definido el

objeto de la compaa, esto es para determinar si est o no facultada para realizar la

obra
d. Copia del RUC de la compaa
e. Referencias de clientes (Mnimo 3)
f.

La carta con la oferta definitiva del contratista debe estar firmada por el
representante legal de la compaa oferente.

De la contratante
Las responsabilidades de la contratante son:
a. Delinear adecuadamente los objetivos y alcance del aplicativo. b.
Establecer los requerimientos del aplicativo
c. Definir responsabilidades de la contratista y contratante d.
Establecer campos de accin

Anlisis de ofertas y Seleccin de oferta ganadora:

Para definir la empresa oferente ganadora del concurso, el Comit establecer una
reunin en la que se debe considerar los siguientes factores:
a. Costo
b. Calidad
c. Tiempo de permanencia en el mercado de la empresa oferente d.
Experiencia en el desarrollo de aplicativos
e. Referencias comprobadas de Clientes
f.

Cumplimiento en la entrega de los requisitos

Aprobada la oferta se debe considerar los siguientes lineamientos en la elaboracin de

contratos:
Todo contrato debe incluir lo siguiente:
Antecedentes, objeto del contrato, precio, forma de pago, plazo, obligaciones del contratista,
responsabilidades, fiscalizador de la obra, garantas, entrega recepcin de obra provisional y
definitiva, sanciones por incumplimientos, rescisin del contrato, disposiciones supletorias,
documentos incorporados, solucin de controversias, entre otros aspectos.
Las garantas necesarias para cada contrato deben ser incluidas en forma conjunta con el
Departamento Legal, quienes deben asesorar el tipo de garanta necesaria en la elaboracin

de cada contrato.
Las garantas que se deben aplicar de acuerdo al tipo de contrato son:
a. Una garanta bancaria o una pliza de seguros, incondicional, irrevocable y de cobro
inmediato por el 5% del monto total del contrato para asegurar su fiel cumplimiento, la
cual se mantendr vigente durante todo el tiempo que subsista la obligacin motivo
de la garanta.

b. Una garanta bancaria o una pliza de seguros, incondicional, irrevocable y de cobro

inmediato equivalente al 100 % (ciento por ciento) del anticipo. Esta garanta se
devolver en su integridad una vez que el anticipo se haya amortizado en la forma de
pago estipulada en el contrato.
c. Un fondo de garanta que ser retenido de cada planilla en un porcentaje del 5 %.
Junto al contrato se deber mantener la historia respectiva del mismo que se compone de
la siguiente documentacin soporte:
Estudio de factibilidad
Bases del concurso
Ofertas presentadas
Acta de aceptacin de oferta firmada por los integrantes del Comit
Informes de fiscalizacin
Acta de entrega provisional y definitiva

TITULO III
INSTALACIONES

ARTICULO 17.- La instalacin del equipo de cmputo , quedar sujeta a los siguientes
lineamientos:
a) Los equipos para uso interno se instalarn en lugares adecuados, lejos de polvo y trfico
de personas.
En las reas de atencin directa al pblico los equipos se instalarn en lugares
adecuados.
b) La Administracin de Informtica, as como las reas operativas debern contar con un
croquis actualizado de las instalaciones elctricas y de comunicaciones del equipo de

cmputo en red.
c) Las instalaciones elctricas y de comunicaciones, estarn de preferencia fijas o en su
defecto resguardadas del paso de personas o mquinas, y libres de cualquier
interferencia elctrica o magntica.
d) Las instalaciones se apegarn estrictamente a los requerimientos de los equipos,
cuidando las especificaciones del cableado y de los circuitos de proteccin necesarios;
e) En ningn caso se permitirn instalaciones improvisadas o sobrecargadas.
f) Cuando en la instalacin se alimenten elevadores, motores y maquinaria pesada, se
deber tener un circuito independiente, exclusivo para el equipo y/o red de cmputo.

ARTICULO 18.- La supervisin y control de las instalaciones se llevar a cabo en los

plazos y mediante los mecanismos que establezca el Comit.

TITULO IV
LINEAMIENTOS EN INFORMATICA
CAPITULO I
INFORMACION

ARTICULO 19.- Los archivos magnticos de informacin se debern inventariar,

anexando la descripcin y las especificaciones de los mismos, clasificando la informacin en
tres categoras:
1. Informacin histrica para auditoras
2. Informacin de inters de la Empresa NN
3. Informacin de inters exclusivo de algn rea en particular.
ARTICULO 20.- Los jefes de sistemas responsables d el equipo de cmputo y de la
informacin contenida en

los

centros de

cmputo a

su

cargo, delimitarn las

responsabilidades de sus subordinados y determinarn quien est autorizado a efectuar

operaciones emergentes con dicha informacin tomando las medidas de seguridad
pertinentes.
ARTICULO 21.- Se establecen tres tipos de prioridad para la informacin:
1. Informacin vital para el funcionamiento de la unidad administrativa;
2. Informacin necesaria, pero no indispensable en la unidad administrativa;

3. Informacin ocasional o eventual.

ARTICULO 22.- En caso de informacin vital para el funcionamiento de la unidad
administrativa, se debern tener procesos concomitantes, as como tener el respaldo
diario de las modificaciones efectuadas, rotando los dispositivos de respaldo y guardando
respaldos histricos semanalmente.
ARTICULO 23.- La informacin necesaria pero no indispensable, deber ser respaldada con
una frecuencia mnima de una semana, rotando los

dispositivos de

respaldo y

guardando respaldos histricos mensualmente.

ARTICULO 24.- El respaldo de la informacin ocasional o eventual queda a criterio de la
unidad administrativa.
ARTICULO 25.- Los archivos magnticos de informacin, de carcter histrico quedarn
documentados

como

activos

de

la

unidad

acadmica

estarn

debidamente

resguardados en su lugar de almacenamiento.

Es obligacin del responsable del equipo de cmputo, la entrega conveniente de los archivos
magnticos de informacin, a quien le suceda en el cargo.

ARTICULO 26.- Los sistemas de informacin en operacin, como los que se desarrollen
debern contar con sus respectivos manuales. Un manual del usuario que describa los
procedimientos de operacin y el manual tcnico que describa su estructura interna,
programas, catlogos y archivos.

CAPITULO II
FUNCIONAMIENTO

ARTICULO 27.- Es obligacin de la Administracin d e Informtica vigilar que el equipo de

cmputo se use bajo las condiciones especificadas por el proveedor y de acuerdo a las
funciones del rea a la que se asigne.
ARTICULO 28.- Los colaboradores de la empresa al usar el equipo de cmputo, se
abstendrn de consumir alimentos, fumar o realizar actos que perjudiquen el funcionamiento
del mismo o deterioren la informacin almacenada en medios magnticos, pticos, etc.
ARTICULO 29.- Por seguridad de los recursos informticos se deben establecer
seguridades:

Fsicas
Sistema Operativo
Software
Comunicaciones
Base de Datos
Proceso Aplicaciones
Por ello se establecen los siguientes lineamientos:
Mantener claves de acceso que permitan el uso solamente al personal autorizado
para ello.
Verificar la informacin que provenga de fuentes externas a fin de corroborar que
estn libres de cualquier agente externo que pueda contaminarla o perjudique el
funcionamiento de los equipos.
Mantener plizas de seguros de los recursos informticos en funcionamiento

ARTICULO 30.- En ningn caso se autorizar la utilizacin de dispositivos ajenos a los

procesos informticos de la unidad administrativa.
Por consiguiente, se prohbe el ingreso y/o instalacin de hardware y software particular, es
decir que no sea propiedad de una unidad administrativa de la Empresa NN, excepto en
casos emergentes que la Direccin autorice.

CAPITULO III
PLAN DE CONTINGENCIAS

ARTICULO 31.- La Administracin de Informtica cre ar para las empresas y

departamentos un plan de contingencias informticas que incluya al menos los siguientes
puntos:
a) Continuar con la operacin de la unidad administrativa con procedimientos informticos
alternos;
b) Tener los respaldos de informacin en un lugar seguro, fuera del lugar en el que se
encuentran los equipos.
c) Tener el apoyo por medios magnticos o en forma documental, de las operaciones
necesarias para reconstruir los archivos daados;

d) Contar con un instructivo de operacin para la deteccin de posibles fallas, para que
toda accin correctiva se efecte con la mnima degradacin posible de los datos;
e) Contar con un directorio del personal interno y del personal externo de soporte, al cual se
pueda recurrir en el momento en que se detecte cualquier anomala;
f) Ejecutar pruebas de la funcionalidad del plan
f) Mantener revisiones del plan a fin de efectuar las actualizantes respectivas

CAPITULO IV
ESTRATEGIAS

ARTICULO 32.- La estrategia informtica de la DDT se consolida en el Plan Maestro de

Informtica y est orientada hacia los siguientes puntos:
a) Plataforma de Sistemas Abiertos;
b) Descentralizacin del proceso de informacin
c) Esquemas de operacin bajo el concepto cliente/servidor
d) Estandarizacin de hardware, software base, utilitarios y estructuras de datos e)
Intercomunicacin entre unidades y equipos mediante protocolos estndares f)
Intercambio de experiencias entre Departamentos de Informtica.
g) Manejo de proyectos conjuntos con las diferentes unidades administrativas.
h) Programa de capacitacin permanente para los colaboradores de la empresa del rea de
informtica
i) Integracin de sistemas y bases de datos de la Empresa NN, para tener como meta final un
Sistema Integral de Informacin Corporativo.
j) Programacin con ayudas visuales e interactivas. Facilitando interfaces amigables al
usuario final.
k) Integracin de sistemas teleinformticos (Intranet De grupo empresarial).

ARTICULO 33.- Para la elaboracin de los proyectos informticos y para la presupuestario

de los mismos, se tomarn en cuentan tanto las necesidades de hardware y software de la
unidad administrativa solicitante, como la disponibilidad de recursos con que stas cuenten.