INFORME FINAL DE AUDITORIA DE SISTEMAS DE LA EMPRESA EXTREX

LIMITADA

TALLERES REALIZADOS PARA COMPLEMENTAR INFORME FINAL

ANEXO
Diagnstico de la situacin actual
Presentacin de la empresa
EXTREX LIMITADA
ROL BASICO
Se dedica principalmente a la distribucin de los productos.
NATURALEZA
Comercializacin.
UBICACIN
La empresa EXTREX LIMITADA se encuentra ubicada en Melgar del departamento de
Cundinamarca en la carrera 22N4-93

ANTECEDENTES

Los comerciantes ANA SOFIA VARGAS MARTINEZ Y HECTOR CORTEZ conocedores

del problema existente del pueblo Melgar / Cundinamarca por cuanto en esto no exista un
establecimiento de comercio que vendiera los productos relacionados con la construccin,
de ah nace la idea de crear un establecimiento de comercio llamado FERRON melgar, su
objeto social es promocionar y vender productos como : pvc, sement, hierro entre otros;
para ello se compr un lote de terreno ubicado en la carrera 22N4-93 en la cual se
construy una bodega y oficinas con un rea aproximadamente de 250 metros cuadrados
y una camioneta para su distribucin.
Para desarrollar el objeto social nos constituimos como empresa con la inscripcin de la
Cmara de Comercio solicitando el Rut ante la administracin de impuestos nacionales y
la inscripcin en valorizacin del municipio como comerciante, paso siguiente fue
seleccionar los proveedores para eso se cont con la experiencia del vendedor externo en
cuanto l ya haba trabajado en esta rea y esta se abre al pblico el 2 de junio de 1992.
A raz de algunos inconvenientes de tipo econmico originados por mal manejo de cartera
y el cierre de la va principal va alameda, este negocio se vio abocado a problemas de
embargo financieros y de problemas de impuestos lo que hizo que el primero de julio del
ao 2010 previa a una transaccin de venta del establecimiento de comercio y sus
inventarios...

Esto dio origen a una nueva empresa llamada EXTREX LIMITADA

Es el nombre comercial el cual fue registrada en la cmara de comercio, el Rut y por
ltimo en la inscripcin de planeacin para lo cual se hizo una inyeccin de capital por
ms de 40 millones de pesos lo que ha permitido volver a llegar a la comunidad con
buenos servicios y materiales.

MISION
Abastecer y satisfacer las necesidades en cuanto a la construccin de vivienda que
requieren los habitantes del pueblo brindndoles una calidad en atencin y servicios,
ofrecindoles infinitas variedades de productos , adems de brindar orientacin y
consejera en el manejo y uso de nuestros productos en venta y atencin al pblico.

VISIN
Suministrar el mximo de elementos y productos que la gente solicite con el fin de
brindarle comodidad al cliente para que no se vea forzado al desplazamiento a otro
pueblo y as hacer que el cliente se sienta cmodo y satisfecho

OBJETIVOS

Satisfacer las necesidades del cliente.

Ofrecer productos de excelente calidad.
Vender al por mayor y vender al detal
ORGANIGRAMA DE LA EMPRESA
MATRIZ DOFA DE EXTREX LIMITADA
SEPTIEMBRE 16/2011

Seores

EXTREX LIMITADA

Estimados seores

Nos es grato someter a su consideracin nuestra propuesta para la prestacin de los

servicios profesionales de auditora informtica. Nuestro propsito en particular es poder
servir a la empresa EXTREX Limitada y estaremos comprometidos a ofrecer sus mejores
recursos humanos y tcnicos para hacerlo.

Sabemos que brindar servicios profesionales de alta calidad, requiere conocimiento,

experiencia, creatividad y por sobre todo, espritu de trabajo y dedicacin.
Una caracterstica de nuestra modalidad de servicio es nuestro contacto personal con el
cliente, en especial de nuestros socios y gerentes, de modo tal de estudiar las cuestiones
a medida que surjan, tratando en lo posible de anticiparnos a los problemas.

El equipo de trabajo estar dirigido por un Socio de la Firma, quin ser el responsable de
asegurar que reciban un servicio de la ms alta calidad. El trabajo de campo ser
ejecutado por personal capacitado y experimentado en el rea informtico.

Confiamos haber planteado en nuestra propuesta un enfoque y un alcance del trabajo que
se adecua a sus necesidades y responde a nuestra filosofa de servicios profesionales de
alto valor agregado.

Quedamos a nuestra disposicin para efectuar las aclaraciones o ampliaciones que Uds.
Consideren necesarias.
Sin otro particular, los saludamos muy atentamente

Auditora Lder Gerente Administrativa

--------------------- --------------- -------------------------- -----------------
ERIKA TATIANA GONZALES VARGAS. ANA SOFIA VARGAS M.
RICAURTE, 12/OCTUBRE
SEORA ANA SOFIA VARGAS M.
GERENTE ADMINISTRATIVA
De nuestra consideracin:
Tenemos el agrado de dirigirnos a ustedes a efectos de elevar a su consideracin el
alcance del trabajo de Auditora del rea de Informtica practicada los das 16 de
septiembre del 2011 hasta el al 12 de octubre del 2011, sobre la base del anlisis y
procedimientos detallados de todas las informaciones recopiladas y emitidos en el
presente informe, que a nuestro criterio es razonable.

Sntesis de la revisin realizada, clasificado en las siguientes secciones:

A. Organizacin y Administracin del rea

B. Seguridad fsica y lgica
C. Desarrollo y mantenimiento de los sistemas de aplicaciones
Segn el anlisis realizado hemos encontrado falencias como

A no existe un Comit y plan informtico

B. Falta de organizacin y administracin del rea
C. Falencias en la seguridad fsica y lgica
D. No existe auditora de sistemas
E. Falta de respaldo a las operaciones
F. Accesos de los usuarios
G. Plan de contingencias
H. Entorno de desarrollo y mantenimiento de las aplicaciones.

El detalle de las deficiencias encontradas, como as tambin las sugerencias de solucin

se encuentran especificadas en el Anexo adjunto. La aprobacin y puesta en prctica de
estas sugerencias ayudarn a la empresa a brindar un servicio ms eficiente a todos sus
clientes.
Agradecemos la colaboracin prestada durante nuestra visita al personal de la empresa
y quedamos a su disposicin para cualquier aclaracin y/o ampliacin de la presente que
estime necesaria.

Atentamente.

Auditora Lder Gerente Administrativa

--------------------- --------------- -------------------------- -----------------
ERIKA TATIANA GONZALES VARGAS. ANA SOFIA VARGAS M.
INFORME FINAL DE AUDITORIA DE SISTEMAS

ERIKA TATIANA GONZALES VARGAS

CORPORACION UNIFIACAD NACIONAL (CUN)

AUDITORIA DE SISTEMAS
SAN VICENTE DEL CAGUAN CAQUETA
NOVIEMBRE /2011
INFORME FINAL DE AUDITORIA DE SISTEMAS

ERIKA TATIANA GONZALES VARGAS

DOCENTE:
MARLON YASSIR WHITE

CORPORACION UNIFIACAD NACIONAL (CUN)

AUDITORIA DE SISTEMAS
SAN VICENTE DEL CAGUAN CAQUETA
NOVIEMBRE /2011
INFORME FINAL DE LA EMPRESA
EXTREX LIMITADA

INTRODUCCION

Atreves de este trabajo esperamos obtener conocimiento de cada una de las instalaciones
que posee la empresa EXTREX LIMITADA, nuestro trabajo consiste en hacer auditoria de
sistemas detalladamente con el fin de encontrar las falencias y fortalezas que posee la
empresa tanto fsica como lgica.

JUSTIFICACIN
Este trabajo se realiz con el fin de conocer cada una de las instalaciones fsicas y lgicas
que posee la empresa EXTREX LIMITADA, especialmente en los equipos de cmputo
teniendo como objetivo encontrar falencias y fortalezas en el rea.

FECHA DE INICIACION
La auditora que se realiz en la empresa EXTREX LIMITADA se inici el 16 de
septiembre del ao 2011.

FECHA DE FINALIZACION
La auditora realizada en la empresa EXTREX LIMITADA tiene como fecha de finalizacin
el da 12 de octubre del ao 2011.

ALCANCE
La auditora de sistemas se realiz en las instalaciones de la empresa EXTREX
LIMITADA ubicada en la C22N4-93 en especial en los equipos de cmputo.

OBJETIVO GENERAL

Revisar y Evaluar los controles, sistemas, procedimientos de informtica; de los

equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que
participan en el procesamiento de la informacin, con el fin de que por medio del
sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura
de la informacin que servir para una adecuada toma de decisiones.
OBJETIVOS ESPECIFICOS

Evaluar el diseo y prueba de los sistemas del rea de Informtica.

Determinar la veracidad de la informacin del rea de Informtica

Evaluar los procedimientos de control de operacin, analizar su combinacin y

evaluar el cumplimiento de los mismos.

Evaluar el control que se tiene sobre el mantenimiento y las fallas de las PC.

Verificar las disposiciones y reglamentos que ayuden al mantenimiento del orden

dentro del departamento de cmputo.

RECURSOS

El nmero de personas que integraron el equipo de auditora. Fue una persona (1), con un
tiempo mximo de ejecucin de 3 a 4 semanas.

AUDITORA:
ERIKA TATIANA GONZALES VARGAS

ETAPAS DE TRABAJO

RECOPILACION DE INFORMACION BASICA

En el trabajo realizado se le hizo unas entrevistas a la los encargados del manejo de la

empresa EXTREX LIMITADA, en el caso presente a la Gerente Administrativa ANA
SOFIA VARGAS M. Se le entrego unos cuestionarios con el objetivo saber cmo es el
manejo de los equipos de cmputo que utilizan y los procesos que se realizan en ellos.
Un auditor se encarg de realizar lo anterior como herramienta de trabajo para obtener
una visin mejor enfocada en la auditoria ejecutada.

TEMAS A ESTUDIAR DE LA EMPRESA EXTREX LIMITADA

Antecedentes

Misin

Visin

Objetivos

Caractersticas de los equipos de cmputo en lo fsico y lgico.

Fecha de Actualizacin e instalacin de software en los equipos.

Documentacin de soporte de los equipos (facturas, licencias del software).

Seguridad en prevencin de la empresa

DESARROLLO DE LOS TEMAS

1. Se realiz una entrevista a la Gerente Administrativa ANA SOFIA VARGAS M. para

conocer los antecedentes de la empresa su misin, visin y objetivos.

2. Se realiz una entrevista para comprobar si los servicios planeados por la direccin
de informtica cubre las necesidades de informacin de las dependencias.

3. Se hizo una visita la trataba de averiguar cuntos equipos de cmputo posee el

establecimiento y su ubicacin cada uno de ellos.
4. Atreves de una entrevista se realiz una lista de chequeo que fue contestada por la
Gerente Administrativa ANA SOFIA VARGAS M.

BASE DE ANALISIS Y PROCEDIMIENTOS DETALLADOS DE LAS INFORMACIONES

RECOPILADAS Y EMITIDOS EN EL PRESENTE INFORME

ORGANIZACIN Y ADMINISTRACION DEL AREA

SITUACION ACTUAL:
Con respecto a la organizacin y Administracin del rea de sistemas, he observado lo
siguiente:

El rea necesita de una estructura organizacional

Existe una escasa cantidad de funcionarios capacitados, afectados al rea de

sistemas, con lo cual se evidencia una variedad de tareas desarrolladas con una
misma persona.

Ausencia de manual de funciones para cada lugar de trabajo dentro del rea.

SUGERENCIAS

Establecer una estructura organizacional del rea donde se establezca lo

siguiente:
1. Gerencia del rea informtica
2. Jefe del rea
3. Desarrollo y mantenimiento de aplicaciones
4. Soporte tcnico
5. Centro de atencin a usuarios
 Contratar personal capacitado para una mayor seguridad y manejo en los
equipos de cmputo.

Que se establezca un manual de funciones para cada uno de los cargos

funcionales en el rea de cmputo.

EFECTOS Y/O IMPLICACIONES PROBABLES POR LAS DEFICIENCIAS

Por falta de una estructura organizacional la empresa se ve afectada a estar en

amenaza de prdida de informacin por descuido de los que manejan los equipos
de cmputo ya que ellos no tienen conocimiento adecuado para proteger sus
documentos, datos digitados, prevencin en los equipos.

La insuficiencia de personal capacitado, aumenta el nivel de riesgo y controla la

cantidad de soluciones que puedan implementarse en tiempo y forma oportuna a
los efectos de satisfacer la demanda de las areas funcionales.

Si no se obtiene un manual de funcionamiento para cada uno de los empleados la

empresa se puede ver afectada debido que cada uno de los trabajadores no tiene
ni la mnima idea de cumplir sus funciones para cada uno de los cargos, y pueden
intervenir en otras areas que no les corresponde esto obliga a que posiblemente
haya perdida de documentacin o datos y pude ser muy difcil saber quin
ocasion tal perdida.

SEGURIDAD FISICA Y LOGICA

SITUACION ACTUAL: Durante la revisin, he observado lo siguiente:

No existe una vigilancia adecuada del rea de Informtica por personal de

seguridad dedicado a este sector.
Cuenta con equipos indefensos debido a que no tienen instalado ningn antivirus.
No tienen detectores, ni extintores automticos.
Existe material altamente inflamable, en los que se encuentra documentos que
estn cerca de los equipos de cmputo, qumicos, y material elaborado en
plstico.
 Falta de un estudio de vulnerabilidad de la FERRETERIA AROD, frente a los
riesgos fsicos o no fsicos, incluyendo el riesgo Informtico.
No existe un cargo especfico para la funcin de seguridad Informtica.
Deben tener extintores para cada uno de los accidentes provocados en sus
diferentes formas.
Tener conocimiento en el manejo de extintores segn su clase (A, B, C, D)
Falta de un guardia de seguridad para cuide la empresa en la noche.
Poner alarmas de seguridad.

SUGERENCIAS

A los efectos de minimizar los riesgos anteriormente mencionados, se sugiere lo

siguiente:

Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al

rea de Informtica.
Instalar un antivirus en cada uno de los equipos de cmputo el ms recomendable
el Avast, porque no requiere tanto de memoria RAM y es uno de los antivirus ms
livianos con una capacidad ms o menos de 40 MB.
Colocar detectores y extintores de incendios automticos en los lugares
necesarios.
Remover del Centro de Cmputos los materiales inflamables.
Realizar peridicamente un estudio de vulnerabilidad, documentando el mismo,
para implementar las acciones correctivas sobre los puntos dbiles que se
detecten.
Determinar orgnicamente la funcin de seguridad.
Los extintores ms recomendados segn tipo de uso son:

1. De tipo A: Son los fuegos en materiales combustibles comunes como (Maderas, tela,
papel, caucho y muchos plsticos)

2. De tipo B: Son los fuegos de lquidos inflamables y combustibles (grasa de petrleo,

alquitrn, bases de aceite para pintura, solventes, lacas,
Alcoholes y gases inflamables).

3. De tipo C: son los de gas carbnico o dixido de carbono, el qumico seco comn, y
de qumico seco mltiple; son los recomendados para incendios provocados por equipos
elctricos (electrodomsticos, interruptores, caja de fusibles, y herramientas elctricas) los
de dixido de carbono hay que usarlos con poca presin, porque con mucha potencia
pueden expedir el fuego impiden la conduccin de la corriente elctrica.
4. De tipo D: son de polvo seco especial para ser utilizados en incendios que
intervienen metales que arden a mucha temperatura y necesitan mucho oxgeno para su
combustin y que con el agua y qumico reaccionan violentamente enfra el material por
debajo de su temperatura de combustin. (Magnesio, titanio, circonio, sodio, litio y
potasio).

Se recomienda que los empleados de la empresa EXTREX LIMITADA tomen

cursos de manejo y reconocimiento de los extintores segn en sus diferentes
clases.
Colocar guardia de seguridad en la empresa para que este al pendiente de
la empresa.
Instalar alarmas como sugerencia de seguridad.

EFECTOS Y/O IMPLICACIONES PROBABLES POR LAS DEFICIENCIAS

Si no hay un guardia de seguridad en el rea informtica en horarios inhabilitados

personas con mala intencin podra infiltrarse y robar informacin muy valiosa
incluyendo los equipos de cmputo tambin.

Si no hay ningn antivirus instalado los equipos podra recibir cualquier amenaza
de virus teniendo como consecuencia perdida de informacin, bloqueo de los
equipos, lentitud en los sistemas de procesamiento.

En momentos puede pasar cualquier accidente y si no se tiene ningn detector o

extintores automticos el nivel de riesgo que la empresa presente ser mayor,
porque si hay un incendio y ninguno se ha dado de cuenta este crecer y las
prdidas aun ser ms grandes.

Si por descuido sucede un accidente por documentacin o cualquier material

inflmamele que estn cerca de los equipos de cmputo podra traer como
consecuencia daar fsica y lgicamente los computadores.

Debido a la debilidad del servicio de mantenimiento de los equipos, la continuidad

de las actividades informticas podran verse seriamente afectadas ante
eventuales roturas o desperfectos de los sistemas.
 Gracias a los esquemas ineficientes de seguridad con los que cuenta la empresa
EXTREX LIMITADA, y porque no existe conocimiento relacionado con la
planeacin de un esquema de seguridad eficiente que proteja los recursos
informticos de las amenazas esta se ve afectada a estar en riesgo de prdida de
informacin procesada causado por infiltracin de manos terceras.

Un mal manejo de los extintores pude ocasionar que el accidente sea an ms

grave porque cada extintor trae como funcin combatir los incendios de acuerdo al
tipo de accidente.

Por falta de conocimiento de los empleados de la empresa en el manejo de los

extintores puede ocasionar mayores daos por ejemplo los equipos de cmputo ya
que para este tipo de accidente no se pude utilizar extintores de tipo A porque el
agua es conductora de energa y esto hace que el equipo afectado provoque un
corte circuito.

Por falta de personal de seguridad la empresa est en riesgo en ser asaltada.

Por falta de alarmas de seguridad la persona que intente infiltrarse y tomar lo

ajeno lo har de una forma ms segura en el momento que intente robar la
ferretera.

PLAN DE PREVENCION Y CONTIGENCIAS

SITUACION ACTUAL: En el transcurso de nuestro trabajo hemos observado lo siguiente:

Ausencia de un Plan de Contingencia debidamente formalizado en el rea de

informtica.

No existen normas y procedimientos que indiquen las tareas manuales e

informticas que son necesarias para realizar y recuperar la capacidad de
procesamiento ante una eventual contingencia (desperfectos de equipos,
incendios, cortes de energa con ms de una hora), y que determinen los niveles
de participacin y responsabilidades del rea de sistemas y de los usuarios.
 No existen acuerdos formalizados de centro de cmputos paralelos con otras
empresas o proveedores que permitan la restauracin inmediata de los servicios
informticos en tiempo oportuno, en caso de contingencia.

Ausencia de un plan de prevencin en desastres en la EXTREX LIMITADA

SUGERENCIAS

Establecer un plan de contingencia escrito, en donde se establezcan los

procedimientos manuales e informticos para restablecer la operatoria normal de
la empresa y establecer los responsables de cada sistema.

Efectuar pruebas simuladas en forma peridica a efectos de monitorear el

desempeo de los funcionarios responsables ante algunos desastres.

Establecer convenios bilaterales con empresas o proveedores a los efectos de

asegurar los equipos necesarios para sustentar la continuidad del procesamiento.

Establecer un plan de prevencin ante cualquier amenaza ya sea por motivos

naturales, operacionales o tecnolgicos para impedir o disminuir los efectos que
producen con motivo de las ocurrencias de calamidades.

EFECTOS Y/O IMPLICACIONES PROBABLES POR LAS DEFICIENCIAS

Perdida de informacin vital a causa de accidentes como:

1. Por fallas de la red de energa elctrica pblica por diferentes razones ajenas al
manejo por parte.

2. Por vulneracin de los sistemas de seguridad en operacin (Ingreso no autorizado a

las instalaciones).

3. Instalacin de software de comportamiento errtico o daino para la operacin de los

sistemas computacionales en uso (Virus, sabotaje).
4. Intromisin no calificada a procesos o datos de los sistemas, ya sea por curiosidad o
malas intenciones.
DE LA COMPAA.

Prdida de la capacidad de procesamiento.

1. Imposibilidad de acceso a los recursos informticos por razones lgicas en los

sistemas en utilizacin sean estos, por cambios involuntarios o intencionales,
llmese por ejemplo, cambios de claves de acceso, datos maestros claves,
eliminacin o borrado fsico lgico de informacin clave, proceso de informacin no
deseado.

Se incrementa an ms la facilidad de prdida de informacin ante cualquier

amenaza por falta de contingencia con empresas que posiblemente le pueda
ofrecer sus servicios.

Por falla de no poseer un plan de prevencin la empresa se ver afectada a

obtener grandes prdidas .

DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE APLICACIONES POR

LAS DEFICIENCIAS
SITUACION ACTUAL: Entorno de desarrollo y mantenimiento de las aplicaciones.

No existe documentaciones tcnicas del sistema integrado de la Cooperativa y

tampoco no existe un control o registro formal de las modificaciones efectuadas.

No se cuenta con un Software que permita la seguridad de las libreras de los

programas.

Las modificaciones a los programas son solicitadas generalmente sin notas

internas, en donde se describen los cambios o modificaciones que se requieren.
SUGERENCIAS:
Para reducir el impacto sobre los resultados de los efectos y consecuencias probables
sugerimos:

Elaborar toda la documentacin tcnica correspondiente a los sistemas

implementados y establecer normas y procedimientos para los desarrollos y su
actualizacin.

Evaluar e implementar un software que permita mantener el resguardo de acceso

de los archivos de programas y an de los programadores.

Implementar y conservar todas las documentaciones de prueba de los sistemas,

como as tambin las modificaciones y aprobaciones de programas realizadas por
los usuarios.
EFECTOS Y/O IMPLICACIONES PROBABLES POR LAS DEFICIENCIAS
La escasa documentacin tcnica de cada sistema dificulta la compresin de las normas,
demandando tiempos considerables para su mantenimiento e imposibilitando
la capacitacin del personal nuevo en el rea.

Esto implica mayor inseguridad en proteccin de las libreras y accesos totalmente

privados en cada uno de los equipos de cmputo.

Se incrementa an ms la posibilidad de producir modificaciones errneas o no

autorizadas a los programas o archivos y que las mismas no sean detectadas en forma
oportuna.
 CARACTERISTICAS DE LOS EQUIPOS DE COMPUTO

EQUIPO 1 EQUPO 2

SISTEMA OPERATIVO: Microsoft SISTEMA OPERATIVO: Microsoft

Windows xp professional. Windows xp professional.

PROCESADOR: Intel Pentium 4540 PROCESADOR:UnKnown,2400MHz

PLACA BASE: hewlett- packard PLACA BASE: 63-0100-000001-

HPcompacq dc 7100 CMT (PC938A). 00101111-083107-
ATHLON64$1ADMB006_A7309NMS
V1.90 083107

MEMORIA DEL SISTEMA: 503MB MEMORIA DEL SISTEMA: 959 MB

TARJETA DE SONIDO: Intel 82801 FB TARJETA DE SONIDO: Desconocido

ICH6 -AC97 audio controller( B-1)

DISCO DURO: Kingston DT 101 G2 USB DISCO DURO:MULTI FLASH Reader

DEVICE (1900 MG) USB divise ST340015A

TECLADO: estndar de 101/102teclas o TECLADO: Quick Launch Buttons.

Microsoft natural PS/2 keyboard.

TARJETA DE RED: broadcom netxtreme TARJETA DE RED: WAN (PPP/SLPI)

gigabit Ethernet (192,168,0.3) interface Ethernet (10.80.212.221).

IMPRESORA: Microsoft office document IMPRESORA: Lexmark Z600 series

image writer.

RATON: Mouse compatible/2 RATON: Mouse ps/2 de Microsoft.

CPU:intelpentium4CPU3.20GHz CPU: AMD Athlon(tm) 64 X2 Dual Core

Processor 4600+ (CPUID) R00060FB2h

CONCLUSION
Yo como auditora considera que la empresa NO realiza las tareas de actualizacin y
mantenimiento necesarias, las cuales son esenciales para el normal funcionamiento de la
empresa y para el cumplimiento de los objetivos establecidos en las distintas reas de la
empresa.