Académique Documents
Professionnel Documents
Culture Documents
Toda empresa que maneje sistemas de información digitales aplica para el proceso de auditoría de
sistema, la razón oficial por la cual será elaborada esta auditoria es para evaluar el control interno
de PIMENTEL & CO. SRL, con la finalidad de generar planes de contingencia que sean atractivos y
funcionales en mejora continua de las buenas prácticas que están en uso actualmente en la
empresa. Lo que se quiere lograr es un levantamiento efectivo y minucioso de los procedimientos
y procesos de la empresa en los cuales se presentaran de forma veraz e integra los datos
obtenidos de la misma.
VISITA PRELIMINAR
Dimos curso a la auditoria con una visita preliminar el día 2 de noviembre del 2019, con la finalidad
de conocer los procesos, normas, políticas y objetivos que constituyen el control interno de la
institución. Con esto contamos con el apoyo de Fausto Armando Pimentel (Gobierno Corporativo)
y Enrique Landstoy (Gobierno de TI). Nuestro programa fue presentado con el fin de evaluar las
siguientes áreas; Infraestructura de Redes, Seguridad Física y lógica, Gestión de Base de Datos y
Sistemas de información, por lo que pedimos los documentos que avalan dichos procesos y que
serán desglosado en todo el desenlace de la Auditoria.
OBJETIVOS Y ALNCACE DE LA AUDITORIA
- OBJETIVO GENERAL
- OBJETIVOS ESPECIFICOS
Evaluar el diseño y prueba de los sistemas del área de Informática.
Evaluar los procedimientos de control de operación, analizar su estandarización y
evaluar el cumplimiento de los mismos.
Evaluar la forma como se administran los dispositivos de almacenamiento básico del
sistema de información y la realización de sus respaldos.
Evaluar el control que se tiene sobre el mantenimiento y las fallas de los dispositivos.
Evaluar la integridad de la información dentro de los sistemas.
Evaluar la eficiencia y seguridad de los centros de datos.
Verificar el aprovechamiento de la tecnología disponible.
Verificar el cumplimiento de las restricciones y accesos a los sistemas de información.
- OBJETIVOS PARTICULARES
Prevenir los problemas informáticos que se presenten con el fin de permitir que PIMENTEL & CO.
SRL, mejore su actividad productiva, apoyarlos para la búsqueda de desviaciones que atenten
contra la integridad de los activos (información confidencial) y plantear resultados óptimos que
ayuden con la mejora continua de este.
- VISION
Brindar a PIMENTEL & CO. SRL, un dictamen veraz de las evaluaciones y las desviaciones
encontradas dentro de los procesos del departamento de tecnología de la información,
permitiéndole obtener ventajas competitiva en el mercado, empleando adecuadamente las TI,
para de esta manera poder cumplir con un control interno eficiente.
DEFINICION DE DEPARTAMENTOS DE TI
Nuestro proceso de evaluación depende mucho de la información facilitada por los usuarios por lo
que es de vital importancia conocer el organigrama y definir las funciones de los responsables de
la administración de las tecnologías de información. Por lo que presentamos el siguiente grafico
representativo de las funciones.
ORGANIGRAMA DE DEPARTAMENTO DE TI
Gobierno de TI (Enrrique
Landstoy)
Funcion: Administrador de
departamento de TI
Evaluación de las funciones y
actividades del personal del
área de sistemas
a. Entrevistas Libres
b. Entrevistas de Comprobación
1. Encuestas: Este instrumento nos ayudará a tomar en cuenta las opiniones particulares del
personal a ser auditado y nos permitirá tener una idea mas clara de las respuestas. El tipo
de encuesta será Mixta, y con preguntas dicotómicas que nos permitirán tener repuestas
más específica.
2. Observación: trabajaremos con la Observación directa que es la inspección hecha
directamente en el contexto donde se presenta el hecho o fenómeno observado, a fin de
contemplar todos los aspectos inherentes al comportamiento, conducta y características
de ese ambiente.
3. Inventarios: Para una mejor interpretación y análisis de los datos utilizaremos los
inventarios de lugar que sean proporcionados con la finalidad de trabajar bajo la
eficiencia.
Técnicas de Evaluación Aplicable
Para evaluar los diferentes aspectos en la recopilación de la información debemos de usar técnicas
que nos ayude a la interpretación de los datos, con lo que utilizaremos los siguientes:
Definimos una base de datos como una biblioteca de información que nos permite crear,
consultar, modificar y eliminarlas. La información es el activo mas relevante de una
organización por mas simple que parezca, es por esto que los métodos de resguardo de la
misma debe de cumplir con un conjunto de parámetros y controles que regulen la
autenticidad de esta. adicionalmente a los estándares de información que permitirán procesar
y reportar información de calidad. Adicionalmente a la información, se debe contar con los
medios necesarios para almacenarla y operarla, hablamos en términos de la infraestructura
computacional.
El propósito de evaluar estos parámetros es garantizar que los procedimientos y los controles
utilizados para el manejo de la información cumplan con los estándares y la seguridad que
imponen las normas y políticas especificadas en el área y de no existir imponerlas.
ANTECEDENTES
PIMENTEL & CO. S.R.L. es una factoría cuya principal actividad es la producción de arroz, su
Centro de Datos se inicializo en el 2013, cuyo Gobierno de TI Enrique Landstoy desarrollo y
organizo el entorno tecnológico de la factoría. Posterior a esto se inicializaron una serie de
procesos tecnológicos dentro de la misma que lo ha innovado de manera eficaz. Como no se
han reportado incidencias en el control interno de dicho departamento la auditoria del mismo
esta basada en una inspección de los motores de BASE DE DATOS cuya finalidad es detectar
incidencias o corroborar el funcionamiento de las políticas implementadas en el área.
Luego de reunirnos con el gobierno corporativo Fausto Armando Pimentel Peña y el gobierno
de TI Enrique Landstoy definimos realizar un análisis limitado de la estructura del
comportamiento de los datos, el viaje de la información , las medidas utilizadas para la
integridad de los datos y la regulación de acceso dentro de los datos.
OBJETIVO GENERAL
OBJETIVOS ESPECIFICOS
1. ACCESO
Uno de los renglones mas importante para el tratamiento de los datos por lo que estos no pueden
ser accesados por cualquier particular, la administración de la base de datos esta en manos del
señor Erubey Madera quien es el Administrador de esta, este tiene los privilegios de administrador
de este al igual que el Gobierno de TI Enrique Landstoy.
Las contraseñas son custodia del DBA, se le coloca una política de caducidad de acuerdo con el
motor, en el caso de Oracle lo asume automáticamente cada 6 meses. En SQL no se aplican
políticas de caducidad. No existe una política o procedimiento asociado.
Como administradores tienen acceso tanto físico como lógicamente a la fuente de información de
la entidad. Su función como tal es velar porque la integridad de los datos sea mantenida bajo el
mejor resguardo posible. Los controles tomados en cuenta para este tratamiento de datos son
informaciones NO SUMINISTRADA A ESTA AUDITORIA.
2. POLITICAS DE SEGURIDAD
Dentro del entorno de seguridad a los sistemas de Gestión de Base de Datos, tienen un
procedimiento determinado para el mismo. Del entorno físico podemos decir que;
1. El acceso al cuarto de servidores específicamente al que contiene las bases de datos de los
sistemas de información esta restringido a cualquier personal ajeno al departamento de TI
y cualquier personal de este que no tenga los privilegios de acceso.
2. La llave del gabinete que contiene el servidor de Base de datos queda en manos del
administrador de Base de Datos Erubey Madera con Copias al Gobierno Corporativo
Fausto Armando Pimentel y Gobierno de TI Enrique Landstoy.
3. El servidor debe ser revisado dos veces al día Por el administrador de Base de Datos para
regular que el ambiente de este este dentro de los parámetros correctos que aseguren su
funcionamiento.
La evaluación de los riesgos de esta tiene su propio sistema de control por lo que están basados en
los siguientes procedimientos:
SQL Server de las cuales existen varias versiones desdela 2008 hasta la 2014 y Oracle va desde
la 11g hasta la 12c.
Existe una política de uso interno que determina como se realiza el procedimiento de backup y las
pruebas respectivas de restauración las cuales están soportadas por el Formato de registro de
backups ejecutadas. NO SUMINISTRADA EN LA AUDITORIA.
Con el fin de fortalecer el mantenimiento de las bases de datos, el DBA está adelantando un
inventario de las mismas, definiendo su criticidad y tiempos de atención; con base en estos
resultados se presentarán al Gobierno de Ti con el fin de tomar decisiones importantes y
necesarias sobre procedimientos, para que los programas informen continuamente los cambios a
nivel de aplicativos y responsabilidades asociadas y así poder determinar que bases de datos ya no
están en uso y reagrupar con el fin de aprovechar el procesamiento de los servidores.
Por la criticidad y alto nivel de consulta y procesamiento para las bases de datos se tienen tareas
programadas cada 6 horas para recuperación de BD por recovery, verificar, recoger logs, encoger y
elimina los obsoletos. Para el resto de los programas se realizan tareas manuales una vez por
semana.
ANALISIS DE RIESGOS
El análisis de riesgo (también conocido como evaluación de riesgo o PHA por sus siglas en inglés:
Process Hazards Analysis) es el estudio de las causas de las posibles amenazas, y los daños y
consecuencias que éstas puedan producir. Este tipo de análisis es ampliamente utilizado como
herramienta de gestión en estudios financieros y de seguridad para identificar riesgos (métodos
cualitativos) y otras para evaluar riesgos (generalmente de naturaleza cuantitativa).
Se presenta la escala que servirá de referencia para la calificación cualitativa de activos y medir la
magnitud de riesgo e impacto:
Valor
1
2
3
4
5
Valor
1
2
3
4
5
Autenticidad: Propiedad o característica consistente en que una entidad es quien dice ser o bien
que garantiza la fuente de la que proceden los datos.
*Nota Importante: Como los inventario y diccionario de datos fueron negados por asuntos de
confidencialidad base este análisis en módulos de base de datos.
Integridad Autenticidad
MA MA
MA MA
A MA
A MA
MA MA
MA MA
AC MA
MA MA
MA MA
MA MA
MA MA
MA MA
MA MA
A MA
MA MA
MA MA
2. IDENTIFICACION DE AMENAZAS
Identificación de amenazas. De acuerdo con el catálogo establecido por Magerit, se presentan las
posibles amenazas asociadas a cada uno de los activos y relacionadas con [N] Desastres naturales,
[I] De origen industrial, [E] Errores y fallos no intencionados y, [A] Ataques intencionados.
Por lo que en lo adelante identificaremos las siguientes amenazas que se nos permiten evaluar
Codigo
E.1 Errores de los usuacios
E.2 Errores de Administradores
E.3 Alteracion Accidental de la informaicon
A.1 Alteracion Intencional de la informacion
A.2 Destruccion de la Informacion
A.3 Suplantacion de identidad
A.4 Abuso de Privilegios (Acceso)
A.5 Divulgacion de la informacion
A.6 Modificacion,Eliminacion de libreria de la informacion
Codigo
E.4
E.5
E.6
A.7
A.8
A.9
Una vez evaluado con los instrumentos y técnicas mencionados con anterioridad agrupamos los
datos recopilados para hacer una representación gráfica de la ponderación de riesgos y el impacto
que ocasiona al funcionamiento correcto del SGBD.
Lo primero a evaluar es en base a que porcentaje se encuentra las dimensiones del riesgo y la
forma de medirlo es la siguiente;
FECHA DE INSPECCION
ORGANIZACION A EVALUAR : PIMENTEL &CO. S.R.L.(Arroz Pimco)
PERIODO: AUDITORIA 26 DE OCTUBRE 2019 HASTA EL 7 DE DICIEMBRE 2019
RESPONSABLES : DIANA PARRON Y PAOLA LUCIANO
3. Luego definimos que lograremos con los datos suministrados en las cuales se acentúan
las siguiente;
a. Valoración impacto potencial: Medida del daño sobre el activo al materializarse
una amenaza. Se calcula utilizando las escalas numéricas tanto de la valoración de
activos por cada dimensión y la degradación por cada dimensión en cada
amenaza.
C I A D C I A D
Codigo
E.1 5 1 3 0 1 Alto Medio Alto
E.2 1 5 5 2 3 Medio Medio Bueno Bueno
E.3 1 1 3 0 2 Bueno Bueno Bueno
A.1 1 1 5 5 4 Bueno Medio Medio Alto
A.2 1 1 2 5 1 Bueno Bueno Medio Bueno
A.3 1 5 5 4 2 Alto Alto Alto Bueno
A.4 1 1 5 5 4 Bueno Alto Alto Alto
A.5 2 1 1 4 5 Bueno Bueno Medio Alto
A.6 1 1 1 1 5 Bueno Bueno Bueno Alto
Codigo
E.4 1 1 1 3 3 Bueno Bueno Medio Medio
E.5 1 1 5 5 5 Bueno Alto Alto Alto
A.7 4 0 2 3 3 Alto Alto Alto
A.8 1 0 1 1 1 Bueno Bueno Bueno
A.9 1 0 1 1 1 Bueno Bueno Bueno
valoramos el impacto que puede ocurrir ciertos riesgos y lo presentamos de la manera siguiente:
En este cuadro podemos visualizar cuales son los activos u amenazas que decidimos evaluar, cada
uno de ellos se encuentra identificado con un código uno en el que (E), como lo habíamos definido
es denominado como Errores. Recordemos que los errores son acciones involuntarias que se dan
tanto en el factor humano como en el código de desarrollo del sistema. Hemos identificado las
Amenazas con el prefijo (A). Tomando en cuenta que las amenazas es el riesgo que tomamos antes
ciertas acciones que intuyen más a lo voluntario. Para finalizar la codificación asignamos un
numero de secuencia al mismo.
C I A D C I A D C I A D C I A D C I A D
E.1 E.1 E.1
A.5
A.5
E.5 E.2
E.4 E.4
A.6 E.5
A.4 A.4 E.5
A.2 A.8 A.9 A.9 A.3 A.4
A.1 E.4 A.8 A.8 A.5 A.3 A.3 A.1 A.2
E.3 A.6 A.6 A.2 A.5 A.2 E.2 E.3 E.3 E.4 A.3 A.1 E.2 E.2 A.1 A.6
EXPLOTACION DE AUDITORIA DE BASE DE DATOS
Cabe destacar que si existen controles que regulen el comportamiento de las informaciones
dentro de esta organización lo que nos aporta una gran ventaja para la evaluación por otro lado es
bueno mencionar que dichos controles no son mostrados porque el mismo control interno lo
impide. Para realizar la explotación de esta tuvimos que acudir a nuestros instrumentos de trabajo
y basarnos en las técnicas establecidas, no utilizamos ningún software para la explotación de la
auditoria.
Una vez evaluado los riesgos que se presentan en PIMENTEL & CO. SRL. Ya tenemos una guía de
cuáles son los parámetros para evaluar. Por consiguiente, nuestro plan de trabajo en los SISTEMAS
DE GESTION DE BASE DE DATOS lo estructuramos de la siguiente manera.
SI NO SI NO N/A
X X
X X
X X
X X
x x
x x
x x
x x
X X
X X
RECOMENDACIONES:
Una vez evaluado los parámetros anteriores hicimos un breve resumen de lo que según
nuestro juicio es importante para mantener una eficiente gestión de la información e
incidir en la mejora continua de la organización.
1. Es importante la caducidad del tiempo de log por parte de los usuarios autorizados
del mismo sea lo más mínimo posible, ya que hubo un momento durante la
auditoria que administrador de base de datos se ausento a tomar una llamada la
parte auditora quedo a solas con la base de datos abierta bajo las credenciales del
DBA. Como para PIMENTEL & CO. SRL. El factor información es lo que tiene más
relevancia, este podría ser un punto a mejora. (ver en reporte de Desviaciones en
Anexos).
2. No existen políticas que rigen la destrucción de la información como tal, por lo que
es de mucha relevancia imponerlas y que quede como historial, el cómo, cuando y
porque estas fueron destruidas ya que puede que la información que hoy se
destruya vaya a ser de utilidad mas adelante. Lo recomendable como tal no es
destruirla sino deshabilitarla.
3. Si bien el Gobierno de TI es participe de estas, es importante que exista un canal
de comunicación entre el DBA y este, debido a que la información que se vaya a
presentar al Gobierno Corporativo debe saberse primero en administración de TI
no en el caso contrario. (ver en reporte de Desviaciones en Anexos).
INFORME DE AUDITORIA (BASE DE DATOS)
FECHA DE REALIZACION
ORGANIZACION A EVALUAR : PIMENTEL &CO. S.R.L.(Arroz Pimco)
7 de Diciembre 2019
PERIODO: AUDITORIA 26 DE OCTUBRE 2019 HASTA EL 7 DE DICIEMBRE 2019
RESPONSABLES : DIANA PARRON Y PAOLA LUCIANO
Herramientas utilizadas:
Alcance: Controlar la existencia de las medidas necesarias para mantener la seguridad en las bases
de datos.
SITUACIONES RECOMENDACIONES
DISPONIBILIDAD DEL ES DE VITAL IMPORTANCIA PORLO QUE EL PERSONAL DE ESTA AREA DEBE DE ESTAR
PERSONAL DE TI DISPONIBLE EL MAYOR TIEMPO POSIBLE, AUNQUE NO SE ENCUENTRE PRESENTE EN LA
ORGANIZACIÓN.
MIGRACION DE DATOS EL GOBIERNO DE TI DEBE DE PRESTAR ASISTENCIA AL DBA CUANDO SE REALICEN ESTE TIPO
DE ACTIVIDAD PARA LAS SUPERVICIONES DE LUGAR.
MECANISMOS DE MONITOREO LA ORGANIZACIÓN COMO TAL HACE REFERENCIA A LA EXISTENCIA DE HERRAMIENTAS QUE
DE AUDITORIA PERMITAN LA EXPLOTACION DE DE LA AUDITORIA COMO TAL, PERO ESTOS NO FUERON
PRESENTANDOS Y NO SE REALIZO UNA OBSERVACION DEL FUNCIONAMIENTO DE LA MISMA
POR LO QUE PARA NUESTRO JUICIO REPRESENTA UNA DEBILIDAD.
MANTENIMIENTO DE BASE DE HAY QUE ESTABLECER PERIODOS PARA EL MISMO QUE SEAN MEDIBLES, EL SISTEMA SE
DATOS ENCUENTRA EN MIGRACION DE DATOS POR LO QUE SE DEBE SER MAS OBJETIVO EN ESTA
AREA.
UBICACIÓN DEL SERVIDOR ENTENDEMOS QUE LA UBICACIÓN DE ESTE ES MUY ACERTADA PERO LOS METODOS DE
ACCESO FISICO PARA EL MISMO PRESENTA DEBILIDAD SI BIEN ESTA UNICADO EN UNO DE
LOS LUGARES MENOS TRANSITADOS DE LA ORGANIZACIÓN ESO NO SIGNIFICA QUE NO SEA
ACCESIBLE POR LO QUE RECOMENDAMOS QUE, AUNQUE EL RACK DEL SERVIDOR ESTE CON
LLAVE, TAMBIEN SE LE PONGA LLVE A LA ENTRADA DEL CUARTO DE SERVIDORES.
OBSERVACION:
conjunto de los componentes lógicos necesarios que hacen posible la realización de tareas
funcionamiento.
El propósito de evaluar estos parámetros es garantizar que los procedimientos y los controles
utilizados para el manejo de la información cumplan con los estándares y la seguridad que
ANTECEDENTES
PIMENTEL & CO. S.R.L. es una factoría cuya principal actividad es la producción de arroz, su
Centro de Datos se inicializo en el 2013, cuyo Gobierno de TI Enrique Landstoy desarrollo y
organizo el entorno tecnológico de la factoría. Posterior a esto se inicializaron una serie de
procesos tecnológicos dentro de la misma que lo ha innovado de manera eficaz. Como no se
han reportado incidencias en el control interno de dicho departamento la auditoria del mismo
está basada en una inspección los SISTEMAS DE INFORMACION, APLICACIONES y SISTEMAS
OPERATIVOS cuya finalidad es detectar incidencias o corroborar el funcionamiento de las
políticas implementadas en el área.
Luego de reunirnos con el gobierno corporativo Fausto Armando Pimentel Peña y el gobierno
de TI Enrique Landstoy definimos realizar un análisis limitado de la estructura del
comportamiento de las aplicaciones, el viaje de la información , las medidas utilizadas para la
integridad con la que funcionan los estores de información del sistema.
OBJETIVO GENERAL
OBJETIVOS ESPECIFICOS
El departamento de TI de PIMENTEL & CO. SRL viene funcionando desde el 2013 y hasta el
momento presenta un crecimiento y un compromiso con la mejora continua para influir en la
funcionalidad estable de los procesos de la organización.
El encargado de software como se mencionó con anterioridad es el Sr. Noel Carrasco quien incluso
en este momento está poniendo en implementación el software FNC, cuya función es sostener la
plataforma de trabajo de forma completa.
El análisis de riesgo (también conocido como evaluación de riesgo o PHA por sus siglas en inglés:
Process Hazards Analysis) es el estudio de las causas de las posibles amenazas, y los daños y
consecuencias que éstas puedan producir. Este tipo de análisis es ampliamente utilizado como
herramienta de gestión en estudios financieros y de seguridad para identificar riesgos (métodos
cualitativos) y otras para evaluar riesgos (generalmente de naturaleza cuantitativa).
Se presenta la escala que servirá de referencia para la calificación cualitativa de activos y medir la
magnitud de riesgo e impacto:
FECHA DE INSPECCION
ORGANIZACION A EVALUAR : PIMENTEL &CO. S.R.L.(Arroz Pimco)
PERIODO: AUDITORIA 26 DE OCTUBRE 2019 HASTA EL 7 DE DICIEMBRE 2019
RESPONSABLES : DIANA PARRON Y PAOLA LUCIANO
Autenticidad: Propiedad o característica consistente en que una entidad es quien dice ser o bien
que garantiza la fuente de la que proceden los datos.
FECHA DE INSPECCION
ORGANIZACION A EVALUAR : PIMENTEL &CO. S.R.L.(Arroz Pimco)
PERIODO: AUDITORIA 26 DE OCTUBRE 2019 HASTA EL 7 DE DICIEMBRE 2019
RESPONSABLES : DIANA PARRON Y PAOLA LUCIANO
IDENTIFICACION DE AMENAZAS
Identificación de amenazas. De acuerdo con el catálogo establecido por Magerit, se presentan las
posibles amenazas asociadas a cada uno de los activos y relacionadas con [N] Desastres naturales,
[I] De origen industrial, [E] Errores y fallos no intencionados y, [A] Ataques intencionados.
Por lo que en lo adelante identificaremos las siguientes amenazas que se nos permiten evaluar
ESCALA DE VALORACION DE ACTIVOS
(EVALUACION DE RIESGOS DE SOFTWARE)
FECHA DE INSPECCION
ORGANIZACION A EVALUAR : PIMENTEL &CO. S.R.L.(Arroz Pimco)
PERIODO: AUDITORIA 26 DE OCTUBRE 2019 HASTA EL 7 DE DICIEMBRE 2019
RESPONSABLES : DIANA PARRON Y PAOLA LUCIANO
Evaluacion de Amenazas
Una vez evaluado con los instrumentos y técnicas mencionados con anterioridad agrupamos los
datos recopilados para hacer una representación gráfica de la ponderación de riesgos y el impacto
que ocasiona al funcionamiento correcto de los sistemas.
Lo primero a evaluar es en base a que porcentaje se encuentra las dimensiones del riesgo y la
forma de medirlo es la siguiente;
FECHA DE INSPECCION
ORGANIZACION A EVALUAR : PIMENTEL &CO. S.R.L.(Arroz Pimco)
PERIODO: AUDITORIA 26 DE OCTUBRE 2019 HASTA EL 7 DE DICIEMBRE 2019
RESPONSABLES : DIANA PARRON Y PAOLA LUCIANO
FECHA DE INSPECCION
ORGANIZACION A EVALUAR : PIMENTEL &CO. S.R.L.(Arroz Pimco)
PERIODO: AUDITORIA 26 DE OCTUBRE 2019 HASTA EL 7 DE DICIEMBRE 2019
RESPONSABLES : DIANA PARRON Y PAOLA LUCIANO
7. Luego definimos que lograremos con los datos suministrados en las cuales se acentúan las
siguiente;
Una vez identificadas las amenazas o vulnerabilidades que queríamos auditar y definidos los
parámetros en los que serán evaluados, iniciamos lo que definimos anteriormente que es la
evaluación de riesgo. Gracias a nuestras técnicas e instrumentos de auditoria identificamos y
valoramos el impacto que puede ocurrir ciertos riesgos y lo presentamos de la manera siguiente:
FECHA DE INSPECCION
ORGANIZACION A EVALUAR : PIMENTEL &CO. S.R.L.(Arroz Pimco)
PERIODO: AUDITORIA 26 DE OCTUBRE 2019 HASTA EL 7 DE DICIEMBRE 2019
RESPONSABLES : DIANA PARRON Y PAOLA LUCIANO
En este cuadro podemos visualizar cuales son los activos u amenazas que decidimos evaluar, cada
uno de ellos se encuentra identificado con un código uno en el que (E), como lo habíamos definido
es denominado como Errores. Recordemos que los errores son acciones involuntarias que se dan
tanto en el factor humano como en el código de desarrollo del sistema. Hemos identificado las
Amenazas con el prefijo (A). Tomando en cuenta que las amenazas es el riesgo que tomamos antes
ciertas acciones que intuyen más a lo voluntario. Para finalizar la codificación asignamos un
numero de secuencia al mismo.
C I A D C I A D C I A D C I A D C I A D
I.1 E.3 E.3 E.3 E.3 E.1 E.1 E.1
A.6 A.6 A.2 A.1 A.3
A.2
A.1
A.5 A.4 E.5 E.2 E.2 E.5
A.4 E.5 E.5
A.4
E.2
E.4 E.4 A.2 A.1 E.3 A.2 I.1
E.3 E.3
EXPLOTACION DE AUDITORIA DE SOFTWARE
Cabe destacar que si existen controles que regulen el comportamiento de las informaciones
dentro de esta organización lo que nos aporta una gran ventaja para la evaluación por otro lado es
bueno mencionar que dichos controles no son mostrados porque el mismo control interno lo
impide. Para realizar la explotación de esta tuvimos que acudir a nuestros instrumentos de trabajo
y basarnos en las técnicas establecidas, no utilizamos ningún software para la explotación de la
auditoria.
Una vez evaluado los riesgos que se presentan en PIMENTEL & CO. SRL. Ya tenemos una guía de
cuáles son los parámetros para evaluar. Por consiguiente, nuestro plan de trabajo en los SISTEMAS
DE GESTION DE SOFTWARE lo estructuramos de la siguiente manera.
SI NO SI NO N/A
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
RECOMENDACIONES:
Una vez evaluado los parámetros anteriores hicimos un breve resumen de lo que según
nuestro juicio es importante para mantener una eficiente gestión de la información e
incidir en la mejora continua de la organización.
Herramientas utilizadas:
Alcance: Controlar la existencia de las medidas necesarias para mantener la seguridad en las bases
de datos.
INFORME DE LA AUDITORIA DE SOFTWARE
SITUACIONES RECOMENDACIONES
INVENTARIO DE SOFTWARE TOMAR EN CUENTA EL PONER LA FECHA DE CADUCIDAD O DE ACTUALIZACION DE
LICENCIA EN EL MISMO PARA VALIDAR LOS PERIODOS DE RESTAURACION DE SISTEMAS.
USO DE CONTRASENAS AUNQUE EL SISTEMA ESTE IMPLEMENTACION ES DE SUMA IMPORTANCIA QUE LOS
DATOS ESTEN PROTEGIDOS, DE NADA SIRVE QUE EL SISTEMA CUMPLA CON POLITICAS
SEGURAS
DE ACCESO SINO SE TIENE CONSIENCIA DEL LOG.
Conclusiones: Después de evaluar los acápites que consideramos como vitales para el
desenvolvimiento de las operaciones de la organización , y manternos en observación de la
usabilidad de estos sobre los usuarios tanto de TI como usuarios administrativos con la finalidad
de evaluar la seguridad y el desenvolvimiento de los mismo evaluamos que los resultados de esta
auditoria arrojan un resultado FAVORABLE a favor de la organización , cabe aclarar que para la
mejora continua de la organización es necesario tomar en cuenta las recomendaciones ya
mencionadas.
OBSERVACION:
Hay usuarios que le falta capacidad cognitiva para lidiar con algunas aplicaciones por lo que
recomendamos una capacitación para el máximo aprovechamiento de los sistemas generales, para
los usuarios cuyas capacidades sean mayores es necesario crear políticas de rigidez bajo el entorno
de los sistemas operativos del equipo incluyendo restricciones.