ORIGEN DE AUDITORIA

Toda empresa que maneje sistemas de información digitales aplica para el proceso de auditoría de
sistema, la razón oficial por la cual será elaborada esta auditoria es para evaluar el control interno
de PIMENTEL & CO. SRL, con la finalidad de generar planes de contingencia que sean atractivos y
funcionales en mejora continua de las buenas prácticas que están en uso actualmente en la
empresa. Lo que se quiere lograr es un levantamiento efectivo y minucioso de los procedimientos
y procesos de la empresa en los cuales se presentaran de forma veraz e integra los datos
obtenidos de la misma.

VISITA PRELIMINAR

Dimos curso a la auditoria con una visita preliminar el día 2 de noviembre del 2019, con la finalidad
de conocer los procesos, normas, políticas y objetivos que constituyen el control interno de la
institución. Con esto contamos con el apoyo de Fausto Armando Pimentel (Gobierno Corporativo)
y Enrique Landstoy (Gobierno de TI). Nuestro programa fue presentado con el fin de evaluar las
siguientes áreas; Infraestructura de Redes, Seguridad Física y lógica, Gestión de Base de Datos y
Sistemas de información, por lo que pedimos los documentos que avalan dichos procesos y que
serán desglosado en todo el desenlace de la Auditoria.
OBJETIVOS Y ALNCACE DE LA AUDITORIA

- OBJETIVO GENERAL

Revisar y Evaluar los controles, sistemas, procedimientos de informática correspondiente al

departamento de TI, con la finalidad de hacer una exploración exhaustiva del cumplimiento de los
controles y las políticas por las cuales son regidas y revisar el aprovechamiento y la usabilidad de la
tecnología utilizada para llevar a cabo dichos controles, que servirá para una adecuada toma de
decisiones.

- OBJETIVOS ESPECIFICOS
 Evaluar el diseño y prueba de los sistemas del área de Informática.
 Evaluar los procedimientos de control de operación, analizar su estandarización y
evaluar el cumplimiento de los mismos.
 Evaluar la forma como se administran los dispositivos de almacenamiento básico del
sistema de información y la realización de sus respaldos.
 Evaluar el control que se tiene sobre el mantenimiento y las fallas de los dispositivos.
 Evaluar la integridad de la información dentro de los sistemas.
 Evaluar la eficiencia y seguridad de los centros de datos.
 Verificar el aprovechamiento de la tecnología disponible.
 Verificar el cumplimiento de las restricciones y accesos a los sistemas de información.
- OBJETIVOS PARTICULARES

o OBJETIVOS DE SEGURIDAD LOGICA Y FISICA: el administrador de la seguridad

intenta garantizar que los recursos físicos en los cuales se basa el desarrollo,
implantación y mantenimiento de sistemas están seguros frente a amenazas
externas o internas que puedan afectar a la continuidad de la instalación, o
puedan provocar perdida de activos de la organización, tanto materiales como
datos. Por lo consiguiente declaramos los siguientes objetivos basados en esta
área;
 Verificar el control de acceso a los sistemas.
 Evaluar las técnicas utilizadas para los respaldos.
 Verificar el software para el control de amenazas.
 Evaluar los dispositivos que rigen el control de acceso a las instalaciones.
 Verificar las políticas de seguridad asignadas a los usuarios.
 Verificar los procedimientos de borrado de información.
 Evaluar métodos de almacenaje de respaldos y redundancias de estos.

o OBJETIVOS PARA VERIFICACION DE BASE DE DATOS: el administrador de base de

datos tiene la responsabilidad de garantizar la seguridad de la base de datos
monitorizando los procedimientos y técnicas utilizados para los accesos de estos,
por lo que nuestros objetivos se orientan a lo siguiente;
 Verificar la integridad de los datos, acerca de las actividades específicas de
la organización.
 Evaluar los métodos de recuperación de los datos.
 Mitigar los riesgos asociados con el manejo inadecuado de los datos.
 Verificar los permisos dentro de estos.
 Evaluar las técnicas de control para accesos u operaciones restringidas.
 Evaluar medidas de contingencia para ingeniería social.
o OBJETIVOS PARA VERIFICACION DE ESTRUCTURA DE REDES: una de las funciones
principales del administrador de infraestructura de Redes, es evitar
vulnerabilidades de seguridad física a la que se encuentran las informaciones y la
presente tiene la responsabilidad de conocer si esta función se lleva a cabo con la
medida de seguridad correspondiente, para ello alineamos nuestros objetivos de
la siguiente manera;
 Evaluar la infraestructura física de la red de datos y estableces
confiabilidad de estas.
 Evaluar el funcionamiento continuo de autogestión a fallas.
 Verificar los protocolos de mantenimiento preventivo de los equipos
asociados a las redes.
 Verificar el acceso del usuario a la infraestructura y sus posibles
modificaciones en este.
 Evaluar las capacidades del equipo humano responsable de la
infraestructura de la red.
 Evaluar medidas de contingencias tomadas para la realización de
respaldos y redundancias en la red.
o OBJETIVOS PARA LA VERIFICACION DE SOFTWARE: La función del auditor es buscar
la actualización continua de los programas y equipos tecnológicas de la
organización y ver si se corresponden con la normativa legal establecida en el
entorno en el que se mueve.
 Evaluar el listado de software referentes al inventario de software.
 Conocer el rendimiento de la inversión tecnológica realizada.
 Corroborar la legitimidad de los productos y/o servicios.
 Analizar si las interfaces de la organización son eficientes.
 Evaluar posibles fallas técnicas que se estén haciendo.
 - MISION

Prevenir los problemas informáticos que se presenten con el fin de permitir que PIMENTEL & CO.
SRL, mejore su actividad productiva, apoyarlos para la búsqueda de desviaciones que atenten
contra la integridad de los activos (información confidencial) y plantear resultados óptimos que
ayuden con la mejora continua de este.

- VISION

Brindar a PIMENTEL & CO. SRL, un dictamen veraz de las evaluaciones y las desviaciones
encontradas dentro de los procesos del departamento de tecnología de la información,
permitiéndole obtener ventajas competitiva en el mercado, empleando adecuadamente las TI,
para de esta manera poder cumplir con un control interno eficiente.

DEFINICION DE DEPARTAMENTOS DE TI

Nuestro proceso de evaluación depende mucho de la información facilitada por los usuarios por lo
que es de vital importancia conocer el organigrama y definir las funciones de los responsables de
la administración de las tecnologías de información. Por lo que presentamos el siguiente grafico
representativo de las funciones.
 ORGANIGRAMA DE DEPARTAMENTO DE TI

Gobierno de TI (Enrrique
Landstoy)
Funcion: Administrador de
departamento de TI
Evaluación de las funciones y
actividades del personal del
área de sistemas

Desarrollador de Sistemas Infraestructura de Redes y

Administrador de Base de
(Noel Carrazco) Telecomunicacion(Jose A.
Datos(Erubey Madera)
Funcion: Coordinador de Paulino)
Funcion: Administrador y
desarrollo y analista de Funcion: Estructura Fisica y
gestor de Base de datos.
sistemas de informacion logica.

Auxiliar y Soporte Tecnico En

General (Paola Luciano)
Funcion: Seguimiento a
controles , operacionescon
usuarios y asistencia remota
CRONOGRAMA DE TRABAJO
PRESUPUESTO DE AUDITORIA
DOCUMENTOS PARA SOLICITAR

A continuación, listamos los documentos necesarios para la explotación de la auditoría de sistemas

computacionales en el área de Tecnología de información;

1. Políticas, estándares, normas y procedimientos.

2. Plan de sistemas.
3. Planes de seguridad y continuidad
4. Contratos, pólizas de seguros.
5. Organigrama y manual de funciones.
6. Manuales de sistemas.
7. Registros
8. Entrevistas
9. Archivos
10. Requerimientos de Usuarios
PONDERACION DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES
METODOS DE EVALUACION Y RECOPILACION DE LA INFORMACION

Al momento de realizar la auditoria en Pimentel & Co. S.R.L. necesitamos un conjunto de

herramientas y técnicas que colaboren con el desenvolvimiento de esta y nos ayude al
cumplimiento del plan de trabajo. La relación entre la parte auditada (Pimentel & Co. S.R.L.) y los
auditores (Lupa Inc. Company) debe estar ligada a una serie de levantamientos que queden
concretamente documentados y para ello utilizaremos el método de auditoria basado en
Checklist.

El método Checklist es un método basado en listas de evaluación de controles aplicables a

diferentes áreas, pero manteniendo la independencia de la misma, es decir, esta no se encuentra
basada en ninguna normativa o buenas prácticas.

Instrumentos De Recopilación De Información

1. Entrevistas: Utilizaremos este método de recopilación porque nos hará interactuar

directamente con el personal de las áreas especificadas. Estas se realizarán con el método
de Toma de Notas. Los modos de entrevistas seleccionados serán:

a. Entrevistas Libres
b. Entrevistas de Comprobación

1. Encuestas: Este instrumento nos ayudará a tomar en cuenta las opiniones particulares del
personal a ser auditado y nos permitirá tener una idea mas clara de las respuestas. El tipo
de encuesta será Mixta, y con preguntas dicotómicas que nos permitirán tener repuestas
más específica.
2. Observación: trabajaremos con la Observación directa que es la inspección hecha
directamente en el contexto donde se presenta el hecho o fenómeno observado, a fin de
contemplar todos los aspectos inherentes al comportamiento, conducta y características
de ese ambiente.
3. Inventarios: Para una mejor interpretación y análisis de los datos utilizaremos los
inventarios de lugar que sean proporcionados con la finalidad de trabajar bajo la
eficiencia.
Técnicas de Evaluación Aplicable

Para evaluar los diferentes aspectos en la recopilación de la información debemos de usar técnicas
que nos ayude a la interpretación de los datos, con lo que utilizaremos los siguientes:

1. La inspección: es importante validar que los procesos, políticas y procedimientos sean

evaluados con la finalidad de validar el cumplimiento de estas.
2. Revisión Documental: Con la finalidad de ampliar el nivel de integridad y funcionamiento
de los sistemas, es necesario validar los documentos que avalen dichos procesos.
3. Matriz de evaluación: por medio de este documento es posible recopilar una gran
cantidad de información relacionada con la actividad, operación o función que se realiza
en estas áreas informáticas, así como apreciar anticipadamente el cumplimiento de dichas
actividades.
AUDITORIA DE SISTEMAS DE GESTION DE LA
BASE DE DATOS.
 INTRODUCCION

Definimos una base de datos como una biblioteca de información que nos permite crear,
consultar, modificar y eliminarlas. La información es el activo mas relevante de una
organización por mas simple que parezca, es por esto que los métodos de resguardo de la
misma debe de cumplir con un conjunto de parámetros y controles que regulen la
autenticidad de esta. adicionalmente a los estándares de información que permitirán procesar
y reportar información de calidad. Adicionalmente a la información, se debe contar con los
medios necesarios para almacenarla y operarla, hablamos en términos de la infraestructura
computacional.

El propósito de evaluar estos parámetros es garantizar que los procedimientos y los controles
utilizados para el manejo de la información cumplan con los estándares y la seguridad que
imponen las normas y políticas especificadas en el área y de no existir imponerlas.

ANTECEDENTES
PIMENTEL & CO. S.R.L. es una factoría cuya principal actividad es la producción de arroz, su
Centro de Datos se inicializo en el 2013, cuyo Gobierno de TI Enrique Landstoy desarrollo y
organizo el entorno tecnológico de la factoría. Posterior a esto se inicializaron una serie de
procesos tecnológicos dentro de la misma que lo ha innovado de manera eficaz. Como no se
han reportado incidencias en el control interno de dicho departamento la auditoria del mismo
esta basada en una inspección de los motores de BASE DE DATOS cuya finalidad es detectar
incidencias o corroborar el funcionamiento de las políticas implementadas en el área.

Luego de reunirnos con el gobierno corporativo Fausto Armando Pimentel Peña y el gobierno
de TI Enrique Landstoy definimos realizar un análisis limitado de la estructura del
comportamiento de los datos, el viaje de la información , las medidas utilizadas para la
integridad de los datos y la regulación de acceso dentro de los datos.

OBJETIVO GENERAL

Realizar una auditoría en el grupo de trabajo de Infraestructura y Soporte de Tecnologías de

Información de la única cede de PIMENTEL & CO. SRL, específicamente en las bases de datos
existentes en el Centro de Datos que administra este grupo.

OBJETIVOS ESPECIFICOS

 Realizar un levantamiento de información sobre las condiciones en el que se encuentra el

Centro de Datos de la Entidad y la distribución de las bases de datos en los servidores,
mediante entrevistas y/o listas de chequeo.
  Determinar los riesgos a los que están expuestas las bases de datos que administra el
grupo de trabajo de Infraestructura y Soporte de Tecnologías de Información con el fin de
mitigar robo, fraude y la pérdida de disponibilidad, privacidad, integridad y
confidencialidad.
 Elaborar el plan de auditoría de acuerdo a la información recolectada.
 Realizar la Auditoría en Seguridad Informática en el grupo de Infraestructura y Soporte de
TI.
 Analizar los resultados de las debilidades encontradas y definir los controles adecuados.
 Elaborar el informe final de la auditoría.

SITUACION DEL DEPARTAMENTO

Considerando la operatividad de la entidad, la cual establece diversos programas que apoyan la

población a nivel nacional que cumplen con ciertas condiciones de vulnerabilidad, se establecen
diversas fuentes de información asociados a sistemas de información con datos sensibles de los
beneficiarios de la entidad.

la parte de seguridad de la información se ha venido desarrollando con la implementación de

controles en la medida en que se requiere, no con una estructura o metodología específica y en
este punto, no es claro que se encuentra implementado y su funcionamiento.

INVENTARIO DE BASE DE DATOS

El levantamiento preliminar de la información se basa en el enfoque basado en procesos

implementar, operar, hacer seguimiento, mantener y mejorar el Sistema de Gestión de Seguridad
de la Información, estimulando la implementación y operación de controles que permitan manejar
los riesgos de seguridad asociados a la organización y al tratamiento de los datos.

POR MEDIDAS DE SEGURIDAD NO SE ADMITIERON INFORMACIONES QUE DEFINAN LA

ESTRUCTURA DE LOS DATOS POR LO QUE ESTE INVENTARIO ES NO ADMITIDO POR LA
AUDITORIA.

PUNTOS DE EVALUACION DE SISTEMAS DE BASE DE DATOS

1. ACCESO
Uno de los renglones mas importante para el tratamiento de los datos por lo que estos no pueden
ser accesados por cualquier particular, la administración de la base de datos esta en manos del
señor Erubey Madera quien es el Administrador de esta, este tiene los privilegios de administrador
de este al igual que el Gobierno de TI Enrique Landstoy.

Las contraseñas son custodia del DBA, se le coloca una política de caducidad de acuerdo con el
motor, en el caso de Oracle lo asume automáticamente cada 6 meses. En SQL no se aplican
políticas de caducidad. No existe una política o procedimiento asociado.

Como administradores tienen acceso tanto físico como lógicamente a la fuente de información de
la entidad. Su función como tal es velar porque la integridad de los datos sea mantenida bajo el
mejor resguardo posible. Los controles tomados en cuenta para este tratamiento de datos son
informaciones NO SUMINISTRADA A ESTA AUDITORIA.

2. POLITICAS DE SEGURIDAD

Dentro del entorno de seguridad a los sistemas de Gestión de Base de Datos, tienen un
procedimiento determinado para el mismo. Del entorno físico podemos decir que;

1. El acceso al cuarto de servidores específicamente al que contiene las bases de datos de los
sistemas de información esta restringido a cualquier personal ajeno al departamento de TI
y cualquier personal de este que no tenga los privilegios de acceso.
2. La llave del gabinete que contiene el servidor de Base de datos queda en manos del
administrador de Base de Datos Erubey Madera con Copias al Gobierno Corporativo
Fausto Armando Pimentel y Gobierno de TI Enrique Landstoy.
3. El servidor debe ser revisado dos veces al día Por el administrador de Base de Datos para
regular que el ambiente de este este dentro de los parámetros correctos que aseguren su
funcionamiento.

Dentro del Entorno Lógico se puede mencionar;

 1. El acceso al Servidor en horas fuera de lo requerido debe tener una petición y una
autorización previa en la cual se especifique cual es el motivo y si tiene justificación.
2. Se realizarán sentencias de evaluación (NO ADMITIDAS EN AUDITORIA) para la evaluación
de incidencias que se encuentren fuera de lo normal, como accesos en horas no laborables
o actualizaciones de datos financieros.
3. La migración de datos debe realizarse bajo la supervisión del gobierno de TI y deben ser
autorizadas por el gobierno Corporativo.
4. El diccionario de datos solo puede ser compartido con el desarrollador de software ningún
personal diferente de este puede tener acceso.
5. Las copias de seguridad de los datos de los sistemas de información deben ser realizados
dos veces al día.
6. Deben hacerse verificación de las copias de seguridad para ver la legitimidad de los datos.

3. MECANISMOS DE CONTROL CONTRA RIESGOS

La evaluación de los riesgos de esta tiene su propio sistema de control por lo que están basados en
los siguientes procedimientos:

1. Bajo cualquier falla física de los sistemas computacionales específicamente al servidor de

base de datos la supervisión y restauración de esta queda bajo la responsabilidad del
Gobierno corporativo y personal que le auxilie.
2. Bajo cualquier falla lógica de este se deben realizar copias de seguridad inmediato y en
caso crucial realizar migración de información.
3. No existen contratos externos con personal de mantenimiento, la regulación de los
equipos y las aplicaciones es manejada por personal interno bajo contrato de
confidencialidad.
 4. MOTORES DE BASE DE DATOS

SQL Server de las cuales existen varias versiones desdela 2008 hasta la 2014 y Oracle va desde
la 11g hasta la 12c.

5. PROCEDIMIENTO PARA COPIAS DE SEGURIDAD, RESPALDO Y MANTENIMIENTO

Existe una política de uso interno que determina como se realiza el procedimiento de backup y las
pruebas respectivas de restauración las cuales están soportadas por el Formato de registro de
backups ejecutadas. NO SUMINISTRADA EN LA AUDITORIA.

Con el fin de fortalecer el mantenimiento de las bases de datos, el DBA está adelantando un
inventario de las mismas, definiendo su criticidad y tiempos de atención; con base en estos
resultados se presentarán al Gobierno de Ti con el fin de tomar decisiones importantes y
necesarias sobre procedimientos, para que los programas informen continuamente los cambios a
nivel de aplicativos y responsabilidades asociadas y así poder determinar que bases de datos ya no
están en uso y reagrupar con el fin de aprovechar el procesamiento de los servidores.

Por la criticidad y alto nivel de consulta y procesamiento para las bases de datos se tienen tareas
programadas cada 6 horas para recuperación de BD por recovery, verificar, recoger logs, encoger y
elimina los obsoletos. Para el resto de los programas se realizan tareas manuales una vez por
semana.
ANALISIS DE RIESGOS

El análisis de riesgo (también conocido como evaluación de riesgo o PHA por sus siglas en inglés:
Process Hazards Analysis) es el estudio de las causas de las posibles amenazas, y los daños y
consecuencias que éstas puedan producir. Este tipo de análisis es ampliamente utilizado como
herramienta de gestión en estudios financieros y de seguridad para identificar riesgos (métodos
cualitativos) y otras para evaluar riesgos (generalmente de naturaleza cuantitativa).

La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en torno

a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores
operacionales a partir de los cuales medir y evaluar. Los resultados obtenidos del análisis, van a
permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar
el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este
tratamiento y ejecutarlos.

Para la evaluación de este utilizaremos La matriz de evaluación, es uno de los documentos de

recopilación más versátiles y de mayor utilidad para el auditor de sistemas computacionales,
debido a que por medio de este documento es posible recopilar una gran cantidad de información
relacionada con la actividad, operación o función que se realiza en estas áreas informáticas, así
como apreciar anticipadamente el cumplimiento de dichas actividades. Esta matriz estará basada
en la metodología Magerit.

La metodología Magerit (Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información) está elaborada por el Consejo Superior de Administración Electrónica del Gobierno
de España para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información,
enfocada a las Administraciones Públicas. Magerit ofrece una aplicación para el análisis y gestión
de riesgos de un Sistema de la Información.
 1. VALORACION DE ACTIVOS

Se presenta la escala que servirá de referencia para la calificación cualitativa de activos y medir la
magnitud de riesgo e impacto:

Valor
1
2
3
4
5

Valor
1
2
3
4
5

Dimensiones Para Evaluar:

Confiabilidad: Propiedad o característica de los activos consistente en que las entidades o

procesos autorizados tienen acceso a los mismos cuando lo requieren.

Integridad: Propiedad o característica consistente en que el activo de información no ha sido

alterado de manera no autorizada.

Autenticidad: Propiedad o característica consistente en que una entidad es quien dice ser o bien
que garantiza la fuente de la que proceden los datos.

Disponibilidad: Propiedad o característica de los activos consistente en que las entidades o

procesos autorizados tienen acceso a los mismos cuando lo requieren.

*Nota Importante: Como los inventario y diccionario de datos fueron negados por asuntos de
confidencialidad base este análisis en módulos de base de datos.
Integridad Autenticidad

MA MA
MA MA
A MA
A MA
MA MA
MA MA
AC MA
MA MA

MA MA
MA MA
MA MA
MA MA
MA MA
A MA
MA MA
MA MA
 2. IDENTIFICACION DE AMENAZAS

Identificación de amenazas. De acuerdo con el catálogo establecido por Magerit, se presentan las
posibles amenazas asociadas a cada uno de los activos y relacionadas con [N] Desastres naturales,
[I] De origen industrial, [E] Errores y fallos no intencionados y, [A] Ataques intencionados.

Por lo que en lo adelante identificaremos las siguientes amenazas que se nos permiten evaluar

Codigo
E.1 Errores de los usuacios
E.2 Errores de Administradores
E.3 Alteracion Accidental de la informaicon
A.1 Alteracion Intencional de la informacion
A.2 Destruccion de la Informacion
A.3 Suplantacion de identidad
A.4 Abuso de Privilegios (Acceso)
A.5 Divulgacion de la informacion
A.6 Modificacion,Eliminacion de libreria de la informacion
Codigo
E.4
E.5
E.6
A.7
A.8
A.9
Una vez evaluado con los instrumentos y técnicas mencionados con anterioridad agrupamos los
datos recopilados para hacer una representación gráfica de la ponderación de riesgos y el impacto
que ocasiona al funcionamiento correcto del SGBD.

Lo primero a evaluar es en base a que porcentaje se encuentra las dimensiones del riesgo y la
forma de medirlo es la siguiente;

1. Definimos los parámetros que identifican el rango a valorar.

2. Definimos la frecuencia con la que ocurre cada evento y asignamos un valor ponderado a
esta.

Escala porcentual para valorar dimensiones de seguridad

(EVALUACION DE RIESGOS DE BASE DE DATOS)

FECHA DE INSPECCION
ORGANIZACION A EVALUAR : PIMENTEL &CO. S.R.L.(Arroz Pimco)
PERIODO: AUDITORIA 26 DE OCTUBRE 2019 HASTA EL 7 DE DICIEMBRE 2019
RESPONSABLES : DIANA PARRON Y PAOLA LUCIANO

Vulnerabilidad Rango Valor

Frecuencia Muy Alta 1 vez al dia 100
Frecuencia Alta 1 vez Cada Semana 70
Frecuencia Media 1 vez Cada Mes 50
Frecuencia Baja 1 vez cada 6 meses 20
Frecuencia Muy Baja 1 vez al ano 5

3. Luego definimos que lograremos con los datos suministrados en las cuales se acentúan
las siguiente;
a. Valoración impacto potencial: Medida del daño sobre el activo al materializarse
una amenaza. Se calcula utilizando las escalas numéricas tanto de la valoración de
activos por cada dimensión y la degradación por cada dimensión en cada
amenaza.

b. Valoración riego potencial: Medida del daño probable sobre un sistema. Se

calcula con el impacto por dimensión y la probabilidad de ocurrencia (frecuencia
de la amenaza).

4. Escala de valoración del riesgo.

IMPACTO Y VALORACION DEL RIESGO
 Una vez identificadas las amenazas o vulnerabilidades que queríamos auditar y definidos los
parámetros en los que serán evaluados, iniciamos lo que definimos anteriormente que es la
evaluación de riesgo. Gracias a nuestras técnicas e instrumentos de auditoria identificamos y

C I A D C I A D
Codigo
E.1 5 1 3 0 1 Alto Medio Alto
E.2 1 5 5 2 3 Medio Medio Bueno Bueno
E.3 1 1 3 0 2 Bueno Bueno Bueno
A.1 1 1 5 5 4 Bueno Medio Medio Alto
A.2 1 1 2 5 1 Bueno Bueno Medio Bueno
A.3 1 5 5 4 2 Alto Alto Alto Bueno
A.4 1 1 5 5 4 Bueno Alto Alto Alto
A.5 2 1 1 4 5 Bueno Bueno Medio Alto
A.6 1 1 1 1 5 Bueno Bueno Bueno Alto
Codigo
E.4 1 1 1 3 3 Bueno Bueno Medio Medio
E.5 1 1 5 5 5 Bueno Alto Alto Alto
A.7 4 0 2 3 3 Alto Alto Alto
A.8 1 0 1 1 1 Bueno Bueno Bueno
A.9 1 0 1 1 1 Bueno Bueno Bueno

valoramos el impacto que puede ocurrir ciertos riesgos y lo presentamos de la manera siguiente:

En este cuadro podemos visualizar cuales son los activos u amenazas que decidimos evaluar, cada
uno de ellos se encuentra identificado con un código uno en el que (E), como lo habíamos definido
es denominado como Errores. Recordemos que los errores son acciones involuntarias que se dan
tanto en el factor humano como en el código de desarrollo del sistema. Hemos identificado las
Amenazas con el prefijo (A). Tomando en cuenta que las amenazas es el riesgo que tomamos antes
ciertas acciones que intuyen más a lo voluntario. Para finalizar la codificación asignamos un
numero de secuencia al mismo.

Definimos los casos a Evaluar en cada Parámetro especificado anteriormente (Confidencialidad,

Integridad, autenticidad y Disponibilidad). Medimos el numero de frecuencia en la que se efectúa
cada actividad detectada y la puntuación de importancia según los niveles también descritos. Cada
puntuación asignada tiene una significancia en la matriz de riesgo que nos indica un estatus de
evaluación y es por este medio que se nos facilita determinar los factores que están en
vulnerabilidad y la parte en la que los controles deben de ser evaluados.

Por lo que a continuación presentamos la gráfica de la matriz de Riesgo.

C I A D C I A D C I A D C I A D C I A D
E.1 E.1 E.1

A.7 A.7 A.7

A.5

A.5
E.5 E.2
E.4 E.4
A.6 E.5
A.4 A.4 E.5
A.2 A.8 A.9 A.9 A.3 A.4
A.1 E.4 A.8 A.8 A.5 A.3 A.3 A.1 A.2
E.3 A.6 A.6 A.2 A.5 A.2 E.2 E.3 E.3 E.4 A.3 A.1 E.2 E.2 A.1 A.6
EXPLOTACION DE AUDITORIA DE BASE DE DATOS

Cabe destacar que si existen controles que regulen el comportamiento de las informaciones
dentro de esta organización lo que nos aporta una gran ventaja para la evaluación por otro lado es
bueno mencionar que dichos controles no son mostrados porque el mismo control interno lo
impide. Para realizar la explotación de esta tuvimos que acudir a nuestros instrumentos de trabajo
y basarnos en las técnicas establecidas, no utilizamos ningún software para la explotación de la
auditoria.

Una vez evaluado los riesgos que se presentan en PIMENTEL & CO. SRL. Ya tenemos una guía de
cuáles son los parámetros para evaluar. Por consiguiente, nuestro plan de trabajo en los SISTEMAS
DE GESTION DE BASE DE DATOS lo estructuramos de la siguiente manera.

SI NO SI NO N/A
X X
X X
X X

X X

x x
x x

x x

x x

X X

X X
RECOMENDACIONES:

Una vez evaluado los parámetros anteriores hicimos un breve resumen de lo que según
nuestro juicio es importante para mantener una eficiente gestión de la información e
incidir en la mejora continua de la organización.

1. Es importante la caducidad del tiempo de log por parte de los usuarios autorizados
del mismo sea lo más mínimo posible, ya que hubo un momento durante la
auditoria que administrador de base de datos se ausento a tomar una llamada la
parte auditora quedo a solas con la base de datos abierta bajo las credenciales del
DBA. Como para PIMENTEL & CO. SRL. El factor información es lo que tiene más
relevancia, este podría ser un punto a mejora. (ver en reporte de Desviaciones en
Anexos).
2. No existen políticas que rigen la destrucción de la información como tal, por lo que
es de mucha relevancia imponerlas y que quede como historial, el cómo, cuando y
porque estas fueron destruidas ya que puede que la información que hoy se
destruya vaya a ser de utilidad mas adelante. Lo recomendable como tal no es
destruirla sino deshabilitarla.
3. Si bien el Gobierno de TI es participe de estas, es importante que exista un canal
de comunicación entre el DBA y este, debido a que la información que se vaya a
presentar al Gobierno Corporativo debe saberse primero en administración de TI
no en el caso contrario. (ver en reporte de Desviaciones en Anexos).
 INFORME DE AUDITORIA (BASE DE DATOS)

FECHA DE REALIZACION
ORGANIZACION A EVALUAR : PIMENTEL &CO. S.R.L.(Arroz Pimco)
7 de Diciembre 2019
PERIODO: AUDITORIA 26 DE OCTUBRE 2019 HASTA EL 7 DE DICIEMBRE 2019
RESPONSABLES : DIANA PARRON Y PAOLA LUCIANO

INFORME DE AUDITORIA DE BASE DE DATOS

Lugar de la auditoria: Departamento de TI, Pimentel & Co. SRL.

Herramientas utilizadas:

 Checklist para verificar los objetivos de control

 Entrevistas y cuestionarios para el levantamiento de información Trazas mediante
documentación publicada o secuencia de comandos
 Observación directa

Alcance: Controlar la existencia de las medidas necesarias para mantener la seguridad en las bases
de datos.

Informe de la explotación de la auditoria:

SITUACIONES RECOMENDACIONES
DISPONIBILIDAD DEL ES DE VITAL IMPORTANCIA PORLO QUE EL PERSONAL DE ESTA AREA DEBE DE ESTAR
PERSONAL DE TI DISPONIBLE EL MAYOR TIEMPO POSIBLE, AUNQUE NO SE ENCUENTRE PRESENTE EN LA
ORGANIZACIÓN.

MIGRACION DE DATOS EL GOBIERNO DE TI DEBE DE PRESTAR ASISTENCIA AL DBA CUANDO SE REALICEN ESTE TIPO
DE ACTIVIDAD PARA LAS SUPERVICIONES DE LUGAR.
 MECANISMOS DE MONITOREO LA ORGANIZACIÓN COMO TAL HACE REFERENCIA A LA EXISTENCIA DE HERRAMIENTAS QUE
DE AUDITORIA PERMITAN LA EXPLOTACION DE DE LA AUDITORIA COMO TAL, PERO ESTOS NO FUERON
PRESENTANDOS Y NO SE REALIZO UNA OBSERVACION DEL FUNCIONAMIENTO DE LA MISMA
POR LO QUE PARA NUESTRO JUICIO REPRESENTA UNA DEBILIDAD.
MANTENIMIENTO DE BASE DE HAY QUE ESTABLECER PERIODOS PARA EL MISMO QUE SEAN MEDIBLES, EL SISTEMA SE
DATOS ENCUENTRA EN MIGRACION DE DATOS POR LO QUE SE DEBE SER MAS OBJETIVO EN ESTA
AREA.

UBICACIÓN DEL SERVIDOR ENTENDEMOS QUE LA UBICACIÓN DE ESTE ES MUY ACERTADA PERO LOS METODOS DE
ACCESO FISICO PARA EL MISMO PRESENTA DEBILIDAD SI BIEN ESTA UNICADO EN UNO DE
LOS LUGARES MENOS TRANSITADOS DE LA ORGANIZACIÓN ESO NO SIGNIFICA QUE NO SEA
ACCESIBLE POR LO QUE RECOMENDAMOS QUE, AUNQUE EL RACK DEL SERVIDOR ESTE CON
LLAVE, TAMBIEN SE LE PONGA LLVE A LA ENTRADA DEL CUARTO DE SERVIDORES.

Conclusiones : Siendo la información uno de los Activos más relevantes de la organización ,

entendemos que el tratamiento de la misma esta siendo llevado a cabo de manera muy efectiva
aunque muestra ciertas debilidades por lo que es notorio que más concentración por parte del
personal de Gestión de esta área hará mas fuerte el salvaguardar las informaciones por lo que
independientemente de esta pequeña debilidad ,decidimos que el resultado de la auditoria de
base de datos fue FAVORABLE, el simple hecho de que existan políticas y personal que se encargue
exclusivamente del área hace referencia a la presencia de buenas prácticas dentro del área y del
compromiso de la organización ante el tratamiento de la información.

OBSERVACION:

Se aplican procedimientos implícitos en la operatividad del área, basados fundamentalmente en la

base de conocimiento del personal, pero no se encuentran documentados.
AUDITORIA DE SOFTWARE DEPARTAMENTO DE
TECNOLOGIA DE INFORMACION
 INTRODUCCION

Definimos un Software al soporte lógico de un sistema informático, que comprende el

conjunto de los componentes lógicos necesarios que hacen posible la realización de tareas

específicas, en contraposición a los componentes físicos que son llamados hardware. La

interacción entre el software y el hardware hace operativo un ordenador (u otro dispositivo),

es decir, el Software envía instrucciones que el Hardware ejecuta, haciendo posible su

funcionamiento.

El propósito de evaluar estos parámetros es garantizar que los procedimientos y los controles

utilizados para el manejo de la información cumplan con los estándares y la seguridad que

imponen las normas y políticas especificadas en el área y de no existir imponerlas.

ANTECEDENTES
PIMENTEL & CO. S.R.L. es una factoría cuya principal actividad es la producción de arroz, su
Centro de Datos se inicializo en el 2013, cuyo Gobierno de TI Enrique Landstoy desarrollo y
organizo el entorno tecnológico de la factoría. Posterior a esto se inicializaron una serie de
procesos tecnológicos dentro de la misma que lo ha innovado de manera eficaz. Como no se
han reportado incidencias en el control interno de dicho departamento la auditoria del mismo
está basada en una inspección los SISTEMAS DE INFORMACION, APLICACIONES y SISTEMAS
OPERATIVOS cuya finalidad es detectar incidencias o corroborar el funcionamiento de las
políticas implementadas en el área.

Luego de reunirnos con el gobierno corporativo Fausto Armando Pimentel Peña y el gobierno
de TI Enrique Landstoy definimos realizar un análisis limitado de la estructura del
comportamiento de las aplicaciones, el viaje de la información , las medidas utilizadas para la
integridad con la que funcionan los estores de información del sistema.
 OBJETIVO GENERAL

Realizar una auditoría en el grupo de trabajo de Infraestructura y Soporte de Tecnologías de

Información de la única cede de PIMENTEL & CO. SRL, específicamente SOFTWARE existentes
en el Centro de Datos que administra éste grupo.

OBJETIVOS ESPECIFICOS

 Evaluar el listado de software referentes al inventario de software.

 Conocer el rendimiento de la inversión tecnológica realizada.
 Corroborar la legitimidad de los productos y/o servicios.
 Analizar si las interfaces de la organización son eficientes.
 Evaluar posibles fallas técnicas que se estén haciendo.

SITUACION DEL DEPARTAMENTO

El departamento de TI de PIMENTEL & CO. SRL viene funcionando desde el 2013 y hasta el
momento presenta un crecimiento y un compromiso con la mejora continua para influir en la
funcionalidad estable de los procesos de la organización.

El encargado de software como se mencionó con anterioridad es el Sr. Noel Carrasco quien incluso
en este momento está poniendo en implementación el software FNC, cuya función es sostener la
plataforma de trabajo de forma completa.

INVENTARIO DE BASE DE DATOS

El estudio y evaluación del software nos ayudara a realizar una revisión sobre el tratamiento que
se utilizan para el tratamiento de los datos, que tan usables son, comodidad del usuario ante su
efectividad, vigencia y eficiencia de este. A continuación, mostramos el inventario de Software
facilitado por el Gobierno de TI.
PUNTOS DE EVALUACION DE SOFTWARE

1. ORIGEN FÍSICO O LÓGICO

2. ERRORES DE LOS USUARIOS
3. ERRORES DEL ADMINISTRADOR
4. DIFUSIÓN DE SOFTWARE DAÑINO
5. ERRORES DE [RE-]ENCAMINAMIENTO
6. ERRORES DE SECUENCIA
7. DESTRUCCIÓN DE INFORMACIÓN
8. FUGAS DE INFORMACIÓN
9. VULNERABILIDADES DE LOS PROGRAMAS
10. ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE PROGRAMAS
11. SUPLANTACIÓN DE LA IDENTIDAD DEL USUARIO
12. ABUSO DE PRIVILEGIOS DE ACCESO
13. USO NO PREVISTO
14. ACCESO NO AUTORIZADO
15. MANIPULACIÓN DE PROGRAMAS
ANALISIS DE RIESGOS

El análisis de riesgo (también conocido como evaluación de riesgo o PHA por sus siglas en inglés:
Process Hazards Analysis) es el estudio de las causas de las posibles amenazas, y los daños y
consecuencias que éstas puedan producir. Este tipo de análisis es ampliamente utilizado como
herramienta de gestión en estudios financieros y de seguridad para identificar riesgos (métodos
cualitativos) y otras para evaluar riesgos (generalmente de naturaleza cuantitativa).

La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en torno

a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores
operacionales a partir de los cuales medir y evaluar. Los resultados obtenidos del análisis, van a
permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar
el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este
tratamiento y ejecutarlos.

Para la evaluación de este utilizaremos La matriz de evaluación, es uno de los documentos de

recopilación más versátiles y de mayor utilidad para el auditor de sistemas computacionales,
debido a que por medio de este documento es posible recopilar una gran cantidad de información
relacionada con la actividad, operación o función que se realiza en estas áreas informáticas, así
como apreciar anticipadamente el cumplimiento de dichas actividades. Esta matriz estará basada
en la metodología Magerit.

La metodología Magerit (Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información) está elaborada por el Consejo Superior de Administración Electrónica del Gobierno
de España para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información,
enfocada a las Administraciones Públicas. Magerit ofrece una aplicación para el análisis y gestión
de riesgos de un Sistema de la Información.
VALORACION DE ACTIVOS

Se presenta la escala que servirá de referencia para la calificación cualitativa de activos y medir la
magnitud de riesgo e impacto:

ESCALA DE VALORACION DE ACTIVOS

(EVALUACION DE RIESGOS DE SOFTWARE)

FECHA DE INSPECCION
ORGANIZACION A EVALUAR : PIMENTEL &CO. S.R.L.(Arroz Pimco)
PERIODO: AUDITORIA 26 DE OCTUBRE 2019 HASTA EL 7 DE DICIEMBRE 2019
RESPONSABLES : DIANA PARRON Y PAOLA LUCIANO

Abreviatura Escala Valor Descripcion

MM Muy Malo 1 Insignificante para la Entidad
M Malo 2 De menor importancio
AC Aceptable 3 Relevante
A Alto 4 Muy Relevante
MA Muy Alto 5 Indispensable

Dimensiones Para Evaluar:

Confiabilidad: Propiedad o característica de los activos consistente en que las entidades o

procesos autorizados tienen acceso a los mismos cuando lo requieren.

Integridad: Propiedad o característica consistente en que el activo de información no ha sido

alterado de manera no autorizada.

Autenticidad: Propiedad o característica consistente en que una entidad es quien dice ser o bien
que garantiza la fuente de la que proceden los datos.

Disponibilidad: Propiedad o característica de los activos consistente en que las entidades o

procesos autorizados tienen acceso a los mismos cuando lo requieren.
 ESCALA DE VALORACION DE ACTIVOS
(EVALUACION DE RIESGOS DE SOFTWARE)

FECHA DE INSPECCION
ORGANIZACION A EVALUAR : PIMENTEL &CO. S.R.L.(Arroz Pimco)
PERIODO: AUDITORIA 26 DE OCTUBRE 2019 HASTA EL 7 DE DICIEMBRE 2019
RESPONSABLES : DIANA PARRON Y PAOLA LUCIANO

Datos a Evaluar Confiabilidad Integridad Autenticidad Disponibilidad

SISTEMAS DE INFORMACION DAMINISTRATIVO Y PRODUCTIVO MA MA MA MA
SISTEMAS OPERATIVOS AC A A MA
SOFTWARE MANEJO DE OFICINAS (OFFICE) AC A A MA
SOFTWARE DE COMPLEMENTOS DE SISTEMAS (DRIVERS) AC A A MA
SOFTWARE DE MANTENIMIENTO AC AC A MA
SOFTWARE DE TELECOMUNICACIONES Y REDES AC AC A MA
SOFTWARE CONTRA AMENAZAS DE SISTEMAS B AC A MA
SOFTWARE DE NAVEGACION B AC A MA
SOFTWARE DE DESARROLLO DE SISTEMAS B AC A MA

IDENTIFICACION DE AMENAZAS

Identificación de amenazas. De acuerdo con el catálogo establecido por Magerit, se presentan las
posibles amenazas asociadas a cada uno de los activos y relacionadas con [N] Desastres naturales,
[I] De origen industrial, [E] Errores y fallos no intencionados y, [A] Ataques intencionados.

Por lo que en lo adelante identificaremos las siguientes amenazas que se nos permiten evaluar
 ESCALA DE VALORACION DE ACTIVOS
(EVALUACION DE RIESGOS DE SOFTWARE)

FECHA DE INSPECCION
ORGANIZACION A EVALUAR : PIMENTEL &CO. S.R.L.(Arroz Pimco)
PERIODO: AUDITORIA 26 DE OCTUBRE 2019 HASTA EL 7 DE DICIEMBRE 2019
RESPONSABLES : DIANA PARRON Y PAOLA LUCIANO

Evaluacion de Amenazas

Codigo Datos a Evaluar (SGBD)

I.1 ORIGEN FÍSICO O LÓGICO
E.1 ERRRES DE USUARIO
E.2 ERRORES DE ADMINISTRADORES
E.3 DIFUSION DE SOFTWARE DAÑINO
E.4 ERRORES DE RE-ENCAMINAMIENTO
E.5 ERRORES DE SECUENCIA
A.1 DESTRUCCION DE LA INFORMACION
A.2 FUGA DE INFORMACION
A.3 VULNERABILIDAD DE LOS PROGRAMAS
E.6 ERRORES DE MANTENIMIENTO Y ACTUALIZACION DE SOFTWARE
A.4 CONTROL DE ACCESO Y AUTENTIFICACION
A.5 USO NO PREVISTO
A.6 MANIPULACION DE SOFTWARE (USABILIDAD)

Una vez evaluado con los instrumentos y técnicas mencionados con anterioridad agrupamos los
datos recopilados para hacer una representación gráfica de la ponderación de riesgos y el impacto
que ocasiona al funcionamiento correcto de los sistemas.

Lo primero a evaluar es en base a que porcentaje se encuentra las dimensiones del riesgo y la
forma de medirlo es la siguiente;

5. Definimos los parámetros que identifican el rango a valorar.

Escala porcentual para valorar dimensiones de seguridad

(EVALUACION DE RIESGOS DE SOFTWARE)

FECHA DE INSPECCION
ORGANIZACION A EVALUAR : PIMENTEL &CO. S.R.L.(Arroz Pimco)
PERIODO: AUDITORIA 26 DE OCTUBRE 2019 HASTA EL 7 DE DICIEMBRE 2019
RESPONSABLES : DIANA PARRON Y PAOLA LUCIANO

Impacto Valor Cuantitativo Valor

Muy Alto 100% 5
Alto 75% 4
Medio 50% 3
Bajo 20% 2
Muy Bajo 5% 1
 6. Definimos la frecuencia con la que ocurre cada evento y asignamos un valor ponderado a
esta.

Escala porcentual para valorar dimensiones de seguridad

(EVALUACION DE RIESGOS DE SOFTWARE)

FECHA DE INSPECCION
ORGANIZACION A EVALUAR : PIMENTEL &CO. S.R.L.(Arroz Pimco)
PERIODO: AUDITORIA 26 DE OCTUBRE 2019 HASTA EL 7 DE DICIEMBRE 2019
RESPONSABLES : DIANA PARRON Y PAOLA LUCIANO

Vulnerabilidad Rango Valor

Frecuencia Muy Alta 1 vez al dia 5
Frecuencia Alta 1 vez Cada Semana 4
Frecuencia Media 1 vez Cada Mes 3
Frecuencia Baja 1 vez cada 6 meses 2
Frecuencia Muy Baja 1 vez al ano 1

7. Luego definimos que lograremos con los datos suministrados en las cuales se acentúan las
siguiente;

a. Valoración impacto potencial: Medida del daño sobre el activo al materializarse

una amenaza. Se calcula utilizando las escalas numéricas tanto de la valoración de
activos por cada dimensión y la degradación por cada dimensión en cada
amenaza.

b. Valoración riego potencial: Medida del daño probable sobre un sistema. Se

calcula con el impacto por dimensión y la probabilidad de ocurrencia (frecuencia
de la amenaza).
 8. Escala de valoración del riesgo.

IMPACTO Y VALORACION DEL RIESGO

Una vez identificadas las amenazas o vulnerabilidades que queríamos auditar y definidos los
parámetros en los que serán evaluados, iniciamos lo que definimos anteriormente que es la
evaluación de riesgo. Gracias a nuestras técnicas e instrumentos de auditoria identificamos y
valoramos el impacto que puede ocurrir ciertos riesgos y lo presentamos de la manera siguiente:

EVALUACION DE RIESGOS DE SOFTWARE

FECHA DE INSPECCION
ORGANIZACION A EVALUAR : PIMENTEL &CO. S.R.L.(Arroz Pimco)
PERIODO: AUDITORIA 26 DE OCTUBRE 2019 HASTA EL 7 DE DICIEMBRE 2019
RESPONSABLES : DIANA PARRON Y PAOLA LUCIANO

Impacto Potencial Riesgo Potencial

Activo u Amenza Frecuencia C I A D C I A D
Codigo Datos a Evaluar (SGBD)
I.1 ORIGEN FÍSICO O LÓGICO 1 0 5 5 Medio Medio
E.1 ERRRES DE USUARIO 5 3 4 3 Alto Muy Alto Alto
E.2 ERRORES DE ADMINISTRADORES 2 5 5 5 Alto Alto Alto
E.3 DIFUSION DE SOFTWARE DAÑINO 1 5 5 5 Medio Medio Medio
E.4 ERRORES DE RE-ENCAMINAMIENTO 1 3 2 Bueno Bueno
E.5 ERRORES DE SECUENCIA 2 5 5 5 5 Medio Medio Medio Medio
A.1 DESTRUCCION DE LA INFORMACION 1 3 4 5 Medio Alto Alto
A.2 FUGA DE INFORMACION 1 4 5 5 5 Medio Medio Medio Medio
A.3 VULNERABILIDAD DE LOS PROGRAMAS 3 5 5 5 5 Medio Medio Medio Medio
E.6 ERRORES DE MANTENIMIENTO Y ACTUALIZACION DE SOFTWARE 3 5 5 5 Medio Medio Medio
A.4 CONTROL DE ACCESO Y AUTENTIFICACION 2 5 3 Medio
A.5 USO NO PREVISTO 2 2 Bueno Bueno
A.6 MANIPULACION DE SOFTWARE (USABILIDAD) 1 5 5 Alto Alto

En este cuadro podemos visualizar cuales son los activos u amenazas que decidimos evaluar, cada
uno de ellos se encuentra identificado con un código uno en el que (E), como lo habíamos definido
es denominado como Errores. Recordemos que los errores son acciones involuntarias que se dan
tanto en el factor humano como en el código de desarrollo del sistema. Hemos identificado las
Amenazas con el prefijo (A). Tomando en cuenta que las amenazas es el riesgo que tomamos antes
ciertas acciones que intuyen más a lo voluntario. Para finalizar la codificación asignamos un
numero de secuencia al mismo.

Definimos los casos a Evaluar en cada Parámetro especificado anteriormente (Confidencialidad,

Integridad, autenticidad y Disponibilidad). Medimos el número de frecuencia en la que se efectúa
cada actividad detectada y la puntuación de importancia según los niveles también descritos. Cada
puntuación asignada tiene una significancia en la matriz de riesgo que nos indica un estatus de
evaluación y es por este medio que se nos facilita determinar los factores que están en
vulnerabilidad y la parte en la que los controles deben de ser evaluados.

Por lo que a continuación presentamos la gráfica de la matriz de Riesgo.

C I A D C I A D C I A D C I A D C I A D
I.1 E.3 E.3 E.3 E.3 E.1 E.1 E.1
A.6 A.6 A.2 A.1 A.3
A.2

A.2 A.1 A.1

E.4 A.3 A.3 A.3
E.6 E.6 E.6

A.1
A.5 A.4 E.5 E.2 E.2 E.5
A.4 E.5 E.5
A.4

E.2
E.4 E.4 A.2 A.1 E.3 A.2 I.1
E.3 E.3
EXPLOTACION DE AUDITORIA DE SOFTWARE

Cabe destacar que si existen controles que regulen el comportamiento de las informaciones
dentro de esta organización lo que nos aporta una gran ventaja para la evaluación por otro lado es
bueno mencionar que dichos controles no son mostrados porque el mismo control interno lo
impide. Para realizar la explotación de esta tuvimos que acudir a nuestros instrumentos de trabajo
y basarnos en las técnicas establecidas, no utilizamos ningún software para la explotación de la
auditoria.

Una vez evaluado los riesgos que se presentan en PIMENTEL & CO. SRL. Ya tenemos una guía de
cuáles son los parámetros para evaluar. Por consiguiente, nuestro plan de trabajo en los SISTEMAS
DE GESTION DE SOFTWARE lo estructuramos de la siguiente manera.

SI NO SI NO N/A
X X
X X
X X
X X
X X

X X
X X
X X
X X
X X

X X
X X

X X

X X
RECOMENDACIONES:

Una vez evaluado los parámetros anteriores hicimos un breve resumen de lo que según
nuestro juicio es importante para mantener una eficiente gestión de la información e
incidir en la mejora continua de la organización.

1. Si bien se encuentra actualmente en la implementación de un nuevo software los

niveles de acceso (Inicio de Sesión) están abajo. El software no presenta ningún
tipo de seguridad en el acceso.
2. La usabilidad presenta gran problema para los usuarios, debido a que entienden es
mas laborioso cumplir con la función especificada, por lo que se recomienda
revisión de este y no hacer caso omiso de esto.
3. Existen software no instanciados en el inventario dentro de algunos equipos que
representan vulnerabilidad en los sistemas porque no están bajo el licenciamiento
apropiado.
4. No existe un cronograma en el que se indique cada que tiempo se ven proyectado
los mantenimientos de sistemas. Es importante que estos se hagan en momentos
especificados.
5. El rendimiento de alguno de los equipos no cumple con los requerimientos de
algunos softwares ya que el desenvolvimiento del mismo no es funcional, lo
recomendable es que se haga una revisión y actualización de los equipos y su
rendimiento.
INFORME DE AUDITORIA DE SOFTWARE

Lugar de la auditoria: Departamento de TI, Pimentel & Co. SRL.

Herramientas utilizadas:

 Checklist para verificar los objetivos de control

 Entrevistas y cuestionarios para el levantamiento de información Trazas mediante
documentación publicada o secuencia de comandos
 Observación directa

Alcance: Controlar la existencia de las medidas necesarias para mantener la seguridad en las bases
de datos.
INFORME DE LA AUDITORIA DE SOFTWARE

SITUACIONES RECOMENDACIONES
INVENTARIO DE SOFTWARE TOMAR EN CUENTA EL PONER LA FECHA DE CADUCIDAD O DE ACTUALIZACION DE
LICENCIA EN EL MISMO PARA VALIDAR LOS PERIODOS DE RESTAURACION DE SISTEMAS.

USO DE SOFTWARE NO ES RECOMENDABLE DENEGAR LOS PRIVILEGIOS DE INSTANCIAR SISTEMAS NO

AUTORIZADOS Y SEGUIMIENTO PERIÓDICO A LA INSTALACIÓN DE SOFTWARE NO
AUTORIZADO
AUTORIZADO COMO PROGRAMAS DE MENSAJERÍA INSTANTÁNEA.

USO DE CONTRASENAS AUNQUE EL SISTEMA ESTE IMPLEMENTACION ES DE SUMA IMPORTANCIA QUE LOS
DATOS ESTEN PROTEGIDOS, DE NADA SIRVE QUE EL SISTEMA CUMPLA CON POLITICAS
SEGURAS
DE ACCESO SINO SE TIENE CONSIENCIA DEL LOG.

MANTENIMIENTO DE EMPLEAR POLITICAS PARA EL PERIODO DE MANTENIMIENTO DE LOS SISTEMAS

OPERATIVOS Y SISTEMAS DE INFORMACION, TALES COMO: ACTUALIZACION DE DRIVERS,
SOFTWARE
ACTUALIZACION DE SOFTWARE COMPLEMENTARIOS ETC.

Conclusiones: Después de evaluar los acápites que consideramos como vitales para el
desenvolvimiento de las operaciones de la organización , y manternos en observación de la
usabilidad de estos sobre los usuarios tanto de TI como usuarios administrativos con la finalidad
de evaluar la seguridad y el desenvolvimiento de los mismo evaluamos que los resultados de esta
auditoria arrojan un resultado FAVORABLE a favor de la organización , cabe aclarar que para la
mejora continua de la organización es necesario tomar en cuenta las recomendaciones ya
mencionadas.

OBSERVACION:

Hay usuarios que le falta capacidad cognitiva para lidiar con algunas aplicaciones por lo que
recomendamos una capacitación para el máximo aprovechamiento de los sistemas generales, para
los usuarios cuyas capacidades sean mayores es necesario crear políticas de rigidez bajo el entorno
de los sistemas operativos del equipo incluyendo restricciones.